Copyright

Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux. Le fait de partager vos
documents limiterait l'utilité du programme. L'IIA investit de nombreuses ressources pour proposer à ses membres des
perspectives professionnelles de qualité. En conséquence, merci de respecter le copyright.
Table of Contents

Section II : Contrôle interne et risque

Introduction

Chapitre A : Types de contrôles et techniques de management du contrôle interne

Introduction du chapitre
Rubrique 1 : Définir les types de contrôles (Niveau A)
Rubrique 2 : Définir les types de techniques de contrôle de gestion (Niveau A)

Chapitre B : Caractéristiques et utilisation des référentiels de contrôle interne

Introduction du chapitre
Rubrique 1 : Avoir une bonne compréhension du référentiel La pratique du contrôle interne – COSO Report
(Internal Control – Integrated Framework) (Niveau P)
Rubrique 2 : Avoir une bonne compréhension des cadres de contrôle alternatifs (Niveau A)

Chapitre C: Lexique du risque et concepts

Introduction du chapitre
Rubrique 1 : Définir la terminologie relative au risque (Niveau A)
Rubrique 2 : Décrire les éléments du risque (Niveau A)
Rubrique 3 : Avoir une bonne compréhension de la gestion des risques (Niveau A)

Chapitre D : Sensibilisation au risque de fraude

Introduction du chapitre
Rubrique 1 : Définition et introduction de la fraude (Niveau A)
Rubrique 2 : Décrire les types de fraude (Niveau A)
Rubrique 3 : Énumérer les signaux d'alerte en matière de fraude (Niveau A)
 Section II : Contrôle interne et risque
Cette section a pour objectif de vous aider à :
Définir et décrire le contrôle et les différents types de contrôles.
Évaluer la conception et l'efficacité des contrôles.
Expliquer les diverses techniques du contrôle de gestion.
Décrire le référentiel La pratique du contrôle interne – COSO Report du Committee of Sponsoring Organizations of the
Treadway Commission (COSO).
Décrire d'autres cadres de contrôle interne tels que le modèle Cadbury de l'Institut des experts comptables
d'Angleterre et du Pays de Galles (Institute of Charter Accountants in England and Wales) et le modèle de Critères de
contrôle (CoCo) de l'Institut canadien des comptables agréés (Canadian Institute of Chartered Accountant).
Apprendre la terminologie relative au risque et au contrôle.
Comprendre les cadres, les éléments et les concepts de gestion des risques.
Examiner les objectifs, les composantes, les rôles et les responsabilités du cadre de gestion des risques de
l'entreprise (ERM) du COSO.
Comparer l'approche de gestion des risques du COSO avec la norme ISO 31000 « Gestion du risque » et les
recommandations Turnbull.
Identifier et évaluer les risques en termes d'impact et de probabilité.
Expliquer comment l'activité d'audit interne aide la direction à identifier et évaluer les risques.
Différencier les quatre techniques de gestion des risques de base : la prévention, la réduction, le partage et
l'acceptation.
Expliquer comment diverses techniques de surveillance des risques peuvent aider à garantir l'efficacité des activités
de gestion des risques de l'entreprise.
Décrire comment l'activité d'audit interne, par ses activités d'assurance et de conseil, aide le conseil à évaluer les
risques à l'échelle de l'entreprise.
Décrire comment l'activité d'audit interne interagit avec la direction au niveau de l'acceptation du risque (ou la
tolérance au risque) dans le cadre de la prise de décision.
Définir et introduire le concept de fraude.
Expliquer comment l'activité d'audit interne favorise une culture de sensibilisation à la fraude et le signalement des
malversations.
distinguer les principaux types de fraude.
Reconnaître les signaux d'alerte et leur rôle dans la fraude ;

Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de cette section représentent environ
25 % à 35 % de la totalité des questions relatives à la Partie 1. Les sujets sont couverts au niveau « A-Awareness », ce
qui signifie que vous devez bien comprendre et mémoriser les informations.

Introduction
La nature du travail de l'audit interne a évolué bien au-delà des domaines traditionnels de l'assurance de contrôle interne et de la
conformité pour inclure la gestion des risques et la gouvernance. La norme de fonctionnement 2100 « Nature du travail » décrit
succinctement le champ d'application élargi : « L’audit interne doit évaluer les processus de gouvernance de l’organisation,
de management des risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique, méthodique et
fondée sur une approche par les risques. La crédibilité et la valeur de l’audit interne sont renforcées lorsque les auditeurs internes sont
proactifs, que leurs évaluations offrent de nouveaux points de vue et prennent en considération les impacts futurs. »

Des trois domaines fonctionnels, la gouvernance est le domaine le moins développé et le plus complexe. La gouvernance est traitée en
détail uniquement dans la Partie 3 de ce système d'apprentissage.

Les auditeurs internes possèdent une grande expérience du contrôle. Les deux premiers chapitres de cette section traitent du contrôle
interne. Le Chapitre A définit les types de contrôles et décrit la façon dont les contrôles peuvent être mis en œuvre en utilisant des
techniques de contrôle de gestion efficaces. Le Chapitre B se concentre sur les cadres de contrôle interne.

Les connaissances et l'implication de l'activité d'audit interne dans la gestion des risques varient d'un secteur industriel à l'autre et
d'une organisation à l'autre. Les entités de services financiers, par exemple, présentent un niveau de maturité raisonnable en ce qui
concerne la gestion des risques. Toutefois, de nombreux autres types d'organisation sont novices en la matière. Par conséquent, le
Chapitre C présente une introduction au lexique, aux éléments et à la gestion du risque. (Dans la Partie 2, les bases introduites ici sont
appliquées à la mise en place de plans d'audit interne axés sur les risques.) Le Chapitre D se rapporte spécifiquement à la
sensibilisation aux risques de fraude et inclut une description des types de fraude et des signaux d'alerte.
 Chapitre A : Types de contrôles et techniques de
management du contrôle interne
Introduction du chapitre
Qu'est-ce que le contrôle interne ?
Différentes définitions donnent un aperçu du contrôle, de l'environnement de contrôle et du contrôle interne.

Le glossaire des Normes définit le contrôle comme « toute mesure prise par la direction, le conseil d'administration et d'autres parties
afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. La direction planifie, organise et
dirige la réalisation d'actions suffisantes pour assurer, dans la mesure du possible, que les objectifs ciblés seront atteints ».

Le glossaire des Normes définit l'environnement de contrôle comme :

L'attitude et les actions du Conseil et de la direction au regard de l'importance du (dispositif de) contrôle dans l'organisation. Il fournit la
discipline et la structure nécessaires à la réalisation des objectifs principaux du système de contrôle interne. L'environnement de contrôle
englobe les éléments suivants :
Intégrité et valeurs éthiques
Philosophie et style de la direction
Organigramme
Attribution de l'autorité et de la responsabilité
Pratiques et politiques en matière de ressources humaines
Compétence du personnel

Le référentiel La pratique du contrôle interne – COSO Report, publié par le Committee of Sponsoring Organizations of the
Treadway Commission, définit le contrôle interne de la manière suivante :

Le contrôle interne est un processus exécuté par le conseil d'administration, la direction et d'autres membres d'une entité et conçu pour fournir
une assurance raisonnable concernant la réalisation des objectifs dans les catégories suivantes :
Efficacité et efficience des opérations ;
Fiabilité du reporting financier.
Conformité avec les lois et règlements applicables.

Les concepts fondamentaux sont inhérents à cette définition :

Le contrôle interne est un processus continu et il est effectué par des personnes à tous les niveaux de l'organisation.
La direction et le conseil d'administration reçoivent une assurance raisonnable, et non pas une garantie absolue.
Le contrôle interne prévaut sur les formulaires et les manuels de politique. Il est orienté sur la réalisation des objectifs
organisationnels.

Comme le montrent ces différentes définitions, les contrôles internes permettent à la direction d'une entité d'exécuter la mission et
d'atteindre les objectifs de l'organisation.

Rubrique 1 : Définir les types de contrôles (Niveau A)

Types de contrôles
Il existe une grande variété de contrôles à la disposition de la direction, comme nous pouvons le voir dans l'illustration II-1. Le contrôle
ou la combinaison de contrôles le plus adéquat dépend de l'environnement de l'entreprise et de l'objectif.

Illustration II-1 : Exemples d'outils de contrôle

Les types de contrôle peuvent être classés en plusieurs catégories.

Contrôles à l'échelle de l'entité, au niveau du processus et au niveau de la transaction

Certains contrôles sont conçus pour fonctionner à un niveau élevé et supérieur, tandis que d'autres s'appliquent à des processus ou des
transactions spécifiques.

Contrôles à l'échelle de l'entité

Les contrôles à l'échelle de l'entité s'appliquent à l'ensemble de l'organisation et sont conçus à la fois pour s'assurer que les objectifs
de l'organisation sont atteints et pour atténuer les risques qui menacent l'organisation dans son ensemble.

Parmi les principaux sous-types de contrôles à l'échelle de l'entité figurent :

Contrôles de gouvernance. Les contrôles de gouvernance instaurent une culture du contrôle, clarifient les attentes de
l'organisation et incluent des politiques et procédures à l'échelle de l'organisation. Parmi les exemples d'instauration de culture et de
clarification des attentes figurent la mise en place d'une supervision des contrôles par le comité d'audit ou la communication de
l'appétence pour le risque du conseil d'administration et des membres de la direction ou leur attitude par rapport au reporting
financier ; parmi les exemples de politiques et procédures figurent un code de déontologie, les politiques de conformité, les
politiques informatiques et les procédures de gestion telles que la mise en œuvre de la gestion des risques de l'entreprise.

Contrôles de supervision de la direction. Ces contrôles sont définis au niveau de l'unité d'affaires ou de la direction des
opérations et portent sur la réalisation des objectifs et l'atténuation des risques de l'unité d'affaires. Nous pouvons citer par exemple
les comités de risque, certains contrôles de fin d'exercice et les contrôles généraux informatiques.

Contrôles au niveau des processus

Les contrôles au niveau des processus sont établis par un responsable de processus pour s'assurer que les objectifs du processus sont
atteints et que les risques au niveau du processus sont pris en compte. Il s'agit par exemple de la surveillance, du suivi, de la
supervision, de l'évaluation des risques au niveau du processus, des évaluations de performance, du rapprochement des comptes clés
et des inventaires des stocks.

Contrôles au niveau des transactions

Les contrôles au niveau des transactions concernent des transactions individuelles. Ils sont mis en place pour s'assurer que les
objectifs de la transaction sont atteints et que les risques propres à la transaction sont pris en compte. Nous pouvons citer comme
exemple les exigences qui s'appliquent à la documentation, la séparation des fonctions ou des autorisations et les contrôles
d'applications informatiques (saisie, traitement, sortie).

Contrôles principaux et contrôles secondaires

Les contrôles peuvent également être classés en fonction de leur importance relative. Les définitions suivantes sont proposées par
Sawyer.

Contrôles principaux. « Il s'agit des contrôles qui doivent fonctionner efficacement afin de réduire un risque considérable à un
niveau acceptable ».

Contrôles secondaires. « Il s'agit des contrôles qui permettent au processus de fonctionner correctement mais qui ne sont pas
indispensables ».

Les contrôles principaux désignent les contrôles requis pour atteindre facilement le résultat souhaité ou l'objectif de l'entreprise. Les
contrôles secondaires visent à atténuer les risques qui ne sont pas considérés comme importants ou sont conçus comme contrôle
redondant déjà traité par un contrôle principal. L'objectif visé lors de l'identification des contrôles principaux est de s'assurer que la
supervision de la direction, les tests de contrôles et autres procédures d'audit sont efficaces, de ne pas gaspiller du temps et des
ressources et de se concentrer sur les risques importants et sur la réalisation des objectifs de l'entreprise. Chaque risque au niveau de
l'entité, des processus ou des transactions qui a été identifié comme un risque important au cours du processus d'évaluation des
risques se verra associer un ou plusieurs contrôles principaux. Les contrôles secondaires sont les contrôles restants au niveau d'un
système.

Un exemple de contrôle principal de la gouvernance à l'échelle de l'entité est de s'assurer que le « ton donné par la direction »
renforce les contrôles au niveau des processus plutôt que de les compromettre. Un contrôle secondaire associé peut permettre de
revoir et de communiquer à nouveau les énoncés de mission et de vision. Au niveau des contrôles de supervision de la direction à
l'échelle de l'entité, certains contrôles principaux peuvent vérifier l'efficacité de plusieurs autres contrôles secondaires et indiquer
lorsqu'il se produit des pertes de contrôle de niveau inférieur, offrant ainsi un indicateur précoce de la défaillance du contrôle pour
réduire le nombre d'essais nécessaires pour les contrôles secondaires. Au niveau du processus, le rapprochement des comptes clés
plutôt que de tous les comptes (contrôles secondaires) pourrait fournir les preuves nécessaires permettant d'évaluer si l'ensemble du
processus est susceptible d'atteindre ses objectifs. Au niveau de la transaction, la somme de contrôle d'une écriture comptable pourrait
fournir la preuve que d'autres contrôles au niveau des transactions fonctionnent efficacement. On pourrait considérer comme
secondaires les contrôles qui n'acceptent qu'une certaine gamme de données numériques dans un champ spécifique.

Contrôles par fonction

De nombreux termes couramment utilisés pour décrire les types de contrôles sont basés sur les fonctions de ces contrôles.

Prévention. Ce sont des contrôles proactifs qui permettent d'éviter que des événements indésirables ne se produisent. Nous
pouvons citer comme exemple un système de récompense basé sur un indicateur clé de performance pertinent pour un domaine
donné plutôt que sur la réalisation d'une somme budgétaire arbitraire.

Détection. Les contrôles de détection sont réactifs et détectent les événements indésirables qui sont déjà survenus. Nous pouvons
citer comme exemple les rapprochements de comptes ou les rapports d'exception.

Correction. Les contrôles correctifs sont réactifs et conçus pour permettre une correction manuelle ou automatique des erreurs
ou des irrégularités qui ont été détectées par des contrôles de détection comme, par exemple, la résolution de cas de paiements en
double dans un système de décaissement, les pistes d'audit ou les procédures de sauvegarde et de récupération.

Direction. Les contrôles directifs sont proactifs et causent ou encouragent la survenue d'un événement souhaitable. Parmi les
exemples de contrôles directifs figurent les lignes directrices, les programmes de formation et les mesures incitatives.

Atténuation. Les contrôles d'atténuation réduisent l'impact potentiel d'un événement qui pourrait se produire. Les assurances sont
un excellent exemple de contrôle d'atténuation.

Compensation. Ces contrôles visent à compenser l'absence d'un contrôle prévu. Par exemple, un examen rigoureux par un
superviseur peut compenser le manque de séparation des tâches lorsque cette séparation est rendue impossible par de faibles
effectifs.

Redondance. Les contrôles redondants ou de sauvegarde dupliquent un objectif de contrôle ou un contrôle secondaire qui
 fonctionne seulement lorsqu'un contrôle principal est défaillant, comme par exemple une cuve de débordement située sous un
réservoir contenant des substances toxiques.

Contrôles actifs / manuels et contrôles passifs / automatiques

Les contrôles peuvent être actifs ou passifs (manuels ou automatiques) :

Un contrôle actif ou contrôle manuel est une tâche qui consiste à empêcher ou détecter un écart par rapport à la procédure
approuvée. On peut le voir comme un contrôle qui fonctionne par une sorte d'intervention consciente. Nous pouvons citer comme
exemple l'examen de transactions par un responsable.

Un contrôle passif ou contrôle automatique fonctionne sans intervention humaine. Les contrôles intégrés dans le système
informatique ou une relation ou un processus qui possède des implications dans le contrôle en sont des exemples. On peut le voir
conne un contrôle qui fonctionne par sa simple existence. On peut illustrer ceci en prenant l'exemple d'un thermostat réglé pour
maintenir la température d'une pièce.

Contrôles formels et informels

L'expression « contrôles informels » est tirée d'une publication de Robert K. Mautz datant de 1980, intitulée Internal Control in U.S.
Corporations: The State of the Art (Le contrôle interne dans les entreprises américaines : l'état de la technique). Ce livre a
clairement influencé les auditeurs internes. De manière générale, les contrôles formels sont par nature plus scientifiques et les
contrôles informels plutôt orientés sur l'humain. Ces expressions peuvent être définies comme suit :

Contrôle formel. Ces contrôles ont tendance à être quantitatifs et objectifs, ce qui signifie que les tests d'audit traditionnels
peuvent être utilisés pour tester la conformité. Il s'agit, par exemple, d'inspecter des comptes rendus de réunion ou d'effectuer une
analyse mensuelle budget - coût réel.

Contrôle informel. Ces contrôles ont tendance à être qualitatifs et subjectifs et sont destinés à représenter la culture d'une
organisation, tel que l'état d'esprit ou les perceptions. Par exemple, les contrôles informels peuvent inclure des politiques pour
déterminer si les connaissances sont suffisantes pour corroborer des résultats ou étayer des conclusions.

L'illustration II-2 présente des exemples courants de ces deux types de contrôles.

Illustration II-2 : Contrôles internes formels et informels

L'évaluation de l'efficacité et de l'efficience du contrôle est un concept de base traditionnel de l'activité d'audit interne. Toutefois, se
concentrer uniquement sur les contrôles formels (par exemple, politiques et procédures documentées) au niveau des processus aboutit
à une évaluation incomplète. Pour évaluer le contrôle interne et fournir une assurance raisonnable à la direction générale et au conseil,
l'activité d'audit interne doit inclure les contrôles informels intangibles et subjectifs.

Contrôles informatiques
La technologie de l'information, tout comme la notion de contrôles à l'échelle de l'entité par rapport aux contrôles au niveau des
processus et des transactions, possède également des niveaux de contrôle permettant de gérer les risques associés aux systèmes
informatiques :

Contrôles généraux informatiques. Les contrôles généraux informatiques (ITGC) sont des contrôles mis en place à l'échelle de
l'entité qui s'appliquent à des processus informatiques généraux tels que la gestion du changement, le déploiement, la sécurité
d'accès et les opérations. Ils peuvent être appliqués à tous les systèmes d'information en général ou presque. Les contrôles
généraux informatiques se composent de contrôles de gouvernance, comme une politique de confidentialité, ainsi que de contrôles
de supervision de la direction, tels que les normes d'essai ou la séparation des fonctions informatiques.

Contrôles des applications ou contrôles techniques. Les contrôles des applications ou les contrôles techniques sont des
contrôles au niveau des processus ou des transactions qui sont généralement spécifiques à une application donnée, mais ils peuvent
également contrôler des procédés techniques plus importants, tels que les droits d'accès aux systèmes. Les contrôles des
applications sont parfois regroupés par fonction commune :
 Contrôles sur les entrées. Les contrôles sur les entrées permettent de vérifier l'intégrité des données lorsque celles-ci
sont saisies manuellement ou automatiquement dans un système. Par exemple, le total de contrôle vérifie que le bon nombre
d'enregistrements a été entré.

Contrôles de traitement. Les contrôles de traitement permettent de vérifier que les tâches de traitement de données sont
exactes, complètes et valides. Par exemple, on peut comparer le total de contrôle à différentes étapes du traitement.

Contrôles sur les sorties. Les contrôles sur les sorties permettent de vérifier que les sorties de données sont exactes,
complètes et valides. Nous pouvons citer comme exemple un contrôle permettant d'assurer que les données sorties sont
envoyées et reçues par les destinataires prévus et par aucun autre individu ou système.

Il existe un autre outil de contrôle informatique que l'on appelle la piste d'audit et qui est, en d'autres termes, un enregistrement
permanent de toute activité de saisie, de traitement et de sortie informatique. Les auditeurs peuvent consulter les journaux de
transactions, examiner la liste des contrôles exécutés ou les listes d'erreur.

Avantages/limitations du contrôle interne

Les organisations ne devraient pas avoir d'attentes irréalistes vis-à-vis du contrôle interne. Le contrôle interne a ses propres avantages
et limitations, comme indiqué à l'illustration II-3.

Illustration II-3 : Avantages et limitations du contrôle interne

Le jugement, les dérogations par la direction et tout autre facteur similaire assurent, dans la mesure du possible, que les contrôles
pourront atténuer les risques. D'autres facteurs peuvent réduire les avantages des contrôles :
Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
Faire trop confiance aux contrôles peut coûter plus cher que l'exposition dont ils sont censés protéger.
Trop d'importance accordée aux contrôles peut résulter dans le fait que les personnes se concentrent principalement sur le respect
des contrôles et perdent de vue les objectifs commerciaux.
Les changements et le temps peuvent rendre les contrôles obsolètes.
Si le personnel n'adhère pas aux contrôles ou s'il ne comprend pas les objectifs à atteindre, il peut y résister et la créativité et
l'esprit d'initiative peuvent s'en ressentir.

Rubrique 2 : Définir les types de techniques de contrôle de gestion

(Niveau A)
Les techniques de contrôle de gestion incluent la conception et l'évaluation des contrôles. L'évaluation de l'efficacité d'un contrôle (en
particulier les contrôles informels) nécessite souvent d'avoir une compréhension de base des styles de gestion, gestion des conflits et
gestion du changement. C'est la raison pour laquelle ces méthodes sont présentées à un niveau élevé dans cette rubrique.

Normes associées et Guides de mise en oeuvre

Vous retrouverez les Normes et Guides de mise en oeuvre relatives l'évaluation de l'efficacité et de l'efficience du contrôle interne
dans l'illustration II-4.

Illustration II-4 : Normes de contrôle interne et Recommandations associées

Conception et évaluation des contrôles
La boucle de contrôle est un concept utile lorsqu'il s'agit de consulter la direction au sujet de la conception des contrôles ou d'évaluer
la conception des contrôles existants. Une boucle de contrôle fonctionne par la mesure de l'état du contrôle à un point donné et sa
comparaison à un état souhaité du système. L'écart par rapport à l'état souhaité (erreur) est utilisé pour déterminer l'action corrective.
Comme le montre l'illustration II-5, le schéma forme une boucle, d'où le terme « boucle de contrôle ».

