Académique Documents
Professionnel Documents
Culture Documents
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux. Le fait de partager vos
documents limiterait l'utilité du programme. L'IIA investit de nombreuses ressources pour proposer à ses membres des
perspectives professionnelles de qualité. En conséquence, merci de respecter le copyright.
Table of Contents
Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de cette section représentent environ
25 % à 35 % de la totalité des questions relatives à la Partie 1. Les sujets sont couverts au niveau « A-Awareness », ce
qui signifie que vous devez bien comprendre et mémoriser les informations.
Introduction
La nature du travail de l'audit interne a évolué bien au-delà des domaines traditionnels de l'assurance de contrôle interne et de la
conformité pour inclure la gestion des risques et la gouvernance. La norme de fonctionnement 2100 « Nature du travail » décrit
succinctement le champ d'application élargi : « L’audit interne doit évaluer les processus de gouvernance de l’organisation,
de management des risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique, méthodique et
fondée sur une approche par les risques. La crédibilité et la valeur de l’audit interne sont renforcées lorsque les auditeurs internes sont
proactifs, que leurs évaluations offrent de nouveaux points de vue et prennent en considération les impacts futurs. »
Des trois domaines fonctionnels, la gouvernance est le domaine le moins développé et le plus complexe. La gouvernance est traitée en
détail uniquement dans la Partie 3 de ce système d'apprentissage.
Les auditeurs internes possèdent une grande expérience du contrôle. Les deux premiers chapitres de cette section traitent du contrôle
interne. Le Chapitre A définit les types de contrôles et décrit la façon dont les contrôles peuvent être mis en œuvre en utilisant des
techniques de contrôle de gestion efficaces. Le Chapitre B se concentre sur les cadres de contrôle interne.
Les connaissances et l'implication de l'activité d'audit interne dans la gestion des risques varient d'un secteur industriel à l'autre et
d'une organisation à l'autre. Les entités de services financiers, par exemple, présentent un niveau de maturité raisonnable en ce qui
concerne la gestion des risques. Toutefois, de nombreux autres types d'organisation sont novices en la matière. Par conséquent, le
Chapitre C présente une introduction au lexique, aux éléments et à la gestion du risque. (Dans la Partie 2, les bases introduites ici sont
appliquées à la mise en place de plans d'audit interne axés sur les risques.) Le Chapitre D se rapporte spécifiquement à la
sensibilisation aux risques de fraude et inclut une description des types de fraude et des signaux d'alerte.
Chapitre A : Types de contrôles et techniques de
management du contrôle interne
Introduction du chapitre
Qu'est-ce que le contrôle interne ?
Différentes définitions donnent un aperçu du contrôle, de l'environnement de contrôle et du contrôle interne.
Le glossaire des Normes définit le contrôle comme « toute mesure prise par la direction, le conseil d'administration et d'autres parties
afin de gérer les risques et d'accroître la probabilité que les buts et objectifs fixés seront atteints. La direction planifie, organise et
dirige la réalisation d'actions suffisantes pour assurer, dans la mesure du possible, que les objectifs ciblés seront atteints ».
L'attitude et les actions du Conseil et de la direction au regard de l'importance du (dispositif de) contrôle dans l'organisation. Il fournit la
discipline et la structure nécessaires à la réalisation des objectifs principaux du système de contrôle interne. L'environnement de contrôle
englobe les éléments suivants :
Intégrité et valeurs éthiques
Philosophie et style de la direction
Organigramme
Attribution de l'autorité et de la responsabilité
Pratiques et politiques en matière de ressources humaines
Compétence du personnel
Le référentiel La pratique du contrôle interne – COSO Report, publié par le Committee of Sponsoring Organizations of the
Treadway Commission, définit le contrôle interne de la manière suivante :
Le contrôle interne est un processus exécuté par le conseil d'administration, la direction et d'autres membres d'une entité et conçu pour fournir
une assurance raisonnable concernant la réalisation des objectifs dans les catégories suivantes :
Efficacité et efficience des opérations ;
Fiabilité du reporting financier.
Conformité avec les lois et règlements applicables.
Comme le montrent ces différentes définitions, les contrôles internes permettent à la direction d'une entité d'exécuter la mission et
d'atteindre les objectifs de l'organisation.
Contrôles de gouvernance. Les contrôles de gouvernance instaurent une culture du contrôle, clarifient les attentes de
l'organisation et incluent des politiques et procédures à l'échelle de l'organisation. Parmi les exemples d'instauration de culture et de
clarification des attentes figurent la mise en place d'une supervision des contrôles par le comité d'audit ou la communication de
l'appétence pour le risque du conseil d'administration et des membres de la direction ou leur attitude par rapport au reporting
financier ; parmi les exemples de politiques et procédures figurent un code de déontologie, les politiques de conformité, les
politiques informatiques et les procédures de gestion telles que la mise en œuvre de la gestion des risques de l'entreprise.
Contrôles de supervision de la direction. Ces contrôles sont définis au niveau de l'unité d'affaires ou de la direction des
opérations et portent sur la réalisation des objectifs et l'atténuation des risques de l'unité d'affaires. Nous pouvons citer par exemple
les comités de risque, certains contrôles de fin d'exercice et les contrôles généraux informatiques.
Contrôles principaux. « Il s'agit des contrôles qui doivent fonctionner efficacement afin de réduire un risque considérable à un
niveau acceptable ».
Contrôles secondaires. « Il s'agit des contrôles qui permettent au processus de fonctionner correctement mais qui ne sont pas
indispensables ».
Les contrôles principaux désignent les contrôles requis pour atteindre facilement le résultat souhaité ou l'objectif de l'entreprise. Les
contrôles secondaires visent à atténuer les risques qui ne sont pas considérés comme importants ou sont conçus comme contrôle
redondant déjà traité par un contrôle principal. L'objectif visé lors de l'identification des contrôles principaux est de s'assurer que la
supervision de la direction, les tests de contrôles et autres procédures d'audit sont efficaces, de ne pas gaspiller du temps et des
ressources et de se concentrer sur les risques importants et sur la réalisation des objectifs de l'entreprise. Chaque risque au niveau de
l'entité, des processus ou des transactions qui a été identifié comme un risque important au cours du processus d'évaluation des
risques se verra associer un ou plusieurs contrôles principaux. Les contrôles secondaires sont les contrôles restants au niveau d'un
système.
Un exemple de contrôle principal de la gouvernance à l'échelle de l'entité est de s'assurer que le « ton donné par la direction »
renforce les contrôles au niveau des processus plutôt que de les compromettre. Un contrôle secondaire associé peut permettre de
revoir et de communiquer à nouveau les énoncés de mission et de vision. Au niveau des contrôles de supervision de la direction à
l'échelle de l'entité, certains contrôles principaux peuvent vérifier l'efficacité de plusieurs autres contrôles secondaires et indiquer
lorsqu'il se produit des pertes de contrôle de niveau inférieur, offrant ainsi un indicateur précoce de la défaillance du contrôle pour
réduire le nombre d'essais nécessaires pour les contrôles secondaires. Au niveau du processus, le rapprochement des comptes clés
plutôt que de tous les comptes (contrôles secondaires) pourrait fournir les preuves nécessaires permettant d'évaluer si l'ensemble du
processus est susceptible d'atteindre ses objectifs. Au niveau de la transaction, la somme de contrôle d'une écriture comptable pourrait
fournir la preuve que d'autres contrôles au niveau des transactions fonctionnent efficacement. On pourrait considérer comme
secondaires les contrôles qui n'acceptent qu'une certaine gamme de données numériques dans un champ spécifique.
Prévention. Ce sont des contrôles proactifs qui permettent d'éviter que des événements indésirables ne se produisent. Nous
pouvons citer comme exemple un système de récompense basé sur un indicateur clé de performance pertinent pour un domaine
donné plutôt que sur la réalisation d'une somme budgétaire arbitraire.
Détection. Les contrôles de détection sont réactifs et détectent les événements indésirables qui sont déjà survenus. Nous pouvons
citer comme exemple les rapprochements de comptes ou les rapports d'exception.
Correction. Les contrôles correctifs sont réactifs et conçus pour permettre une correction manuelle ou automatique des erreurs
ou des irrégularités qui ont été détectées par des contrôles de détection comme, par exemple, la résolution de cas de paiements en
double dans un système de décaissement, les pistes d'audit ou les procédures de sauvegarde et de récupération.
Direction. Les contrôles directifs sont proactifs et causent ou encouragent la survenue d'un événement souhaitable. Parmi les
exemples de contrôles directifs figurent les lignes directrices, les programmes de formation et les mesures incitatives.
Atténuation. Les contrôles d'atténuation réduisent l'impact potentiel d'un événement qui pourrait se produire. Les assurances sont
un excellent exemple de contrôle d'atténuation.
Compensation. Ces contrôles visent à compenser l'absence d'un contrôle prévu. Par exemple, un examen rigoureux par un
superviseur peut compenser le manque de séparation des tâches lorsque cette séparation est rendue impossible par de faibles
effectifs.
Redondance. Les contrôles redondants ou de sauvegarde dupliquent un objectif de contrôle ou un contrôle secondaire qui
fonctionne seulement lorsqu'un contrôle principal est défaillant, comme par exemple une cuve de débordement située sous un
réservoir contenant des substances toxiques.
Un contrôle actif ou contrôle manuel est une tâche qui consiste à empêcher ou détecter un écart par rapport à la procédure
approuvée. On peut le voir comme un contrôle qui fonctionne par une sorte d'intervention consciente. Nous pouvons citer comme
exemple l'examen de transactions par un responsable.
Un contrôle passif ou contrôle automatique fonctionne sans intervention humaine. Les contrôles intégrés dans le système
informatique ou une relation ou un processus qui possède des implications dans le contrôle en sont des exemples. On peut le voir
conne un contrôle qui fonctionne par sa simple existence. On peut illustrer ceci en prenant l'exemple d'un thermostat réglé pour
maintenir la température d'une pièce.
Contrôle formel. Ces contrôles ont tendance à être quantitatifs et objectifs, ce qui signifie que les tests d'audit traditionnels
peuvent être utilisés pour tester la conformité. Il s'agit, par exemple, d'inspecter des comptes rendus de réunion ou d'effectuer une
analyse mensuelle budget - coût réel.
Contrôle informel. Ces contrôles ont tendance à être qualitatifs et subjectifs et sont destinés à représenter la culture d'une
organisation, tel que l'état d'esprit ou les perceptions. Par exemple, les contrôles informels peuvent inclure des politiques pour
déterminer si les connaissances sont suffisantes pour corroborer des résultats ou étayer des conclusions.
L'illustration II-2 présente des exemples courants de ces deux types de contrôles.
L'évaluation de l'efficacité et de l'efficience du contrôle est un concept de base traditionnel de l'activité d'audit interne. Toutefois, se
concentrer uniquement sur les contrôles formels (par exemple, politiques et procédures documentées) au niveau des processus aboutit
à une évaluation incomplète. Pour évaluer le contrôle interne et fournir une assurance raisonnable à la direction générale et au conseil,
l'activité d'audit interne doit inclure les contrôles informels intangibles et subjectifs.
Contrôles informatiques
La technologie de l'information, tout comme la notion de contrôles à l'échelle de l'entité par rapport aux contrôles au niveau des
processus et des transactions, possède également des niveaux de contrôle permettant de gérer les risques associés aux systèmes
informatiques :
Contrôles généraux informatiques. Les contrôles généraux informatiques (ITGC) sont des contrôles mis en place à l'échelle de
l'entité qui s'appliquent à des processus informatiques généraux tels que la gestion du changement, le déploiement, la sécurité
d'accès et les opérations. Ils peuvent être appliqués à tous les systèmes d'information en général ou presque. Les contrôles
généraux informatiques se composent de contrôles de gouvernance, comme une politique de confidentialité, ainsi que de contrôles
de supervision de la direction, tels que les normes d'essai ou la séparation des fonctions informatiques.
Contrôles des applications ou contrôles techniques. Les contrôles des applications ou les contrôles techniques sont des
contrôles au niveau des processus ou des transactions qui sont généralement spécifiques à une application donnée, mais ils peuvent
également contrôler des procédés techniques plus importants, tels que les droits d'accès aux systèmes. Les contrôles des
applications sont parfois regroupés par fonction commune :
Contrôles sur les entrées. Les contrôles sur les entrées permettent de vérifier l'intégrité des données lorsque celles-ci
sont saisies manuellement ou automatiquement dans un système. Par exemple, le total de contrôle vérifie que le bon nombre
d'enregistrements a été entré.
Contrôles de traitement. Les contrôles de traitement permettent de vérifier que les tâches de traitement de données sont
exactes, complètes et valides. Par exemple, on peut comparer le total de contrôle à différentes étapes du traitement.
Contrôles sur les sorties. Les contrôles sur les sorties permettent de vérifier que les sorties de données sont exactes,
complètes et valides. Nous pouvons citer comme exemple un contrôle permettant d'assurer que les données sorties sont
envoyées et reçues par les destinataires prévus et par aucun autre individu ou système.
Il existe un autre outil de contrôle informatique que l'on appelle la piste d'audit et qui est, en d'autres termes, un enregistrement
permanent de toute activité de saisie, de traitement et de sortie informatique. Les auditeurs peuvent consulter les journaux de
transactions, examiner la liste des contrôles exécutés ou les listes d'erreur.
Le jugement, les dérogations par la direction et tout autre facteur similaire assurent, dans la mesure du possible, que les contrôles
pourront atténuer les risques. D'autres facteurs peuvent réduire les avantages des contrôles :
Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
Faire trop confiance aux contrôles peut coûter plus cher que l'exposition dont ils sont censés protéger.
Trop d'importance accordée aux contrôles peut résulter dans le fait que les personnes se concentrent principalement sur le respect
des contrôles et perdent de vue les objectifs commerciaux.
Les changements et le temps peuvent rendre les contrôles obsolètes.
Si le personnel n'adhère pas aux contrôles ou s'il ne comprend pas les objectifs à atteindre, il peut y résister et la créativité et
l'esprit d'initiative peuvent s'en ressentir.
Les objectifs et les raisons des contrôles doivent être communiqués aux employés. Dans le cas contraire, les employés pourraient
considérer que ces contrôles ne sont pas nécessaires, qu'ils sont sans importance et qu'ils constituent une perte de temps. Les normes
établissent les performances attendues. Elles fournissent une base pour mesurer les objectifs à atteindre. Dans la mesure du possible,
les normes devraient être quantitatives. Des mesures qualitatives peuvent prêter à confusion et mener à une interprétation subjective
erronée. Si vous souhaitez utiliser une unité de temps spécifique (par exemple, cinq jours), il est important d'être précis plutôt que
d'utiliser « un intervalle de temps raisonnable ».
Malgré tout, un système de contrôle bien conçu ne suffit pas. La direction a besoin de la garantie que les contrôles fonctionnent
conformément à leur conception (c.-à-d. qu'ils sont efficaces). La direction des opérations devrait obtenir cette garantie par elle-
même, par une surveillance continue. Les évaluations effectuées séparément par des parties indépendantes (par exemple, des
auditeurs internes) offrent une plus grande assurance, notamment pour la haute direction et le comité d'audit.
