Académique Documents
Professionnel Documents
Culture Documents
Français (CRIPP)
« Cadre de Référence International des
Pratiques Professionnelles de l’audit interne »
Anglais (IPPF)
« International Professional Practices Framework »
PARTIE I
Français (CRIPP)
« Cadre de Référence International des
Pratiques Professionnelles de l’audit interne »
Anglais (IPPF)
« International Professional Practices Framework »
CRIPP/ IPPF
Le cadre de référence internationale pour la pratique
professionnelle (CRIPP)
(Cadre conceptuel)
MISSION
Principes fondamentaux
Définition de l'audit interne Obligatoires
Code de déontologie approuvées
« must»
Normes internationales pour la
pratique professionnelle de l’A.I
La mission énonce le dessein (but) que l’AI cherche à réaliser au sein des
organisations
La réalisation de cette mission repose sur la mise en œuvre de l’ensemble des
dispositions obligatoires et recommandées du CRIPP
La mission d'audit interne définit ce que l'audit interne aspire à accomplir au
sein d'une organisation. Sa place dans la nouvelle IPPF est délibérée afin de
montrer aux praticiens comment ils devraient exploiter l'ensemble du cadre
pour faciliter leur capacité à réaliser la mission.
DISPOSITIONS OBLIGATOIRES
Le respect des principes édictés dans les
dispositions obligatoires est nécessaire et
essentiel pour une pratique professionnelle de l’AI.
Guides Pratiques
• Formuler et exprimer une opinion d’audit
• L’audit des relations avec les partenaires externes
• Audit interne et Fraude
• Auditer la rémunération et les avantages des dirigeants
• Évaluer l’adéquation du management des risques en utilisant la norme ISO 31000
• Auditer l'environnement de contrôle
• Indépendance et objectivité
• Programme d'assurance et d'amélioration qualité
• Elaborer le plan stratégique de l'audit interne
• Evaluer les programmes et les activités relatifs à l'éthique
• L'audit des risques d'atteinte à la vie privée
A/ LES PRINCIPES FONDAMENTAUX
LES PRINCIPES FONDAMENTAUX
Les principes fondamentaux pris dans leur
ensemble sont constitutifs de l’efficacité de
l’audit interne.
Pour qu’une fonction d’audit interne soit
efficace, l’ensemble des principes doivent
être effectivement mis en place et
fonctionner.
La façon dont un auditeur interne ou une fonction d’audit
interne applique chacun de ces principes peut varier d’une
organisation à une autre, mais le non-respect de l’un de ces
principes pourrait impliquer que l’activité d’audit interne ne
réalise pas sa mission aussi efficacement qu’elle le pourrait.
LES 10 PRINCIPES FONDAMENTAUX
23
DÉFINITION DE L’AUDIT INTERNE
Les auditeurs internes doivent être compétents dans chacune des trois activités (Norme
2100): Gestion des risques, Contrôle, Gouvernance
Gouvernance: dispositif comprenant les processus et les structures mis en place par le
Conseil afin d’informer, de diriger, de gérer et de piloter les activités de l’organisation en vue
de réaliser ses objectifs.
La définition intègre le fait que les contrôles aident l'organisation à gérer le risque et à
promouvoir une gouvernance efficace.
Types de missions d'Audit Interne
Assurance Conseil
“Des services de conseil de
“une évaluation objective
nature consultative et
de la preuve en vue de
généralement réalisés à la
formuler en toute
demande spécifique d'un client
indépendance une
de la mission.
opinion ou des
conclusions sur une 2 personnes interviennent dans
entité, une opération, une
la mission: Auditeur, client
fonction, un processus,
un système ou tout autre
sujet.”
3 personnes interviennent
dans la mission:
Auditeur,audité,utilisateur
Types de missions de conseil
Missions de conseil officielles
(formalisées) planifiées et sous réserve
Assurance de l'accord écrit
Missions de conseil informelles
relatives à des activités de routine
(participation aux comités permanents,
aux projets, aux réunions ad-hoc ).