Illustration II-5 : Boucle de contrôle

Le processus intervenant dans une boucle de contrôle est le suivant :
1. Déterminer l'objectif que la direction a mis en place pour la fonction et pour l'entreprise dans son ensemble.
2. Établir la norme acceptable avant de commencer l'évaluation des contrôles.
3. Comparer les résultats réels par rapport aux normes établies au préalable.
4. Déterminer l'action corrective appropriée.

Les objectifs et les raisons des contrôles doivent être communiqués aux employés. Dans le cas contraire, les employés pourraient
considérer que ces contrôles ne sont pas nécessaires, qu'ils sont sans importance et qu'ils constituent une perte de temps. Les normes
établissent les performances attendues. Elles fournissent une base pour mesurer les objectifs à atteindre. Dans la mesure du possible,
les normes devraient être quantitatives. Des mesures qualitatives peuvent prêter à confusion et mener à une interprétation subjective
erronée. Si vous souhaitez utiliser une unité de temps spécifique (par exemple, cinq jours), il est important d'être précis plutôt que
d'utiliser « un intervalle de temps raisonnable ».

Malgré tout, un système de contrôle bien conçu ne suffit pas. La direction a besoin de la garantie que les contrôles fonctionnent
conformément à leur conception (c.-à-d. qu'ils sont efficaces). La direction des opérations devrait obtenir cette garantie par elle-
même, par une surveillance continue. Les évaluations effectuées séparément par des parties indépendantes (par exemple, des
auditeurs internes) offrent une plus grande assurance, notamment pour la haute direction et le comité d'audit.

Les auditeurs internes évaluent généralement l'efficacité d'un contrôle en sélectionnant un échantillon de cas où le contrôle aurait dû
être appliqué et en effectuant des tests pour déterminer si le contrôle a été correctement appliqué dans chaque cas. Nous
examinerons les approches les plus largement utilisées pour tester les contrôles dans la Section III « Conduite des missions d'audit –
Outils et techniques d'audit ».

Les entreprises peuvent mettre en œuvre différentes techniques pour documenter, évaluer et rendre compte de la pertinence des
contrôles internes. Quelles que soient les techniques utilisées, certaines caractéristiques universelles permettent de distinguer les
systèmes efficaces :
L'identification opportune des écarts potentiels ou réels afin de limiter l'exposition à des risques coûteux.
La garantie raisonnable d'atteindre les objectifs prévus à un coût minimal, avec le moins d'effets secondaires indésirables possible.
Une responsabilité claire qui aide le personnel à remplir les fonctions attribuées.
Un placement efficace (p. ex. lorsque la mesure est la plus pratique ou qu'il reste du temps pour l'action corrective).
Une identification de la cause d'origine pour permettre une action corrective appropriée.
Une cohérence avec les stratégies de la direction et les objectifs commerciaux.

Comme le montre l'illustration II-6, pour qu'un système de contrôle soit efficace, les membres de l'organisation ont tous un rôle à jouer
dans la mise en œuvre des contrôles internes.

Illustration II-6 : Responsabilités de l'organisation relatives au contrôle interne

Évaluation de l'efficacité du contrôle informel
Les auditeurs internes doivent souvent dépasser les techniques traditionnelles d'audit lors de l'évaluation de l'efficacité des contrôles
informels.

Auto-évaluation des contrôles (CSA - « Control self-assessment »)

L'auto-évaluation des contrôles (CSA) est une méthode particulièrement utile qui permet d'évaluer les contrôles informels. La CSA
désigne diverses techniques d'évaluation, y compris des ateliers animés et des enquêtes au cours desquels l'évaluation est effectuée
non pas par une partie indépendante mais par des personnes en charge du domaine ou du processus qui est évalué.

Bien que le manque d'indépendance réduise la fiabilité des résultats, l'expérience nous montre qu'une technique de CSA rigoureuse et
bien élaborée produit des résultats plutôt fiables. Et ces résultats sont souvent beaucoup plus solides que ceux obtenus par un tiers
indépendant ayant examiné des preuves objectives. Si les participants à la CSA ont l'assurance que leur honnêteté ne se retournera
pas contre eux, cette technique peut les aider à identifier des points faibles du contrôle auxquels ils ne penseraient pas spontanément
ou qu'ils ne révèleraient pas à un évaluateur indépendant. Cela est particulièrement vrai dans le cas des points faibles des contrôles
informels.

La CSA est mise en place dans un environnement structuré dans lequel un processus itératif est abondamment documenté. Le
processus de CSA permet à la direction et/ou aux équipes de travail d'une fonction commerciale d'effectuer les tâches suivantes :
Prendre part à l'évaluation du contrôle interne.
Évaluer le risque.
Développer des plans d'actions pour traiter les points faibles identifiés.
Évaluer la probabilité d'atteindre les objectifs commerciaux.

Certes, les avantages spécifiques qu'une organisation pourra tirer de la CSA peuvent varier. Mais les organisations peuvent
raisonnablement constater deux types d'améliorations importantes que nous allons maintenant aborder.
 Informations importantes sur le contrôle interne. Le processus de CSA fournit des informations utiles à la direction et aux
auditeurs internes pour pouvoir évaluer la qualité du contrôle. Il complémente de manière efficace l'audit interne. L'auto-évaluation
des contrôles offre au personnel de l'audit interne et des opérations un moyen de collaborer pour évaluer une opération. Cette
synergie permet à l'audit interne de prendre en charge la fonction de supervision de la direction en améliorant la quantité et la
qualité des informations disponibles.

Une influence positive sur l'environnement de contrôle. En raison de sa nature participative, la CSA vise à favoriser
l'engagement du personnel chargé des opérations. Les participants en apprennent davantage sur les contrôles et leur propre
responsabilité en matière de gestion des risques. La sensibilisation aux contrôles est accrue. Le personnel chargé des opérations
s'implique au niveau de l'exécution des contrôles et du maintien d'un environnement de contrôle efficace, lequel contribue à
atteindre les buts et objectifs de l'organisation.

Pour les professionnels de la CSA, l'IIA propose la certification Spécialiste de l'auto-évaluation des contrôles (CCSA, Certification in
Control Self-Assessment). Cette certification prouve une connaissance des domaines tels que l'identification et l'évaluation des
risques, ainsi que la théorie et l'application du contrôle.

Pour plus d'informations sur l'auto-évaluation des contrôles, vous pouvez consulter le site Web de l'IIA www.theiia.org.

Exemples de problèmes de contrôle informel que les auditeurs internes doivent

résoudre
Parmi les exemples de problèmes de contrôle informel que les auditeurs internes doivent être en mesure de résoudre figurent les
implications liées aux besoins organisationnels, à l'organigramme, aux styles d'encadrement, aux styles de gestion, à la gestion du
changement et à la gestion des conflits.

Implications liées à des besoins organisationnels différents

Une philosophie « descendante » influence souvent le comportement des employés. Par exemple, lorsque la direction inculque à un
vendeur de faire du chiffre par tous les moyens possibles. Le vendeur peut ignorer les politiques, les procédures, l'éthique et l'intégrité
qui font normalement partie du processus dans le but de réaliser une vente.

Implications liées à des organigrammes différents

Les mesures de contrôle ne sont pas transférables à d'autres organisations. Le COSO souligne que même si deux organisations ont
des objectifs identiques et des stratégies similaires quant à la façon d'atteindre leurs objectifs, les activités de contrôle sont différentes
car elles dépendent de caractéristiques organisationnelles telles que l'environnement et le secteur, la taille et la complexité, la nature et
la portée des opérations, l'histoire et la culture, et l'appréciation personnelle qui affecte le contrôle.

Plus une organisation est grande et complexe, plus les enjeux et les défis en matière de risque et de contrôle sont importants. Par
rapport aux organisations de petite taille ayant des activités moins variées, les organisations plus grandes ont des activités plus
diversifiées et il y a donc beaucoup plus de facteurs à prendre en compte.

Implications liées à des styles d'encadrement différents

Les différents styles d'encadrement vont au-delà de la portée de cette discussion. Mais étant donné que l'encadrement est lié aux
risques et au contrôle, il faut prendre en compte les concepts d'autoritarisme et d'autonomisation car ils ont des conséquences
importantes.

L'autoritarisme fait référence à la rigidité des croyances d'un responsable. Parmi les caractéristiques d'un responsable en faveur de
l'autoritarisme figurent :
Style de gestion descendant, le responsable prenant les décisions et ses subordonnés les exécutant.
Adhésion rigide aux valeurs conventionnelles et autorité reconnue.
Fermeté et pouvoir, par opposition aux sentiments subjectifs.
Idées acceptées ou rejetées en fonction de l'autorité acceptée.

L'autonomisation signifie que les employés ont le pouvoir de prendre des décisions et d'agir dans leurs domaines sans autorisation
préalable. Dans un environnement autonome, un responsable :
S'engage en faveur de l'autonomisation et promeut le concept ;
Délègue les connaissances, la responsabilité et l'autorité aux individus exécutant effectivement les processus commerciaux ;
S'assure que la direction et les employés ont accès aux informations commerciales critiques ;
S'assure que la direction et les employés disposent de l'autorité et de la discrétion nécessaires pour prendre les mesures adéquates,
et de l'opportunité d'apporter de précieuses contributions.

Pour réussir à mettre en œuvre l'autonomisation au sein d'une organisation, les responsables doivent équilibrer leur besoin de contrôler
avec l'octroi de suffisamment de liberté aux autres pour que ceux-ci puissent agir de leur propre chef. Ce transfert d'autorité requiert
de travailler avec ses subordonnés pour établir des attentes, des responsabilités et des limites claires à l'autonomisation dans toute
l'organisation. Il est important que tout le monde soit conscient de ses responsabilités et des limites de son autorité en matière de
gestion des risques et de contrôles connexes, ainsi que de la façon dont toutes les actions sont liées aux buts et objectifs de
l'organisation.

Si un responsable est autoritaire ou est en faveur de l'autonomisation, cela affectera non seulement la façon dont l'organisation est
gérée, mais aussi les types de risques acceptés par l'entreprise. Par exemple, les responsables autoritaires peuvent être plus réticents
à prendre des risques ayant d'importantes conséquences réglementaires ou économiques. Un responsable autoritaire institue
généralement une culture basée sur davantage de politiques écrites, d'indicateurs de performances, de rapports d'exception et autres
documents similaires. Dans un environnement autonomisé, les décisions en matière de risques sont prises à des niveaux inférieurs. Le
contrôle est davantage assuré par la vision, les valeurs, les recommandations générales et les échanges en face à face avec le
personnel clé que par des documents écrits. Dans une culture autonomisée, il est très important que les employés soient bien formés
et prennent en compte les limites de l'autorité qui leur est conférée en matière de prise de risque.

Le style d'encadrement peut être efficace s'il est adapté à la situation. Un responsable autoritaire convient parfaitement lorsque le
personnel exécute des tâches répétitives nécessitant un minimum de réflexion et dont les membres ne se motivent ni ne se disciplinent
eux-mêmes. Un style identique pourrait susciter du ressentiment et mener à une défaillance du contrôle si une équipe se sent frustrée
lorsqu'elle n'est pas en mesure de prendre des décisions.

Il faut aussi prendre en compte les conséquences que ces deux types d'encadrement peuvent avoir en matière d'audit interne. La
fonction d'audit interne devrait pouvoir accéder sans réserve à la direction et au comité d'audit. Certaines personnes extrêmement
autoritaires peuvent poser des problèmes particuliers. On peut imaginer un scénario où, par exemple, se conformer strictement à
l'autorité d'un supérieur favoriserait un comportement contraire au Code de déontologie et ne permettrait pas d'avoir accès à la
direction et au comité d'audit.

Implications liées à des styles de gestion différents

Il existe quatre modèles de gestion qui ont évolué au fil des années, comme le montre l'illustration II-7.

Illustration II-7 : Modèles de gestion

Le modèle de gestion ou la combinaison de modèles que les auditeurs internes rencontrent peut avoir un effet important sur la nature
de l'audit qu'ils doivent mener et la nature de la relation entre auditeur et direction.

Les personnalités, l'attitude et les relations entre la direction des opérations et l'audit interne posent des défis et pourraient déstabiliser
certaines missions. Le continuum de l'organisation, que l'on peut voir à l’illustration II-8 sur la page suivante, donne un meilleur aperçu
des implications liées aux différents styles de gestion que les auditeurs internes doivent comprendre pour favoriser la réussite des
missions.

Implications liées à la gestion du changement

Aujourd'hui, de l'aveu général, le succès futur et même la survie d'une organisation peuvent dépendre de sa capacité à anticiper et à
répondre aux changements prévisibles ou inattendus. La gestion du changement est un processus continu de planification et
d'orientation des changements qui se produisent au sein d'une organisation pour obtenir le résultat souhaité. Cela implique qu'il est
possible d'introduire délibérément un changement et de diriger l'initiative, plutôt que de laisser un changement se produire
spontanément, souvent de manière imprévisible. Une organisation qui s'engage à s'améliorer de façon continue doit avoir mis en place
des pratiques efficaces de gestion du changement.

Dans une certaine mesure, la gestion du changement est à la fois un art et une science. Elle nécessite réflexion, apprentissage,
intelligence, habileté, ténacité et inventivité. Souvent, ce qui différencie les gagnants des perdants, est le fait de pouvoir répondre
rapidement au consommateur, aux demandes du marché et à tout autre type de changement, et ce de manière plus efficace que la
concurrence.
Les changements de procédures, de formules, de flux, de spécifications de production, etc., sont souvent effectués régulièrement et
peuvent être facilement planifiés et réalisés. Les changements de comportements, des modes de pensées et d'attitudes doivent aussi
être planifiés mais prennent plus de temps à mettre en œuvre. Il peut être plus dur d'en mesurer les résultats.

Techniques de gestion du changement

Les organisations qui ont du succès ont mis en place une approche proactive qui leur permet d'anticiper et de répondre aux
changements. Elles précèdent littéralement le changement et ne se contentent pas d'attendre les bras croisés qu'il se produise. Elles
disposent également de mécanismes pour aider les membres de l'organisation à assimiler de manière efficace et efficiente le
changement.

Il existe beaucoup de modèles éprouvés de gestion du changement. Par différents moyens, ils ont tous tendance à :
Créer un environnement propice au changement.
Faciliter le changement.
Suivre les progrès par rapport au plan, pour vérifier si les résultats escomptés ont été obtenus.
Transmettre les mises à jour concernant les progrès et les résultats.

En définitive, un modèle efficace de gestion du changement permet à une organisation de passer progressivement de sa position
actuelle à un meilleur état opérationnel.

En fonction de la nature spécifique du changement, différents niveaux de direction devraient être impliqués. Par exemple, dans le cas
de changements majeurs (par exemple, fusions ou acquisitions), les cadres supérieurs se trouvent dans une position unique pour
valider et légitimer le changement. Ils peuvent prendre part à la définition de la stratégie de l'organisation en matière de gestion du
changement, fondée sur l'exemple, et endosser la responsabilité globale de son succès. Les responsables de première ligne et les
responsables intermédiaires qui dirigent les opérations au quotidien peuvent aider les employés à mettre en place le changement, gérer
le progrès par rapport au plan, modifier les incitations et les sanctions pour s'aligner sur de nouveaux objectifs et œuvrer dans le but
d'éliminer les obstacles aux processus.

Obstacles organisationnels au changement

La gestion du changement a été comparée à un numéro d'équilibriste : la clé ne réside pas dans un traitement isolé des processus et
des segments de l'initiative, mais dans le suivi d'une approche holistique de l'interconnexion entre les différents segments, de l'impact
de la modification d'un élément sur les autres, et de l'effet du séquencement et du rythme sur l'ensemble de l'initiative.
Réussir la gestion du changement n'est pas tâche aisée. Malgré les processus suggérés, les informations et les enseignements acquis
auprès d'autrui, les approches de la gestion du changement doivent venir à bout de nombreux obstacles, souvent enracinés dans la
sagesse populaire, qui peuvent nuire à une initiative de changement. L'un des points fondamentaux de toute initiative de changement
réside dans l'identification de tels obstacles, l'évaluation de leur importance et du risque qu'ils présentent, et la planification du meilleur
moyen de les aborder. Les plus importants obstacles au changement sont souvent internes à la structure et la culture d'une
organisation.

Les obstacles culturels sont généralement ancrés dans les attitudes et les croyances réactionnaires. La défiance, la peur du
changement et même l'échec de la direction à créer une vision commune peuvent saper un effort de changement. Les exemples
suivants illustrent des obstacles culturels de base et des solutions générales :

Le changement ne se résume pas uniquement aux tâches concrètes : le « travail mental » doit aussi être intégré au
processus et un sentiment d'urgence doit être créé. Le changement est souvent personnel et, par conséquent, implique les
sentiments. Les organisations qui souhaitent obtenir l'assentiment de leurs employés doivent accepter le fait que la gestion des
émotions est une part importante du processus. Dans la plupart des initiatives de changement réussies, les organisations
communiquent clairement le besoin de changement et établissent un lien avec leurs employés à travers des valeurs.

La confiance est essentielle mais souvent difficile à établir quand on en a le plus besoin. Une vision directrice doit
alors être mise en place. La confiance peut décider du sort d'un effort de changement. Toutefois, si les nouveaux processus
sont alignés sur une vision qui dirige l'effort de changement et que des stratégies et des objectifs sont en place, la résistance au
changement peut être surmontée. Lorsque les employés peuvent constater que la gestion des risques et les contrôles sont mis en
place pour soutenir le changement, on obtient généralement les résultats attendus. Les employés doivent comprendre leurs rôles et
responsabilités.

Les structures organisationnelles sont susceptibles d'introduire des obstacles structurels au niveau des efforts de changement. Par
exemple, les structures hiérarchiques ou verticales peuvent encourager le cloisonnement, chaque service se focalisant sur ses propres
intérêts, procédures et membres, plutôt que d'encourager la coopération avec d'autres groupes et l'effort de changement. Cette
isolation structurelle peut augmenter l'efficacité des groupes individuels, mais aussi nuire à la capacité d'une organisation à apporter
des changements.

Les structures horizontales peuvent produire des barrières à la communication entre les niveaux de direction. Par exemple, les
informations potentiellement négatives à un niveau peuvent être déformées et filtrées avant d'être transmises à un niveau de direction
supérieur. Les plans de la direction peuvent également ne pas être communiqués du tout aux employés de première ligne.

Le meilleur moyen de franchir les obstacles structurels consiste à promouvoir à travers l'organisation des priorités partagées et un flux
d'informations ouvert.

Implications liées à la gestion des conflits

Un conflit survient quand des parties ne s'entendent pas sur des questions de fond ou quand des antagonismes émotionnels prennent le
dessus et causent un désaccord entre les parties. Lorsque plusieurs parties sont en conflit, chacune a tendance à croire que ses
demandes sont fondamentalement incompatibles avec celles des autres parties. Le but important dans la gestion des conflits est de
faire le nécessaire pour arriver à une résolution – une situation dans laquelle les raisons sous-jacentes du conflit sont éliminées.

Types de conflit au sein de l'organisation :

Le fait est que le conflit fait inévitablement partie des interactions au sein d'une organisation. Quelques causes de conflit potentielles
que l'on rencontre souvent sont résumées à l'illustration II-9.

Illustration II-9 : Causes les plus courantes de conflits au sein d'une organisation
Bien que la résolution d'un conflit puisse être difficile, la manière dont le conflit est géré distingue les expériences constructives des
expériences susceptibles de générer des dysfonctionnements pour les individus, les groupes ou l'organisation.

Le conflit constructif (ou conflit positif) mène à des résultats positifs. Ce type de conflit peut transformer l'interaction entre les
personnes et améliorer la qualité de la résolution des conflits. Voici quelques exemples de résultats positifs :
Mise au jour de problèmes importants afin de les régler.
Analyse de problèmes et prise de décisions.
Augmentation des opportunités de faire preuve de créativité.
Meilleurs dynamique et résultats des équipes.

Le conflit dysfonctionnel (ou conflit destructeur) mène à des expériences qui portent préjudice aux relations et ralentissent le
progrès. Ce type de conflit porte préjudice aux individus et aux groupes, et son effet sur l'organisation est négatif. Conflits
interpersonnels (où le nœud du conflit se situe au niveau des personnes et/ou des personnalités), mauvaises cohésion et performances
de l'équipe, réduction de la productivité des employés et de leur satisfaction vis-à-vis de leur emploi, et rotation du personnel sont
quelques-unes des conséquences négatives possibles.

Les auditeurs internes doivent comprendre la gestion des conflits pour plusieurs raisons :
Tous les conflits décrits à l'illustration II-9 peuvent être considérés comme des causes fondamentales de défaillance de contrôle.
Lors de l'exécution d'activités de conseil ou d'assurance dans un domaine engagé dans un conflit, l'auditeur interne doit faire
preuve de diplomatie avec chacune des parties et veiller à ne pas « prendre parti » ou être impliqué de quelque manière que ce soit
dans le conflit.
Les auditeurs internes peuvent parfois aider la direction à résoudre un conflit, en particulier lorsque celui-ci est lié à un problème
d'audit.

Approches de gestion des conflits

Les organisations considèrent de plus en plus les conflits comme une source vitale d'énergie qui peut libérer leur créativité et leur
permettre d'innover, d'évoluer et de se développer. L'important est de gérer activement un conflit quand il se produit.

Un conflit peut être traité de plusieurs manières : Les trois techniques les plus courantes sont la négociation raisonnée, le
brainstorming et le vote multiple.

La négociation raisonnée (IBB, Interest-based bargaining) suppose que le fait de comprendre ce que ressentent les parties
permet de révéler des intérêts communs et de produire des choix innovants, ce qui résulte en des solutions plus durables et un gain
mutuel. L'IBB se concentre sur les problèmes plutôt que sur les personnalités, sur le présent et le futur plutôt que sur le passé, et
sur les intérêts sous-jacents aux problèmes et pas seulement sur les positions.

