Académique Documents
Professionnel Documents
Culture Documents
D’ENTREPRISE
Pourquoi ne devrait-il pas y avoir de département de contrôle interne, mais d'audit interne ?
Le contrôle interne devrait être un processus intégré au sein de l'entreprise, tandis que l'audit interne est une opération
ponctuelle menée par des auditeurs indépendants et neutres.
2. Un contrôle détectif est conçu pour identifier les erreurs ou les problèmes à la fin d’un processus ou après la
survenance d’un risque.
3. Un contrôle correctif intervient après la détection d'une erreur ou d'un problème, afin de corriger la situation.
4. Un contrôle manuel implique l'intervention directe d'une personne pour vérifier ou superviser une activité ou
un processus.
5. Le contrôle sur pièce implique l'examen de documents ou d'informations envoyés par le client.
6. Le contrôle sur place nécessite une vérification directe sur le terrain, au lieu où les activités ont lieu.
7. Le contrôle à distance consiste à surveiller et à vérifier les activités à distance, souvent à l'aide de technologies
telles que l'informatique ou la surveillance en ligne.
8. Le contrôle de transaction est celui réalisé au moment des opérations dans le but de donner un premier niveau
quant à la maitrise des processus.
9. Le contrôle de supervision est celui effectué par un responsable hiérarchique de niveau élevé après que les
opérations ont été exécutées.
Quels sont les deux éléments nécessaires pour qu'un contrôle ait une forte chance de mise en œuvre ?
- La qualité de sa conception et l'efficience lors de sa réalisation sont les deux éléments nécessaires pour qu'un
contrôle ait une forte chance de mise en œuvre.
Quelles conditions sont requises pour mettre en œuvre la séparation des tâches ?
Une mise en œuvre de la séparation des tâches nécessite :
- Une taille minimum de l’entité pour pouvoir distinguer les fonctions,
- La description précise des tâches et responsabilités de chacune des fonctions,
- La mise à jour et le contrôle de l’application des supérations,
- Ainsi qu'un alignement entre les dispositions logiques d'accès au système et les séparations de tâches prévues.
Quels sont les rôles de la direction générale en ce qui concerne le dispositif de contrôle interne ?
- La direction générale est responsable de la définition, de l'impulsion et de la surveillance du dispositif de contrôle
interne. Elle doit également rendre compte au conseil d'administration, au Comité d'audit et au conseil de surveillance.
Quelle est la responsabilité de l'auditeur interne par rapport au dispositif de contrôle interne ?
- L'auditeur interne est chargé d'évaluer le fonctionnement du dispositif de contrôle interne et de formuler des
recommandations.
Quelle est la position hiérarchique habituelle de l'auditeur interne dans un organigramme classique ?
- Dans un organigramme classique, l'auditeur interne est généralement sous l'autorité de la direction générale. Il rend
compte à cette direction et informe également directement le conseil d'administration, le Comité d'audit et le conseil de
surveillance.
Quels sont les outils disponibles pour la mise en œuvre du contrôle interne dans les entreprises ?
Les outils disponibles pour la mise en œuvre du contrôle interne dans les entreprises sont notamment le manuel de
procédures administratives, financières et comptables, l'organigramme fonctionnel, la cartographie des risques et la
matrice des risques, le business plan ou plan stratégique, le plan de contrôle, le plan de suivi, le Questionnaire sur le
Contrôle Interne (QCI) et la grille de séparation des fonctions.
Qu'est-ce qu'un manuel de procédures et quels éléments doit-il spécifier pour chaque opération ?
- Un manuel de procédures est un document qui détaille les étapes, les intervenants, et les outils utilisés pour chaque
activité. Il doit spécifier pour chaque opération la tâche à faire, le niveau de responsabilité, les étapes de traitement, les
lieux de réalisation et le mode d'exécution.
Quels sont les éléments à spécifier pour chaque opération dans un manuel de procédure réussi ?
