FORMATION & PRÉPARATION À L’EXAMEN

CIA (Certified Internal Auditor)

___________________________________________________________

PARTIE I: LES BASES DE L’AUDIT INTERNE

13 au 17 Mars 2022

Formateur: KRIMI Abdessatar, CIA, CRMA,DPAI,PECB,IRCA,DSRM,IFC

 SOMMAIRE
INTRODUCTION GENERALE SUR L’IIA, le CRIPP ET LES
CERTIFICATIONS INTERNATIONALES EN AUDIT INTERNE

LES CONCEPTS DE BASE DE L’AUDIT INTERNE

• Section I : CRIPP/ IPPF ( International Professional Practices
Framework)
• Section II : Gouvernance,Management des risques et
dispositif de Contrôle interne
• Section III : Les risques de fraude
 Encadrement de l’audit interne
 Une organisation mondiale (IIA), établie en 1941 ( 79 ans d’existence)et composée
d’un groupe unique de professionnels en AI; c’est l’organisation mondiale pour
tous les auditeurs internes qui souhaitent exercer avec la plus grande compétence
et le plus haut niveau de professionnalisme.
 Plus de 200 000 membres (89 000 en 2003) provenant de plus de 190 pays et
comptant plus que 150 000 certifiés;
 L’IIA est le porte-parole de la profession et assure la diffusion des idées et des
techniques les plus modernes en matière d’audit interne
 Des désignations professionnelles reconnues mondialement;
 Un cadre de référence international des pratiques professionnelles de l’audit
interne;
 Des fédérations regroupant les Instituts afin de promouvoir et développer la
pratique de l’audit interne et agissant en tant que plateforme de coopération entre
professionnels de l’audit interne.
ENCADREMENT DE LA PROFESSION (IPPF ou CRIPP)

Français (CRIPP)
« Cadre de Référence International des
Pratiques Professionnelles de l’audit interne »

Anglais (IPPF)
« International Professional Practices Framework »
 PARTIE I

LES CONCEPTS DE BASE

DE L’AUDIT INTERNE
 SOMMAIRE

Section I: CRIPP/ IPPF (55%)

A/ Fondements de l’audit interne (15%)

B/ Indépendance et objectivité (15 %)
C/ Compétence et conscience professionnelle (18 %)
D/ Programme d'assurance et d'amélioration qualité (7%)
Section II: Gouvernance, management des risques et dispositif de
contrôle (35 %)
A / Gouvernance, Ethique et Responsabilité Sociétale de l’entreprise
B/ Le processus de Management des risques et le rôle de l’audit interne
C/ Le système de contrôle interne
Section III : Les risques de fraude (10 %)
A/ Définition des risques de fraude dans le cadre des missions d’audit
B/ Les signaux d’alerte
C / Rôle de l’audit interne dans la prévention et la détection des fraudes
 Objectifs de la section
1. Identifier et appliquer le cadre de référence internationale pour la
pratique professionnelle de l’audit interne.
2. Définir l’audit interne.
3. Expliquer les concepts de mission, pouvoir et responsabilité de l’activité
de l’audit interne.
4. Comprendre l’importance de l’approbation du plan d’audit et de la
charte d’audit par le conseil.
5. Expliquer les notions d’indépendance et d’objectivité
6. Identifier et décrire les connaissances et les compétences et comment
assurer le professionnalisme de l’audit interne.
7. Décrire le programme d’assurance et d’amélioration qualité de l’audit
interne.
 SECTION I :
CRIPP/ IPPF (55%)
A/ FONDEMENTS OU FONDAMENTAUX DE
L’AUDIT INTERNE
(15%)
ENCADREMENT DE LA PROFESSION (IPPF ou CRIPP)

Français (CRIPP)
« Cadre de Référence International des
Pratiques Professionnelles de l’audit interne »

Anglais (IPPF)
« International Professional Practices Framework »
CRIPP/ IPPF
Le cadre de référence internationale pour la pratique
professionnelle (CRIPP)
(Cadre conceptuel)
MISSION
Principes fondamentaux
Définition de l'audit interne Obligatoires
Code de déontologie approuvées
« must»
Normes internationales pour la
pratique professionnelle de l’A.I

Lignes directrices de mise en oeuvre Non obligatoires

« should »
Lignes directrices ( recommandées
complémentaires: Meilleures par l'IIA) Best
pratiques practis
En option
 MISSION DE L’AUDIT INTERNE
Décrit l’objectif principal
Constitue la clé de voûte de l’audit interne

Accroître et préserver la valeur de l’organisation en donnant avec

objectivité une assurance, des conseils et des points de vue fondés sur
une approche par les risques

La mission énonce le dessein (but) que l’AI cherche à réaliser au sein des
organisations
La réalisation de cette mission repose sur la mise en œuvre de l’ensemble des
dispositions obligatoires et recommandées du CRIPP
La mission d'audit interne définit ce que l'audit interne aspire à accomplir au
sein d'une organisation. Sa place dans la nouvelle IPPF est délibérée afin de
montrer aux praticiens comment ils devraient exploiter l'ensemble du cadre
pour faciliter leur capacité à réaliser la mission.
DISPOSITIONS OBLIGATOIRES
 Le respect des principes édictés dans les
dispositions obligatoires est nécessaire et
essentiel pour une pratique professionnelle de l’AI.

 Les dispositions obligatoires du nouveau CRIPP sont :

 les Principes fondamentaux
 la Définition de l’audit interne
 le Code de déontologie
 les Normes
Quels sont les deux types de directives
recommandées? (GLEIM)

•1) Directives de mise-en-oeuvre

•2) Directives supplémentaires
Que sont les directives de mise en œuvre?
(GLEIM)
•Les directives de mise en œuvre aident les auditeurs
internes à appliquer les normes.
•Les directives de mise en oeuvre abordent
collectivement l’approche, les méthodologies et les
considérations de l’audit interne, mais ne détaillent
pas les processus ni les procédures.
Qu'est-ce que les directives supplémentaires?
(GLEIM)

•Les directives supplémentaires fournissent des

directives détaillées pour la conduite des activités
d’audit interne. Ceux-ci incluent des domaines
d’activités, des problèmes spécifiques à un secteur,
ainsi que des processus et procédures, des outils et
techniques, des programmes, des approches par
étapes et des exemples de produits livrables.
 GUIDES PRATIQUES

Guides Pratiques
• Formuler et exprimer une opinion d’audit
• L’audit des relations avec les partenaires externes
• Audit interne et Fraude
• Auditer la rémunération et les avantages des dirigeants
• Évaluer l’adéquation du management des risques en utilisant la norme ISO 31000
• Auditer l'environnement de contrôle
• Indépendance et objectivité
• Programme d'assurance et d'amélioration qualité
• Elaborer le plan stratégique de l'audit interne
• Evaluer les programmes et les activités relatifs à l'éthique
• L'audit des risques d'atteinte à la vie privée
A/ LES PRINCIPES FONDAMENTAUX
LES PRINCIPES FONDAMENTAUX
Les principes fondamentaux pris dans leur
ensemble sont constitutifs de l’efficacité de
l’audit interne.
Pour qu’une fonction d’audit interne soit
efficace, l’ensemble des principes doivent
être effectivement mis en place et
fonctionner.
La façon dont un auditeur interne ou une fonction d’audit
interne applique chacun de ces principes peut varier d’une
organisation à une autre, mais le non-respect de l’un de ces
principes pourrait impliquer que l’activité d’audit interne ne
réalise pas sa mission aussi efficacement qu’elle le pourrait.
LES 10 PRINCIPES FONDAMENTAUX
 Faire preuve d’intégrité
 Faire preuve de compétence et
de conscience professionnelle
 Être objectif et libre de
toute influence indue
(indépendant)
 Être en phase avec la
stratégie, les objectifs et les
risques de l’organisation
 Être positionné de manière
appropriée et disposer des
ressources adéquates
 Démontrer la qualité de l’audit
interne et son amélioration
continue
 Communiquer de manière
efficace
 Fournir une assurance fondée
sur une approche par les
risques
 Être perspicace (fonceur),
proactif et orienté vers le
futur
 Encourager le progrès au
 B/
DEFINITION DE L’AUDIT INTERNE

23
 DÉFINITION DE L’AUDIT INTERNE

L’audit interne est une activité indépendante et objective

qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.

Il aide cette organisation à atteindre ses objectifs en évaluant,

par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, et de gouvernement d’entreprise,
et en faisant des propositions pour renforcer leur efficacité.

La définition indique en quoi consiste l’exercice de l’audit interne.

En revanche, la mission de l’audit interne énonce le dessein de la

profession.
 L'activité d'audit interne est :
« un département, une division, une équipe de consultants
ou tout autre professionnel qui fournit une assurance
indépendante, objective et des services de conseils qui
apportent de la valeur et améliorent les opérations d'une
organisation ».
Les activités d’audit interne peuvent être menées par des
personnes internes ou externes à l’organisation.

Aider une organisation à atteindre ses objectifs grâce à une approche

systématique et rigoureuse
Évaluer et améliorer l'efficacité de gestion des risques, du contrôle et de la
gouvernance.
Evaluer et promouvoir l'éthique et les valeurs appropriées au sein de
l'organisation

Communiquer efficacement les informations à la direction générale, au

comité d'audit, au Conseil ou tout autre organe de direction de l'organisation
 La nature du travail de l'audit interne

Risque Contrôle Gouvernance

Aide à gérer les risques Aide l'organisation à Aide à évaluer et à améliorer

en: maintenir des contrôles la gouvernance par :
adéquats en : • Promouvoir l'éthique et les
• Identifiant et en • Evaluant valeurs appropriées.
évaluant les • Assurer une gestion et une
l'efficacité et
expositions responsabilité efficaces des
importantes au risque. l'efficience des performances.
contrôles. • Communiquer efficacement
• contribuant à
l'amélioration des • Favorisant les informations relatives au
systèmes de contrôle et risque et au contrôle.
l’amélioration
de gestion des risques. • Communiquer efficacement
continue de les informations au Conseil,
• surveillant et en l'environnement aux auditeurs internes et
évaluant le système de de contrôle. externes et à la direction, et
gestion des risques coordonner leurs activités.
EVALUER ET AMÉLIORER L’EFFICACITÉ DE GESTION DES
RISQUES, DU CONTRÔLE ET DE LA GOUVERNANCE

 L’ancienne définition de l’audit ne mentionne que le contrôle (avant 1999).

 Les auditeurs internes doivent être compétents dans chacune des trois activités (Norme
2100): Gestion des risques, Contrôle, Gouvernance

 Nécessité d’interconnexion et d’interaction des risques, du contrôle et de la gouvernance et

les avantages des trois pour réussir sur le marché.

 Gouvernance: dispositif comprenant les processus et les structures mis en place par le
Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’organisation en vue
de réaliser ses objectifs.
 La définition intègre le fait que les contrôles aident l'organisation à gérer le risque et à
promouvoir une gouvernance efficace.
 Types de missions d'Audit Interne

Assurance Conseil
“Des services de conseil de
“une évaluation objective
nature consultative et
de la preuve en vue de
généralement réalisés à la
formuler en toute
demande spécifique d'un client
indépendance une
de la mission.
opinion ou des
conclusions sur une 2 personnes interviennent dans
entité, une opération, une
la mission: Auditeur, client
fonction, un processus,
un système ou tout autre
sujet.”
3 personnes interviennent
dans la mission:
Auditeur,audité,utilisateur
 Types de missions de conseil
 Missions de conseil officielles
(formalisées) planifiées et sous réserve
Assurance de l'accord écrit
 Missions de conseil informelles
relatives à des activités de routine
(participation aux comités permanents,
aux projets, aux réunions ad-hoc ).
Conseil
 Missions de conseil spécialisées
(Rejoindre l'équipe de fusion ou
d'acquisition ou de conversion des
systèmes)
“Combinée”  Missions de conseil d'urgence
(Rejoindre l'équipe chargée de la reprise
ou de la gestion des opérations après
un désastre ou tout autre évènement
extraordinaire)
* Toute nature de missions doit être
consignée dans une CHARTE
Quelle est la définition des services d’assurance?
(GLEIM)

•«Un examen objectif des preuves dans le but de fournir une

évaluation indépendante des processus de gouvernance, de gestion
des risques et de contrôle de l'organisation.
• Les exemples peuvent inclure des missions financières, de
performance, de conformité, de sécurité du système et de
vérifications nécessaires. »
Quelle est la définition des services de conseil?
(GLEIM)

•«Des services de conseil et services clients connexes, dont la nature

et la portée sont convenues avec le client et qui ont pour objectif
d’apporter une valeur ajoutée et d’améliorer les opérations d’une
organisation.
• Les exemples incluent du consulting, des conseils, la facilitation, la
conception de processus et la formation. »
Quels services de conseil les auditeurs internes peuvent-ils
fournir?
(GLEIM)
•Les normes stipulent que les auditeurs internes ne peuvent fournir
que des services de conseil spécifiquement définis dans la charte de
l'audit interne.
Quelle est la différence entre des missions
d'assurance et de conseil?
(GLEIM)

• Dans le cadre d’une mission d’assurance, l’auditeur fournit une

évaluation et formule un avis indiquant si un élément de la société
fonctionne correctement. L'auditeur doit être objectif dans
l’évaluation de la situation et indépendant dans la décision.
• Dans le cadre d’une mission de conseil, l’auditeur fournit des
conseils ou fait une suggestion.
 EXPLICATION
LA MISSION DE CONSEIL DE L’AI

• La mission de conseil ne se confond pas avec les

recommandations des missions d’audit, lesquelles s’appuient
sur des constats de dysfonctionnement. Les missions de
Conseil sont des missions spécifiques: participation à des
comités, opérations de fusion/acquisit.,liquidation……

34
 EXPLICATION
LA MISSION DE CONSEIL DE L’AI

• Préservation de l’indépendance: éviter de faire un une

mission d’assurance dans l’année qui suit la mission de
conseil, éviter d’employer des mêmes auditeurs ou des
mêmes managers.

• Il ne peut y avoir conseil sans compétence reconnue.

35
 C/
CODE D’ETHIQUE OU DE
DEONTOLOGIE

36
 Code d’Ethique

“établit les principes Principes fondamentaux de

fondamentaux pertinents pour conduite professionnelle :
la profession et pour la
Integrité:honnêteté
pratique de l'audit interne…
a pour but de guider la Objectivité: impatialité
conduite éthique des auditeurs
et s'applique aux parties et Confidentialité:prudence
entités qui fournissent des Compétence:connaissance
services d'audit interne ”

Integrité
1.1. Effectuer un travail avec
honnêteté, diligence et
responsabilité conformt aux valeurs
éthiques et aux lois de la
profession et de l’orga.
1.2. Faire les révélations(divulguer
les informations appropriés)
requises par la loi et la profession
(signaux d’alerte).
1.3. Eviter les activités
illégales ou actes
déshonorants pour la
profession de l’AI (prestation
rémunérée)
1.4. Respecter et contribuer
aux objectifs éthiques et
légitimes de l'organisation.
Etre fidèle à l’organisation.
Code de Déontologie de l’IIA
Objectivité
2.1. Eviter les actes ou les
relations qui nuisent à
l’évaluation impartiale, y
compris ceux qui sont en
conflit avec les intérêts de
l'organisation.
2.2. N’accepter rien qui puisse
altérer le jugement
professionnel (un cadeau qui
influence la décision de
l’individu).
2.3. Divulguer tous les faits
importants connus qui, si non,
peuvent fausser les rapports.
(Eviter les messages orientés dans
le rapport d’audit ainsi que les
messages personnels)
Confidentialité
3.1. Soyez prudents dans
l'utilisation et la protection des
informations acquises dans le
cadre de ses fonctions.
(droit à la vie privée)
3.2. Ne pas utiliser les
informations à des fins
personnelles, contraire à la loi
ou au détriment des objectifs
éthiques et légitimes de
l'organisation.
(délit d’initié)
* Le Code de déontologie ne
prévoit pas la stricte confidentialité
des informations.
Compétence
4.1. S’engager seulement dans
les missions pour lesquels
vous avez des connaissances,
des compétences et de
l'expérience.
4.2. Réaliser des missions
d'audit interne conformes aux
normes.
4.3. Améliorer continuellement
la compétence, l'efficacité et
la qualité des services d’audit.
* Chercher en permanence à
améliorer le niveau de maîtrise et
l'efficacité des audits.
1- Intégrité (GLEIM)
• Règles de conduite – intégrité :
• Les Auditeurs internes:
• 1.1. Doit effectuer son travail avec honnêteté,
diligence et responsabilité.
• 1.2. Doit respecter la loi et faire les divulgations
attendues par la loi et la profession.
• 1.3. Ne doit pas sciemment être partie à une
activité illégale ou se livrer à des actes qui sont la
profession de l'audit interne ou de l'organisation.
• 1.4. Doit respecter et contribuer aux objectifs
légitimes et éthiques de l'organisation.

39
Exemple d’Intégrité:
Un auditeur interne travaille pour un fabricant de cosmétiques
qui peut tester de manière inappropriée des cosmétiques sur
des animaux. En signe de loyauté envers l'employeur, aucune
information sur les tests n'est recueillie, l'auditeur a violé les
règles de conduite en:

1. Devenir sciemment partie à un acte illégal,

2. Se livrer à un acte répréhensible à la profession,

3. Ne pas faire les divulgations prévues par la loi, et

4. Ne pas effectuer le travail avec diligence.

2- objectivité
• Règles de conduite – objectivité :
• Auditeurs internes:

• 1. Ne participera à aucune activité ou relation susceptible de

nuire ou d'être présumée nuire à son évaluation impartiale.
Cette participation comprend les activités ou les relations qui
peuvent être en conflit avec les intérêts de l’organisation.

• 2. N'acceptera rien qui puisse porter atteinte ou être présumé

porter atteinte à leur jugement professionnel.

• 3. Doit divulguer tous les faits importants qui leur sont

connus et qui, s'ils ne sont pas divulgués, peuvent fausser la
communication des activités à l'étude.

41
Qu'est-ce qu'un conflit d'intérêts? (GLEIM)
•Situation dans laquelle un auditeur interne, qui occupe une
position de confiance, a des intérêts professionnels ou
personnels concurrents. Ces intérêts opposés peuvent rendre
difficile l'exécution de ses tâches de manière impartiale. Un
conflit d'intérêts existe même s'il n'en résulte aucun acte
contraire à l'éthique ou inapproprié.
•Un conflit d'intérêts peut créer une apparence d'irrégularité
susceptible de miner la confiance en l'auditeur interne,
l'activité d'audit interne et la profession. Un conflit d’intérêts
pourrait nuire à la capacité d’une personne de s’acquitter de
ses fonctions et de ses responsabilités avec objectivité.
(norme 1120)
 Les auditeurs peuvent-ils évaluer les opérations
dont ils étaient auparavant responsables? (GLEIM)

•Les auditeurs internes doivent s'abstenir d'évaluer des opérations

spécifiques dont ils étaient auparavant responsables. L’objectivité
est présumée compromise si un auditeur fournit des services de
certification pour une activité dont il était responsable au cours de
l’année précédente.
•(Norme 1130)
Les auditeurs, peuvent-ils fournir des services de
conseil pour les opérations dont ils étaient
auparavant responsables? (GLEIM)

•Oui, les auditeurs internes peuvent fournir des

services de conseil relatifs aux opérations pour
lesquelles ils étaient auparavant responsables.
Exemple sur l’objectivité,
Si le remplacement par la direction d'un contrôle important crée une exposition
à un risque significatif, l'auditeur interne est éthiquement obligé de signaler
l’affaire aux fonctionnaires chargés de remplir la fonction de gouvernance.

. Un auditeur interne ne peut garantir l'anonymat.

* Information communiquée à un auditeur interne n'est pas réputée privilégiée.
 3- Confidentialité (GLEIM)
• Règles de conduite: confidentialité:
• Les Auditeurs internes:
• 1. Doit être prudent dans l'utilisation et la protection des
informations acquises dans le cadre de ses fonctions.
• 2. Ne doit pas utiliser les informations à des fins personnelles
ou d'une manière contraire à la loi ou au détriment des
objectifs légitimes et éthiques de l'organisation.
• ● Divulgation d'informations confidentielles en réponse à une
décision de justice.
• ■ Le principe de confidentialité permet la divulgation
d'informations confidentielles dans un cadre juridique ou
obligation professionnelle de le faire. Cette divulgation ne
constitue pas une violation.
46
Exemple sur la confidentialité:

Lequel des énoncés suivants enfreint le code d'éthique de l'IIA?

● Enquêter sur les rapports de dépenses d'un vendeur principal sur la

base de rumeurs de surestimation.
■ L'enquête sur les cas potentiels de fraude relève des
responsabilités normales de l'auditeur interne. Ce n'est pas une
violation.

● Achat de stock dans une organisation cible après avoir lu les rapports
qu'il peut être acquis.
■ La règle de conduite stipule que «les auditeurs internes ne
doivent pas utiliser les informations à des fins personnelles». l'achat
est une violation.
 4- Compétence (GLEIM)
• Règles de conduite: compétence
• Les Auditeurs internes:
• 1. Ne s'engageront que dans les services pour lesquels
ils ont les connaissances, les compétences et
expérience.
• 2. Doivent fournir des services d'audit interne
conformément aux normes internationales pour la
Pratique professionnelle de l'audit interne (normes).
• 3. Amélioreront continuellement leur compétence
ainsi que l'efficacité et la qualité de leurs services.

48
Exemple sur la compétence:
Lequel des énoncés suivants enfreint le code d'éthique de l'IIA?

● Après avoir obtenu la preuve qu'un employé détourne des fonds,

l'auditeur interne interroge le suspect. L'organisation dispose d'un service
de sécurité.
■ Les auditeurs internes manquent généralement de connaissances, de
compétences ou d'expérience concernant l'interrogatoire des suspects
possédées par des spécialistes de la sécurité. Le manque de
compétence est très probablement une violation.
● Un auditeur interne a été désigné pour effectuer une mission au service
de l'entreposage l'année prochaine. L'auditeur n'a actuellement aucune
expertise dans ce domaine mais a accepté la mission et prévoit de
poursuivre un cours de formation professionnelle en entreposage.
■ L'auditeur interne prévoit d'acquérir les connaissances et
compétences requises avant le début de cette mission. L'auditeur
interne n'a probablement pas violé le code d'éthique.
 CONFLIT D’INTERET

• Le conflit d’intérêt est défini comme toute relation qui n’est pas ou ne semble pas être dans
l’intérêt de l’organisation. Un conflit d’intérêt peut nuire à la capacité d’une personne à
assumer de façon objective ses devoirs et responsabilités.

• L’objectivité peut être compromise si l’auditeur interne doit auditer un département dans
lequel il a travaillé au cours des 12 derniers mois (Norme 1130 A1).

 Les cadeaux de valeur non significative et promotionnelle sont permis pour les auditeurs.
 La prestation de services rémunérés pour le compte d'un responsable de l'organisation
constitue un conflit d’intérêt.
 CONFLIT D’INTERET

 Acheter des actions sur la base d'informations publiques contenues dans un rapport
trimestriel ne constitue pas un délit d'initié, mais acquérir des actions d'une entreprise
alors qu'elle fait l'objet d'un audit compromet l'objectivité de l'auditeur.

 La divulgation de renseignements confidentiels doit être signalée à la direction.

 les auditeurs internes peuvent accepter des cadeaux ou objets promotionnels de la part
de leurs clients, dès lors qu'ils n'ont pas de valeur significative.
• Exemple sur le conflit d’intérêt:
• À la fin de l'année, une équipe d'audit interne a formulé des observations et des recommandations qu'une
organisation peut utiliser pour améliorer l'efficacité opérationnelle. Pour exprimer sa gratitude, le chef de
division a remis à l'équipe d'audit interne un cadeau de valeur modérée. L'équipe d'audit interne se réunit
pour discuter de l'acceptation du cadeau. Les raisons suivantes pour accepter ou ne pas accepter le cadeau
ont été discutées:
• Un auditeur a déclaré: «nous devons accepter le cadeau parce que sa valeur est insignifiante.»
• Un autre auditeur a déclaré: «Nous ne devons pas accepter le cadeau avant d'avoir soumis notre rapport
final de mission.»
• Un troisième auditeur a déclaré: «nous ne devons pas accepter le cadeau». L'auditeur principal a pris en
compte les opinions des autres auditeurs et l'intention des règles de conduite.
• L'auditeur principal a décidé que l’acceptation du cadeau serait inappropriée en raison de l’altération
présumée de jugement professionnel.
 D/
LES NORMES

53
 OBJECTIFS DES NORMES
1. Guider le respect des éléments obligatoires du cadre
international des pratiques professionnelles.
2. Fournir un cadre de référence pour la réalisation et la promotion
d’un large champ d’intervention d’audit interne à valeur ajoutée ;

3. Etablir les critères d’appréciation du fonctionnement de l’audit

interne ;

4. Favoriser l’amélioration des processus organisationnels et des

opérations.
Lorsque la législation ou la réglementation
empêchent l’audit interne de respecter
certaines dispositions des normes, il est
nécessaire d’en respecter les autres
dispositions et de procéder à une
communication appropriée.
54
En quoi consistent les normes? (GLEIM)
1) Déclarations d'exigences essentielles pour la
pratique professionnelle de l'audit interne et pour
l'évaluation de l'efficacité de la performance qui
sont applicables à l'échelle internationale aux
niveaux organisationnel et individuel.
2) Des interprétations clarifiant les termes ou les
concepts dans les limites des normes.
 TYPES DE NORMES

Normes de Normes de Normes de

Qualification Performance mise en oeuvre
• s'appliquent à tous • s'appliquent à tous
• indiquent les exigences
les services d'audit les services d'audit
applicables pour la mise
interne et aux auditeurs interne ainsi qu'aux
en oeuvre des Normes
internes auditeurs internes.
de qualification et des
individuellement. • décrivent la nature Normes de performance
• définissent les des missions de selon qu'il s'agit d'une
caractéristiques des l'audit interne mission d'assurance (A)
organisations et des • fournissent des ou de conseil (C).
parties chargées des critères de qualité
activités d'audit interne • Complètent les 2
pour évaluer la premières normes pour
• fournissent des performance de les types de missions
orientations pour la l'audit. spécifiques
qualité des programmes
de l’A.I
LES NORMES
Les Normes se composent des Normes de qualification et des
Normes de fonctionnement.
Normes de qualification
• 1000 – Mission, pouvoirs et responsabilités
• 1100 – Indépendance et objectivité
• 1200 – Compétence et conscience professionnelle
• 1300 – Programme d'assurance et d'amélioration qualité

Normes de performance ou de fonctionnement

• 2000 – Gestion de l'audit interne
• 2100 – Nature du travail
• 2200 – Planification de la mission
• 2300 – Accomplissement de la mission
• 2400 – Communication des résultats
• 2500 – Surveillance des actions de progrès
• 2600 – Communication relative à l’acceptation des risques
 LES NORMES
APPLIQUEES A LA PARTIE I,
DU CIA
LES NORMES IIA DISCUTÉES DANS LA PARTIE 1

Normes de Qualification
• 1000 - Missions, pouvoirs et responsabilités
• 1010 – Reconnaissance des dispositions obligatoires dans la charte de l'audit interne
• 1100 - Indépendance et objectivité
• 1110 - Indépendance dans l’organisation
• 1111 - Relation directe avec le conseil
• 1112 - Rôles du RAI en dehors de l’audit interne
• 1120 - Objectivité individuelle 2.3
• 1130 - Atteinte à l'indépendance ou à l'objectivité

• 1200 - Compétence et conscience professionnelle

• 1210 - Compétence
• 1220 – Conscience professionnel le
• 1230 – Formation professionnelle continue

59
LES NORMES IIA DISCUTÉES DANS LA PARTIE 1-Suite

• 1300 - Programme d'assurance et d'amélioration de la qualité

• 1310 - Exigences du programme d'assurance et d'amélioration de la qualité
• 1311 - Évaluations internes
• 1312 - Évaluations externes
• 1320 – Communication relative au programme d'assurance et
d'amélioration de la qualité
• 1321 - Utilisation de la mention «Conforme aux normes internationales
pour la pratique professionnelle de l'audit interne »
• 1322 - Indication de non-conformité

Normes de Fonctionnement
. 2110 - Gouvernance 4.1, 7.1
. 2120 - Gestion des risques 5.1, 7.2
. 2130 - Contrôle

60
LA CHARTE D’AUDIT
 La charte d'audit interne est :

Définit la position de l'audit

interne dans l'organisation
“Un document officiel
qui précise la mission, Autorise l'accès aux
les pouvoirs et les documents, aux personnes et
responsabilités de cette aux biens, nécessaires à la
activité.” réalisation des missions
Définit le champ des activités
d'audit interne
 Mission, pouvoir et responsabilité de l’A.I(Norme 1000)
Mission
• Fournir une assurance
indépendante, objective et
une activité de conseil.
• Ajouter de la valeur et
améliorer les opérations
d'une organisation.
• Soutenir les objectifs
organisationnels afin
d'évaluer et d’évaluer et
d'améliorer l'efficacité de la
gestion du risque, du
contrôle et des procédés
de gouvernance.
• Communiquer au niveau
approprié de management
toute opportunité
concernant l'amélioration
ou l'exposition aux risques
Pouvoir Responsabilité
• Fournir un accès • Documenter les objectifs
approprié et sans et la portée des missions
entraves aux archives et la méthode à utiliser.
ainsi qu'aux propriétés • S'assurer que le personnel
personnelles et en charge de l'audit
physiques. possède les qualifications
• Maintenir un accès total requises, le savoir,
et ouvert entre le comité l'expérience …nécessaires
d'audit, le conseil à la réalisation de la
d'administration ou toute mission
autre autorité appropriée. • Communiquer les
• Obtenir les ressources résultats de l'audit interne
internes et externes • Considérer la coordination
nécessaires dans le but entre l’audit interne et
d'accomplir comme externe
prévu les objectifs • Ne pas mener d'activités
d'activités d'audit. de management(opérationnel).
Norme 1000 - Mission, pouvoirs et responsabilités
La mission, les pouvoirs et les responsabilités de l’audit interne
doivent être formellement définis dans une charte d’audit
interne, en cohérence avec la Mission de l’audit interne et les
dispositions obligatoires du Cadre de référence international
des pratiques professionnelles (CRIPP) de l’audit interne (les
Principes fondamentaux pour la pratique professionnelle de
l’audit interne, le Code de déontologie, les Normes et la
Définition de l’audit interne). Le responsable de l’audit interne
doit revoir périodiqument la charte d’audit interne et la
soumettre à l’approbation de la direction générale et du
Conseil.
LA CHARTE D’AUDIT- SUITE

 Le RAI doit soumettre la charte d’audit pour acceptation à

la Direction Générale et au Conseil d’Administration pour
approbation.

La charte peut être distribuée aux parties prenantes

concernées(fournisseurs et partenaires de l’entreprise) pour
qu’ils soient conscients du type de travail que les auditeurs
internes fournissent.
LA CHARTE D’AUDIT -suite-
• 1000.A1 - La nature des missions d’assurance réalisées pour l’organisation doit
être définie dans la charte d’audit interne. S’il est prévu d’effectuer des
missions d’assurance à l’extérieur de l’organisation, leur nature doit être
également définie dans la charte d’audit interne.

• 1000.C1 - La nature des missions de conseil doit être définie dans la charte
d’audit interne.
CHARTE D’AUDIT –SUITE

• Le caractère obligatoire de la définition de l’audit

interne, du Code de Déontologie ainsi que des
Normes doit être reconnu dans la charte d’audit
interne.