Le brainstorming fournit une méthode commune pour que les parties puissent générer un important volume d'idées de manière
 créative et efficace dans un environnement libre de critiques et jugements. Globalement, les étapes du brainstorming permettent à
toutes les parties de participer à égalité et d'élargir leur perception des dimensions du problème. Ceci élargit le spectre des
solutions possibles.

Le vote multiple permet à des groupes de réduire une longue liste d'enjeux, de problèmes ou de solutions par le biais d'une série
structurée de votes. La stratégie consiste en un processus collaboratif qui permet de sélectionner les éléments les plus importants.

Les méthodes de collaboration et de résolution de problèmes sont un bon moyen de favoriser une véritable résolution du conflit.
Cependant, comme montré à l'illustration II-10, il peut y avoir d'autres situations où d'autres approches sont à préférer.

Illustration II-10 : Autres approches de gestion des conflits

 Chapitre B : Caractéristiques et utilisation des
référentiels de contrôle interne
Introduction du chapitre
Les organisations définissent des buts et des objectifs, puis évaluent les risques liés à l'atteinte de ces objectifs. Une stratégie de
contrôle et des contrôles internes permettent de faciliter la réalisation des opérations, de protéger les ressources et d'améliorer la
probabilité que les objectifs seront remplis.

Ces contrôles peuvent être des politiques, des procédures et des activités concrètes ou peuvent être intégrés au niveau d'aspects
comportementaux moins concrets, tels que les valeurs éthiques. Ils sont conçus par la direction et mis en place dans le but de contenir
les risques dans les limites de tolérance au risque fixées par le processus de gestion des risques de l'organisation, afin d'atteindre les
objectifs commerciaux à moindre coût.

Toutefois, un contrôle interne efficace ne se limite pas à la mise en œuvre d'un éventail de procédures. Le contrôle interne est un
processus dynamique qui se retrouve à tous les niveaux d'une organisation.

Un cadre de contrôle est un système reconnu de concepts qui englobe tous les éléments du contrôle interne. Les organisations
recourent de plus en plus aux cadres de contrôle pour élaborer des systèmes de contrôles internes.

Les cadres publiés par le Committee of Sponsoring Organizations of the Treadway Commission (COSO), le modèle CoCo de l'Institut
canadien des comptables agréés (Canadian Institute of Chartered Accountant) et le modèle Cadbury de l'Institut des comptables
agréés en Angleterre et au Pays de Galles (Institute of Charter Accountants in England and Wales) sont des exemples représentatifs
largement utilisés. Ces modèles définissent le contrôle en matière de gestion des risques par rapport aux objectifs et définissent les
mesures spécifiques qui permettent de le mettre en place. L'intégration et l'adoption de divers éléments tirés de ces modèles dans un
système de contrôle aident la direction et les organismes de surveillance à réaliser les objectifs stratégiques.

Quel que soit le cadre de contrôle utilisé au sein d'une organisation, celui-ci permet de documenter et de rendre compte de la
pertinence des contrôles internes. L'activité d'audit interne évalue l'efficacité et l'efficience du contrôle en fonction des critères du
cadre de contrôle, et détermine si les contrôles en place sont adaptés pour atténuer les risques qui pèsent sur l'organisation.

Ce chapitre explore le référentiel La pratique du contrôle interne – COSO Report (Internal Control – Integrated Framework),
le modèle Cadbury, le modèle CoCo, le Rapport King sur la gouvernance d'entreprise et la publication du COSO intitulée Contrôle
interne sur l'information financière – Lignes directrices à l'intention des petites sociétés ouvertes (Internal Control Over
Financial Reporting – Guidance for Smaller Public Companies).

Rubrique 1 : Avoir une bonne compréhension du référentiel La

pratique du contrôle interne – COSO Report (Internal Control –
Integrated Framework) (Niveau P)
Le cadre de contrôle interne du COSO est décrit dans le référentiel La pratique du contrôle interne – COSO Report (Internal
Control – Integrated Framework), publié en 2013.

Objectifs du COSO
Selon le modèle su COSO, le contrôle interne fournit à une organisation une assurance raisonnable quant à la réalisation des objectifs
dans les domaines suivants :

Efficacité et efficience des opérations. Cette catégorie concerne les objectifs commerciaux de base d'une organisation, y
compris les performances, la rentabilité et la protection des ressources.

Fiabilité du reporting financier. Le reporting financier englobe la préparation d'états financiers fiables et d'autres états
sélectionnés (par exemple, les publications de résultats) tirés des données des états financiers et communiqués publiquement.

Conformité avec les lois et règlements applicables. Cette catégorie regroupe les lois et règlements qui s'appliquent à
l'organisation.

Composantes du COSO
Les cinq composantes du cadre de contrôle interne du COSO sont résumées à l'illustration II-11.

Illustration II-11 : Composantes du contrôle interne du COSO

Les effets de synergie et les liens entre ces composantes forment un cadre intégré. Le référentiel La pratique du contrôle interne –
COSO Report, décrit ce qui suit succinctement : « L'environnement de contrôle établit une atmosphère où les personnes mènent
leurs activités et exercent leurs responsabilités de contrôle. Il sert de base aux autres composantes. Dans cet environnement, la
direction évalue les risques liés à la réalisation des objectifs fixés. Les activités de contrôle sont mises en œuvre pour faire en sorte
que les directives de la direction concernant la gestion des risques soient respectées. Parallèlement, les informations pertinentes sont
recueillies et communiquées dans toute l'organisation. L'ensemble du processus est surveillé et modifié selon les circonstances ».

Relation entre objectifs et composantes dans le cadre du COSO

Semblable au modèle de gestion des risques de l'entreprise du COSO (qui sera examiné plus bas dans cette section), le cadre de
contrôle interne du COSO établit un lien direct entre les objectifs organisationnels (ce que l'entité cherche à atteindre) et les
composantes (qui représentent ce dont on a besoin pour atteindre les objectifs). La matrice cubique tridimensionnelle de l'illustration
II-12 schématise ce lien.

Illustration II-12 : Matrice du contrôle interne du COSO

Notez les caractéristiques suivantes de la matrice du COSO.
Les colonnes représentent les trois catégories d'objectifs.
Les lignes représentent les cinq composantes.
Les unités ou les activités d'une entité sont représentées par la troisième dimension.

Les objectifs et les composantes se recoupent. Par exemple, comme le montre la section détaillée, les informations financières et non
financières produites par les sources internes et externes font partie de la composante d'informations et de communication. Les
informations portent sur les trois catégories d'objectifs, car elles permettent de :
Gérer efficacement les opérations commerciales.
Développer des états financiers fiables.
Déterminer si une entité est conforme aux lois applicables.

L'environnement de contrôle du COSO

Le COSO indique que l'environnement de contrôle est la partie la plus importante du cadre, car il est au cœur de toute organisation :
ses membres (leurs compétences et leurs valeurs sociales et éthiques) et son environnement d'exploitation. L'environnement de
contrôle constitue la base de toute autre activité et joue un rôle moteur dans l'évolution de l'organisation. Les rapports COSO et CoCo
(ce dernier est décrit plus loin dans ce chapitre) précisent tous deux que la profession ne peut pas simplement tester les procédures
formelles de contrôle. En particulier, les sept facteurs qui composent l'environnement de contrôle du COSO (voir Illustration II-13)
comprennent des éléments informels de contrôle interne qui servent de base à des contrôles internes plus stricts.

Illustration II-13 : Facteurs liés à l'environnement de contrôle du COSO

Pour évaluer efficacement le côté informel du contrôle, il est nécessaire de réaliser cette évaluation d'un point de vue différent de
celui traditionnellement utilisé dans le cadre des contrôles de processus. Les professionnels expérimentés savent bien qu'il n'existe pas
de solution universelle. Toute méthode doit être adaptée.

Le cadre de contrôle du COSO est pertinent pour tous les secteurs d'activités. Pour plus d'informations sur le cadre de contrôle du
COSO, vous pouvez consulter le référentiel intitulé La pratique du contrôle interne – COSO Report (Internal Control –
Integrated Framework) ou le site du COSO à l'adresse suivante www.coso.org.
Rubrique 2 : Avoir une bonne compréhension des cadres de contrôle
alternatifs (Niveau A)
Le modèle Cadbury
Le modèle Cadbury a été publié par l'Institut des comptables agréés d'Angleterre et du Pays de Galles (ICAEW, Institute of Charter
Accountants in England and Wales) en 1994. Les éléments du modèle Cadbury sont assez similaires aux composantes du COSO :

Environnement de contrôle. L'attitude et les actions des directeurs, de la direction et des employés qui déterminent l'importance
du contrôle dans l'organisation.

Identification et évaluation des risques et des objectifs de contrôle. L'identification et l'analyse des risques commerciaux
pertinents en temps opportun.

Informations et communication. Les indicateurs de performance, les systèmes d'informations et tout autre système qui diffusent
les bonnes informations aux bonnes personnes pour leur permettre de s'acquitter de leurs responsabilités.

Procédures de contrôle. Les politiques et procédures ou les activités de contrôle qui facilitent l'exécution des directives de
gestion afin d'assurer la conformité.

Surveillance et actions correctives. Le processus de surveillance qui permet d'évaluer la qualité de la performance du système
de contrôle interne et produit des rapports sur les changements et les actions correctives nécessaires pour combler les lacunes.

Bien que le modèle Cadbury reconnaisse que le conseil est responsable du spectre complet du contrôle interne, il confine le reporting
sur le contrôle au domaine du reporting financier. De ce fait, en 1999, l'ICAEW a publié les recommandations Turnbull, qui élargissent
le concept au-delà du champ des contrôles financiers.

Pour plus d'informations sur le modèle Cadbury, consultez le site Web de l'ICAEW à l'adresse www.icaew.co.uk. Vous trouverez des
informations supplémentaires sur les recommandations Turnbull au Chapitre C, Rubrique 3, de cette section.

Critères de contrôle (CoCo)

En 1995, l'Institut canadien des comptables agréés (ICCA) a publié un rapport intitulé Guidance on Control (Recommandations sur
le contrôle) et a présenté un modèle de contrôle appelé Critères de contrôle (CoCo). Le modèle CoCo définit de façon générale le
contrôle interne comme étant l'ensemble des mesures qui permettent d'optimiser les résultats d'une organisation. Selon le modèle
CoCo, le contrôle implique « les éléments d’une organisation (incluant ressources, systèmes, processus, culture, structure et tâches)
qui, pris ensemble, aident les membres à accomplir les objectifs de l’organisation ».

Le modèle CoCo s'appuie sur le COSO. Les objectifs sont élaborés et communiqués. Les objectifs organisationnels du modèle CoCo
sont semblables à ceux du COSO et sont centrés autour de l'efficacité et de l'efficience des opérations, la fiabilité du reporting interne
et externe, et la conformité aux lois et règlements applicables ainsi qu'aux politiques internes.

Le modèle CoCo présente quatre composantes interdépendantes.

Mission. La mission, la vision, la stratégie, les risques et opportunités, les politiques, la planification et les objectifs et indicateurs
de performance qui constituent un objectif clair pour les critères de contrôle et que les personnes peuvent ainsi comprendre.

Engagement. Les valeurs éthiques, l'intégrité, les politiques de ressources humaines, l'autorité, la responsabilité et la confiance
mutuelle qui favorisent l'engagement envers les principes de contrôle.

Capacité. Les connaissances, les compétences, les outils, les processus de communication, les informations, la coordination et les
activités de contrôle qui fournissent aux gens les ressources et les compétences nécessaires pour participer à la conception et à la
mise en place de contrôles corrects afin de pouvoir évaluer les risques.

Surveillance et apprentissage. La surveillance des environnements et performances internes et externes ainsi que la remise en
cause des hypothèses, la réévaluation des besoins en informations et des systèmes d'informations, la réalisation des procédures de
suivi et l'évaluation de l'efficacité du contrôle.

Le modèle CoCo présente 20 critères de contrôles spécifiques au niveau de ces composantes de contrôle. Il indique que ces
20 critères doivent être en place pour que le contrôle interne soit efficace. Pour plus d'informations sur le cadre de contrôle du modèle
CoCo, visitez le site Web de l'ICCA à l'adresse suivante : www.cica.ca.

Le Rapport King sur la gouvernance d'entreprise

Le Rapport King sur la gouvernance d'entreprise a été promulgué en Afrique du Sud par le Comité King sur la gouvernance
d'entreprise. Le premier de ces rapports (King I) a été publié en 1994, le deuxième (King II) en 2002, le troisième (King III) en 2009
et le plus récent (King IV) en 2016. Le rapport a été adopté par de nombreuses organisations à l'échelle mondiale en tant que modèle
des meilleures pratiques pour l'élaboration d'un cadre de gouvernance d'entreprise.

Le Rapport King I fournit un modèle de bonne gouvernance qui nécessite une approche intégrée incluant les intérêts des parties
prenantes et met l'accent sur le bilan environnemental et social, en plus du bilan économique (en d'autres termes, il s'agit de la
responsabilité sociale des entreprises, comme décrit dans la Partie 3).

Le Rapport King II ajoute un Code de pratiques et de conduites des entreprises qui peut être adopté par n'importe quelle organisation
au niveau de son cadre de gouvernance. Le Code contient un ensemble de principes de bonne gouvernance d'entreprise :
Discipline. Les organisations s'engagent à se comporter d'une manière disciplinée qui est universellement acceptée comme
appropriée et correcte.
Transparence. Les organisations s'engagent à faciliter l'analyse des activités de l'organisation par des tiers.
Indépendance. Les organisations sont autonomes et peuvent gérer ou éviter les conflits.
Responsabilité. Les organisations doivent développer des moyens d'accepter et de reconnaître les conséquences positives et
négatives de leurs actions.
Responsabilisation. Les organisations doivent concevoir des mesures correctives au niveau de tous les processus et tenir compte
des besoins des parties prenantes dans le cadre de la prise de décision.
Équité. Les organisations doivent établir un équilibre entre des intérêts contradictoires.
Responsabilité sociale. Les organisations doivent intégrer des programmes de responsabilité sociale des entreprises dans leur
modèle d'entreprise principal.

Le Rapport King II porte sur le rôle et la fonction de l'audit interne ainsi que sur les exigences spécifiques de reporting, comme
l'approbation des nominations et révocations du RAI par les comités d'audit. Il souligne également l'importance de la mise en place
d'un plan d'audit basé sur une évaluation des risques et sur les problèmes que le comité d'audit et la direction générale jugent
nécessaire d'examiner.

Le Rapport King III met l'accent sur un leadership efficace basé sur un fondement éthique et sur la nécessité de repenser
fondamentalement l'organisation autour du concept de durabilité. L'innovation, l'équité et la collaboration sont des outils clés
permettant d'assurer la durabilité. Les auditeurs internes jouent également un rôle clé dans le maintien d'une bonne gouvernance et le
développement de la stratégie organisationnelle. Le Rapport King III met en évidence la nécessité d'utiliser un audit axé sur les
risques, en déclarant : « Un audit interne fondé sur la conformité ajoute peu de valeur à la gouvernance d'une entreprise, car il évalue
simplement le respect des procédures et processus existants sans évaluer si oui ou non la procédure ou le processus est un contrôle
adéquat. Une approche fondée sur les risques est plus efficace, car elle permet à l'audit interne de déterminer si les contrôles sont
efficaces dans la gestion des risques qui découlent de la direction stratégique qu'une entreprise, par le biais de son conseil, a décidé
d'adopter. » Le rapport recommande ensuite que les auditeurs internes évaluent l'efficacité générale du système de contrôle interne
(environnement de contrôle) et des processus de gestion des risques.

Le Rapport King IV remplace le Rapport King III dans son intégralité. Il est fondé sur les principes et les résultats, plutôt que sur les
règles, en mettant l'accent sur la transparence et les divulgations ciblées et bien réfléchies. Alors que King III a appelé les entreprises
à postuler ou à expliquer, King IV suppose l'application de tous les principes et exige que les entités expliquent comment les principes
sont appliqués.

Contrôle interne sur l'information financière – Lignes directrices à l'intention des

petites sociétés ouvertes, COSO
Le COSO a publié un ensemble de lignes directrices en 2006 appelé Contrôle interne sur l'information financière – Lignes
directrices à l'intention des petites sociétés ouvertes, en partie pour aider les organisations à se conformer aux exigences de la loi
Sarbanes-Oxley en matière de documentation et de procédures de test de contrôle. Ces conseils peuvent être particulièrement utiles
pour les petites entreprises publiques ou celles qui ont des activités d'audit interne moins évoluées. Ces lignes directrices sont aussi
particulièrement utiles pour les grandes organisations. Mis à jour en 2013, elles contiennent un ensemble de 17 principes divisés en
cinq catégories, des méthodes d'application pour chaque principe et des exemples sur la façon dont ils peuvent être appliqués.
L'illustration II-14 offre un aperçu de ces principes.

Illustration II-14 : Principes du COSO 2013 pour la réalisation du contrôle interne à l'égard du reporting financier
 Chapitre C: Lexique du risque et concepts
Introduction du chapitre
Qu'est-ce que la gestion des risques ?
Le glossaire des Normes définit la gestion des risques comme « un processus d'identification, d'évaluation, de gestion et de contrôle
d'événements et de situations potentiels afin d'assurer, dans la mesure du possible, qu'une organisation atteigne ses objectifs ».

Dans un sens, tous les employés sont des gestionnaires des risques, qu'ils en soient conscients ou non. Ils gèrent chaque jour les
risques afin d'atteindre leurs objectifs. Cependant, ils deviennent des gestionnaires des risques plus performants lorsqu'ils ont
pleinement conscience de cette fonction et qu'ils l'exercent de manière cohérente et rigoureuse.

Du point de vue de l'organisation, il est possible d'en tirer des avantages importants si les responsables ne gèrent pas uniquement leurs
propres risques dans leurs « silos » organisationnels. Si le même processus rigoureux d'évaluation des risques est appliqué à travers
toute l'organisation et que les résultats sont remontés aux niveaux hiérarchiques supérieurs, l'encadrement supérieur est alors en
mesure d'obtenir une image complète du risque pour l'organisation. Avec cette « vue globale » du risque en tête, les cadres peuvent
prendre de meilleures décisions stratégiques et allouer des ressources avec davantage d'efficacité.

Partout dans le monde, des organisations développent des programmes de gestion des risques de l'entreprise (ERM) pour profiter de
ces avantages. La section sur la gestion des risques se concentre sur la gestion des risques de l'entreprise, qui englobe tous les
concepts de la gestion des risques.

En plus de la définition du glossaire des Normes, nous pouvons obtenir des informations supplémentaires à partir d'autres discussions
sur la gestion des risques.

Le management des risques de l'entreprise – Cadre de référence

La publication du COSO intitulée Le management des risques de l'entreprise – Cadre de référence (Enterprise Risk
Management – Integrated Framework) stipule : « La gestion des risques de l'entreprise est un processus exécuté par le conseil
d'administration, la direction et d'autres membres d'une entité, qui est appliqué lors de la phase de définition de la stratégie et à travers
toute l'entreprise. Il est conçu pour identifier les événements susceptibles d'avoir une incidence sur l'entité et gérer le risque dans les
limites de l'appétence pour le risque de celle-ci, afin de fournir une assurance raisonnable quant à la réalisation des objectifs de
l'entité ».

Cette définition implique que la gestion des risques de l'entreprise est un processus continu. Chaque personne, quels que soient son
niveau et son unité, est impliquée dans le processus, lequel est appliqué lors de la phase de définition de la stratégie. Au final, la
gestion des risques de l'entreprise aide à fournir une assurance raisonnable au conseil d'administration et à la direction.

Nous analyserons plus en détail la publication du COSO Enterprise Risk Management – Integrated Framework (Le management
des risques de l'entreprise – Cadre de référence) plus loin dans ce chapitre.

Enterprise Risk Management: Trends and Emerging Practices (Gestion des risques de l'entreprise :
tendances et pratiques émergentes)
La publication de 2001 Enterprise Risk Management: Trends and Emerging Practices (Gestion des risques de l'entreprise :
tendances et pratiques émergentes) a été préparée par Tillinghast-Towers Perrin et parrainée par l'Institute of Internal Auditors
Research Foundation en collaboration avec le Conference Board du Canada. En se basant sur les informations rassemblées à partir
d'études exhaustives des ouvrages disponibles, les principaux auteurs ont défini la gestion des risques de l'entreprise comme « une
approche rigoureuse et coordonnée pour évaluer tous les risques affectant la réalisation des objectifs financiers et stratégiques d'une
organisation et y répondre ».

Ce document explique que le management des risques de l'entreprise :

Intègre les risques quelles que soient leurs sources (financières, opérationnelles, stratégiques, etc.) ;
Utilise les effets de portefeuille et de couverture naturels qu'apporte la gestion de ces risques selon une approche collective ;
Coordonne les stratégies de gestion des risques, qui couvrent l'évaluation, la réduction, le financement et la surveillance des
risques ;
Se concentre sur l'impact des risques sur les objectifs stratégiques et financiers globaux de l'organisation ;
Reconnaît les opportunités et la nature négative du risque.

« The Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit interne dans le
management des risques de l'entreprise)
L'exposé de principes de l'IIA intitulé « The Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit
interne dans le management des risques de l'entreprise) a été préparé par l'Institute of Internal Auditors en collaboration avec ses
filiales britannique et irlandaise. Il définit la gestion des risques à l'échelle de l'entreprise comme « un processus structuré, cohérent et
continu visant à identifier et à évaluer les opportunités et les menaces liées à la réalisation des objectifs. Il consiste ensuite à décider
des réponses à apporter et des informations à transmettre à ce sujet dans l'ensemble de l'organisation ».

L'exposé de principes note également que la gestion des risques de l'entreprise adopte une approche plus large que la gestion
traditionnelle des risques et traite des risques et des opportunités qui ont une incidence sur la création ou la préservation d'une valeur
pour l'organisation.

Les différentes définitions de la gestion des risques et de la gestion des risques de l'entreprise mettent toutes en avant les mêmes
points : Le périmètre de la gestion des risques transcende la mentalité de gestion des risques traditionnelle, et englobe les objectifs
stratégiques et de résultat net. Le processus de gestion des risques est un processus large et continu qui implique la direction et les
employés, à tous les niveaux d'une entité.