Pour chaque opération dans un manuel de procédure réussi, il faut spécifier :
o La tâche à faire (quoi).
o Le niveau de responsabilité (qui).
o Les différentes étapes de traitement (quand).
o Les lieux de réalisation (où).
o Le mode d'exécution (comment).
Qu'est-ce que l'organigramme fonctionnel et quelles sont les trois grandes catégories d'organigrammes ?
- L'organigramme fonctionnel est une structure d'organisation basée sur les fonctions d'une entreprise. Les trois
grandes catégories d'organigrammes sont le hiérarchique, le matriciel et le plat.
Quels sont les niveaux d'évaluation du contrôle interne et quels tests sont effectués en audit ?
L'évaluation du contrôle interne se fait à deux niveaux : l'évaluation de la conception (Test de Design) et l'évaluation de
la mise en œuvre. Les tests effectués en audit incluent le test de Design & Implementation (D&I), le test de
cheminement et le test d'efficacité.
Quelle est la relation entre le test D&I et le test d'efficacité en matière d'évaluation du contrôle interne ?
- Si le test D&I est satisfaisant, il faut passer au test d'efficacité. Si les deux tests sont satisfaisants, cela indique que le
contrôle interne est fort, nécessitant moins de tests substantifs.
Que signifie un test D&I non satisfaisant en termes d'évaluation du contrôle interne ?
- Un test D&I non satisfaisant signifie qu'on ne peut pas s'appuyer sur le contrôle interne, ce qui entraîne un volume
important de tests substantifs et une mise à jour de l'approche en fonction des conclusions.
Quels sont les objectifs des tests de Design & Implementation, de cheminement et d'efficacité en matière d'audit du
contrôle interne ?
- Le test D&I vérifie si le système de contrôle interne est bien implémenté selon les bonnes pratiques.
- Le test de cheminement vérifie si la pratique suit le processus opérationnel.
- Le test d'efficacité vérifie si le processus permet d'atteindre les objectifs.
Qu'est-ce que le "triangle de la fraude" et quels sont ses trois éléments principaux ?
- Le "triangle de la fraude" se réfère aux trois éléments nécessaires pour qu'une fraude se produise : l'opportunité, la
pression et la rationalisation.
Quels sont les exemples d'opportunité, de pression et de rationalisation dans le contexte de la fraude ?
- Opportunité :
Exemple1: Un employé manipule les paiements des fournisseurs en raison de contrôles internes laxistes.
Exemple2: Un caissier profite d'une caméra de sécurité défectueuse pour voler de l'argent en espèces.
- Pression :
Exemple1: Un employé endetté se sent poussé à détourner de l'argent pour résoudre ses problèmes financiers.
Exemple2: Un étudiant anxieux de perdre sa place à l'université triche pour obtenir de bonnes notes.
- Rationalisation :
Exemple1: Un employé justifie le détournement de fonds en pensant qu'il mérite une compensation pour son
travail acharné.
Exemple2: Une personne vole de l'argent en croyant que l'entreprise ne remarquera pas la perte.
Donnez de trois exemples de fraudes qui peuvent survenir dans les services suivants : service Achat, Paie-RH,
Trésorerie-Caisse, Vente, Stock-immobilisation, Impôts et taxes :
Quelle est la responsabilité de l'auditeur selon la norme ISA 240 concernant les fraudes lors d'un audit d'états financiers ?
- Selon la norme ISA 240, l'auditeur qui réalise un audit selon les Normes ISA à l'obligation d'obtenir l'assurance
raisonnable que les états financiers, pris dans leur ensemble, ne comportent pas d'anomalies significatives provenant de
fraudes ou résultant d'erreurs.
À qui incombe la responsabilité première pour la prévention et la détection de fraudes selon la norme ISA 240 ?
- Selon la norme ISA 240, la responsabilité première pour la prévention et la détection de fraudes incombe à la fois aux
personnes constituant le gouvernement d'entreprise au sein de l'entité et à la direction.