Conseil
Missions de conseil spécialisées
(Rejoindre l'équipe de fusion ou
d'acquisition ou de conversion des
systèmes)
“Combinée” Missions de conseil d'urgence
(Rejoindre l'équipe chargée de la reprise
ou de la gestion des opérations après
un désastre ou tout autre évènement
extraordinaire)
* Toute nature de missions doit être
consignée dans une CHARTE
Quelle est la définition des services d’assurance?
(GLEIM)
34
EXPLICATION
LA MISSION DE CONSEIL DE L’AI
35
C/
CODE D’ETHIQUE OU DE
DEONTOLOGIE
36
Code d’Ethique
39
Exemple d’Intégrité:
Un auditeur interne travaille pour un fabricant de cosmétiques
qui peut tester de manière inappropriée des cosmétiques sur
des animaux. En signe de loyauté envers l'employeur, aucune
information sur les tests n'est recueillie, l'auditeur a violé les
règles de conduite en:
41
Qu'est-ce qu'un conflit d'intérêts? (GLEIM)
•Situation dans laquelle un auditeur interne, qui occupe une
position de confiance, a des intérêts professionnels ou
personnels concurrents. Ces intérêts opposés peuvent rendre
difficile l'exécution de ses tâches de manière impartiale. Un
conflit d'intérêts existe même s'il n'en résulte aucun acte
contraire à l'éthique ou inapproprié.
•Un conflit d'intérêts peut créer une apparence d'irrégularité
susceptible de miner la confiance en l'auditeur interne,
l'activité d'audit interne et la profession. Un conflit d’intérêts
pourrait nuire à la capacité d’une personne de s’acquitter de
ses fonctions et de ses responsabilités avec objectivité.
(norme 1120)
Les auditeurs peuvent-ils évaluer les opérations
dont ils étaient auparavant responsables? (GLEIM)
● Achat de stock dans une organisation cible après avoir lu les rapports
qu'il peut être acquis.
■ La règle de conduite stipule que «les auditeurs internes ne
doivent pas utiliser les informations à des fins personnelles». l'achat
est une violation.
4- Compétence (GLEIM)
• Règles de conduite: compétence
• Les Auditeurs internes:
• 1. Ne s'engageront que dans les services pour lesquels
ils ont les connaissances, les compétences et
expérience.
• 2. Doivent fournir des services d'audit interne
conformément aux normes internationales pour la
Pratique professionnelle de l'audit interne (normes).
• 3. Amélioreront continuellement leur compétence
ainsi que l'efficacité et la qualité de leurs services.
48
Exemple sur la compétence:
Lequel des énoncés suivants enfreint le code d'éthique de l'IIA?
• Le conflit d’intérêt est défini comme toute relation qui n’est pas ou ne semble pas être dans
l’intérêt de l’organisation. Un conflit d’intérêt peut nuire à la capacité d’une personne à
assumer de façon objective ses devoirs et responsabilités.
• L’objectivité peut être compromise si l’auditeur interne doit auditer un département dans
lequel il a travaillé au cours des 12 derniers mois (Norme 1130 A1).
Les cadeaux de valeur non significative et promotionnelle sont permis pour les auditeurs.
La prestation de services rémunérés pour le compte d'un responsable de l'organisation
constitue un conflit d’intérêt.
CONFLIT D’INTERET
Acheter des actions sur la base d'informations publiques contenues dans un rapport
trimestriel ne constitue pas un délit d'initié, mais acquérir des actions d'une entreprise
alors qu'elle fait l'objet d'un audit compromet l'objectivité de l'auditeur.
les auditeurs internes peuvent accepter des cadeaux ou objets promotionnels de la part
de leurs clients, dès lors qu'ils n'ont pas de valeur significative.