Rubrique 1 : Définir la terminologie relative au risque (Niveau A)

Les auditeurs internes doivent comprendre les différents termes associés au risque et au contrôle. Commençons par la définition du
risque comme indiqué dans le glossaire des Normes : « La possibilité qu'un événement ait un impact sur l'accomplissement des
objectifs, mesurée en termes d'impact et de probabilité ».

D'après le texte Audit interne : services de conseil et d'assurance, nous pouvons établir les points supplémentaires suivants
concernant le risque.

Le risque prend ses origines dans la formulation des stratégies et l'établissement des objectifs. Deux organisations
n'étant jamais identiques, chaque entreprise possède une stratégie et des objectifs uniques et affronte un type de risque différent.

Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En l'absence de résultat unique,
la gamme de possibilités crée l'incertitude quant à la compréhension et à l'évaluation du risque.

Le risque peut concerner la prévention d'événements négatifs ou l'incapacité à produire des événements positifs.
Les risques peuvent présenter des menaces pour une organisation ou être constitués par l'absence de résultats positifs.

Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité commerciale sont
considérés comme des risques commerciaux. Les risques commerciaux sont les incertitudes associées à la réalisation des
objectifs commerciaux.

Chaque organisation devrait avoir une définition claire du risque. Bien que les définitions pratiques puissent varier de celle du glossaire
des Normes, le langage devrait être compris par tous ceux qui sont impliqués dans les activités d'évaluation des risques au sein de
l'organisation.

La liste suivante des termes liés au risque et au contrôle n'inclut pas tout, mais fournit plutôt de bonnes bases au niveau du
vocabulaire. Les termes, présentés par ordre alphabétique, sont probablement semblables à ceux utilisés dans votre organisation.

La liste de termes de l'illustration II-15 constitue un langage commun à utiliser avec le conseil d'administration, la direction et les
autres interlocuteurs, dans toutes les communications.

Illustration II-15 : Termes relatifs au risque et au contrôle

Rubrique 2 : Décrire les éléments du risque (Niveau A)
Concepts élémentaires d'évaluation des risques
L'évaluation des risques est un processus, comme le montre l'illustration II-16.

Illustration II-16 : Processus d'évaluation des risques

Utilisons l'exemple simple du passage d'un examen pour montrer comment fonctionne le processus d'évaluation des risques.

Objectifs possibles. Les objectifs possibles pourraient être de réussir le test ou d'obtenir le meilleur résultat au test.

Événements de risque. Les exemples incluent une suranalyse des réponses, le manque de temps pendant l'examen, le manque
de préparation à l'examen ou l'incompréhension de parties du contenu fondamental.

Risque inhérent. D'après l'impact collectif et la probabilité inhérente des événements, le risque de ne pas réussir l'examen est
élevé.

Réponses. Les exemples incluent la planification du temps, le fait de garder un rythme soutenu pendant l'examen, de faire
 attention à ne pas trop analyser une réponse, d'effectuer une révision d'autoformation ou de se joindre à un groupe d'étude.

Risque résiduel. Une fois les réponses prises en compte, le risque résiduel devrait être inférieur au risque inhérent. Plus les
réponses sont efficaces, moins le risque résiduel est important. Des réponses efficaces peuvent fournir une assurance raisonnable
de réussite à l'examen, mais n'offrent pas le même niveau d'assurance quant à l'obtention du meilleur des résultats.

Sur le plan conceptuel, le processus d'évaluation des risques est simple. Le défi consiste à le mettre correctement en pratique. Ce
devrait être un processus descendant, qui débute à un niveau élevé.

Évaluer l'impact et la probabilité du risque

La direction mesure les événements en termes de probabilité et d'impact. La terminologie de la rubrique 1 décrit la probabilité en
termes de possibilité qu'un événement donné se produise et l'impact qui en résulte ou en découle. Des exemples de facteurs courants
de probabilité et d'impact sont présentés à l'illustration II-17.

Illustration II-17 : Facteurs courants de probabilité et d'impact

Les organisations évaluent la probabilité et l'impact des risques. Elles peuvent utiliser des termes qualitatifs (tels que élevé, moyen et
faible) ou des mesures quantitatives (telles que les échelles numériques de 1 à 5, les pourcentages, la fréquence d'occurrence ou
d'autres mesures). Certaines organisations peuvent même utiliser une combinaison de mots et de chiffres au niveau de la classification
du risque (1 = faible, 5 = élevé). De nombreuses organisations utilisent un graphique pour décrire les facteurs, par exemple une
matrice à quatre quadrants, comme le montre l'illustration II-18. Des variations de cette matrice sont possibles.

Illustration II-18 : Carte des risques concernant la probabilité et l'impact

Il peut être difficile d'estimer la probabilité et l'impact. Ces estimations ou notes dépendent fortement du jugement professionnel et
d'une utilisation cohérente des facteurs d'évaluation. Voici un exemple basé sur le passage d'un examen :

Événement à fort impact/forte probabilité. « L'incompréhension de parties du contenu fondamental » aurait probablement le
plus fort impact potentiel. La probabilité de cet événement pourrait être faible, moyenne ou élevée, selon l'expérience et l'histoire
de chacun.

Événement à faible impact/forte probabilité. « La suranalyse des réponses » sur plusieurs questions est très probable sans
avoir d'incidence globale majeure.

Événement à fort impact/faible probabilité. « La suranalyse des réponses » sur un grand nombre de questions est moins
probable, mais pourrait résulter en un manque de temps et avoir un fort impact sur la réussite au test.

Événement à faible impact/faible probabilité. Effectuer une révision d'autoformation pourrait réduire le risque de « manque de
préparation à l'examen » à ce niveau.

Certaines organisations utilisent une terminologie différente de la probabilité et l'impact (p. ex. les chances, la gravité, le sérieux ou les
conséquences). La terminologie spécifique n'est pas aussi importante que le développement d'un processus efficace d'évaluation des
risques qui répond aux besoins de l'organisation.
Les techniques spécifiques d'évaluation des risques sont examinées dans la rubrique suivante.

Rubrique 3 : Avoir une bonne compréhension de la gestion des

risques (Niveau A)
La gestion des risques est une compétence de base pour la plupart des services d'audit interne. Les auditeurs internes contribuent à la
gestion des risques à travers de nombreuses activités d'assurance et de conseil. Comme mentionné plus haut, la gestion des risques
est parfois gérée du point de vue global de l'entreprise. Il existe différentes approches de la gestion des risques de l'entreprise,
notamment celle promue par le COSO et la norme ISO 31000.

Normes associées, Guides de mise en oeuvre et Guides pratiques

L'illustration II-19 donne la liste des Normes de l'IIA en précisant le périmètre de l'audit interne dans la gestion des risques ainsi que
les directives correspondantes.

Illustration II-19 : Normes de gestion des risques et Recommandations associées

Cadres de référence de gestion des risques d'entreprise
Les organisations peuvent choisir de mettre en œuvre la gestion des risques de l'entreprise de différentes manières. L'expérience a
démontré que l'utilisation d'un cadre peut améliorer l'efficacité et l'efficience de la gestion des risques de l'entreprise. En organisant de
façon formelle les activités et les responsabilités liées à la gestion des risques dans un cadre, une organisation est mieux positionnée
pour atteindre ses objectifs stratégiques. L'utilisation d'un cadre permet de s'assurer que les activités de gestion des risques mettent
l'accent sur l'ERM (plutôt que sur la gestion des risques au niveau fonctionnel) et que le risque est géré de manière proactive (et pas
seulement réduit).

Il existe de nombreux modèles d'ERM. Ils se distinguent généralement par leur objectif et leur complexité. Nous allons d'abord
examiner le modèle ERM du COSO. Nous examinerons ensuite deux autres cadres reconnus : la norme ISO 31000 et les
recommandations Turnbull. (Veuillez noter que dans les sections suivantes traitant de la gestion des risques, seul le cadre de référence
du COSO sera mentionné.)

Cadre de référence de gestion des risques de l'entreprise du COSO

Le référentiel Le management des risques de l'entreprise – Cadre de référence du COSO est un exemple de cadre global qui
applique l'ERM dans un contexte stratégique. Le cadre de référence du COSO s'applique à tous les secteurs industriels ainsi qu'à tous
les types de risque. Le modèle du COSO se différencie des autres modèles de risque par le fait qu'il applique une approche
descendante et qu'il soutient la mission de l'organisation. Le modèle décrit le lien entre les objectifs (ce que l'organisation s'efforce
d'atteindre) et les composantes ERM (ce dont on a besoin pour atteindre les objectifs).

Objectifs de la gestion des risques de l'entreprise du COSO

Au cours du processus de planification stratégique, la direction d'une organisation définit les objectifs stratégiques, choisit les stratégies
appropriées et établit les objectifs sous-jacents qui se propagent à travers toute l'organisation. Le cadre de référence du COSO
comporte quatre catégories d'objectifs organisationnels.
Stratégiques (liés aux objectifs organisationnels de haut niveau et alignés sur la mission de l'organisation en vue de la soutenir)
Opérationnels (liés à l'efficacité et à l'efficience de l'utilisation des ressources de l'organisation)
Reporting (liés à la fiabilité des rapports)
Conformité (liés à la conformité de l'organisation aux lois et règlements applicables)

La réalisation des objectifs de reporting et de conformité fait généralement partie du champ de contrôle de l'organisation. En d'autres
termes, si les activités associées sont exécutées efficacement, ces objectifs peuvent être atteints. Ce n'est pas toujours vrai pour les
objectifs stratégiques et opérationnels ; des circonstances défavorables peuvent, et c'est d'ailleurs souvent le cas, empêcher d'atteindre
ces objectifs. Une mauvaise décision en matière de choix des investissements entraînant d'importantes pertes financières ou
l'inondation soudaine d'une usine de fabrication clé et le retard du lancement d'un nouveau produit sont des exemples d'événements qui
peuvent faire obstacle à la réalisation des objectifs stratégiques et opérationnels. Bien que la mise en œuvre du cadre de référence du
COSO ne permette pas d'éviter de tels événements imprévus ou erreurs de gestion, elle permet néanmoins à la direction de prendre
des décisions plus judicieuses, en toute connaissance de cause.

Composantes de la gestion des risques de l'entreprise du COSO

Les composantes de la gestion des risques de l'entreprise sont définies à partir de la manière dont la direction gère une entreprise et
sont intégrées au processus de gestion. Les composantes ERM identifiées par le COSO sont présentées à l'illustration II-20.

Le COSO décrit la gestion des risques de l'entreprise comme étant un processus omnidirectionnel dynamique. Ce n'est pas un
processus en série dans lequel une composante affecte uniquement la composante suivante. Dans le modèle du COSO, chaque
composante peut influencer les autres.

Illustration II-20 : Composantes de la gestion des risques de l'entreprise du COSO

Relation entre objectifs et composantes du cadre de référence du COSO
Comme dans le modèle de contrôle interne du COSO, le modèle ERM du COSO établit un lien direct entre les objectifs
organisationnels et les composantes ERM. La matrice cubique tridimensionnelle de l'illustration II-21, schématise ce lien. Notez les
caractéristiques suivantes de la matrice du COSO :
Les colonnes représentent les quatre catégories d'objectifs.
Les lignes représentent les huit composantes.
L'entité et ses unités (division, unité d'affaires et filiales) sont représentées par la troisième dimension.

Illustration II-21 : Matrice de la gestion des risques de l'entreprise du COSO

Les objectifs et les éléments se recoupent. Les activités de surveillance continue, par exemple, s'appliquent aux quatre catégories
d'objectifs. La surveillance aide à garantir la mise en œuvre correcte des stratégies, la gestion efficace des opérations commerciales,
la fiabilité du reporting et le respect des lois applicables par l'organisation.

Rôles et responsabilités
La gestion des risques inclut un large éventail d'activités destinées à identifier, évaluer, gérer et contrôler les risques à travers toute
l'entreprise, des événements ou projets ponctuels à des types de risque précis (p. ex. risque du marché), en passant par les menaces
qui pèsent sur l'entreprise et les opportunités qui lui sont offertes. Traditionnellement, les responsabilités en matière de gestion des
risques sont confiées à chaque unité d'affaires et/ou à des sections des unités d'affaires. La gestion des risques était théoriquement
considérée comme une initiative de l'organisation. Mais en pratique, les activités de gestion des risques s'étendaient rarement à toute
l'organisation.

Comme nous l'avons vu, pour que la gestion des risques soit efficace, chaque membre de l'organisation, quel que soit son niveau, doit
prendre part au processus. Produire des informations utilisables pour identifier les risques, prendre les mesures nécessaires pour
mener à bien la gestion des risques et soutenir les flux de communication et d'informations sont des tâches qui entrent implicitement et
explicitement dans la description de chaque poste. Toutefois, le COSO indique que des rôles et des responsabilités particuliers
incombent au conseil, à la direction, aux directeurs des risques, aux directeurs financiers, aux auditeurs internes et à certaines parties
externes. Nous allons à présent examiner ces groupes et ces individus (à l'exception de l'activité d'audit interne, traitée dans la Partie
2, Section I, Chapitre C).

Conseil d'administration. Le conseil, ou son équivalent, sert plusieurs fonctions. Le conseil aide à définir la stratégie et énonce les
objectifs de haut niveau. Souvent, le conseil délègue à la direction ses responsabilités en matière de surveillance et d'assurance, et se
réserve toute l'autorité sur les décisions clés.

Le COSO décrit la supervision de la gestion des risques de l'entreprise par le conseil de la manière suivante :

Connaître l'étendue et l'efficacité de la gestion des risques de l'entreprise établie dans l'organisation par la direction.
Connaître l'appétence de l'entité pour le risque et s'aligner sur celui-ci.
Examiner la vue globale de l'entité sur le risque et évaluer celui-ci par rapport à l'appétence de l'entité pour le risque.
Connaître les risques les plus significatifs et s'assurer que la direction y répond de façon adéquate.

Le conseil fait partie intégrante de la composante d'environnement interne du modèle du COSO. Par son action, il établit un précédent
en matière d'intégrité et de valeurs éthiques. Le conseil peut utiliser des ressources pour mener des enquêtes particulières et peut
recourir à des comités pour exécuter certaines tâches. À un comité sur les rémunérations, par exemple, incomberaient les
responsabilités relatives à divers aspects du système de récompense. Autre exemple : le comité d'audit pourrait être chargé de
superviser la fiabilité du reporting externe. En résumé, les décisions, l'engagement, les objectifs et les activités du conseil influent
fortement sur le fait que les risques soient ou non gérés à un niveau acceptable.

Direction. La direction est le principal responsable de l'identification et de la gestion des risques, ainsi que de la mise en œuvre d'une
approche structurée, cohérente et coordonnée de gestion des risques de l'entreprise. Les responsabilités propres aux directeurs de
chaque niveau varient d'une organisation à l'autre. Toutefois, la règle universellement suivie est de confier au directeur général la
responsabilité finale du processus de gestion des risques de l'entreprise, de la définition du « ton donné par la direction » et de la mise
en œuvre d'un environnement interne positif.

La direction et le conseil travaillent ensemble durant le processus d'élaboration de la stratégie afin de déterminer ll'appétence pour le
risque de l'organisation. Le COSO définit l'appétence pour le risque comme « le niveau de prise de risque accepté par l’organisation
dans le but d’accroître sa valeur ». L'environnement d'exploitation de l'organisation détermine en partie son appétence pour le risque.
Par exemple, l'environnement d'exploitation de sociétés pharmaceutiques nécessite de protéger la valeur de la marque et de minimiser
les risques en investissant dans la recherche précoce et les essais. Cependant, une organisation comme celle-ci peut choisir de suivre
une stratégie qui l'expose à plus ou moins de risques, comme par exemple prendre la décision d'entrer sur un nouveau marché ou de
rester sur des marchés matures plus stables. Le rôle des auditeurs internes est d'assurer que l'organisation a une tolérance au risque
suffisante ou la capacité d'absorber les écarts par rapport aux objectifs, en fonction de l'attribution des ressources au sein de
l'organisation et des choix stratégiques liés à l'appétence pour le risque.

Le COSO présente les responsabilités du directeur général comme suit :

Fourniture d'un encadrement et d'une orientation aux membres de la direction.
Entretiens réguliers avec les membres de la direction chargés des principales fonctions telles que la vente, le marketing, les
finances, les ressources humaines, etc., afin de comprendre les risques inhérents aux opérations, les réponses aux risques, les
améliorations requises en matière de contrôles et l'avancement des initiatives en cours.
Surveillance des activités et des risques liés à l'appétence pour le risque de l'organisation.

Les membres de la direction transforment les stratégies de gestion des risques en opérations. Les responsables de processus, de
fonctions ou de services particuliers jouent un rôle à la fois tactique et pratique quant à l'élaboration et à l'exécution des procédures
spécifiques de gestion des risques. Ils tiennent informés leurs supérieurs de l'avancée de leurs activités et recommandent des
améliorations.

L'autorité et la responsabilité de la direction sont impératives pour une gestion efficace des risques de l'entreprise. Chaque directeur
devrait être responsable devant son supérieur direct, le directeur général étant responsable devant le conseil.

Responsable de la gestion des risques. Dans certaines organisations, un responsable de la gestion des risques, également appelé
gestionnaire des risques ou directeur des risques, centralise la coordination de la gestion des risques de l'entreprise à travers toute
l'organisation. Nommé par le directeur général, le directeur des risques dispose des ressources nécessaires pour travailler avec
d'autres responsables dans le but de développer des pratiques efficaces de gestion des risques, de suivre les progrès et de les assister
lors du reporting.

Le COSO répertorie les responsabilités spécifiques du directeur des risques en matière de gestion des risques de l'entreprise :
élaboration des politiques pertinentes ;
définition des rôles et des responsabilités, et assistance à la définition des objectifs en matière de mise en œuvre ;
encadrement de l'autorité et de la responsabilité dans les unités d'affaires ;
promotion des compétences à travers toute l'entité ;
orientation de l'intégration aux autres activités de gestion et de planification des affaires ;
élaboration d'un langage de gestion des risques commun et de mesures communes ;
 facilitation des protocoles de reporting ;
transmission de l'avancée des activités au directeur général, ainsi que des actions recommandées.

Certaines organisations nomment une personne chargée exclusivement du poste de gestionnaire des risques. D'autres attribuent les
responsabilités en matière de gestion des risques de l'entreprise au directeur financier, à l'avocat conseil ou à un autre cadre supérieur.

Responsables financiers. Les activités financières et de contrôle financier touchent toutes les unités d'exploitation et d'affaires. La
budgétisation, la planification financière, le suivi et l'analyse des performances, et le reporting relèvent du champ d'action du directeur
financier, du chef du service comptable, du contrôleur ou d'autres individus exerçant une fonction financière. Ces personnes et les
activités qu'elles exercent constituent une pièce maîtresse de l'exécution de la gestion des risques par la direction.

Parties externes. Plusieurs parties externes prennent part aux objectifs et aux activités de gestion des risques de l'entreprise d'une
entité :

Auditeurs externes. Les auditeurs externes offrent une vision indépendante et objective qui contribue à la réalisation des
objectifs de l'entreprise, notamment en termes de reporting financier externe. Bien que la plupart des audits d'états financiers ne
s'occupent que peu de la gestion des risques de l'entreprise, le COSO souligne que les informations fournies peuvent aider la
direction à prendre en charge ses responsabilités en matière de gestion des risques. Les résultats des audits, les informations
analytiques et les actions préconisées sont des données pertinentes pour la réalisation des objectifs définis. Si un audit externe met
au jour des insuffisances au niveau de la gestion des risques et du contrôle, l'auditeur peut également communiquer ces
informations accompagnées de recommandations d'amélioration. Si la loi ou les règlements (par exemple, la loi Sarbanes-Oxley)
exigent que l'audit externe évalue le contrôle interne du reporting financier d'une entité, le périmètre de l'audit dans ces domaines
est restreint.

Législateurs et régulateurs. Un grand nombre de lois et de règlements ont une incidence sur la gestion des risques de
l'entreprise d'entités particulières. Les législateurs et les régulateurs établissent des règles qui obligent les systèmes de contrôle et
de gestion des risques d'une entité à satisfaire à des exigences légales et réglementaires minimales. Lorsque les organismes de
régulation examinent une entité (par exemple, lorsque des contrôleurs de banques fédérales et d'État examinent les opérations
d'une banque), l'organisation tire généralement des informations utiles sur l'application de la gestion des risques de l'entreprise et
des recommandations et/ou des directives portant sur les améliorations nécessaires.

Partenaires. Les partenaires d'une entité (clients, fournisseurs, créanciers, etc.) peuvent s'avérer des canaux d'informations utiles
aux activités de gestion des risques. Les éléments tels que les demandes de nouveaux produits et services, les problèmes de
contrôle qualité, les préoccupations éthiques et les divergences en matière de facturation ou d'expédition peuvent être des
informations pratiques pour atteindre les objectifs stratégiques, opérationnels, de reporting ou de conformité.

Sous-traitants. De nombreuses organisations choisissent de sous-traiter certaines activités quotidiennes (paie, comptabilité ou
informatique) dans le but de consacrer leurs activités et leurs ressources aux compétences fondamentales de l'organisation. La
sous-traitance permet généralement à une organisation de capitaliser sur les compétences d'autres entreprises jugées plus
efficaces ou plus expertes dans des tâches spécialisées annexes aux compétences fondamentales de l'organisation. Le COSO
soutient le principe selon lequel la direction ne peut pas déléguer à ces fournisseurs externes les activités de gestion des risques
associées. Des programmes doivent être élaborés et mis en œuvre pour surveiller ces activités.

Analystes financiers, agences de notation et médias d'information. Les analystes financiers et les agences de notation
évaluent un large éventail de facteurs pour émettre un avis sur la santé d'une organisation et sa valeur en tant qu'investissement.
Les médias financiers conduisent fréquemment des analyses similaires. Les observations et les perspectives que ces groupes
émettent peuvent s'avérer utiles à la direction afin d'améliorer les activités de gestion des risques.