• Le responsable de l’audit interne présente la

définition de l’audit interne, le Code de Déontologie
ainsi que les Normes à la direction générale et au
Conseil.
 Eléments Typiques de la Charte :
La mission et le périmètre d'action du service d'audit interne
La responsabilité du RAI par rapport au management et au comité
d'audit dans l'accomplissement des fonctions qui lui incombent
L'indépendance de la fonction d'audit interne
Les responsabilités du RAI et des auditeurs internes.
Les pouvoirs du RAI et des auditeurs internes (Le libre accès à
l'information, aux personnes et aux systèmes.
Les normes de la pratique d'audit

La charte doit être cohérente avec les normes

Le libre accès à l'information, aux personnes et aux systèmes

 DOCUMENTS CLÉS
Déclaration de fonction et de
responsabilité: établit les pouvoirs et
Documents clés responsabilités des auditeurs
supplémentaires
Déclaration de politique d’audit:
associés à la mission,
au pouvoir et Mission, périmètre, statut,valeur
ajoutée
documents clés à la
responsabilité de Manuel d'audit: politiques et
l'activité d'audit procédures
interne :

Descriptions de postes: description

des postes d’auditeurs
 Méthodes pour promouvoir la fonction
Expliquer les atouts de l’activité d’audit
Brochures

Mettre en avant certains aspects importants des activités

Bulletins
d’audit interne actuelles et futures
d’informations

Présenter les témoignages humains et informels sur les

Publications auditeurs internes ou la fonction d’audit interne

Faciliter les présentations et/ou le dialogue avec la direction et

Portes ouvertes le personnel d’exécution dans un cadre détendu

-formation des clients

-Documents de mission et réunions
Autres
- Commission consultative des directeurs opérationnels
présidée par le RAI
 UNITE II:
• Indépendance, objectivité, compétence,
conscience professionnelle et qualité
(40%)
A/ Indépendance et objectivité (15 %)
Qu'est-ce que l'indépendance? (GLEIM)
• «L’indépendance est l’absence de conditions qui menacent la
capacité de l’audit interne à s’acquitter de ses responsabilités
d’audit interne de manière impartiale. Pour atteindre le degré
d'indépendance nécessaire pour s'acquitter efficacement des
responsabilités liées à l'audit interne, Directeur de l'audit
interne dispose d'un accès direct et illimité à la direction et
au conseil. Cet objectif peut être atteint grâce à une double
relation hiérarchique.
• Les menaces pesant sur l'indépendance doivent être gérées
au niveau de l'auditeur individuel, de la mission, des
fonctions et de l'organisation. »
(la norme 1100)
Qu'est-ce que l'objectivité? (GLEIM)
L'objectivité est une attitude mentale impartiale qui
permet aux auditeurs internes de réaliser leurs missions
de manière à croire en leur produit professionnel et à ne
pas faire de compromis en matière de qualité.
L'objectivité exige que les auditeurs internes ne
subordonnent pas leur jugement sur les questions d'audit
à d'autres. Les menaces à l'objectivité doivent être gérées
au niveau de l'auditeur individuel, de la mission, des
fonctions et de l'organisation. »
(la norme 1100)
Qu'est-ce que l'indépendance
organisationnelle signifie? (GLEIM)

•L'indépendance organisationnelle signifie que l'activité d'audit

interne ne doit pas avoir de relations actuelles ou antérieures avec les
services qu'elle audite.

•L’indépendance organisationnelle peut être obtenue grâce à une

charte de l’audit interne bien conçue.
 l'indépendance et l'objectivité

Indépendance Objectivité
Independence
« est la liberté « est une attitude
impartiale qui permet aux
“…
d'agir sans avoir
the freedom from à
auditeurs internes
conditions that à des
se soumettre d'accomplir leurs
threaten objectivity or
conditions qui missions de telle sorte
the appearance of
menacent...”la qu'ils soient certains de la
objectivity
capacité de l'audit qualité de leurs travaux,
menés sans compromis.»
interne à assumer, * Ne pas subordonner leur
de manière propre jugement à celui
impartiale, ses d’autres personnes.
responsabilités .» *Eviter les préjugés - ou +
 INDÉPENDANCE ORGANISATIONNELLE

 Le RAI doit avoir un accès direct et non restreint à la DG et au CA

(Norme 1100). Et cela peut être assuré grâce à un double rattachement.

Conseil d’Administration
Functional
reporting

Direction Générale Comité d’Audit

Administrative Functional
reporting reporting
RAI et Fonction d’Audit Interne
INDÉPEDANCE ET OBJECIVITÉ -
suite-
Rattachement organisationnelle -
suite-
Interprétation (norme 1110)

Rapporte fonctionnellement au
Conseil
A un accès direct et non restreint
au conseil
INDÉPEDANCE ET OBJECIVITÉ -suite-
Rattachement organisationnelle -suite-
Interprétation (norme 1110)

Rapporte hiérarchiquement au directeur général ou

équivalent dans l'organisation
Rapporte hiérarchiquement à un autre niveau de
l'organisation que le directeur général ou équivalent tant
que l'audit interne est maitre du champ d'intervention et de
la réalisation de ses travaux, et de la communication des
résultats sans ingérence.
INDÉPEDANCE ET OBJECIVITÉ -suite-
Rattachement organisationnelle -suite-
Interprétation (norme 1110)

Au début de chaque audit interne, la direction générale

doit être informée du périmètre d'action et des objectifs de
l'audit. Cependant, définir les objectifs des missions et
tenir le personnel informé, en collaboration avec la
direction des opérations, peut potentiellement nuire à
l'indépendance et à l'objectivité de l'activité d'audit interne.
INDÉPEDANCE ET OBJECIVITÉ -suite-
Réalisation des travaux
• 1110.A1 - L’audit interne ne doit subir aucune ingérence lors de la
définition de son champ d’intervention, de la réalisation du travail et de la
communication des résultats.
Relation avec le Comité d’Audit
1111 - Relation directe avec le Conseil:
• Le responsable de l’audit interne doit pouvoir communiquer et dialoguer
directement avec le Conseil (comité).
Le comité d’audit est un des facteurs majeurs de
l’indépendance de l’ audit interne.
• Les RAI n'assistent généralement pas aux réunions du conseil ou des
actionnaires.
 INDÉPEDANCE ET OBJECIVITÉ -suite-
• ATTITUDE IMPARTIALE

• 1120 – Objectivité individuelle

• Les auditeurs internes doivent avoir une attitude impartiale et

dépourvue de préjugés(positif ou négatif), et éviter tout
conflit d’intérêt.
• « L'objectivité de l'auditeur interne peut être compromise par
une prédisposition positive ou négative en ce qui concerne le
client de l'audit. »
INDÉPEDANCE ET OBJECIVITÉ -suite-

Information de l’atteinte à l’indépendance et objectivité

1130 – Atteinte (toucher) à l’indépendance ou à l’objectivité

Si l’indépendance ou l’objectivité des auditeurs internes sont

compromises dans les faits ou même en apparence, les parties
concernées ( CA, DG,….) doivent en être informées de manière
précise.
La forme de cette communication dépendra de la nature de
l’atteinte à l’indépendance.

* L’audit interne n’est pas censé dialoguer avec l’opérationnel

dans le but de fixer les objectifs des missions .
INDÉPEDANCE ET OBJECIVITÉ -SUITE-
INFORMATION DE L’ATTEINTE À L’INDÉPENDANCE ET OBJECTIVITÉ -
SUITE-

auditeurs internes doivent s’abstenir

1130. A1 – Les
d’auditer des opérations particulières dont ils étaient
auparavant responsables. L’objectivité d’un auditeur
interne est présumée altérée lorsqu’il réalise une
mission d’assurance pour une activité dont il a eu la
responsabilité au cours de l’année précédente.

* Perte d’indépendance et d’objectivité: participer

directement au fonctionnement d’autres activités de
l’enttreprise.
INDÉPEDANCE ET OBJECIVITÉ -suite-

Information de l’atteinte à l’indépendance et à l’objectivité -

suite-

1130.C1 – Les auditeurs internes peuvent être amenés à

réaliser des missions de conseil liées à des opérations dont
ils ont été auparavant responsables (il n’y a pas d’obligation
d’une année).
1130.C2 – Si l’indépendance ou l’objectivité des auditeurs
internes sont susceptibles d’être compromises (conflit
d’intérêt) lors des missions de conseil qui leur sont
proposées, ils doivent en informer le client donneur d’ordre
avant de les accepter.
 Rattachement
fonctionnel
permet une indépendance et une
autorité finale
le Conseil doit :
a/ Approuver :
• la charte d'audit interne.
• le plan d'audit interne axé sur les
risques.
• le budget de l'audit interne et le plan
sur les ressources.
• les décisions relatives à la nomination ,
la rémunération et la révocation du
responsable de l'audit interne.
b/ Être destinataire des informations
adressées par le responsable
d'audit(Rapports).
c/ demande des informations pertinentes au
management et au RAI pour déterminer
l’adéquation du périmètre et des
ressources de l’audit interne.
Rattachement
Administratif(rattachement direct)
facilite les opérations quotidiennes
Exemples:
• La budgétisation et la comptabilité
de gestion.
• L'administration des ressources
humaines, y compris les évaluations
du personnel et la rémunération.
• Les communications internes et les
flux d'informations (Rapports).
• La gestion des règles et procédures
de l'audit interne.
* La Direction Générale ne doit pas
approuver le plan d’audit.
À qui le RAI (Directeur d’audit interne) relève-t-il?
(GLEIM)
•Le responsable de l'audit interne doit rendre compte à un comité
d'audit, ou à un organe équivalent, pour toute question liée à la
fonctionnalité ou à la mission.
•Pour les questions administratives, le responsable de l'audit interne
doit rapporter au PDG (ou à un poste similaire).
Des Relations qui garantissent l’indépendance
Communiquer de manière directe et régulière avec le
Conseil.Le RAI doit se réunir en privé au moins une fois par an
avec le CA. Toutefois, les RAI n’assistent généralement pas aux réunions du
CA.

Rendre compte à un membre de la direction générale

suffisamment haut placé pour promouvoir
l'indépendance et assurer un large périmètre d'audit
(soutenir le RAI sur les problèmes d’audit).
Rendre compte directement au comité d'audit (ou son
équivalent) sur les contrôles internes, ,gestion des
risques et les processus de gouvernance.
Généralement, le responsable de l'audit interne, le Conseil
et la direction générale examinent et valident les
responsabilités, les pouvoirs et le mandat de l'audit interne,
de même que le positionnement nécessaire de l'audit
interne au sein de l'organisation et les rattachements du
responsable de l'audit interne afin de permettre à l'audit
interne de s'acquitter de ses obligations.
 Avantages de la communication du RAI avec le Comité d’Audit :

Accès libre et illimité au Président et aux membres du comité d’audit

 Assister aux réunions du comité pour présenter le plan d’audit et les
autres travaux d’audit (en l’absence de la direction générale).
 Communiquer avec le président du Comité, en dehors des sessions
prévues, pour les cas de situations critiques (Fraude,…..)
Autres:
- Le Comité d’Audit ne doit pas contenir des administrateurs
indépendants ayant des relations personnelles et professionnelles
étroites avec la direction générale.
- Le Comité d’Audit supervise et valide les activités de
l’audit.
 Politiques en faveur de l’objectivité

Les auditeurs internes :

ne doivent pas sympathiser ou s'impliquer personnellement ou
professionnellement dans le domaine audité et doivent rester impartiaux lors
des missions d'audit.
ne doivent pas être responsables des opérations ou d'évaluer l'assurance au
niveau des activités pour lesquelles ils ont exercé une autorité où étaient
responsables au cours de l'année passée pour avoir influencé le jugement ou
l'opinion des auditeurs.
doivent s'engager à respecter le Code de déontologie,
doivent éviter les conflits d'intérêts et à divulguer toute activité susceptible
d'entraîner un conflit d'intérêts (éviter le risque de partialité).
ne doivent pas subordonner leur jugement à celui d'autrui sur des questions
liées à l'audit.
doivent exécuter leurs missions en étant sincèrement convaincus de la légitimité
du résultat de leur travail et sans transiger sur la qualité.
ne doivent pas être mis dans des situations dans lesquelles ils ne se sentent pas
en position de rendre des jugements professionnels objectifs.
Une personne indépendante de la mission doit examiner les résultats avant
qu’ils soient communiqués.
Normes 1120 – Objectivité individuelle
 Est considérée comme un conflit d’intérêts, une situation dans laquelle un auditeur interne, qui
jouit d’une position de confiance, a un intérêt personnel ou professionnel en contradiction avec
ses devoirs et responsabilités.

 De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale.
Un conflit d’intérêts peut exister même si aucun acte contraire à l’éthique ou malhonnête n’a été
commis.

 Un conflit d’intérêts peut créer une situation susceptible d’entraver la confiance en l’auditeur
interne, la fonction d’audit interne et la profession.

Un conflit d'intérêts peut compromettre la capacité d'une personne à conduire ses activités et
exercer ses responsabilités de manière objective.
 OBJECTIVITÉ (GLEIM)

• Pour gérer de manière efficace l'objectivité de l'audit interne, de

nombreux responsables se réfèrent à un manuel ou à un guide qui
décrit les attentes et les exigences concernant l’état d’esprit non
biaisé de chaque auditeur interne.
• Parmi ces situations, on peut citer : des missions d’audit dans un
secteur où l'auditeur interne était récemment affecté ou auquel
appartient un membre de sa famille ou un ami proche ; ou
l’hypothèse infondée selon laquelle un domaine audité est
satisfaisant, uniquement sur la base d'expériences précédentes
positives.
Qu'est-ce que l'objectivité individuelle? (GLEIM)
•“Les auditeurs internes doivent avoir une attitude impartiale
et impartiale et éviter tout conflit d’intérêts. "
( la norme 1120)
Quelles sont les déficiences courantes en
matière d’objectivité? (GLEIM)
1) Un conflit d'intérêts personnel.
2) Une limitation de la portée, y compris une restriction
d'accès aux enregistrements, au personnel ou aux
propriétés.
3) Limitation des ressources, y compris des limites de
financement.
4) Situations dans lesquelles l'auditeur évalue des opérations
pour lesquelles il était auparavant responsable.
5) Missions d’assurance pour des fonctions qui incombaient
auparavant au directeur de l'audit interne.
6) Missions de conseil dans des domaines où des missions
d’assurance sont également effectuées.
Qu'est-ce qu'un conflit d'intérêts? (GLEIM)

•Situation dans laquelle un auditeur interne, qui

occupe une position de confiance, a des intérêts
professionnels ou personnels concurrents. Ces intérêts
opposés peuvent rendre difficile l'exécution de ses
tâches de manière impartiale. Un conflit d'intérêts
existe même s'il n'en résulte aucun acte contraire à
l'éthique ou inapproprié. Un conflit d'intérêts peut
créer une apparence d'irrégularité susceptible de
miner la confiance en l'auditeur interne, l'activité
d'audit interne et la profession. Un conflit d’intérêts
pourrait nuire à la capacité d’une personne de
s’acquitter de ses fonctions et de ses responsabilités
avec objectivité. (de la norme 1120)
Les auditeurs peuvent-ils évaluer les opérations
dont ils étaient auparavant responsables? (GLEIM)
•Les auditeurs internes doivent s'abstenir d'évaluer des opérations
spécifiques dont ils étaient auparavant responsables. L’objectivité est
présumée compromise si un auditeur fournit des services d’audit
pour une activité dont il était responsable au cours de l’année
précédente.
•(Norme 1130)
Les auditeurs, peuvent-ils fournir des services de
conseil pour les opérations dont ils étaient
auparavant responsables? (GLEIM)
•Oui, les auditeurs internes peuvent fournir des
services de conseil relatifs aux opérations pour
lesquelles ils étaient auparavant responsables.
Bonnes pratiques pour maintenir l’objectivité
individuelle:
• s'entretenir périodiquement avec le personnel
d'audit interne concernant les conflits d'intérêts
et les biais potentiels.
RAI
• Une rotation régulière des missions confiées aux
auditeurs internes

Auditeur • Refuser toute commission, cadeau ou invitation

de la part d'un employé, d'un client, d'un
fournisseur ou d'un partenaire, qui de nature à
Interne entraver le jugement professionnel et
compromettre l’objectivité de l’auditeur interne.
 Obstacles à l’Indépendance et à
l’Objectivité et les Solutions
1/ Obstacles
-Les conflits d’intérêt personnels
-Les limitations du champ d’audit
-Les limitations d’accès aux dossiers, aux personnes et
aux biens
-Les limitations des ressources humaines et financières.
2/ Solutions
-Signaler au responsable de l’audit « RAI » toute situation
compromise (par l’auditeur)
- Signaler par écrit au Conseil toute limitation du champ
d’intervention de l’audit (par le RAI). Le comité d’audit est
un des facteurs majeurs de l’indépendance de l’ audit
interne.
 Norme 1112 – Rôles du responsable de l’audit interne en
dehors de l’audit interne

 Parfois, Il est demandé au responsable de l’audit interne d’assumer des

rôles et des responsabilités supplémentaires en-dehors de l’audit interne.
Ces rôles et responsabilités peuvent compromettre, l’indépendance de la
fonction d’audit interne dans l’organisation, ou l’objectivité individuelle des
auditeurs internes.

 Les précautions à prendre comprennent la surveillance, généralement

effectuée par le Conseil pour traiter les atteintes potentielles à
l’indépendance et à l’objectivité. Ces précautions peuvent notamment se
traduire par une évaluation périodique des rattachements et des

responsabilités, et par des dispositifs compensatoires afin

d’obtenir une assurance quant aux domaines de responsabilités
supplémentaires.
 •

B/ QUALIFICATION DES AUDITEURS

INTERNES
- COMPÉTENCES
PROFESSIONNELLES (18%)
COMPÉTENCES PROFESSIONNELLES
1210 – Compétence
Les auditeurs internes doivent posséder les
connaissances, le savoir-faire et les autres
compétences nécessaires à l’exercice de leurs
responsabilités individuelles.

L’équipe d’audit interne doit collectivement

posséder ou acquérir les connaissances, le savoir-
faire et les autres compétences nécessaires à
l’exercice de ses responsabilités.

La formation est un élément déterminant dans la

compétence.
 Le responsable de l’audit interne
1210.A1 –
doit obtenir le conseil et l’assistance de la
part de professionnels compétents si les
auditeurs internes ne possèdent pas les
connaissances, le savoir-faire et les
autres compétences nécessaires pour
s’acquitter de tout ou partie de leur
mission. (Mission d’assurance)

* L’Auditeur Interne n’a pas besoin de

l’accord du client pour étendre les
vérifications.
1210.C1 –
Le responsable de l’audit interne doit
décliner une mission de conseil ou
obtenir l’avis et l’assistance de personnes
qualifiées si les auditeurs internes ne
possèdent pas les connaissances, le
savoir-faire et les autres compétences
nécessaires pour s’acquitter de tout ou
partie de la mission.
 Connaissance, savoir-faire et Compétences Requises
L’audit interne doit collectivement posséder:
Exemples
connaissances requises
Connaissances Informations pour effectuer des
missions d’audit,….
nécessaires
Mener à bien l’activité d’AI, Ex:
compétences linguistiques
Savoir-faire Niveau de maîtrise des normes d’AI,
compétence néc. indices des fraudes,…
Connaissances collectives ,
compétences, aptitudes et
Autres Capacités et
qualités personnelles qui
Compétences: aptitudes peuvent conduire à des
performances exceptionnelles
Savoir être, le
faire savoir, … Ex: Connaissance des
risques, indicateurs de
fraude, aptitudes en
communication orale et
écrite, relations humaines,..
Connaissances et savoir faire de l’Auditeur Interne
La maîtrise des principes et
Une bonne compréhension des techniques comptables pour les
principes de gestion et des bonnes auditeurs travaillant sur les
pratiques commerciales. rapports financiers
Le sens des affaires Amélioration et innovation
Un bon communicateur Esprit critique
Persuasion(convainc) et collaboration

Catégories des
compétences

La maîtrise des Normes,

procédures et techniques d’Audit De bonnes notions dans des domaines
Interne clés tels que :
Avoir l’expertise en contrôle interne, comptabilité,économie,fiscalité,
management des risques et gouvernance finance, technologie d’information….)
Que doit comprendre un auditeur interne? (GLEIM)
Principes de gestion pour reconnaître et évaluer:

• La matérialité (réalité) , (la matérialité se caractérise à l’origine par le

choix d’indicateurs comptables permettant de mesurer le niveau de
performance et de fiabilité d’une entreprise.)
• Signification des déviations
• Les Bonnes pratiques commerciales.
Quels domaines un auditeur interne doit-il
connaître? (GLEIM)
• Comptabilité
• Économie
• Droit commercial
• Taxation
• La finance
• Méthodes quantitatives
• Informatique
• Gestion des risques
• Fraude
Quelles connaissances spécifiques un auditeur
interne doit-il avoir? (GLEIM)
Les auditeurs doivent avoir les connaissances suivantes:
• Identifier les indicateurs de fraude, et
• Connaitre les principaux risques et contrôles liés aux
technologies de l’information et aux techniques d’audit
disponibles reposant sur des technologies.
Considérations de la détection de/ou l’enquête pour
fraude

Norme de mise en oeuvre 1210.A2

(Missions d'assurance)
“Les auditeurs internes doivent
disposer une connaissance suffisante
de la fraude pour pouvoir identifier les
signaux d’alerte qui indiquent la
présence de fraude dans
l’organisation, mais ils ne sont pas
censés détenir l’expertise d’une
personne dont la principale
responsabilité est de détecter les
fraudes et d’enquêter sur elles »
Considérations de laTechnologie de l’Information

Norme de mise en oeuvre 1210.A3

(Missions d'assurance)
“Les auditeurs internes doivent
posséder une connaissance suffisante
des principaux risques et contrôles
relatifs aux technologies de
l'information, et des techniques d'audit
informatisées susceptibles d'être mises
en oeuvre dans le cadre des travaux qui
leur sont confiés. Toutefois, tous les
auditeurs internes ne sont pas censés
posséder l'expertise d'un auditeur dont
la responsabilité première est l'audit
informatique.”
Quelles compétences spécifiques un auditeur
interne doit-il posséder? (GLEIM)
Soft Skills (compétences comportementales)
• Compétences sociales
• Comprendre les relations humaines.
• Entretenir des relations satisfaisantes avec les clients des missions.
• Communiquer (sous forme orale et écrite) clairement et
efficacement des questions telles que les objectifs de la mission, les
évaluations, les conclusions et les recommandations.
Qui est responsable de la compétence et de la
diligence professionnelle des auditeurs? (GLEIM)
•Le RAI a cette responsabilité.
Cadre de compétence en audit interne

 Amélioration et innovation
 Réalisation de l’audit interne
1/Compétences personnelles:
+ Communication, + Persuasion(convaincre) et
collaboration, + esprit critique (recueillir les données et à les
analyser , à tirer des conclusions convaincantes et à formuler des
recommandations).
2/ Expertise technique:
+ Cadre de référence IPPF, + Gouvernance, risque et
contrôle,+ le sens des affaires
 Management de l’audit interne
 L’éthique professionnelle
 Quelles sont les 10 compétences dans le
référentiel de compétences? (GLEIM)
• I. Éthique professionnelle: promet et applique l'éthique professionnelle
• II. Gestion de l'audit interne: développe et gère la fonction de l'audit interne
• III. CRIPP: applique le cadre international des pratiques professionnelles (CRIPP)
• IV. Gouvernance, risque et contrôle: applique une compréhension approfondie des gouvernance, risque et
contrôle appropriés à l'organisation
• V. Sens des affaires: maintient son expertise de l'environnement des affaires et de l'industrie pratiques et
facteurs organisationnels spécifiques
• VI. Communication: communique avec impact(communiquer clairement, efficacement et succinctement)
• VII. Persuasion et collaboration: persuade et motive les autres à travers la collaboration et la coopération
• VIII. Pensée critique: applique l'analyse des processus, l'intelligence d'affaires et techniques de résolution de
problèmes
• IX. Réalisation de l'audit interne: réalise des missions d'audit interne
• X. Amélioration et innovation: adopte le changement et stimule l'amélioration et l'innovation ”
 DISTINCTION ENTRE LES NIVEAUX DE COMPETENCE,
COMPREHENSION ET APPRECIATION
 COMPETENCE: « Maîtrise »
Savoir parfaitement appliquer leur connaissance des normes et
procédures d'audit à des situations spécifiques, sans recourir de
manière intensive à des recherches et à une assistance technique.
Exemple:Réunir les preuves nécessaires liées à un cas de fraude.
 COMPREHENSION:
La capacité à appliquer des connaissances générales aux
situations susceptibles d’être rencontrées au cours des audits.
Exemple: Suivre une formation pour comprendre les systèmes
d’information et de comptabilité informatisée.
 APPRECIATION:
La capacité à reconnaitre l’existence de problèmes réels et
potentiels et identifier les recherches complémentaires à entreprendre.
Exemple: Pour un nouvel auditeur, qui vient de rejoindre l’équipe d’audit
c’est par exemple connaitre l’approche rigoureuse pour reconnaitre les
signaux d’alerte indicateurs d’une fraude potentielle lors d’une mission
 DOTATION EN PERSONNEL-COMPETENCE
 Evaluer la fonction et l’expérience du personnel de l’activité d’audit
interne

 Evaluer la description des postes du personnel et du management

(déterminer si les descriptions de postes identifient des progressions
de carrière pour le personnel notamment pour les auditeurs internes).

 Obtenir et passer en revue les informations liées aux compétences

spécialisées requises par l’activité d’audit interne.
(Si l’activité d’audit interne possède les connaissances, compétences
et domaines d’expertise nécessaires pour assurer sa responsabilité)

 Analyse de la dotation en personnel (organigramme de l’audit,

nombre d’auditeurs suffisant par rapport au périmètre , leur niveau de
formation, le niveau d’adéquation responsabilités et besoins en
personnel,….)
 Méthodes de dotation en compétence
Établir une équipe d'audit spécialisée possédant les ressources
Audits en interne
nécessaires
Confier la totalité de l'activité d'audit interne à un prestataire
Externalisation totale externe, en général de manière permanente. Activité d’audit à
« Outsourcing » gérer à partir de l’organisation (droit de regard).

Le personnel interne s’associe à une sous-traitance externe afin

d’apporter à l'équipe d'audit spécialisée les compétences
Cosourçage
spécialisées complémentaires(pour les missions spécifiques)
(Engagement conjoint)
Demander à une personne (expert en environnement) en particulier
Sous-traitance (ou d'effectuer une mission ou une partie spécifique de certaines missions
personnel supplém.) pendant une période déterminée. Sous la supervision du personnel
d’audit interne.
Faire appel à des « auditeurs invités » travaillant dans un autre
service de l'organisation et à qui on fait appel pour qu'ils
Détachement
rejoignent l'activité d'audit pendant une période déterminée
généralement de 1 à 24 mois .
 Le cosourçage et l’outsourcing
Avantages
+ Libère les ressources internes
pour d’autres activités
+ Permet aux ressources internes
de travailler sur d’autres projets
+ Améliore l’efficience et
l’efficacité(acquisition d’une
expertise)
+ Peut réduire les
dépenses(réduire les frais fixes)
+ Peut couvrir des sites distants
+ Peut améliorer la qualité et la
rapidité d’exécution de l’audit
+ Peut apporter des compétences
supplémentaires.
Inconvénients
– Peut coûter plus cher
– Entraîne une perte de
capacités et de contrôle des
processus en interne
– Peut affecter le moral du
personnel
– Implique un apprentissage,
une supervision et une
coordination continues.
– Expose à un risque de
problèmes de confidentialité
– Peut entrainer une perte
d’activités d’audit interne
 LE COSOURÇAGE ET L'EXTERNALISATION

 Les experts externes sont mandatés par

le Conseil, la Direction Générale ou le RAI.

 Le RAI joue un rôle important lorsqu’il

s’agit de collaborer avec un prestataire de
service extérieur

 La réputation de la fonction d’audit

interne peut s’en trouver affaiblie par
l’appel à des compétences externes.
RELATION AVEC LES PARTIES EXTERNES
Evaluation des prestataires de services externes par le RAI

Compétence Indépendance et objectivité

• Références pertinentes • Aucun lien financier,

(certifications professionnelles,…).
professionnel ou personnel
• Appartenance à une organisation
professionnelle et adhésion à un
qui empêchera de formuler
code de déontologie un jugement et une opinion
• Réputation professionnelle objectifs et impartiaux lors
(satisfaction des autres clients sur de la réalisation de la
la prestation) mission et de l’émission des
• Expérience pertinente rapports.
• Education et niveau de formation
pertinente
• Connaissance et expérience dans le
secteur d’activité de l’organisation.
LES RESPONSIBILITÉS DU RAI ENVERS LES
PRESTATAIRES EXTERNES DE SERVICES
Évalue les compétences des prestataires externes .
Examine les liens entre les prestataires externes et l’organisation.
Veille au respect des principes de l’indépendence et l’objectivité.
Vérifie la conformité des travaux aux : objectifs, procédures d’accés
aux dossiers….
Mentionne l’étendue de la mission et divers autres points dans une
lettre de mission ou dans un contrat.
Reference la conformité aux normes de l’IIA et les pratiques de
travail dans la lettre de mission.
LES RESPONSIBILITÉS DU RAI ENVERS LES PRESTATAIRES EXTERNES
DE SERVICES (Contrat ou Lettre de Mission) (Norme 2070)

Examine les objectifs et le périmètre d’action y compris les éléments

livrables et les échéances .
Examine les points précis à aborder dans les rapports d’audit.
Examine l’accès aux dossiers, au personnel et aux propriétés matérielles
concernés.
Examine les procédures à utiliser
Examine la propriété et la détention des papiers de travail de la mission.
Examine la confidentialité des informations obtenues
Examine la conformité aux normes de l’activité d’audit interne dans le
cadre des pratiques de travail.
 PROFESSIONNALISME ET
CONSCIENCE PROFESSIONNELLE
CONSCIENCE PROFESSIONNELLE

« La conscience professionnelle porte sur la diligence et

le savoir faire que l’on peut attendre d’un auditeur interne
raisonnablement prudent (appréciation prudente et avoir le
sens de l’anticipation)) et compétent »
Les auditeurs internes doivent apporter tout le soin nécessaire à leur
pratique professionnelle en prenant en considération les éléments
suivants pour les missions d’assurance:

Les objectifs de la mission sont l’affaire de l’audit et non de l’unité

auditée
Le volume de travail nécessaire pour atteindre les objectifs de la mission
;
 La nature des processus en cours d’évaluation(complexes ou non
complexes) ;
 l’adéquation et l’efficacité des processus de gouvernement d’entreprise,
de management des risques et de contrôle ;
La considération de la probabilité d’erreurs importantes, de fraudes ou de
problèmes de non conformités;
 le coût de la mise en place des contrôles par rapport aux avantages
escomptés.
Les auditeurs internes doivent apporter tout le soin
nécessaire à leur pratique professionnelle en prenant en
considération les éléments suivants pour les missions de
conseil:

• les besoins et attentes des clients, y compris

sur la nature, le calendrier et la communication
des résultats de la mission ;
• la complexité de celle-ci et l’étendue du travail
nécessaire pour atteindre les objectifs fixés ;
• son coût par rapport aux avantages
escomptés.
 LE PROFESSIONNALISME

«l'auditeur n'ayant pas besoin de

l'accord du client de l'audit pour étendre
les vérifications notamment en cas de
présence d'éléments(suspecte une
inexactitude) indiquant que l'audit
devrait être étendu ».
 La conscience professionnelle et le
professionnalisme
Qu’est ce que la conscience
professionnelle?
• Porte sur la diligence et le savoir faire
attendu d'un auditeur interne
raisonnablement prudent et compétent
• Aperçue lorsque des auditeurs internes
agissent de manière responsable (risque
d’audit) dans toutes les situations
professionnelles
• Exercée lorsque les audits internes sont
effectués en conformité avec les normes.
Notion de professionnalisme
• Les auditeurs internes doivent être indépendants
des activités qu'ils auditent.
• Les audits internes doivent être réalisés par des
individus qui possèdent les connaissances,
compétences et expertises nécessaires.
• Le travail d'audit doit être planifié et supervisé.
• Les rapports d'audit doivent être objectifs, clairs,
concis, constructifs et délivrés au moment
opportun.
• Les auditeurs internes doivent effectuer un suivi
des résultats d'audit communiqués dans les
rapports pour s’assurer que les mesures
appropriées ont été prises.
 Le Professionnalisme pour les missions d’assurance

Ex:Règles de professionnalisme Ex: Contre- professionnalisme

• Une connaissance fonctionnelle des normes de l’IIA
• Ne pas reconnaitre un indice de fraude(signal d’alerte): «
• Une compréhension du COSO le fait qu’un employé ne prend jamais des congés »
• La compréhension des objectifs et stratégies
organisationnels pour développer les compétences du
personnel d’audit interne. • Suivre un cycle d’audit de 3 ans (intervalles réguliers)
pour chaque département sans tenir compte des risques
• La connaissance des approches d’audit interne en matière ou de l’importance du département.
d’évaluation des contrôles internes, des risques et de la
gouvernance
• Utilisation d’outils informatiques • Prendre en compte les responsabilités confiées aux
auditeurs externes pendant l’exécution d’un audit interne
• Se tenir informé des recommandations non obligatoires du service de trésorerie ( l’auditeur interne n’est pas
des autres censé évaluer le travail de l’auditeur externe)..
• Demander à des pairs l’évaluation de l’activité d’audit
interne
 Le Professionnalisme pour les missions de conseil

Ex:Règles de professionnalisme Ex: Contre- professionnalisme

• Une connaissance fonctionnelle • Exécuter une mission en l’absence de

des normes de l’IIA connaissance ou d’expérience du sujet

• Une compréhension des objectifs • Exécuter une mission sans supervision.

organisationnels liés à la mission de
conseil

• L’émission de commentaires
objectifs sur le processus ou
l’activité proposé
 LE PROFESSIONNALISME
« Les diligences de l’audit interne »
 Une violation des Normes : l'auditeur ne prendrait aucune
mesure malgré la présence d'éléments indiquant que l'audit
devrait être étendu.

 l'auditeur n'ayant pas besoin de l'accord du client de l'audit pour

étendre les vérifications.

Renoncer à une mission en raison d'un manque de connaissances

spécialisées est acceptable dans le cas de missions de conseil
mais ne démontre pas un grand professionnalisme dans le cadre
de missions d'assurance.