Quels aspects doivent être mis en avant par la direction pour prévenir les fraudes selon la norme ISA 240 ?
- Selon la norme ISA 240, il est important que la direction, sous la surveillance des personnes constituant le
gouvernement d'entreprise, mette fortement l'accent sur la prévention des fraudes, qui peut réduire les possibilités de
les commettre, ainsi que sur les aspects dissuasifs, qui peuvent convaincre les personnes de ne pas les perpétrer en
raison de la probabilité de leur détection et des sanctions encourues.
CHAPITRE 2: COSO (Committee of Sponsoring Organizations of Treadway Commission)
Quand est-ce que le COSO a été créé et quelle est la raison de sa création ?
Le COSO est né en 1985 en réponse à une série de scandales financiers et de faillites d'entreprises dans les années 1980
dont l’affaire PECHINEY, l’affaire du crédit lyonnais, l’affaire Enron, l’affaire vivendi et l’affaire Worldcom.
Quels sont les cadres de référence du COSO et quelles évolutions ont-ils subi ?
Le COSO propose deux cadres de référence importants : le COSO 1, également appelé Internal Control-Integrated
Framework, et le COSO 2, nommé Enterprise Risk Management. Le COSO 1 a été publié en 1992 et révisé en 2013,
tandis que le COSO 2 a été publié en 2004 et révisé en 2017. Ces référentiels fournissent des directives pour établir des
systèmes de contrôle interne et de gestion des risques efficaces au sein des organisations.
Le contrôle interne est un processus : c’est un moyen, pas une fin ; il ne se cantonne pas à̀ un recueil de
procédures mais nécessite l’implication de tous à chaque niveau de l’organisation.
Le contrôle interne est mis en œuvre par des personnes : L'efficacité́ du contrôle interne ne peut se suffire de
l'existence de manuels de procédures et d'une documentation appropriée ; elle est assurée par des personnes à
tous les niveaux de la hiérarchie.
Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et d’une
direction respectueuse des lois.
Le contrôle interne est axé sur la réalisation effective des objectifs.
Quels sont les questionnements que fournit le COSO pour l’évaluation du contrôle interne ?
Dans le document QUESTION D’EVALUATION DU CONTRÔLE INTERNE.
Quels sont les outils auxquels les entreprises font généralement recours pour la mise en œuvre du COSO 1 ?
Pour la mise en œuvre du COSO 1, les entreprises font recours à plusieurs outils notamment :
- Manuel de procédures administratives, comptables et financières ;
- Statuts et règlements intérieurs ;
- Plan de contrôle ; Cartographie des risques ; Etc.
SECTION 3 : COSO 2 : Enterprise Risk Management
(Management des risques) ou COSO ERM
Quand le COSO 2 a-t-il été publié et comment vise-t-il à aider les entreprises ?
Le COSO 2 a été publié en 2004 et révisé en 2017. Il vise à aider les entreprises dans la gestion des risques.
Comment le dispositif de management des risques contribue-t-il à l'atteinte des objectifs de fiabilité du reporting
et de conformité ?
Le dispositif de management des risques est conçu pour fournir une assurance raisonnable que les objectifs liés à la
fiabilité du reporting et à la conformité aux lois et réglementations sont atteints. Étant donné que ces objectifs font partie
du champ de contrôle de l'organisation et sont liés à la manière dont les activités sont gérées, le dispositif peut aider à
garantir leur réalisation.
Comment le COSO 2 aborde-t-il l'atteinte des objectifs stratégiques par le dispositif de management des risques ?
Le COSO 2 souligne que, bien que le dispositif de management des risques puisse contribuer à atteindre les objectifs
stratégiques, il ne peut pas garantir leur réalisation. Les objectifs stratégiques peuvent échapper au contrôle de
l'organisation en raison de facteurs externes ou imprévisibles, tels que des événements extérieurs ou des jugements
erronés.
Comment le dispositif de management des risques est-il censé renforcer les décisions de la direction ?