Nous nous concentrerons sur les cadres ISO 31000 et Turnbull, puis nous reviendrons sur le modèle du COSO afin d'analyser plus en
détail les domaines de l'ERM.

Pour plus d'informations sur le document Enterprise Risk Management – Integrated Framework du COSO (Le management des
risques de l'entreprise – Cadre de référence), consultez le site du COSO à l'adresse suivante : www.coso.org.

ISO 31000
La norme ISO 31000:2009, « Management du risque – Principes et lignes directrices » est un cadre de normes internationales simple
et concis pour la gestion des risques. L'ISO 31000 est un cadre pour le développement systématique de la gestion des risques de
l'entreprise qui peut être utilisé par tout type d'organisme sans distinction de taille ou d'activité parce que l'organisation peut adapter le
cadre au périmètre approprié et au contexte environnemental. Au fur et à mesure que les activités de gestion des risques de
l'organisation deviennent plus matures, le cadre lui aussi évolue. L'ISO a également publié un document complémentaire intitulé ISO
Guide 73:2009, « Management du risque – Vocabulaire », qui permet aux organisations de discuter des risques en utilisant un ensemble
commun de termes de gestion des risques.

La norme ISO 31000 est de plus en plus populaire, en partie parce qu'il s'agit d'une norme internationale et que de nombreuses
organisations la considèrent plus claire et plus facile à expliquer à la direction générale et au conseil d'administration. C'est
particulièrement vrai pour les organisations non américaines et les organisations qui adoptent simplement un cadre de gestion des
risques.

Le but de la norme ISO 31000 est d'aider les organisations à gérer le concept d'incertitude. Une organisation qui peut gérer
l'incertitude et s'adapter rapidement au changement sera mieux en mesure d'atteindre ses objectifs et présentera plus d'intérêt pour les
investisseurs. La norme ISO 31000 permet également aux organisations de comparer leurs propres pratiques de gestion des risques à
celles d'autres organisations qui ont déjà adopté la norme.

Principes de la norme ISO 31000

L'ISO 31000 est un document succinct, fondé sur des principes, qui vise à mettre l'accent sur la transparence et la crédibilité au
niveau de la fonction de gestion des risques. Ces principes stipulent que la gestion des risques :
Est une activité à valeur ajoutée.
Ne peut se dissocier des opérations et des processus de prise de décision de l'organisation.
Traite de l'incertitude de façon structurée, ordonnée, sans ambiguïté et en temps opportun.
Utilise les meilleures informations disponibles.
Est adaptée à l'environnement d'exploitation, la culture et les objectifs de l'organisation.
Est transparente, vérifiable et inclut les parties prenantes.
Utilise un cycle itératif pour favoriser une amélioration continue, les connaissances au niveau organisationnel et la capacité à
rapidement s'adapter aux changements en termes d'environnement.

Cycles ISO 31000

À un niveau supérieur, le cadre ISO 31000 est un processus cyclique qui permet tout d'abord aux cadres supérieurs de démontrer un
engagement ferme quant à la gestion des risques et d'imposer sa mise en œuvre d'après les principes susmentionnés. Le cadre est
alors conçu et personnalisé. Une fois mis en œuvre, il est surveillé et examiné pour permettre une amélioration continue et une
personnalisation plus poussée.

La phase de mise en œuvre a son propre cycle, comme le montre l'illustration II-22.

Illustration II-22 : Cadre de la phase de mise en œuvre ISO 31000

AS/NZS 4360:2004 remplacée par AZ/NZS ISO 31000:2009

Notez que la norme ISO 31000 a été adoptée sous la désignation AS/NZS ISO 31000:2009 par l'organisme commun responsable des
normes en Australie/Nouvelle-Zélande, et cette norme remplace la norme AS/NZS 4360:2004 pour la gestion des risques. La raison
de cette décision est que la norme ISO 31000 développe la norme AS/NZS 4360 de 2004. Elle propose également une explication plus
claire des principes de gestion des risques. La norme AS/NZS ISO 31000:2009 comprend une annexe informative qui fournit des
informations sur l'amélioration des attributs de gestion des risques.

Pour plus d'informations sur la norme ISO 31000:2009, visitez le site Web de l'ISO à l'adresse suivante :
www.iso.org/iso/home/standards/iso31000.htm. Vous pourrez consulter l'introduction de l'AS/NZS ISO 31000:2009 sur
sherq.org/31000.pdf et l'acheter sur infostore.saiglobal.com/store.

Comparaison entre le cadre de la norme ISO 31000 et le référentiel de gestion des risques de l'entreprise du COSO
Les objectifs du cadre de l'ISO 31000 et ceux du référentiel ERM du COSO sont très similaires. Voici les caractéristiques communes
aux deux approches :
Tentative d'aider les organisations à atteindre leurs objectifs commerciaux par le biais d'une gestion efficace des risques internes et
externes.
Reconnaissance de l'importance de l'intégration d'une mentalité de gestion des risques à la culture de l'organisation.
Reconnaissance de l'importance du « ton donné par la direction » dans la gestion des risques.
Champ d'application délibérément large.
Reconnaissance du fait que la gestion des risques est un processus itératif complexe nécessitant des compétences
pluridisciplinaires pour une mise en œuvre et une gestion correctes.

Bien que les processus de gestion des risques soient similaires par nature, il existe quelques différences subtiles. L'une d'entre elles se
situe au niveau de la terminologie. La norme ISO 31000:2009 utilise l'expression « traitement du risque » lorsque le COSO parle de
« réponse au risque ». L'autre différence est que les composantes de l'ERM du COSO et de la norme ISO 31000 ne s'alignent pas
précisément, comme le montre l'illustration II-23. (Notez que certaines composantes sont répétées pour montrer leur champ
d'application au niveau de plusieurs composantes de l'autre processus.)

Illustration II-23 : Différences entre les composantes de l'ERM du COSO et de la norme ISO 31000

Les recommandations Turnbull

L'ouvrage « Internal Control Guidance for Directors on the Combined Code » (Recommandations de contrôle interne pour les
administrateurs relatives au Code Combiné) a été publié en 1999 au Royaume-Uni. Il est plus souvent appelé « Recommandations
Turnbull » ou « Rapport Turnbull », en référence à Nigel Turnbull, le président du groupe de travail qui a élaboré ces directives de
gestion des risques. L'ouvrage a été révisé en 2005 pour refléter les différents développements au Royaume-Uni et sur la scène
internationale et intégrer l'expérience acquise dans le cadre des mises en œuvre. En 2014, le Conseil de l’information financière (FRC,
Financial Reporting Council) a publié un rapport mis à jour, intitulé « Conseils sur la gestion des risques, le contrôle interne et les
rapports financiers et commerciaux connexes », qui a révisé, intégré et remplacé l'édition 2005 de Turnbull Guidance.

Les Recommandations Turnbull traitent de l'adoption d'une approche du contrôle interne fondée sur les risques et de l'évaluation de
son efficacité. Elles sont liées aux exigences de divulgation de la Bourse de Londres. Le rapport Turnbull recommande à toutes les
entreprises répertoriées à la Bourse de Londres de mettre en place un plan de gestion des risques. Bien que les détails de mise en
œuvre spécifiques soient laissés à la discrétion de l'entreprise, la direction exige que le plan soit mis en place et géré activement.
Comme pour les exigences imposées par la loi Sarbanes-Oxley de 2002, les règlements associés de la US Securities and Exchange
Commission (SEC) et les règlements de la Bourse américaine, si l'on ne se conforme pas aux Recommandations Turnbull, les
informations seront publiées dans le rapport annuel. En fait, la SEC considère les Recommandations Turnbull comme étant un cadre
approprié pour se conformer aux exigences des États-Unis concernant le reporting des contrôles internes relatifs à l'information
financière, comme indiqué dans la Section 404 de la loi Sarbanes-Oxley et les règlements associés de la SEC.

Toutefois, les Recommandations Turnbull ne sont pas seulement utilisées afin de se conformer aux modalités en matière de Bourse.
Les principes de gestion efficace des risques et l'intégration d'un contrôle interne au niveau des processus d'entreprise présentent un
grand intérêt commercial pour une entité. Les organisations ont la possibilité de sélectionner les principes adaptés à leurs propres
circonstances. Voici quelques-uns des grands principes des Recommandations Turnbull :

Mettre l'accent sur les risques importants. Si trop de risques sont identifiés, il devient difficile d'identifier et de gérer ceux qui
sont importants. Le Rapport Turnbull recommande que l'identification des risques se concentre sur les risques qui ont été identifiés
par la direction générale comme étant potentiellement dangereux pour la réalisation des objectifs de l'organisation.

Mettre l'accent sur la gestion des risques. Le Rapport Turnbull considère la gestion des risques comme essentielle pour
réduire la probabilité que les objectifs organisationnels soient mis en péril par des événements imprévus. Il favorise la gestion
proactive des risques.

Surveillance continue des risques et du contrôle. Les stratégies et les politiques de gestion des risques et de contrôle interne
d'une organisation doivent être surveillées en permanence et adaptées pour répondre à l'évolution des risques. Un processus de
feedback devrait être mis en place pour tirer les leçons des échecs et développer les capacités permettant de potentiellement
s'améliorer et réduire le risque.
 Faire participer tous les employés. Le Rapport Turnbull maintient que tous les employés ont une certaine responsabilité quant
au contrôle interne et doivent être responsabilisés pour atteindre les objectifs organisationnels. Ils doivent disposer des
connaissances, des compétences, des informations et de l'autorité nécessaires pour établir, utiliser et surveiller le système de
contrôle interne dans leur sphère de responsabilités. Ils doivent comprendre les objectifs organisationnels et les industries et
marchés spécifiques à l'entité, ainsi que les risques auxquels elle est confrontée.

Rationalisation des bases de données de gestion des risques. Le contrôle devrait être intégré dans les processus
organisationnels. Le rapport Turnbull recommande d'intégrer des mécanismes de détection précoce aux systèmes d'information de
la direction existants plutôt que de développer des systèmes de reporting des risques indépendants.

Grâce à cet aperçu des Recommandations Turnbull, nous pouvons constater qu'il existe beaucoup de similarités au niveau des
différentes approches de gestion des risques présentées. Et comme pour les cadres de l'ERM du COSO et de la norme ISO 31000,
une organisation peut tirer parti de l'adoption de l'approche Turnbull fondée sur les risques. Certains aspects positifs permettent de
mieux :
Fournir une assurance objective au conseil et à la direction générale quant à l'adéquation et à l'efficacité des processus de contrôle
interne et de gestion des risques de l'organisation.
Donner des conseils en matière de gestion efficace des risques, en particulier en ce qui concerne les problèmes liés à la
conception, à la mise en œuvre et à l'exploitation des systèmes de contrôles internes.
Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou d'éviter les pertes opérationnelles et autres pertes
similaires.
Réduire la probabilité d'occurrence d'événements indésirables.

Pour plus d'informations sur les Recommandations Turnbull de 2005, et l'édition FRC 2014 suivante, visitez https://www.frc.org.uk.

Incidences de la structure sur les risques et le contrôle

L'organigramme se réfère généralement à la manière dont les groupes fonctionnels d'une entité sont conçus et organisés. Pendant de
nombreuses années, la structure traditionnelle des grandes organisations a reposé sur un modèle hiérarchique dans lequel, comme son
nom l'indique, l'autorité et les fonctions sont séparées de façon claire par rang hiérarchique. Cependant, dans le monde du travail
actuel, de nombreux écarts par rapport à la structure hiérarchique traditionnelle peuvent être constatés. Les pyramides inversées, les
structures horizontales, matricielles ou en réseau (équipes), et les organisations virtuelles se rencontrent de plus en plus. Certaines
conceptions visent à recréer des formes de trèfles, d'étoiles et de camemberts pour mettre en avant un principe d'égalité de tous et
favoriser le dialogue et les échanges.

Un examen critique de la conception organisationnelle est le meilleur moyen de faciliter une communication et une coordination
efficaces pour atteindre les buts et objectifs de l'entreprise. Quelle que soit la manière dont la structure organisationnelle est
représentée sur le papier, une conception efficace doit :
Refléter la taille et la nature des activités de l'entité ;
Etablir des lignes formelles d'autorité ;
Définir des sphères clés de responsabilités ;
Etablir des lignes de reporting ;
Etablir des relations entre les individus, les groupes et les services ;
Coordonner les différentes tâches organisationnelles ;
Affecter des responsabilités à des services et des postes particuliers ;
Allouer et déployer les ressources de l'organisation.

Dans l'ensemble, la structure de l'organisation fournit le cadre nécessaire à la planification, l'exécution, au contrôle et à la surveillance
des activités. Le document Enterprise Risk Management – Integrated Framework du COSO (Le management des risques de
l'entreprise – Cadre de référence) explique comment la structure d'une entité aura un impact notamment sur les domaines suivants.

Fixation des objectifs

Les organisations doivent d'abord fixer des objectifs stratégiques conformes aux objectifs de l'organisation. Des objectifs plus
spécifiques (sous-objectifs) applicables aux services, aux fonctions et aux individus peuvent ensuite être élaborés. Quel que soit
l'organigramme, l'aspect fondamental du développement de ces objectifs en cascade est la cohérence des objectifs avec les
perspectives stratégiques et le soutien qu'ils apportent à celles-ci. De plus, tous les objectifs doivent être clairement communiqués et
mesurables. Tous les membres de l'organisation doivent comprendre les objectifs liés à leur sphère d'influence, en d'autres termes ce
qui doit être accompli et comment la performance sera mesurée.

Identification des événements (ou identification des risques)

Le COSO souligne le fait que les événements peuvent avoir un impact positif ou négatif, ou les deux à la fois, sur la mise en œuvre de
la stratégie organisationnelle et la réalisation des objectifs. La direction doit comprendre comment un événement peut entraîner ou se
rapporter à d'autres événements à travers l'organisation afin que les efforts de gestion des risques soient coordonnés de manière
appropriée.

Traitement des risques (ou réponse aux risques)

Il est important de prendre en compte l'organigramme lorsque l'organisation évalue comment gérer au mieux les risques. La réponse
aux risques ou le traitement des risques devrait être un processus itératif qui considère non seulement le niveau de l'entreprise, mais
également les différents services et fonctions. Par exemple, la tolérance au risque pour des services particuliers peut être appropriée
sur un plan individuel, mais sur le plan collectif, elle peut conduire à un dépassement de l'appétence pour le risque de toute
l'organisation. Ou, d'un autre côté, certaines fonctions encourent un risque plus élevé que d'autres, mais les réponses collectives face
au risque finissent par équilibrer l'appétence pour le risque de l'organisation.

Activités de contrôle (ou surveillance et examen du cadre)

Les activités de contrôle sont généralement établies pour s'assurer que les réponses aux risques sont correctement mises en œuvre et
soutiennent les objectifs connexes. Comme pour les autres aspects de la gestion des risques, les activités de contrôle ne s'exécutent
pas isolément. Il existe un grand nombre de types d'activités de contrôle différents exécutés par de nombreuses personnes à différents
niveaux de l'organisation. Ce sont le périmètre et la diversité des activités de contrôle à travers une organisation qui permettent à tous
les niveaux d'avancer sur la même voie pour atteindre les objectifs commerciaux.

Il est utile de comprendre qu'un contrôle unique peut avoir plusieurs fonctions, puisque les activités de contrôle se traduisent toutes par
un coût. Par exemple, exiger un reçu pour une dépense d'entreprise permet à la fois de contrôler l'exactitude des écritures dans le
grand livre, de se conformer à la législation fiscale et de réduire le risque de fraude.

Certains contrôles peuvent introduire de nouveaux risques au niveau d'un processus. Par exemple, on peut utiliser des clés et des
serrures pour empêcher l'accès non autorisé à un entrepôt, mais s'il faut contrôler qui est en possession des clés, cela risque en même
temps d'augmenter les coûts. De plus, les clés peuvent être égarées, cassées ou reproduites. Il peut y avoir une perte de productivité
si l'on prend en compte le temps passé à utiliser les clés, etc.

Information et communication (communication et de consultation)

Chaque organisation doit capturer une large quantité d'informations relatives aux événements et activités internes et externes. Le
personnel de l'organisation, quant à lui, doit recevoir les informations dont il a besoin pour mener à bien ses responsabilités. Une
infrastructure d'informations doit recueillir les données au moment opportun et à un niveau de détail adapté aux besoins de
l'organisation en matière d'identification des événements et de réponse aux risques. La conception de l'architecture système et
l'acquisition des technologies sont deux éléments critiques. La fiabilité et l'intégrité des données ne doivent pas être compromises. Il
faut prendre en compte la façon de concilier les défis suivants :
Besoins fonctionnels contradictoires ;
Contraintes systémiques ;
Processus non intégrés.

Pour une meilleure compréhension des technologies de l'information ainsi que des risques et contrôles associés, consultez le Guide
pratique, « Les risques et les contrôles des systèmes d’information, 2e édition » (Précédemment GTAG 1).

Pour compléter l'infrastructure d'informations, les communications internes et externes devraient soutenir la philosophie et l'approche
de gestion des risques de l'organisation. Par exemple, l'ensemble du personnel interne à l'organisation doit saisir l'importance de la
gestion des risques, les objectifs de l'organisation, et les rôles et responsabilités qui soutiennent les initiatives.

Le personnel doit comprendre comment ses activités individuelles sont liées au travail des autres. Cela signifie que les canaux de
communication doivent être ouverts à tous les niveaux de l'organisation et favoriser un esprit de coopération et une volonté d'écoute.

Il est important de communiquer avec les parties externes (clients, fournisseurs, parties prenantes, régulateurs et autres) de manière
pertinente et en temps opportun. Par exemple, une communication utile avec les fournisseurs concernant l'appétence pour le risque et
la tolérance au risque peut éviter à une organisation d'accepter involontairement trop de risques liés à un fournisseur dont les valeurs
sont différentes.

Pilotage (surveillance et examen, amélioration continue du cadre)

La gestion des risques n'est pas statique. Les changements qui interviennent au niveau du personnel, des processus, des objectifs
commerciaux, de l'environnement concurrentiel, etc., finissent par rendre les réponses actuelles aux risques obsolètes. Les activités de
contrôle peuvent aussi perdre de leur efficacité.

La direction doit obtenir une assurance raisonnable que la gestion des risques demeure efficace. Les détails pour y parvenir dépendent
de l'organisation. Généralement, cela implique deux actions de surveillance :
Surveillance continue : surveillance intégrée dans les activités normales et récurrentes, et exécutée en temps réel
Évaluations indépendantes : évaluations exécutées après coup et destinées à obtenir un « regard neuf » sur l'efficacité de la gestion
des risques

Vous trouverez plus d'informations sur les actions de surveillance dans la présentation de la surveillance des risques, plus loin dans
cette rubrique.

Identification et évaluation des risques

Ensuite, nous nous pencherons plus en détail sur deux domaines de la gestion des risques de l'entreprise : les techniques d'identification
et d'évaluation des risques (événements). Le contenu est en grande partie fondé sur le modèle ERM du COSO, mais on peut relever
dans le cadre ISO 31000 des thèmes et des concepts très similaires, et les différences de terminologie sont entre parenthèses, le cas
échéant. Les principes du modèle ERM du COSO et de la norme ISO 31000 sont destinés à être facilement exploitables par un large
éventail d'organisations, parties prenantes et autres parties intéressées qui souhaiteraient mettre en œuvre un processus complet de
gestion des risques.

Identification des risques

Le modèle du COSO se réfère à l'identification des risques comme étant la composante intitulée « identification des événements ».
(La norme ISO 31000 comprend une sous-composante d'identification des risques dans sa composante d'évaluation des risques.) Le
modèle du COSO décrit le processus d'identification des événements comme englobant les principales mesures de gestion suivantes :
Identification des événements susceptibles d'avoir une incidence sur l'entité.
Détermination de la nature des événements potentiels (opportunités ou dangers).

Plusieurs facteurs externes et internes doivent être pris en considération lors de l'identification des événements. L'illustration II-24
présente plusieurs exemples.

Illustration II-24 : Facteurs externes et internes à l'origine des événements

Techniques d'identification des événements
Les organisations utilisent généralement une combinaison de techniques et d'outils pour identifier les événements. Le COSO stipule
que, lors de l'identification des événements, il faut prendre en compte :
Les événements aux niveaux de l'entité et des activités.
Les événements antérieurs (p. ex. historiques des défauts des comptes débiteurs ou accidents avec arrêt de travail) et expositions
à venir (p. ex. évolutions des facteurs démographiques ou des préférences des clients).

Les techniques d'identification peuvent varier. Elles se différencient généralement par leur sophistication, qu'elles examinent les
données historiques et/ou les sources factuelles d'événements observables, ou fournissent des données à un type quelconque de
modèle de projection pour identifier les événements futurs potentiels. Certaines techniques examinent les données en suivant une
approche descendante, d'autres créent une analyse détaillée en suivant une approche ascendante.

L'illustration II-25 résume les techniques communes d'identification des événements.

Illustration II-25 : Techniques communes d'identification des événements

Il faut se rappeler que ces techniques ne conviennent pas forcément à une situation ou à une organisation en particulier. Selon le
COSO :
La profondeur, l'étendue, le rythme et la rigueur du processus d'identification des événements varient d'une organisation à l'autre.
La direction choisit les techniques appropriées à sa philosophie en matière de gestion des risques et garantit l'adéquation des
capacités d'identification des événements.

Catégories d'événements
Les événements potentiels sont parfois regroupés en catégories. Par exemple, les événements peuvent être regroupés de façon
horizontale à travers une entité et de façon verticale au sein d'unités opérationnelles. La catégorisation des événements offre
différents avantages. Processus de catégorisation :
Améliore les informations recueillies pour servir de base à l'évaluation des risques ;
Facilite les efforts que fournit la direction pour déterminer les opportunités et les risques ;
Permet à la direction de prendre en compte le caractère complet de ses efforts d'identification des événements.