•
Dans la norme 1220, que l’auditeur interne doit-il
prendre en compte lorsqu’il exerce les activités de
diligence professionnelle? (GLEIM)
• Les extentions des travaux nécessaires pour atteindre les
objectifs de la mission;
• Complexité relative, importance relative ou importance des
questions auxquelles des procédures d’assurance sont
appliquées;
• Compétence et efficacité des processus de gouvernance, de
gestion des risques et de contrôle;
• Probabilité d'erreurs significatives, de fraude ou de non-
conformité; et
• Coût de la mission d'assurance par rapport aux avantages
potentiels.
FORMATION PROFESSIONNELLE
CONTINUE
« CPE »
Que comprend la formation professionnelle
continue? (GLEIM)
• Maintenir la maîtrise à travers la formation continue.
• Rester informé des améliorations et des développements en cours
dans les normes, procédures et techniques d'audit interne.
 La formation professionnelle continue ?
Description Moyens de formation professionnelle Offres IIA
le moyen par lequel les • Les missions professionnelles. • Séminaires
membres d'une • Le mentorat (coaching) • Conférences
profession • Le réseautage. • Formation sur le
maintiennent, • La formation (grâce à des sources Web: Disponible à
améliorent, et internes et externes). la demande
élargissent leurs
• La participation à des projets de • Vision University:
connaissances, savoir- recherche.
faire, et expérience programme conçu
• L'intelligence collective (synergie du pour la formation
exigés dans leur vie
groupe) des RAI
professionnelle
• Les études (cours universitaires...)
• conférences • * Faire du
• L'appartenance et la participation à marketing sur la
des organismes professionnels fonction à travers
• Les certifications et leur des bulletins
renouvellement(CIA, CRMA…) d’information
 Importance des Certifications et leur
Renouvellement
Description
Mesure systématique de
certaines caractéristiques
pour qu'un individu soit
reconnu comme ayant les
connaissances et autres
exigences minimum
requises pour un poste ou
un emploi spécifique.
* Fidéliser le personnel de
l’audit par l’obtention des
certifications appropriées
Résultats obtenus Certifications IIA
• Sortir diplômé d'un • La certification d'auditeur
programme de formation interne certifié ® (CIA)
agréé ou approuvé.
• Certification en auto-
• Attester d’un niveau
évaluation des contrôles
global de compétence et
de professionnalisme. (CCSA)
• Professionnel de l'audit
• Permet d’accéder à des
postes mieux certifié du secteur public
rémunérés. (CGAP)
• Se tenir au courant des • Auditeur de services
dernières évolutions du financiers certifié (CFSA)
métier à travers le
• Certification en assurance de
CPE (Continuiting
professional
gestion des risques (CRMA)
education)/ an/ nbre
d’heures de formation
C/ ASSURANCE ET AMÉLIORATION
QUALITE

« QIAP » (7%)
Que signifie QAIP? (GLEIM)
•Quality Assurance and Improvement Program
•Programme d'assurance de la qualité et d'amélioration
Quels sont les deux types d’évaluations
internes d’un QAIP? (GLEIM)
1) Évaluations internes en cours de la performance de l'activité
d'audit interne.
2) Évaluations internes périodiques du programme au moyen d'une
autoévaluation ou d'une personne indépendante au sein de
l'organisation qui connaît le programme d’audit interne.
De quelles manières une évaluation externe
peut-elle être réalisée dans un QAIP? (GLEIM)
1) Une évaluation externe complète réalisée par un évaluateur
externe ou une équipe de révision.
2) Un évaluateur indépendant ou une équipe d'examen peut
effectuer une validation indépendante de l'auto-évaluation
interne et du rapport correspondant complété par l'activité d'audit
interne.
À qui les résultats du QAIP sont-ils
communiqués? (GLEIM)
•À la haute direction et au conseil d'administration.
À quelle fréquence les évaluations internes
doivent-elles être effectuées? (GLEIM)
•Des évaluations continues sont effectuées tout au long de l'année et
des évaluations périodiques sont effectuées au besoin.
À quelle fréquence les évaluations externes
doivent-elles être effectuées? (GLEIM)
•Au moins une fois tous les cinq ans.
 THE IIA’S CIA LEARNING SYSTEMTM

PLAN DO

ROUE
DE
DEMIN
G

ACT CHECK

www.LearnCia.com 57
Part 2 A – 57
V3.0
Pourquoi un Programme d’Assurance
Qualité?
Le RAI s’assure de la mise en œuvre de processus permettant
de donner aux diverses parties prenantes de l’audit interne
l’assurance raisonnable que ce service:

Exerce en accord avec la charte d’audit interne qui elle est

cohérente avec la Définition d’audit interne,le Code de
déontologie et les Normes.

 Opère de manière efficace et efficiente

 Contribue, aux yeux des parties prenantes, à créer de la

valeur ajoutée et à améliorer le fonctionnement de l’organisation
 Programme d'assurance
et d'amélioration qualité (QAIP) “A Quality Assurance and Improvement
Program”
Evaluation Interne de qualité
• Évaluations continues et régulières de la
performance de l’activité de l’Audit
Interne effectuées par des auto-
évaluations
• Menées par des membres de l’activité de
l’audit interne ou par le biais d’autres
personnes au sein de l’org.
• Supervisées par le RAI
• Intégrées dans les procédures et
pratiques courantes utilisées pour gérer
l’activité d’audit interne.
• Se fait généralement avant l’évaluation
externe
Evaluation Externe de qualité
• Évaluations de conformité de l’activité
de l’audit interne à la définition de
l’audit interne, au code de déontologie,
aux normes, aux meilleures pratiques
et aux objectifs d’efficacité et
d’efficiences de l‘activité A.I
• Menée par un évaluateur ou une
équipe d’évaluateurs qualifiés,
indépendents et externes à
l’organisation
• Effectuée au moins une fois tous les
cinq ans (obligatoire)
 Périmètre des évaluations internes
• Supervision constante et continue des • Evaluation de la contribution aux
tests courants des performances du processus de contrôle, de gouvernance et
travail d'assurance et de conseil
de gestion des risques
• Evaluations et analyses des indicateurs • Evaluation de l'efficacité des activités
de performance(Réalis. Plan d’audit,….),
d'amélioration continue et de l'adoption
• Validations périodiques de la conformité des meilleures pratiques
aux lois, règlements et normes
gouvernementlaes ou industrielles en • Evaluation si l'activité d'audit apporte de
vigueur la valeur, améliore les opérations et aide
l'organisation à atteindre ses objectifs
• Validations périodiques de conformité à
la définition, aux Normes et au Code de
déontologie • Evaluations intégrées dans les procédures et les
pratiques courantes
• Evaluation de la pertinence de la charte,
des objectifs, des politiques et des Responsabilité du RAI (mise en œuvre du
procédures. plan d’amélioration)
Mesures Internes de Performance (Aide du RAI)
Conseil/Comité d'audit (Risques préoccupant le Comité
d’Audit,…,satisfaction du comité d’audit

Cadre des Pratiques

Professionnelles
Direction & Internationales Processus d’Audit
Clients d’Audit Interne
Stratégies de
(% de (Nbre de jours entre la fin
l’Entreprise et d’Audit du travail sur terrain et
recommandations
Interne l’émission du rapport,…)
d’audit mises en
oeuvre,….)
Lois et Réglements

Innovation et Moyens
(Heures de formation par AI, % de
Personnel certifié…)
 Périmètre des évaluations externes
• La conformité à la Définition d'audit interne
au Code de déontologie; aux Normes; à la
charte, aux plans, politiques, procédures,
pratiques et exigences législatives et
réglementaires applicables de l'activité
d'audit interne
• Les attentes de l'activité d'audit interne
comme indiquées par le Conseil, la
direction générale et les directeurs des
opérations
• L'intégration de l'activité d'audit interne au
processus de gouvernance de l'organisation,
y compris les relations entre et parmi les
principaux groupes impliqués dans le
processus.
• LE RAI doit impliquer la DG , le Conseil
dans la sélection d’un examinateur et
obtenir leur accord.
• Les outils et techniques
employés par l'activité d'audit
interne
• L’ensemble de connaissance,
expérience et de disciplines
au sein du personnel y
compris une concentration
sur l'amélioration des
processus.
• L’évaluation de l’apport de
l'activité d'audit interne en
valeur ou en performance des
activités d'une organisation.
 Equipe d’évaluation peut être:
 Une équipe totalement
indépendante de l’organisation
 Une auto-éval.validée par un tiers
 Des pairs(membres d’au moins 3
organisations différentes)
Évaluations externes
Des évaluations externes doivent être réalisées au moins
tous les cinq ans par un évaluateur ou une équipe
d’évaluation qualifiés, indépendants et extérieurs à
l’organisation. Le responsable de l’audit interne doit
discuter avec le Conseil au sujet :
• de la forme et de la fréquence des évaluations externes ;
et
• des qualifications et de l’indépendance de l’évaluateur
ou de l’équipe d’évaluation externes ainsi que de tout
conflit d’intérêt potentiel.

* Il s’agit de l’évaluation de l’activité d’audit interne et non

pas des auditeurs internes à titre individuel (qui relève de
la gestion du personnel).
COMMUNICATION DES RESULTATS DU
PROGRAMME D’ASSURANCE ET
D’AMELIORATION QUALITE
 Le responsable de l'audit interne doit communiquer les résultats
du programme d'assurance et d'amélioration qualité à la direction
générale ainsi qu’au Conseil.

Cette communication devrait inclure :

• le périmètre et la fréquence des évaluations internes et externes ;

• les qualifications et l’indépendance du ou de(s) évaluateur(s) ou
de l’équipe d’évaluateurs y compris les conflits d’intérêts potentiels
• les conclusions des évaluateurs ;
• les plans d’actions correctives.
Communication des évaluations internes:

 Le RAI doit partager les résultats, les plans

d’actions nécessaires et leur mise en œuvre
réussie avec la direction générale, le Conseil et
les auditeurs externes .

 Les résultats de l’évalution interne sont

communiqués au moins une fois par an.
Communication des évaluations externes:

Les résultats préliminaires doivent être

examinés avec le RAI pendant et la conclusion
du processus d’évaluation.
 Les résultats doivent être communiqués dans
un rapport formel au RAI
Le RAI doit communiquer le rapport à la DG et
au CA.
 Le rapport formel doit contenir: a/ un avis sur la
conformité de l’activité d’audit interne(définition de l’AI,
Normes, Code déontologie),b/ l’usage des bonnes
pratiques, c/ émission de recommandations
d’amélioration.
 COMMUNICATION DES RESULTATS DES
EVALUATIONS ET MISE EN ŒUVRE DES
RECOMMANDATIONS

Le RAI doit documenter par écrit un plan

d’action et un calendrier de mise en œuvre
pour chaque recommandation du rapport
final écrit.

 Une fois par an pour l’évaluation interne

et 5 ans pour l’évaluation externe
• Norme 1300:
• Le responsable de l’AI doit élaborer et tenir à jour un programme
d’assurance et d’amélioration qualité portant sur tous les aspects de
l’audit interne.
• Norme 1310:
• Le programme d’assurance et d’amélioration qualité doit comporter
des évaluations tant internes qu’externes.
• Norme 1311:
• Les évaluations internes doivent comporter:
• - une surveillance continue de la performance de l’audit interne ,et
• - des évaluations périodiques effectuées par auto-évaluation ou par
d’autres personnes au sein de l’organisation possédant une
connaissance suffisante des pratiques d’audit interne.
• Norme 1320:
• Les résultats de la surveillance continue sont communiqués au
moins une fois par an.
CONFORMITE AUX NORMES
Quand peut-on utiliser l'expression «Conforme aux
Normes internationales pour la pratique
professionnelle de l'audit interne»? (GLEIM)
•Il ne peut être utilisé que s'il est corroboré par les résultats du QAIP.
 À qui la non-conformité aux normes doit-elle
être divulguée? (GLEIM)
•À la haute direction et au conseil.
 Conformité aux Normes
Les auditeurs internes peuvent indiquer dans leur
rapport que leurs missions sont «conduites
conformément aux Normes internationales pour la
pratique professionnelle de l’audit interne »
La Conformité seulement si les résultats du programme
signifie que les d’assurance et d’amélioration qualité le démontrent.
pratiques de Si la non conformité globale a une incidence sur le
l'activité d'audit champ d’application ou sur le fonctionnement de
l’audit interne, le RAI doit informer la DG et le CA.
interne, dans leur
ensemble, satisfont Les cas isolés de non-conformité n’affectent pas
l’indication de la mention ci-dessus.
aux exigences de la
Définition d'audit
interne, au Code de * Les Normes 1321 et 1322 traitent de la non-
conformité globale et systématique de l’activite de
déontologie, et aux l’AI et non pas des cas isolés pouvant survenir au
Normes cours d’une mission particulière.
 SECTION II :
Gouvernance, Contrôle interne et Risque
 SOMMAIRE
Section I: CRIPP/ IPPF (55%)

A/ Fondements de l’audit interne (15%)

B/ Indépendance et objectivité (15 %)
C/ Compétence et conscience professionnelle (18 %)
D/ Programme d'assurance et d'amélioration qualité (7%)
Section II: Gouvernance, management des risques et dispositif de
contrôle (35 %)
A / Gouvernance, Ethique et Responsabilité Sociétale de l’entreprise
B/ Le processus de Management des risques et le rôle de l’audit interne
C/ Le système de contrôle interne
Section III : Les risques de fraude (10 %)
A/ Définition des risques de fraude dans le cadre des missions d’audit
B/ Les signaux d’alerte
C / Rôle de l’audit interne dans la prévention et la détection des fraudes
 Objectifs de la section
1. Apprendre la terminologie relative au risque et au contrôle
2. Définir et décrire le contrôle et les différents types de contrôles
3. Comprendre les cadres, les éléments et les concepts de gestion
des risques « Risk management”
4. Décrire les référentiels de management des risques: COSOII ,
ISO 31000, Turnbull
5. Décrire les référentiels du contrôle interne COSO —
COCO,Cadbury
6. Définir et introduire le concept de la gouvernance
7. Décrire d'autres cadres connexes
 La nature du travail de l'audit interne

Risque Contrôle Gouvernance

Aide à gérer les risques Aide l'organisation à Aide à évaluer et à améliorer

en: maintenir des contrôles la gouvernance par :
adéquats en : • Promouvoir l'éthique et les
• Identifiant et en évaluant • Evaluant l'efficacité et valeurs appropriées.
les expositions l'efficience des • Assurer une gestion et une
importantes au risque. contrôles. responsabilité efficaces des
• contribuant à • Favorisant performances.
l'amélioration des l’amélioration • Communiquer efficacement
systèmes de contrôle et de continue de les informations relatives au
gestion des risques. l'environnement de risque et au contrôle.
• surveillant et en évaluant contrôle. • Communiquer efficacement
le système de gestion des les informations au Conseil,
risques aux auditeurs internes et
externes et à la direction, et
coordonner leurs activités.
 Risque et Contrôle
Risque
“La possibilité qu'un
événement ait un
impact sur
l'accomplissement des
objectifs, mesuré en
termes d'impact et de
probabilité.”
Source: Glossaire des normes.
Contrôle
“Toute mesure prise par
la direction, le conseil
d'administration et
d'autres parties afin de
maîtriser les risques et
d'accroître la probabilité
que les buts et objectifs
fixés seront atteints.”
Qu'est-ce que le management des risques?

“Un processus pour identifier, évaluer, gérer et

contrôler les événements ou les situations
potentielles, pour fournir une assurance raisonnable
quant à la réalisation des objectifs de l'organisation”
 Qu'est-ce que le contrôle interne?

Un système continu mis en œuvre par des personnes à tous les niveaux
Fournit une assurance raisonnable et non absolue (ne garantit pas)
Orientée vers la réalisation de la mission, des buts et objectifs de
l'organisation: Efficacité et efficience des opérations, Fiabilité du
reporting , Conformité avec les lois et règlements applicables.
 Qu'est-ce que la Gouvernance?
Concepts fondamentaux de Gouvernance:
Commence au sommet et cascades
“La combinaison des tout au long de l'organisation
processus et des
structures mis en Implique les relations critiques entre le conseil,
place par le conseil la haute direction et les actionnaires
afin d'informer, Englobe la structure organisationnelle et
diriger, de gérer et de l'environnement juridique et réglementaire
surveiller les
activités de
l'organisation vers la Equilibre les objectifs économiques et sociaux
réalisation de ses S’étend à toutes les parties
objectifs "
prenantes et la communauté
en général
 Définition de l’OCDE

• Cette définition de la gouvernance est conforme à la définition mondialement

acceptée de gouvernance d'entreprise déclarée par l'Organisation de coopération
économique et développement (OCDE):

• «La gouvernance d’entreprise implique un ensemble de relations entre la direction

• d’une entreprise, son conseil d’administration, ses actionnaires, et d'autres parties
• prenantes. La gouvernance d'entreprise fournit également la structure à travers
• laquelle les objectifs de l'entreprise sont atteints et les moyens d'atteinte ces
• objectifs et le suivi des performances sont déterminés. »
 Mécanismes de la gouvernance

La gouvernance d'entreprise peut être influencée par des

mécanismes internes ou externes.

1) Les mécanismes internes comprennent les chartes et les statuts

de l'entreprise, les conseils d'administration, et les fonctions
d'audit interne.

2) Les mécanismes externes comprennent les lois, les règlements

et les régulateurs gouvernementaux qui les applique.
 Principes de gouvernance

Le résumé suivant des principes de gouvernance est basé sur une publication de
l'IIA:
1) Un conseil d'administration indépendant et objectif avec une expertise, une expérience, l'autorité et les
ressources nécessaires pour mener des enquêtes indépendantes.

2) Une compréhension par la haute direction et le conseil d'administration de la structure opérationnelle, y

compris les structures qui entravent la transparence .

3) Une stratégie organisationnelle utilisée pour mesurer la performance de l'organisation et à titre individuel

4) Une structure organisationnelle qui soutient la réalisation des objectifs stratégiques

5) Une politique régissant le fonctionnement des activités clés

6) des Lignes de responsabilité et de redevabilité claires et appliquées

• 7) Interaction efficace entre le conseil d'administration, la direction et les prestataires d'assurance
• 8) Surveillance appropriée par la direction, y compris des contrôles rigoureux
• 9) Des politiques de rémunération - en particulier pour les cadres supérieurs - qui encouragent un
comportement approprié conforme aux valeurs, objectifs, stratégie et contrôle interne
• 10) Renforcement d'une culture éthique, y compris le feedback des employés sans crainte de représailles
• 11) Utilisation efficace des auditeurs internes et externes, garantissant leur indépendance, l'adéquation de
leurs ressources et de la portée de leurs activités, et l'efficacité des opérations
• 12) Définition et mise en œuvre claires des politiques et processus de gestion des risques
• 13) Divulgation transparente des informations clés aux parties prenantes
• 14) Comparaison des processus de gouvernance avec les codes nationaux ou les meilleures pratiques
• 15) Surveillance des transactions avec les parties liées et des conflits d'intérêts

180
 Les Composantes de la gouvernance
• La gouvernance a deux composantes principales: l'orientation
stratégique et la surveillance.

1) L'orientation stratégique détermine :

• a) Le modèle économique ( représentation systémique et synthétique de

l'origine de la valeur ajoutée d'une entreprise et de son partage entre les
différentes parties prenantes, sur une période et pour un domaine d'activité
clairement identifiés)
• b) objectifs généraux,
• c) l'approche de la prise de risques (y compris l'appétence pour le risque), et
• d) Les limites de la conduite organisationnelle (changements).

181
 Le business model
• Le business model - ou modèle économique - est le concept qui permet à
une entreprise de gagner de l'argent. Il peut se formaliser dans un
document de présentation de la logique globale de l’entreprise et
d’explication de la création de valeur, de comment elle le fait, pour qui, et
comment elle gagne de l’argent.
• Le Business Model décrit précisément comment votre entreprise va
gagner de l'argent. En pratique, cela revient à définir ce que vous allez
vendre, auprès de quels clients, dans quel but, de quelle manière et pour
quel bénéfice.
• Dans le business model il est indiqué le qui, quoi, comment se fera la
mise en œuvre, le temps nécessaire, les étapes et le planning
• Ex: l’industrialisation a consisté à augmenter la production par personne.
• Ex: Le modèle low-cost
 Le business plan
• Le business plan – ou plan d’affaire - est la déclinaison concrète,
opérationnelle et chiffrée du business model. Il prend la forme d’un
document formel de présentation de la stratégie de l’entreprise, de
la vision du dirigeant, de comment sera implémenté le business
model, de sa situation financière future (bilan prévisionnel) et de
l’activité (compte de résultat prévisionnel) de l’entreprise.
2) La surveillance
est l'élément de gouvernance avec lequel l'audit interne est le plus
concerné. C'est aussi la composante à laquelle les activités de la
gestion et de contrôle des risques sont les plus susceptibles d'être
appliquées.
Les éléments de la surveillance sont :
• a) Activités de gestion des risques exécutées par la haute direction
et par les propriétaires de risques et
• b) Activités d'assurance internes et externes.
 Pratiques de Gouvernance
• a. La gouvernance s'applique à toutes les activités
organisationnelles.
• b. Les pratiques de gouvernance reflètent la culture
unique de l’organisation et en dépendent largement
pour l'efficacité.
1) Selon le cadre de gestion des risques de l'entreprise
« COSO », la culture comprend les attitudes, les
comportements et la compréhension du risque, tous
positifs et négatifs, qui influencent les décisions de la
direction et du personnel et reflètent la mission, la
vision et les valeurs fondamentales de l'organisation.
185
2) En conséquence, la culture organisationnelle( ensemble des
croyances, des valeurs et des attitudes d'une entreprise) se reflète
dans:
• a) Fixer des valeurs, des objectifs et des stratégies;
• b) Définir les rôles et les comportements;
• c) mesurer les performances;
• d) Préciser la responsabilité; et
• e) Respect des responsabilités sociales de l'entreprise (RSE).
• La culture organisationnelle affecte l'environnement
de contrôle global et la mission individuelle des
risques et contrôles.

• Une culture organisationnelle doit considérer

l’importance du risque et du contrôle au sein de
l’organisation.

• La haute direction est principalement responsable

de l'établissement et du maintien d'une culture
organisationnelle.

187
• Les pratiques de gouvernance peuvent utiliser diverses formes juridiques,
structures, stratégies et procédures. Elles s'assurent que l'organisation:
• 1) se conforme aux règles légales et réglementaires de la société;
• 2) Satisfait aux normes commerciales, principes éthiques et sociaux
généralement acceptés et les attentes de la société;
• 3) Procure un avantage global à la société et renforce les intérêts des
parties prenantes à long et à court terme; et
• 4) rend compte pleinement et honnêtement à ses parties prenantes, y
compris le public, pour la responsabilité de ses décisions, actions et
performances.
 Quelle est la définition de la
gouvernance organisationnelle?
•Le glossaire des normes de l'IIA définit la gouvernance
organisationnelle comme étant:

•“Combinaison de processus et de structures

mis en place par le conseil pour informer,
diriger, gérer et surveiller la réalisation de
ses objectifs.”
Quelles sont les bases d’une bonne
gouvernance d’entreprise?
1) Le Conseil d'administration
2) Direction Générale
3) Auditeurs externes
4) Auditeurs internes
LA GOUVERNANCELa gouvernance n'existe pas indépendamment de la gestion
et du contrôle des risques. Plutôt, la gouvernance, la gestion des risques et le contrôle
(collectivement appelés GRC) sont inter- reliés.

GOUVERNANCE

• Contrôle Interne

• Audit Interne

• Management des Risques

Management des Risques

w w.theiia.org 98
w
 Quels sont les principaux domaines de
responsabilité du conseil?
1) Surveillance du chef de la direction (DG ) et des autres
cadres supérieurs.
2) Supervision de la stratégie et les processus de gestion de
l’entreprise de la société (y compris la planification de la
relève).
3) Surveillance des risques et des contrôles internes de la
société, y compris le ton éthique.
 Le conseil a les fonctions suivantes:

• a) Sélection et destitution des responsables

• b) Décisions sur la structure du capital (composition de la dette et des capitaux
propres, la contre partie reçue autre que les actions, etc.)
• c) Ajouter, modifier ou abroger des règlements administratifs (sauf si cette
autorisation est réservée aux actionnaires)
• d) Initiation de changements fondamentaux (fusions, acquisitions, etc.)
• e) Décisions de déclarer et de distribuer des dividendes
• f) Fixation de la rémunération de la direction (parfois effectuée par un sous-
comité appelé comité de rémunération)
• g) Coordination des activités d'audit (le plus souvent effectuées par un sous-
comité appelé le comité d'audit)
• h) Évaluation et gestion des risques (parfois effectuées par un sous-comité appelé
le comité des risques)
Qu'est-ce qu'un administrateur indépendant
et combien une entreprise devrait-elle avoir?
• La majorité des administrateurs devraient être
indépendants .
• Un administrateur indépendant n’a aucun lien
professionnel ou personnel actuel ou antérieur avec la
société ou sa direction, mis à part ses fonctions en tant
qu’administrateur.
• Les administrateurs indépendants doivent être capables et
disposés à être objectifs dans leurs jugements.
Quels sont les comités communs que le conseil
établit?
1) Comité d’audit
2) Comité de compensation (comité de rémunération)
3) Comité de gouvernance
- Chaque comité devrait avoir une charte, autorisée par le conseil,
décrivant la manière dont chacun sera organisé, ses tâches et
responsabilités et la manière dont il rend compte au conseil.
- Chaque comité ne devrait être composé que d’administrateurs
indépendants.
Qui sont les parties prenantes?
•Une partie prenante est une personne physique
ou une entité qui a un intérêt matériel dans les
réalisations d’une entreprise, matérialisé par
une forme d’investissement, et cette partie
espère ainsi obtenir un bénéfice en retour.
Qui sont les parties prenantes internes?
• Directeurs
• La haute direction
• Des employés
• Syndicats ou associations de personnel
• Actionnaires
Qui sont les parties prenantes externes?
• Les clients
• Fournisseurs
• Entrepreneurs et sous-traitants
• Réseaux de distribution
• Les communautés
• Le grand public et le gouvernement
Quels sont les quatre niveaux de relations avec les
parties prenantes et sur quoi est basé chaque
niveau?
•En fonction de l’intérêt et du pouvoir de la partie prenante, les
relations de l’entreprise seront les suivantes:
•Ignorer la partie prenante (faible pouvoir, faible intérêt)
•Tenir la partie prenante informée (pouvoir faible, intérêt élevé)
•Maintenir la satisfaction de la partie prenante (pouvoir fort, faible
intérêt)
•Traiter la partie prenante comme un acteur clé (puissance forte,
intérêt fort)
 Quel est le rôle de l'audit interne dans la
gouvernance d'entreprise?
•L’AI doit évaluer et formuler les recommandations appropriées pour améliorer les processus de
gouvernance de l’organisation dans les domaines suivants:
•Prendre des décisions stratégiques et opérationnelles.
•Superviser la gestion et le contrôle des risques.
•Promouvoir une éthique et des valeurs appropriées au sein de l'organisation.
•Assurer une gestion et une responsabilisation efficaces du rendement
organisationnel.
•Communiquer les informations de risque et de contrôle aux secteurs appropriés de
l'organisation.
•Coordonner les activités du conseil, les auditeurs externes et internes, les autres
prestataires de services de certification et la direction, et communiquer des
informations à ce sujet.
Quelles sont les étapes de l’audit des pratiques et
de la structure de gouvernance d’une entreprise?
1) Comprendre les principes généraux et les modèles de
gouvernance organisationnelle.
2) Passer en revue la documentation existante relative à la
gouvernance.
3) Développer un plan d'audit préliminaire.
4) Rencontrer les décideurs (c.-à-d. Le conseil).
5) Exécuter le plan approuvé.
6) Si nécessaire, consulter un avocat.
7) Terminer le processus, en incluant une présentation
officielle au conseil d'administration et demander aux
décideurs clés de signer une «déclaration de
reconnaissance».
En quoi la culture organisationnelle est-elle
différente de la gouvernance organisationnelle?
•La culture organisationnelle et ses pratiques ne sont
ni écrites ni codifiées. La culture organisationnelle
peut être ancrée dans les personnalités distinctes de
la direction d'une entreprise ou plus généralement
dans le contexte ethnique, religieux ou politique dans
lequel l'entreprise évolue.
Quels sont les six éléments d'environnement de
contrôle que la culture organisationnelle peut
avoir?
1) Intégrité et valeurs éthiques
2) Philosophie et style d’exploitation de la direction
3) Structure organisationnelle
4) Attribution de l'autorité et de la responsabilité
5) Politiques et pratiques en matière de ressources humaines
6) Compétence du personnel
Quel est le rôle de l’auditeur interne dans
l’évaluation de l’éthique organisationnelle?
•L’activité d’audit interne doit évaluer la
conception, la mise en œuvre et l’efficacité des
objectifs, programmes et activités de
l’organisation en matière d’éthique.(Norme
2110.A1)
Sur quoi se base un examen de l'éthique
organisationnelle?
1) Politiques, y compris la politique de signalement des violations à
l'éthique
2) Procédures
3) Efficacité
4) Disposition des problèmes éthiques, y compris si les pénalités sont
correctement échelonnées, s’il ya application cohérente et qu’il
existe une documentation appropriée.
5) Conformité
Quels sont les défenseurs de l'éthique et qui
doit agir en tant que défenseur de l'éthique?
• Les supporteurs de l'éthique sont des modèles visibles de
comportement approprié qui encouragent et soutiennent le
code de conduite à tout moment et à tous les niveaux
d'activité.
• La direction doit agir en tant que défenseur de l'éthique.
• Tous les membres de l'entreprise devraient être encouragés à
être des supporteurs de l'éthique.
• Les auditeurs internes sont également des défenseurs
éthiques essentiels
• - Le code de déontologie de l'IIA stipule que les auditeurs
internes doivent être un exemple du comportement éthique
que les employés doivent adopter.
Qu'est-ce qu'un code de conduite et à qui
s'applique-t-il?
• Un code de conduite ou une politique de conduite
professionnelle décrit les comportements spécifiques qui
sont requis ou interdits pour tous les employés.
• Le code de conduite doit être rédigé dans un langage clair
et concis, qui élimine les ambiguïtés et les interprétations
contradictoires.
• Le code de conduite est applicable à toutes les personnes
de l'organisation, indépendamment du poste, du
département ou de la durée de l'emploi.
Le code de conduite comprend des conseils
sur quels sujets?
• Les conflits d'intérêts
• Confidentialité de l'information
• Acceptation de cadeaux
• Conformité à toutes les lois, règles et réglementations applicables
• Sanctions
- Le code doit préciser clairement les conséquences de toute
violation.
 Culture d’Ethique
• La culture éthique est une composante importante de la culture organisationnelle et
est cruciale pour l'efficacité des pratiques de gouvernance. Parce que la prise de
décision est complexe et dispersée dans la plupart des organisations, chaque
personne doit être un défenseur, officiellement ou officieusement:

1) Des codes de conduite et des énoncés de vision sont publiés pour indiquer :

• a) les valeurs et objectifs de l’organisation;

• b) Le comportement attendu; et
• c) Les stratégies pour maintenir une culture conforme aux principes juridiques,
éthiques et responsabilités sociétales.

209
• 2) Le conseil d'administration supervise le climat éthique de
l'organisation.
• 3) La haute direction a la responsabilité ultime de promouvoir et de
définir l’exemple de comportement éthique (c.-à-d. donner le ton en
haut).
• a) La haute direction est également chargée d'établir et de
maintenir de solides objectifs et programmes liés à l'éthique.
• 4) Les organisations peuvent désigner un responsable de l'éthique.
• 5) Les auditeurs internes peuvent jouer un rôle actif en
soutenant les principes de culture d’éthique. Les rôles
peuvent comprendre le responsable de l'éthique, un membre
d'un conseil d'éthique ou évaluateur du climat d’éthique:

• a) Dans certaines circonstances, le rôle du directeur de

l'éthique peut entrer en conflit avec le principe
d'indépendance de l'activité d'audit interne.
• i) L'indépendance organisationnelle de l'activité d'audit
interne est nécessaire car il fournit des services d'assurance
interne.
• ii) Une assurance externe peut être fournie par des auditeurs
externes, consultants, groupes industriels ou régulateurs.

211
• b) Le rôle et les conseils fournis par l’activité d’audit interne dépend
de la maturité du système de gouvernance.
• i) Dans un système moins mature, l'activité d'audit interne met
l'accent sur le respect (conformité) des politiques, procédures, lois,
etc. Il traite également les risques de base pour l'organisation.
• ii) Dans un système de gouvernance plus mature, l'activité d'audit
interne l'accent est mis sur l'optimisation(efficacité) de la structure
et des pratiques.
• c) La responsabilité de l'activité d'audit interne dans une mission
d’audit pour les questions liées à l'éthique est décrite dans la
norme suivante:
• Norme de mise en œuvre 2110.A1 : L'activité d'audit interne doit
évaluer la conception, la mise en œuvre et l'efficacité des objectifs,
programmes et activités de l’organisation en matière d’éthique.