Le COSO 2 affirme que le dispositif de management des risques ne peut pas empêcher les jugements erronés, les
mauvaises décisions ou des événements extérieurs imprévisibles qui pourraient faire échouer un projet. Cependant, il est
conçu pour améliorer la capacité de la direction à prendre de meilleures décisions en fournissant une meilleure
compréhension des risques et des opportunités.
Pourquoi la fixation des objectifs a-t-elle été ajoutée aux composantes du management des risques ?
En incluant la fixation des objectifs parmi les composantes du management des risques, une organisation peut identifier
les facteurs clés de succès nécessaires pour atteindre ses objectifs. Cela se fait en définissant des objectifs à la fois au
niveau global de l'organisation et au niveau plus détaillé des activités. Ces objectifs permettent d'identifier les éléments
essentiels pour la réalisation des objectifs, que ce soit au niveau de l'organisation, d'une unité, d'une fonction, d'un
département ou même d'un individu.
L’entreprise doit exercer la surveillance des risques par les Définir les structures organisationnelle
organes de gouvernance
Définir la culture d’entreprise souhaitée Démontrer l’engagement en faveur de valeur
fondamentales
Attirer et former et fidéliser des personnes compétentes Analyser le contexte de l’organisation
L’appétence pour le risque Évaluer des stratégiques alternatives
Définir les objectifs opérationnels Identifier les risques
Évaluer la criticité des risques Prioriser les risques
Mettre en œuvre des modalités de traitement des risques Développer une vision globale du portefeuille des
risques
Évaluer les changement substantiels Réexaminer les risques et la performances
Poursuivre l’amélioration du management des risques Tirer parti de l’analyse des données
Communiquer les informations lies aux risques Rendre compte des risques, de la culture et de la
performance
Pourquoi les techniques et outils d'identification d'événements sont-ils considérés comme cruciaux dans le
management des risques ?
Le cadre COSO souligne que les techniques et outils d'identification d'événements sont à la base du management des
risques, car ils permettent de détecter les risques ou les opportunités. Ils constituent le point de départ de la chaîne de
gestion des risques après la fixation des objectifs.
Comment les événements sont-ils liés aux notions de risques et d'opportunités selon le COSO 2 ?
Les événements peuvent avoir un impact négatif, positif ou les deux simultanément. Ceux ayant un potentiel d'impact
négatif sont considérés comme des risques, tandis que ceux ayant un potentiel d'impact positif peuvent compenser les
effets négatifs ou constituer des opportunités.
Que représentent la probabilité d'occurrence et l'impact dans le contexte de l'évaluation des risques ?
La probabilité d'occurrence représente la possibilité qu'un événement donné se produise, tandis que l'impact désigne les
conséquences résultant de la réalisation de cet événement.
Pourquoi les données externes peuvent-elles également être utiles dans l'évaluation des risques ?
Les données externes peuvent être utiles soit pour servir de point de référence dans l'évaluation, soit pour renforcer
l'analyse des risques.
Quels sont les deux modes d'évaluation des risques selon le texte ?
Les deux modes d'évaluation des risques sont l'évaluation quantitative et l'évaluation qualitative.
Quelle est la principale différence entre les techniques quantitatives et qualitatives dans l'évaluation des risques ?
Les techniques quantitatives sont généralement plus précises et sont utilisées dans des activités complexes pour compléter
les techniques qualitatives.
Dans quels cas les organisations optent-elles pour une évaluation qualitative des risques plutôt qu'une évaluation
quantitative ?
Les organisations choisissent l'évaluation qualitative (faible, moyen, fort) lorsque les risques ne peuvent pas être
quantifiés, lorsqu'il n'y a pas suffisamment de données fiables pour une quantification, ou lorsque l'obtention et l'analyse
des données seraient trop coûteuses.
Quels sont les avantages du management des risques selon le cadre COSO ?
(1) Alignement de la stratégie :
Le management des risques permet d'harmoniser la stratégie de l'organisation avec son appétence pour
le risque.
