Chapitre II : Le positionnement de l’audit interne par rapport aux autres

fonctions (suite)

II) Positionnement audit interne et gestion des risques :

Selon le COSO II1 « Le management des risques est un processus mis en œuvre par le
conseil d’administration, la direction générale, le management de l’entreprise et l’ensemble
des collaborateurs, pris en compte dans l’élaboration de la stratégie de l’organisation ainsi que
dans toutes les activités et conçu pour identifier les événements potentiels pouvant affecter
l’organisation et gérer les risques dans les limites de son appétence pour le risque afin de
donner une assurance raisonnable quant à la réalisation des objectifs de l’organisation ».

Similitudes entre Audit interne et le management des risques : comme l’audit

interne, la fonction de risk management :

 Est au service du management et plus particulièrement de la direction générale

 Est rattachée au plus haut niveau pour préserver son indépendance
 Est exclusive de toute fonction opérationnelle
 Concerne toutes les activités de l’organisation

Les acteurs du management des risques : il est d’une grande importance d’évoquer
les intervenants dans ce processus et de rappeler leurs rôles respectifs :

 Le risk manager : identifie les risques, les évalue, élabore la cartographie des risques,
et à partir de là, il propose les traitements nécessaires qui seront appliqués afin d’atténuer leur
impact et réduire leur survenance
 Le manager opérationnel : applique les propositions du risk manager et met en place
les moyens nécessaires pour une meilleure maitrise des risques
 L’auditeur interne : apprécie la qualité de la cartographie et des moyens mis en
place, il en détecte les lacunes et les insuffisances et formule des recommandations pour y
mettre fin

1
Un référentiel de contrôle interne défini par le « Committee Of Sponsoring Organizations of the Treadway
Commission »
 Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)

Le processus de gestion des risques : Le processus de gestion des risques comprend

trois étapes : identification, évaluation et traitement
1) Identification des risques : cette étape permet d’identifier et de recenser les risques
susceptibles d’affecter la réalisation des objectifs de l’organisation ou de l’activité, elle
permet l’identification de toutes les sources possibles de risque.

La gestion des risques concerne l’organisation dans son entièreté. Pour cela,
l’identification des risques prend deux niveaux d’appréhension (stratégique et opérationnel)
Niveau stratégique : démarche dite « Top-down » permettant d’identifier et d’analyser les
risques majeurs auxquels l’entreprise est exposée. Pour ce faire, il faut bien connaitre la
stratégie de l’entreprise, bien préciser les objectifs à atteindre et le plafond de pertes
supportable, et ce dans le but de faire apparaitre les événements qui peuvent empêcher
l’entreprise à mettre en place sa stratégie c'est-à-dire d’atteindre ses objectifs. La résultante de
cette analyse se traduira par la cartographie des risques stratégique.
Niveau opérationnel : Bottom-up est focalisée sur l’activité courante de l’entreprise et aux
déficiences identifiées par la revue du contrôle interne. Elle consiste, au niveau de chaque
processus de remplir des fiches risques indiquant : les risques opérationnels et leurs niveaux
de maitrise. L’out put obtenu sera donné par les cartographies des risques opérationnels et
leurs résultante la cartographie globale.
Au niveau opérationnel, le passage en revue des activités dans le but de repérer les
risques et les situer dans l’organisation nécessite et exige la connaissance du Modèle
d’entreprise.
Selon cette approche, l’entreprise est abordée en analysant les divers processus mis en
œuvre au travers de ses activités, l’objectif affiché est de détecter et d’affecter chaque risque
à l’activité qui le génère et d’en connaitre le propriétaire.
Définition de la cartographie des risques : c’est un outil de gestion élaboré en interne afin
de donner une vision globale des risques encourus. Les risques seront alors classés selon leurs
degré de vulnérabilité avec une graduation allant de faible à élevé.

2) Evaluation des risques : une fois les risques recensés, se pose la question de leurs
traitement, quelles suites l’organisation va-t-elle donner à ces analyses.
 Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)

La phase d’identification nous donne une liste exhaustive des risques, il est impossible
de traiter tous ces risques, la question qui se pose alors est de savoir quelles sont les priorités.
Pour cela, dans cette étape de priorisation on utilise un concept clé qui s’appel « la criticité »,
en effet, le risque est caractérisé par deux données : la première est sa gravité et la deuxième
caractéristique est sa probabilité d’occurrence, et c’est par le croisement de ses deux critères
que l’on puisse calculer la criticité des risques. Cette étape consiste à faire la cotation des
risques en quantifiant d’une part la probabilité d’apparition de chaque risque recensé, et d’une
autre part la gravité de ce risque sur l’entreprise.
Une fois qu’on déterminé la gravité et la probabilité, on peut évaluer la criticité des
risques qui nous permet de les hiérarchiser dans différentes zones sur «le diagramme Gravité-
Survenance »
a) Risques majeurs : sont des risques inacceptables, ils correspondent à la zone des risques
de fréquence et de gravité élevées. Les situations générant ces risques sont évidemment à
éviter

b) Risques mineurs : (négligeables), la zone des risques de fréquence et de gravité faible. Ce

sont les petits risques de la vie courante de l’entreprise, avec lesquels il nous faut apprendre à
vivre.

c) Risques de fréquence : sont ceux qui possèdent une éventualité de survenance élevée et
une gravité relativement faible. La prévention s’applique à ces risques. En effet, en présence
de risque de fréquence, l’entreprise devra anticiper les dépenses éventuelles auxquelles faire
face en cas de sinistre car elle détient des données historiques relatives à la réalisation de ce
type de risque.

d) Risque de gravité : la zone des risques de gravité forte et probabilité d’occurrence faible.
Un risque de gravité est rare, mais sa réalisation est destructrice de valeur. Ce sont là les
risques de catastrophe pour lesquels l’assurance (transfert) joue à plein son rôle.

f) Les risques moyens : la zone des risques à fréquence et gravité moyenne

 Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)

L’objectif de l’étape de l’évaluation est de pouvoir engager des mesures correctives en

fonction de la criticité des risques identifiés.
3) Traitement des risques : les phases précédentes ont conduit à l’élaboration de la matrice
des risques qui fait apparaitre plusieurs zones qui exigent des traitements différents. La
manière de procéder est définie dans un plan d’action concret (plan de gestion des risques),
celui-ci contient des mesures qui garantissent que les risques ne dépassent pas les limites
acceptables pour l’entreprise.