Les auditeurs internes évaluent généralement l'efficacité d'un contrôle en sélectionnant un échantillon de cas où le contrôle aurait dû
être appliqué et en effectuant des tests pour déterminer si le contrôle a été correctement appliqué dans chaque cas. Nous
examinerons les approches les plus largement utilisées pour tester les contrôles dans la Section III « Conduite des missions d'audit –
Outils et techniques d'audit ».
Les entreprises peuvent mettre en œuvre différentes techniques pour documenter, évaluer et rendre compte de la pertinence des
contrôles internes. Quelles que soient les techniques utilisées, certaines caractéristiques universelles permettent de distinguer les
systèmes efficaces :
L'identification opportune des écarts potentiels ou réels afin de limiter l'exposition à des risques coûteux.
La garantie raisonnable d'atteindre les objectifs prévus à un coût minimal, avec le moins d'effets secondaires indésirables possible.
Une responsabilité claire qui aide le personnel à remplir les fonctions attribuées.
Un placement efficace (p. ex. lorsque la mesure est la plus pratique ou qu'il reste du temps pour l'action corrective).
Une identification de la cause d'origine pour permettre une action corrective appropriée.
Une cohérence avec les stratégies de la direction et les objectifs commerciaux.
Comme le montre l'illustration II-6, pour qu'un système de contrôle soit efficace, les membres de l'organisation ont tous un rôle à jouer
dans la mise en œuvre des contrôles internes.
Bien que le manque d'indépendance réduise la fiabilité des résultats, l'expérience nous montre qu'une technique de CSA rigoureuse et
bien élaborée produit des résultats plutôt fiables. Et ces résultats sont souvent beaucoup plus solides que ceux obtenus par un tiers
indépendant ayant examiné des preuves objectives. Si les participants à la CSA ont l'assurance que leur honnêteté ne se retournera
pas contre eux, cette technique peut les aider à identifier des points faibles du contrôle auxquels ils ne penseraient pas spontanément
ou qu'ils ne révèleraient pas à un évaluateur indépendant. Cela est particulièrement vrai dans le cas des points faibles des contrôles
informels.
La CSA est mise en place dans un environnement structuré dans lequel un processus itératif est abondamment documenté. Le
processus de CSA permet à la direction et/ou aux équipes de travail d'une fonction commerciale d'effectuer les tâches suivantes :
Prendre part à l'évaluation du contrôle interne.
Évaluer le risque.
Développer des plans d'actions pour traiter les points faibles identifiés.
Évaluer la probabilité d'atteindre les objectifs commerciaux.
Certes, les avantages spécifiques qu'une organisation pourra tirer de la CSA peuvent varier. Mais les organisations peuvent
raisonnablement constater deux types d'améliorations importantes que nous allons maintenant aborder.
Informations importantes sur le contrôle interne. Le processus de CSA fournit des informations utiles à la direction et aux
auditeurs internes pour pouvoir évaluer la qualité du contrôle. Il complémente de manière efficace l'audit interne. L'auto-évaluation
des contrôles offre au personnel de l'audit interne et des opérations un moyen de collaborer pour évaluer une opération. Cette
synergie permet à l'audit interne de prendre en charge la fonction de supervision de la direction en améliorant la quantité et la
qualité des informations disponibles.
Une influence positive sur l'environnement de contrôle. En raison de sa nature participative, la CSA vise à favoriser
l'engagement du personnel chargé des opérations. Les participants en apprennent davantage sur les contrôles et leur propre
responsabilité en matière de gestion des risques. La sensibilisation aux contrôles est accrue. Le personnel chargé des opérations
s'implique au niveau de l'exécution des contrôles et du maintien d'un environnement de contrôle efficace, lequel contribue à
atteindre les buts et objectifs de l'organisation.
Pour les professionnels de la CSA, l'IIA propose la certification Spécialiste de l'auto-évaluation des contrôles (CCSA, Certification in
Control Self-Assessment). Cette certification prouve une connaissance des domaines tels que l'identification et l'évaluation des
risques, ainsi que la théorie et l'application du contrôle.
Pour plus d'informations sur l'auto-évaluation des contrôles, vous pouvez consulter le site Web de l'IIA www.theiia.org.
Plus une organisation est grande et complexe, plus les enjeux et les défis en matière de risque et de contrôle sont importants. Par
rapport aux organisations de petite taille ayant des activités moins variées, les organisations plus grandes ont des activités plus
diversifiées et il y a donc beaucoup plus de facteurs à prendre en compte.
L'autoritarisme fait référence à la rigidité des croyances d'un responsable. Parmi les caractéristiques d'un responsable en faveur de
l'autoritarisme figurent :
Style de gestion descendant, le responsable prenant les décisions et ses subordonnés les exécutant.
Adhésion rigide aux valeurs conventionnelles et autorité reconnue.
Fermeté et pouvoir, par opposition aux sentiments subjectifs.
Idées acceptées ou rejetées en fonction de l'autorité acceptée.
L'autonomisation signifie que les employés ont le pouvoir de prendre des décisions et d'agir dans leurs domaines sans autorisation
préalable. Dans un environnement autonome, un responsable :
S'engage en faveur de l'autonomisation et promeut le concept ;
Délègue les connaissances, la responsabilité et l'autorité aux individus exécutant effectivement les processus commerciaux ;
S'assure que la direction et les employés ont accès aux informations commerciales critiques ;
S'assure que la direction et les employés disposent de l'autorité et de la discrétion nécessaires pour prendre les mesures adéquates,
et de l'opportunité d'apporter de précieuses contributions.
Pour réussir à mettre en œuvre l'autonomisation au sein d'une organisation, les responsables doivent équilibrer leur besoin de contrôler
avec l'octroi de suffisamment de liberté aux autres pour que ceux-ci puissent agir de leur propre chef. Ce transfert d'autorité requiert
de travailler avec ses subordonnés pour établir des attentes, des responsabilités et des limites claires à l'autonomisation dans toute
l'organisation. Il est important que tout le monde soit conscient de ses responsabilités et des limites de son autorité en matière de
gestion des risques et de contrôles connexes, ainsi que de la façon dont toutes les actions sont liées aux buts et objectifs de
l'organisation.
Si un responsable est autoritaire ou est en faveur de l'autonomisation, cela affectera non seulement la façon dont l'organisation est
gérée, mais aussi les types de risques acceptés par l'entreprise. Par exemple, les responsables autoritaires peuvent être plus réticents
à prendre des risques ayant d'importantes conséquences réglementaires ou économiques. Un responsable autoritaire institue
généralement une culture basée sur davantage de politiques écrites, d'indicateurs de performances, de rapports d'exception et autres
documents similaires. Dans un environnement autonomisé, les décisions en matière de risques sont prises à des niveaux inférieurs. Le
contrôle est davantage assuré par la vision, les valeurs, les recommandations générales et les échanges en face à face avec le
personnel clé que par des documents écrits. Dans une culture autonomisée, il est très important que les employés soient bien formés
et prennent en compte les limites de l'autorité qui leur est conférée en matière de prise de risque.
Le style d'encadrement peut être efficace s'il est adapté à la situation. Un responsable autoritaire convient parfaitement lorsque le
personnel exécute des tâches répétitives nécessitant un minimum de réflexion et dont les membres ne se motivent ni ne se disciplinent
eux-mêmes. Un style identique pourrait susciter du ressentiment et mener à une défaillance du contrôle si une équipe se sent frustrée
lorsqu'elle n'est pas en mesure de prendre des décisions.
Il faut aussi prendre en compte les conséquences que ces deux types d'encadrement peuvent avoir en matière d'audit interne. La
fonction d'audit interne devrait pouvoir accéder sans réserve à la direction et au comité d'audit. Certaines personnes extrêmement
autoritaires peuvent poser des problèmes particuliers. On peut imaginer un scénario où, par exemple, se conformer strictement à
l'autorité d'un supérieur favoriserait un comportement contraire au Code de déontologie et ne permettrait pas d'avoir accès à la
direction et au comité d'audit.
Les personnalités, l'attitude et les relations entre la direction des opérations et l'audit interne posent des défis et pourraient déstabiliser
certaines missions. Le continuum de l'organisation, que l'on peut voir à l’illustration II-8 sur la page suivante, donne un meilleur aperçu
des implications liées aux différents styles de gestion que les auditeurs internes doivent comprendre pour favoriser la réussite des
missions.
Dans une certaine mesure, la gestion du changement est à la fois un art et une science. Elle nécessite réflexion, apprentissage,
intelligence, habileté, ténacité et inventivité. Souvent, ce qui différencie les gagnants des perdants, est le fait de pouvoir répondre
rapidement au consommateur, aux demandes du marché et à tout autre type de changement, et ce de manière plus efficace que la
concurrence.
Les changements de procédures, de formules, de flux, de spécifications de production, etc., sont souvent effectués régulièrement et
peuvent être facilement planifiés et réalisés. Les changements de comportements, des modes de pensées et d'attitudes doivent aussi
être planifiés mais prennent plus de temps à mettre en œuvre. Il peut être plus dur d'en mesurer les résultats.
Il existe beaucoup de modèles éprouvés de gestion du changement. Par différents moyens, ils ont tous tendance à :
Créer un environnement propice au changement.
Faciliter le changement.
Suivre les progrès par rapport au plan, pour vérifier si les résultats escomptés ont été obtenus.
Transmettre les mises à jour concernant les progrès et les résultats.
En définitive, un modèle efficace de gestion du changement permet à une organisation de passer progressivement de sa position
actuelle à un meilleur état opérationnel.
En fonction de la nature spécifique du changement, différents niveaux de direction devraient être impliqués. Par exemple, dans le cas
de changements majeurs (par exemple, fusions ou acquisitions), les cadres supérieurs se trouvent dans une position unique pour
valider et légitimer le changement. Ils peuvent prendre part à la définition de la stratégie de l'organisation en matière de gestion du
changement, fondée sur l'exemple, et endosser la responsabilité globale de son succès. Les responsables de première ligne et les
responsables intermédiaires qui dirigent les opérations au quotidien peuvent aider les employés à mettre en place le changement, gérer
le progrès par rapport au plan, modifier les incitations et les sanctions pour s'aligner sur de nouveaux objectifs et œuvrer dans le but
d'éliminer les obstacles aux processus.
Les obstacles culturels sont généralement ancrés dans les attitudes et les croyances réactionnaires. La défiance, la peur du
changement et même l'échec de la direction à créer une vision commune peuvent saper un effort de changement. Les exemples
suivants illustrent des obstacles culturels de base et des solutions générales :
Le changement ne se résume pas uniquement aux tâches concrètes : le « travail mental » doit aussi être intégré au
processus et un sentiment d'urgence doit être créé. Le changement est souvent personnel et, par conséquent, implique les
sentiments. Les organisations qui souhaitent obtenir l'assentiment de leurs employés doivent accepter le fait que la gestion des
émotions est une part importante du processus. Dans la plupart des initiatives de changement réussies, les organisations
communiquent clairement le besoin de changement et établissent un lien avec leurs employés à travers des valeurs.
La confiance est essentielle mais souvent difficile à établir quand on en a le plus besoin. Une vision directrice doit
alors être mise en place. La confiance peut décider du sort d'un effort de changement. Toutefois, si les nouveaux processus
sont alignés sur une vision qui dirige l'effort de changement et que des stratégies et des objectifs sont en place, la résistance au
changement peut être surmontée. Lorsque les employés peuvent constater que la gestion des risques et les contrôles sont mis en
place pour soutenir le changement, on obtient généralement les résultats attendus. Les employés doivent comprendre leurs rôles et
responsabilités.
Les structures organisationnelles sont susceptibles d'introduire des obstacles structurels au niveau des efforts de changement. Par
exemple, les structures hiérarchiques ou verticales peuvent encourager le cloisonnement, chaque service se focalisant sur ses propres
intérêts, procédures et membres, plutôt que d'encourager la coopération avec d'autres groupes et l'effort de changement. Cette
isolation structurelle peut augmenter l'efficacité des groupes individuels, mais aussi nuire à la capacité d'une organisation à apporter
des changements.
Les structures horizontales peuvent produire des barrières à la communication entre les niveaux de direction. Par exemple, les
informations potentiellement négatives à un niveau peuvent être déformées et filtrées avant d'être transmises à un niveau de direction
supérieur. Les plans de la direction peuvent également ne pas être communiqués du tout aux employés de première ligne.
Le meilleur moyen de franchir les obstacles structurels consiste à promouvoir à travers l'organisation des priorités partagées et un flux
d'informations ouvert.
Illustration II-9 : Causes les plus courantes de conflits au sein d'une organisation
Bien que la résolution d'un conflit puisse être difficile, la manière dont le conflit est géré distingue les expériences constructives des
expériences susceptibles de générer des dysfonctionnements pour les individus, les groupes ou l'organisation.
Le conflit constructif (ou conflit positif) mène à des résultats positifs. Ce type de conflit peut transformer l'interaction entre les
personnes et améliorer la qualité de la résolution des conflits. Voici quelques exemples de résultats positifs :
Mise au jour de problèmes importants afin de les régler.
Analyse de problèmes et prise de décisions.
Augmentation des opportunités de faire preuve de créativité.
Meilleurs dynamique et résultats des équipes.
Le conflit dysfonctionnel (ou conflit destructeur) mène à des expériences qui portent préjudice aux relations et ralentissent le
progrès. Ce type de conflit porte préjudice aux individus et aux groupes, et son effet sur l'organisation est négatif. Conflits
interpersonnels (où le nœud du conflit se situe au niveau des personnes et/ou des personnalités), mauvaises cohésion et performances
de l'équipe, réduction de la productivité des employés et de leur satisfaction vis-à-vis de leur emploi, et rotation du personnel sont
quelques-unes des conséquences négatives possibles.
Les auditeurs internes doivent comprendre la gestion des conflits pour plusieurs raisons :
Tous les conflits décrits à l'illustration II-9 peuvent être considérés comme des causes fondamentales de défaillance de contrôle.
Lors de l'exécution d'activités de conseil ou d'assurance dans un domaine engagé dans un conflit, l'auditeur interne doit faire
preuve de diplomatie avec chacune des parties et veiller à ne pas « prendre parti » ou être impliqué de quelque manière que ce soit
dans le conflit.
Les auditeurs internes peuvent parfois aider la direction à résoudre un conflit, en particulier lorsque celui-ci est lié à un problème
d'audit.
Un conflit peut être traité de plusieurs manières : Les trois techniques les plus courantes sont la négociation raisonnée, le
brainstorming et le vote multiple.
La négociation raisonnée (IBB, Interest-based bargaining) suppose que le fait de comprendre ce que ressentent les parties
permet de révéler des intérêts communs et de produire des choix innovants, ce qui résulte en des solutions plus durables et un gain
mutuel. L'IBB se concentre sur les problèmes plutôt que sur les personnalités, sur le présent et le futur plutôt que sur le passé, et
sur les intérêts sous-jacents aux problèmes et pas seulement sur les positions.
Le brainstorming fournit une méthode commune pour que les parties puissent générer un important volume d'idées de manière
créative et efficace dans un environnement libre de critiques et jugements. Globalement, les étapes du brainstorming permettent à
toutes les parties de participer à égalité et d'élargir leur perception des dimensions du problème. Ceci élargit le spectre des
solutions possibles.