• Exemple sur le conflit d’intérêt:
• À la fin de l'année, une équipe d'audit interne a formulé des observations et des recommandations qu'une
organisation peut utiliser pour améliorer l'efficacité opérationnelle. Pour exprimer sa gratitude, le chef de
division a remis à l'équipe d'audit interne un cadeau de valeur modérée. L'équipe d'audit interne se réunit
pour discuter de l'acceptation du cadeau. Les raisons suivantes pour accepter ou ne pas accepter le cadeau
ont été discutées:
• Un auditeur a déclaré: «nous devons accepter le cadeau parce que sa valeur est insignifiante.»
• Un autre auditeur a déclaré: «Nous ne devons pas accepter le cadeau avant d'avoir soumis notre rapport
final de mission.»
• Un troisième auditeur a déclaré: «nous ne devons pas accepter le cadeau». L'auditeur principal a pris en
compte les opinions des autres auditeurs et l'intention des règles de conduite.
• L'auditeur principal a décidé que l’acceptation du cadeau serait inappropriée en raison de l’altération
présumée de jugement professionnel.
D/
LES NORMES
53
OBJECTIFS DES NORMES
1. Guider le respect des éléments obligatoires du cadre
international des pratiques professionnelles.
2. Fournir un cadre de référence pour la réalisation et la promotion
d’un large champ d’intervention d’audit interne à valeur ajoutée ;
Normes de Qualification
• 1000 - Missions, pouvoirs et responsabilités
• 1010 – Reconnaissance des dispositions obligatoires dans la charte de l'audit interne
• 1100 - Indépendance et objectivité
• 1110 - Indépendance dans l’organisation
• 1111 - Relation directe avec le conseil
• 1112 - Rôles du RAI en dehors de l’audit interne
• 1120 - Objectivité individuelle 2.3
• 1130 - Atteinte à l'indépendance ou à l'objectivité
59
LES NORMES IIA DISCUTÉES DANS LA PARTIE 1-Suite
Normes de Fonctionnement
. 2110 - Gouvernance 4.1, 7.1
. 2120 - Gestion des risques 5.1, 7.2
. 2130 - Contrôle
60
LA CHARTE D’AUDIT
La charte d'audit interne est :
• 1000.C1 - La nature des missions de conseil doit être définie dans la charte
d’audit interne.
CHARTE D’AUDIT –SUITE
Indépendance Objectivité
Independence
« est la liberté « est une attitude
impartiale qui permet aux
“…
d'agir sans avoir
the freedom from à
auditeurs internes
conditions that à des
se soumettre d'accomplir leurs
threaten objectivity or
conditions qui missions de telle sorte
the appearance of
menacent...”la qu'ils soient certains de la
objectivity
capacité de l'audit qualité de leurs travaux,
menés sans compromis.»
interne à assumer, * Ne pas subordonner leur
de manière propre jugement à celui
impartiale, ses d’autres personnes.
responsabilités .» *Eviter les préjugés - ou +
INDÉPENDANCE ORGANISATIONNELLE
Conseil d’Administration
Functional
reporting
Administrative Functional
reporting reporting
RAI et Fonction d’Audit Interne
INDÉPEDANCE ET OBJECIVITÉ -
suite-
Rattachement organisationnelle -
suite-
Interprétation (norme 1110)
Rapporte fonctionnellement au
Conseil
A un accès direct et non restreint
au conseil
INDÉPEDANCE ET OBJECIVITÉ -suite-
Rattachement organisationnelle -suite-
Interprétation (norme 1110)
De tels intérêts peuvent empêcher l’auditeur d’exercer ses responsabilités de façon impartiale.
Un conflit d’intérêts peut exister même si aucun acte contraire à l’éthique ou malhonnête n’a été
commis.
Un conflit d’intérêts peut créer une situation susceptible d’entraver la confiance en l’auditeur
interne, la fonction d’audit interne et la profession.