• 6) L'activité d'audit interne évalue périodiquement les éléments de

climat de l'éthique de l'organisation et son efficacité dans la
réalisation des objectifs de conformité juridique et éthique. Les
auditeurs internes évaluent donc l'efficacité de ce qui suit:

213
• a) Un code de conduite officiel et des déclarations et politiques connexes (y compris procédures couvrant
la fraude et la corruption)
• b) Démonstrations fréquentes d'attitudes et de comportements éthiques par des dirigeants
• c) Stratégies explicites pour soutenir la culture d’éthique
• d) Signalement confidentiel d'une inconduite présumée
• e) Déclarations régulières des employés, fournisseurs et clients sur le exigences de comportement éthique
• f) Délégation claire des responsabilités en matière de conseil, d'enquête et de rapports
• g) Accès facile aux opportunités d'apprentissage
• h) Pratiques du personnel qui encouragent les contributions des employés
• i) Sondages réguliers auprès des employés, des fournisseurs et des clients pour déterminer l’ état du climat
éthique
• j) Examens réguliers des processus qui sapent la culture éthique
• k) Vérification régulière des références et des antécédents
Quel est le rôle de l‘AI avec le code de conduite?
•Le code de conduite doit être évalué périodiquement
par l’AI pour s’assurer qu’il est pertinent et qu’il
reflète les besoins de l’entreprise.
• En outre, la conformité au code de conduite devrait
également être testée périodiquement et pourrait
même être incluse dans toutes les missions d’audit.
 Qu'est-ce que la responsabilité sociale des
entreprises(RSE)citoyennes, environnementales,
humaines, démocratiques?

•Le Guide de pratique de l’IIA intitulé « Evaluation de la responsabilité

sociale ou sociétale des entreprises / Développement durable définit la
RSE:
•«La manière dont les entreprises intègrent les préoccupations sociales,
environnementales et économiques dans leurs valeurs, leur culture, leur processus
décisionnel, leur stratégie et leurs opérations de manière transparente et responsable
et établit ainsi de meilleures pratiques au sein de l'entreprise, crée de la richesse et
améliore la société.»
• La responsabilité sociétale : la prise en compte des autres parties
prenantes
• La préservation de l'environnement
• L’homme, à travers ses modes de consommation, est, en partie,
responsable des problèmes environnementaux. Les principaux problèmes
sont :
- l’épuisement des ressources naturelles,
- la pollution de l’air et de l’eau,
- le réchauffement climatique.
Les organisations font partie de la société. Elles doivent assumer la
responsabilité des impacts de leurs décisions sur la société et
l’environnement.
• La responsabilité sociale : la prise en compte des intérêts des salariés et
des syndicats
• Les intérêts des salariés et de leurs représentants (dont les syndicats)
divergent parfois des intérêts des dirigeants. Le salarié souhaite la survie
et la bonne santé de l’entreprise pour lui permettre d’être rémunéré du
travail réalisé et aussi garder son emploi. Le salarié va chercher
à améliorer sa rémunération et ses conditions de travail.

• La responsabilité sociale (ou sociétale) des entreprises (RSE) est un

concept dans lequel les organisations intègrent les préoccupations sociales
et environnementales dans leurs décisions.
Quels sont les niveaux de responsabilité de la
RSE dans une entreprise?
• Le conseil a la responsabilité générale de la RSE.
• La direction est responsable de la mise en œuvre de la RSE et de la
clarté des objectifs, de la mesure du rendement et de la production
de rapports.
• Les employés doivent intégrer la RSE dans leurs activités
quotidiennes.
• Les auditeurs internes doivent comprendre les risques et les
contrôles liés à la RSE et peuvent être responsables de l'audit de la
RSE.
 Responsabilité pour RSE
• a.Le conseil d'administration est responsable de la supervision de la
RSE et de l'efficacité de la gouvernance, la gestion des risques et les
processus de contrôle interne liés à la RSE.

• b. La direction est responsable de l'établissement des objectifs de RSE,

de l'évaluation et de la gestion les risques, la mesure du rendement et les
activités de surveillance et de communication de l'information

• c. L'auditeur interne est chargé d'évaluer si les contrôles de la RSE

sont adéquates pour atteindre les objectifs de RSE.

• d. Tous les employés sont responsables du succès des

initiatives de RSE.

220
 Risques de non RSE
• Les risques de ne pas mettre en œuvre un programme RSE efficace sont les
suivants: entre autres:

• 1) Perte de réputation: La marque ou la réputation de l'organisation pourrait être

endommagée.
• 2) Non-conformité: L'organisation peut ne pas respecter les réglementations ou
obligations contractuelles.
• 3) Poursuites: L'organisation peut être tenue responsable des préjudices
présumés.
• 4) Défaillances opérationnelles: Points de pression opérationnelle (par exemple,
effets environnementaux de processus ou produits) peuvent indiquer des
risques. Les risques résultent également, par exemple, ne pas atteindre les
objectifs de RSE en raison de stratégies de RSE inappropriées ou d'une insistance
sur les stratégies RSE.
• 5) Bourse.:L'organisation peut perdre des investisseurs.
• 6) Marché de l'emploi. Les employés peuvent quitter l'organisation ou attirer de
nouveaux employés pourrait être difficile.
• 7) Baisse des ventes. Les clients peuvent boycotter des services ou des produits.
221
Quelles sont les sept matières principales dans
l'ISO 26000 (Questions Centrales)?
1) Gouvernance organisationnelle
2) Droits de l'homme
3) Pratiques de travail
4) L'environnement
5) Pratiques d'exploitation équitables
6) Questions de consommation
7) Engagement communautaire et développement
Quels sont les cinq principaux aspects de la
RSE dans ISO 26000?
1) Une entreprise doit fonctionner de manière
éthique et intègre.
2) Une entreprise doit traiter ses employés avec
équité et respect.
3) Une entreprise doit faire preuve de respect pour
les droits de l'homme.
4) Une entreprise doit être un citoyen responsable
dans sa communauté.
5) Une entreprise doit faire tout ce qui est en son
pouvoir pour préserver l’environnement des
générations futures.
 Les sept principes de responsabilité sociétale Chapitre 4
1. Rendre compte 2. Transparence 3. Comportement éthique
4. Parties prenantes 5. Respect de la loi
6. Respect des normes internationales 7. Respect des droits de l’homme

chapitre 5
. Identification et dialogue
Identifier/déterminer la RS
avec les parties prenantes

7 questions
centrales Gouvernance de l’organisation Chapitre 6
Relations, Bonnes Questions
Droits de L’environnement Engagement
conditions de pratiques des relatives aux
l’homme sociétal
travail affaires consommateurs

Actions et attentes associées

Mise en oeuvre Chapitre 7

Relations entre les caractèristiques Comprendre la RS
de l’organisation et la RS de l’organisation

Choix des initiatives sur .5 Communication

Intégrer la RS dans Communication
la RS on SR
toute l’organisation sur la RS

Revoir et améliorer les Améliorer la crédibilité

pratiques de RS sur la RS
Quels sont les quatre niveaux de la pyramide
de la responsabilité sociale?
1) Responsabilités philanthropiques(transfert de dons, bienfaisance)
(est une doctrine qui s'intéresse principalement au bien de
l'humanité)
2) Responsabilités éthiques
3) Responsabilités légales
4) Responsabilités économiques
 Quelles sont les sept étapes du processus de
RSE?
1) Établir des priorités et des politiques pour des domaines tels que l'éthique, le travail, l'environnement,
la charité et tout autre domaine pertinent de la RSE.
2) Fixer des objectifs et des stratégies spécifiques pour atteindre les politiques définies par la direction.
3) Communiquer et intégrer la RSE dans les contrôles et la prise de décision.
4) Suivre les activités liées à la RSE afin que les résultats des politiques et des objectifs de RSE puissent être
mesurés, analysés et comparés.
5) Engager les parties prenantes à résoudre les plaintes et recevoir des commentaires sur les problèmes de
RSE qui les concernent.
6) Assurer l'audit et le contrôle de la RSE, y compris les contrôles liés à la RSE et à toute divulgation
publique.
7) Rapporter les résultats d’audit et de contrôle.
 Stratégies RSE
• Voici quatre stratégies alternatives:

1) Réaction: L'organisation nie toute responsabilité et essaie de maintenir

le statut- quo.

• 2) Défense: L'organisation utilise une action en justice ou des efforts de

relations publiques pour éviter responsabilités supplémentaires.

• 3) Hébergement: L'organisation n'assume des responsabilités

supplémentaires que lorsque sous pression.

• 4) Pro-action: L'organisation prend l'initiative de mettre en place

un programme RSE qui sert d'exemple pour le secteur.

228
Quelles sont les différentes approches qui
peuvent être adoptées pour auditer la RSE?
• Par élément.
• Par partie prenante ou groupe de parties prenantes.
• Par sujet. Par exemple, par lieu de travail, marché, environnement
et communauté.
• Par département / fonction. Auditer la RSE séparément pour chaque
département de l'organisation.
• Par tiers. Audit de tiers pour le respect des termes et conditions de
la RSE.
Quels sont les éléments de la RSE qui sont
communément audités?
• Gouvernance
• Éthique
• Environnement
• Transparence
• Santé, sécurité et sûreté
• Droits de l'homme et conditions de travail
Quels sont les groupes de parties prenantes
dans l'audit de la RSE?
• Employés et leurs familles
• Organisations environnementales
• Les clients
• Fournisseurs
• Les communautés
• Actionnaires
• Groupe de parties prenantes:
Audits séparés des programmes RSE liés à chacun des groupes importants
de parties prenantes sont mis en place et tiennent compte du respect des
lois, règlements et contrats.

Voici des groupes de parties prenantes typiques exemples de questions

d'audit:
• a) Clients (L'organisation a-t-elle la sécurité des produits et le rappel processus?)
• b) Employés et leurs familles (L'organisation interdit-elle la discrimination et le
harcèlement?)
• c) Environnement (sont des évaluations d'impact social et environnemental
effectuées?)
• d) Communautés voisines (l’organisation donne-t-elle à l’économie locale des
programmes de soutien?)
• e) Actionnaires (L'organisation respecte-t-elle les droits des actionnaires?)
• f) Fournisseurs (les tarifs et les conditions de paiement sont-ils équitables?)

232
 Activités Commerciales RSE
• Les activités commerciales de RSE comprennent généralement les
éléments suivants:

• 1) Établir et communiquer des politiques et procédures

• 2) Fixer des objectifs de performance et des stratégies
• 3) Communiquer et intégrer les principes et contrôles RSE dans les
processus décisionnels de l’entreprise
• 4) Suivi, évaluation des résultats et analyse comparative
• 5) Mobiliser les parties prenantes (par exemple, par le biais d'enquêtes de
satisfaction, de groupes de discussion et processus de gestion des
plaintes)
• 6) Audit (par exemple, divulgations publiques, contrôles internes et
conformité contractuelle avec les termes et conditions RSE)
• 7) Communication externe et interne des résultats

233
RSE Reporting
Chaque organisation doit prendre une décision
commerciale concernant:
• (1) le coût ou l’avantage de produire un rapport RSE et
(2) quelles informations inclure dans le rapport.
• De nombreuses organisations utilisent des processus
de vérification et d'assurance pour tout ou partie du
rapport pour accroître la responsabilisation et réduire
la probabilité que le rapport apparaisse être un outil de
marketing.
Les méthodes de rapport sont les suivantes:
• 1) Prouver un rapport RSE autonome

234
• 2) Intégrer le rapport RSE au rapport financier annuel
• 3) Fournir des brochures d'information sur la RSE sur des sujets
spéciaux
Les formats de distribution sont les suivants:
• 1) Pages Web
• 2) Catalogues
• 3) Communiqués de presse
• 4) Dépôts réglementaires
 Modèle de maturité et approches d’audit RSE

• Modèle de maturité RSE:

• 1) Le RAI compare le niveau de maturité RSE de

l'organisation [en utilisant un niveau à 5 échelles de
maturité (le niveau 1 est «initial» et le niveau 5 «optimisé»)]
au moment de l’audit interne avec le niveau que
l'organisation souhaite atteindre.

• Deux approches communes de l'audit de la RSE sont l'audit

par élément( Gouvernance, Ethique,Environnement,…) et
par groupe de partie prenante( clients, actionnaires,…).

236
IDENTIFICATION DU NIVEAU DE
MATURITÉ
On peut évaluer le niveau de maturité en se basant sur les niveaux de
maturité suivants:

237
• 1) Élément: Des audits séparés de chaque élément sont effectués. Les éléments
suivants sont des Éléments RSE typiques avec des exemples de questions
d'audit:
• a) Gouvernance (les membres du conseil d'administration disposent-ils
d'informations suffisantes et pertinentes pour remplir leurs rôles et
responsabilités?)
• b) Investissement communautaire (quelles pratiques philanthropiques sont
en place et comment les décisions sont-elles prises?)
• c) Environnement (sont des évaluations d'impact social et environnemental
effectué?)
• d) Ethique (une culture anti-corruption est-elle incluse dans le risque de
l'organisation évaluation, code de conduite et politiques?)
• e) Santé, sûreté et sécurité (les incidents sont-ils
signalés, communiqués, gérés et résolus de
manière appropriée?)

• f) Transparence (L'organisation suit-elle une

comptabilité appropriée? normes?)

• g) Conditions de travail et droits de l'homme (la

rémunération est-elle basée sur un salaire
équitable, salaire vital et opportunités
d'emploi?)

239
 Les audits des systèmes de gestion environnementale
déterminent si les systèmes sont en place et fonctionnent
correctement pour gérer les risques environnementaux
futurs.

- Les problèmes environnementaux peuvent découler de

pratiques qui étaient légales au moment de leur mise en
œuvre.

- Les audits transactionnels évaluent les risques

environnementaux et les responsabilités des terrains ou
des installations avant la vente ou l'achat d'une propriété.
Les propriétaires fonciers actuels peuvent être
responsables de la contamination, qu’ils l’aient provoquée
ou non.

240
 Le Progrès par le Partage…
Les audits transactionnels nécessitent une diligence
raisonnable (un niveau raisonnable de recherche) de
l'auditeur. Ce qui constitue une diligence raisonnable pour
chaque phase d'un audit transactionnel et les définitions des
phases sont des questions à débattre. Ces phases sont
souvent caractérisées comme suit:

i) Phase I - évaluations qualitatives du site comprenant un

examen des dossiers et une reconnaissance du site
ii) Phase II - échantillonnage pour une contamination
potentielle
iii) Phase III - confirmer le taux et l'étendue de la migration
des contaminants et le coût de l'assainissement
b) Un audit transactionnel porte sur toutes les expositions
aux médias et toutes les substances dangereuses, par
exemple le radon, l'amiante, les PCB, les matériaux
d'exploitation et les déchets.
241
 Le Progrès par le Partage…
Audits des installations de traitement, de stockage et d'élimination (TSDF). La loi peut
exiger que les matières dangereuses soient suivies depuis leur acquisition ou leur
création jusqu'à leur élimination au moyen d'un document (un manifeste). Tous les
propriétaires de la chaîne de titres peuvent être tenus responsables.
a) Par exemple, si une organisation passe un contrat avec un transporteur pour
éliminer les déchets dangereux dans une décharge autorisée et que le propriétaire de
la décharge contamine l'environnement, toutes les organisations et leurs agents
peuvent être financièrement responsables du nettoyage.
b) Les audits TSDF sont effectués sur des installations que l’organisation possède, loue
ou gère, ou sur des installations appartenant à des tiers où les déchets de
l’organisation sont traités, stockés ou éliminés. Ainsi, lorsqu'un fournisseur externe est
utilisé à ces fins, l'audit doit comprendre des procédures telles que
i) Examiner la documentation du fournisseur sur les matières dangereuses,
ii) Examiner la solvabilité financière des vendeurs,
iii) examiner la planification des interventions d’urgence du fournisseur,
iv) Déterminer que le vendeur est approuvé par l'organisation gouvernementale
responsable de la protection de l'environnement,
v) obtenir le numéro de permis du vendeur, et
vi) Inspection des installations du vendeur

242
 Le Progrès par le Partage…

Un audit de prévention de la pollution détermine comment

minimiser les déchets et éliminer la pollution à la source.
Voici une hiérarchie de prévention de la pollution du plus
souhaitable (récupération) au moins (rejet sans
traitement):

a) Récupération en tant que produit utilisable

b) Élimination à la source
c) Recyclage et réutilisation
d) Économies d'énergie
e) Traitement
f) Élimination
g) Libération sans traitement

243
 Le Progrès par le Partage…

Audits de régularisation de la responsabilité

environnementale. La reconnaissance, la quantification
et la déclaration des charges à payer peuvent nécessiter
une redéfinition de ce qui est probable, mesurable et
estimable. Lorsqu'un problème environnemental
devient un passif, il n'est pas clair non plus.
a) Les auditeurs internes peuvent être chargés
d'évaluer le caractère raisonnable des estimations de
coûts pour l'assainissement de l'environnement. La
diligence raisonnable peut nécessiter l'aide d'experts
indépendants, tels que des ingénieurs.

244
 Le Progrès par le Partage…

Les audits de produits déterminent si les produits sont

respectueux de l'environnement et si les restrictions sur
les produits et les produits chimiques sont respectées. Ce
processus peut entraîner le développement de
a) Produits entièrement recyclables,
b) les changements dans l'utilisation et la récupération
des matériaux d'emballage, et
c) L'élimination progressive de certains produits
chimiques.

245
 RAPPORT KING SUR LA GOUVERNANCE D’ENTREPRISE
Principes de bonne
gouvernance
Discipline: se comporter d’une manière
disciplinée
Transparence: faciliter l’analyse des
activités de l’org. par des tiers
Indépendance: les organis. Sont
autonomies et peuvent gérer ou éviter
les conflits.
Le rapport KING souligne la mise en
place d’un plan d’audit basé sur une
évaluation des risques.
Audit axé sur les risques
Principes
+ Responsabilité:Reconnaitre
les conséquences des actions entre
Responsabilisation:Concevoir
des Mesures correctives et tenir compte
des besoins des parties prenantes dans la
prise des décisions
Equité:équilibre entre les intérêts
contradictoires
Responsabilité sociale: intégrer
les programmes RSE
Le rapport KING porte sur le rôle et la
fonction de l’audit interne ainsi que sur
les exigences spécifiques de reporting,
comme l’approbation des nominations et
révocations du RAI par les comités
d’audit.
M. King est le Président du King
Committee on Corporate Governance (Comité King
sur la gouvernance d'entreprise) en Afrique du Sud
 Référentiel KING

• En novembre 2016, le rapport 2016 sur la gouvernance d'entreprise en

Afrique du Sud intitulé « King IV Report on Corporate Governance for
South Africa 2016 » (le « rapport King IV ») a été publié. Ce rapport
complète le projet sur la présentation de l'information intégrée entamé
avec la publication du rapport King III en septembre 2009.

• Le rapport King III appelait les organisations à préparer chaque année un

rapport intégré reflétant le fait que la stratégie, le risque, la performance
et le développement durable sont inséparables. C'est ainsi qu'a été mis
sur pied le comité sur la présentation de l'information intégrée de
l'Afrique du Sud, chargé d'établir un cadre pour la présentation de
rapports intégrés. Ce cadre a contribué à l'élaboration du cadre
international publié par l'International Integrated Reporting Council en
2013. La publication du rapport King IV met fin au projet en mentionnant
le cadre international, découlant de la même pensée et de la même
terminologie.

248
 RAPPORT KING (King I, II , III et IV)
Le rapport met l’accent sur un leadership efficace basé sur un
fondement éthique et le concept de durabilité.
Les outils clés de la Durabilité de l’entité sont:
-L’innovation
-L’équité
-La collaboration
 UNITE IV:

Management de Risque

251
Management de Risque
• Processus du Risque Management
• Référentiel COSO II: Risque Management d’Entreprise (ERM)
• ISO 31000: Référentiel Risque Management

• Ce chapitre d'étude est la deuxième des quatre couvrant le domaine V: gouvernance,

Management des risques et Contrôle depuis le programme d’examen de la CIA de l’IIA.
• Ce domaine représente 35% de la partie 1 de l'examen CIA et est testé aux niveaux
cognitifs de base et expert.
• La partie pertinente du programme est mise en évidence ci dessous . (Le programme
complet se trouve à l'annexe B.)

252
4.1- Processus de Management de Risque
• Le risque est «la possibilité qu'un événement se produise qui ait un impact sur
la réalisation de objectifs. Le risque est mesuré en termes d'impact et de
probabilité »(Glossaire IIA).
• La Management des risques est «un processus pour identifier, évaluer, gérer et
contrôler des événements ou situations potentiels pour fournir une assurance
raisonnable quant à la réalisation des objectifs de l’organisation »(Glossaire IIA)
• Il s'agit de l'un des trois processus spécifiquement abordés dans la définition de
l’Audit.

• Norme de Fonctionnement 2120 Management des risques : L'activité d'audit

interne doit évaluer l'efficacité et contribuer à l'amélioration des processus de
Management des risques.
253
 RISQUE

• Le risque prend ses origines dans la formulation de stratégies et l'établissement des objectifs. Deux
organisations n'étant jamais identiques, chaque entreprise possède une stratégie et des objectifs uniques
et affronte un type de risque différent.

• Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En l'absence de
résultat unique, la gamme de possibilités crée l'incertitude quant à la compréhension et à l'évaluation du
risque.

• Le risque peut concerner le fait d'empêcher l'apparition d'éléments négatifs ou d'échouer à faire
apparaître des éléments positifs. Les risques peuvent présenter des menaces pour une organisation ou
être constitués par l'absence de résultats positifs.

• Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité commerciale sont
considérés comme des risques commerciaux. Les risques commerciaux sont les incertitudes associées à la
réalisation des objectifs commerciaux.
• Processus de Management des Risques
• Le processus de Management des risques comprend:
(1) l'identification du contexte, (2) l'identification des risques, (3)
évaluation et priorisation des risques , (4) réponse aux risques, et (5)
surveillance des risques.
La direction doit se concentrer sur les risques à tous les niveaux de
l'entité et prendre les mesures nécessaires pour les gérer.
• Tous les risques pouvant affecter la réalisation des objectifs doivent
être pris en compte.

255
Etape 1: Identification du contexte:
• Une condition préalable à l'identification des risques est d'identifier les contextes importants
où les risques doivent être gérés.
• Les contextes comprennent les éléments suivants (sources):
• a) Lois et règlements
• b) Projets d'immobilisations
• c) Processus opérationnels
• d) Technologie
• e) Marché (p. ex. taux d'intérêt, taux de change, placements en actions)
• f) Organisations
256
Etape 2: Identification des Risques:

• L'identification des risques doit être effectuée à tous les niveaux de l'entité (au niveau
de l'entité: division, unité commerciale) correspondant au (x) contexte (s) identifié (s).
• a) Les exemples de facteurs de risque externes au niveau de l'entité comprennent
les changements technologiques et les changements dans les désirs et les attentes
des clients.
• b) Les exemples de facteurs de risque internes au niveau de l'entité: (1)
interruptions dans les systèmes automatisés, (2) la qualité du personnel
embauché, et (3) le niveau de formation dispensée.
• Certaines occurrences (événements) peuvent être sans conséquence au niveau de
l'entité mais désastreuses pour une unité individuelle.

257
• L'identification des risques doit tenir compte des événements passés
(tendances) et des possibilités futures.
Les méthodes utilisées sont les suivantes:
• a) Inventaires des événements.
Certains événements sont communs à certaines industries. Un logiciel est
disponible qui fournit des listes qui peuvent être utilisées comme point pour
l'identification de l'événement.
• b) Questionnaires et enquêtes.
Les réponses peuvent être évaluées pour identifier les événements potentiels.
• c) Indicateurs d'événements principaux et déclencheurs d'escalade.
les indicateurs des événements phares sont des mesures qui donnent un aperçu
des événements potentiels. Un déclencheur d'escalade est une condition qu'un
indicateur d'événement avancé doit satisfaire avant que l'événement potentiel ne
soit transmis à la direction.
(Signaux d’alerte)

258
Par exemple:
• i) Événement potentiel: panne de l'équipement de
fabrication, entraînant baisse de la production
• ii) Indicateur d'événement avancé: demandes de
maintenance
• iii) Déclencheur d'escalade: demandes de maintenance
en dehors de la maintenance programmée régulièrement
sur une période de 3 mois.
• d) Ateliers et entretiens facilitateurs.
Un animateur anime une discussion de groupe composé de la direction, du personnel ou d'autres
parties prenantes par le biais d'un processus structuré de conversation et d'exploration sur les
événements potentiels.
• e) Analyse des flux de processus.
• Un processus métier unique, tel qu'une autorisation et paiement d’un fournisseur, est étudié
isolément pour identifier les événements qui affectent ses intrants, ses tâches, ses
responsabilités et ses extrants.
• f) Méthodologies de perte des données d'événements .
• Les pertes liées aux effets néfastes des événements du passé peuvent être utilisés pour faire
des prédictions.
Un exemple est de faire correspondre les demandes d’indemnisation des travailleurs avec la
fréquence des accidents.

261
• D'autres méthodes pour identifier les risques sont:

(a) le brainstorming,
(b) SWOT (forces, les faiblesses, les opportunités et les menaces),
et (c) l'analyse des scénarios (analyse par simulation).
« Stress Testing »
 Outil ou Description
technique

Brainstorming Le terme «Brainstorming » est souvent utilisé pour signifier tout type de discussion en groupe.

Le «Brainstorming » est une technique dont l’objet est de stimuler l’imagination des personnes à
l’aide des idées et déclarations des autres membres du groupe.

Cette technique peut être utilisé seul ou avec d’autres méthodes d’évaluation des risques citées
ci-dessous et elle est relativement rapide et facile à mettre en place.

Elle est particulièrement utile lors de l'identification des risques liés à de nouvelles technologies, en
l'absence de données ou lorsqu'il est nécessaire de trouver des solutions originales à des problèmes.

Elle permet d'identifier de nouveaux risques et des solutions originales, implique des acteurs clés et
facilite la communication globale.

Le «brainstorming» peut être formel ou informel:

 Le «brainstorming» formel est plus structuré avec des participants préparés à l'avance, l'objectif et
le résultat de la session étant définis, et des moyens étant prévus pour évaluer les idées avancées.
 Le «brainstorming» informel est moins structuré et souvent plus approprié.

Cette technique aboutit à une liste de risques et de contrôles actuels.

• Voici quelques modèles fréquemment utilisés :

• Analyse SWOT:
• (Strengths(forces),Weaknesses(faiblesses),Opportunities
(opportunités,Threats (menaces) :
• Ce modèle consiste à effectuer un diagnostic de l'organisme
en analysant ses forces, ses faiblesses, ses opportunités et
ses menaces afin de formuler des options stratégiques et
déterminer où l'organisme devrait investir ses ressources
(Profiter d’opportunités, Réduire des faiblesses, Faire face aux
menaces).

264
 Stratégie
Consiste à exploiter les forces
Forces internes du business pour
Opportunités
poursuivre les opportunités
de l’environnement.
Stratégie offensive d’expansion

Stratégie
Consiste à améliorer les
Faiblesses faiblesses internes du
Opportunités business afin de pouvoir
exploiter les opportunités
de l’environnement.
 Stratégie défensive
 Stratégie
Consiste à utiliser les forces
Forces internes pour se protéger des
Menaces menaces de l’environnement.
Stratégie d’ajustement

Stratégie
Consiste à minimiser les
Faiblesses faiblesses de la firme pour
Menaces
la rendre moins vulnérable
aux menaces extérieurs.

Stratégie de repositionnement
ou de diversification.
• * Analyse STEP (Social, Technologique, Économique,
Politique) devenue PESTEL :
• L’analyse STEP permet à l'organisme d’analyser les
forces du marché et les opportunités catégorisées en
quatre pôles : social, technologique, économique et
politique. Certains auteurs ont ajouté deux autres
catégories : légal et environnemental

267
Combinaison SWOT- PESTEL
PESTEL/ SWOT

268
• Analyse des cinq forces :
• Cette approche consiste en une modélisation de l'environnement
concurrentiel de l'entreprise sous la forme de cinq facteurs qui
influent les actions au sein d'une industrie. Ces cinq forces
consistent en l'intensité de la rivalité entre les concurrents, le
pouvoir de négociation des clients, la menace d'entrants potentiels
sur le marché, le pouvoir de négociation des fournisseurs, la menace
des produits de substitution

269
• Etape 3: Évaluation des risques et priorisation :
1) Le processus d'évaluation des risques peut être formel ou informel.
Ça implique:
• a) évaluer l'importance (en terme Impact) d'un événement,
• b) évaluer la probabilité de l'événement, et
• c) Examiner les moyens de gérer le risque.
2) Les résultats de l'évaluation de la probabilité et de l'impact des
événements à risque identifiés sont utilisés pour hiérarchiser les
risques et produire des informations décisionnelles.

270
• 3) Les méthodes d'évaluation des risques peuvent être qualitatives ou
quantitatives.
• a) Les méthodes qualitatives comprennent:
• (1) les listes de tous les risques,
• (2) les classements des risques (élevé, modéré, faible),
• et (3) les cartes des risques.
• i) Les cartes thermiques (heat map , cartes météorologiques par ex.) présentent les niveaux
de risque par couleur. Des risques qui ont le même probabilité (p. ex. éloignée, peu
probable, possible, probable ou certaine) et impact (par exemple, négligeable, faible,
moyen, élevé ou extrême), ou tomber dans la même gamme de gravité (c.-à-d., évaluation
combinée de probabilité et impact), se voient attribuer la même couleur.
• ii) Les cartes matricielles des risques représentent les risques sur un graphique avec une
probabilité sur un axe et un impact sur l'autre axe.
271
Cartographie des Risques

272
 Matrice d’Evaluation de l’Importance du
Risque
Probabilité
Fréquence
Très
Significatif Significatif

Peu
Significatif Significatif

Impact
0
• Les méthodes quantitatives s’appuient sur les chiffres et incluent
des modèles probabilistes (distribution statistique) .
Par exemple, certaines des organisations se concentrent sur les gains
à risque en examinant comment les variables influencent les gains.
La modélisation des risques est une méthode d'évaluation et de priorisation des
risques:
• a) La modélisation des risques classe et valide les priorités de risque lors de la
définition des priorités des missions dans le plan d'audit.
La modélisation des risques permet de mesurer l’occurrence d’événements.
« Les besoins en fonds propres qui découlaient des mesures du risque de crédit
pouvaient varier de 1 à 4 pour un même portefeuille d’actifs. »
• b) Les facteurs de risque peuvent être pondérés en fonction de jugements
professionnels pour déterminer leur importance relative, mais les poids n'ont
pas besoin d'être quantifiés.
• c) Ce modèle simple et le processus d’évaluation des risques qui en résulte
peuvent être représentés comme suit:

275
EXEMPLE:

Un directeur de l'audit examine actuellement la cartographie des risques à

l'échelle de l'entreprise:
likelihood:probabilité d’occurrence ou de survenance
Remote: rare
Likely: probable

276
 Exemple: suite
• Afin d'établir des priorités pour l'utilisation de ressources d'audit interne qui sont limitées, le RAI
procède à l'analyse suivante:
• ● Le risque D a clairement la priorité sur le risque C car D a à la fois une probabilité plus élevée
et un impact plus important.
• ● Le risque B a également clairement une priorité plus élevée que le risque A car B a une
probabilité plus élevée et le même impact.
• Le choix de la priorité la plus élevée entre le risque D et le risque B est une question de jugement
professionnel basé sur l'organisation de l'évaluation des risques et les priorités déclarées de la
haute direction et du conseil.
• ● Si la menace la plus probable est considérée comme le plus grand risque, le risque D sera
classé plus haut dans le plan de travail de l'audit interne.
• ● De même, si la menace avec le plus grand impact possible entraîne la direction et le conseil
d'administration plus de préoccupation, l’activité d’audit interne accordera une priorité plus
élevée au risque B.

277
• Les voies de communication ouvertes avec la haute direction et le conseil
d'administration sont nécessaires pour garantir que le plan d'audit repose sur les
évaluations du risque approprié et les priorités d'audit. Le plan d'audit devrait être
réévalué si nécessaire.
• La modélisation des risques dans un service de conseil se fait en classant les missions
potentielles:
• (1) d'améliorer la gestion des risques,
• (2) d'ajouter de la valeur,
• et (3) améliorer les opérations de l’organisation.
• La haute direction attribue un poids à chaque élément en fonction des objectifs
organisationnels.
• Les missions avec les valeurs pondérées appropriées sont incluses dans le plan d'audit
annuel.
278
• Etape 4 : Réponses au Risque:
Les réponses aux risques sont les moyens par lesquels une organisation choisit de
gérer les risques individuels:
• a) Chaque organisation sélectionne des réponses aux risques qui alignent les risques sur
l'appétence pour le risque de l'organisation (le niveau de risque que l'organisation a
accepté globalement).
Les stratégies de réponse aux risques sont les suivantes: (4T)
a) L'évitement des risques met fin à l'activité d'où provient le risque. Par exemple, le risque de
sabotage d'un pipeline peut être évité en vendant le pipeline.
b) La rétention(acceptation) des risques accepte le risque d'une activité.
c) La réduction (atténuation) des risques abaisse le niveau de risque associé à une activité. Par
exemple, le risque de piratage des systèmes peut être réduit en maintenant une fonction efficace de
sécurité de l'information au sein de l'entité.
d) Le partage des risques transfère une partie du potentiel de perte à une autre partie.
Des exemples sont assurance, couverture, création de joint-ventures, externalisation
d'une activité, et accords contractuels avec des clients, des fournisseurs ou d'autres
entreprises partenaires.