Le vote multiple permet à des groupes de réduire une longue liste d'enjeux, de problèmes ou de solutions par le biais d'une série
structurée de votes. La stratégie consiste en un processus collaboratif qui permet de sélectionner les éléments les plus importants.
Les méthodes de collaboration et de résolution de problèmes sont un bon moyen de favoriser une véritable résolution du conflit.
Cependant, comme montré à l'illustration II-10, il peut y avoir d'autres situations où d'autres approches sont à préférer.
Ces contrôles peuvent être des politiques, des procédures et des activités concrètes ou peuvent être intégrés au niveau d'aspects
comportementaux moins concrets, tels que les valeurs éthiques. Ils sont conçus par la direction et mis en place dans le but de contenir
les risques dans les limites de tolérance au risque fixées par le processus de gestion des risques de l'organisation, afin d'atteindre les
objectifs commerciaux à moindre coût.
Toutefois, un contrôle interne efficace ne se limite pas à la mise en œuvre d'un éventail de procédures. Le contrôle interne est un
processus dynamique qui se retrouve à tous les niveaux d'une organisation.
Un cadre de contrôle est un système reconnu de concepts qui englobe tous les éléments du contrôle interne. Les organisations
recourent de plus en plus aux cadres de contrôle pour élaborer des systèmes de contrôles internes.
Les cadres publiés par le Committee of Sponsoring Organizations of the Treadway Commission (COSO), le modèle CoCo de l'Institut
canadien des comptables agréés (Canadian Institute of Chartered Accountant) et le modèle Cadbury de l'Institut des comptables
agréés en Angleterre et au Pays de Galles (Institute of Charter Accountants in England and Wales) sont des exemples représentatifs
largement utilisés. Ces modèles définissent le contrôle en matière de gestion des risques par rapport aux objectifs et définissent les
mesures spécifiques qui permettent de le mettre en place. L'intégration et l'adoption de divers éléments tirés de ces modèles dans un
système de contrôle aident la direction et les organismes de surveillance à réaliser les objectifs stratégiques.
Quel que soit le cadre de contrôle utilisé au sein d'une organisation, celui-ci permet de documenter et de rendre compte de la
pertinence des contrôles internes. L'activité d'audit interne évalue l'efficacité et l'efficience du contrôle en fonction des critères du
cadre de contrôle, et détermine si les contrôles en place sont adaptés pour atténuer les risques qui pèsent sur l'organisation.
Ce chapitre explore le référentiel La pratique du contrôle interne – COSO Report (Internal Control – Integrated Framework),
le modèle Cadbury, le modèle CoCo, le Rapport King sur la gouvernance d'entreprise et la publication du COSO intitulée Contrôle
interne sur l'information financière – Lignes directrices à l'intention des petites sociétés ouvertes (Internal Control Over
Financial Reporting – Guidance for Smaller Public Companies).
Objectifs du COSO
Selon le modèle su COSO, le contrôle interne fournit à une organisation une assurance raisonnable quant à la réalisation des objectifs
dans les domaines suivants :
Efficacité et efficience des opérations. Cette catégorie concerne les objectifs commerciaux de base d'une organisation, y
compris les performances, la rentabilité et la protection des ressources.
Fiabilité du reporting financier. Le reporting financier englobe la préparation d'états financiers fiables et d'autres états
sélectionnés (par exemple, les publications de résultats) tirés des données des états financiers et communiqués publiquement.
Conformité avec les lois et règlements applicables. Cette catégorie regroupe les lois et règlements qui s'appliquent à
l'organisation.
Composantes du COSO
Les cinq composantes du cadre de contrôle interne du COSO sont résumées à l'illustration II-11.
Les objectifs et les composantes se recoupent. Par exemple, comme le montre la section détaillée, les informations financières et non
financières produites par les sources internes et externes font partie de la composante d'informations et de communication. Les
informations portent sur les trois catégories d'objectifs, car elles permettent de :
Gérer efficacement les opérations commerciales.
Développer des états financiers fiables.
Déterminer si une entité est conforme aux lois applicables.
Le cadre de contrôle du COSO est pertinent pour tous les secteurs d'activités. Pour plus d'informations sur le cadre de contrôle du
COSO, vous pouvez consulter le référentiel intitulé La pratique du contrôle interne – COSO Report (Internal Control –
Integrated Framework) ou le site du COSO à l'adresse suivante www.coso.org.
Rubrique 2 : Avoir une bonne compréhension des cadres de contrôle
alternatifs (Niveau A)
Le modèle Cadbury
Le modèle Cadbury a été publié par l'Institut des comptables agréés d'Angleterre et du Pays de Galles (ICAEW, Institute of Charter
Accountants in England and Wales) en 1994. Les éléments du modèle Cadbury sont assez similaires aux composantes du COSO :
Environnement de contrôle. L'attitude et les actions des directeurs, de la direction et des employés qui déterminent l'importance
du contrôle dans l'organisation.
Identification et évaluation des risques et des objectifs de contrôle. L'identification et l'analyse des risques commerciaux
pertinents en temps opportun.
Informations et communication. Les indicateurs de performance, les systèmes d'informations et tout autre système qui diffusent
les bonnes informations aux bonnes personnes pour leur permettre de s'acquitter de leurs responsabilités.
Procédures de contrôle. Les politiques et procédures ou les activités de contrôle qui facilitent l'exécution des directives de
gestion afin d'assurer la conformité.
Surveillance et actions correctives. Le processus de surveillance qui permet d'évaluer la qualité de la performance du système
de contrôle interne et produit des rapports sur les changements et les actions correctives nécessaires pour combler les lacunes.
Bien que le modèle Cadbury reconnaisse que le conseil est responsable du spectre complet du contrôle interne, il confine le reporting
sur le contrôle au domaine du reporting financier. De ce fait, en 1999, l'ICAEW a publié les recommandations Turnbull, qui élargissent
le concept au-delà du champ des contrôles financiers.
Pour plus d'informations sur le modèle Cadbury, consultez le site Web de l'ICAEW à l'adresse www.icaew.co.uk. Vous trouverez des
informations supplémentaires sur les recommandations Turnbull au Chapitre C, Rubrique 3, de cette section.
Le modèle CoCo s'appuie sur le COSO. Les objectifs sont élaborés et communiqués. Les objectifs organisationnels du modèle CoCo
sont semblables à ceux du COSO et sont centrés autour de l'efficacité et de l'efficience des opérations, la fiabilité du reporting interne
et externe, et la conformité aux lois et règlements applicables ainsi qu'aux politiques internes.
Mission. La mission, la vision, la stratégie, les risques et opportunités, les politiques, la planification et les objectifs et indicateurs
de performance qui constituent un objectif clair pour les critères de contrôle et que les personnes peuvent ainsi comprendre.
Engagement. Les valeurs éthiques, l'intégrité, les politiques de ressources humaines, l'autorité, la responsabilité et la confiance
mutuelle qui favorisent l'engagement envers les principes de contrôle.
Capacité. Les connaissances, les compétences, les outils, les processus de communication, les informations, la coordination et les
activités de contrôle qui fournissent aux gens les ressources et les compétences nécessaires pour participer à la conception et à la
mise en place de contrôles corrects afin de pouvoir évaluer les risques.
Surveillance et apprentissage. La surveillance des environnements et performances internes et externes ainsi que la remise en
cause des hypothèses, la réévaluation des besoins en informations et des systèmes d'informations, la réalisation des procédures de
suivi et l'évaluation de l'efficacité du contrôle.
Le modèle CoCo présente 20 critères de contrôles spécifiques au niveau de ces composantes de contrôle. Il indique que ces
20 critères doivent être en place pour que le contrôle interne soit efficace. Pour plus d'informations sur le cadre de contrôle du modèle
CoCo, visitez le site Web de l'ICCA à l'adresse suivante : www.cica.ca.
Le Rapport King I fournit un modèle de bonne gouvernance qui nécessite une approche intégrée incluant les intérêts des parties
prenantes et met l'accent sur le bilan environnemental et social, en plus du bilan économique (en d'autres termes, il s'agit de la
responsabilité sociale des entreprises, comme décrit dans la Partie 3).
Le Rapport King II ajoute un Code de pratiques et de conduites des entreprises qui peut être adopté par n'importe quelle organisation
au niveau de son cadre de gouvernance. Le Code contient un ensemble de principes de bonne gouvernance d'entreprise :
Discipline. Les organisations s'engagent à se comporter d'une manière disciplinée qui est universellement acceptée comme
appropriée et correcte.
Transparence. Les organisations s'engagent à faciliter l'analyse des activités de l'organisation par des tiers.
Indépendance. Les organisations sont autonomes et peuvent gérer ou éviter les conflits.
Responsabilité. Les organisations doivent développer des moyens d'accepter et de reconnaître les conséquences positives et
négatives de leurs actions.
Responsabilisation. Les organisations doivent concevoir des mesures correctives au niveau de tous les processus et tenir compte
des besoins des parties prenantes dans le cadre de la prise de décision.
Équité. Les organisations doivent établir un équilibre entre des intérêts contradictoires.
Responsabilité sociale. Les organisations doivent intégrer des programmes de responsabilité sociale des entreprises dans leur
modèle d'entreprise principal.
Le Rapport King II porte sur le rôle et la fonction de l'audit interne ainsi que sur les exigences spécifiques de reporting, comme
l'approbation des nominations et révocations du RAI par les comités d'audit. Il souligne également l'importance de la mise en place
d'un plan d'audit basé sur une évaluation des risques et sur les problèmes que le comité d'audit et la direction générale jugent
nécessaire d'examiner.
Le Rapport King III met l'accent sur un leadership efficace basé sur un fondement éthique et sur la nécessité de repenser
fondamentalement l'organisation autour du concept de durabilité. L'innovation, l'équité et la collaboration sont des outils clés
permettant d'assurer la durabilité. Les auditeurs internes jouent également un rôle clé dans le maintien d'une bonne gouvernance et le
développement de la stratégie organisationnelle. Le Rapport King III met en évidence la nécessité d'utiliser un audit axé sur les
risques, en déclarant : « Un audit interne fondé sur la conformité ajoute peu de valeur à la gouvernance d'une entreprise, car il évalue
simplement le respect des procédures et processus existants sans évaluer si oui ou non la procédure ou le processus est un contrôle
adéquat. Une approche fondée sur les risques est plus efficace, car elle permet à l'audit interne de déterminer si les contrôles sont
efficaces dans la gestion des risques qui découlent de la direction stratégique qu'une entreprise, par le biais de son conseil, a décidé
d'adopter. » Le rapport recommande ensuite que les auditeurs internes évaluent l'efficacité générale du système de contrôle interne
(environnement de contrôle) et des processus de gestion des risques.
Le Rapport King IV remplace le Rapport King III dans son intégralité. Il est fondé sur les principes et les résultats, plutôt que sur les
règles, en mettant l'accent sur la transparence et les divulgations ciblées et bien réfléchies. Alors que King III a appelé les entreprises
à postuler ou à expliquer, King IV suppose l'application de tous les principes et exige que les entités expliquent comment les principes
sont appliqués.
Illustration II-14 : Principes du COSO 2013 pour la réalisation du contrôle interne à l'égard du reporting financier
Chapitre C: Lexique du risque et concepts
Introduction du chapitre
Qu'est-ce que la gestion des risques ?
Le glossaire des Normes définit la gestion des risques comme « un processus d'identification, d'évaluation, de gestion et de contrôle
d'événements et de situations potentiels afin d'assurer, dans la mesure du possible, qu'une organisation atteigne ses objectifs ».
Dans un sens, tous les employés sont des gestionnaires des risques, qu'ils en soient conscients ou non. Ils gèrent chaque jour les
risques afin d'atteindre leurs objectifs. Cependant, ils deviennent des gestionnaires des risques plus performants lorsqu'ils ont
pleinement conscience de cette fonction et qu'ils l'exercent de manière cohérente et rigoureuse.
Du point de vue de l'organisation, il est possible d'en tirer des avantages importants si les responsables ne gèrent pas uniquement leurs
propres risques dans leurs « silos » organisationnels. Si le même processus rigoureux d'évaluation des risques est appliqué à travers
toute l'organisation et que les résultats sont remontés aux niveaux hiérarchiques supérieurs, l'encadrement supérieur est alors en
mesure d'obtenir une image complète du risque pour l'organisation. Avec cette « vue globale » du risque en tête, les cadres peuvent
prendre de meilleures décisions stratégiques et allouer des ressources avec davantage d'efficacité.
Partout dans le monde, des organisations développent des programmes de gestion des risques de l'entreprise (ERM) pour profiter de
ces avantages. La section sur la gestion des risques se concentre sur la gestion des risques de l'entreprise, qui englobe tous les
concepts de la gestion des risques.
En plus de la définition du glossaire des Normes, nous pouvons obtenir des informations supplémentaires à partir d'autres discussions
sur la gestion des risques.
Cette définition implique que la gestion des risques de l'entreprise est un processus continu. Chaque personne, quels que soient son
niveau et son unité, est impliquée dans le processus, lequel est appliqué lors de la phase de définition de la stratégie. Au final, la
gestion des risques de l'entreprise aide à fournir une assurance raisonnable au conseil d'administration et à la direction.
Nous analyserons plus en détail la publication du COSO Enterprise Risk Management – Integrated Framework (Le management
des risques de l'entreprise – Cadre de référence) plus loin dans ce chapitre.
Enterprise Risk Management: Trends and Emerging Practices (Gestion des risques de l'entreprise :
tendances et pratiques émergentes)
La publication de 2001 Enterprise Risk Management: Trends and Emerging Practices (Gestion des risques de l'entreprise :
tendances et pratiques émergentes) a été préparée par Tillinghast-Towers Perrin et parrainée par l'Institute of Internal Auditors
Research Foundation en collaboration avec le Conference Board du Canada. En se basant sur les informations rassemblées à partir
d'études exhaustives des ouvrages disponibles, les principaux auteurs ont défini la gestion des risques de l'entreprise comme « une
approche rigoureuse et coordonnée pour évaluer tous les risques affectant la réalisation des objectifs financiers et stratégiques d'une
organisation et y répondre ».
« The Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit interne dans le
management des risques de l'entreprise)
L'exposé de principes de l'IIA intitulé « The Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit
interne dans le management des risques de l'entreprise) a été préparé par l'Institute of Internal Auditors en collaboration avec ses
filiales britannique et irlandaise. Il définit la gestion des risques à l'échelle de l'entreprise comme « un processus structuré, cohérent et
continu visant à identifier et à évaluer les opportunités et les menaces liées à la réalisation des objectifs. Il consiste ensuite à décider
des réponses à apporter et des informations à transmettre à ce sujet dans l'ensemble de l'organisation ».
L'exposé de principes note également que la gestion des risques de l'entreprise adopte une approche plus large que la gestion
traditionnelle des risques et traite des risques et des opportunités qui ont une incidence sur la création ou la préservation d'une valeur
pour l'organisation.
Les différentes définitions de la gestion des risques et de la gestion des risques de l'entreprise mettent toutes en avant les mêmes
points : Le périmètre de la gestion des risques transcende la mentalité de gestion des risques traditionnelle, et englobe les objectifs
stratégiques et de résultat net. Le processus de gestion des risques est un processus large et continu qui implique la direction et les
employés, à tous les niveaux d'une entité.