Un conflit d'intérêts peut compromettre la capacité d'une personne à conduire ses activités et
exercer ses responsabilités de manière objective.
OBJECTIVITÉ (GLEIM)
Catégories des
compétences
Amélioration et innovation
Réalisation de l’audit interne
1/Compétences personnelles:
+ Communication, + Persuasion(convaincre) et
collaboration, + esprit critique (recueillir les données et à les
analyser , à tirer des conclusions convaincantes et à formuler des
recommandations).
2/ Expertise technique:
+ Cadre de référence IPPF, + Gouvernance, risque et
contrôle,+ le sens des affaires
Management de l’audit interne
L’éthique professionnelle
Quelles sont les 10 compétences dans le
référentiel de compétences? (GLEIM)
• I. Éthique professionnelle: promet et applique l'éthique professionnelle
• II. Gestion de l'audit interne: développe et gère la fonction de l'audit interne
• III. CRIPP: applique le cadre international des pratiques professionnelles (CRIPP)
• IV. Gouvernance, risque et contrôle: applique une compréhension approfondie des gouvernance, risque et
contrôle appropriés à l'organisation
• V. Sens des affaires: maintient son expertise de l'environnement des affaires et de l'industrie pratiques et
facteurs organisationnels spécifiques
• VI. Communication: communique avec impact(communiquer clairement, efficacement et succinctement)
• VII. Persuasion et collaboration: persuade et motive les autres à travers la collaboration et la coopération
• VIII. Pensée critique: applique l'analyse des processus, l'intelligence d'affaires et techniques de résolution de
problèmes
• IX. Réalisation de l'audit interne: réalise des missions d'audit interne
• X. Amélioration et innovation: adopte le changement et stimule l'amélioration et l'innovation ”
DISTINCTION ENTRE LES NIVEAUX DE COMPETENCE,
COMPREHENSION ET APPRECIATION
COMPETENCE: « Maîtrise »
Savoir parfaitement appliquer leur connaissance des normes et
procédures d'audit à des situations spécifiques, sans recourir de
manière intensive à des recherches et à une assistance technique.
Exemple:Réunir les preuves nécessaires liées à un cas de fraude.
COMPREHENSION:
La capacité à appliquer des connaissances générales aux
situations susceptibles d’être rencontrées au cours des audits.
Exemple: Suivre une formation pour comprendre les systèmes
d’information et de comptabilité informatisée.
APPRECIATION:
La capacité à reconnaitre l’existence de problèmes réels et
potentiels et identifier les recherches complémentaires à entreprendre.
Exemple: Pour un nouvel auditeur, qui vient de rejoindre l’équipe d’audit
c’est par exemple connaitre l’approche rigoureuse pour reconnaitre les
signaux d’alerte indicateurs d’une fraude potentielle lors d’une mission
DOTATION EN PERSONNEL-COMPETENCE
Evaluer la fonction et l’expérience du personnel de l’activité d’audit
interne
• L’émission de commentaires
objectifs sur le processus ou
l’activité proposé
LE PROFESSIONNALISME
« Les diligences de l’audit interne »
Une violation des Normes : l'auditeur ne prendrait aucune
mesure malgré la présence d'éléments indiquant que l'audit
devrait être étendu.
•
Dans la norme 1220, que l’auditeur interne doit-il
prendre en compte lorsqu’il exerce les activités de
diligence professionnelle? (GLEIM)
• Les extentions des travaux nécessaires pour atteindre les
objectifs de la mission;
• Complexité relative, importance relative ou importance des
questions auxquelles des procédures d’assurance sont
appliquées;
• Compétence et efficacité des processus de gouvernance, de
gestion des risques et de contrôle;
• Probabilité d'erreurs significatives, de fraude ou de non-
conformité; et
• Coût de la mission d'assurance par rapport aux avantages
potentiels.