279
 Les contrôles sont des mesures prises par la direction pour gérer le
risque et garantir que les réponses aux risques sont effectuées.
• a) Le risque de contrôle est le risque que les contrôles ne
parviennent pas à gérer efficacement les éléments contrôlables
des risques (contrôle inefficace)
• Le risque résiduel est le risque qui subsiste après l'exécution des
réponses au risque.
• Dans les entités grandes ou complexes, la direction peut nommer
un comité des risques dont le rôle est de:
(a) revoir les risques identifiés par les différentes unités
opérationnelles
et (b) créer un plan d'intervention.
• Tout le personnel doit être conscient de l'importance de
réponse aux risques appropriés pour leurs niveaux d’entité.

280
Etape 5: Pilotage des Risques:
• 1) Le Pilotage des risques (a) suit les risques identifiés, (b) évalue la réponse actuelle aux
risques , (c) surveille les risques résiduels, et (d) identifie les nouveaux risques.
• 2) Les deux sources d'information les plus importantes pour les évaluations en cours de
l'adéquation des réponses aux risques (et la nature changeante des risques) sont:
• a) Les plus proches des activités.
Le directeur d'une unité opérationnelle est en meilleure position pour surveiller les effets des
stratégies de réponses aux risques choisies.
• b) La fonction d'audit.
• Les directeurs d'exploitation ne sont pas toujours objectifs à propos des risques auxquels sont
confrontés leurs unités, surtout s'ils ont aidé à concevoir une stratégie de réponse.
• L'analyse des risques et des réponses fait partie de la normale responsabilité des auditeurs
internes.

281
Responsabilité pour les aspects de management des risques
organisationnels
• La gestion des risques est une responsabilité clé de la haute direction et du conseil
d'administration:
• 1) Les conseils d’administration ont une fonction de surveillance (oversight). Ils déterminent
que les processus de management des risques sont en place, adéquats et efficaces.
• 2) La direction s'assure que de bons processus de management des risques fonctionnent.
• 3) L'activité d'audit interne peut être dirigée pour examiner, évaluer, rapporter et recommander
des améliorations
• a) Elle a également un rôle de conseil dans l'identification, l'évaluation et la mise en œuvre
méthodes et contrôles de management des risques.

La haute direction et le conseil d'administration déterminent le rôle de l'activité d'audit

interne dans le gestion basée sur des facteurs tels que:
(1) la culture organisationnelle,
(2) les capacités du personnel des activités d'audit interne
et (3) les conditions et coutumes locales.

282
Ce rôle peut aller de :
* l'absence de rôle;
• à l'audit du processus dans le cadre du plan d'audit ;
• à un soutien et une implication active et continue dans le processus;
• à gérer et coordonner le processus.
• a) Mais assumer des responsabilités de gestion menace le cadre d'indépendance de
l'activité d’audit interne. Cette situation doit être discutée en profondeur et approuvée par
le conseil d'administration.

• Le directeur de l'audit interne doit comprendre les attentes de la direction et du conseil à l'égard des activités
d'audit dans le management des risques. La compréhension est codifiée dans les chartes de l'activité d'audit
interne et du conseil d'administration.

• 1) Si l'organisation n'a pas de processus formels de management des risques, le RAI engage
des discussions officielles avec la direction et le conseil au sujet de leurs obligations de
comprendre, gérer et surveiller les risques.

283
• Les processus de gestion des risques peuvent être formels ou
informels, quantitatifs ou qualitatifs, ou intégrés dans des unités.
• Ils sont conçus pour s’adapter aux culture, style de gestion et
objectifs. Par exemple, une petite entité peut utiliser un comité
informel des risques.

• 1) L'activité d'audit interne détermine que les méthodes choisies

pour le risque sont complètes et appropriées pour l'organisation.

284
 Rôle de l’Audit Interne en Management du Risque
L'IIA a publié l'interprétation suivante pour clarifier le rôle de l'audit interne:
Interprétation de la norme 2120
• Déterminer si les processus de management des risques sont efficaces est un jugement résultant de
l’évaluation de l'auditeur interne selon laquelle:
● Les objectifs organisationnels soutiennent et s'alignent sur la mission de l'organisation;
● Les risques importants sont identifiés et évalués;
● Des réponses appropriées au risque sont sélectionnées pour aligner les risques sur l’appétence du risque
de l’organisation ; et
● Les informations pertinentes sur les risques sont saisies et communiquées en temps opportun à travers
l'organisation, permettant au personnel, à la direction et au conseil d'administration d’assumer leurs
responsabilités.
L'activité d'audit interne peut recueillir les informations nécessaires pour étayer cette évaluation durant les
missions multiples. Les résultats de ces missions, considérés ensemble, fournissent une compréhension des
processus de management des risques de l’organisation et de leur efficacité.
Les processus de management des risques sont contrôlés par des activités de gestion continues, des évaluations
périodiques , ou les deux.

285
Deux normes de mise en œuvre relient l'évaluation des risques à des domaines de risques spécifiques.
Norme de mise en œuvre 2120.A1
L’activité d’audit interne doit évaluer les expositions aux risques liés à la gouvernance, les opérations
et les systèmes d'information concernant:
● Atteinte des objectifs stratégiques de l’organisation;
● Fiabilité et intégrité des informations financières et opérationnelles;
● Efficacité et efficience des opérations et des programmes;
● Sauvegarde des actifs; et
● Conformité aux lois, réglementations, politiques, procédures et contrats.
Norme de mise en œuvre 2120.A2
L'activité d'audit interne doit évaluer le potentiel de survenance de fraude et comment l'organisation
gère le risque de fraude.

286
Conformément à la Directive 2120, Management des risques, le RAI et les auditeurs
internes doivent :
1) Acquérir une compréhension claire de:
a) Appétence pour le risque.
b) Missions et objectifs commerciaux.
c) Stratégies commerciales.
d) Risques identifiés par la direction.
i) Les risques peuvent être financiers, opérationnels, juridiques ou réglementaires ou stratégiques.
e) Environnement de gestion des risques actuel et actions correctives antérieures.
f) Moyens d'identification, d'évaluation et de surveillance des risques.

2) Tenir compte des cadres et modèles de management des risques

3) Tenir compte des caractéristiques de l'organisation. Les exemples sont la taille, le
cycle de vie, maturité, parties prenantes, environnement et changements dans cet
environnement (par exemple, nouvelle direction ou nouveaux produits).
4) Examiner la maturité du processus de management des risques de l’organisation
et
5) Avoir un processus établi pour la planification, l'audit et la communication des
problèmes de management des risques.

287
Norme de mise en œuvre 2120
• 1) Le directeur de l'audit interne devrait parler avec le conseil d'administration et la haute direction de
l’appétence pour le risque, la tolérance au risque et le management des risques.
• a) Après avoir examiné le plan stratégique, le plan d'affaires et les politiques, le RAI peut déterminer
si les objectifs stratégiques correspondent à la mission, à la vision, et l'appétence pour le risque. Les
gestionnaires de niveau intermédiaire peuvent donner un aperçu en alignement sur leur unité
commerciale.
• 2) L'activité d'audit interne
• a) Alerte la direction de nouveaux risques ou de risques insuffisamment atténués.
• b) Fournit des recommandations et des plans d'action pour les réponses aux risques (par exemple,
accepter, poursuivre, transférer, atténuer ou éviter).
• c) Évalue les processus de management des risques.
• 3) Les auditeurs internes examinent les évaluations des risques par la haute direction, les auditeurs
externes et les régulateurs. Le but est d'apprendre comment l'organisation identifie, évalue et détermine
l'acceptabilité des risques.
• a) Les responsabilités et les processus de risques du conseil d'administration
et des principaux dirigeants sont également évalués.
288
• 4) L'audit interne effectue activement ses propres évaluations
des risques.
• a) Les discussions avec le conseil d'administration et la
direction permettent d'aligner les réponses au risque
recommandées avec l'appétence pour le risque
• b) Un cadre établi (par exemple, COSO ou ISO 31000) peut
être utilisé pour l’identification des risques.
• c) (1) les nouveaux développements dans l'industrie et (2)
les processus de surveillance, l'évaluation et la réponse
aux risques (ou opportunités) peuvent être recherchées.
• 5) Les procédures précédentes permettent aux auditeurs
internes d'effectuer des analyses des lacunes (si les risques
sont identifiés et évalués de manière adéquate).

289
• 6) Les auditeurs internes doivent identifier les risques et les
réponses correspondantes. " Par exemple, la direction peut choisir
d'accepter le risque, et le RAI est appelé de déterminer si la décision est
appropriée, selon l'appétence pour le risque ou la stratégie de
management des risques de l'organisation. Si le RAI conclut que la
direction a accepté un niveau de risque qui peut être inacceptable. . ., Il
doit discuter de la question avec la haute direction et communiquer
l'affaire au conseil d'administration. »
• 7) Si la direction utilise une stratégie d'atténuation des risques, l'activité
d'audit interne peut évaluer l'adéquation et l'opportunité des mesures
correctives, en examinant les conceptions de contrôle et tester les
contrôles et les procédures de surveillance.
• 8) «Pour évaluer si les informations pertinentes sur les risques sont saisies et
communiquées dans l’organisation, les auditeurs internes peuvent interroger le
personnel de divers niveaux et déterminer si les objectifs de l'organisation, les
risques importants, et l'appétence pour le risque le sont compris dans toute
l'organisation. Typiquement, l'activité d'audit interne évalue également
l'adéquation et l'opportunité des résultats de management des risques.
• L'activité d'audit interne peut examiner les procès-verbaux du conseil
,déterminer si les risques les plus importants sont communiqués en temps
opportun au conseil et si le conseil agit pour assurer que la direction a répondu
d’une manière appropriée.
• 9) L'activité d'audit interne devrait également (a) assurer la gestion de ses
risques (par exemple, échec de l'audit, fausse assurance et atteinte à la
réputation) et (b) surveiller toutes les actions correctives.

291
 Conformité à la Norme 2120
• 1) La charte d'audit interne et le plan d'audit sont des documents
pertinents.
• 2) Ils sont aussi pertinents, Les procès-verbaux des réunions au cours desquels les éléments de la
norme (par exemple, les recommandations des auditeurs internes) ont été discutées avec le
conseil, la haute direction, les groupes de travail et les comités.
• 3) Les évaluations des risques de l'audit interne et les plans d'action démontrent une évaluation
et amélioration.
• Trois normes de mise en œuvre traitent des responsabilités de management des risques et des
auditeurs internes lors de la réalisation de missions de conseil.
Norme de mise en œuvre 2120.C1
• Pendant les missions de conseil, les auditeurs internes doivent traiter les risques conformément
aux objectifs de la mission et être attentif à l’existence d’autres risques importants.
Norme de mise en œuvre 2120.C2
• Les auditeurs internes doivent intégrer la connaissance des risques issue des missions de conseil
dans leur évaluation des processus de gestion des risques de l’organisation.
Norme de mise en œuvre 2120.C3
• Lorsque ils aident la direction à établir ou à améliorer des processus de management des risques,
les auditeurs internes doivent s’abstenir d’assumer toute responsabilité de gestion des risques.

292
4.2- COSO (Committe of Sponsoring Organzation of the Treadway Commission) II: ERM (Integrated
Framework): Le Management des Risques de l’Entreprise (MRE)

• 1. Cadre de Management des risques du COSO

• le management des risques de l'entreprise
- Intégré avec la stratégie et la performance
- COSO II ERM est un cadre qui complète et incorpore certains concepts du
cadre de contrôle interne du COSO I.
• Le cadre COSO ERM fournit une base pour la coordination et l’intégration
des activités de management des risques de l’organisation. Une intégration
efficace:
• (1) améliore la prise de décision
• et (2) améliore les performances.
• 2. Définition et concepts de la ERM
• Le ERM est basé sur la prémisse que chaque organisation existe pour fournir
de la valeur à ses parties prenantes. En conséquence, le ERM est défini
comme:
« La culture, les capacités et les pratiques, intégrées à l'élaboration de stratégies
et les performances, sur lesquelles les organisations s'appuient pour gérer les
risques en créant, préserver et réaliser la valeur »

293
ERM: Concepts clés
• 1) La culture consiste en « les attitudes, les comportements et la compréhension du risque, à la
fois positifs et négatifs, qui influencent les décisions de la direction et le personnel et reflètent
la mission, la vision et les valeurs fondamentales de l’ organisation. »

• La mission est l’objectif principal de l’organisation.

• La vision est l’aspiration de l’organisation à ce qu’elle a l’intention de réaliser dans le temps.
• Les valeurs fondamentales sont les croyances essentielles de l’organisation sur ce qui est
acceptable ou inacceptable.

2) Les capacités sont les compétences nécessaires pour réaliser la mission et la vision de
l’entité.
3) Les pratiques sont les méthodes collectives utilisées pour gérer les risques.

294
• 4) Intégrer l’élaboration de la stratégie et la performance.
• a) Le risque doit être pris en compte lors de la définition de la stratégie, les objectifs d’affaires (
Business objectives), les objectifs de performance et la tolérance.

• i) La stratégie indique comment l'organisation va (a) réaliser sa mission et vision et (b) appliquer
ses valeurs fondamentales.
• ii) Les objectifs d’affaires sont les mesures prises pour réaliser la stratégie.
• iii) La tolérance est la plage de variation acceptable des résultats de performances. (Ce terme est
identique à «tolérance au risque» dans le COSO cadre de contrôle interne.)

• b) L'organisation considère l'effet de la stratégie sur son profil de risque et du portefeuille.

• i) Le profil de risque est une vue composite des types, de la gravité et des interdépendances des
risques liés à une stratégie spécifique ou a un objectif d’affaire et leur effet sur les performances.
• Un profil de risque peut être créé à n'importe quel niveau (p. ex. entité, division, unité
opérationnelle ou fonction) ou aspect (par exemple, produit, service ou géographie) de
l'organisation. 295
Profil du Risque
Risk curve: courbe de risque
Target:cible

297
:
• ii) Le portefeuille (Portfolio view) est similaire à un profil de
risque. La différence est que c'est une vue composite des
risques liés à la stratégie à l'échelle de l'entité et les objectifs
d’affaires et leurs effets sur la performance des entités.

• le portefeuille est généralement constitué en référence à un

couple rendement/risque. Plus le rendement du portefeuille est
élevé et plus les actifs sont risqués. Pour limiter les risques, les
gestionnaires diversifient leurs investissements ou couvrent
leurs positions en utilisant des produits dérivés.

299
• 5) Gérer les risques:
• a) Le risque est la possibilité que des événements se produisent et affectent la réalisation
des stratégies et objectifs d’affaires.
• b) L'opportunité est toute action ou action potentielle qui crée ou modifie des objectifs ou
approches pour la création, la préservation ou la réalisation de la valeur.
• c) Les pratiques efficaces de ERM offrent une assurance raisonnable (pas une assurance
absolue ) que le risque assumé est approprié.
• d) L'inventaire des risques comprend tous les risques identifiés qui affectent la stratégie et
les objectifs d'affaires.
• e) La capacité de risque est le montant maximum de risque que l'organisation peut
assumer.
• f) L'appétence pour le risque est le montant et les types de risques auxquels l'organisation
est exposée et qu’elle est disposée à les accepter dans la poursuite de la valeur.

300
• g) Le risque inhérent est le risque restant, en l’absence d’actions de
management de modifier son gravité.
• i) Le risque résiduel réel demeure après les mesures de gestion visant
à modifier son gravité.
• h) La réponse aux risques est une mesure prise pour ramener les risques
identifiés au sein de l'appétence pour le risque de l'organisation.
• i) Un profil de risque résiduel comprend les réponses au risque.
• i) Le risque résiduel cible est le risque que l'entité préfère assumer
sachant que la direction a agi ou agira pour en modifier la gravité.
6) La valeur est :
• a) Créée lorsque les avantages obtenus des ressources utilisées dépassent
leurs frais.
• b) Préservée lorsque la valeur des ressources utilisées est maintenue.
• c) Réalisée lorsque les avantages sont transférés aux parties prenantes.
• d) érodée(détruite) lorsque la stratégie de la direction ne produit pas les
résultats escomptés ou la direction n'effectue pas les tâches quotidiennes.

301
ERM: Rôles et Responsabilités
• Le conseil d'administration assure la surveillance des
risques liés à la culture, aux capacités et aux
pratiques ERM. Certains comités du conseil peuvent
être formés à cet effet.
Les exemples sont:
(1) un comité d'audit (souvent requis par les
régulateurs),
(2) un comité des risques qui supervise la ERM,
(3) un comité de rémunération de la haute direction
et (4) une nomination ou un comité de gouvernance
qui supervise la sélection des administrateurs et des
dirigeants

302
• La direction a la responsabilité globale du MRE et est généralement
responsable de la gestion quotidienne des risques, y compris la
mise en œuvre et le développement du Cadre COSO ERM.
• 1) Au sein de la direction, le PDG est responsable suprême de la
MRE(ERM) et la réalisation de la stratégie et des objectifs
d’affaires.
• Une organisation peut désigner un responsable des risques comme
point de coordination centralisé pour faciliter le management des
risques dans l'ensemble de l'entreprise. Ce responsable des risques
est généralement appelé coordinateur centralisé (Chief Risk Officer).
Trois lignes de défense ou de maitrise des risques:
• 1) La première ligne est constituée des principaux propriétaires du risque. Ils
gèrent les performances et les risques pris pour atteindre la stratégie et les
objectifs.
• 2) La deuxième ligne se compose des fonctions de support, par exemple, un
responsable des risques ou un coordinateur centralisé. Ce niveau de
management fournit des conseils sur les performances et les exigences de MRE,
évalue le respect des normes et invite la première ligne d’e^tre prudente dans
la prise des risques .
• 3) La troisième ligne est la fonction d'audit interne. A l'intérieur l'auditeur
audite (ou examine) la MRE, identifie les problèmes et les améliorations, et
informe le conseil et les dirigeants des questions à résoudre.
304
Le plus grand changement réside dans l’identification de six principes
clés qui sous-tendent le nouveau Modèle des Trois Lignes :
• Principe no 1 : La gouvernance d’une organisation doit reposer sur
des structures et des processus appropriés facilitant le devoir de
rendre compte, la mise en œuvre des actions nécessaires pour
atteindre les objectifs de l’organisation, et l’obtention d’une
assurance.
• Principe no 2 : Les rôles des instances de gouvernance assurent que
des structures et des processus adéquats sont en place pour garantir
l'efficacité de la gouvernance.
• Principe no 3 : La responsabilité du management d’atteindre les
objectifs de l’organisation recouvre les rôles des deux premières
lignes du modèle. Ceux de la première sont plus directement liés à
la fourniture de produits et/ou services aux clients de l’organisation
et incluent les fonctions supports. Ceux de la deuxième recouvrent
quant à eux des activités d’appui à la gestion des risques.
• Principe no 4 : Dans son rôle de troisième ligne, l’audit interne fournit
une assurance et des conseils indépendants et objectifs sur l’adéquation
et l’efficacité de la gouvernance et de la gestion des risques. Pour ce faire,
il met en œuvre, de manière adéquate des processus, une expertise et
des points de vue systématiques et méthodiques. Il a la possibilité de
faire appel à d’autres prestataires d’assurance, internes comme externes.
• Principe no 5 : L’audit interne doit impérativement rester indépendant du
management pour préserver son objectivité, son autorité et sa
crédibilité.
• Principe no 6 : Ensemble, tous ces rôles contribuent à la création ainsi
qu'à la protection de la valeur, dès lors qu’ils sont en phase les uns avec
les autres ainsi qu’avec les intérêts prioritaires des parties prenantes.
• En fondant le nouveau modèle sur des principes, l’objectif était de fournir à ses
utilisateurs une plus grande flexibilité. Les instances de gouvernance, l'équipe
managériale et l'audit interne ne sont pas contraints dans des rôles et des
lignes rigides. Le concept de « lignes » a été conservé par souci de familiarité. Il
convient toutefois de noter que le terme ne sert pas à désigner des éléments
structurels mais à distinguer les différents rôles. Les domaines de responsabilité
sont généralement décrits ainsi :
• Devoir de rendre compte de l’instance de gouvernance envers les parties
prenantes en matière de surveillance.
• Actions (comprenant la gestion des risques) entreprises par le management
pour atteindre les objectifs de l’organisation.
• Assurance et conseils obtenus par l’intermédiaire d’une fonction d'audit interne
indépendante et visant à fournir des éclairages, une confiance et à encourager
l’amélioration continue.
• Dans un élan de prudence excessif, d'aucuns prétendent que l'audit
interne devrait se limiter à la « Troisième Ligne », afin d'assurer
l’indépendance et l’objectivité de son équipe. Toutefois, la version
revue du modèle insiste clairement sur le fait qu’« indépendance ne
signifie pas isolement ». Comme le fait remarquer cette mise à jour,
« l’audit interne et le management doivent entretenir un dialogue
régulier [...] Il est fondamental que les rôles de première et
deuxième lignes du management et l’audit interne collaborent et
communiquent ».
 MODELES D’ERM
• Il existe de nombreux modèles d'ERM. Ils se distinguent
généralement par leur objectif et leur complexité. Nous allons
d'abord examiner le modèle ERM du COSO. Nous examinerons
ensuite deux autres cadres reconnus : la norme ISO 31000 et les
recommandations Turnbull.
REVISION DU REFERENTIEL COSOII en 2017

5 composantes

20 principes
COSO II VERSION 2017

• Constitué de 5 composantes qui sont interdépendantes et sont

déclinées en 20 principes:

◾Gouvernance et culture.
◾Stratégie et établissement d'objectifs.
◾Performance.
◾Examen et révision.
◾Information, communication et reporting.

313
COSO II VERSION 2017

• Les principes au nombre de 20 prennent en charge chaque

composante.
Les principes sont gérables en taille, et ils décrivent des pratiques qui
peuvent être appliquées de différentes façons pour différentes
organisations indépendamment de la taille, du type ou du secteur.

314
Les composantes ERM
• Une stratégie choisie doit soutenir la mission et la vision de l'organisation.
Une stratégie mal alignée augmente la possibilité que l'organisation ne
réalise pas sa mission et sa vision, ou puisse compromettre ses valeurs,
même si une stratégie est menée à bien. Par conséquent, la gestion des
risques d'entreprise considère la possibilité que la stratégie ne s'aligne
pas sur la mission et la vision de l'organisation.
• L'autre aspect supplémentaire est les implications de la stratégie choisie.
Lorsque la direction élabore une stratégie et travaille avec des alternatives
avec le conseil d'administration, elle prend des décisions sur les
compromis inhérents à la stratégie. Chaque stratégie alternative a son
propre profil de risque - ce sont les implications découlant de la stratégie.
• Le conseil d’administration et la direction doivent déterminer si la
stratégie fonctionne en tandem avec l’appétence pour le risque de
l’organisation, et comment elle aidera l’organisation à fixer des objectifs
et, à terme, à allouer efficacement les ressources.

315
• Voici ce qui est important:
la gestion des risques d'entreprise consiste autant à comprendre les
implications de la stratégie et la possibilité que la stratégie ne
s'aligne qu'à gérer les risques pour fixer des objectifs. La figure ci-
dessous illustre ces considérations dans le contexte de la mission, de
la vision, des valeurs fondamentales et en tant que moteur de la
direction et des performances globales d'une entité.

316
317
LES RISQUES ET LA STRATÉGIE -suite-

318
• Le management des risques d'entreprise, telle qu'elle est généralement
pratiquée, a aidé de nombreuses organisations à identifier, évaluer et gérer les
risques pour la stratégie. Mais les causes les plus importantes de destruction de
valeur sont ancrées dans la possibilité que la stratégie ne soutienne pas la
mission et la vision de l'entité, et les implications de la stratégie.
• Le management des risques d'entreprise améliore la sélection des stratégies. Le
choix d'une stratégie nécessite une prise de décision structurée qui analyse les
risques et aligne les ressources sur la mission et la vision de l'organisation.
• L'intégration à la stratégie et aux performances clarifie l'importance de
management des risques d'entreprise dans la planification stratégique et son
intégration dans une organisation, car le risque influence et harmonise la
stratégie et les performances dans tous les départements et fonctions.
319
320
LES COMPOSANTS DU MANAGEMENT DES RISQUES EN ENTREPRRISE -
suite-

321
PRINCIPES RELATIFS AUX CINQ COMPOSANTS DU
MANAGEMENT DES RISQUES

322
• Le cadre COSO ERM comprend cinq composantes interdépendantes. Vingt
principes sont répartis entre les cinq composants.
• 1) Les composants ayant un aspect de support sont:
• a) Gouvernance et culture et
• b) Information, communication et rapports.
• 2) Les composants communs du processus sont:
• a) Stratégie et fixation d'objectifs,
• b) Performance, et
• c) Examen et révision.

323
I- Gouvernance et Culture
• La gouvernance donne le ton à l’organisation et établit les responsabilités en
matière de MRE. La culture se rapporte aux comportements souhaités, aux valeurs
et à la compréhension globale du risque détenus par le personnel de
l'organisation. Cinq principes concernent la gouvernance et la culture:

• 1) Le conseil exerce une surveillance des risques.

• a) Le conseil d'administration est généralement responsable de la surveillance des
risques. Cependant, le conseil peut déléguer la surveillance des risques à un comité du
conseil, un Comité de risque.
• i) La direction a généralement la responsabilité quotidienne de gérer la
performance et les risques pris pour réaliser la stratégie et les objectifs.

• b) Le rôle de surveillance du conseil d'administration peut comprendre, sans s'y limiter,

• i) Examiner et contester les décisions liées à la stratégie, à l'appétence pour le
risque, et les décisions commerciales importantes (par exemple, les fusions et
acquisitions).
• ii) Approuver la rémunération de la direction.
• iii) Participer aux relations avec les parties prenantes.

324
• c) La surveillance des risques est plus efficace lorsque le conseil:
• i) Possède les compétences, l'expérience et les connaissances nécessaires en
affaires
a) comprendre la stratégie et l’industrie de l’organisation
et (b) maintenir cette compréhension à mesure que le contexte commercial
change.
• ii) est indépendant de l'organisation.
• iii) Détermine si les capacités et les pratiques de MRE augmentent la valeur.
• iv) Comprend les biais organisationnels (par exemple, une tendance à évitement
excessif des risques ou prise de risques) influençant la prise de décision et met au
défi la direction de les minimiser.

325
• 2) L'organisation établit des structures opérationnelles.
• a) Elles décrivent la manière dont l'entité est organisée et exécute ses activités et
opérations quotidiennes.
• b) Elles sont généralement alignées sur la structure juridique de l’entité et la structure
de management.
• i) La structure juridique détermine le fonctionnement de l'entité (par exemple, en
tant que entité juridique unique ou en tant qu'entités juridiques multiples et
distinctes).
• ii) La structure de gestion établit des lignes hiérarchiques , rôles et
responsabilités. La direction est responsable de définir clairement les rôles et
responsabilités.
• c) Facteurs à considérer lors de l'établissement et de l'évaluation des structures
opérationnelles inclut :
• i) Stratégie et objectifs, y compris les risques associés.
• ii) Nature, taille et répartition géographique.
• iii) Attribution d'autorité et de responsabilité à tous les niveaux.
• iv) Types de lignes hiérarchiques et de canaux de communication.
• v) Exigences de déclaration (p. ex. financière, fiscale, réglementaire et
contractuel).

326
• 3) L'organisation définit la culture souhaitée.
• a) Le conseil d'administration et la direction sont responsables de la définition
de la culture.
• b) La culture est façonnée par des facteurs internes et externes.
• i) Les facteurs internes comprennent (a) le niveau de jugement et
d'autonomie autorisé au personnel, (b) les normes et règles, et (c) la
récompense système en place.
• ii) Les facteurs externes comprennent (a) les exigences légales et (b) les
attentes des parties prenantes (par exemple, les clients et les investisseurs).
• c). La définition de l’organisation de la culture détermine sa place sur le spectre
de culture, qui va de l'aversion au risque à l'agressivité du risque(prise de
risque).

327
• 4) L'organisation démontre son engagement envers
les valeurs fondamentales.
• a) Les valeurs fondamentales de l’organisation
devraient se refléter dans toutes ses actions et les
décisions.
• b) Le ton de l'organisation est la manière dont les
valeurs fondamentales sont communiquées à
travers l’organisation.
• c) Lorsque la culture du risque et le ton sont
alignés, les parties prenantes ont la confiance que
l'organisation respecte ses valeurs
fondamentales.

328
• 5) L'organisation attire, développe et retient des personnes
compétentes.

• a) La direction est responsable de la définition du capital humain nécessaire (les compétences

nécessaires) pour atteindre les objectifs stratégiques et d’affaires.

• b) La fonction des ressources humaines aide la direction à développer les compétences requises par
des processus qui attirent, forment, encadrent, évaluent, récompensent et retiennent des personnes
compétentes.

• c) Des plans d'urgence devraient être élaborés pour préparer la succession. Tels plans forment le
personnel sélectionné à assumer des responsabilités essentielles au MRE. Un exemple est la
formation d'un gestionnaire des risques pour assumer le poste d'agent des risques.
II- Fixation de la Stratégie et des objectifs
• La stratégie doit soutenir la mission, la vision et les valeurs fondamentales
de l’organisation. l'intégration du MRE à la définition de la stratégies aide
à comprendre le profil de risque lié aux objectifs stratégiques et d’affaires.
Quatre principes concernent la fixation de la stratégie et des objectifs :
• 1) L'organisation analyse le contexte d’affaires et son effet sur le profil de
risque:
a) Le contexte commercial concerne les relations, les événements, les
tendances et autres facteurs qui influencent la stratégie et les objectifs
commerciaux de l’organisation.
En conséquence, le contexte commercial comprend les environnements
internes et externes de l’organisation.

330
• i) L'environnement interne se compose de facteurs liés à quatre catégories:
• (a) capital (par exemple, actifs),
• (b) personnes (par exemple, compétences et attitudes),
• (c) les processus (par exemple, tâches, politiques et procédures),
• et (d) la technologie (par exemple, la technologie adoptée).
• ii) L'environnement externe se compose de facteurs liés aux éléments suivants: six catégories:
a) politique (intervention et influence du gouvernement),
• (b) économique (par exemple, taux d'intérêt et disponibilité du crédit),
• (c) social (p. ex. préférences des consommateurs et données démographiques),
• d) technologie (par exemple, activité de R&D),
• (e) juridique (lois, réglementations et industrie)
• (f) environnementales (par exemple, le changement climatique).

331
• b) Le contexte commercial peut être:
• i) Dynamique. De nouveaux risques, émergents et changeants peuvent apparaître à tout
moment (par exemple, de faibles barrières à l'entrée permettent à de nouveaux
concurrents d'émerger).
• ii) Complexe. Un contexte peut avoir de nombreuses interdépendances et interconnexions
(par exemple, une entreprise transnationale a plusieurs unités opérationnelles à travers le
monde, chacune avec des facteurs environnementaux).
• iii) Imprévisible. Le changement se produit rapidement et de manière imprévue (par
exemple, les fluctuations des devises).
• c) L'effet du contexte commercial sur le profil de risque peut être analysé sur la base des
performances passées, présentes et futures.

332
• 2) L'organisation définit l'appétence pour le risque (la quantité de risque qu'elle est prête à
accepter à la recherche de valeur).
• a) L'organisation considère sa mission, sa vision, sa culture, ses stratégies antérieures et la capacité de
risque (le risque maximal qu'il peut assumer) pour définir son appétence pour le risque.

• b) Pour établir l'appétence pour le risque, l'équilibre optimal entre opportunités et risques est recherché.

• i) L'appétence pour le risque est rarement supérieur à la capacité de risque.

• c) L'appétence pour le risque peut être exprimée qualitativement (par exemple, faible, modéré, élevé) ou
quantitativement (par exemple, en pourcentage d'un montant financier). Mais ça devrait refléter la façon
dont les résultats de l'évaluation des risques sont exprimés.

• d) Le conseil approuve l'appétence pour le risque et la direction le communique

dans toute l'organisation.

333
• 3) L'organisation évalue les stratégies alternatives et leurs
effets sur le profil de risque .
• a) Les approches de l'évaluation de la stratégie
comprennent SWOT (Forces-Faiblesses- Opportunités-
Menaces), analyse des concurrents et analyse de
scénarios.
• b) L'organisation doit évaluer:
• i) L’alignement de la stratégie sur sa mission, sa
vision, ses valeurs fondamentales et l'appétit pour le
risque et
• ii) Les implications de la stratégie choisie (ses risques,
opportunités et effets sur le profil de risque).
• c) La stratégie doit être modifiée si elle ne parvient pas à
créer, à réaliser ou à préserver la valeur.