(2) Renforcement des modes de traitement du risque :
Il améliore les méthodes de gestion des risques.
(3) Réduction des incidents et des pertes opérationnelles :
L'identification et l'analyse des risques conduisent à la création de solutions pour minimiser les coûts et
les pertes associés.
(4) Identification et gestion des risques transverses :
Il gère les risques de manière individuelle et globale en tenant compte des impacts liés.
(5) Traitement intégré des risques multiples :
Le dispositif gère la multitude de risques en les intégrant pour traiter efficacement la succession
d'événements générant des risques.
(6) Saisie des opportunités :
L'identification large des risques aide à repérer les opportunités et à élargir les perspectives.
(7) Optimisation de l'utilisation du capital :
Le management des risques évalue les besoins en capital de façon efficace, améliore son utilisation et
évite le gaspillage de ressources.
Quelles sont les quatre étapes pour du processus de gestion des risques et en quoi consistent-elles ?
Les quatre étapes pour une gestion optimale des risques sont :
- L’identification des risques :
Implique de passer en revue les activités, les processus et les objectifs de l'organisation pour identifier
les sources potentielles de risques, qu'ils soient internes ou externes.
Il peut s'agir de risques opérationnels, financiers, de conformité, stratégiques, technologiques, etc.
L'objectif est de dresser une liste exhaustive des risques auxquels l'organisation pourrait être exposée.
Comment le dispositif de management des risques est-il lié au processus de management global ?
Le dispositif de management des risques intègre des éléments du processus de management global, ce qui aide la
direction à prendre des décisions éclairées. Cependant, il est important de noter que même si de bons choix ont été
faits, cela ne garantit pas automatiquement l'efficacité du dispositif de gestion des risques.
SECTION 4 : COSO ERM 2017 ou COSO 2 2017
Le COSO ERM 2017 met davantage l'accent sur l'intégration de la gestion des risques dans l'ensemble de l'organisation,
en insistant sur la culture, la gouvernance et la stratégie. Il tient compte des évolutions du paysage commercial, y
compris les risques liés à la technologie, à la mondialisation et à la réglementation.
Le COSO ERM 2017 est structuré de la manière suivante : par 5 composants et 20 principes.
3. Performance (Performance) :
La gestion des risques doit être intégrée dans les opérations quotidiennes de l'organisation. Ce composant implique
l'évaluation continue de la performance en matière de gestion des risques pour s'assurer que les processus fonctionnent
efficacement et que les objectifs sont atteints.
Ces cinq composants du COSO ERM 2017 sont interconnectés et doivent fonctionner de manière synergique pour créer
un cadre de gestion des risques robuste et adapté aux besoins de l'organisation. L'objectif global de ce cadre est d'aider
les organisations à gérer de manière proactive les risques tout en favorisant la réalisation de leurs objectifs stratégiques.
CHAPITRE 3 : GOUVERNANCE D’ENTREPRISE
Quels sujets peuvent être abordés par les procédures de gouvernance d'entreprise ?
- Les procédures de gouvernance d'entreprise peuvent aborder différents sujets, tels que :
1. Le mode de prise de décision basé sur la concertation.
2. Le pouvoir des managers, en particulier des managers exécutifs.
3. La nomination et la rémunération des dirigeants.
4. L'élaboration des stratégies.
5. Le pilotage de la performance.
6. Le reporting et l'audit.
7. La conformité aux règlements légaux, comptables, fiscaux ou spécifiques à l'entreprise.
Quels sont les objectifs de la gouvernance d'entreprise et comment équilibre-t-elle les intérêts des parties prenantes ?
Les objectifs de la gouvernance d'entreprise sont d'équilibrer les intérêts des actionnaires et des autres parties
prenantes tout en mettant l'accent sur la responsabilité sociale de l'entreprise. Elle réalise cela en cherchant un équilibre
entre les intérêts des actionnaires et ceux des autres parties prenantes, et en tenant compte de l'ensemble des parties
prenantes et de leurs intérêts.