D'après le texte Audit interne : services de conseil et d'assurance, nous pouvons établir les points supplémentaires suivants
concernant le risque.
Le risque prend ses origines dans la formulation des stratégies et l'établissement des objectifs. Deux organisations
n'étant jamais identiques, chaque entreprise possède une stratégie et des objectifs uniques et affronte un type de risque différent.
Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En l'absence de résultat unique,
la gamme de possibilités crée l'incertitude quant à la compréhension et à l'évaluation du risque.
Le risque peut concerner la prévention d'événements négatifs ou l'incapacité à produire des événements positifs.
Les risques peuvent présenter des menaces pour une organisation ou être constitués par l'absence de résultats positifs.
Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité commerciale sont
considérés comme des risques commerciaux. Les risques commerciaux sont les incertitudes associées à la réalisation des
objectifs commerciaux.
Chaque organisation devrait avoir une définition claire du risque. Bien que les définitions pratiques puissent varier de celle du glossaire
des Normes, le langage devrait être compris par tous ceux qui sont impliqués dans les activités d'évaluation des risques au sein de
l'organisation.
La liste suivante des termes liés au risque et au contrôle n'inclut pas tout, mais fournit plutôt de bonnes bases au niveau du
vocabulaire. Les termes, présentés par ordre alphabétique, sont probablement semblables à ceux utilisés dans votre organisation.
La liste de termes de l'illustration II-15 constitue un langage commun à utiliser avec le conseil d'administration, la direction et les
autres interlocuteurs, dans toutes les communications.
Utilisons l'exemple simple du passage d'un examen pour montrer comment fonctionne le processus d'évaluation des risques.
Objectifs possibles. Les objectifs possibles pourraient être de réussir le test ou d'obtenir le meilleur résultat au test.
Événements de risque. Les exemples incluent une suranalyse des réponses, le manque de temps pendant l'examen, le manque
de préparation à l'examen ou l'incompréhension de parties du contenu fondamental.
Risque inhérent. D'après l'impact collectif et la probabilité inhérente des événements, le risque de ne pas réussir l'examen est
élevé.
Réponses. Les exemples incluent la planification du temps, le fait de garder un rythme soutenu pendant l'examen, de faire
attention à ne pas trop analyser une réponse, d'effectuer une révision d'autoformation ou de se joindre à un groupe d'étude.
Risque résiduel. Une fois les réponses prises en compte, le risque résiduel devrait être inférieur au risque inhérent. Plus les
réponses sont efficaces, moins le risque résiduel est important. Des réponses efficaces peuvent fournir une assurance raisonnable
de réussite à l'examen, mais n'offrent pas le même niveau d'assurance quant à l'obtention du meilleur des résultats.
Sur le plan conceptuel, le processus d'évaluation des risques est simple. Le défi consiste à le mettre correctement en pratique. Ce
devrait être un processus descendant, qui débute à un niveau élevé.
Les organisations évaluent la probabilité et l'impact des risques. Elles peuvent utiliser des termes qualitatifs (tels que élevé, moyen et
faible) ou des mesures quantitatives (telles que les échelles numériques de 1 à 5, les pourcentages, la fréquence d'occurrence ou
d'autres mesures). Certaines organisations peuvent même utiliser une combinaison de mots et de chiffres au niveau de la classification
du risque (1 = faible, 5 = élevé). De nombreuses organisations utilisent un graphique pour décrire les facteurs, par exemple une
matrice à quatre quadrants, comme le montre l'illustration II-18. Des variations de cette matrice sont possibles.
Il peut être difficile d'estimer la probabilité et l'impact. Ces estimations ou notes dépendent fortement du jugement professionnel et
d'une utilisation cohérente des facteurs d'évaluation. Voici un exemple basé sur le passage d'un examen :
Événement à fort impact/forte probabilité. « L'incompréhension de parties du contenu fondamental » aurait probablement le
plus fort impact potentiel. La probabilité de cet événement pourrait être faible, moyenne ou élevée, selon l'expérience et l'histoire
de chacun.
Événement à faible impact/forte probabilité. « La suranalyse des réponses » sur plusieurs questions est très probable sans
avoir d'incidence globale majeure.
Événement à fort impact/faible probabilité. « La suranalyse des réponses » sur un grand nombre de questions est moins
probable, mais pourrait résulter en un manque de temps et avoir un fort impact sur la réussite au test.
Événement à faible impact/faible probabilité. Effectuer une révision d'autoformation pourrait réduire le risque de « manque de
préparation à l'examen » à ce niveau.
Certaines organisations utilisent une terminologie différente de la probabilité et l'impact (p. ex. les chances, la gravité, le sérieux ou les
conséquences). La terminologie spécifique n'est pas aussi importante que le développement d'un processus efficace d'évaluation des
risques qui répond aux besoins de l'organisation.
Les techniques spécifiques d'évaluation des risques sont examinées dans la rubrique suivante.
Il existe de nombreux modèles d'ERM. Ils se distinguent généralement par leur objectif et leur complexité. Nous allons d'abord
examiner le modèle ERM du COSO. Nous examinerons ensuite deux autres cadres reconnus : la norme ISO 31000 et les
recommandations Turnbull. (Veuillez noter que dans les sections suivantes traitant de la gestion des risques, seul le cadre de référence
du COSO sera mentionné.)
La réalisation des objectifs de reporting et de conformité fait généralement partie du champ de contrôle de l'organisation. En d'autres
termes, si les activités associées sont exécutées efficacement, ces objectifs peuvent être atteints. Ce n'est pas toujours vrai pour les
objectifs stratégiques et opérationnels ; des circonstances défavorables peuvent, et c'est d'ailleurs souvent le cas, empêcher d'atteindre
ces objectifs. Une mauvaise décision en matière de choix des investissements entraînant d'importantes pertes financières ou
l'inondation soudaine d'une usine de fabrication clé et le retard du lancement d'un nouveau produit sont des exemples d'événements qui
peuvent faire obstacle à la réalisation des objectifs stratégiques et opérationnels. Bien que la mise en œuvre du cadre de référence du
COSO ne permette pas d'éviter de tels événements imprévus ou erreurs de gestion, elle permet néanmoins à la direction de prendre
des décisions plus judicieuses, en toute connaissance de cause.
Le COSO décrit la gestion des risques de l'entreprise comme étant un processus omnidirectionnel dynamique. Ce n'est pas un
processus en série dans lequel une composante affecte uniquement la composante suivante. Dans le modèle du COSO, chaque
composante peut influencer les autres.
Les objectifs et les éléments se recoupent. Les activités de surveillance continue, par exemple, s'appliquent aux quatre catégories
d'objectifs. La surveillance aide à garantir la mise en œuvre correcte des stratégies, la gestion efficace des opérations commerciales,
la fiabilité du reporting et le respect des lois applicables par l'organisation.
Rôles et responsabilités
La gestion des risques inclut un large éventail d'activités destinées à identifier, évaluer, gérer et contrôler les risques à travers toute
l'entreprise, des événements ou projets ponctuels à des types de risque précis (p. ex. risque du marché), en passant par les menaces
qui pèsent sur l'entreprise et les opportunités qui lui sont offertes. Traditionnellement, les responsabilités en matière de gestion des
risques sont confiées à chaque unité d'affaires et/ou à des sections des unités d'affaires. La gestion des risques était théoriquement
considérée comme une initiative de l'organisation. Mais en pratique, les activités de gestion des risques s'étendaient rarement à toute
l'organisation.
Comme nous l'avons vu, pour que la gestion des risques soit efficace, chaque membre de l'organisation, quel que soit son niveau, doit
prendre part au processus. Produire des informations utilisables pour identifier les risques, prendre les mesures nécessaires pour
mener à bien la gestion des risques et soutenir les flux de communication et d'informations sont des tâches qui entrent implicitement et
explicitement dans la description de chaque poste. Toutefois, le COSO indique que des rôles et des responsabilités particuliers
incombent au conseil, à la direction, aux directeurs des risques, aux directeurs financiers, aux auditeurs internes et à certaines parties
externes. Nous allons à présent examiner ces groupes et ces individus (à l'exception de l'activité d'audit interne, traitée dans la Partie
2, Section I, Chapitre C).
Conseil d'administration. Le conseil, ou son équivalent, sert plusieurs fonctions. Le conseil aide à définir la stratégie et énonce les
objectifs de haut niveau. Souvent, le conseil délègue à la direction ses responsabilités en matière de surveillance et d'assurance, et se
réserve toute l'autorité sur les décisions clés.
Le COSO décrit la supervision de la gestion des risques de l'entreprise par le conseil de la manière suivante :
Connaître l'étendue et l'efficacité de la gestion des risques de l'entreprise établie dans l'organisation par la direction.
Connaître l'appétence de l'entité pour le risque et s'aligner sur celui-ci.
Examiner la vue globale de l'entité sur le risque et évaluer celui-ci par rapport à l'appétence de l'entité pour le risque.
Connaître les risques les plus significatifs et s'assurer que la direction y répond de façon adéquate.
Le conseil fait partie intégrante de la composante d'environnement interne du modèle du COSO. Par son action, il établit un précédent
en matière d'intégrité et de valeurs éthiques. Le conseil peut utiliser des ressources pour mener des enquêtes particulières et peut
recourir à des comités pour exécuter certaines tâches. À un comité sur les rémunérations, par exemple, incomberaient les
responsabilités relatives à divers aspects du système de récompense. Autre exemple : le comité d'audit pourrait être chargé de
superviser la fiabilité du reporting externe. En résumé, les décisions, l'engagement, les objectifs et les activités du conseil influent
fortement sur le fait que les risques soient ou non gérés à un niveau acceptable.
Direction. La direction est le principal responsable de l'identification et de la gestion des risques, ainsi que de la mise en œuvre d'une
approche structurée, cohérente et coordonnée de gestion des risques de l'entreprise. Les responsabilités propres aux directeurs de
chaque niveau varient d'une organisation à l'autre. Toutefois, la règle universellement suivie est de confier au directeur général la
responsabilité finale du processus de gestion des risques de l'entreprise, de la définition du « ton donné par la direction » et de la mise
en œuvre d'un environnement interne positif.
La direction et le conseil travaillent ensemble durant le processus d'élaboration de la stratégie afin de déterminer ll'appétence pour le
risque de l'organisation. Le COSO définit l'appétence pour le risque comme « le niveau de prise de risque accepté par l’organisation
dans le but d’accroître sa valeur ». L'environnement d'exploitation de l'organisation détermine en partie son appétence pour le risque.
Par exemple, l'environnement d'exploitation de sociétés pharmaceutiques nécessite de protéger la valeur de la marque et de minimiser
les risques en investissant dans la recherche précoce et les essais. Cependant, une organisation comme celle-ci peut choisir de suivre
une stratégie qui l'expose à plus ou moins de risques, comme par exemple prendre la décision d'entrer sur un nouveau marché ou de
rester sur des marchés matures plus stables. Le rôle des auditeurs internes est d'assurer que l'organisation a une tolérance au risque
suffisante ou la capacité d'absorber les écarts par rapport aux objectifs, en fonction de l'attribution des ressources au sein de
l'organisation et des choix stratégiques liés à l'appétence pour le risque.
Les membres de la direction transforment les stratégies de gestion des risques en opérations. Les responsables de processus, de
fonctions ou de services particuliers jouent un rôle à la fois tactique et pratique quant à l'élaboration et à l'exécution des procédures
spécifiques de gestion des risques. Ils tiennent informés leurs supérieurs de l'avancée de leurs activités et recommandent des
améliorations.
L'autorité et la responsabilité de la direction sont impératives pour une gestion efficace des risques de l'entreprise. Chaque directeur
devrait être responsable devant son supérieur direct, le directeur général étant responsable devant le conseil.
Responsable de la gestion des risques. Dans certaines organisations, un responsable de la gestion des risques, également appelé
gestionnaire des risques ou directeur des risques, centralise la coordination de la gestion des risques de l'entreprise à travers toute
l'organisation. Nommé par le directeur général, le directeur des risques dispose des ressources nécessaires pour travailler avec
d'autres responsables dans le but de développer des pratiques efficaces de gestion des risques, de suivre les progrès et de les assister
lors du reporting.
Le COSO répertorie les responsabilités spécifiques du directeur des risques en matière de gestion des risques de l'entreprise :
élaboration des politiques pertinentes ;
définition des rôles et des responsabilités, et assistance à la définition des objectifs en matière de mise en œuvre ;
encadrement de l'autorité et de la responsabilité dans les unités d'affaires ;
promotion des compétences à travers toute l'entité ;
orientation de l'intégration aux autres activités de gestion et de planification des affaires ;
élaboration d'un langage de gestion des risques commun et de mesures communes ;
facilitation des protocoles de reporting ;
transmission de l'avancée des activités au directeur général, ainsi que des actions recommandées.
Certaines organisations nomment une personne chargée exclusivement du poste de gestionnaire des risques. D'autres attribuent les
responsabilités en matière de gestion des risques de l'entreprise au directeur financier, à l'avocat conseil ou à un autre cadre supérieur.
Responsables financiers. Les activités financières et de contrôle financier touchent toutes les unités d'exploitation et d'affaires. La
budgétisation, la planification financière, le suivi et l'analyse des performances, et le reporting relèvent du champ d'action du directeur
financier, du chef du service comptable, du contrôleur ou d'autres individus exerçant une fonction financière. Ces personnes et les
activités qu'elles exercent constituent une pièce maîtresse de l'exécution de la gestion des risques par la direction.
Parties externes. Plusieurs parties externes prennent part aux objectifs et aux activités de gestion des risques de l'entreprise d'une
entité :
Auditeurs externes. Les auditeurs externes offrent une vision indépendante et objective qui contribue à la réalisation des
objectifs de l'entreprise, notamment en termes de reporting financier externe. Bien que la plupart des audits d'états financiers ne
s'occupent que peu de la gestion des risques de l'entreprise, le COSO souligne que les informations fournies peuvent aider la
direction à prendre en charge ses responsabilités en matière de gestion des risques. Les résultats des audits, les informations
analytiques et les actions préconisées sont des données pertinentes pour la réalisation des objectifs définis. Si un audit externe met
au jour des insuffisances au niveau de la gestion des risques et du contrôle, l'auditeur peut également communiquer ces
informations accompagnées de recommandations d'amélioration. Si la loi ou les règlements (par exemple, la loi Sarbanes-Oxley)
exigent que l'audit externe évalue le contrôle interne du reporting financier d'une entité, le périmètre de l'audit dans ces domaines
est restreint.
Législateurs et régulateurs. Un grand nombre de lois et de règlements ont une incidence sur la gestion des risques de
l'entreprise d'entités particulières. Les législateurs et les régulateurs établissent des règles qui obligent les systèmes de contrôle et
de gestion des risques d'une entité à satisfaire à des exigences légales et réglementaires minimales. Lorsque les organismes de
régulation examinent une entité (par exemple, lorsque des contrôleurs de banques fédérales et d'État examinent les opérations
d'une banque), l'organisation tire généralement des informations utiles sur l'application de la gestion des risques de l'entreprise et
des recommandations et/ou des directives portant sur les améliorations nécessaires.