334
4) L'organisation établit des objectifs commerciaux qui s'alignent avec et soutiennent
sa stratégie.
a) Les objectifs commerciaux sont:
(1) spécifiques,
(2) mesurables,
(3) atteignables (observables )
(4) réalistes (pouvant être obtenus)
Et (5) temporels
b) Les objectifs commerciaux peuvent concerner, entre autres, la performance
financière, excellence opérationnelle ou obligations de conformité.
c) Mesures de rendement, cibles et tolérances (la gamme de valeurs acceptables,
variation des performances) sont établies pour évaluer la réalisation des objectifs.
III- Performance
• La performance est liée aux pratiques de MRE qui soutiennent les
décisions de l'organisation à la recherche de la valeur. Ces pratiques
consistent à identifier, évaluer, hiérarchiser, réagir et développer une
vision de portefeuille du risque.
Cinq principes concernent la performance:
• 1) L'organisation identifie les risques qui affectent la performance de la
stratégie et objectifs d'affaires.
• a) L'organisation devrait identifier les risques qui perturbent les opérations
et affectent l’attente raisonnable d'atteindre la stratégie et les objectifs
commerciaux.
• b) Des risques nouveaux, émergents et changeants sont identifiés. Les
exemples sont les risques résultant de changements dans les objectifs
commerciaux ou le contexte commercial.
• i) L'organisation identifie également les opportunités. Ce sont des
actions ou des actions potentielles qui créent ou modifient des objectifs
ou de la création, la préservation ou la réalisation de valeur. Ils diffèrent
des événements positifs, événements dans lesquels la performance
dépasse la cible d'origine.

336
• c) Les méthodes et approches d'identification des
risques comprennent :
• (1) les activités au jour le jour (par exemple, la
budgétisation, la planification des activités ou
l'examen des clients
• (2) questionnaires simples,
• (3) ateliers animés,
• (4) entretiens ou (5) suivi des données.
• d) L'inventaire des risques comprend tous les
risques qui pourraient affecter l'entité.
• e) L'identification des risques et des
opportunités doit être complète dans tous les
niveaux et fonctions de l'entité.
337
• 2) L'organisation évalue la gravité du risque. La gravité est une mesure de
cette considération comme l'impact, la probabilité et le temps de se
remettre des événements.
• a) Les mesures de gravité courantes comprennent des combinaisons
d'impact et probabilité.
• i) L'impact est le résultat ou l'effet du risque. L'impact peut être
positif ou négatif.
• ii) La probabilité est la possibilité qu'un événement se produise. La
probabilité peut être exprimé qualitativement (par exemple, une
probabilité éloignée), quantitativement (par exemple, une
probabilité de 75%), ou en termes de fréquence (par exemple, une
fois tous les 6 mois).
• b) L'horizon temporel pour évaluer le risque doit être identique à celui de
la stratégie et objectif commercial. Par exemple, le risque affectant une
stratégie qui prend 2 ans à réaliser doit être évalué sur la même période.
• c) Le risque est évalué à plusieurs niveaux (par exemple, entité, division,
unité opérationnelle, et fonction) de l’organisation et liés à la stratégie et
aux objectifs
• i) La gravité d'un risque peut varier d'un niveau à l'autre. Par
exemple, un risque avec une gravité élevée au niveau de l'unité
opérationnelle peut avoir une gravité modérée au niveau de l'entité.
• d) Des méthodes qualitatives et quantitatives peuvent être utilisées pour
évaluer le risque.
• i) Les méthodes qualitatives sont plus efficaces et moins coûteuses
que les méthodes quantitatives. Des exemples sont des entretiens,
des enquêtes et analyse comparative.
• ii) Les méthodes quantitatives sont plus précises que les méthodes
qualitatives. Les exemples sont les arbres de décision, la modélisation
(probabiliste et non probabiliste) et simulation de Monte Carlo.

339
• e) L'organisation doit réévaluer la gravité à chaque fois que des
événements déclencheurs tels que des changements dans le
contexte commercial et l'appétence pour le risque.
• f) L'évaluation des risques doit tenir compte du risque inhérent, du
risque résiduel cible et risque résiduel réel.
• g) Les résultats de l'évaluation peuvent être présentés à l'aide d'une
carte thermique, qui met en évidence la gravité relative de chaque
risque. Plus la couleur est chaude, plus la gravité du risque est
grande.

340
• 3) L'organisation priorise les risques à tous les niveaux.
• a) La hiérarchisation des risques permet à
l'organisation d'optimiser l'allocation de ses
ressources limitées.
• b) En plus de la gravité (p. ex. impact et probabilité),
les facteurs suivants sont à considérer lors de la
hiérarchisation des risques:
• i) Critères convenus
• ii) Appétence pour le risque
• iii) L'importance des objectifs commerciaux
concernés
• iv) Le ou les niveaux organisationnels concernés

341
• c) Des critères convenus sont utilisés pour évaluer les caractéristiques des risques et pour déterminer la
capacité de l’entité à réagir de manière appropriée. Priorité plus élevée est donnée aux risques qui affectent
le plus les critères.
• Exemples de critères suivants:
• i) La complexité est la nature et l'étendue d'un risque, par exemple l'interdépendance des risques.
• ii) La vélocité est la vitesse à laquelle un risque affecte l'entité.
• iii) La persistance est la durée pendant laquelle un risque affecte l'entité, y compris le temps pris par
l'entité pour récupérer.
• iv) L’adaptabilité est la capacité de l’entité à s’adapter aux risques et à y répondre.
• v) La récupération est la capacité (et non le temps) de l’entité à revenir à la tolérance.
• d) Une priorité plus élevée est également attribuée aux risques
• i) approcher ou dépasser l'appétence pour le risque,
• ii) Faire en sorte que les niveaux de performance approchent les limites extérieures de tolérance, ou
• iii) Affecter l'entité entière ou se produire au niveau de l'entité.
• 4) L'organisation identifie et sélectionne les réponses au risque, reconnaissant que le
risque peut être géré mais non éliminé. Les risques doivent être gérés dans le contexte et
les objectifs de l'entreprise, les cibles de rendement et l'appétence pour le risque.
• a) Voici les cinq catégories de réponses au risque:

• i) Acceptation. Aucune mesure n'est prise pour modifier la gravité du risque. L'acceptation est
appropriée lorsque le risque se situe dans l'appétence pour le risque.

• ii) Évitement. Des mesures sont prises pour éliminer le risque (par exemple, l'arrêt d'un gamme de
produits ou vente d'une filiale). L'évitement suppose généralement que la réponse ne réduirait pas le
risque à un niveau acceptable.

• iii) Poursuite (augmentation). Des mesures sont prises pour accepter un risque accru afin
d’améliorer les performances sans dépasser la tolérance acceptable.

• iv) Réduction. Des mesures sont prises pour réduire la gravité du risque afin qu'il correspond au
profil de risque résiduel et à l'appétence pour le risque cible

• v) Partage. Des mesures sont prises pour réduire la gravité du risque en transférant une partie du
risque à une autre partie. Des exemples sont : assurance, couverture, coentreprises et externalisation.
•

343
• b) Les facteurs suivants sont pris en compte dans la sélection et la mise en œuvre de réponses
au risque:
• i) Ils doivent être choisis ou adaptés au contexte commercial.
• ii) Les coûts et avantages devraient être proportionnels à la gravité du risque et sa priorité.
• ii) Ils devraient continuer à respecter les obligations (par exemple, normes de l'industrie) et
la réalisation des attentes (par exemple, mission, vision, attentes des parties prenantes).
• iv) Ils devraient mettre le risque dans l'appétence pour le risque et entraîner des résultats
de performance dans les limites de la tolérance.
• v) La réponse au risque doit refléter la gravité du risque.

c) Les activités de contrôle sont conçues et mises en œuvre pour garantir que les réponses
aux risques sont effectuées.

344
• 5) L'organisation développe et évalue sa vision du portefeuille des risques.
• a) Le point culminant de l'identification, de l'évaluation, de la priorisation et de
la réponse est la vue complète du portefeuille sur le risque.
• b) Les quatre vues de risque (portefolio view) suivantes ont différents niveaux
d'intégration du risque:
• i) Vue des risques (intégration minimale). Les risques sont identifiés et évalués. L'accent est
mis sur l'événement et non sur l'objectif commercial.

- ii) Vue des catégories de risques (intégration limitée). les risques identifiés et évalués
sont classés, par exemple, en fonction des structures d'exploitation.

• iii) Vue du profil de risque (intégration partielle). Les risques sont liés aux objectifs
commerciaux qu’ils affectent et les dépendances entre les objectifs sont identifiés et évalués.
Par exemple, un objectif d’augmentation des ventes peut dépendre d’un objectif visant à
introduire un gamme de produits.

• iv) Vue du portefeuille (intégration complète). Cette vision composite des risques se rapporte
à la stratégie et aux objectifs commerciaux à l'échelle de l'entité ayant effet sur la
performance de l'entité. Au niveau supérieur, une plus grande attention est portée sur la
stratégie. Ainsi, la responsabilité des objectifs commerciaux et des risques cascades à travers
l'entité.

345
• c) En utilisant une vue du portefeuille des risques, la direction détermine si les
le profils de risque résiduel (profil de risque comprenant les réponses au risque)
s'aligne sur l’appétence globale pour le risque.
• d) Des méthodes qualitatives et quantitatives peuvent être utilisées pour
évaluer les changements de risque pouvant affecter la vision du portefeuille du
risque.
• i) Les méthodes qualitatives comprennent l'étalonnage, l'analyse de
scénarios et tests de résistance.
• ii) Les méthodes quantitatives comprennent une analyse statistique.

346
IV- Examen et Révision
• L'organisation examine et révise ses capacités et pratiques MRE actuelles en fonction de leurs
effets en changement sur la stratégie et les objectifs commerciaux. Trois principes concernent
l’examen et la révision:
• 1) L'organisation identifie et évalue les changements susceptibles d'affecter considérablement
la stratégie et les objectifs commerciaux.
• a) Les changements dans le contexte commercial et la culture de l’organisation sont susceptibles
d'affecter considérablement la stratégie et les objectifs commerciaux.
• b) De tels changements peuvent résulter de changements dans les environnements internes et
externes.
• i) Les changements substantiels dans l'environnement interne incluent ceux dus à la croissance
rapide, l'innovation et le roulement du personnel clé
• ii) Les changements substantiels de l'environnement externe comprennent ceux de l'économie
ou de la réglementation.

347
• 2) L'organisation examine les résultats de performance de l'entité et tient
compte des risques.
• a) Résultats de performance qui s'écartent de la performance cible ou de la
tolérance cible peut indiquer (1) des risques non identifiés, (2) des risques
mal évalués, (3) de nouveaux risques, (4) les possibilités d'accepter plus de
risques, ou (5) la nécessité de réviser la performance ou la tolérance cible.
• 3) L'organisation poursuit l'amélioration de le MRE
• a) L'organisation doit continuellement améliorer le MRE à tous les niveaux,
même si la performance s'aligne sur la performance ou la tolérance cible.
• b) Les méthodes d’identification des domaines à améliorer comprennent
les évaluations séparées et comparaisons entre pairs (examens des pairs de
l'industrie).
348
V- Information, Communication et Reporting
• L'organisation doit capturer, traiter, gérer
(organiser et stocker) et communiquer
des informations opportunes et
pertinentes pour identifier les risques
qui pourraient affecter la stratégie et les
objectifs commerciaux.
• Trois principes concernent l'information,
communication et rapports:

349
• 1) L'organisation tire partie de ses systèmes d'information pour soutenir le MRE.
• a) Les données sont des faits bruts collectables à des fins d'analyse, d'utilisation ou de
référence. L’ Information est traitée, organisée et structurée sur un fait ou circonstance.
Les systèmes d'information transforment les données (par exemple, les données sur les
risques) en informations pertinentes (par exemple, informations sur les risques).
• i) Les connaissances sont des données transformées en informations.
• ii) Les informations sont pertinentes si elles aident l'organisation à être plus agile en
matière de prise de décision, ce qui lui confère un avantage concurrentiel.
• b) Les données structurées sont généralement bien organisées et facilement consultables
(par exemple, feuilles de calcul, index publics ou fichiers de base de données).
• i) Les données non structurées ne sont pas organisées ou manquent d'un modèle
prédéfini (par exemple, documents de traitement de texte, vidéos, photos ou e-mail
messages).
• c) Les pratiques de gestion des données permettent de garantir que les
informations sur les risques sont utiles, opportunes, pertinentes et de haute
qualité. Voici les éléments de gestion efficace des données:
• i) Gouvernance des données et de l'information. Des normes sont
établies pour la livraison, la qualité, la ponctualité, la sécurité et
l'architecture des données. Les rôles et les responsabilités des
propriétaires du risque des informations et des données sont également
définis.
• ii) Processus et contrôles. Des activités sont mises en œuvre pour
s’assurer que les normes de données établies sont renforcées et que les
corrections sont apportées le cas échéant.
• iii) Architecture de gestion des données. La technologie de l'information
est conçue pour déterminer quelles données sont collectées et comment
elles sont utilisées.
• d) Les systèmes d'information doivent pouvoir s'adapter au changement.
Puisque l’organisation adapte sa stratégie et ses objectifs commerciaux en
fonction des changements du contexte commercial, ses systèmes
d'information doivent également évoluer.

351
• 2) L'organisation utilise des canaux de communication pour soutenir le
MRE.
• a) Communications sur les risques.
• i) La direction communique la stratégie et les objectifs de l'organisation pour les
internes(par exemple, le personnel et le conseil) et externes (par exemple, les
actionnaires) parties prenantes.
• ii) Les communications entre la direction et le conseil devraient inclure des
discussions continues sur l'appétence pour le risque.
• b) Canaux et méthodes.
• i) Les organisations devraient adopter des canaux de communication ouverts
autoriser l'envoi et la réception d'informations sur les risques dans les deux sens
(par et du personnel ou des fournisseurs).
• ii) Les méthodes de communication comprennent des documents écrits (par
exemple, des politiques et procédures), messages électroniques (par exemple, e-
mail), événements publics ou des forums (par exemple, des réunions débats:
Town hall meetings) et informels ou des communications orales (p. ex.,
discussions en tête a tête )
• iii) Le conseil peut tenir des réunions trimestrielles officielles ou convoquer des
réunions (réunions spéciales pour discuter de questions urgentes).

352
• 3) L'organisation rend compte des risques, de la culture et des
performances à plusieurs niveaux et à travers l'entité.
• a) Le but du rapport est de soutenir le personnel dans sa:
• i) Compréhension des relations entre risque, culture et
• ii) Prise de décision concernant (a) la définition de la stratégie et des
objectifs, (b) la gouvernance, et (c) les opérations quotidiennes.

• b) Le reporting combine des informations qualitatives et quantitatives sur les

risques, une plus grande importance accordée aux informations qui
soutiennent la prospective des décisions.
• c) La direction est responsable de la mise en œuvre des contrôles pour
s’assurer que les rapports sont précis, complets et clairs.
• d) La fréquence des rapports est basée sur la gravité et la priorité des risques.
• e) Les rapports sur la culture peuvent être communiqués, entre autres, en
enquêtes et analyses des enseignements tirés.
• f) Les indicateurs clés de risque doivent être signalés avec des indicateurs de
performance clés mettant l'accent sur la relation entre risque et
performance.

353
 Evaluation de l’ERM
• Le cadre de management des risques du COSO fournit des critères pour
évaluer si La culture, les capacités et les pratiques MRE gèrent ensemble
efficacement les risques pour la stratégie et les objectifs commerciaux.
• Lorsque les composants, les principes et les contrôles de support sont présents
et fonctionnels le MRE devrait raisonnablement gérer efficacement les risques
et aider a créer, préserver et réaliser de la valeur.
• 1 Le Présent signifie que les composants, les principes et les contrôles
existent dans la conception et la mise en œuvre de MRE pour atteindre les
objectifs.
• 2) Le Fonctionnement signifie que les composants, les principes et les
contrôles continuent de fonctionner pour atteindre les objectifs.

354
IDENTIFICATION DU NIVEAU DE
MATURITÉ
On peut évaluer le niveau de maturité en se basant sur les niveaux de
maturité
suivants:

355
ISO 31000: PRINCIPES , CADRE Organisationnel,
PROCESSUS

356
ISO 31000 Cadre de Référence MR
1. - ISO 31000 - Principes, cadre et processus
a/ Principes:
. ISO 31000 est une approche de management des risques basée sur des principes. Il
utilise 9 principes qui sont le fondement d'un processus de management des
risques efficace. Le Management des risques:

• 1) Crée et protège la valeur

• 2) fait partie intégrante des processus organisationnels et de la prise de décision
• 3) Aborde explicitement l'incertitude , est systématique, structuré et opportun
• 4) est adapté à chaque organisation
• 5/ est transparent et inclusif
• 6/ Est dynamique, répétitif et réactif au changement
• 7/ Basé sur les meilleures informations disponibles
• 8) tient compte des facteurs humains et culturels
• 9) Favorise l'amélioration continue

357
NORME ISO 31000 VERSION 2018: Les principes

358
NORME ISO 31000 VERSION 2018: LE CADRE ORGANISATIONNEL
b/ Cadre Organisationnel:
Un cadre de management ou organisationnel des risques est un ensemble de
composants qui jettent les bases et les dispositions organisationnelles pour la
conception, la mise en œuvre, le suivi, l'examen et l'amélioration continue de
management des risques dans toute l'organisation. Le cadre de management des
risques ISO 31000 comprend les cinq éléments suivants:
• 1) Un mandat et un engagement du conseil et de la haute direction garantissent
que les processus de management des risques sont conformes aux objectifs de
l'organisation et des ressources suffisantes ont été consacrées à son succès.
• 2) La conception d'un cadre de management des risques garantit l'établissement
d'une fondation pour des processus de management des risques efficaces. Cette
fondation implique
• a) Comprendre l'organisation et son contexte
• b) Etablir une politique de management des risques
• c) Déléguer la responsabilité et l'autorité
• d) Intégrer la gestion des risques dans les processus organisationnels
• e) Allouer les ressources nécessaires
• f) Établir des méthodes de communication et de reporting internes et externes

359
• 3) La mise en œuvre du Management des risques aide l'organisation
à atteindre ses objectifs.
• 4) Le suivi et l'examen du cadre évaluent l'efficacité du processus de
management des risques.
• 5) L’amélioration continue du cadre garantit l’efficacité à long terme
des processus de management des risques.

360
 Les 5 Composantes du cadre
organisationnel de la norme ISO 31000

P
A

D
C

361
NORME ISO 31000 VERSION 2018: LE PROCESSUS
c. Le Processus
Le processus de management des risques ISO 31000 comprend les huit éléments suivants:
• 1) La communication et la consultation nécessitent une communication continue et
structurée et la consultation des personnes affectées par les opérations de l’organisation.
• 2) L'établissement du contexte identifie et comprend les facteurs externes et internes qui
influenceront le management des risques de l’organisation.
• a) Cet élément prend également en compte l'appétence pour le risque et les niveaux
de tolérance du risque
• 3) L'identification des risques tient compte des sources de risques, des zones d'impact et
les événements potentiels et leurs causes et conséquences.
• 4) L'analyse des risques considère l'impact et la probabilité de chaque risque.
• 5) L'évaluation des risques priorise les risques identifiés.
• 6) Le traitement des risques décide d'une réponse appropriée aux risques (éviter, partager,
réduire ou accepter) qui est conforme à l’appétence pour le risque de l’organisation.
• 7) Le suivi et l'examen évaluent l'efficacité des traitements du risque.
• 8/ Enregistrement et élaboration des rapports: traçabilité
et élaboration

362
 PROCESSUS DE MANAGEMENT DU
RISQSUE SELON L’ISO 31000(Version 2018)
Domaine d’application, contexte,
Communication et consultation critères

Appréciation du risque
Identification du risque

Suivi et revue
Analyse du risque

Evaluation du risque

Traitement du risque

Enregistrement et élaboration de
rapports

363
ISO 31000 – Responsabilités en MR

• a. Le Conseil est chargé de superviser le management des risques et il a

l’entière responsabilité pour s'assurer que les risques sont acceptés et que le
système de management des risques est efficace.
• b. Il incombe à la haute Direction de définir l'attitude de l’organisation à
l'égard des risques, défini par l’ISO comme : «l’approche d’une organisation
pour évaluer et éventuellement poursuivre, conserver, prendre ou se détourner
du risque. ». La direction identifie et gère également les risques.
• c. L'activité d'audit interne est chargée de fournir une assurance sur l'ensemble
du système de management des risques.

364
4.3- ISO 31000: Approches d’assurance

• a. ISO 31000 décrit trois approches pour fournir une assurance sur le processus de
management des risques :
• (1) principes clés,
• (2) éléments de processus
• et (3) maturité du modèle.
• 1) L'approche fondée sur les principes clés évalue si les 9 principes sont pratiqués.
• 2) L'approche par éléments de processus évalue si les sept éléments risques ont été mis en
pratique.
• 3) L’approche du modèle de maturité est basée sur le principe que les processus de
management des risques se développent et s'améliorent avec le temps à mesure que la valeur
est ajoutée a chaque phase du processus de maturation.

365
• a) En conséquence, cette approche détermine où le processus de management des
risques est sur la courbe de maturité et évalué si :
• (1) il progresse comme prévu,
• (2) ajoute de la valeur,
• et (3) répond aux besoins de l'organisation.
• i) Un exemple de courbe de maturité (c'est-à-dire un modèle de maturité) est la
capacité de modèle de maturité (CMM). Ce modèle comprend les cinq niveaux de
maturité présentés par ordre de maturité:
• (a) initial,
• (b) répétable ou reproductible ,
• (c) défini,
• (d) géré et
• (e) optimisé.
• ● Au niveau initial, peu de processus sont définis.
• ● Au niveau reproductible, des processus de base sont établis.
• ● Au niveau défini, des normes sont élaborés. ●
• ● niveau géré, des mesures de performance sont définies.
• ● Au niveau de l'optimisation, l'amélioration continue est activée.
• ii) Le principe de base de cette approche est que la gestion des risques doit ajouter de
la valeur.

366
• b) Un aspect essentiel de l'approche du modèle de maturité est que la
performance et le progrès du MR dans l'exécution du plan de
management des risques devrait être lié à un système de mesure du
rendement. Tel système de performance se compose généralement des
éléments suivants:
• i) Normes de performance
• ii) Critères de respect des normes
• iii) Une méthode de comparaison des performances réelles avec chaque
norme
• iv) Une méthode d'enregistrement et de rapport des performances et des
améliorations en performance
• v) Vérification indépendante périodique de l'évaluation de la direction

367
 - Cadre de management des risques Turnbull

• Contrairement à l'approche basée sur les principes

ISO 31000, le cadre Turnbull de MR met l’accent sur
le contrôle interne, l’évaluation de son efficacité et
l’analyse des risques.

368
 Les recommandations Turnbull*
Traitent de l'adoption d'une approche fondée sur le risque de contrôle interne et de
l'évaluation de son efficacité.
Liées aux exigences de divulgation de la Bourse de Londres.
Principes clés :
• Mettre l'accent sur les risques significatifs plutôt que tous les risques.
• Promouvoir le management des risques.
• Perdurer la surveillance continue des risques et de contrôle.
• Faire participer tous les employés.
• Développer les systèmes de reporting des risques dans le cadre du SI.
• Fournir une assurance objective au conseil et à la direction générale quant à
l'adéquation et à l'efficacité des processus de contrôle interne et de gestion des
risques de l'organisation.
• Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou
d'éviter les pertes opérationnelles et autres pertes similaires.
Publié en 1999 par référence à Nigel Turnbull qui a élaboré ses directives
 UNITE V

CONTROLES: TYPES ET CADRES

370
 CONTROLES: TYPES ET CADRES
Aperçu sur le contrôle.
Types de contrôles.
Cadres de contrôle.
Cette unité d'étude est la troisième des quatre couvrant le domaine V:
gouvernance, gestion des risques et Contrôle du programme d’examen de
la CIA de l’IIA.
Ce domaine représente 35% de la partie 1 de l'examen CIA .
- Interpréter les concepts de contrôle interne et les types de
contrôles
- Appliquer des cadres de contrôle interne mondialement
acceptés et adaptés à l’organisation
- Examiner l'efficacité et l'efficience des contrôles internes

371
 5.1- Aperçu sur le Contrôle

• a. Le contrôle
est «toute mesure prise par la direction, le conseil
d'administration et d'autres parties pour gérer le risque et
augmenter la probabilité que les objectifs et buts fixés seront
atteints. La direction planifie, organise et dirige la performance
des actions suffisantes visant à fournir une assurance
raisonnable que les objectifs et les buts seront atteints. »
• b. Les processus de contrôle
sont «les politiques, les procédures (manuelles et automatisées)
et activités faisant partie d'un cadre de contrôle, conçues et
gérées de manière à garantir que les risques sont contenus dans
le niveau qu’une organisation est prête à accepter. »

372
Objectifs du système de contrôle interne:
• 1) Les trois catégories d’objectifs dirigent les organisations vers les différents
éléments de contrôle.
• a) Opérations
• i) Les objectifs opérationnels concernent la réalisation de la mission de l’entité.
• ● Les objectifs appropriés comprennent l'amélioration (1) des performance, (2)
productivité, (3) qualité, (4) innovation, et (5) satisfaction du client.
• ii) Les objectifs opérationnels comprennent également la sauvegarde des actifs.
• ● Les objectifs liés à la protection et à la préservation des actifs contribuent à
l’évaluation des risques et élaboration de contrôles d'atténuation.
• ● Éviter le gaspillage, l'inefficacité et les mauvaises décisions commerciales se
rapporte à des objectifs plus larges que la sauvegarde des actifs.

373
• b) Reporting

• i) Pour prendre des décisions judicieuses, les parties prenantes doivent disposer d’
une information transparente.
• ii) Des rapports peuvent être préparés pour être utilisés par l'organisation et les
parties prenantes.
• iii) Les objectifs peuvent concerner:
• ● Reporting financier et non financier
• ● Reporting interne ou externe

• c) Conformité

• i) Les entités sont soumises à des lois, règles et règlements qui fixent un minimum
de normes de conduite.
• ● Les exemples incluent la fiscalité, la protection de l'environnement et les
relations avec les employés.
• ● Le respect des politiques et procédures internes est une question
opérationnelle.
• d) Ce qui suit est une aide mémoire utile pour les classes d'objectifs COSO: O =
Opérations R = Rapports C = Conformité

374
 Types de Contrôle
• 1. Contrôles Primaires:
• a. Les contrôles préventifs
• dissuadent la survenue d'événements indésirables.
• 1) Stockage de la petite caisse dans un coffre-fort verrouillé et la séparation
des fonctions , sont des exemples.
• 2) Les exemples informatiques incluent (a) la conception d'une base de
données afin que les utilisateurs ne puissent pas saisir de lettre dans le
domaine qui stocke un numéro de sécurité sociale et (b) nécessitant le
nombre de factures dans un lot à saisir avant le début du traitement.
• b. Les contrôles détectifs
alertent les personnes appropriées après un événement indésirable. Elles sont
efficaces lorsque la détection se produit avant que des dommages matériels ne se
produisent.
• 1) Par exemple, un lot de factures soumises pour traitement peut être rejeté
par le système informatique s'il comprend des paiements identiques à un seul
fournisseur. Un contrôle de détection permet de signaler automatiquement
tous les lots rejetés au service des comptes fournisseurs.
• 2) Une alarme antivol est un autre exemple.

375
• c. Les contrôles correctifs corrigent les effets
négatifs des événements indésirables.
• 1) Un exemple est une exigence que tous les écarts de
coûts au delà d’ un certain montant soient justifiés.
• d. Les contrôles directifs provoquent ou encouragent
la survenance d'un événement souhaitable. Ceux-ci
incluent les éléments suivants:
• 1) Manuels de procédure
• 2) Formation des employés
• 3) Descriptions de poste
• 2. Contrôles Secondaires:
• a. Des contrôles compensatoires (atténuants) peuvent réduire le risque
lorsque les contrôles primaires sont inefficaces. Cependant, ils ne
réduisent pas à eux seuls les risques à un niveau acceptable.
• 1) Un exemple est le manque de séparation des tâches lorsqu'un employé de magasin
est le seul employé présent à la fermeture. En conséquence, l’employé compte l'argent
comptant à la fin de la journée sans surveillance. Le contrôle de compensation à
effectuer le prochaine matin par un superviseur est de concilier le comptage avec les
données de la caisse enregistreuse.
• b. Les contrôles complémentaires fonctionnent avec d'autres contrôles
pour réduire le risque à un niveau acceptable. En d'autres termes, leur
synergie est plus efficace que l'un ou l'autre contrôle seul.
• 1) Par exemple, la séparation des fonctions de comptabilité et de conservation des
reçus d’espèces est complétée par l'obtention de bordereaux de dépôt validés par la
banque.

377
 CONTRÔLES INFORMATIQUES
• Contrôles Généraux:

• a. Les contrôles sur l'information et les technologies connexes

peuvent être classés en deux grandes catégories : (1)
contrôles généraux informatiques et (2) contrôles
d'application.

• b. Selon les GTAG (Global Technology Audit Guide) de l’IIA,

les contrôles généraux informatiques sont ceux qui
concernent tous les composants des systèmes, processus et
données présentes dans l'environnement informatique d'une
entreprise. Les objectifs des contrôles généraux des TI visent
à assurer le développement et la mise en œuvre appropriés
des applications, ainsi que l'intégrité des programmes et des
fichiers de données et des opérations de l'ordinateur.

378
• c. Les contrôles informatiques généraux les plus courants sont:
• 1) Contrôles d'accès logiques (par exemple, mots de passe) sur
l'infrastructure, les applications et Les données
• 2) Contrôles du cycle de vie du développement du système
• 3) Contrôles de gestion du changement de programme
• 4) Contrôles de sécurité physique sur le centre de données
• 5) Contrôles de sauvegarde et de récupération du système et des
données
• . Contrôles des Applications :
• a. Selon le GTAG de l’IIA, les contrôles des applications sont ceux
qui se rapportent à la portée des processus opérationnels
individuels ou aux systèmes d'application. L'objectif des contrôles
d'application est de veiller à ce que:
• 1) Les données d'entrée sont exactes, complètes, autorisées et
correctes.
• 2) Les données sont traitées comme prévu dans un délai
acceptable.
• 3) Les données stockées sont exactes et complètes.
• 4) Les sorties sont précises et complètes.
• 5) Un enregistrement est conservé pour suivre le processus de
données de l'entrée au stockage et à la sortie éventuelle.

380
• L’utilisation d’une Matrice de contrôle :
• a. Les contrôles ne correspondent pas nécessairement aux risques un à un. Certains contrôles
peuvent répondre à plus d'un risque, et plus d'un contrôle peut être nécessaire pour traiter
adéquatement un seul risque.
• 1) Par exemple, supposons que tous les dépositaires de petite caisse doivent présenter des
pièces justificatives de dépenses périodiquement. Ce contrôle permet de garantir que (a) les
comptes de petite caisse maintenus au niveau établi et b) les dépenses de petite caisse sont
examinées pour vérifier leur pertinence.
• 2) Une matrice de contrôle est utile pour faire correspondre les contrôles aux risques dans ces
circonstances. Ce qui suit est un exemple:

381
Exemple de Matrice de contrôle (Control Matrix)

382
 RÉFÉRENTIELS DU CONTRÔLE
• 1. Cadres de contrôle disponibles :
• a. Plusieurs organismes ont publié des cadres de contrôle qui
fournissent un des moyens de s’assurer que l’organisation a pris en
considération tous les aspects du contrôle interne.
• 1) L'utilisation d'un modèle ou d'une conception de contrôle
particulier non mentionné ici peut être spécifiés par des
exigences réglementaires ou légales.
• 2) Certains des cadres les plus connus sont décrits à la page
suivante.
• b. États Unis
• 1) Les enquêtes Watergate de 1973-1974 ont révélé que les
entreprises américaines ont corrompu des représentants du
gouvernement, des politiciens et des partis politiques à l'étranger.
Le résultat a été la Foreign Corrupt Practices Act de 1977.