La risque étant omniprésent dans la société, la GOUVERNANCE doit l’EVALUER et entreprendre les actions nécessaires
jusqu’à ce que l’organe inférieur lui fasse le REPORTING.
Quelles sont les différents organes de gouvernance dans les sociétés commerciales ?
Dans les sociétés commerciales on a généralement 3 grands organes, l’organe suprême, les organes de gestions et les
organes de gestion et d’administration.
En termes de contrôle interne, le CA surveille le dispositif. Il peut comporter des comités tels que le Comité d'Audit
(surveillance financière, audit interne, engagement de l'auditeur externe), le Comité de Gouvernance et d'Éthique
(pratiques de gouvernance), ainsi que des comités spécialisés (crédit, risques, surveillance).
Dans l’espace OHADA, quelles sont les responsabilités civiles des administrateurs ?
Dans l'espace OHADA, les administrateurs sont sujets à diverses responsabilités civiles, notamment pour des omissions
dans les statuts, des irrégularités lors de modifications statutaires, des dommages résultant de l'annulation de la société,
des pertes dues à des conventions désapprouvées, des infractions législatives et statutaires, ainsi que des fautes de
gestion. Les décisions de l'assemblée générale ne peuvent pas éteindre les actions en responsabilité. La responsabilité
des actionnaires peut être engagée pour manquement à leurs engagements envers la société, avec des limitations en
fonction des formes de sociétés.
Dans l’espace OHADA, quelles sont les responsabilités pénales des administrateurs ?
Dans l'espace OHADA, les administrateurs sont susceptibles de faire face à des responsabilités pénales, notamment pour
des actions telles que la distribution de dividendes fictifs, la publication d'états financiers trompeurs, les abus de biens
sociaux, l'entrave à la participation à une assemblée, les délits liés aux émissions d'actions, les infractions au droit de
souscription préférentielle, la présentation de rapports inexacts à l'assemblée, la non-provocation de la désignation du
commissaire aux comptes, et d'autres délits liés aux obligations légales et réglementaires des entreprises.
LE MODÈLE DES TROIS LIGNES DE MAÎTRISE (POUR + de détails voir PDF « three lines … » dans dossier COSO)
Première Ligne de Maîtrise (Management opérationnel) : Il s'agit des fonctions opérationnelles de l'entreprise,
notamment les équipes opérationnelles, les ventes, la production, etc. La première ligne est responsable de la
gestion quotidienne des risques et de la conformité dans le cadre de ses activités. Elle doit mettre en œuvre les
politiques et les procédures de gestion des risques établies par la direction.
Deuxième Ligne de Maîtrise (Risk Management) : La deuxième ligne de maîtrise regroupe les fonctions de gestion des
risques, de conformité et de contrôle interne. Cela inclut les départements de gestion des risques, de conformité,
d'audit interne, de contrôle interne et d’assurance. La deuxième ligne a pour rôle de surveiller et de conseiller la
première ligne en matière de gestion des risques et de garantir que les politiques et les procédures sont suivies de
manière appropriée.
Troisième Ligne de Maîtrise (Audit indépendant) : La troisième ligne de maîtrise est généralement composée du
département d'audit interne ou d'une fonction similaire, indépendant et rattaché au plus haut niveau de
l’organisation, qui fournit à travers une approche fondée sur le risque, une assurance globale aux instances de
surveillance et à la direction générale de l’organisation. Cette assurance globale couvre l’efficacité des deux
premières lignes de maîtrise et de la gouvernance de l’organisation. Elle englobe tous les éléments du cadre de
maîtrise des risques : des processus d’identification et d’évaluation au dispositif de contrôle interne pour atténuer les
risques.
L’audit externe constitue une source importante d’informations et d’assurance raisonnable pour les actionnaires, les
investisseurs potentiels et plus généralement toutes les parties prenantes de l’organisation.