Politiques de traitement des risques : les actions que vous pouvez entreprendre pour
maitriser les risques sont très diverses. Elles peuvent être ramenées à une des solutions
suivantes :
a) Acceptation : les petits risques sont acceptés, on n’investit ni temps ni moyens pour les
éviter (mineurs)

b) Evitement : l’entreprise décide de ne pas réaliser une activité donnée afin d’éviter les
risques qui y sont liés

c) Transfert : l’exemple le plus connu de transfert de risque est l’assurance. Contre paiement,
on repousse le risque vers un tiers

d) Mitigation : dans ce cas, l’entreprise tente activement d’endiguer ou d’atténuer le risque,

c’est cette solution qui requiert la plus grande adaptation de l’entreprise (contrats à terme)

Les mesures préventives : la prévention interviendra lorsque les actions entreprises réduiront
la « survenance », ce qui aura pour conséquence de déplacer le risque traité vers le bas dans le
diagramme Gravité-Survenance (séparation des tâches, limites de crédit, recours à plusieurs
fournisseurs)
Les mesures correctives (protection) : lorsque la gravité du dommage sera réduite, dans ce
cas, le risque traité se déplacera vers la gauche au sein du diagramme Gravité-Survenance.
Bien entendu, lorsque le risque sera traité simultanément par prévention et précaution, il se
déplacera en direction de la zone dévolue aux risques mineurs.
 Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)

Relation entre Audit interne et gestion des risques :

La gestion des risques se situe en amont de la fonction d’audit interne. En effet, le risk
manager élabore la cartographie des risques qui permet à l’auditeur d’identifier les activités à
auditer et l’aide à préparer le plan de mission. En outre, après l’identification des risques, le
risk manager définit des stratégies pour traiter les risques et suggère les moyens à mettre en
œuvre, l’auditeur interne se saisit de ces informations pour qu’il les prenne en compte dans
l’organisation de ses missions. De là, le risk manager prépare le terrain pour l’auditeur
in terne.
Concernant le management des risques de l’entreprise, le rôle essentiel de l’audit interne
consiste à apporter au conseil une assurance objective quant à l’efficacité de cette activité,
afin que les principaux risques de l’entreprise soient gérés correctement et que le système de
contrôle interne fonctionne bien.
L’auditeur interne aura, alors, pour rôle de :
 Donner une assurance sur le processus de gestion des risques
 Donner l’assurance que les risques sont bien évalués
 Evaluer et améliorer le processus de gestion des risques

L’audit interne et le management des risques, deux fonctions bien distinctes, mais qui
s’intéressent à un même objectif pour l’entreprise, à savoir, celui de réduire les risques.
 Chapitre II : Le positionnement de l’audit interne par rapport aux autres
fonctions (suite)

III) : Positionnement audit interne et audit externe :

La fonction d’audit est née à partir de l’audit externe. Commençant cet élément par une
définition de l’audit externe ;

« L’audit externe est une fonction indépendante de l’entreprise dont la mission est de certifier
l’exactitude des comptes, résultats et états financiers, et plus précisément, certifier la
régularité, la sincérité et l’image fidèle des comptes et états financiers.

L’audit interne et l’audit externe utilisent les mêmes méthodes d’investigation, de plus,
elles respectent toutes les deux l’interdiction de toute immixtion dans la gestion de
l’entreprise.

Différence entre audit interne et audit externe :

1) Le statut de l’auditeur : l’auditeur interne est un membre du personnel de

l’organisation contrairement à l’auditeur externe qui est un prestataire de service
juridiquement indépendant (cabinet d’audit, commissaire aux comptes)
2) Les bénéficiaires de l’audit : l’audit interne s’adresse aux responsables de
l’entreprise (manager, direction générale), contrairement à l’audit externe qui fait rapport aux
personnes qui ont besoin de la certification des comptes (actionnaires, banques, clients,
fournisseurs….)
3) Les objectifs de l’audit : on aperçoit ici la grande différence entre ces deux formes
d’audit. Pour l’auditeur interne, il s’agit d’assurer la bonne maitrise des activités de
l’entreprise et de recommander les actions pour l’améliorer. Alors que l’auditeur externe, aura
pour objectif de certifier la régularité, la sincérité et l’image fidèle des comptes, résultats et
états financiers.
4) Le champ d’application de l’audit : L’audit externe est principalement un audit
financier et comptable, il englobe tout ce qui concourt à la détermination des résultats. Le
champ d’application de l’audit interne est plus vaste, puisqu’il inclut toutes les fonctions dans
toutes leurs dimensions.
5) La périodicité des audits : l’auditeur interne travaille en permanence sur des
missions planifiées et qui l’occupe avec la même intensité quelle que soit la période.
L’auditeur externe ne travaille que par intermittence et à des moments privilégiés pour la
certification des comptes (fin des semestres, fin d’année).