383
• 2) Le secteur privé a également réagi en créant la Commission nationale des Rapports financiers
frauduleux (NCFFR: National Commission on Fraudulent Financial Reporting)) en 1985.
• a) La NCFFR est connue sous le nom de Commission Treadway parce que James C. Treadway
a été sa première chaise.
• b) La Commission Treadway était initialement parrainée et financée par cinq des
organisations comptables professionnelles basées aux États-Unis.
• c) Ce groupe de cinq personnes est devenu le Comité de parrainage Organisations de la
Commission Treadway (COSO).
• d) La Commission a recommandé que ce groupe de cinq organisations coopèrent par la
création d'orientations pour le contrôle interne.
3) Le résultat a été le COSO Contrôle interne - Cadre intégré, publié au 1992, qui a été modifié
en 1994 et à nouveau en 2013.
• Canada:
• 1) Guide sur le contrôle (communément appelé CoCo sur la base de son
titre Criteria of Control), publié par l'Institut canadien des Experts
Comptables (CICA: Canada Institute of Chartered Accountants).
• Royaume Uni :
• 1) Contrôle interne: Directives aux administrateurs sur le code combiné
(communément dénommé le rapport Turnbull d'après Nigel Turnbull, président du
comité qui a rédigé le rapport), publié par le Financial Reporting Council (FRC) du
Royaume-Uni et republié en tant que Contrôle Interne: Guide Révisé pour les
Administrateurs du Code combiné.
• 2) Le Comité britannique sur les aspects financiers de la gouvernance d'entreprise
(connu officieusement en tant que Comité Cadbury après son président Sir Adrian
Cadbury) a publié son rapport à peu près en même temps que la Commission
Treadway aux États-Unis.
• 3) Il a ensuite été fusionné avec les rapports de deux autres organisations. Le code
combiné qui en résulte comprend des recommandations pour une bonne
gouvernance, comme l’exigence que le PDG et le président soient des personnes
distinctes.

385
• Technologies d’Information:
• 1) Les objectifs de contrôle des technologies de l'information et des
technologies connexes (COBIT: Control Objectives for Information and Related
Technology) cadre le plus connu spécifiquement pour les contrôles
informatiques. COBIT 5 est la plus récente version.
• 2) Le cadre VAL IT (Value from IT Investments) est couvert dans le cadre du
cadre COBIT 5. Il traite de la gouvernance des investissements commerciaux
informatiques.
• 3) Electronic Systems Assurance and Control (eSAC), publié par l’Institute of
Internal Auditors Research Foundation, est un modèle de contrôle alternatif
pour l'informatique (logiciel libre).

386
 LE COSO 2013

COMPOSANTES ET PRINCIPES
 Control Environment

Function
Operating Unit
Division
Risk Assessment

Entity Level
Control Activities

Information & Communication

Monitoring Activities
 Nouveau COSO …

et ses 17 principes fondateurs…et 85 points

d’attention

…pour un contrôle interne efficient…

…pour une meilleure maîtrise des évolutions…

 LES 17 PRINCIPES DU COSO I

1. Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques

2. Le Conseil fait preuve d’indépendance vis à vis du management
Environnement de contrôle
3. La Direction définit les structures, les rattachements, les pouvoirs et
responsabilités
4. Démontre r son engagement pour développer les collaborateurs
5. Renforce r le devoir de rendre compte de ses responsabilité en matière de
CI

6. L’organisation spécifie clairement ses objectifs

Evaluation des Risques 7. Identifie et analyse les risques dans l’ensemble de son périmètre
8. Evalue les risques de fraude
9. Identifie et évalue les changements importants

Activités de Contrôle 10. L’organisation sélectionne et développe les activités de contrôle

11. Notamment en matière de système d’information
12. Met en place des activités de contrôle avec des directives et procédures

Information & 13. Utiliser des informations pertinentes et de qualité

Communication 14. Communication en interne sur le CI
15. Communication en externe sur les facteurs affectant le CI

Pilotage 16. Evaluations continues ou ponctuelles

17. Evaluer et communiquer les faiblesses de CI, en temps voulu

390
ENVIRONNEMENT DE CONTRÔLE :
5 PRINCIPES et 20 points d’attention :

1. L’organisation manifeste son engagement en faveur de

l’intégrité et de valeurs éthiques.
2. Le Conseil fait preuve d’indépendance vis-à-vis du
management. Il surveille la mise en place et le bon
fonctionnement du dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, défi
nit les structures, les rattachements, ainsi que les pouvoirs et
les responsabilités appropriés pour atteindre les objectifs.
4. L’organisation manifeste son engagement à attirer, former et
fidéliser des collaborateurs compétents conformément aux
objectifs.
5. Afin d’atteindre ses objectifs, l’organisation instaure pour
chacun un devoir de rendre compte de ses responsabilités en
matière de contrôle interne.
EVALUATION DES RISQUES :
4 PRINCIPES et 25 points d’attention :

6. L’organisation définit des objectifs de façon suffisamment

claire pour rendre possible l’identification et l’évaluation des
risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de
ses objectifs dans l’ensemble de son périmètre et procède à
leur analyse de façon à déterminer comment ils doivent être
gérés.
8. L’organisation intègre le risque de fraude dans son évaluation
des risques susceptibles de compromettre la réalisation des
objectifs.
9. L’organisation identifie et évalue les changements qui
pourraient avoir un impact significatif sur le système de
contrôle interne.
EVALUATION DES CONTROLES :

3 PRINCIPES et 16 points d’attention :

10. L’organisation sélectionne et développe les activités de

contrôle qui contribuent à ramener à des niveaux acceptables
les risques associés à la réalisation des objectifs.
11. L’organisation sélectionne et développe des contrôles
généraux informatiques pour faciliter la réalisation des
objectifs.
12. L’organisation met en place les activités de contrôle par le
biais de règles qui précisent les objectifs poursuivis, et de
procédures qui mettent en oeuvre ces règles.
INFORMATION ET COMMUNICATION :

3 PRINCIPES et 14 points d’attention :

13. L’organisation obtient ou génère, et utilise, des informations

pertinentes et fiables pour faciliter le fonctionnement des
autres composantes du contrôle interne.
14. L’organisation communique en interne les informations
nécessaires au bon fonctionnement des autres composantes
du contrôle interne, notamment en matière d’objectifs et de
responsabilités associés au contrôle interne.
15. L’organisation communique avec les tiers sur les points qui
affectent le fonctionnement des autres composantes du
contrôle interne.
ACTIVITES DE PILOTAGE :

2 PRINCIPES et 10 points d’attention :

16. L’organisation sélectionne, développe et réalise des

évaluations continues et/ou ponctuelles afin de vérifier si les
composantes du contrôle interne sont mise en place et
fonctionnent.
17. L’organisation évalue et communique les faiblesses de
contrôle interne en temps voulu aux parties chargées de
prendre des mesures correctives, notamment à la direction
générale et au Conseil, selon le cas.
• Modèle CoCo
• a. On pense que le modèle CoCo est plus adapté à des fins d'audit interne. Il
est composé de 20 critères regroupés en 4 composantes:
• 1) Objectif
• 2) Engagement
• 3) Capacité
• 4) Suivi et apprentissage
• COBIT - Un cadre pour la gouvernance et la gestion des
TI
• a. COBIT est le cadre de contrôle et de gouvernance le plus connu qui traite
l’ informatique.
• 1) Dans sa version originale, COBIT se concentrait sur les contrôles des processus
informatiques spécifiques.
• 2) Au fil des ans, la technologie de l'information a progressivement envahi chaque
facette des opérations de l’organisation. L'informatique ne peut plus être
considérée comme une fonction distinct des autres aspects de l'organisation.
• a) L'évolution de COBIT a reflété ce changement dans la nature des TI au sein
l'organisation.

396
 CADRE DE CONTRÔLE INTERNE COCO*:1995

3 objectifs 4 composantes
+ interdépendantes
Efficacité et efficience des
opérations Mission,stratégie, vision,
Fiabilité de l'information risque,opportunités,objec.
interne et externe Engagement:autorité,responsabilité,valeurs
éthiques, confiance
La conformité aux lois et
règlements applicables et Capacité:connaissance,compétence,.processus de
communication
aux politiques internes
Surveillance et formation: suivi et éval.

20 critères spécifiques de
contrôle au niveau de
ces composantes pour
que le contrôle soit
efficace
* Les critères de contrôle mis au point par l'Institut Canadien des Comptables Agréés ( ICCA).
• COBIT 5 - Cinq principes clés
• a. Principe 1: Répondre aux besoins des parties prenantes
• 1) COBIT 5 affirme que la création de valeur est le besoin le plus fondamental
des parties prenantes. Donc, la création de valeur pour les parties prenantes est
l'objectif fondamental de toute entreprise, commerciale ou non.
• a) La création de valeur dans ce modèle est obtenue en équilibrant trois
composantes:
• i) Réalisation des Bénéfices
• ii) Optimisation (et non minimisation) du risque
• iii) Utilisation optimale des ressources
• 2) COBIT 5 reconnaît également que les besoins des parties prenantes ne sont
pas fixes. Ils évoluent sous l'influence de deux facteurs internes (par exemple, des
changements dans la culture l'organisation ) et des facteurs externes (par
exemple, les technologies perturbatrices).
• a) Ces facteurs sont collectivement appelés moteurs des parties prenantes.

398
• 3) En réponse aux besoins identifiés des parties prenantes, des objectifs d'entreprise sont établis.
-

• a) COBIT 5 fournit 17 objectifs d’entreprise génériques qui sont directement liés au modèle de tableau de
bord équilibré.

• - 4) Ensuite, des objectifs liés à l'informatique sont élaborés pour répondre aux objectifs de l'entreprise.
• a) COBIT 5 traduit les 17 objectifs d'entreprise génériques en objectifs informatiques.

• - 5) Enfin, des catalyseurs sont identifiés pour soutenir la poursuite des objectifs liés aux TI. Un
facilitateur est largement défini comme tout ce qui aide à atteindre les objectifs.
• a) Les sept catégories de facilitateurs sont énumérées dans les slides suivantes.

• - 6) COBIT 5 fait référence au processus décrit ci-dessus comme la cascade des objectifs. Ça peut être
représenté graphiquement comme suit:

399
COBIT 5 - La Cascade de Buts
Motivations des parties prenantes

Besoins des parties prenantes

Création de la valeur

Réalisation de bénéfice
Optimisation de risque
Utilisation optimale de
ressources

Objectifs de l’entreprise

Objectifs TI associés

Facilitateurs 400
COBIT 5
Le référentiel COBIT5 repose sur cinq
principes de base qui sont:
• b. Principe 2: Couvrir l'entreprise de bout en bout
• 1) COBIT 5 a une vue d’ensemble de toutes les fonctions de l’entreprise et
ses processus. La technologie de l'information les imprègne tous; il ne
peut pas être considéré comme fonction distincte des autres activités de
l'entreprise.
• a) Ainsi, la gouvernance informatique doit être intégrée à la
gouvernance d'entreprise.
• 2) L'informatique doit être considérée à l'échelle de l'entreprise et de
bout en bout, c'est-à-dire toutes les fonctions et processus qui régissent
et gèrent les informations: partout où ces informations peuvent être en
traitement.
(Une solution est considérée comme de "bout en bout" lorsqu'un
fournisseur propose tous les composants logiciels et matériels requis pour
répondre aux besoins d'un client. Cela sans faire appel à des fournisseurs ou
logiciels extérieurs et en fournissant l'installation et la configuration.)

402
• c. Principe 3: Application d'un cadre unique et intégré
• 1) En reconnaissance de la disponibilité de plusieurs normes
informatiques et des meilleures pratiques, COBIT 5 fournit un cadre
général pour l'informatique d'entreprise dans lequel d'autres
normes peuvent être appliquées de manière cohérente.
• 2) COBIT 5 a été développé pour être un cadre global qui ne traite
pas des problèmes techniques spécifiques; c'est-à-dire que ses
principes peuvent être appliqués indépendamment du matériel et
des logiciels particuliers utilisés.
• Principe 4: permettre une approche globale
• 1) COBIT 5 décrit sept catégories de facilitateurs qui prennent en charge
une gouvernance informatique globale et management:
• a) Principes, politiques et cadres
• b) Processus
• c) Structures organisationnelles
• d) Culture, éthique et comportement
• e) Information
• f) Services, infrastructure et applications
• g) Personnes, aptitudes et compétences
• 2) Les trois derniers de ces facilitateurs sont également classés en tant
que ressources, qui doit être optimisé.
• 3) Les facilitateurs sont interconnectés car ils:
• a) ont Besoin de la contribution d'autres facilitateurs pour être pleinement efficaces et
• b) Fournissent des résultats au profit d'autres facilitateurs.

404
COBIT5 définit un ensemble d’outils pour aider la gouvernance et le
management a atteindre ses objectifs. Ce cadre professionnel a défini sept
catégories d’outils (7 facilitateurs):
• Principe 5: Séparer la gouvernance du management
• 1) La complexité de l'entreprise moderne nécessite une gouvernance et un management à
traiter comme des activités distinctes.
• a) D'une manière générale, la gouvernance est la fixation d'objectifs globaux et le pilotage
des progrès vers ces objectifs. COBIT 5 associe gouvernance avec le conseil d'administration.
• i) Dans tout processus de gouvernance, trois pratiques doivent être traitées: évaluer, diriger et surveiller.
• b) Le management consiste à mener des activités pour atteindre les objectifs de l'entreprise.
COBIT 5 associe ces activités à la direction générale sous le leadership du PDG.
• i) Dans tout processus de gestion, quatre domaines de responsabilité
doivent être abordés: planifier, construire, exécuter et surveiller.

406
 VAL IT
• Value for IT, c’est à dire la création de la valeur pour l’informatique, permet de répondre à la question
fondamentale : Est-ce que les investissements en SI sont réellement managés de sorte à :
• obtenir la contribution maximale à la création de valeur?
• à un coût supportable?
• et avec un niveau de risque acceptable?

• a. VAL IT est basé et complète COBIT.

• b. Son objectif est d'établir des bonnes pratiques qui contribuent au processus de création de valeur. Il mesure,
surveille et maximise la réalisation de la valeur commerciale d’ investissement en TI.
• c. Selon l'Association pour l'audit et le contrôle des systèmes d'information (ISACA), Le cadre informatique VAL
comprend les trois domaines suivants:

• 1) Valoriser la gouvernance. Ce domaine définit la relation entre la TI et l'organisation, qui inclut ces
fonctions dans l'organisation avec des responsabilités de gouvernance.

• 2) Gestion des investissements. Ce domaine gère le portefeuille des Investissements commerciaux

informatiques.

• 3) Gestion de portefeuille. Ce domaine maximise la qualité des analyses de rentabilisation pour les
investissements TI commerciaux.

407
• d. Basé sur les «Four Ares» (comme décrit par John Thorp dans son livre, The
Information Paradoxe - Réaliser les Bénéfices commerciaux des technologies de
l'information, rédigé conjointement avec Fujitsu, publié pour la première fois en
1998 et révisé en 2003, McGraw-Hill, Canada), les analyses de rentabilisation
doivent comprendre des réponses aux quatre questions suivantes:

• 1) L'organisation fait-elle les bonnes choses?

• 2) L'organisation les fait-elle de la bonne façon?
• 3) L'organisation les fait-elle bien?
• 4) L'organisation obtient-elle des bénéfices?
Le Modèle eSAC
• a. Dans le modèle eSAC (Electronic Systems Assurance and
Control), les processus internes de l’entité acceptent les
entrées et produisent des sorties.
• 1) Inputs: mission, valeurs, stratégies et objectifs
• 2) Outputs: résultats, réputation et apprentissage
• b. Les grands objectifs de contrôle du modèle eSAC sont
influencés par le COSO:
• 1) Efficacité et efficience opérationnelles
• 2) Communication d'informations financières et autres
informations de gestion
• 3) Conformité aux lois et réglementations
• 4) Sauvegarde des actifs

409
• c. Les objectifs suivants sont les objectifs d’assurance informatique de l’eSAC:
• 1) Disponibilité. L'entité doit s'assurer que les informations, les processus et les services
sont disponibles en tout temps.
• 2) Capacité. L'entité doit garantir l'achèvement fiable et rapide des transactions.
• 3) Fonctionnalité. L'entité doit s'assurer que les systèmes sont conçus pour les
spécifications de l’utilisateur pour répondre aux exigences de l'entreprise.
• 4) Capacité de protection. L'entité doit s'assurer qu'une combinaison de caractéristiques
physiques et logiques de contrôles empêche tout accès non autorisé aux données du
système.
• 5) Responsabilité. L'entité doit s'assurer que les transactions sont traitées selon des
principes fermes de propriété, d'identification et d'authentification des données.
Guides pour l'évaluation des risques informatiques (GAIT)
• a. La méthodologie GAIT fournit à la direction et aux auditeurs des directives pour
évaluer la portée des contrôles généraux informatiques en utilisant une approche
descendante et basée sur les risques.
• 1) La méthodologie GAIT est conforme à la Norme d'audit no 5 du PCAOB( Public
Company Accounting Oversight Board) et autres cadres de contrôle, par exemple
COSO.
• b. Les quatre principes de la méthodologie GAIT sont les suivants:
• 1) L'identification des risques et des contrôles de TI associés dans les processus de
contrôle général qui devrait être une continuation de l’approche descendante et
fondée sur les risques utilisés pour identifier les comptes importants, les risques pour
ces comptes et les contrôles clés des processus d'affaires.
• 2) Les risques du processus de contrôle général TI qui doivent être identifiés sont ceux
qui affectent les fonctionnalités TI critiques dans les applications financièrement
importantes et les données.
• 3) Les risques liés au processus de contrôle général qui doivent être identifiés existent,
par exemple, dans le code de programme d'application, les réseaux et les systèmes
d'exploitation.
• 4) Les risques dans les processus de contrôle général des TI sont atténués par la
réalisation des objectifs de contrôle TI, et non par des contrôles individuels.

411
Contrôles Soft
• a. Les modèles COSO et CoCo mettent l'accent sur les contrôles softs . Par
exemple, la communication des valeurs éthiques et la promotion de la
confiance mutuelle sont des contrôles softs dans le modèle CoCo. Dans le
modèle COSO, les contrôles softs font partie de l'environnement de
contrôle.
• 1) Les contrôles softs (informels) doivent être distingués des contrôles
durs (formels), tels que la conformité avec des politiques et
procédures spécifiques imposées aux employés d'en haut.
• b. Les contrôles softs sont devenus plus nécessaires à mesure que les
progrès technologiques ont renforcé les employés. La technologie leur a
donné accès à de grandes quantités d’ informations et leur a permis de
prendre des décisions autrefois prises par les plus hautes structures
organisationnelles.
• 1) En plus pour rendre obsolètes de nombreux contrôles durs, les
progrès technologiques ont permis l’automatisation des contrôles
durs, par exemple, l’intégration de modules d'audit dans les
programmes informatiques.

412
• c. L'auto-évaluation des contrôles (CSA: Control Self Assessment))
est une approche de contrôle soft. C'est la participation de la
direction et du personnel dans l'évaluation des contrôles internes
au sein des groupes de travail.
• d. Les contrôles durs(formels) et softs(informels) peuvent être
associés à des risques particuliers et mesurés.
 Contrôles Internes formels et informels
1/ Contrôles formels:
- Politique/ Procédure,
- Organigramme,
- Bureaucratie,
- Processus

2/ Contrôles informels:
- Compétences
- Confiance
- Valeurs partagées
- Encadrement
- Transparence
- Normes éthiques
- Gestion des conflits
- Gestion du changement
 Implications liées à des styles de gestion différents

Autocratique Providentiel Soutien Collégial

Les gens sont Les gens sont Les gens sont Les gens sont
motivés par un motivés par motivés par les motivés par le
appel à des opportunités travail d'équipe
l'obéissance. récompenses d’évolution et la
« modèle matérielles et et réussite. contribution
autorité l'offre du Les travailleurs pour la
militaire » bonheur et sont motivés réalisation des
Culture sécurité. par le souci de objectifs
d’obéissance. Les personnes performance. communs.
heureuses
sont
productives.
 UNITÉ VI:

CONTROLES : APPLICATION

416
 CONTROLES : APPLICATION

6.1 Diagrammes des flux et schématisation des processus. . .

6.2 Cycles comptables et contrôles associés. . . . . . . . . . . .
6.3 Contrôles de gestion. . . . . . . . . . . .

• I/ Interpréter les concepts de contrôle interne et les types de contrôles

• J/ Appliquer des cadres de contrôle interne mondialement acceptés et
appropriés à l'organisation (COSO, etc.)
• K/ Examiner l'efficacité et l'efficience des contrôles internes
• Cette unité d'étude est la quatrième des quatre couvrant le domaine V:
gouvernance, management des risques et Contrôle depuis le programme
d’examen de la CIA de l’IIA. Ce domaine représente 35% de la partie 1 de l'examen
CIA .

417
 Diagrammes des flux et schématisation des processus:
Flowcharts & Process Mapping

• 1. Utilisation des Flowcharts:

• a . Les diagrammes des flux (Flowcharts) sont des représentations graphiques de la
progression pas à pas des informations par la préparation, l'autorisation, le flux, le stockage,
etc. Le système représenté peut être manuel, informatisé ou une combinaison des deux.
• 1) Le flowchart permet à l'auditeur interne d'analyser un système et d'identifier les
forces et faiblesses des contrôles internes et les domaines appropriés sur lesquels l’audit met
l’accent.
• b. Le flowchart est généralement utilisé pendant l'enquête préliminaire pour mieux
comprendre les processus et les contrôles du client.

• Les symboles de flowchart de document couramment utilisés sont les suivants:

418
Symboles de Flowchart: (Flowchart Symbols)

419
Symboles de Flowchart: (Flowchart Symbols)

420
Flowcharts Horizontaux (Horizontal Flowcharts)

• a. Les Flowcharts horizontaux (parfois appelés organigrammes

système (ensemble de processus)) illustrent les responsabilités
(départements ou fonctions) disposés horizontalement sur la page
en colonnes verticales. En conséquence, les activités, les contrôles
et les flux de documents qui constituent la responsabilité d'un
département ou d'une fonction donnée est indiquée dans la même
colonne. PO est un bon de commande et AP représente les
comptes fournisseurs. Ce qui suit est un exemple:

421
 Flowchart Horizental
achat traitement informatique
Réception Entrepôt
Start d'inventaire
les ventes font chuter le niveau des
stocks en dessous du point record
Programme d’inventaire
Fichier
d’expédition
principal
 mise à jour du fichier
d’inventaire
d’inventaire

approuver le fournisseur recommandé par le

programme, commander la quantité, et les conditions, Autorisation
ou apporter les modifications appropriées Programme PO d’acceptation de
l’expédition
 modifier la transaction
 dossier de réception
Marchan Marchan
PO Du Fournisseur dises dises
Fichier PO Programme de réception
d’ouverture  modifier la transaction
 imprimer le bon de
Au Fournisseur commande Saisir la réception
Ajouter au fichier PO ouvert des marchandise
Du Fournisseur

Facture
Fournisseur Programme de facturation
Fichier
 modifier la transaction
maître
Tester les prix et les
AP
conditions
Créer un compte à payer
Saisir les
informations de la
facturation

422
Flowcharts Verticaux
• a. Les Flowcharts verticaux, parfois appelés organigrammes
de programme, présentent les étapes successives dans un
format de haut en bas.
• 1) Leur utilisation principale consiste à décrire les actions
spécifiques menées par un Programme d'ordinateur.

423
Flowchart Vertical
Charger la Facture

Fichier PO
Lire le Numéro de la Facture ouvert

Le N° du fichier
Enquêter sur les doublons
PO ouvert exist ?

Afficher le dossier PO ouvert

Accepter l’approbation de Aviser l’approbation de l’AP

l’utilisateur pour payer

Commande Fichier PO
terminée Fermé

Mise à jour de la commande Fichier PO

reçue ouvert

424
Diagrammes de flux de données: Data Flow Diagrams

• a. Les diagrammes de flux de données montrent comment les données

circulent vers et de et à l'intérieur d'un système d'information et les processus
qui manipulent les données. Un diagramme de flux de données peut être utilisé
pour représenter les détails de niveau inférieur ainsi que les processus de
niveau supérieur.
• 1) Un système peut être divisé en sous-systèmes et chaque sous-système peut
être subdivisé à des niveaux de détail croissants. Ainsi, tout processus peut être
étendu autant de fois que nécessaire pour montrer le niveau de détail requis.
• 2) Les symboles utilisés dans les diagrammes de flux de données sont
présentés ci-dessous:

425
Symboles des Diagrammes de flux de données

entité externe transformation

au système de processus
ou de données

Banque de Flux de
données données
manuelle ou
automatisée
426
• Le Data Flow Diagram est un type de représentation graphique du
flux de données à travers un système d’information. Cet outil est
souvent utilisé comme étape préliminaire dans la conception d’un
système afin de créer un aperçu de ce système d’information. De
plus, il est également utilisé pour visualiser le traitement de
données (structured design).
• Il montre quel type d’informations entre (input) ou sort (output) du
système, d’où elles proviennent et où elles sont stockées.
Cependant, il n’indique ni la temporalité des transmissions de
données, ni l’ordre dans lequel les données circulent.
• Aucun symbole n'est nécessaire pour les documents ou autres sorties car les
Diagrammes des flux de données ne représentent que le flux de données. Pour
la même raison, aucune distinction ne se fait entre le stockage manuel et le
stockage en ligne.

428
 Cartographie des processus
• a. La cartographie des processus est une forme simple
d'organigramme utilisée pour représenter un processus client. Vous
trouverez ci-dessous un exemple de schéma de processus.
Cartographie de processus d’une Facture en traitement dans une
Direction d’Achat

Enquête
Réception Numéro
sur le Commande Marque PO
facture fichier PO
fichier PO terminée Fermée
fournisseur existe?
ouvert

Transmettre
Enquêter sur marquer les
le fichier
des articles en
avec
doublons attente dans
autorisation
possibles le fichier PO
de payer

430
Les cycles comptables et les contrôles associés
• 1. Contrôles internes
• a. Un système de contrôle interne correctement conçu devrait réduire le risque
d’erreurs et empêcher un individu de commettre et de dissimuler une fraude. La
structure de l'organisation et l'attribution des tâches devraient être conçues de
manière à séparer certaines fonctions dans cet environnement.
• 1) Les critères coûts-avantages doivent être pris en compte.
• 2. Séparation des tâches
• a. Pour toute transaction donnée, les trois fonctions suivantes doivent de préférence
être exécutées par des personnes distinctes dans différentes parties de
l'organisation:
• 1) Autorisation de la transaction
• 2) Enregistrement de la transaction
• 3) Conservation des actifs associés à la transaction
• b. Le système de contrôle interne est conçu pour détecter la fraude par une seule
personne mais pas la fraude par collusion ou dérogation de management.

431
Cycles Comptables
• a. Le processus comptable peut être décrit en termes de cinq cycles:
• 1) Ventes aux clients à crédit et reconnaissance de créances
• 2) Recouvrement de la trésorerie des créances clients
• 3) Achats à crédit et reconnaissance des dettes
• 4) Paiement (décaissement) des espèces pour satisfaire les dettes
commerciales
• 5) Paiement des employés pour le travail effectué et répartition des coûts
• b. Les pages suivantes présentent cinq flowcharts et tableaux
d'accompagnement décrivant les étapes dans les cycles et les contrôles à
chaque étape pour une organisation suffisamment grande pour avoir une
séparation optimale des tâches.
• 1) Dans les petites et moyennes organisations, certaines tâches doivent
être combinées. L'auditeur interne doit évaluer si la séparation
organisationnelle des tâches est adéquate.

432
Cycle Ventes- Clients

433
 Les comptes suivants sont utilisés pour saisir les données pertinentes du cycle
de vente et de recouvrement :

Ventes

Reception de Trésorerie

Retours sur Ventes

Créances Douteuses

Provisions pour Créances Douteuses

Créances Irrécouvrables

434
435
436
Cycle des Encaissements

437
Cycle Achats-Fournisseurs

438
Cycle Décaissements

439
Cycle Paie

440
 CONTRÔLES DE MANAGEMENT

• 1. Rôles et Responsabilités
• a. Management
• 1) Le PDG devrait donner le ton au sommet. Les
organisations reflètent les valeurs éthiques et
contrôlent la conscience du PDG.
• 2) Le Directeur Comptable a également un rôle
crucial à jouer. Le personnel comptable a un aperçu
des activités à tous les niveaux de l'organisation.

441
• b. Conseil d‘Administration
• 1) L'engagement de l'entité envers l'intégrité et les valeurs
éthiques se reflète dans le sélections pour les postes de direction.
• 2) Pour être efficaces, les membres du conseil doivent être
capables de juger objectivement, ayant une connaissance de
l’industrie de l’organisation et être disposé à demander aux
autorités les questions sur les décisions de la direction.
• 3) Les Sous-comités importants du conseil d'administration dans
les organisations de taille et de complexité suffisantes comprennent
le comité d’audit, le comité de rémunération, le comité des finances
et le comité des risques.
• c. Auditeurs internes
• 1) La direction est ultimement responsable de la
conception et du fonctionnement du système de
contrôles interne. Cependant, la fonction d'audit
interne d'une organisation peut jouer un important
rôle de conseil.
• 2) La fonction d'audit interne évalue également la
solidité du système de contrôle interne en effectuant
des revues systématiques selon les normes
professionnelles.
• 3) Pour rester indépendant dans la conduite de ces
revues, la fonction d'audit interne ne peut pas être
responsable de la sélection et de l'exécution des
contrôles.

443
• d. Autre personnel
• 1) Tout le monde dans l'entité doit être impliqué dans le
contrôle interne et doit effectuer ses activités de contrôle
appropriées.
• 2) De plus, tous les employés doivent comprendre qu'ils
sont censés informer la hiérarchie de l'entité lorsque les
contrôles ne fonctionnent pas comme prévu.
• 2. Contrôle imposé et Autocontrôle
• a. Le contrôle imposé est l'approche mécanique
traditionnelle. Il mesure les performances par rapport aux
normes et prend ensuite des mesures correctives par le biais
de la personne responsable de la fonction ou le domaine
évalué.
• 1) Bien que courant, il présente l'inconvénient que les
actions correctives ont tendance à venir après la
performance. Le résultat peut être une réponse à des
mauvaises performances plutôt qu'à sa prévention.
• b. L’ Autocontrôle évalue l'ensemble du processus de
gestion et les fonctions exercées. Ainsi, il tente d'améliorer ce
processus au lieu de corriger la performance spécifique du
gestionnaire. La gestion par objectifs en est un exemple.

445
• 3. Définition alternative du contrôle
• a. Sawyer, Dittenhofer et Scheiner, dans l’audit interne de Sawyer
(Altamonte Springs, FL, The Institute of Internal Auditors, 5e éd., 2003,
pages 82-86), définissent le contrôle et décrire les moyens de réaliser le
contrôle.
Leur définition du contrôle est la suivante:
• L'emploi de tous les moyens mis au point dans une entreprise pour
promouvoir, orienter, restreindre, gouverner et contrôler ses diverses
activités dans le but de voir que les objectifs de l'entreprise sont atteints.
Ces moyens de contrôle comprennent, mais ne sont pas limités à savoir:
forme d'organisation, politiques, systèmes, procédures, instructions,
normes, comités, plans comptables, prévisions, budgets, calendriers,
rapports, enregistrements, listes de contrôle, méthodes, appareils et audit
interne.

446
• 4. Organisation
• a. L'organisation, en tant que moyen de contrôle, est une structure qui
approuve le rôle assigné aux personnes au sein de l'organisation afin qu'elle
puisse atteindre ses objectifs efficacement et économiquement.
• 1) Les responsabilités doivent être réparties de façon à ce qu'aucune
personne ne contrôle toutes les phases de toute transaction .
• 2) Les gestionnaires devraient avoir le pouvoir de prendre les mesures
nécessaires pour s'acquitter de leurs responsabilités.
• 3) La responsabilité individuelle doit toujours être clairement définie afin
qu'elle ne puisse être ni contournée ni dépassée.
• 4) Un fonctionnaire qui attribue la responsabilité et délègue l'autorité aux
subordonnés devrait avoir un système efficace de suivi. Son objectif est de
garantir que les tâches attribuées sont correctement exécutées.

447
• 5) Les personnes à qui l'autorité est déléguée devraient être autorisées à
exercer cette autorité sans surveillance étroite. Mais elles devraient vérifier
auprès de leurs supérieurs en cas d'exceptions.
• 6) Les personnes devraient être tenues de rendre compte à leurs supérieurs
de la manière dont ils se sont acquittés de leurs responsabilités.
• 7) L'organisation doit être suffisamment flexible pour permettre des
changements dans sa structure lorsque les plans d'exploitation, les politiques et
les objectifs changent.
• 8) Les structures organisationnelles doivent être aussi simples que possibles.
• 9) Des organigrammes et des manuels devraient être préparés. Ils aident à
planifier et contrôler les changements au sein de l'organisation, ainsi que
permettre une meilleure compréhension de la chaîne d'autorité et attribution
des responsabilités.
• 5. Politiques
• a. Une politique est un principe déclaré qui nécessite, guide
ou restreint l'action. Les politiques devraient suivre certains
principes.
• 1) Les politiques doivent être clairement énoncées par écrit
et organisées systématiquement dans des manuels ou autres
publications et doivent être correctement approuvées. Mais
lorsque la culture organisationnelle est forte, le besoin de
politiques est réduite. Dans une culture forte, une formation
substantielle entraîne un degré d’acceptation des valeurs clés
de l’organisation. Ainsi, ces valeurs sont intensément détenues
et largement partagées.
• 2) Les politiques devraient être systématiquement
communiquées à tous les fonctionnaires et employés de
l'organisation.