Les catégories varient. Les organisations les définissent en fonction de leur pertinence. Une organisation peut développer des
catégories en se basant sur ses objectifs, en commençant par ses objectifs stratégiques de haut niveau, puis en descendant vers les
objectifs au niveau des unités, des fonctions ou des processus. Une autre approche peut consister à définir des catégories
d'événements au niveau des facteurs internes et externes. Les facteurs politiques externes peuvent inclure les modifications
gouvernementales, la législation, les politiques publiques ou les règlements. Parmi les facteurs internes relatifs au personnel figurent les
compétences des employés, les activités frauduleuses ainsi que la santé et la sécurité.

Interdépendance des événements

Lors de l'identification des événements, la direction doit tenir compte de la façon dont les événements interagissent. Les événements
sont rarement isolés. Par exemple, les incitations liées à la performance peuvent augmenter la productivité, mais elles peuvent aussi
aboutir à des pratiques de reporting frauduleuses.

Distinction entre les risques et les opportunités

Une fois les principaux événements et facteurs d'influence identifiés, la direction peut déterminer si le potentiel est positif ou négatif.
Dans certains cas, un événement peut présenter ces deux aspects. Les opportunités positives sont intégrées dans la stratégie et le
processus de définition des objectifs ; les événements ayant un impact négatif qui représentent un risque devront être évalués en
profondeur afin de déterminer la réponse à apporter.
Évaluation des risques
L'évaluation des risques est un processus d'identification, de mesure et de hiérarchisation des risques. Le périmètre global des
évaluations des risques peut être large (macroanalyse) ou restreint (microanalyse).

Les micro-évaluations à l'échelle de la mission visent à identifier et mesurer l'exposition au risque dans les opérations et à s'assurer
que les risques pertinents au domaine évalué sont abordés. Ces évaluations des risques à l'échelle de la mission sont abordées dans la
Partie 2, Section II, Chapitre A.

Comme décrit dans le document Implementing the International Professional Practices Framework (Mise en œuvre du Cadre
des pratiques professionnelles) d'Anderson et Dahle, les macro-évaluations à l'échelle de l'organisation sont destinées à fournir une
analyse « descendante » de tous les principaux risques qui affectent l'organisation.

Concernant les évaluations à l'échelle de l'organisation, deux possibilités existent.

La direction peut avoir mis en place un processus d'identification et d'évaluation des risques de haut niveau. Dans ce cas, l'audit
interne doit prendre part à ce processus tel qu'approprié. L'activité d'audit interne peut alors utiliser les résultats de l'évaluation à
l'échelle de l'organisation.

Lorsqu'une organisation ne dispose pas d'un processus de gestion des risques, l'auditeur interne doit conseiller la direction et lui
montrer comment établir un tel processus. Si une organisation manque de ressources en matière de gestion des risques de
l'entreprise, l'activité d'audit interne peut faciliter la mise en place initiale d'un cadre générique (comme celui du COSO ou de la
norme ISO 31000), à la demande de la direction.

Si une organisation ne possède pas de processus de gestion des risques, l'activité d'audit interne doit agir avec prudence. Bien que les
auditeurs internes puissent faciliter ou réaliser les processus de gestion des risques, ils ne seront pas responsables de la gestion des
risques identifiés. Cependant, l'interprétation de la Norme 2010, « Planification », nous indique que dans le cadre de la mise en place
d'un plan d'audit interne axé sur le risque, « si ce système de gestion des risques n’existe pas, le responsable de l’audit interne
doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et
du conseil d'administration. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre
aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de
l’organisation ». Par conséquent, dans certains cas, il peut être nécessaire de travailler sans avoir recours à une évaluation ou un
cadre formalisé de gestion des risques.

Techniques d'évaluation
Les techniques d'évaluation des risques sont soit qualitatives, soit quantitatives. Les entreprises utilisent généralement les deux types.

Les entretiens et les ateliers sont deux techniques d'évaluation qualitative largement utilisées. De telles techniques sont utilisées
lorsque :
Les risques ne se prêtent pas à une quantification.
Il n'y a pas suffisamment de données fiables disponibles pour réaliser des évaluations quantitatives.
Il n'est pas rentable d'obtenir ou d'analyser des données quantitatives.

Les techniques qualitatives estiment généralement la probabilité et l'impact des événements potentiels en utilisant des mesures
nominales ou ordinales. Les mesures nominales permettent regrouper les événements en catégories (comme par exemple économique
ou politique), mais sans les classer. Les mesures ordinales organisent les événements par ordre d'importance à l'aide d'une échelle
(par exemple, en leur attribuant un rang élevé, moyen ou faible sur l'échelle).

Les techniques d'évaluation quantitative donnent généralement des mesures plus précises. Par rapport aux mesures qualitatives, les
techniques quantitatives sont plus complexes et nécessitent généralement plus d'effort et de rigueur. Elles sont souvent utilisées en
complément des techniques qualitatives. Des modèles mathématiques sont parfois utilisés dans les techniques quantitatives.
L'illustration II-26 résume les techniques courantes d'évaluation quantitative.

Illustration II-26 : Techniques d'évaluation quantitative des risques

Pièges de l'évaluation des risques
Le document Implementing the International Professional Practices Framework présente quelques pièges courants relatifs à
l'évaluation des risques.

Limiter les évaluations des risques aux risques financiers. Dans les évaluations des risques, l'importance des questions
informelles moins tangibles (telles que les ressources humaines, la responsabilité sociale ou la réputation) croît davantage que celle
des risques financiers classiques. Ces questions devraient faire partie du processus d'évaluation des risques car elles s'avèrent
souvent plus avantageuses ou plus préjudiciables.

Sélectionner aveuglément des risques à partir d'un cadre générique des risques. De telles matrices doivent davantage
être considérées comme un outil de brainstorming permettant d'identifier les expositions aux risques.

Évaluer les risques de manière isolée (auditeurs internes). Les approches collaboratives telles que les évaluations
descendantes à l'échelle de l'entreprise et les évaluations ascendantes des risques au niveau de la mission qui sont alignées et
interconnectées sont beaucoup plus efficaces.

Identifier un trop grand nombre de risques. Des listes de risques trop longues augmentent le danger de ne pas accorder
suffisamment d'attention aux risques significatifs. Le cadre de contrôle COSO inclut les catégories de risques que les organisations
ont utilisées avec succès. Certaines recommandations conseillent de limiter le nombre de risques significatifs à 15 ou 20.

Compliquer inutilement la quantification des risques. À moins qu'une quantification complexe des risques ne soit requise (par
exemple, dans le cas de produits dérivés ou d'autres instruments financiers complexes), il est préférable que la quantification et la
hiérarchisation des risques restent simples. Une quantification précise et détaillée peut compliquer inutilement une évaluation des
risques alors que des tactiques simples de notation de l'importance et de la probabilité (par exemple, forte probabilité/forte
importance ou faible probabilité/faible importance) suffiraient.
Nature dynamique du risque
Comme nous l'avons vu, l'identification des événements et l'évaluation des risques varient d'une entité à l'autre en fonction de leurs
caractéristiques organisationnelles. Toutefois, les processus doivent être robustes. Les organisations, leurs marchés et leurs
environnements professionnels ne sont pas statiques. Des changements se produisent en permanence. Les événements de risque
évoluent également. C'est pourquoi l'identification et l'évaluation des risques ne peuvent pas se limiter à un exercice stratégique
annuel. Le document Implementing the International Professional Practices Framework suggère de prendre des dispositions afin
d'acquérir constamment de nouvelles informations sur les risques par l'intermédiaire de pratiques telles que des programmes de
sollicitation fréquente de la direction, une convocation trimestrielle du comité de gestion des risques et des outils automatisés pour
capturer et comprendre les indicateurs de risque.

Gestion des risques

Une fois que la direction a évalué les risques pertinents, elle doit décider des réponses à leur apporter. Outre les contrôles, la direction
a d'autres techniques de réponse au risque à sa disposition. L'illustration II-27 présente les quatre différentes mesures du COSO qui
peuvent être appliquées pour gérer les risques évalués.

Illustration II-27 : Réponses de gestion des risques du COSO

Réponse aux risques pour différents types de risques

Risque inhérent
Le risque inhérent (également appelé risque absolu) est le risque généré par l'environnement, sans les effets d'atténuation des
contrôles internes. En d'autres termes, il s'agit de la combinaison des facteurs de risque internes et externes dans leur état pur et
incontrôlé, ou encore le risque brut présent lorsqu'aucune activité de contrôle n'est exécutée. L'évaluation des risques doit d'abord être
appliquée aux risques inhérents. Une fois les réponses aux risques développées, la direction peut s'attaquer au risque résiduel (en
fonction de l'appétence de l'organisation pour le risque).

Risque résiduel
Comme les quatre réponses aux risques illustrées à l'illustration II-27 l'indiquent, il est impossible d'éliminer tous les risques. Un certain
degré de risque résiduel est inévitable. Comme nous l'avons vu, le risque résiduel correspond au risque restant après application de la
réponse au risque (par exemple, après que des contrôles ont été élaborés). En d'autres termes, le risque résiduel est le risque restant
après que la direction a pris les mesures visant à prévenir, réduire, partager ou accepter le risque.

L'illustration II-28 présente les deux choix qui s'offrent à la direction lorsqu'elle étudie le risque résiduel.

Illustration II-28 : Considérations liées au risque résiduel

Le risque résiduel ne peut pas être ignoré. Voici quelques éléments à prendre en compte lors de la détermination de la réponse
appropriée :
Alignement de la réponse sur la tolérance au risque de l'organisation.
Effets d'une réponse envisagée sur la probabilité et l'impact de l'occurrence d'un risque.
Analyse coûts-bénéfices des différentes réponses.
Impact potentiel des différentes réponses sur la réalisation des objectifs organisationnels.

Risque lié au contrôle

Outre le risque résiduel, il existe des risques liés au contrôle (ou risques inhérents) intrinsèques aux processus de réponse de la
direction. Le risque lié au contrôle fait référence à la tendance du système de contrôles internes à perdre de son efficacité et à
exposer les actifs contrôlés. En d'autres termes, les risques liés aux contrôles correspondent aux risques associés à une procédure de
contrôle qui échoue dans l'accomplissement de sa tâche.

Surveillance des risques

La surveillance des risques tient compte du fait que les processus de gestion des risques de l'entreprise d'une organisation évoluent au
fil du temps. Grâce aux activités de surveillance, la direction peut déterminer si le management des risques de l'entreprise est toujours
efficace. Le COSO présente trois méthodes pour évaluer au fil du temps l'existence et le fonctionnement des composantes de la
gestion des risques de l'entreprise : la surveillance continue, les évaluations indépendantes ou une combinaison des deux.

Surveillance continue
Les activités de gestion des risques de l'entreprise intègrent généralement des dispositions d'auto-surveillance. La plupart des activités
de surveillance continue sont exécutées en temps réel pendant la conduite quotidienne des activités commerciales. Les activités
continues :
Sont généralement exécutées par des responsables du soutien fonctionnel ou des directeurs opérationnels en fonction des
informations qu'ils reçoivent ;
Se concentrent sur les relations, les incohérences ou d'autres implications pertinentes ;
Se distinguent des activités exécutées en réponse à une politique (par exemple, approbations de transactions ou rapprochements
des soldes des comptes).

Une activité de surveillance continue peut être une conversation entre un directeur et des membres du personnel des opérations au
sujet de la manière dont ils identifient les risques qui correspondent aux tâches qu'ils exécutent, de leur compréhension de l'objectif des
contrôles et de leur capacité à identifier correctement les éventuels problèmes que présentent les activités de contrôle. Ce dialogue
continu ordinaire aide à s'assurer que les employés comprennent les codes de conduite et possèdent une bonne connaissance de la
gestion des risques et du contrôle interne. Tout point problématique identifié nécessitant une attention particulière peut être traité.

Évaluations indépendantes
Les évaluations indépendantes s'attachent directement à l'efficacité de la gestion des risques de l'entreprise. Selon le COSO :
Le périmètre et la périodicité varient en fonction de l'importance des risques et des réponses aux risques dans la gestion de ceux-
ci.
Les domaines les plus prioritaires ont tendance à nécessiter des évaluations plus fréquentes.
L'évaluation de l'intégralité du système de management des risques de l'entreprise est généralement requise moins souvent que les
évaluations plus précises.
L'évaluation de l'intégralité du système peut être garantie par des facteurs tels que des changements majeurs de stratégie ou de
direction, des acquisitions ou des ventes, des changements des conditions politiques ou économiques, ou des changements au
niveau des opérations ou des méthodes de traitement des informations.

Les évaluations indépendantes sont souvent réalisées sous forme d'auto-évaluations. Les individus responsables d'une fonction ou
d'une unité particulière déterminent l'efficacité des activités au sein de leur sphère de responsabilités. Par exemple, les directeurs
opérationnels examinent les objectifs opérationnels et de conformité, et les contrôleurs s'occupent des objectifs de reporting.
Les auditeurs internes effectuent couramment des évaluations dans le cadre de leurs tâches quotidiennes ou à la demande expresse
de la direction, du conseil ou d'autres cadres supérieurs. La direction peut aussi envisager de recourir à des auditeurs externes.

Il revient à la direction de juger si des évaluations indépendantes sont nécessaires en se basant sur divers facteurs, notamment :
La nature et le degré des changements de l'environnement professionnel et des risques associés.
Les compétences du personnel chargé de la mise en œuvre des réponses aux risques et des contrôles associés.
Les résultats de la surveillance continue.

En règle générale, l'association de la surveillance continue et d'un certain nombre d'évaluations indépendantes aide à garantir le bon
fonctionnement de la gestion des risques de l'entreprise au fil du temps. Des évaluations indépendantes fréquentes peuvent indiquer la
nécessité d'améliorer la surveillance continue.

Signalement des insuffisances

Le signalement des insuffisances est un autre aspect de la surveillance. Le COSO définit une insuffisance comme « un élément de
gestion des risques de l'entreprise qui mérite attention. Ce peut être un point faible perçu, potentiel ou réel, ou une occasion de
renforcer la gestion des risques de l'entreprise afin d'améliorer la probabilité pour une entité d'atteindre ses objectifs ».

Les informations recueillies grâce à la surveillance continue peuvent permettre d'identifier les insuffisances. Les évaluations de la
direction, les résultats de l'activité d'audit interne et les autres auto-évaluations peuvent mettre en évidence les domaines à améliorer.
Les sources externes telles que les organismes de réglementation et les rapports d'audit externe peuvent mettre au jour des
insuffisances, de la même manière que les rapports d'audit interne.

L'un des rôles de l'audit interne est d'aider le comité d'audit en surveillant la direction afin de vérifier si elle a tenu compte des
précédents rapports en mettant en place des plans d'action destinés à corriger les insuffisances signalées. Concrètement, cela prend
généralement la forme d'une liste d'insuffisances identifiées dans chaque rapport, accompagnées du plan d'action, de la date cible, de
la responsabilité et de la progression de la mise en œuvre, présentée à chaque réunion du comité d'audit.

Rôle de l'activité d'audit interne dans le management des risques de l'entreprise

Les auditeurs internes doivent identifier et évaluer les expositions aux risques significatifs dans le cours normal de leurs activités. Le
rôle de l'activité d'audit interne dans le processus de gestion des risques d'une organisation peut changer au fil du temps et se trouver à
n'importe quel point le long de l'échelle suivante :
Aucun rôle.
Audit du processus de gestion des risques dans le cadre du plan d'audit interne.
Fourniture d'informations et de données historiques sur les événements à risque identifiés dans les résultats des audits internes.
Implication et soutien actifs et continus au processus de gestion des risques, par exemple par le biais d'une participation aux
comités de supervision, d'activités de surveillance et du reporting des états.
Gestion et coordination du processus de gestion des risques.

La direction générale et le conseil déterminent le rôle de l'activité d'audit interne dans le processus de gestion des risques de
l'organisation. Dans la plupart des organisations, les auditeurs internes ont un rôle clé à jouer dans l'évaluation de l'efficacité du
management des risques de l'entreprise et dans la recommandation d'améliorations. Ils contribuent à la gestion des risques de
l'entreprise par le biais de nombreuses activités d'assurance et de conseil.

En tant que fonction au sein de l'organisation, l'activité d'audit interne doit se conformer aux politiques et procédures de l'organisation,
y compris aux processus de gestion des risques, et doit appliquer les méthodologies en la matière lors de l'élaboration et de la mise en
œuvre des pratiques d'audit interne.

Guide de mise en oeuvre 2120 « Management des risques » nous rappelle que l'activité d'audit interne présente également des risques.
Dans son évaluation des risques, l'activité d'audit interne prend en compte la taille, la complexité, le cycle de vie, la maturité, la
structure des parties prenantes et l'environnement juridique et concurrentiel de l'organisation. On peut classer ces risques en trois
grandes catégories : risque d’échec de l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation.

Rôles d'assurance
Le conseil d'une organisation doit obtenir l'assurance que les processus de gestion des risques fonctionnent comme prévu et que les
risques clés sont gérés à un niveau acceptable. Dans la plupart des organisations, cette assurance est délivrée par différentes sources
à différents niveaux. Par exemple, les domaines opérationnels d'une organisation ayant attribué des responsabilités fonctionnelles en
matière de gestion des risques communiquent au conseil leurs niveaux de performances. Ces rapports fonctionnels sont complétés par
l'assurance objective des audits externes, des évaluations de spécialistes et des audits internes.

La principale contribution de l'activité d'audit interne à la gestion des risques est l'assurance. L'auditeur interne fournit généralement
une assurance concernant les éléments suivants :
Processus de gestion des risques, y compris leur conception et leur fonctionnement.
Gestion des risques clés, y compris l'efficacité des contrôles et autres activités.
 Évaluation fiable et appropriée des risques, et reporting de l'état des risques et des contrôles.

L'assurance exige de l'auditeur interne la formulation d'une opinion sur la compréhension de la méthodologie de gestion des risques
d'une organisation par les individus et les groupes clés impliqués dans la gouvernance, y compris le conseil et le comité d'audit.
L'auditeur interne doit également s'assurer que les processus de gestion des risques sont suffisants pour protéger les actifs, la
réputation et la continuité des opérations de l'organisation.

La norme de fonctionnement 2120 « Management des risques » explique que « l'activité d'audit interne doit évaluer l'efficacité des
processus de management des risques et contribuer à leur amélioration ».

Son interprétation nous permet de dégager les points suivants :

Afin de déterminer si les processus de gestion des risques sont efficaces, les auditeurs internes doivent s’assurer que :
Les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
Les risques significatifs sont identifiés et évalués ;
Les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ; et
Les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux
collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des
résultats de ces missions permet une compréhension du processus de gestion des risques de l’organisation et de son efficacité.

Les processus de gestion des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux
moyens.

Le Guide de mise en oeuvre 2120 déclare :

Pour respecter cette norme, le responsable de l’audit interne et les auditeurs internes cherchent en premier lieu à comprendre l’appétence pour le
risque de l’organisation, ses missions et ses objectifs. Il est également important d’avoir une compréhension complète de la stratégie de
l’organisation et des risques identifiés par le management. Les risques peuvent être de nature financière, opérationnelle, légale, réglementaire, ou
stratégique… les auditeurs internes devront donc comprendre le contexte de management des risques de l’organisation, et les mesures
correctives qui ont été mises en place pour traiter les risques. En préalable à la mise en oeuvre de la Norme 2120, il est important de savoir de
quelle manière l’organisation identifie, évalue et surveille les risques.

Les techniques utilisées par les organisations en matière de gestion des risques peuvent être très différentes. Selon l’importance et la
complexité des activités, les processus de management des risques peuvent être :
Formels ou informels ;
Quantitatifs ou subjectifs.
Intégrés aux unités d'affaires ou centralisés au niveau de l'entreprise.

Chaque organisation conçoit des processus adaptés à sa culture, à son style de gestion et à ses objectifs commerciaux. L’auditeur
interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation.

Lors de l'évaluation de l'adéquation et de l'efficacité d'un système quelconque, y compris la gestion des risques, le contrôle interne et
la gouvernance, il existe des distinctions entre les termes qu'un auditeur interne doit bien comprendre.

L'adéquation de la gestion des risques, du contrôle et de la gouvernance

Se caractérise par la planification et l'élaboration de ces processus par la direction d'une manière qui garantit la réalisation des objectifs de
l'organisation de façon efficace et rentable. Les performances en termes d'efficience permettent d'atteindre les objectifs de façon précise,
opportune et économique. Les performances en termes de rentabilité permettent d'atteindre les objectifs en utilisant un minimum de ressources
(c'est-à-dire de coûts), en proportion de l'exposition au risque. L'assurance raisonnable est garantie si les mesures les plus rentables sont prises
lors des phases de conception et de mise en œuvre pour réduire les risques et limiter les écarts attendus par rapport à un niveau acceptable.
Ainsi, le processus de conception commence avec la définition des objectifs. Il est suivi par la mise en relation des concepts, des parties, des
activités et des individus, de manière à ce qu'ils fonctionnent de concert pour atteindre les objectifs définis.

L'efficacité de la gestion des risques, du contrôle et de la gouvernance

Se caractérise par le fait que la direction exécute les processus de manière à fournir l'assurance raisonnable que les objectifs de l'organisation
seront atteints. Outre la réalisation des objectifs et des activités planifiées, la direction conduit les opérations en autorisant les activités et les
transactions, en surveillant les performances des processus et en vérifiant que les processus de l'organisation fonctionnent tel que prévu.

Rôles de conseil
L'audit interne peut également réaliser des activités de conseil dans le but d'améliorer les processus de gestion des risques et de
contrôle de l'organisation. L'exposé de principes de l'IIA intitulé « The Role of Internal Auditing in Enterprise-wide Risk
Management » (Le rôle de l'audit interne dans le management des risques de l'entreprise) mentionne les sujets suivants comme rôles
possibles pour les missions de conseil :
Former la direction aux outils et techniques des contrôles et des risques utilisés par l'activité d'audit interne et partager ces outils.
Être le fer de lance de l'introduction du management des risques de l'entreprise dans l'organisation et du partage de l'expertise de
l'activité d'audit interne
Conseiller, animer des ateliers et former l'organisation aux risques et au contrôle.
Agir en tant que pivot de la coordination, de la surveillance et du reporting des risques.
 Aider les responsables à identifier la meilleure méthode pour atténuer un risque.