FORMATION PROFESSIONNELLE
CONTINUE
« CPE »
Que comprend la formation professionnelle
continue? (GLEIM)
• Maintenir la maîtrise à travers la formation continue.
• Rester informé des améliorations et des développements en cours
dans les normes, procédures et techniques d'audit interne.
La formation professionnelle continue ?
Description Moyens de formation professionnelle Offres IIA
le moyen par lequel les • Les missions professionnelles. • Séminaires
membres d'une • Le mentorat (coaching) • Conférences
profession • Le réseautage. • Formation sur le
maintiennent, • La formation (grâce à des sources Web: Disponible à
améliorent, et internes et externes). la demande
élargissent leurs
• La participation à des projets de • Vision University:
connaissances, savoir- recherche.
faire, et expérience programme conçu
• L'intelligence collective (synergie du pour la formation
exigés dans leur vie
groupe) des RAI
professionnelle
• Les études (cours universitaires...)
• conférences • * Faire du
• L'appartenance et la participation à marketing sur la
des organismes professionnels fonction à travers
• Les certifications et leur des bulletins
renouvellement(CIA, CRMA…) d’information
Importance des Certifications et leur
Renouvellement
Description Résultats obtenus Certifications IIA
Mesure systématique de • Sortir diplômé d'un • La certification d'auditeur
certaines caractéristiques programme de formation interne certifié ® (CIA)
pour qu'un individu soit agréé ou approuvé.
• Certification en auto-
reconnu comme ayant les • Attester d’un niveau
évaluation des contrôles
connaissances et autres global de compétence et
de professionnalisme. (CCSA)
exigences minimum • Professionnel de l'audit
requises pour un poste ou • Permet d’accéder à des
postes mieux certifié du secteur public
un emploi spécifique. rémunérés. (CGAP)
• Se tenir au courant des • Auditeur de services
* Fidéliser le personnel de dernières évolutions du financiers certifié (CFSA)
l’audit par l’obtention des métier à travers le
certifications appropriées
• Certification en assurance de
CPE (Continuiting
professional
gestion des risques (CRMA)
education)/ an/ nbre
d’heures de formation
C/ ASSURANCE ET AMÉLIORATION
QUALITE
« QIAP » (7%)
Que signifie QAIP? (GLEIM)
•Quality Assurance and Improvement Program
•Programme d'assurance de la qualité et d'amélioration
Quels sont les deux types d’évaluations
internes d’un QAIP? (GLEIM)
1) Évaluations internes en cours de la performance de l'activité
d'audit interne.
2) Évaluations internes périodiques du programme au moyen d'une
autoévaluation ou d'une personne indépendante au sein de
l'organisation qui connaît le programme d’audit interne.
De quelles manières une évaluation externe
peut-elle être réalisée dans un QAIP? (GLEIM)
1) Une évaluation externe complète réalisée par un évaluateur
externe ou une équipe de révision.
2) Un évaluateur indépendant ou une équipe d'examen peut
effectuer une validation indépendante de l'auto-évaluation
interne et du rapport correspondant complété par l'activité d'audit
interne.
À qui les résultats du QAIP sont-ils
communiqués? (GLEIM)
•À la haute direction et au conseil d'administration.
À quelle fréquence les évaluations internes
doivent-elles être effectuées? (GLEIM)
•Des évaluations continues sont effectuées tout au long de l'année et
des évaluations périodiques sont effectuées au besoin.
À quelle fréquence les évaluations externes
doivent-elles être effectuées? (GLEIM)
•Au moins une fois tous les cinq ans.
THE IIA’S CIA LEARNING SYSTEMTM
PLAN DO
ROUE
DE
DEMIN
G
ACT CHECK
www.LearnCia.com 57
Part 2 A – 57
V3.0
Pourquoi un Programme d’Assurance
Qualité?