Partenaires. Les partenaires d'une entité (clients, fournisseurs, créanciers, etc.) peuvent s'avérer des canaux d'informations utiles
aux activités de gestion des risques. Les éléments tels que les demandes de nouveaux produits et services, les problèmes de
contrôle qualité, les préoccupations éthiques et les divergences en matière de facturation ou d'expédition peuvent être des
informations pratiques pour atteindre les objectifs stratégiques, opérationnels, de reporting ou de conformité.
Sous-traitants. De nombreuses organisations choisissent de sous-traiter certaines activités quotidiennes (paie, comptabilité ou
informatique) dans le but de consacrer leurs activités et leurs ressources aux compétences fondamentales de l'organisation. La
sous-traitance permet généralement à une organisation de capitaliser sur les compétences d'autres entreprises jugées plus
efficaces ou plus expertes dans des tâches spécialisées annexes aux compétences fondamentales de l'organisation. Le COSO
soutient le principe selon lequel la direction ne peut pas déléguer à ces fournisseurs externes les activités de gestion des risques
associées. Des programmes doivent être élaborés et mis en œuvre pour surveiller ces activités.
Analystes financiers, agences de notation et médias d'information. Les analystes financiers et les agences de notation
évaluent un large éventail de facteurs pour émettre un avis sur la santé d'une organisation et sa valeur en tant qu'investissement.
Les médias financiers conduisent fréquemment des analyses similaires. Les observations et les perspectives que ces groupes
émettent peuvent s'avérer utiles à la direction afin d'améliorer les activités de gestion des risques.
Nous nous concentrerons sur les cadres ISO 31000 et Turnbull, puis nous reviendrons sur le modèle du COSO afin d'analyser plus en
détail les domaines de l'ERM.
Pour plus d'informations sur le document Enterprise Risk Management – Integrated Framework du COSO (Le management des
risques de l'entreprise – Cadre de référence), consultez le site du COSO à l'adresse suivante : www.coso.org.
ISO 31000
La norme ISO 31000:2009, « Management du risque – Principes et lignes directrices » est un cadre de normes internationales simple
et concis pour la gestion des risques. L'ISO 31000 est un cadre pour le développement systématique de la gestion des risques de
l'entreprise qui peut être utilisé par tout type d'organisme sans distinction de taille ou d'activité parce que l'organisation peut adapter le
cadre au périmètre approprié et au contexte environnemental. Au fur et à mesure que les activités de gestion des risques de
l'organisation deviennent plus matures, le cadre lui aussi évolue. L'ISO a également publié un document complémentaire intitulé ISO
Guide 73:2009, « Management du risque – Vocabulaire », qui permet aux organisations de discuter des risques en utilisant un ensemble
commun de termes de gestion des risques.
La norme ISO 31000 est de plus en plus populaire, en partie parce qu'il s'agit d'une norme internationale et que de nombreuses
organisations la considèrent plus claire et plus facile à expliquer à la direction générale et au conseil d'administration. C'est
particulièrement vrai pour les organisations non américaines et les organisations qui adoptent simplement un cadre de gestion des
risques.
Le but de la norme ISO 31000 est d'aider les organisations à gérer le concept d'incertitude. Une organisation qui peut gérer
l'incertitude et s'adapter rapidement au changement sera mieux en mesure d'atteindre ses objectifs et présentera plus d'intérêt pour les
investisseurs. La norme ISO 31000 permet également aux organisations de comparer leurs propres pratiques de gestion des risques à
celles d'autres organisations qui ont déjà adopté la norme.
La phase de mise en œuvre a son propre cycle, comme le montre l'illustration II-22.
Pour plus d'informations sur la norme ISO 31000:2009, visitez le site Web de l'ISO à l'adresse suivante :
www.iso.org/iso/home/standards/iso31000.htm. Vous pourrez consulter l'introduction de l'AS/NZS ISO 31000:2009 sur
sherq.org/31000.pdf et l'acheter sur infostore.saiglobal.com/store.
Comparaison entre le cadre de la norme ISO 31000 et le référentiel de gestion des risques de l'entreprise du COSO
Les objectifs du cadre de l'ISO 31000 et ceux du référentiel ERM du COSO sont très similaires. Voici les caractéristiques communes
aux deux approches :
Tentative d'aider les organisations à atteindre leurs objectifs commerciaux par le biais d'une gestion efficace des risques internes et
externes.
Reconnaissance de l'importance de l'intégration d'une mentalité de gestion des risques à la culture de l'organisation.
Reconnaissance de l'importance du « ton donné par la direction » dans la gestion des risques.
Champ d'application délibérément large.
Reconnaissance du fait que la gestion des risques est un processus itératif complexe nécessitant des compétences
pluridisciplinaires pour une mise en œuvre et une gestion correctes.
Bien que les processus de gestion des risques soient similaires par nature, il existe quelques différences subtiles. L'une d'entre elles se
situe au niveau de la terminologie. La norme ISO 31000:2009 utilise l'expression « traitement du risque » lorsque le COSO parle de
« réponse au risque ». L'autre différence est que les composantes de l'ERM du COSO et de la norme ISO 31000 ne s'alignent pas
précisément, comme le montre l'illustration II-23. (Notez que certaines composantes sont répétées pour montrer leur champ
d'application au niveau de plusieurs composantes de l'autre processus.)
Illustration II-23 : Différences entre les composantes de l'ERM du COSO et de la norme ISO 31000
Les Recommandations Turnbull traitent de l'adoption d'une approche du contrôle interne fondée sur les risques et de l'évaluation de
son efficacité. Elles sont liées aux exigences de divulgation de la Bourse de Londres. Le rapport Turnbull recommande à toutes les
entreprises répertoriées à la Bourse de Londres de mettre en place un plan de gestion des risques. Bien que les détails de mise en
œuvre spécifiques soient laissés à la discrétion de l'entreprise, la direction exige que le plan soit mis en place et géré activement.
Comme pour les exigences imposées par la loi Sarbanes-Oxley de 2002, les règlements associés de la US Securities and Exchange
Commission (SEC) et les règlements de la Bourse américaine, si l'on ne se conforme pas aux Recommandations Turnbull, les
informations seront publiées dans le rapport annuel. En fait, la SEC considère les Recommandations Turnbull comme étant un cadre
approprié pour se conformer aux exigences des États-Unis concernant le reporting des contrôles internes relatifs à l'information
financière, comme indiqué dans la Section 404 de la loi Sarbanes-Oxley et les règlements associés de la SEC.
Toutefois, les Recommandations Turnbull ne sont pas seulement utilisées afin de se conformer aux modalités en matière de Bourse.
Les principes de gestion efficace des risques et l'intégration d'un contrôle interne au niveau des processus d'entreprise présentent un
grand intérêt commercial pour une entité. Les organisations ont la possibilité de sélectionner les principes adaptés à leurs propres
circonstances. Voici quelques-uns des grands principes des Recommandations Turnbull :
Mettre l'accent sur les risques importants. Si trop de risques sont identifiés, il devient difficile d'identifier et de gérer ceux qui
sont importants. Le Rapport Turnbull recommande que l'identification des risques se concentre sur les risques qui ont été identifiés
par la direction générale comme étant potentiellement dangereux pour la réalisation des objectifs de l'organisation.
Mettre l'accent sur la gestion des risques. Le Rapport Turnbull considère la gestion des risques comme essentielle pour
réduire la probabilité que les objectifs organisationnels soient mis en péril par des événements imprévus. Il favorise la gestion
proactive des risques.
Surveillance continue des risques et du contrôle. Les stratégies et les politiques de gestion des risques et de contrôle interne
d'une organisation doivent être surveillées en permanence et adaptées pour répondre à l'évolution des risques. Un processus de
feedback devrait être mis en place pour tirer les leçons des échecs et développer les capacités permettant de potentiellement
s'améliorer et réduire le risque.
Faire participer tous les employés. Le Rapport Turnbull maintient que tous les employés ont une certaine responsabilité quant
au contrôle interne et doivent être responsabilisés pour atteindre les objectifs organisationnels. Ils doivent disposer des
connaissances, des compétences, des informations et de l'autorité nécessaires pour établir, utiliser et surveiller le système de
contrôle interne dans leur sphère de responsabilités. Ils doivent comprendre les objectifs organisationnels et les industries et
marchés spécifiques à l'entité, ainsi que les risques auxquels elle est confrontée.
Rationalisation des bases de données de gestion des risques. Le contrôle devrait être intégré dans les processus
organisationnels. Le rapport Turnbull recommande d'intégrer des mécanismes de détection précoce aux systèmes d'information de
la direction existants plutôt que de développer des systèmes de reporting des risques indépendants.
Grâce à cet aperçu des Recommandations Turnbull, nous pouvons constater qu'il existe beaucoup de similarités au niveau des
différentes approches de gestion des risques présentées. Et comme pour les cadres de l'ERM du COSO et de la norme ISO 31000,
une organisation peut tirer parti de l'adoption de l'approche Turnbull fondée sur les risques. Certains aspects positifs permettent de
mieux :
Fournir une assurance objective au conseil et à la direction générale quant à l'adéquation et à l'efficacité des processus de contrôle
interne et de gestion des risques de l'organisation.
Donner des conseils en matière de gestion efficace des risques, en particulier en ce qui concerne les problèmes liés à la
conception, à la mise en œuvre et à l'exploitation des systèmes de contrôles internes.
Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou d'éviter les pertes opérationnelles et autres pertes
similaires.
Réduire la probabilité d'occurrence d'événements indésirables.
Pour plus d'informations sur les Recommandations Turnbull de 2005, et l'édition FRC 2014 suivante, visitez https://www.frc.org.uk.
Un examen critique de la conception organisationnelle est le meilleur moyen de faciliter une communication et une coordination
efficaces pour atteindre les buts et objectifs de l'entreprise. Quelle que soit la manière dont la structure organisationnelle est
représentée sur le papier, une conception efficace doit :
Refléter la taille et la nature des activités de l'entité ;
Etablir des lignes formelles d'autorité ;
Définir des sphères clés de responsabilités ;
Etablir des lignes de reporting ;
Etablir des relations entre les individus, les groupes et les services ;
Coordonner les différentes tâches organisationnelles ;
Affecter des responsabilités à des services et des postes particuliers ;
Allouer et déployer les ressources de l'organisation.
Dans l'ensemble, la structure de l'organisation fournit le cadre nécessaire à la planification, l'exécution, au contrôle et à la surveillance
des activités. Le document Enterprise Risk Management – Integrated Framework du COSO (Le management des risques de
l'entreprise – Cadre de référence) explique comment la structure d'une entité aura un impact notamment sur les domaines suivants.
Il est utile de comprendre qu'un contrôle unique peut avoir plusieurs fonctions, puisque les activités de contrôle se traduisent toutes par
un coût. Par exemple, exiger un reçu pour une dépense d'entreprise permet à la fois de contrôler l'exactitude des écritures dans le
grand livre, de se conformer à la législation fiscale et de réduire le risque de fraude.
Certains contrôles peuvent introduire de nouveaux risques au niveau d'un processus. Par exemple, on peut utiliser des clés et des
serrures pour empêcher l'accès non autorisé à un entrepôt, mais s'il faut contrôler qui est en possession des clés, cela risque en même
temps d'augmenter les coûts. De plus, les clés peuvent être égarées, cassées ou reproduites. Il peut y avoir une perte de productivité
si l'on prend en compte le temps passé à utiliser les clés, etc.
Pour une meilleure compréhension des technologies de l'information ainsi que des risques et contrôles associés, consultez le Guide
pratique, « Les risques et les contrôles des systèmes d’information, 2e édition » (Précédemment GTAG 1).
Pour compléter l'infrastructure d'informations, les communications internes et externes devraient soutenir la philosophie et l'approche
de gestion des risques de l'organisation. Par exemple, l'ensemble du personnel interne à l'organisation doit saisir l'importance de la
gestion des risques, les objectifs de l'organisation, et les rôles et responsabilités qui soutiennent les initiatives.
Le personnel doit comprendre comment ses activités individuelles sont liées au travail des autres. Cela signifie que les canaux de
communication doivent être ouverts à tous les niveaux de l'organisation et favoriser un esprit de coopération et une volonté d'écoute.
Il est important de communiquer avec les parties externes (clients, fournisseurs, parties prenantes, régulateurs et autres) de manière
pertinente et en temps opportun. Par exemple, une communication utile avec les fournisseurs concernant l'appétence pour le risque et
la tolérance au risque peut éviter à une organisation d'accepter involontairement trop de risques liés à un fournisseur dont les valeurs
sont différentes.
La direction doit obtenir une assurance raisonnable que la gestion des risques demeure efficace. Les détails pour y parvenir dépendent
de l'organisation. Généralement, cela implique deux actions de surveillance :
Surveillance continue : surveillance intégrée dans les activités normales et récurrentes, et exécutée en temps réel
Évaluations indépendantes : évaluations exécutées après coup et destinées à obtenir un « regard neuf » sur l'efficacité de la gestion
des risques
Vous trouverez plus d'informations sur les actions de surveillance dans la présentation de la surveillance des risques, plus loin dans
cette rubrique.
Plusieurs facteurs externes et internes doivent être pris en considération lors de l'identification des événements. L'illustration II-24
présente plusieurs exemples.
Les techniques d'identification peuvent varier. Elles se différencient généralement par leur sophistication, qu'elles examinent les
données historiques et/ou les sources factuelles d'événements observables, ou fournissent des données à un type quelconque de
modèle de projection pour identifier les événements futurs potentiels. Certaines techniques examinent les données en suivant une
approche descendante, d'autres créent une analyse détaillée en suivant une approche ascendante.
Catégories d'événements
Les événements potentiels sont parfois regroupés en catégories. Par exemple, les événements peuvent être regroupés de façon
horizontale à travers une entité et de façon verticale au sein d'unités opérationnelles. La catégorisation des événements offre
différents avantages. Processus de catégorisation :
Améliore les informations recueillies pour servir de base à l'évaluation des risques ;
Facilite les efforts que fournit la direction pour déterminer les opportunités et les risques ;
Permet à la direction de prendre en compte le caractère complet de ses efforts d'identification des événements.
Les catégories varient. Les organisations les définissent en fonction de leur pertinence. Une organisation peut développer des
catégories en se basant sur ses objectifs, en commençant par ses objectifs stratégiques de haut niveau, puis en descendant vers les
objectifs au niveau des unités, des fonctions ou des processus. Une autre approche peut consister à définir des catégories
d'événements au niveau des facteurs internes et externes. Les facteurs politiques externes peuvent inclure les modifications
gouvernementales, la législation, les politiques publiques ou les règlements. Parmi les facteurs internes relatifs au personnel figurent les
compétences des employés, les activités frauduleuses ainsi que la santé et la sécurité.
Les micro-évaluations à l'échelle de la mission visent à identifier et mesurer l'exposition au risque dans les opérations et à s'assurer
que les risques pertinents au domaine évalué sont abordés. Ces évaluations des risques à l'échelle de la mission sont abordées dans la
Partie 2, Section II, Chapitre A.
Comme décrit dans le document Implementing the International Professional Practices Framework (Mise en œuvre du Cadre
des pratiques professionnelles) d'Anderson et Dahle, les macro-évaluations à l'échelle de l'organisation sont destinées à fournir une
analyse « descendante » de tous les principaux risques qui affectent l'organisation.
La direction peut avoir mis en place un processus d'identification et d'évaluation des risques de haut niveau. Dans ce cas, l'audit
interne doit prendre part à ce processus tel qu'approprié. L'activité d'audit interne peut alors utiliser les résultats de l'évaluation à
l'échelle de l'organisation.