La mesure dans laquelle l'activité d'audit interne fournit réellement des activités de conseil en matière de gestion des risques dépend
de divers facteurs :
Disponibilité des ressources : ressources internes et externes disponibles pour le conseil.
Maturité de l'organisation face aux risques : niveau de maturité de la structure et des processus de gestion des risques
organisationnels, rôle organisationnel des auditeurs internes et qualifications de ces derniers.
Objectivité de l'auditeur interne : l'auditeur interne joue-t-il ou non un rôle dans la gestion du risque ?

Lorsque l'activité d'audit interne élargit ses services pour inclure des missions de conseil, des mesures de protection doivent être mises
en œuvre afin de préserver son indépendance et son objectivité.

Comme nous l'avons vu, l'activité d'audit interne peut apporter une contribution précieuse à la réussite via ses activités de conseil et
d'assurance, et aider de manière efficace la direction et le conseil à s'acquitter de leurs responsabilités. Toutefois, il faut bien
comprendre que la direction reste responsable de la gestion des risques.

Pour préserver l'intégrité de la fonction d'audit interne au sein du cadre de gestion des risques de l'organisation, l'exposé de principes
de l'IIA émet les recommandations suivantes :
Les auditeurs internes doivent conseiller la direction et remettre en question ou soutenir les décisions de celle-ci à propos des
risques, et non pas prendre eux-mêmes des décisions en la matière.
La nature des responsabilités de l'audit interne doit être documentée dans la charte d'audit et approuvée par le comité d'audit.

Le document « The Role of Internal Auditing in Enterprise-wide Risk Management » identifie les rôles suivants comme des fonctions
que l'audit interne ne devrait pas exercer :

Définir l'appétence pour le risque.

Imposer des processus de gestion des risques.
Assurer la gestion des risques.
Prendre des décisions concernant les réponses aux risques.
Mettre en œuvre les réponses aux risques au nom de la direction
Être responsable en matière de gestion des risques.

Acceptation du risque par la direction

L'activité d'audit interne évalue l'efficacité des processus de gestion des risques de l'organisation en menant des missions d'assurance
et recommande des améliorations au conseil et au comité d'audit. Lors de l'évaluation des processus internes, l'activité d'audit interne
assure de manière raisonnable que les processus en place vont permettre à l'organisation d'atténuer les risques et d'atteindre ses
objectifs de façon efficiente et rentable.

La norme de fonctionnement 2600 « Communication relative à l'acceptation des risques » indique : « Lorsque le responsable de l'audit
interne conclut que le management a accepté un niveau de risque qui pourrait s'avérer inacceptable pour l'organisation, il doit
examiner la question avec la direction générale. Si le responsable de l’audit interne estime que le problème n’a pas été résolu, il doit
soumettre la question au Conseil.

L'interprétation de la norme 2600 clarifie la façon dont les risques peuvent être identifiés et qui est responsable de la gestion de ce
risque : « L’identification du niveau de risque accepté par le management peut résulter d’une mission d’assurance, d’une
mission de conseil, du suivi des plans d’actions du management à la suite de missions d’audit interne antérieures, ou d’autres
moyens. La réponse au risque ne relève pas du responsable d’audit interne. »

La responsabilité de l'acceptation du risque est également traitée dans le Guide de mise en oeuvre 2060, « Communication avec la
direction générale et le conseil » : « Les communications du responsable de l’audit interne ont pour finalité première d’apporter une
assurance et des conseils à la direction générale et au Conseil en ce qui concerne les processus de gouvernance (Norme 2110), de
management des risques (Norme 2120) et de contrôle (Norme 2130) de l'organisation… Si le responsable de l’audit interne estime
que la direction générale a accepté un niveau de risque qui pourrait s’avérer inacceptable pour l’organisation, il devrait en discuter
avec elle. S’ils ne parviennent pas à s’entendre, la Norme 2600 requiert que le responsable de l’audit interne informe le Conseil.
Lorsque la situation ne peut pas attendre la prochaine réunion du Conseil (un cas de fraude majeur par exemple), le responsable de
l’audit interne devrait en faire part au plus tôt. »

Risques imprévus
Les plans de mission d'audit hiérarchisent les missions selon plusieurs facteurs, notamment l'utilisation efficace des ressources, les
priorités des risques et l'importance des risques et de l'exposition. Le rapport final de l'activité d'audit présente les résultats et les
observations. Toutefois, des risques imprévus, c'est-à-dire en dehors de ceux pris en compte lors de la phase de planification des
missions fondée sur les risques, apparaissent fréquemment.

Voici quelques-uns des nombreux risques possibles :

Actions en justice ;
Problèmes de responsabilité pour les produits/services ;
Méfaits de la part d'employés ;
 Accidents ;
Vandalisme ;
Sabotage ;
Erreurs commises par des employés ;
Erreurs commises par des fournisseurs ;
Arriérés de comptes fournisseurs ;
Rendement d'investissements financiers inacceptable ;
Délais de récupération de projets inacceptables ;
Catastrophes naturelles
Départ, décès ou handicap inattendu d'un membre clé de l'organisation
Contrôles inadaptés ;
Fraude.

En pratique, même les processus de gestion des risques les plus efficients et efficaces ne peuvent pas prévoir tous les risques
potentiels. Si des risques imprévus émergent et que le RAI les juge significatifs, celui-ci doit discuter des expositions aux risques avec
le conseil et le comité d'audit.
 Chapitre D : Sensibilisation au risque de fraude
Introduction du chapitre
Dans ce chapitre, nous ne traitons pas d'audits de fraude ou d'enquêtes à grande échelle liées à des fraudes. Ces sujets seront
explicités ultérieurement dans la Partie 2, qui examine en détail les risques de fraude et les contrôles. Nous allons ici évoquer un
aspect plus général.

Conformément à la norme 1210.A2 (Missions d'assurance), « les auditeurs internes doivent disposer de connaissances suffisantes
pour évaluer le risque de fraude et la manière dont il est géré par l'organisation, mais ils ne sont pas censés détenir l'expertise d'une
personne dont la principale responsabilité est de détecter les fraudes et d'enquêter sur elles ». La norme 1210.A2 est une norme de
mise en œuvre qui fournit des recommandations pour la réalisation de missions d'assurance (A) en conformité avec les normes 1200
et 1210.

Norme 1200, « Compétence et conscience professionnelle » : Les missions doivent être menées avec compétence et conscience
professionnelle.
Norme 1210, « Compétence » : Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou
acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.

L'IIA propose des supports de formation qui permettent à l'auditeur de satisfaire aux exigences pour acquérir et conserver la maîtrise
requise par ces Normes. Ces supports comprennent les Guides de mise en oeuvre, les guides pratiques et les exposés de principes
associés, des séminaires et des publications, ainsi que des liens vers d'autres ressources.

Responsabilités de l'auditeur relatives à la fraude

Quatre exigences liées aux fraudes sont spécifiquement mentionnées dans le plan de l'examen des auditeurs internes certifiés (CIA).
Il relève de la responsabilité de l'auditeur :
De remarquer les indices de fraude ;
De prévoir les étapes adéquates pour faire face à un risque important de fraude ;
D'utiliser les tests d'audit pour détecter les fraudes ;
De déterminer si une suspicion de fraude nécessite une enquête.

Ce chapitre traite du premier devoir, qui consiste à détecter les indices de fraude. On analysera le reste des responsabilités dans la
Partie 2, Section III, « Risques de fraude et contrôles ».

Être suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :
De connaître la définition de la fraude, telle qu'elle est donnée dans le glossaire de l'IIA ou dans d'autres sources professionnelles
ou légales faisant autorité ;
D'être en mesure d'identifier les types de fraude les plus susceptibles de se produire chez un client d'audit précis et d'être capable
d'évaluer le niveau de vulnérabilité du client (risque de fraude) ;
De connaître les symptômes de fraude (signaux d'alerte).

Les rubriques de ce chapitre couvrent ces indices de fraude, en commençant par la définition de la fraude, suivi d'une description des
divers types de fraude et, pour conclure, les symptômes de fraude ou les signaux d'alerte de fraude.

Rubrique 1 : Définition et introduction de la fraude (Niveau A)

Définition de la fraude
Le Glossaire des Normes définit la fraude comme « tout acte illégal caractérisé par la tromperie, la dissimulation ou la violation de la
confiance. Ces agissements ne sont pas subordonnés à l'usage de menaces de violence ni au recours à la force physique. Les fraudes
sont perpétrées par des parties et des organisations dans le but d'obtenir de l'argent, des biens ou des services, d'échapper au
paiement ou à la perte de services ou de s'assurer des avantages personnels ou commerciaux ».

En 2008, l'IIA, en association avec l'AICPA (American Institute of Certified Public Accountants) et l'ACFE (Association of Certified
Fraud Examiners), a publié le guide « Managing the Business Risk of Fraud, A Practical Guide ». Ce dernier définit la fraude comme
« tout(e) acte ou omission délibéré(e) visant à tromper un tiers et ayant pour résultat une perte subie par la victime et/ou un gain
obtenu par l'auteur ».

La définition juridique spécifique de la fraude peut varier en fonction de la juridiction.

Éléments particuliers à prendre en compte concernant la détection et les enquêtes

de fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont souvent utilisés. Dans le cadre de ses missions, l'auditeur
interne porte diverses responsabilités en matière de détection des fraudes. Il doit :
Considérer les risques de fraude dans l'évaluation de la conception des contrôles et la détermination des étapes d'audit à effectuer.
Posséder une connaissance suffisante de la fraude pour identifier les signaux d'alerte indiquant qu'une fraude a pu être commise.
Rester vigilant quant aux opportunités de fraude, telles que les faiblesses du contrôle.
Évaluer les indices de fraude et décider si une action complémentaire est nécessaire ou si une enquête doit être recommandée.
Informer les autorités compétentes au sein de l'organisation s'il est déterminé qu'une fraude a été commise, afin de recommander
une enquête.

Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant posséder une compréhension
suffisante des contrôles internes pour identifier les opportunités de fraude. Ils doivent également

comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment empêcher la fraude.

Vous trouverez plus d'informations dans l'ouvrage « Managing the Business Risk of Fraud, A Practical Guide », disponible sur le site
Web de l'IIA.

Rubrique 2 : Décrire les types de fraude (Niveau A)

Il existe deux types généraux d'actes frauduleux : ceux qui permettent à un individu (qu'il soit interne ou externe à l'organisation) de
tirer un profit à la charge de l'organisation (comme le détournement de fonds), et ceux commis au nom d'une organisation (comme le
reporting financier frauduleux visant à faire grimper artificiellement le prix des actions).

La fraude peut être classée de différentes manières : selon la personne – interne ou externe à l'organisation – qui la commet, selon la
manière dont elle est dissimulée (fraude sur les comptes ou hors comptes) ou selon le cycle commercial pendant lequel elle est
commise (ventes et recouvrements, acquisitions et paiements, rémunération et personnel, stock et entreposage, acquisition et
remboursement de capital). Les auditeurs internes doivent choisir le système de classification le plus approprié à leur organisation, puis
se familiariser avec des scénarios de fraude communs à ces classes.

Fraude faisant du tort à l'organisation

La fraude perpétrée au détriment de l'organisation est généralement réalisée au profit direct ou indirect d'un employé, d'un individu
extérieur ou d'une autre organisation. Les opérations de fraude courantes qui nuisent à l'organisation comprennent notamment :

Le détournement d'actifs implique le vol d'argent ou d'actifs (fournitures, stock, équipement, informations) appartenant à
l'organisation. Bien souvent, l'auteur de la fraude essaie de dissimuler le vol, généralement en modifiant les registres.

Le détournement de fonds a lieu lorsque de l'argent est volé à une organisation avant d'être enregistré dans les livres
comptables de l'organisation. Par exemple, un employé accepte le paiement d'un client, mais n'enregistre pas la vente.

Le décaissement frauduleux a lieu lorsqu'une personne fait payer à l'organisation des produits ou services fictifs, des factures
exagérées ou des factures pour des achats personnels. Par exemple, un employé peut créer une société-écran, puis envoyer à son
employeur une facture pour des services inexistants. D'autres exemples incluent des demandes d'indemnité frauduleuses pour des
soins de santé (facturations pour des services non effectués, facturations séparées au lieu de facturations groupées), demandes
d'indemnité chômage par des personnes qui travaillent ou demandes de pension ou de prestations de sécurité sociale pour des
personnes décédées.

On parle de fraude par remboursement de frais lorsque l'employé est rémunéré pour des dépenses fictives ou exagérées. Par
exemple, un employé présente des notes de frais frauduleuses pour se faire rembourser des déplacements personnels, des repas
inexistants, des kilomètres supplémentaires, etc.

La fraude sur salaire a lieu lorsque le fraudeur fait émettre un paiement par l'organisation en établissant de fausses demandes de
rémunération. Par exemple, un employé réclame le paiement d'heures supplémentaires pour des heures non travaillées ou ajoute
des employés fictifs à la liste du personnel et perçoit les paies.

Un conflit d'intérêts a lieu lorsqu'un employé, un directeur ou un dirigeant d'une organisation a un intérêt économique personnel
gardé secret dans une transaction et que celui-ci compromet les intérêts de l'organisation ou des actionnaires.

Un détournement est l'acte de détourner une transaction potentiellement lucrative pour le compte d'un employé ou d'une
personne extérieure.

D'autres exemples incluent :

Le fait d'accepter des pots-de-vin ou des commissions occultes.
La non-divulgation intentionnelle ou la fausse déclaration d'événements, transactions ou données.
 L'absence intentionnelle de réaction dans des circonstances où l'entreprise ou la loi exige de prendre des mesures.
L'utilisation non autorisée ou illégale d'informations confidentielles.
La manipulation non autorisée ou illégale des réseaux informatiques ou des systèmes d'exploitation.

Les gens escroquent les organisations de très nombreuses manières, allant du simple vol au détournement de fonds. Au bas de
l'échelle, l'escroquerie d'une organisation n'implique rien de plus que le fait de ramener chez soi des fournitures de bureau peu
onéreuses. Si les éléments dérobés n'ont pas plus de valeur que des stylos ou quelques feuilles de papier, il est probable que personne,
pas même l'auditeur interne, ne le remarquera. Le vol d'équipement onéreux à des fins d'utilisation ou de vente sera remarqué et
déclenchera une enquête plutôt qu'un audit.

C'est la « tromperie » mentionnée dans la définition du glossaire des Normes de l'IIA qui fait généralement entrer la fraude dans le
domaine de compétence de l'auditeur interne. L'auditeur recherche des signaux d'alerte indiquant la possibilité qu'une personne
(employé, responsable ou tiers extérieur) détourne des actifs de l'organisation pour son utilisation personnelle ou pour les vendre, tout
en masquant la disparition de ces actifs.

Fraude qui profite à l'organisation

Le deuxième type de fraude est perpétré pour le compte de l'organisation. La fraude mise en œuvre pour profiter à l'organisation
produit généralement un bénéfice, par l'exploitation d'un avantage injuste ou malhonnête, qui peut également nuire à un tiers extérieur.
Les auteurs de telles fraudes profitent généralement d'un avantage personnel indirect, comme le versement de primes de gestion ou
une promotion.

Parmi les opérations de fraude qui profitent à l'organisation figurent :

Fraude dans les états financiers : comme indiqué précédemment, cette fraude implique la falsification des états financiers,
souvent en surévaluant les actifs ou les recettes, ou en sous-évaluant les dettes et les dépenses. Les fraudes de ce type sont
généralement commises par des directeurs d'organisation qui cherchent à améliorer l'image économique de leur organisation. Les
membres de la direction peuvent profiter directement de la fraude en vendant des parts, en touchant des primes de rendement ou
en utilisant de faux rapports pour dissimuler une autre fraude.

Fausses déclarations : cette fraude implique la communication de fausses informations, généralement à des personnes
extérieures à l'organisation. Le plus souvent, cela implique des états financiers frauduleux, bien que la falsification d'informations
utilisées comme mesures de performances puisse également avoir lieu.

Corruption : il s'agit de l'abus de pouvoir à des fins d’enrichissement personnel. La corruption inclut les pots-de-vin et d'autres
utilisations abusives du pouvoir. Il s'agit souvent d'une fraude hors comptes, ce qui signifie que les états financiers ne présentent
pas suffisamment d'éléments pour prouver que le délit a été commis. Les employés corrompus n'ont pas à modifier
frauduleusement les états financiers pour dissimuler leurs crimes ; ils reçoivent simplement des paiements en espèces sous la table.
Dans la plupart des cas, ces crimes sont découverts sur des suggestions ou des plaintes de tiers, souvent par le biais d'une ligne
téléphonique anti-fraude. La corruption implique souvent la fonction d'approvisionnement. Tout employé autorisé à dépenser
l'argent d'une organisation est susceptible d'être corrompu.

Pot-de-vin : c'est l'offre, le don, l'acceptation ou la sollicitation de tout élément de valeur pour influencer un résultat. Des pots-de-
vin peuvent être offerts à des directeurs ou des employés clés tels que des acheteurs qui ont toute latitude pour attribuer des
contrats à des fournisseurs. Dans le cas typique, un acheteur accepte des pots-de-vin pour favoriser un fournisseur extérieur dans
l'achat de biens ou de services. L'offre ou l'acceptation de tout élément de valeur peut aussi être vue dans le sens inverse : celui de
demander cet élément de valeur comme condition d'attribution de contrats, ce qu'on appelle extorsion économique. Autre exemple :
un responsable des prêts corrompu qui demande un pot-de-vin en échange de l'approbation d'un prêt. Les personnes qui offrent les
pots-de-vin ont tendance à être des représentants mandatés ou des intermédiaires pour des fournisseurs extérieurs.

Transaction avec des parties liées : il s'agit d'une situation dans laquelle une partie reçoit des bénéfices qu'il serait impossible
d'obtenir dans le cadre d'une transaction indépendante normale.

Évasion fiscale : il s'agit de la communication intentionnelle de fausses informations dans une déclaration de revenus pour réduire
le montant des impôts dus. Les prix de transfert malhonnêtes et intentionnels (par exemple, l'évaluation des marchandises
échangées entre organisations apparentées) peuvent également être utilisés dans le cadre de l'évasion fiscale. En structurant
volontairement les techniques de tarification de manière inadéquate, la direction peut améliorer les résultats d'exploitation au
détriment d'une autre organisation et des systèmes d'imposition d'un ou plusieurs pays.

D'autres exemples incluent :

Les contributions politiques illégales et les paiements à des responsables gouvernementaux ou à leurs intermédiaires ;
La vente ou l'attribution d'actifs fictifs ou falsifiés ;
Les activités commerciales interdites, comme celles qui enfreignent les législations, règles, règlements ou contrats
gouvernementaux.

Parmi ces actes frauduleux, les contributions illégales, les pots-de-vin, etc. ont entraîné l'adoption du projet de loi Foreign Corrupt
Practices de 1977 aux États-Unis. Tout acte impliquant une tromperie dans le but de profiter à l'organisation (et, dans le même temps,
de faire du tort à une autre partie) s'intègre dans ce contexte.

Listes de vérification en matière de fraude

La sensibilisation aux mécanismes de fraude est développée par le biais de l'évaluation périodique par la direction et les auditeurs
internes, la formation des employés, et des communications fréquentes entre la direction et les employés. Certaines organisations
développent une liste de vérification des scénarios de fraude par catégorie comme outil d'évaluation des risques ; les auditeurs internes
peuvent utiliser cette liste comme support lors de la planification d'un audit.

Vous trouverez un exemple à l'illustration II-29 sur la page suivante.

Rubrique 3 : Énumérer les signaux d'alerte en matière de fraude

(Niveau A)
Situations indiquant une fraude potentielle (signaux d'alerte)
La lutte contre la fraude commence par des programmes et contrôles anti-fraude efficaces, que la direction devrait mettre en place
pour prévenir et dissuader les fraudes. La déclaration SAS n° 99, norme anti-fraude américaine publiée par l'Auditing Standards
Board, contient une présentation des types de contrôles et de programmes qu'un auditeur doit rechercher. Elle permet de comprendre
les caractéristiques de la fraude et donne divers exemples.

Comme les champignons vénéneux, la fraude prospère dans un type d'environnement particulier. L'auditeur interne doit savoir
reconnaître les conditions environnementales qui constituent un sol fertile pour la fraude.

Cependant, il est important de se rappeler que ce sont les gens qui sont à l'origine des fraudes et non les défaillances dans les
systèmes, les politiques, les procédures ou les contrôles. Les gens peuvent profiter de ces défaillances mais il s'agit toujours d'une
activité humaine ; les discussions entourant la détection de fraude se rapportent donc à la compréhension des motivations et
rationalisations des personnes.

Illustration II-29 : Liste de vérification en matière de fraude

Sawyer propose la liste d'exemples suivants de situations qui pourraient indiquer une fraude :
Des contrôles internes peu structurés ;
Une philosophie inappropriée de la direction ;
Une position financière risquée ;
La faible motivation des employés ;
La confusion déontologique ;
Le manque de vérification sur les nouvelles embauches ;
Le manque de programmes de soutien des employés ;
Les conditions générales, comme un taux de rotation élevé des employés, des fusions en attente, une confiance excessive envers
des employés clés, etc.

Chacune de ces situations peut suggérer des tentations précises. Une « position financière risquée » constitue un motif en cas de
fraude commise pour le compte de l'organisation à l'encontre des prêteurs et des investisseurs, par exemple. Le « manque de
vérification sur les nouvelles embauches » suggère qu'il est nécessaire de mettre en place des étapes d'embauche visant à identifier
les employés ayant un passé suspect, mais aussi les motifs et les opportunités (il est évident que cela suggère également des
recommandations à proposer à la direction concernant les pratiques liées aux ressources humaines). La « faible motivation des
employés » implique l'éventualité d'une fraude commise à l'encontre de l'entreprise par des employés enclins au vol et particulièrement
désenchantés par leur employeur.