449
• 3) Les politiques doivent être conformes aux lois et réglementations
applicables. Elles devraient être conformes aux objectifs et aux
politiques générales prescrits aux niveaux supérieurs.
• 4) Les politiques devraient être conçues pour promouvoir la
conduite des activités autorisées dans une manière efficace,
efficiente et économique. Elles devraient fournir un degré
d'assurance que les ressources sont convenablement protégées.
• 5) Les politiques devraient être revues périodiquement. Elles
devraient être révisées lorsque les circonstances changent.
• 6. Procédures
• a. Les procédures sont des méthodes employées pour
exécuter des activités conformément aux Stratégies. Les
mêmes principes applicables aux politiques s'appliquent
également aux procédures. En plus,
• 1) Pour réduire les risques de fraude et d'erreur, les
procédures doivent être coordonnées afin que le travail d'un
employé soit automatiquement vérifié par un autre qui
exerce de façon indépendante des fonctions prescrites
distinctes. La mesure dans laquelle les contrôles internes
automatiques devraient être intégrés dans le système de
contrôle dépend de nombreux facteurs. Les exemples sont
• (a) le degré de risque,
• (b) le coût des procédures préventives,
• (c) disponibilité du personnel, (d) impact opérationnel, et e)
faisabilité.

451
• 2) Pour les opérations non mécaniques, les procédures prescrites ne
devraient pas être aussi détaillées pour étouffer le recours au
jugement.
• 3) Pour promouvoir une efficacité et une économie maximales,
les procédures prescrites devraient être aussi simples et aussi bon
marché que possible.
• 4) Les procédures ne doivent pas se chevaucher, être en conflit ou
faire double emploi.
• 5) Les procédures devraient être périodiquement revues et
améliorées si nécessaire.
• 7. Personnel
• a. Les personnes embauchées ou affectées doivent avoir les
qualifications requises pour effectuer leur tâches . La
meilleure forme de contrôle sur la performance des individus
est la supervision. Par conséquent, des normes élevées de
supervision devraient être établies. Les pratiques suivantes
aident à améliorer le contrôle:
• 1) Les nouveaux employés devraient faire l'objet d'une
enquête sur l'honnêteté et la fiabilité.
• 2) Les employés devraient recevoir une formation qui leur
donne la possibilité d’amélioration et les tient informés des
nouvelles politiques et procédures.

453
• 3) Les employés devraient être informés des fonctions et
responsabilités des autres segments de l'organisation. Ils
comprendront mieux comment et où leurs emplois s'inscrivent dans
l'organisation dans son ensemble.
• 4) La performance de tous les employés doit être périodiquement
revue pour voir si toutes les exigences essentielles de leur travail
sont satisfaites. La meilleure performance doit être dûment
reconnue. Les lacunes devraient être discutées avec les employés
afin qu'ils aient la possibilité d'améliorer leur performance ou
améliorer leurs compétences
• 8. Comptabilité
• a. La comptabilité est le moyen indispensable de
contrôle financier des activités et des ressources.
C'est un cadre qui peut être adapté aux affectations
de responsabilité. De plus, il est le marqueur
financier de l'organisation. Le problème réside dans
les scores à garder. Voici quelques principes de base
pour les systèmes comptables:
• 1) La comptabilité devrait répondre aux besoins
des gestionnaires en matière de prise de décision
rationnelle .

455
• 2) La comptabilité doit être basée sur les lignes de responsabilité.
• 3) Les rapports financiers des résultats d'exploitation doivent être
parallèles aux unités organisationnelles responsables de l'exécution
des opérations.
• 4) La comptabilité doit permettre d'identifier les coûts
contrôlables.
• 9. Budgétisation
• a. Un budget est un énoncé des résultats attendus exprimé en
termes numériques. Comme un contrôle, il établit une norme pour
l’input des ressources et ce qui devrait être réalisé comme
extrants et résultats.
• 1) Ceux qui sont responsables de respecter un budget devraient
participer à sa préparation.
• 2) Les personnes chargées de respecter un budget devraient
recevoir des informations qui comparent les budgets aux
événements réels et indiquent les raisons de tout écart significatif.
• a) La direction doit s'assurer qu'elle reçoit rapidement des
commentaires sur la justification des écarts.

457
• 3) Tous les budgets subsidiaires(secondaires) doivent être liés au
budget global.
• 4) Les budgets devraient fixer des objectifs mesurables. Les
budgets n'ont de sens que si les gestionnaires savent pourquoi ils
ont un budget.
• 5) Les budgets devraient aider à affiner la structure
organisationnelle. Les normes objectives de Budgétisation sont
difficiles à établir dans une combinaison confuse de sous-systèmes.
La budgétisation est donc une forme de discipline et de coordination
• 10. Reporting
• a. Dans la plupart des organisations, la fonction de gestion et de
prise des décisions se basent sur les rapports qu‘elle reçoit. Ainsi, les
rapports doivent être opportuns, précis, significatifs et économiques.
Voici quelques principes pour établir un système interne de
reporting satisfaisant:
• 1) Les rapports doivent être rédigés conformément aux
responsabilités assignées.
• 2) Les individus ou les unités devraient être tenus de faire un
rapport uniquement sur les questions où ils sont responsables.
• 3) Le coût de l’accumulation de données et de la préparation des
rapports doit être mis en balance avec les avantages à en retirer.

459
• 4) Les rapports devraient être aussi simples que possible et conformes à la nature du sujet. Ils
ne doivent inclure que des informations répondant aux besoins des lecteurs. Des classifications
et une terminologie communes devraient être utilisées autant que possible pour éviter toute
confusion.
• 5) Le cas échéant, les rapports sur le rendement devraient montrer des comparaisons avec
des normes prédéterminées de coût, de qualité et de quantité. Les Coûts contrôlables doivent
être séparés.
• 6) Lorsque la performance ne peut être rapportée en termes quantitatifs, les rapports
doivent être conçus pour mettre l'accent sur les exceptions ou autres questions nécessitant une
attention de gestion.
• 7) Pour une valeur maximale, les rapports doivent être opportuns. Rapports opportuns basés
en partie sur les estimations peuvent être plus utiles que les rapports différés qui sont plus
précis.
• 8) Les destinataires du rapport devraient être sondés périodiquement pour voir s'ils reçoivent
toujours les rapports qu'ils reçoivent ou si les rapports pourraient être améliorés.
 UNITÉ VII:

• RISQUES DE FRAUDE ET CONTRÔLES

462
 Risques de Fraude et Contrôles
Cette unité d’étude couvre le domaine VI: Risques de fraude du programme d’examen CIA de l’IIA. Ce domaine
représente 10% de la partie 1 de l'examen CIA et est testé aux niveaux cognitifs de base et expert

• Fraude - Risques et types.

• Fraude - Contrôles.
• Fraude – Enquête
• Risques de fraude (10%)
• A Interpréter les risques de fraude et les types de fraude et déterminer si les risques de
fraude nécessitent une attention particulière lors de la réalisation d'une mission (Niveau
Expert)
• B Évaluer les risques de fraude (signaux d'alarme, etc.) et comment les l'organisation
détecte et gère les risques de fraude (Niveau Expert)
• C Recommander des contrôles pour prévenir et détecter la fraude et l'éducation pour
améliorer la sensibilisation à la fraude de l'organisation (Niveau Expert)
• D Reconnaître les techniques et les rôles d'audit interne liés à l'audit judiciaire
(entretien, enquête, test, etc.) (Niveau Basique)

463
 Définition et principales caractéristiques de la fraude

Le Glossaire de
l’IIA définit la
fraude comme
étant

Tout acte illégal caractérisé par la

tromperie, la dissimulation ou la
violation de la confiance sans qu’il y ait eu
violence ou menace de violence.

Les fraudes sont perpétrées par des

personnes et des organisations afin d’obtenir
de l’argent, des biens ou des services, ou de
s’assurer un avantage personnel ou
commercial. 464
7.1: Fraude- Risques et Types
• 1.Fraude et Risque de Fraude
• a. La fraude est «tout acte illégal caractérisé par la
tromperie, la dissimulation ou l'abus de confiance. Ces actes
ne dépendent pas de la menace de violence ou de la force
physique. Les Fraudes sont perpétrés par des partis et des
organisations pour obtenir de l'argent, des biens ou des
services; pour éviter le paiement ou la perte de services; ou
pour obtenir un avantage personnel ou professionnel. "
• 1) Autrement dit, la fraude est tout acte caractérisé par
une tromperie intentionnelle ou fausse déclaration.
• b. Le risque de fraude est la possibilité qu'une fraude se
produise et les effets potentiels sur l’organisation quand il se
produit.

465
2. Caractéristiques de la Fraude

466
 Le triangle de la fraude…
Opportunité

Prévention
de la
Fraude

 Décourager l’Acte
 Limiter
l’Exposition

w w.theiia.or 246
w g
467
• 3. Effets de Fraude
• a . Les pertes monétaires dues à la fraude sont
importantes, mais son coût total est
incommensurable en termes de temps,
productivité et réputation, y compris les relations
avec la clientèle.
• b. Ainsi, une organisation devrait avoir un
programme de fraude qui comprend des
programmes de sensibilisation, de prévention et
de détection. Il devrait également avoir une
évaluation de processus des risques de fraude
pour identifier les risques de fraude.
468
• 4. Types de Fraude
• a. Le détournement d’actifs consiste à voler de l’argent ou d’autres
actifs (fournitures, stocks, équipements et informations). Le vol peut
être dissimulé, par exemple en ajustant les enregistrements. Par
exemple, la saisie d'entrées de journal frauduleuses peut aider à
dissimuler le vol d'actifs (par exemple, lorsqu'un bien est acheté,
l’auteur débite un compte de dépenses au lieu d’un compte d'actif).
• b. L'écrémage( skimming) est un vol d'argent avant qu'il ne soit
enregistré, par exemple, en acceptant le paiement d’ un client mais
sans enregistrer la vente.
• c. La fraude aux paiements implique le
paiement de biens ou de services fictifs, la
surestimation des factures ou l’utilisation de
factures pour des raisons personnelles.
• d. La fraude au remboursement des
dépenses est le paiement de dépenses fictives
ou par exemple, un rapport de dépenses pour
un voyage personnel, des repas inexistants ou
un kilométrage supplémentaire.

470
• e. La fraude à la paie est une fausse demande d'indemnisation, par
exemple, des heures supplémentaires non travaillées ou des
paiements à des employés fictifs.
• f. Les fausses déclarations dans les états financiers surestiment
souvent les actifs ou les revenus ou sous-estiment le passif et les
dépenses. La direction peut en bénéficier en vendant des actions,
recevoir des bonus ou dissimuler une autre fraude. Par exemple la
fausse déclaration fournit de fausses informations, généralement à
des personnes sous forme d'états financiers frauduleux.
• h. La corruption est une mauvaise utilisation du
pouvoir. Elle laisse souvent peu de preuve
comptable. Ces crimes sont généralement
découverts grâce à des astuces ou des plaintes de
tiers. La corruption implique souvent la fonction
d'achat.
• i. Le pot de vin offre, donne, reçoit ou sollicite
quelque chose de valeur pour influencer un résultat .
Des pots-de-vin peuvent être offerts à des employés
clés tels que les agents d'achat. Ces pots-de-vin sont
généralement commiss par des intermédiaires pour
des vendeurs extérieurs.

472
• j. Un conflit d'intérêts est un intérêt économique personnel non divulgué
dans une transaction qui affecte négativement l'organisation ou ses
actionnaires.
• k. Un détournement redirige vers un employé ou un étranger une
transaction qui profite normalement à l'organisation.
• l. L'utilisation abusive d'informations confidentielles ou exclusives est
frauduleuse.
• m. Une fraude entre apparentés est la réception d'un avantage qui ne
peut être obtenue dans des conditions de pleine concurrence.
• n. L'évasion fiscale falsifie intentionnellement une déclaration de
revenus
• 5. Fraude de bas niveau contre fraude des cadres
• a. La fraude commise par le personnel ou les
employés de ligne(métier) consiste le plus souvent
en un vol de biens ou détournement de fonds.
L'incitation pourrait être le soulagement des
difficultés économiques, le désir pour un gain
matériel, ou une habitude de drogue ou de jeu. Ce
type de fraude vise à faire bénéficier les individus.
• 1) Vol de petite caisse ou de marchandise,
recouvrement des comptes débiteurs et création des
fournisseurs inexistants sont des formes courantes
de fraude de bas niveau.

474
• b. La fraude au niveau du management exécutif est
différente. L’incitation consiste généralement soit à
maintenir ou augmenter le prix de l'action, recevoir
un gros bonus, ou les deux. Ce type de fraude est
destiné à bénéficier à l'organisation.
• 1) La fraude au niveau de la direction consiste
généralement en des déclarations financières
mensongères.
• 6- Les Symptômes de Fraude
• a. Un symptôme de document est toute
altération des registres comptables pour
masquer une fraude. Garder deux ensembles
de livres ou forcer les livres à se réconcilier en
sont des exemples.
• b. Un symptôme de style de vie est une
augmentation inexpliquée du statut social ou
du niveau de consommation de matière.

476
• c. Un symptôme comportemental (c.-à-d. Un
changement radical du comportement d'un
employé) peut indiquer la présence de fraude.
Culpabilité et autres formes de stress associées à la
perpétration et la dissimulation de la fraude peuvent
entraîner des changements de comportement
notables.
7. Quelques indicateurs possibles de fraude
• a. Les fraudes et leurs indicateurs (drapeaux
rouges) ont de différentes formes, notamment:
• 1) Absence de rotation des employés dans les
postes sensibles, tels que la gestion des espèces
• 2) Combinaison inappropriée de tâches
• 3) Lignes de responsabilité et de responsabilité
peu claires
• 4) Des objectifs de vente ou de production
irréalistes
• 5) Un employé qui refuse de prendre des
vacances ou refuse une promotion
• 6) Les contrôles établis ne sont pas appliqués de manière cohérente
• 7) Bénéfices déclarés élevés lorsque les concurrents souffrent d'un
ralentissement économique
• 8) Taux de rotation élevé parmi les postes de supervision dans les
domaines financiers et comptables
• 9) Utilisation excessive ou injustifiable des achats à fournisseur unique
• 10) Une augmentation des ventes très disproportionnée à
l'augmentation du coût des marchandises vendues
• 11) Les exigences importantes du contrat diffèrent entre le contrat
réel de celles de l’appel d'offres
• 8. Types de processus frauduleux
• a. Créances de rodage (lapping)
• 1) Dans cette fraude, une personne (ou des
personnes) ayant accès aux paiements des clients et
les comptes débiteurs(AR) volent le paiement d'un
client. La pénurie dans ce compte client est alors
couvert par un paiement ultérieur d'un autre client.
• 2) Le processus se poursuit jusqu'à ce que (a) un
client se plaint de son paiement n’est pas affiché, b)
l’absence de l’auteur permet à un autre employé de
découvrir la fraude, ou (c) l'auteur des faits couvre le
montant volé.

480
• b. Chèque sans provision (cavalerie bancaire ou kitting )
• 1) Le sans provision exploite le délai entre (a) le dépôt d'un
chèque sur un compte bancaire et b) compenser le chèque par
l'intermédiaire de la banque sur laquelle il a été tiré. Cette pratique
est possible uniquement lorsque des vérifications manuelles sont
utilisées. L'utilisation généralisée de transfert électronique de fonds
et autres sauvegardes informatiques en réseau font du kitting
électronique difficile.
• 2) Un chèque est sans provision quand (a) une
personne (le kitter) écrit un chèque au montant
insuffisant sur un compte dans une banque et (b)
dépose le chèque dans une autre banque.
• 3) La deuxième banque crédite immédiatement le
compte de tout ou partie du montant du chèque,
permettant au kitter d'écrire d'autres chèques à ce
sujet (inexistant) . Le cerf-volant couvre ensuite
l'insuffisance de la première banque avec une autre
source de fonds. Le processus peut se dérouler dans
un cercle de comptes à n'importe quel nombre des
banques.

482
• 9. Rôles des Auditeurs Internes
• a. Les auditeurs internes ne sont pas responsables de la
détection de toutes les fraudes, mais ils doivent toujours
être attentifs à la possibilité de fraude.
• Norme de mise en œuvre 1210.A2
• Les auditeurs internes doivent avoir des connaissances
suffisantes pour évaluer le risque de fraude et la
manière dont il est géré par l'organisation, mais ne
devraient pas avoir l'expertise d'une personne dont la
responsabilité principale est de détecter et d'enquêter
sur la fraude.

483
• 1) Selon la norme de mise en œuvre 1220.A1, les auditeurs internes
doivent exercer avec les diligences professionnelles en tenant
compte, entre autres, de la «probabilité d’existence des erreurs
importantes, de fraude ou de non-conformité. »
• 2) Les auditeurs internes doivent donc tenir compte de la
probabilité de fraude lorsqu'ils développent des objectifs de mission
(NMO: 2210.A2).
• Norme de mise en œuvre 2120.A2
• L'activité d'audit interne doit évaluer le potentiel de survenance de
fraude et comment l'organisation gère le risque de fraude.
• b. L'auditeur interne doit prendre en compte les
risques potentiels de fraude dans l'évaluation de
conception du contrôle et choix des procédures
d'audit.
• 1) Les auditeurs internes devraient obtenir une
assurance raisonnable que les objectifs de processus
en cours d'examen sont atteints et des lacunes dans
le contrôle sont détectées.
• 2) La prise en compte des risques de fraude et
leur relation avec des travaux d'audit spécifiques
sont documentés.

485
• c. Les auditeurs internes doivent avoir une connaissance suffisante
de la fraude pour identifier les fraudes (drapeaux rouges).
• 1) Cette connaissance comprend (a) les caractéristiques de la
fraude, (b) les méthodes utilisées pour commettre une fraude, et (c)
les divers schémas de fraude associés aux activités examinés.
• d. Les auditeurs internes doivent être attentifs aux opportunités
qui pourraient permettre la fraude, telles que les faiblesses de
contrôle.
• 1) Si des déficiences de contrôle importantes sont détectées, des
procédures supplémentaires peuvent être effectuées pour
déterminer s'il y a eu fraude.
• e. Les auditeurs internes devraient évaluer les
indicateurs de fraude et décider si d'autres mesures
sont nécessaires ou si une enquête doit être
recommandée.
• f. Les auditeurs internes devraient évaluer si:
• 1) La direction supervise activement les
programmes de gestion des risques de fraude,
• 2) Des mesures correctives opportunes et
suffisantes ont été prises à l'égard de toute lacune
de contrôle notée, et
• 3) Le plan de suivi du programme est adéquat.
Exemple: Le cas échéant, les auditeurs internes
devraient recommander une enquête. 487
7.2: Contrôles de la Fraude
• 1. Programme de gestion de la fraude
• a. Les éléments d'un programme efficace de
gestion de la fraude sont les suivants:
• 1) Politique d'éthique de l'entreprise
• 2) Sensibilisation à la fraude
• 3) Évaluation du risque de fraude
• 4) Examens des contrôles en cours
• 5) Prévention et détection
• 6) Enquête

488
• 2. Contrôles
• a. Le contrôle est le principal moyen de gérer la fraude et
de garantir que les éléments de programme de gestion de
la fraude sont présents et fonctionnent.
• b. Le cadre de contrôle interne du COSO peut être
appliqué dans le contexte de la fraude pour promouvoir un
environnement dans lequel la fraude est efficacement
gérée.
• 1) L'environnement de contrôle comprend des éléments tels
qu'un code de conduite, politique d'éthique ou politique de
fraude pour établir le ton approprié en haut; engager et
promouvoir les directives et les pratiques ; et la surveillance
du conseil d'administration.
• 2) Une évaluation du risque de fraude comprend
généralement les éléments suivants:
• a) Identifier et hiérarchiser les facteurs de risque de
fraude et les programmes de fraude
• b) Déterminer si les contrôles existants s'appliquent aux
programmes de fraude potentiels et identifier les lacunes
• c) Tester l'efficacité opérationnelle des contrôles de
prévention et de détection de la fraude
• d) Documenter et rapporter l'évaluation des risques de
fraude

490
• 3) Les activités de contrôle sont des politiques et procédures pour les
processus opérationnels qui incluent les limites d'autorité et la
séparation des tâches.
• 4) Les pratiques d'information et de communication liées à la fraude
favorisent le programme de gestion de risque de fraude et la position de
l’organisation en matière de risque. Les moyens utilisés comprennent une
formation de sensibilisation à la fraude et confirment que les employés
se conforment aux politiques de l'organisation.
• 5) Le suivi évalue les contrôles antifraude à travers des évaluations
indépendantes des programme de gestion des risques de fraude et son
utilisation.
• c. Prévenir la fraude. Les éléments essentiels
pour prévenir la fraude donnent le ton au sommet
et inculquer une forte culture d’éthique.
• d. Détecter la fraude. Un élément essentiel dans
la détection de la fraude est la rétroaction
(feedback) des employés. Les sources de
Feedback des employés comprennent une ligne
d'assistance (hotline) pour les dénonciateurs
(whistleblower), des entretiens de sortie (exit
interviews) et des enquêtes d’employés (employee
surveys).

492
• 3. Responsabilité des contrôles
• a. La direction est principalement responsable de l'établissement et
du maintien du contrôle.
• b. Les auditeurs internes doivent aider l'organisation en évaluant
l'efficacité et l'efficience des contrôles et la promotion de
l'amélioration continue (Norm. Fonct. 2130).
• 1) Dans une mission d'assurance, les auditeurs internes doivent
aider l'organisation en évaluant l'adéquation et l'efficacité des
contrôles pour répondre aux risques (Norm. Mise en œuvre
2130.A1).
• 2) Les auditeurs internes ne sont pas responsables de la conception
et de la mise en œuvre des contrôles de prévention de fraude.
• 3) Cependant, les auditeurs internes jouant un rôle
de conseil et peuvent aider la direction a identifier
et évaluer les risques et déterminer l'adéquation de
l'environnement de contrôle.
• a) Les auditeurs internes occupent également une
position unique au sein de l'organisation pour
recommander des modifications et pour améliorer
l'environnement de contrôle.

494
• 4. Sensibilisation à la fraude
• a. La sensibilisation à la fraude consiste à comprendre la nature,
les causes et les caractéristiques de la fraude. Elle est développée
par des évaluations périodiques des risques de fraude, la formation
des employés et les communications entre la direction et les
employés.
• b. La formation des employés sur la fraude doit être adaptée aux
risques de fraude de chaque organisation. La formation couvre
généralement les valeurs et le code de conduite de l’organisation,
les types de fraude et les rôles et responsabilités des employés pour
signaler les violations des comportements éthiques.
7.3 : Investigation sur la Fraude
• 1. L'audit judiciaire (Forensic auditing)
utilise les connaissances et les
compétences en comptabilité et en audit
dans des implications juridiques civiles
ou pénales. Les Missions impliquant la
fraude, le soutien aux litiges et les
témoignages d'experts sont des
exemples. Les procédures d'audit
judiciaire comprennent les entretiens,
des enquêtes et des tests.

496
• 2. Enquête sur la fraude
• a. Une enquête rassemble suffisamment d'informations pour
déterminer (1) si la fraude a été survenu (2) les expositions aux pertes, (3)
qui était impliqué et (4) comment la fraude s'est produite.
Elle devrait découvrir toute la nature et l'étendue de la fraude.
• b. Les auditeurs internes, les avocats et d'autres spécialistes mènent
généralement des enquêtes sur les fraudes.
• c. Les activités d'enquête et de résolution doivent être conformes à la
législation locale et les auditeurs devrait travailler efficacement avec un
conseiller juridique et se familiariser avec les lois pertinentes.
• d. La direction met en place des contrôles sur
l'enquête. Ils comprennent (1) le développement des
politiques et procédures, (2) conservation des
preuves, (3) réponse aux résultats, (4) rapports et (5)
communications.
• 1) Ces questions peuvent être documentées dans
une politique de fraude que les auditeurs internes
peuvent aider à évaluer.
• 2) Les politiques et procédures traitent (a) des
droits des individus; b) les qualifications des
enquêteurs; c) les lois pertinentes; et (d) la
discipline(sanctions) des employés, fournisseurs ou
clients, y compris les mesures légales.
498
• 3) L'autorité et les responsabilités des personnes impliquées dans
l'enquête, en particulier l'enquêteur et le conseiller juridique,
doivent être clairs.
• 4) Les communications internes concernant une enquête en
cours devraient être réduites au minimum.
• 5) Une politique devrait spécifier la responsabilité de l’enquêteur
pour déterminer si une fraude a été commise. L’enquêteur ou la
direction décide s'il y a eu fraude et que la direction décide de
notifier aux autorités extérieures.
• e. La responsabilité de l'activité d'audit interne
pour les enquêtes devrait être définie dans sa
charte et dans les politiques et procédures de
fraude.
• 1) Par exemple, l'audit interne peut:
• a) Être principalement responsable,
• b) Agir en tant que ressource, ou
• c) Éviter toute implication car il est
responsable de l'évaluation des enquêtes ou
manque de ressources.

500
• 2) Tout rôle est acceptable si son effet sur
l'indépendance est reconnu et géré de manière
appropriée.
• 3) Les auditeurs internes non seulement évaluent
généralement les enquêtes mais conseillent
également la gestion du processus, y compris
l'amélioration des contrôles.
• 4) Pour être compétentes, les équipes d'enquête sur
les fraudes doivent acquérir une connaissance a) les
stratagèmes(astuce, combine) de fraude, b) les
méthodes d'enquête et c) la loi applicable.
• 5) L'activité d'audit interne peut faire appel au
personnel interne, à l'externalisation ou aux deux.
• f. Un plan d'enquête est élaboré pour chaque
enquête.
• 1) L'enquêteur principal détermine les
connaissances, les aptitudes et les autres
compétences nécessaires.
• 2) Le processus comprend l'obtention de
l'assurance qu'aucun conflit d'intérêts
potentiel existe avec les personnes enquêtées
ou tout autre employé de l'organisation

503
• 3) La planification doit tenir compte des éléments suivants:
• a) Collecte de preuves à l'aide des contrôles, d'entretiens ou de
déclarations écrites
• b) Documenter et conserver les preuves, les règles juridiques de preuve
et les utilisations commerciales des preuves
• c) Déterminer l'étendue de la fraude
• d) Déterminer les méthodes utilisées pour commettre la fraude
• e) Évaluer la cause de la fraude
• f) Identification des auteurs
• 4) Toutes les preuves obtenues doivent être
enregistrées chronologiquement dans un
journal ou un inventaire. Voici des exemples
de preuves:
• a) Lettres, notes de service et
correspondance (sur papier ou sous forme
électronique)
• b) Dossiers financiers
• c) Dossiers d'accès aux TI ou aux systèmes
• d) Enregistrements téléphoniques

505
• e) Informations sur le client ou le fournisseur (par exemple,
contrats, factures et information sur paiement)
• f) Documents publics (p. ex. registres de propriété ou
enregistrements d'entreprises déposés auprès d’organismes
gouvernementaux)
• g) Articles de presse
• h) Sites Web (p. ex. sites de réseautage social)
• 5) L'enquête doit être coordonnée avec la direction, les conseillers
juridiques et d'autres spécialistes.
• 6) Les enquêteurs doivent être prudents, cohérents et bien
informés des droits des personnes entrant dans le champ de
l'enquête et la réputation du l'organisation elle-même.
• 7) Le niveau et l'étendue de la complicité de la fraude dans
l'ensemble de l'organisation ont besoin d’être évalués. Cette
évaluation peut être critique pour éviter (a) de détruire ou
entacher des preuves cruciales et b) obtenir des informations
trompeuses de la part de personnes qui peuvent être impliquées
• 8) L'enquête doit sécuriser les preuves collectées et suivre la
chaîne de procédures de traçabilité (chain of custody procedures).

507
• 3. Interrogatoire des employés
• a. Un interrogatoire lié à la fraude diffère considérablement d'un
entretien normal.
• 1) Le but d'un entretien typique est de rassembler des faits. Lors
d'un interrogatoire, l'auditeur interne a déjà rassemblé les faits
pertinents et demande de confirmation.
• 2) À aucun moment l'auditeur interne ne devrait accuser
l'employé d'avoir commis un crime. Si l'accusation n'est pas
démontrable, l'organisation pourrait avoir une responsabilité légale
• . 3) L'accusé est généralement interrogé
après que la plupart des preuves
pertinentes ont été obtenues. L'objectif
est souvent d'utiliser les preuves pour
obtenir des aveux.
• 4) Toutes les informations reçues
lors de l'entretien doivent être
correctement documentées. Aussi,
toutes les preuves doivent être soumises
à des procédures efficaces de chaîne de
contrôle.

509
• 5) Deux personnes devraient mener l'entretien, dont l'une prend des notes et
l’autre peut servir de témoin.
• b. L'auditeur interne doit guider la conversation du général au particulier.
• 1) Les questions ouvertes sont généralement utilisées au début de
l'interrogatoire et fermées sont utilisées plus tard alors que l'auditeur se
rapproche de l'obtention d'aveux.
• a) Les questions ouvertes sont du type «Décrivez votre rôle dans
l'approbation du processus fournisseur.«
• b) Les questions fermées sont du type: «Vérifiez-vous personnellement
l’existence de chaque fournisseur qui demande l'approbation? «
2) Méthodes d'entrevue normales concernant le ton non menaçant et
l'observation étroite du langage corporel s'applique.
• c. L'employé ne devrait pas être autorisé à retourner dans
sa zone de travail normale avant l’ achèvement de
l'interrogatoire.
• 1) Parce que l'employé est maintenant au courant de
l'enquête sur la fraude, il peut être tenté de détruire des
preuves précieuses.

511
• 4. Déclaration des fraudes
• a. Le directeur de l'audit est responsable du signalement des
fraudes. Il se compose des différentes communications orales ou
écrites, intermédiaires ou finales à la direction ou au conseil
concernant le statut et les résultats des enquêtes sur les fraudes.
• 1) Une communication officielle peut être émise à la fin de
l'enquête et comprend (a) les délais, (b) les observations, (c) les
conclusions, (d) la résolution, et e) action corrective pour améliorer
les contrôles.
• 2) Il peut être nécessaire de l'écrire pour protéger l'identité de
certaines personnes impliquées.
• 3) Les besoins du conseil d'administration et de la direction, les
exigences légales, les politiques et les procédures doivent être
envisagées.
• b. Un projet de communication finale devrait être soumis au
conseiller juridique pour la revue. Pour être couvert par le secret
professionnel client –avocat (attorney-client privilege), le rapport
doit être adressé au conseiller.
• c. Tout incident de fraude importante ou incident qui amène les
auditeurs internes à remettre en question le niveau de confiance
accordé à une ou plusieurs personnes doit être signalé en temps
opportun à la direction et au conseil.
• d. Si des états financiers publiés antérieurement pour un an ou
plus peuvent avoir été défavorables la haute direction et le conseil
d'administration devraient également être informés.

514
• 5. Résolution des incidents de fraude
• a. La résolution consiste à déterminer les
mesures à prendre après l’achèvement de
l’enquête.
• 1) La direction et le conseil
d'administration sont responsables de la
résolution des incidents de fraude.

515
• b. La résolution peut inclure les éléments suivants:
• 1) Réconforter les personnes qui ont été trouvées innocentes ou qui ont
signalé un problème
• 2) Discipliner l’ employé (sanctions)
• 3) Demande de restitution financière volontaire
• 4) Résiliation des contrats avec les fournisseurs
• 5) Signaler l’incident aux autorités chargées de l’application des lois ou aux
organismes de réglementation, à poursuivre et à coopérer avec eux
• 6) Dépôt d'une action civile pour récupérer le montant prélevé
• 7) Déposer une réclamation d'assurance
• 8) Plainte auprès de l’association professionnelle de l’auteur
• 9) Recommander des améliorations de contrôle
• 6. Communication des incidents de fraude
• a. La direction ou le conseil d'administration décide s'il
faut informer les parties extérieures de l’organisation après
consultation de personnes telles que des conseillers
juridiques, le personnel des ressources humaines et le RAI.
• 1) L'organisation peut devoir notifier aux agences
gouvernementales certains types d’ actes frauduleux. Il
peut également être nécessaire d'informer ses assureurs,
ses banquiers et ses auditeurs externes des cas de
fraude.
• b. La communication interne est un outil stratégique utilisé
par la direction pour renforcer sa position relative à
l'intégrité et de montrer pourquoi les contrôles internes
sont importants.

517
• 7. Avis sur les contrôles liés à la fraude
• a. L'auditeur interne peut être invité par la direction ou le conseil à
exprimer une opinion sur les contrôles internes liés à la fraude. Les
éléments suivants fournissent des conseils pertinents:
• 1) Normes et guides de mise en œuvre applicables à la
communication des résultats (Norme de Fonctionnement 2400, etc.)
• 2) Guide pratique, formulation et expression d'opinions d'audit
interne
• b. Un avis sur les contrôles liés à la fraude est acceptable, mais il n'est
pas approprié pour un auditeur d’ exprimer une opinion sur la culpabilité
d'un suspect de fraude.
 •F I N
•B O N N E C H A N C E

•KRIMI
•abkrimi@yahoo.com
•0021697252635
519