Lorsqu'une organisation ne dispose pas d'un processus de gestion des risques, l'auditeur interne doit conseiller la direction et lui
montrer comment établir un tel processus. Si une organisation manque de ressources en matière de gestion des risques de
l'entreprise, l'activité d'audit interne peut faciliter la mise en place initiale d'un cadre générique (comme celui du COSO ou de la
norme ISO 31000), à la demande de la direction.
Si une organisation ne possède pas de processus de gestion des risques, l'activité d'audit interne doit agir avec prudence. Bien que les
auditeurs internes puissent faciliter ou réaliser les processus de gestion des risques, ils ne seront pas responsables de la gestion des
risques identifiés. Cependant, l'interprétation de la Norme 2010, « Planification », nous indique que dans le cadre de la mise en place
d'un plan d'audit interne axé sur le risque, « si ce système de gestion des risques n’existe pas, le responsable de l’audit interne
doit se baser sur sa propre analyse des risques après avoir pris en considération le point de vue de la direction générale et
du conseil d'administration. Le responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre
aux changements dans les activités, les risques, les opérations, les programmes, les systèmes et les contrôles de
l’organisation ». Par conséquent, dans certains cas, il peut être nécessaire de travailler sans avoir recours à une évaluation ou un
cadre formalisé de gestion des risques.
Techniques d'évaluation
Les techniques d'évaluation des risques sont soit qualitatives, soit quantitatives. Les entreprises utilisent généralement les deux types.
Les entretiens et les ateliers sont deux techniques d'évaluation qualitative largement utilisées. De telles techniques sont utilisées
lorsque :
Les risques ne se prêtent pas à une quantification.
Il n'y a pas suffisamment de données fiables disponibles pour réaliser des évaluations quantitatives.
Il n'est pas rentable d'obtenir ou d'analyser des données quantitatives.
Les techniques qualitatives estiment généralement la probabilité et l'impact des événements potentiels en utilisant des mesures
nominales ou ordinales. Les mesures nominales permettent regrouper les événements en catégories (comme par exemple économique
ou politique), mais sans les classer. Les mesures ordinales organisent les événements par ordre d'importance à l'aide d'une échelle
(par exemple, en leur attribuant un rang élevé, moyen ou faible sur l'échelle).
Les techniques d'évaluation quantitative donnent généralement des mesures plus précises. Par rapport aux mesures qualitatives, les
techniques quantitatives sont plus complexes et nécessitent généralement plus d'effort et de rigueur. Elles sont souvent utilisées en
complément des techniques qualitatives. Des modèles mathématiques sont parfois utilisés dans les techniques quantitatives.
L'illustration II-26 résume les techniques courantes d'évaluation quantitative.
Limiter les évaluations des risques aux risques financiers. Dans les évaluations des risques, l'importance des questions
informelles moins tangibles (telles que les ressources humaines, la responsabilité sociale ou la réputation) croît davantage que celle
des risques financiers classiques. Ces questions devraient faire partie du processus d'évaluation des risques car elles s'avèrent
souvent plus avantageuses ou plus préjudiciables.
Sélectionner aveuglément des risques à partir d'un cadre générique des risques. De telles matrices doivent davantage
être considérées comme un outil de brainstorming permettant d'identifier les expositions aux risques.
Évaluer les risques de manière isolée (auditeurs internes). Les approches collaboratives telles que les évaluations
descendantes à l'échelle de l'entreprise et les évaluations ascendantes des risques au niveau de la mission qui sont alignées et
interconnectées sont beaucoup plus efficaces.
Identifier un trop grand nombre de risques. Des listes de risques trop longues augmentent le danger de ne pas accorder
suffisamment d'attention aux risques significatifs. Le cadre de contrôle COSO inclut les catégories de risques que les organisations
ont utilisées avec succès. Certaines recommandations conseillent de limiter le nombre de risques significatifs à 15 ou 20.
Compliquer inutilement la quantification des risques. À moins qu'une quantification complexe des risques ne soit requise (par
exemple, dans le cas de produits dérivés ou d'autres instruments financiers complexes), il est préférable que la quantification et la
hiérarchisation des risques restent simples. Une quantification précise et détaillée peut compliquer inutilement une évaluation des
risques alors que des tactiques simples de notation de l'importance et de la probabilité (par exemple, forte probabilité/forte
importance ou faible probabilité/faible importance) suffiraient.
Nature dynamique du risque
Comme nous l'avons vu, l'identification des événements et l'évaluation des risques varient d'une entité à l'autre en fonction de leurs
caractéristiques organisationnelles. Toutefois, les processus doivent être robustes. Les organisations, leurs marchés et leurs
environnements professionnels ne sont pas statiques. Des changements se produisent en permanence. Les événements de risque
évoluent également. C'est pourquoi l'identification et l'évaluation des risques ne peuvent pas se limiter à un exercice stratégique
annuel. Le document Implementing the International Professional Practices Framework suggère de prendre des dispositions afin
d'acquérir constamment de nouvelles informations sur les risques par l'intermédiaire de pratiques telles que des programmes de
sollicitation fréquente de la direction, une convocation trimestrielle du comité de gestion des risques et des outils automatisés pour
capturer et comprendre les indicateurs de risque.
Risque résiduel
Comme les quatre réponses aux risques illustrées à l'illustration II-27 l'indiquent, il est impossible d'éliminer tous les risques. Un certain
degré de risque résiduel est inévitable. Comme nous l'avons vu, le risque résiduel correspond au risque restant après application de la
réponse au risque (par exemple, après que des contrôles ont été élaborés). En d'autres termes, le risque résiduel est le risque restant
après que la direction a pris les mesures visant à prévenir, réduire, partager ou accepter le risque.
L'illustration II-28 présente les deux choix qui s'offrent à la direction lorsqu'elle étudie le risque résiduel.
Le risque résiduel ne peut pas être ignoré. Voici quelques éléments à prendre en compte lors de la détermination de la réponse
appropriée :
Alignement de la réponse sur la tolérance au risque de l'organisation.
Effets d'une réponse envisagée sur la probabilité et l'impact de l'occurrence d'un risque.
Analyse coûts-bénéfices des différentes réponses.
Impact potentiel des différentes réponses sur la réalisation des objectifs organisationnels.
Surveillance continue
Les activités de gestion des risques de l'entreprise intègrent généralement des dispositions d'auto-surveillance. La plupart des activités
de surveillance continue sont exécutées en temps réel pendant la conduite quotidienne des activités commerciales. Les activités
continues :
Sont généralement exécutées par des responsables du soutien fonctionnel ou des directeurs opérationnels en fonction des
informations qu'ils reçoivent ;
Se concentrent sur les relations, les incohérences ou d'autres implications pertinentes ;
Se distinguent des activités exécutées en réponse à une politique (par exemple, approbations de transactions ou rapprochements
des soldes des comptes).
Une activité de surveillance continue peut être une conversation entre un directeur et des membres du personnel des opérations au
sujet de la manière dont ils identifient les risques qui correspondent aux tâches qu'ils exécutent, de leur compréhension de l'objectif des
contrôles et de leur capacité à identifier correctement les éventuels problèmes que présentent les activités de contrôle. Ce dialogue
continu ordinaire aide à s'assurer que les employés comprennent les codes de conduite et possèdent une bonne connaissance de la
gestion des risques et du contrôle interne. Tout point problématique identifié nécessitant une attention particulière peut être traité.
Évaluations indépendantes
Les évaluations indépendantes s'attachent directement à l'efficacité de la gestion des risques de l'entreprise. Selon le COSO :
Le périmètre et la périodicité varient en fonction de l'importance des risques et des réponses aux risques dans la gestion de ceux-
ci.
Les domaines les plus prioritaires ont tendance à nécessiter des évaluations plus fréquentes.
L'évaluation de l'intégralité du système de management des risques de l'entreprise est généralement requise moins souvent que les
évaluations plus précises.
L'évaluation de l'intégralité du système peut être garantie par des facteurs tels que des changements majeurs de stratégie ou de
direction, des acquisitions ou des ventes, des changements des conditions politiques ou économiques, ou des changements au
niveau des opérations ou des méthodes de traitement des informations.
Les évaluations indépendantes sont souvent réalisées sous forme d'auto-évaluations. Les individus responsables d'une fonction ou
d'une unité particulière déterminent l'efficacité des activités au sein de leur sphère de responsabilités. Par exemple, les directeurs
opérationnels examinent les objectifs opérationnels et de conformité, et les contrôleurs s'occupent des objectifs de reporting.
Les auditeurs internes effectuent couramment des évaluations dans le cadre de leurs tâches quotidiennes ou à la demande expresse
de la direction, du conseil ou d'autres cadres supérieurs. La direction peut aussi envisager de recourir à des auditeurs externes.
Il revient à la direction de juger si des évaluations indépendantes sont nécessaires en se basant sur divers facteurs, notamment :
La nature et le degré des changements de l'environnement professionnel et des risques associés.
Les compétences du personnel chargé de la mise en œuvre des réponses aux risques et des contrôles associés.
Les résultats de la surveillance continue.
En règle générale, l'association de la surveillance continue et d'un certain nombre d'évaluations indépendantes aide à garantir le bon
fonctionnement de la gestion des risques de l'entreprise au fil du temps. Des évaluations indépendantes fréquentes peuvent indiquer la
nécessité d'améliorer la surveillance continue.
Les informations recueillies grâce à la surveillance continue peuvent permettre d'identifier les insuffisances. Les évaluations de la
direction, les résultats de l'activité d'audit interne et les autres auto-évaluations peuvent mettre en évidence les domaines à améliorer.
Les sources externes telles que les organismes de réglementation et les rapports d'audit externe peuvent mettre au jour des
insuffisances, de la même manière que les rapports d'audit interne.
L'un des rôles de l'audit interne est d'aider le comité d'audit en surveillant la direction afin de vérifier si elle a tenu compte des
précédents rapports en mettant en place des plans d'action destinés à corriger les insuffisances signalées. Concrètement, cela prend
généralement la forme d'une liste d'insuffisances identifiées dans chaque rapport, accompagnées du plan d'action, de la date cible, de
la responsabilité et de la progression de la mise en œuvre, présentée à chaque réunion du comité d'audit.
La direction générale et le conseil déterminent le rôle de l'activité d'audit interne dans le processus de gestion des risques de
l'organisation. Dans la plupart des organisations, les auditeurs internes ont un rôle clé à jouer dans l'évaluation de l'efficacité du
management des risques de l'entreprise et dans la recommandation d'améliorations. Ils contribuent à la gestion des risques de
l'entreprise par le biais de nombreuses activités d'assurance et de conseil.
En tant que fonction au sein de l'organisation, l'activité d'audit interne doit se conformer aux politiques et procédures de l'organisation,
y compris aux processus de gestion des risques, et doit appliquer les méthodologies en la matière lors de l'élaboration et de la mise en
œuvre des pratiques d'audit interne.
Guide de mise en oeuvre 2120 « Management des risques » nous rappelle que l'activité d'audit interne présente également des risques.
Dans son évaluation des risques, l'activité d'audit interne prend en compte la taille, la complexité, le cycle de vie, la maturité, la
structure des parties prenantes et l'environnement juridique et concurrentiel de l'organisation. On peut classer ces risques en trois
grandes catégories : risque d’échec de l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation.
Rôles d'assurance
Le conseil d'une organisation doit obtenir l'assurance que les processus de gestion des risques fonctionnent comme prévu et que les
risques clés sont gérés à un niveau acceptable. Dans la plupart des organisations, cette assurance est délivrée par différentes sources
à différents niveaux. Par exemple, les domaines opérationnels d'une organisation ayant attribué des responsabilités fonctionnelles en
matière de gestion des risques communiquent au conseil leurs niveaux de performances. Ces rapports fonctionnels sont complétés par
l'assurance objective des audits externes, des évaluations de spécialistes et des audits internes.
La principale contribution de l'activité d'audit interne à la gestion des risques est l'assurance. L'auditeur interne fournit généralement
une assurance concernant les éléments suivants :
Processus de gestion des risques, y compris leur conception et leur fonctionnement.
Gestion des risques clés, y compris l'efficacité des contrôles et autres activités.
Évaluation fiable et appropriée des risques, et reporting de l'état des risques et des contrôles.
L'assurance exige de l'auditeur interne la formulation d'une opinion sur la compréhension de la méthodologie de gestion des risques
d'une organisation par les individus et les groupes clés impliqués dans la gouvernance, y compris le conseil et le comité d'audit.
L'auditeur interne doit également s'assurer que les processus de gestion des risques sont suffisants pour protéger les actifs, la
réputation et la continuité des opérations de l'organisation.
La norme de fonctionnement 2120 « Management des risques » explique que « l'activité d'audit interne doit évaluer l'efficacité des
processus de management des risques et contribuer à leur amélioration ».
Afin de déterminer si les processus de gestion des risques sont efficaces, les auditeurs internes doivent s’assurer que :
Les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
Les risques significatifs sont identifiés et évalués ;
Les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de l’organisation ; et
Les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour permettre aux
collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision consolidée des
résultats de ces missions permet une compréhension du processus de gestion des risques de l’organisation et de son efficacité.
Les processus de gestion des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques ou par ces deux
moyens.
Pour respecter cette norme, le responsable de l’audit interne et les auditeurs internes cherchent en premier lieu à comprendre l’appétence pour le
risque de l’organisation, ses missions et ses objectifs. Il est également important d’avoir une compréhension complète de la stratégie de
l’organisation et des risques identifiés par le management. Les risques peuvent être de nature financière, opérationnelle, légale, réglementaire, ou
stratégique… les auditeurs internes devront donc comprendre le contexte de management des risques de l’organisation, et les mesures
correctives qui ont été mises en place pour traiter les risques. En préalable à la mise en oeuvre de la Norme 2120, il est important de savoir de
quelle manière l’organisation identifie, évalue et surveille les risques.
Les techniques utilisées par les organisations en matière de gestion des risques peuvent être très différentes. Selon l’importance et la
complexité des activités, les processus de management des risques peuvent être :
Formels ou informels ;
Quantitatifs ou subjectifs.
Intégrés aux unités d'affaires ou centralisés au niveau de l'entreprise.
Chaque organisation conçoit des processus adaptés à sa culture, à son style de gestion et à ses objectifs commerciaux. L’auditeur
interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation.
Lors de l'évaluation de l'adéquation et de l'efficacité d'un système quelconque, y compris la gestion des risques, le contrôle interne et
la gouvernance, il existe des distinctions entre les termes qu'un auditeur interne doit bien comprendre.
Se caractérise par la planification et l'élaboration de ces processus par la direction d'une manière qui garantit la réalisation des objectifs de
l'organisation de façon efficace et rentable. Les performances en termes d'efficience permettent d'atteindre les objectifs de façon précise,
opportune et économique. Les performances en termes de rentabilité permettent d'atteindre les objectifs en utilisant un minimum de ressources
(c'est-à-dire de coûts), en proportion de l'exposition au risque. L'assurance raisonnable est garantie si les mesures les plus rentables sont prises
lors des phases de conception et de mise en œuvre pour réduire les risques et limiter les écarts attendus par rapport à un niveau acceptable.