Il existe un ensemble de trois conditions qui, lorsqu'elles sont présentes en proportions adéquates, suggèrent l'éventualité d'une fraude.
Il s'agit de l'opportunité, du motif et de la rationalisation, qui sont décrits comme suit.

Opportunité
Un processus peut être convenablement conçu pour des conditions données. Toutefois, une fenêtre d'opportunité peut survenir et produire
un dysfonctionnement ou des circonstances menant à l'échec du contrôle.
Une opportunité de fraude peut exister en raison d'une mauvaise conception du contrôle ou d'un manque de contrôle. Par exemple, un
système peut être développé pour protéger, en apparence, les actifs, sans toutefois être doté d'un contrôle important. Quiconque est
conscient de cet écart peut en profiter sans faire beaucoup d'efforts.
Il est possible que des personnes occupant des positions d'autorité puissent créer des occasions de contourner les contrôles existants, car
des subordonnés ou des contrôles faibles leur permettent de contourner les règles.

Motif (également appelé incitation ou pression)

Même si les gens peuvent justifier leurs actes, ils doivent avoir un motif pour se comporter ainsi.
Le pouvoir est un facteur de motivation. Le pouvoir peut se résumer à gagner l'estime de sa famille ou de ses collègues. Dans le cas des
fraudes informatiques, la plupart du temps, le pirate veut démontrer son pouvoir et ses compétences plutôt que de causer un préjudice
intentionnel.
Un autre stimulant est la satisfaction d'un désir, comme la cupidité, ou d'une dépendance.
Le troisième stimulant est la pression, issue de contraintes physiques ou imposée par des parties extérieures.
 Rationalisation
La plupart des personnes se considèrent comme des gens bien, même s'il leur arrive parfois de mal agir. Pour se convaincre malgré tout
qu'elles ne font rien de mal, elles peuvent justifier ou nier leurs actes. Par exemple, ces personnes peuvent considérer qu'elles étaient en droit
de posséder l'élément dérobé ou que, si les cadres enfreignent les règles, il est acceptable que d'autres individus fassent de même.
Certaines personnes feront des choses définies comme inacceptables par l'organisation et qui sont pourtant monnaie courante dans leur
culture ou qui étaient acceptées par leurs précédents employeurs. En conséquence, ces personnes ne respectent pas les règles qui n'ont
aucun sens à leurs yeux.
Certaines personnes peuvent connaître des difficultés financières périodiques au cours de leur vie, avoir succombé à une dépendance
coûteuse ou subir d'autres pressions. C'est pourquoi elles se justifient en disant qu'elles ont juste emprunté l'argent et que, lorsque leur vie
s'améliorera, elles le rembourseront.
D'autres peuvent penser qu'il n'y a rien de mal à voler une entreprise, dépersonnalisant ainsi l'acte.

Bien que les auditeurs internes puissent ne pas être capables de connaître le motif exact ou la rationalisation de la fraude, ils sont
censés en savoir suffisamment sur les contrôles internes pour identifier les opportunités de fraude. Les auditeurs devraient également
comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment les empêcher. Il convient
d'examiner les informations mises à disposition par l'IIA et d'autres associations ou organisations professionnelles pour s'assurer que
les connaissances de l'auditeur sont à jour.

Signaux d'alerte par catégories

Les signaux d'alerte peuvent se rapporter un moment, une fréquence, un lieu, un montant ou un type de personnalité. Les signaux
d'alerte incluent la neutralisation des contrôles par la direction ou des membres du comité, les activités de gestion irrégulières ou mal
expliquées, le dépassement régulier des buts/objectifs quelles que soient les conditions commerciales et/ou la concurrence, la
prépondérance de transactions ou d'entrées de journal non programmées, les problèmes ou retards pour fournir les informations
demandées, ainsi que les changements importants ou inhabituels de clients ou de fournisseurs. Les signaux d'alerte peuvent également
inclure des transactions pas suffisamment justifiées ou pas approuvées de manière normale, des employés ou des membres de la
direction qui remettent des chèques en main propre, des plaintes de clients au sujet de livraisons, des contrôles d'accès informatique
insuffisants tels que de mauvais contrôles par mot de passe.

Les fraudeurs présentent souvent des comportements ou des caractéristiques qui peuvent servir d'avertissements ou de signaux
d'alerte. Les signaux d'alerte personnels incluent le fait de vivre au-dessus de ses moyens, de faire part de son insatisfaction au travail
à ses collègues, une collaboration anormalement étroite avec des fournisseurs, de lourdes pertes financières personnelles, une
dépendance à la drogue, à l'alcool ou au jeu, un changement dans la situation personnelle et le développement d'intérêts extérieurs à
l'entreprise. En outre, il existe des fraudeurs qui rationalisent constamment des performances médiocres, qui perçoivent le fait de
contourner le système comme un défi intellectuel, qui fournissent des communications et des rapports peu fiables, et qui prennent
rarement des vacances ou des arrêts de travail (et qui, lorsqu'ils sont absents, ne sont pas remplacés à leur poste).

Ces signaux d'alerte indiquent souvent une conduite inappropriée, et les auditeurs internes ainsi que la direction de l'organisation
doivent être formés pour comprendre et identifier les signes d'avertissement potentiels d'une conduite frauduleuse. Bien qu'aucun de
ces signes ne signifie qu'un employé commette véritablement une fraude, une combinaison de ces facteurs peut indiquer la nécessité
de conduire des enquêtes et de renforcer l'attention de l'audit.

Dans Effective Fraud Detection and Prevention Techniques Practice Set (Techniques efficaces de détection et de prévention
des fraudes), Glover et Flag suggèrent différents moyens de classer les signaux d'alerte par catégories et répertorient plusieurs
exemples spécifiques. Voici les types de signaux d'alerte généralement rencontrés :
Signaux d'alerte relatifs au cycle d'audit : ils se caractérisent par la partie du cycle d'audit dans laquelle ils sont observés.
Signaux d'alerte relatifs à l'environnement : ils se caractérisent par l'environnement dans lequel ils se produisent.
Signaux d'alerte spécifiques au secteur industriel : la nature de certains secteurs industriels crée des circonstances
favorables pour la réalisation de certains types d'activités frauduleuses qui ont leurs propres signaux d'alerte.
Signaux d'alerte relatifs aux auteurs de fraudes : ils sont liés aux personnes qui commettent la fraude, qu'il s'agisse d'employés
ou de directeurs.

Nous allons étudier chacun de ces types, puis nous examinerons brièvement les signaux d'alerte associés aux états financiers, bien que
l'audit des états financiers incombe généralement à un auditeur externe plutôt qu'à un auditeur interne.

Signaux d'alerte relatifs au cycle d'audit

L'audit interne analyse les activités dans quatre domaines ou cycles d'ordre général :
Les ventes, qui incluent l'enregistrement des créances et la réception des paiements ;
Les dépenses, qui incluent les dettes associées au coût d'exploitation de l'entreprise ;
La production, qui est axée sur les coûts spécifiquement associés aux biens ou services produits ou vendus ;
Le financement, qui inclut à la fois les dettes contractées et remboursées et les actions émises et rachetées.

L'illustration II-30 sur la page suivante présente certains signaux d'alerte associés à chacun de ces cycles et décrits par Glover, Flag
et d'autres auteurs. Ces listes de signaux d'alerte ne sont nullement exhaustives.

Signaux d'alerte relatifs à l'environnement

L'environnement peut être considéré à l'échelle globale ou locale. L'échelle globale se rapporte à des conditions qui affectent tout un
secteur industriel, un pays ou une région mondiale, tandis que l'échelle locale se rapporte à des organisations spécifiques. Parmi les
exemples de signaux d'alerte à l'échelle globale figurent :
Une concurrence rude dans laquelle certains acteurs d'entreprise peuvent être gênés par des pratiques commerciales déloyales ou
des ralentissements économiques qui font pression sur les entreprises et les poussent à licencier, ce qui exerce des pressions
économiques sur les personnes. Ces conditions peuvent être un motif de fraude.
Des secteurs récemment déréglementés ou mal réglementés, dans lesquels l'absence ou le laxisme des contrôles crée des
opportunités de fraude. Comme indiqué ci-dessous, certains types de secteurs industriels offrent intrinsèquement des opportunités
de fraude : notamment par l'importance et la facilité d'accès à l'argent dans l'entreprise ou par la complexité des transactions et
l'opacité qui en résulte.
Une tendance culturelle ou sectorielle à la malhonnêteté et au mépris des lois et règlements (p. ex., une longue histoire de pratiques
de corruption chez certains types d'entrepreneurs travaillant pour le, un phénomène d'acceptation des pots-de-vin par des
fonctionnaires de l'État). Les fraudeurs peuvent invoquer des antécédents ou un climat de consentement comme rationalisation de
la fraude.

Les mêmes types de signaux d'alerte sont également visibles à l'échelle locale ou à l'échelle de l'organisation :

Un besoin financier peut être créé par des événements tels que la perte d'un contrat lucratif, des pressions pour améliorer les
performances financières afin d'obtenir un prêt ou avant d'émettre des actions, ou un échec en recherche et développement qui
menace la santé du portefeuille de produits de l'organisation.
Des réorganisations peuvent être synonymes de perturbations dans les politiques de contrôle, ce qui favorise la fraude. L'absence
de processus de sélection peut conduire à l'embauche de personnes ayant un motif pour commettre une fraude. L'incapacité des
directeurs et des superviseurs à mettre en œuvre, appliquer et surveiller des politiques de contrôle peut créer une culture de
l'opportunité.
L'incapacité de former tout le personnel au code déontologique de l'organisation peut contribuer à une culture qui rationalise
facilement les actes de fraude, petits et grands, comme le vol, la manipulation des procédures d'appel d'offres, les commissions
occultes et les conflits d'intérêt.

Illustration II-30 : Signaux d'alerte relatifs au cycle d'audit

Deux types particuliers d'environnements locaux offrent des opportunités de fraude spécifiques et posent des difficultés pour l'audit
interne : les organisations internationales et les organisations qui reposent fortement sur la technologie.

Organisations internationales
Les audits internes d'entreprises qui fonctionnent au niveau international peuvent révéler plusieurs types de signaux d'alerte qui
résultent de la difficulté à conserver des contrôles dans une organisation décentralisée et multiculturelle. La corruption peut se
présenter dans les deux sens : les employés peuvent recevoir des commissions occultes et de lourdes dépenses mal décrites peuvent
dissimuler des pots-de-vin à des agents étrangers. Les directeurs peuvent porter des salariés fictifs sur la masse salariale. Des
dossiers peuvent être perdus. Des différences dans les taux de change peuvent être exploitées. Des myriades de transferts de fonds
internationaux légitimes peuvent dissimuler des transferts bancaires frauduleux vers des comptes numérotés.

Organisations dépendant de la technologie informatique

Les entreprises qui reposent fortement sur la technologie informatique font face à des difficultés de sécurité des contrôles. Le
système peut être utilisé pour voler des actifs, notamment des données pouvant faciliter l'identification du vol et la dissimulation de la
fraude. L'accès au système peut permettre de forcer des contrôles et de falsifier des dossiers. La propriété intellectuelle peut être
facilement accessible dans des formats hautement portables. Les auditeurs internes doivent être attentifs aux signaux d'alerte
susceptibles de signaler des contrôles de sécurité inefficaces : p. ex., une gestion médiocre du réseau qui ne parvient pas à définir et à
appliquer des niveaux d'accès appropriés, l'absence de rapports indiquant un accès non autorisé au système, l'utilisation de mots de
passe par des utilisateurs non autorisés, l'incapacité des utilisateurs à sécuriser leur propre ordinateur au moyen de mots de passe ou
même le contrôle physique d'outils tels que les ordinateurs personnels, l'absence de pare-feu pour la détection des intrus, les
utilisateurs invitant des intrus dans un système d'entreprise par une utilisation négligente d'Internet. Les auditeurs doivent également
prendre note des signaux d'alerte suivants : une succession de perturbations du système ou de pertes de données, des méthodes
inhabituelles d'utilisation du système (p. ex., activités de +traitement et transactions dans une zone du système, à une heure
inattendue), des personnes qui travaillent au-delà ou en dehors de leurs heures normales afin de pouvoir garder accès au système ou
encore des ordinateurs personnels signalés comme volés.

Signaux d'alerte spécifiques au secteur industriel

Il a été estimé que quatre secteurs industriels représentaient à eux seuls plus de 70 % de la fraude en col blanc : les services
financiers, l'industrie manufacturière, l'assurance et l'énergie.

Le secteur des services financiers – qui inclut les banques, les établissements d'épargne et de prêts, les sociétés émettrices de carte
de crédit, les entreprises d'investissement et les établissements financiers – réunit au moins deux des facteurs de fraude : le motif et
l'opportunité. Dans des activités hautement concurrentielles, les personnes et les entreprises peuvent être incitées à rapporter
incorrectement des ventes et des bénéfices. Il y a également l'accès à l'argent, via des détournements systématiques des comptes
clients, l'interception des paiements des clients, l'émission de prêts à des entités fictives, etc., ainsi que des systèmes de transaction
électroniques compliqués qui peuvent être utilisés pour dissimuler les infractions.

De la même façon, le secteur de l'assurance offre un accès aisé à l'argent via des demandes d'indemnité ou des dédommagements
frauduleux à des clients inexistants ou une mauvaise évaluation des biens assurés.

Les opportunités abondent également dans les entreprises industrielles, où des processus d'acquisition compliqués et une supervision
laxiste ont généré des écarts et des dépassements de coûts très fréquents. Les entreprises technologiques à peu d'actionnaires offrent
des opportunités de fraude à la poignée de décideurs qui connaissent et comprennent le produit et l'activité.

Dans le secteur de l'énergie, une structure décentralisée, souvent internationale, laisse le champ libre pour couvrir les activités
frauduleuses et la corruption. Il peut être difficile d'évaluer les actifs ou de suivre les bénéfices. Les clients ne sont peut-être pas en
mesure de vérifier la nature et le volume de ce qu'ils reçoivent vraiment.

Signaux d'alerte relatifs aux auteurs de fraudes

Les auteurs de fraudes peuvent être des organisations ou des personnes. La fraude commise par des organisations entières fait l'objet
d'une large couverture médiatique et peut avoir de lourds impacts économiques, réglementaires et sociaux. Les signaux d'alerte
relatifs à l'environnement précédemment évoqués abordent un bon nombre des indicateurs du risque de fraude. En outre, comme
Tracy Coenen l'a rapporté dans le Wisconsin Law Journal, il y a des coûts économiques indirects (p. ex., une perte de la productivité
de gestion, des enquêtes et des poursuites judiciaires, le développement et la mise en œuvre de nouveaux contrôles), mais également
des coûts non économiques (p. ex., des conséquences négatives sur le moral des employés).

Les signaux d'alerte relatifs aux auteurs de fraudes concernent les trois conditions de la fraude :

Opportunité. Les employés qui refusent de prendre des pauses, des vacances ou d'avoir des promotions ; les employés qui
acceptent volontairement certaines tâches qui leur permettent d'accéder à l'argent, aux systèmes d'information, aux dossiers ou
aux actifs ; une tendance des employés ou des directeurs à cultiver des relations étroites avec certains clients ; une atmosphère de
crise continuelle ; l'incapacité à résoudre ou à enquêter sur des affaires non résolues ; le recours fréquent à la manipulation d'un
processus par la direction ; un responsable à un poste particulier depuis un nombre excessif d'années.
 Motif. Des possessions ou un style de vie qui ne concordent pas avec les revenus familiaux, la vantardise au sujet des possessions,
un niveau d'endettement élevé ou une succession d'emprunts, des retenues sur la paye ou des appels au travail de la part de
créanciers, la pression subie pour atteindre les objectifs professionnels ou familiaux, une forte ambition de gagner plus d'argent, un
investissement important dans des systèmes lucratifs (p. ex., Bourse, biens immobiliers).

Rationalisation. Un piètre sens moral, des antécédents de violation des règles ou d'abus de certaines situations, l'attribution des
irrégularités à des mauvaises habitudes ou à des points faibles personnels anodins (p. ex., retards dans les tâches administratives
dus à une aversion personnelle à ce genre de tâches), des griefs contre l'employeur et les superviseurs.

Les auditeurs doivent également être attentifs aux signaux de comportement tels qu'une succession de plaintes contre un employé, une
baisse du moral des employés ou une hausse de l'absentéisme, des démissions soudaines ou des réponses évasives aux questions
posées, ainsi qu'un manque de coopération ou une attitude hostile pendant l'audit.

D'autres signaux d'alerte peuvent indiquer les techniques utilisées pour commettre la fraude, à savoir :
Des écarts inexpliqués (p. ex., des dépenses anormalement élevées en comparaison avec les périodes précédentes) ;
Des pénuries d'argent ou de stock inhabituelles ;
Des documents manquants ou modifiés ;
Des éléments de facturation ne correspondant pas au code de taxe ou à la fonction commerciale ;
Des contournements des processus d'approbation (p. ex., division des commandes pour rester en dessous des seuils pour
approbation) ;
Des fournisseurs avec des noms génériques ou des adresses de boîte postale seulement ;
Des transactions manuelles dans un environnement habituellement caractérisé par des transactions automatisées ;
Des montants égaux dans un environnement habituellement caractérisé par des montants irréguliers ;
Des paiements en double ;
Une augmentation soudaine de l'activité « par intermédiaire » (à l'aide d'un employé intermédiaire fictif pour détourner l'argent ou
les actifs de l'entreprise).

Fraude commise par la direction

L'ACFE, Association of Certified Fraud Examiners, a remarqué que la taille d'une activité frauduleuse est en rapport avec la position
du fraudeur. Les pertes imputables à la fraude commise par des propriétaires ou des dirigeants étaient près de cinq fois supérieures à
celles causées par des directeurs, tandis que les pertes causées par des directeurs étaient 13 fois plus coûteuses que les fraudes
commises par des employés.

Les directeurs qui commettent des fraudes contre leur entreprise (à distinguer de ceux qui commettent des fraudes au nom de leur
entreprise, tels que les directeurs qui autorisent et couvrent la violation de la législation environnementale et du droit du travail)
présentent de nombreux signaux d'alerte identiques à ceux de leurs employés. Ils peuvent avoir des besoins supplémentaires ayant
pour cause les attentes de l'entreprise. Ainsi, un directeur commercial peut falsifier des registres de vente afin d'atteindre les objectifs
trimestriels et rester en course pour une promotion. Le responsable d'un service peut rapporter incorrectement des performances pour
éviter des licenciements. Les directeurs peuvent également avoir bien plus d'opportunités de commettre des fraudes. Par exemple, un
directeur peut falsifier des registres de dépenses et trafiquer des primes en falsifiant des données sur les rendements.

Les directeurs qui commettent des fraudes sont souvent de mauvais directeurs. Ils ont du retard dans les rapports, ils font du
favoritisme avec les employés et exigent leur loyauté sans leur en témoigner en retour, ni même à l'entreprise. Certains mauvais
directeurs sont simplement de mauvais directeurs. Les auditeurs internes, toutefois, devraient considérer ces domaines de la direction
comme présentant des risques élevés de fraude et être attentifs à d'autres signaux d'alerte.

Signaux d'alerte relatifs aux états financiers

Bien que les auditeurs externes soient chargés d'analyser les états financiers et d'identifier la fraude dans les états financiers, les
auditeurs internes peuvent être invités à faire des consultations lors de la préparation de l'état financier afin d'éviter des problèmes au
cours de l'audit externe. Par conséquent, l'auditeur interne peut se trouver dans une bonne position pour détecter des irrégularités
avant qu'elles ne deviennent coûteuses pour l'organisation et embarrassantes sur le plan public.

Voici quelques signaux d'alerte susceptibles d'être associés aux états financiers.

Revenus fictifs. Croissance inhabituelle des résultats ou de la rentabilité, croissance des bénéfices malgré des flux de trésorerie
négatifs récurrents dans certaines parties de l'organisation, transactions très complexes (comme celles utilisées par l'entreprise
Enron et au sujet desquelles les membres du conseil et de nombreux experts financiers disaient qu'ils ne pouvaient pas suivre),
transactions ayant lieu juste avant la fin de la période comptable (une de ces pratiques est appelée « saturation des canaux » : par
cette pratique, l'entreprise crée des ventes par des incitations spéciales, ce qui crée des ventes dans une période au détriment des
ventes dans les périodes suivantes), ventes ou résultats attribués à des entreprises ou des secteurs inconnus, absence de
documentation pour les ventes enregistrées.

Valorisation incorrecte des actifs. Modifications apportées aux inventaires des stocks, comptes de ventes fictifs, dettes non
reconnues et non recouvrées, actifs fictifs avalisés par des documents fictifs (p. ex., baux falsifiés).

Dettes dissimulées. Factures fournisseurs non enregistrées, appeler une dépense un actif (qui peut être amorti), dettes assumées
 par des sociétés écrans (comptabilité hors bilan), recours à des estimations subjectives, dépenses ou acquisitions
exceptionnellement basses, niveau de perte (p. ex., par des retours ou des garanties) inférieur à celui d'organisations similaires,
erreurs qui réduisent les impôts à payer.

Communications incorrectes. Mauvaise communication des normes sur la divulgation, conseils d'administration inefficaces.

En général, une concentration importante de l'autorité chez une personne ou dans une zone (généralement associée à des contrôles
médiocres), des propos évasifs, des antécédents de malhonnêteté ou de non-respect des lois et règlements, des possibilités
d'importantes rétributions financières pour certaines personnes : voici autant de possibilités de signaux d'alerte pour la fraude dans les
états financiers.

Étapes suivantes
Vous avez terminé la Partie 1, Section II du CIA Learning System® de l'IIA. À présent, vérifiez votre compréhension en effectuant
le ou les tests en ligne spécifiques à cette section pour vous aider à identifier tout contenu mal assimilé.

Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces informations, vous pouvez passer à
l'étude de la Section III.