Ainsi, le processus de conception commence avec la définition des objectifs. Il est suivi par la mise en relation des concepts, des parties, des
activités et des individus, de manière à ce qu'ils fonctionnent de concert pour atteindre les objectifs définis.
Se caractérise par le fait que la direction exécute les processus de manière à fournir l'assurance raisonnable que les objectifs de l'organisation
seront atteints. Outre la réalisation des objectifs et des activités planifiées, la direction conduit les opérations en autorisant les activités et les
transactions, en surveillant les performances des processus et en vérifiant que les processus de l'organisation fonctionnent tel que prévu.
Rôles de conseil
L'audit interne peut également réaliser des activités de conseil dans le but d'améliorer les processus de gestion des risques et de
contrôle de l'organisation. L'exposé de principes de l'IIA intitulé « The Role of Internal Auditing in Enterprise-wide Risk
Management » (Le rôle de l'audit interne dans le management des risques de l'entreprise) mentionne les sujets suivants comme rôles
possibles pour les missions de conseil :
Former la direction aux outils et techniques des contrôles et des risques utilisés par l'activité d'audit interne et partager ces outils.
Être le fer de lance de l'introduction du management des risques de l'entreprise dans l'organisation et du partage de l'expertise de
l'activité d'audit interne
Conseiller, animer des ateliers et former l'organisation aux risques et au contrôle.
Agir en tant que pivot de la coordination, de la surveillance et du reporting des risques.
Aider les responsables à identifier la meilleure méthode pour atténuer un risque.
La mesure dans laquelle l'activité d'audit interne fournit réellement des activités de conseil en matière de gestion des risques dépend
de divers facteurs :
Disponibilité des ressources : ressources internes et externes disponibles pour le conseil.
Maturité de l'organisation face aux risques : niveau de maturité de la structure et des processus de gestion des risques
organisationnels, rôle organisationnel des auditeurs internes et qualifications de ces derniers.
Objectivité de l'auditeur interne : l'auditeur interne joue-t-il ou non un rôle dans la gestion du risque ?
Lorsque l'activité d'audit interne élargit ses services pour inclure des missions de conseil, des mesures de protection doivent être mises
en œuvre afin de préserver son indépendance et son objectivité.
Comme nous l'avons vu, l'activité d'audit interne peut apporter une contribution précieuse à la réussite via ses activités de conseil et
d'assurance, et aider de manière efficace la direction et le conseil à s'acquitter de leurs responsabilités. Toutefois, il faut bien
comprendre que la direction reste responsable de la gestion des risques.
Pour préserver l'intégrité de la fonction d'audit interne au sein du cadre de gestion des risques de l'organisation, l'exposé de principes
de l'IIA émet les recommandations suivantes :
Les auditeurs internes doivent conseiller la direction et remettre en question ou soutenir les décisions de celle-ci à propos des
risques, et non pas prendre eux-mêmes des décisions en la matière.
La nature des responsabilités de l'audit interne doit être documentée dans la charte d'audit et approuvée par le comité d'audit.
Le document « The Role of Internal Auditing in Enterprise-wide Risk Management » identifie les rôles suivants comme des fonctions
que l'audit interne ne devrait pas exercer :
La norme de fonctionnement 2600 « Communication relative à l'acceptation des risques » indique : « Lorsque le responsable de l'audit
interne conclut que le management a accepté un niveau de risque qui pourrait s'avérer inacceptable pour l'organisation, il doit
examiner la question avec la direction générale. Si le responsable de l’audit interne estime que le problème n’a pas été résolu, il doit
soumettre la question au Conseil.
L'interprétation de la norme 2600 clarifie la façon dont les risques peuvent être identifiés et qui est responsable de la gestion de ce
risque : « L’identification du niveau de risque accepté par le management peut résulter d’une mission d’assurance, d’une
mission de conseil, du suivi des plans d’actions du management à la suite de missions d’audit interne antérieures, ou d’autres
moyens. La réponse au risque ne relève pas du responsable d’audit interne. »
La responsabilité de l'acceptation du risque est également traitée dans le Guide de mise en oeuvre 2060, « Communication avec la
direction générale et le conseil » : « Les communications du responsable de l’audit interne ont pour finalité première d’apporter une
assurance et des conseils à la direction générale et au Conseil en ce qui concerne les processus de gouvernance (Norme 2110), de
management des risques (Norme 2120) et de contrôle (Norme 2130) de l'organisation… Si le responsable de l’audit interne estime
que la direction générale a accepté un niveau de risque qui pourrait s’avérer inacceptable pour l’organisation, il devrait en discuter
avec elle. S’ils ne parviennent pas à s’entendre, la Norme 2600 requiert que le responsable de l’audit interne informe le Conseil.
Lorsque la situation ne peut pas attendre la prochaine réunion du Conseil (un cas de fraude majeur par exemple), le responsable de
l’audit interne devrait en faire part au plus tôt. »
Risques imprévus
Les plans de mission d'audit hiérarchisent les missions selon plusieurs facteurs, notamment l'utilisation efficace des ressources, les
priorités des risques et l'importance des risques et de l'exposition. Le rapport final de l'activité d'audit présente les résultats et les
observations. Toutefois, des risques imprévus, c'est-à-dire en dehors de ceux pris en compte lors de la phase de planification des
missions fondée sur les risques, apparaissent fréquemment.
En pratique, même les processus de gestion des risques les plus efficients et efficaces ne peuvent pas prévoir tous les risques
potentiels. Si des risques imprévus émergent et que le RAI les juge significatifs, celui-ci doit discuter des expositions aux risques avec
le conseil et le comité d'audit.
Chapitre D : Sensibilisation au risque de fraude
Introduction du chapitre
Dans ce chapitre, nous ne traitons pas d'audits de fraude ou d'enquêtes à grande échelle liées à des fraudes. Ces sujets seront
explicités ultérieurement dans la Partie 2, qui examine en détail les risques de fraude et les contrôles. Nous allons ici évoquer un
aspect plus général.
Conformément à la norme 1210.A2 (Missions d'assurance), « les auditeurs internes doivent disposer de connaissances suffisantes
pour évaluer le risque de fraude et la manière dont il est géré par l'organisation, mais ils ne sont pas censés détenir l'expertise d'une
personne dont la principale responsabilité est de détecter les fraudes et d'enquêter sur elles ». La norme 1210.A2 est une norme de
mise en œuvre qui fournit des recommandations pour la réalisation de missions d'assurance (A) en conformité avec les normes 1200
et 1210.
Norme 1200, « Compétence et conscience professionnelle » : Les missions doivent être menées avec compétence et conscience
professionnelle.
Norme 1210, « Compétence » : Les auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres
compétences nécessaires à l'exercice de leurs responsabilités individuelles. L’équipe d’audit interne doit collectivement posséder ou
acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.
L'IIA propose des supports de formation qui permettent à l'auditeur de satisfaire aux exigences pour acquérir et conserver la maîtrise
requise par ces Normes. Ces supports comprennent les Guides de mise en oeuvre, les guides pratiques et les exposés de principes
associés, des séminaires et des publications, ainsi que des liens vers d'autres ressources.
Ce chapitre traite du premier devoir, qui consiste à détecter les indices de fraude. On analysera le reste des responsabilités dans la
Partie 2, Section III, « Risques de fraude et contrôles ».
Être suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :
De connaître la définition de la fraude, telle qu'elle est donnée dans le glossaire de l'IIA ou dans d'autres sources professionnelles
ou légales faisant autorité ;
D'être en mesure d'identifier les types de fraude les plus susceptibles de se produire chez un client d'audit précis et d'être capable
d'évaluer le niveau de vulnérabilité du client (risque de fraude) ;
De connaître les symptômes de fraude (signaux d'alerte).
Les rubriques de ce chapitre couvrent ces indices de fraude, en commençant par la définition de la fraude, suivi d'une description des
divers types de fraude et, pour conclure, les symptômes de fraude ou les signaux d'alerte de fraude.
En 2008, l'IIA, en association avec l'AICPA (American Institute of Certified Public Accountants) et l'ACFE (Association of Certified
Fraud Examiners), a publié le guide « Managing the Business Risk of Fraud, A Practical Guide ». Ce dernier définit la fraude comme
« tout(e) acte ou omission délibéré(e) visant à tromper un tiers et ayant pour résultat une perte subie par la victime et/ou un gain
obtenu par l'auteur ».
Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant posséder une compréhension
suffisante des contrôles internes pour identifier les opportunités de fraude. Ils doivent également
comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment empêcher la fraude.
Vous trouverez plus d'informations dans l'ouvrage « Managing the Business Risk of Fraud, A Practical Guide », disponible sur le site
Web de l'IIA.
La fraude peut être classée de différentes manières : selon la personne – interne ou externe à l'organisation – qui la commet, selon la
manière dont elle est dissimulée (fraude sur les comptes ou hors comptes) ou selon le cycle commercial pendant lequel elle est
commise (ventes et recouvrements, acquisitions et paiements, rémunération et personnel, stock et entreposage, acquisition et
remboursement de capital). Les auditeurs internes doivent choisir le système de classification le plus approprié à leur organisation, puis
se familiariser avec des scénarios de fraude communs à ces classes.
Le détournement d'actifs implique le vol d'argent ou d'actifs (fournitures, stock, équipement, informations) appartenant à
l'organisation. Bien souvent, l'auteur de la fraude essaie de dissimuler le vol, généralement en modifiant les registres.
Le détournement de fonds a lieu lorsque de l'argent est volé à une organisation avant d'être enregistré dans les livres
comptables de l'organisation. Par exemple, un employé accepte le paiement d'un client, mais n'enregistre pas la vente.
Le décaissement frauduleux a lieu lorsqu'une personne fait payer à l'organisation des produits ou services fictifs, des factures
exagérées ou des factures pour des achats personnels. Par exemple, un employé peut créer une société-écran, puis envoyer à son
employeur une facture pour des services inexistants. D'autres exemples incluent des demandes d'indemnité frauduleuses pour des
soins de santé (facturations pour des services non effectués, facturations séparées au lieu de facturations groupées), demandes
d'indemnité chômage par des personnes qui travaillent ou demandes de pension ou de prestations de sécurité sociale pour des
personnes décédées.
On parle de fraude par remboursement de frais lorsque l'employé est rémunéré pour des dépenses fictives ou exagérées. Par
exemple, un employé présente des notes de frais frauduleuses pour se faire rembourser des déplacements personnels, des repas
inexistants, des kilomètres supplémentaires, etc.
La fraude sur salaire a lieu lorsque le fraudeur fait émettre un paiement par l'organisation en établissant de fausses demandes de
rémunération. Par exemple, un employé réclame le paiement d'heures supplémentaires pour des heures non travaillées ou ajoute
des employés fictifs à la liste du personnel et perçoit les paies.
Un conflit d'intérêts a lieu lorsqu'un employé, un directeur ou un dirigeant d'une organisation a un intérêt économique personnel
gardé secret dans une transaction et que celui-ci compromet les intérêts de l'organisation ou des actionnaires.
Un détournement est l'acte de détourner une transaction potentiellement lucrative pour le compte d'un employé ou d'une
personne extérieure.
Les gens escroquent les organisations de très nombreuses manières, allant du simple vol au détournement de fonds. Au bas de
l'échelle, l'escroquerie d'une organisation n'implique rien de plus que le fait de ramener chez soi des fournitures de bureau peu
onéreuses. Si les éléments dérobés n'ont pas plus de valeur que des stylos ou quelques feuilles de papier, il est probable que personne,
pas même l'auditeur interne, ne le remarquera. Le vol d'équipement onéreux à des fins d'utilisation ou de vente sera remarqué et
déclenchera une enquête plutôt qu'un audit.
C'est la « tromperie » mentionnée dans la définition du glossaire des Normes de l'IIA qui fait généralement entrer la fraude dans le
domaine de compétence de l'auditeur interne. L'auditeur recherche des signaux d'alerte indiquant la possibilité qu'une personne
(employé, responsable ou tiers extérieur) détourne des actifs de l'organisation pour son utilisation personnelle ou pour les vendre, tout
en masquant la disparition de ces actifs.
Fraude dans les états financiers : comme indiqué précédemment, cette fraude implique la falsification des états financiers,
souvent en surévaluant les actifs ou les recettes, ou en sous-évaluant les dettes et les dépenses. Les fraudes de ce type sont
généralement commises par des directeurs d'organisation qui cherchent à améliorer l'image économique de leur organisation. Les
membres de la direction peuvent profiter directement de la fraude en vendant des parts, en touchant des primes de rendement ou
en utilisant de faux rapports pour dissimuler une autre fraude.
Fausses déclarations : cette fraude implique la communication de fausses informations, généralement à des personnes
extérieures à l'organisation. Le plus souvent, cela implique des états financiers frauduleux, bien que la falsification d'informations
utilisées comme mesures de performances puisse également avoir lieu.
Corruption : il s'agit de l'abus de pouvoir à des fins d’enrichissement personnel. La corruption inclut les pots-de-vin et d'autres
utilisations abusives du pouvoir. Il s'agit souvent d'une fraude hors comptes, ce qui signifie que les états financiers ne présentent
pas suffisamment d'éléments pour prouver que le délit a été commis. Les employés corrompus n'ont pas à modifier
frauduleusement les états financiers pour dissimuler leurs crimes ; ils reçoivent simplement des paiements en espèces sous la table.
Dans la plupart des cas, ces crimes sont découverts sur des suggestions ou des plaintes de tiers, souvent par le biais d'une ligne
téléphonique anti-fraude. La corruption implique souvent la fonction d'approvisionnement. Tout employé autorisé à dépenser
l'argent d'une organisation est susceptible d'être corrompu.
Pot-de-vin : c'est l'offre, le don, l'acceptation ou la sollicitation de tout élément de valeur pour influencer un résultat. Des pots-de-
vin peuvent être offerts à des directeurs ou des employés clés tels que des acheteurs qui ont toute latitude pour attribuer des
contrats à des fournisseurs. Dans le cas typique, un acheteur accepte des pots-de-vin pour favoriser un fournisseur extérieur dans
l'achat de biens ou de services. L'offre ou l'acceptation de tout élément de valeur peut aussi être vue dans le sens inverse : celui de
demander cet élément de valeur comme condition d'attribution de contrats, ce qu'on appelle extorsion économique. Autre exemple :
un responsable des prêts corrompu qui demande un pot-de-vin en échange de l'approbation d'un prêt. Les personnes qui offrent les
pots-de-vin ont tendance à être des représentants mandatés ou des intermédiaires pour des fournisseurs extérieurs.
Transaction avec des parties liées : il s'agit d'une situation dans laquelle une partie reçoit des bénéfices qu'il serait impossible
d'obtenir dans le cadre d'une transaction indépendante normale.
Évasion fiscale : il s'agit de la communication intentionnelle de fausses informations dans une déclaration de revenus pour réduire
le montant des impôts dus. Les prix de transfert malhonnêtes et intentionnels (par exemple, l'évaluation des marchandises
échangées entre organisations apparentées) peuvent également être utilisés dans le cadre de l'évasion fiscale. En structurant
volontairement les techniques de tarification de manière inadéquate, la direction peut améliorer les résultats d'exploitation au
détriment d'une autre organisation et des systèmes d'imposition d'un ou plusieurs pays.
Parmi ces actes frauduleux, les contributions illégales, les pots-de-vin, etc. ont entraîné l'adoption du projet de loi Foreign Corrupt
Practices de 1977 aux États-Unis. Tout acte impliquant une tromperie dans le but de profiter à l'organisation (et, dans le même temps,
de faire du tort à une autre partie) s'intègre dans ce contexte.
Comme les champignons vénéneux, la fraude prospère dans un type d'environnement particulier. L'auditeur interne doit savoir
reconnaître les conditions environnementales qui constituent un sol fertile pour la fraude.
Cependant, il est important de se rappeler que ce sont les gens qui sont à l'origine des fraudes et non les défaillances dans les
systèmes, les politiques, les procédures ou les contrôles. Les gens peuvent profiter de ces défaillances mais il s'agit toujours d'une
activité humaine ; les discussions entourant la détection de fraude se rapportent donc à la compréhension des motivations et
rationalisations des personnes.
Chacune de ces situations peut suggérer des tentations précises. Une « position financière risquée » constitue un motif en cas de
fraude commise pour le compte de l'organisation à l'encontre des prêteurs et des investisseurs, par exemple. Le « manque de
vérification sur les nouvelles embauches » suggère qu'il est nécessaire de mettre en place des étapes d'embauche visant à identifier
les employés ayant un passé suspect, mais aussi les motifs et les opportunités (il est évident que cela suggère également des
recommandations à proposer à la direction concernant les pratiques liées aux ressources humaines). La « faible motivation des
employés » implique l'éventualité d'une fraude commise à l'encontre de l'entreprise par des employés enclins au vol et particulièrement
désenchantés par leur employeur.
Il existe un ensemble de trois conditions qui, lorsqu'elles sont présentes en proportions adéquates, suggèrent l'éventualité d'une fraude.
Il s'agit de l'opportunité, du motif et de la rationalisation, qui sont décrits comme suit.
Opportunité
Un processus peut être convenablement conçu pour des conditions données. Toutefois, une fenêtre d'opportunité peut survenir et produire
un dysfonctionnement ou des circonstances menant à l'échec du contrôle.
Une opportunité de fraude peut exister en raison d'une mauvaise conception du contrôle ou d'un manque de contrôle. Par exemple, un
système peut être développé pour protéger, en apparence, les actifs, sans toutefois être doté d'un contrôle important. Quiconque est
conscient de cet écart peut en profiter sans faire beaucoup d'efforts.
Il est possible que des personnes occupant des positions d'autorité puissent créer des occasions de contourner les contrôles existants, car
des subordonnés ou des contrôles faibles leur permettent de contourner les règles.
Bien que les auditeurs internes puissent ne pas être capables de connaître le motif exact ou la rationalisation de la fraude, ils sont
censés en savoir suffisamment sur les contrôles internes pour identifier les opportunités de fraude. Les auditeurs devraient également
comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment les empêcher. Il convient
d'examiner les informations mises à disposition par l'IIA et d'autres associations ou organisations professionnelles pour s'assurer que
les connaissances de l'auditeur sont à jour.
Les fraudeurs présentent souvent des comportements ou des caractéristiques qui peuvent servir d'avertissements ou de signaux
d'alerte. Les signaux d'alerte personnels incluent le fait de vivre au-dessus de ses moyens, de faire part de son insatisfaction au travail
à ses collègues, une collaboration anormalement étroite avec des fournisseurs, de lourdes pertes financières personnelles, une
dépendance à la drogue, à l'alcool ou au jeu, un changement dans la situation personnelle et le développement d'intérêts extérieurs à
l'entreprise. En outre, il existe des fraudeurs qui rationalisent constamment des performances médiocres, qui perçoivent le fait de
contourner le système comme un défi intellectuel, qui fournissent des communications et des rapports peu fiables, et qui prennent
rarement des vacances ou des arrêts de travail (et qui, lorsqu'ils sont absents, ne sont pas remplacés à leur poste).
Ces signaux d'alerte indiquent souvent une conduite inappropriée, et les auditeurs internes ainsi que la direction de l'organisation
doivent être formés pour comprendre et identifier les signes d'avertissement potentiels d'une conduite frauduleuse. Bien qu'aucun de
ces signes ne signifie qu'un employé commette véritablement une fraude, une combinaison de ces facteurs peut indiquer la nécessité
de conduire des enquêtes et de renforcer l'attention de l'audit.
Dans Effective Fraud Detection and Prevention Techniques Practice Set (Techniques efficaces de détection et de prévention
des fraudes), Glover et Flag suggèrent différents moyens de classer les signaux d'alerte par catégories et répertorient plusieurs
exemples spécifiques. Voici les types de signaux d'alerte généralement rencontrés :
Signaux d'alerte relatifs au cycle d'audit : ils se caractérisent par la partie du cycle d'audit dans laquelle ils sont observés.
Signaux d'alerte relatifs à l'environnement : ils se caractérisent par l'environnement dans lequel ils se produisent.
Signaux d'alerte spécifiques au secteur industriel : la nature de certains secteurs industriels crée des circonstances
favorables pour la réalisation de certains types d'activités frauduleuses qui ont leurs propres signaux d'alerte.
Signaux d'alerte relatifs aux auteurs de fraudes : ils sont liés aux personnes qui commettent la fraude, qu'il s'agisse d'employés
ou de directeurs.
Nous allons étudier chacun de ces types, puis nous examinerons brièvement les signaux d'alerte associés aux états financiers, bien que
l'audit des états financiers incombe généralement à un auditeur externe plutôt qu'à un auditeur interne.
L'illustration II-30 sur la page suivante présente certains signaux d'alerte associés à chacun de ces cycles et décrits par Glover, Flag
et d'autres auteurs. Ces listes de signaux d'alerte ne sont nullement exhaustives.
Les mêmes types de signaux d'alerte sont également visibles à l'échelle locale ou à l'échelle de l'organisation :
Un besoin financier peut être créé par des événements tels que la perte d'un contrat lucratif, des pressions pour améliorer les
performances financières afin d'obtenir un prêt ou avant d'émettre des actions, ou un échec en recherche et développement qui
menace la santé du portefeuille de produits de l'organisation.
Des réorganisations peuvent être synonymes de perturbations dans les politiques de contrôle, ce qui favorise la fraude. L'absence
de processus de sélection peut conduire à l'embauche de personnes ayant un motif pour commettre une fraude. L'incapacité des
directeurs et des superviseurs à mettre en œuvre, appliquer et surveiller des politiques de contrôle peut créer une culture de
l'opportunité.
L'incapacité de former tout le personnel au code déontologique de l'organisation peut contribuer à une culture qui rationalise
facilement les actes de fraude, petits et grands, comme le vol, la manipulation des procédures d'appel d'offres, les commissions
occultes et les conflits d'intérêt.
Organisations internationales
Les audits internes d'entreprises qui fonctionnent au niveau international peuvent révéler plusieurs types de signaux d'alerte qui
résultent de la difficulté à conserver des contrôles dans une organisation décentralisée et multiculturelle. La corruption peut se
présenter dans les deux sens : les employés peuvent recevoir des commissions occultes et de lourdes dépenses mal décrites peuvent
dissimuler des pots-de-vin à des agents étrangers. Les directeurs peuvent porter des salariés fictifs sur la masse salariale. Des
dossiers peuvent être perdus. Des différences dans les taux de change peuvent être exploitées. Des myriades de transferts de fonds
internationaux légitimes peuvent dissimuler des transferts bancaires frauduleux vers des comptes numérotés.
Le secteur des services financiers – qui inclut les banques, les établissements d'épargne et de prêts, les sociétés émettrices de carte
de crédit, les entreprises d'investissement et les établissements financiers – réunit au moins deux des facteurs de fraude : le motif et
l'opportunité. Dans des activités hautement concurrentielles, les personnes et les entreprises peuvent être incitées à rapporter
incorrectement des ventes et des bénéfices. Il y a également l'accès à l'argent, via des détournements systématiques des comptes
clients, l'interception des paiements des clients, l'émission de prêts à des entités fictives, etc., ainsi que des systèmes de transaction
électroniques compliqués qui peuvent être utilisés pour dissimuler les infractions.
De la même façon, le secteur de l'assurance offre un accès aisé à l'argent via des demandes d'indemnité ou des dédommagements
frauduleux à des clients inexistants ou une mauvaise évaluation des biens assurés.
Les opportunités abondent également dans les entreprises industrielles, où des processus d'acquisition compliqués et une supervision
laxiste ont généré des écarts et des dépassements de coûts très fréquents. Les entreprises technologiques à peu d'actionnaires offrent
des opportunités de fraude à la poignée de décideurs qui connaissent et comprennent le produit et l'activité.
Dans le secteur de l'énergie, une structure décentralisée, souvent internationale, laisse le champ libre pour couvrir les activités
frauduleuses et la corruption. Il peut être difficile d'évaluer les actifs ou de suivre les bénéfices. Les clients ne sont peut-être pas en
mesure de vérifier la nature et le volume de ce qu'ils reçoivent vraiment.
Les signaux d'alerte relatifs aux auteurs de fraudes concernent les trois conditions de la fraude :
Opportunité. Les employés qui refusent de prendre des pauses, des vacances ou d'avoir des promotions ; les employés qui
acceptent volontairement certaines tâches qui leur permettent d'accéder à l'argent, aux systèmes d'information, aux dossiers ou
aux actifs ; une tendance des employés ou des directeurs à cultiver des relations étroites avec certains clients ; une atmosphère de
crise continuelle ; l'incapacité à résoudre ou à enquêter sur des affaires non résolues ; le recours fréquent à la manipulation d'un
processus par la direction ; un responsable à un poste particulier depuis un nombre excessif d'années.
Motif. Des possessions ou un style de vie qui ne concordent pas avec les revenus familiaux, la vantardise au sujet des possessions,
un niveau d'endettement élevé ou une succession d'emprunts, des retenues sur la paye ou des appels au travail de la part de
créanciers, la pression subie pour atteindre les objectifs professionnels ou familiaux, une forte ambition de gagner plus d'argent, un
investissement important dans des systèmes lucratifs (p. ex., Bourse, biens immobiliers).
Rationalisation. Un piètre sens moral, des antécédents de violation des règles ou d'abus de certaines situations, l'attribution des
irrégularités à des mauvaises habitudes ou à des points faibles personnels anodins (p. ex., retards dans les tâches administratives
dus à une aversion personnelle à ce genre de tâches), des griefs contre l'employeur et les superviseurs.
Les auditeurs doivent également être attentifs aux signaux de comportement tels qu'une succession de plaintes contre un employé, une
baisse du moral des employés ou une hausse de l'absentéisme, des démissions soudaines ou des réponses évasives aux questions
posées, ainsi qu'un manque de coopération ou une attitude hostile pendant l'audit.
D'autres signaux d'alerte peuvent indiquer les techniques utilisées pour commettre la fraude, à savoir :
Des écarts inexpliqués (p. ex., des dépenses anormalement élevées en comparaison avec les périodes précédentes) ;
Des pénuries d'argent ou de stock inhabituelles ;
Des documents manquants ou modifiés ;
Des éléments de facturation ne correspondant pas au code de taxe ou à la fonction commerciale ;
Des contournements des processus d'approbation (p. ex., division des commandes pour rester en dessous des seuils pour
approbation) ;
Des fournisseurs avec des noms génériques ou des adresses de boîte postale seulement ;
Des transactions manuelles dans un environnement habituellement caractérisé par des transactions automatisées ;
Des montants égaux dans un environnement habituellement caractérisé par des montants irréguliers ;
Des paiements en double ;
Une augmentation soudaine de l'activité « par intermédiaire » (à l'aide d'un employé intermédiaire fictif pour détourner l'argent ou
les actifs de l'entreprise).
Les directeurs qui commettent des fraudes contre leur entreprise (à distinguer de ceux qui commettent des fraudes au nom de leur
entreprise, tels que les directeurs qui autorisent et couvrent la violation de la législation environnementale et du droit du travail)
présentent de nombreux signaux d'alerte identiques à ceux de leurs employés. Ils peuvent avoir des besoins supplémentaires ayant
pour cause les attentes de l'entreprise. Ainsi, un directeur commercial peut falsifier des registres de vente afin d'atteindre les objectifs
trimestriels et rester en course pour une promotion. Le responsable d'un service peut rapporter incorrectement des performances pour
éviter des licenciements. Les directeurs peuvent également avoir bien plus d'opportunités de commettre des fraudes. Par exemple, un
directeur peut falsifier des registres de dépenses et trafiquer des primes en falsifiant des données sur les rendements.
Les directeurs qui commettent des fraudes sont souvent de mauvais directeurs. Ils ont du retard dans les rapports, ils font du
favoritisme avec les employés et exigent leur loyauté sans leur en témoigner en retour, ni même à l'entreprise. Certains mauvais
directeurs sont simplement de mauvais directeurs. Les auditeurs internes, toutefois, devraient considérer ces domaines de la direction
comme présentant des risques élevés de fraude et être attentifs à d'autres signaux d'alerte.
Voici quelques signaux d'alerte susceptibles d'être associés aux états financiers.
Revenus fictifs. Croissance inhabituelle des résultats ou de la rentabilité, croissance des bénéfices malgré des flux de trésorerie
négatifs récurrents dans certaines parties de l'organisation, transactions très complexes (comme celles utilisées par l'entreprise
Enron et au sujet desquelles les membres du conseil et de nombreux experts financiers disaient qu'ils ne pouvaient pas suivre),
transactions ayant lieu juste avant la fin de la période comptable (une de ces pratiques est appelée « saturation des canaux » : par
cette pratique, l'entreprise crée des ventes par des incitations spéciales, ce qui crée des ventes dans une période au détriment des
ventes dans les périodes suivantes), ventes ou résultats attribués à des entreprises ou des secteurs inconnus, absence de
documentation pour les ventes enregistrées.
Valorisation incorrecte des actifs. Modifications apportées aux inventaires des stocks, comptes de ventes fictifs, dettes non
reconnues et non recouvrées, actifs fictifs avalisés par des documents fictifs (p. ex., baux falsifiés).
Dettes dissimulées. Factures fournisseurs non enregistrées, appeler une dépense un actif (qui peut être amorti), dettes assumées
par des sociétés écrans (comptabilité hors bilan), recours à des estimations subjectives, dépenses ou acquisitions
exceptionnellement basses, niveau de perte (p. ex., par des retours ou des garanties) inférieur à celui d'organisations similaires,
erreurs qui réduisent les impôts à payer.
Communications incorrectes. Mauvaise communication des normes sur la divulgation, conseils d'administration inefficaces.
En général, une concentration importante de l'autorité chez une personne ou dans une zone (généralement associée à des contrôles
médiocres), des propos évasifs, des antécédents de malhonnêteté ou de non-respect des lois et règlements, des possibilités
d'importantes rétributions financières pour certaines personnes : voici autant de possibilités de signaux d'alerte pour la fraude dans les
états financiers.
Étapes suivantes
Vous avez terminé la Partie 1, Section II du CIA Learning System® de l'IIA. À présent, vérifiez votre compréhension en effectuant
le ou les tests en ligne spécifiques à cette section pour vous aider à identifier tout contenu mal assimilé.
Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces informations, vous pouvez passer à
l'étude de la Section III.