Le RAI s’assure de la mise en œuvre de processus permettant
de donner aux diverses parties prenantes de l’audit interne
l’assurance raisonnable que ce service:
Innovation et Moyens
(Heures de formation par AI, % de
Personnel certifié…)
Périmètre des évaluations externes
• La conformité à la Définition d'audit interne • Les outils et techniques
au Code de déontologie; aux Normes; à la employés par l'activité d'audit
charte, aux plans, politiques, procédures,
pratiques et exigences législatives et interne
réglementaires applicables de l'activité • L’ensemble de connaissance,
d'audit interne expérience et de disciplines
• Les attentes de l'activité d'audit interne au sein du personnel y
comme indiquées par le Conseil, la compris une concentration
direction générale et les directeurs des sur l'amélioration des
opérations processus.
• L'intégration de l'activité d'audit interne au • L’évaluation de l’apport de
processus de gouvernance de l'organisation, l'activité d'audit interne en
y compris les relations entre et parmi les
principaux groupes impliqués dans le valeur ou en performance des
processus. activités d'une organisation.
Equipe d’évaluation peut être:
• LE RAI doit impliquer la DG , le Conseil Une équipe totalement
dans la sélection d’un examinateur et indépendante de l’organisation
obtenir leur accord.
Une auto-éval.validée par un tiers
Des pairs(membres d’au moins 3
organisations différentes)
Évaluations externes
Des évaluations externes doivent être réalisées au moins
tous les cinq ans par un évaluateur ou une équipe
d’évaluation qualifiés, indépendants et extérieurs à
l’organisation. Le responsable de l’audit interne doit
discuter avec le Conseil au sujet :
• de la forme et de la fréquence des évaluations externes ;
et
• des qualifications et de l’indépendance de l’évaluateur
ou de l’équipe d’évaluation externes ainsi que de tout
conflit d’intérêt potentiel.
Risque Contrôle
Un système continu mis en œuvre par des personnes à tous les niveaux
Fournit une assurance raisonnable et non absolue (ne garantit pas)
Orientée vers la réalisation de la mission, des buts et objectifs de
l'organisation: Efficacité et efficience des opérations, Fiabilité du
reporting , Conformité avec les lois et règlements applicables.
Qu'est-ce que la Gouvernance?
Concepts fondamentaux de Gouvernance:
Commence au sommet et cascades
“La combinaison des tout au long de l'organisation
processus et des
structures mis en Implique les relations critiques entre le conseil,
place par le conseil la haute direction et les actionnaires
afin d'informer, Englobe la structure organisationnelle et
diriger, de gérer et de l'environnement juridique et réglementaire
surveiller les
activités de
l'organisation vers la Equilibre les objectifs économiques et sociaux
réalisation de ses S’étend à toutes les parties
objectifs "
prenantes et la communauté
en général
Définition de l’OCDE
Le résumé suivant des principes de gouvernance est basé sur une publication de
l'IIA:
1) Un conseil d'administration indépendant et objectif avec une expertise, une expérience, l'autorité et les
ressources nécessaires pour mener des enquêtes indépendantes.
3) Une stratégie organisationnelle utilisée pour mesurer la performance de l'organisation et à titre individuel
180
Les Composantes de la gouvernance
• La gouvernance a deux composantes principales: l'orientation
stratégique et la surveillance.
181
Le business model
• Le business model - ou modèle économique - est le concept qui permet à
une entreprise de gagner de l'argent. Il peut se formaliser dans un
document de présentation de la logique globale de l’entreprise et
d’explication de la création de valeur, de comment elle le fait, pour qui, et
comment elle gagne de l’argent.
• Le Business Model décrit précisément comment votre entreprise va
gagner de l'argent. En pratique, cela revient à définir ce que vous allez
vendre, auprès de quels clients, dans quel but, de quelle manière et pour
quel bénéfice.
• Dans le business model il est indiqué le qui, quoi, comment se fera la
mise en œuvre, le temps nécessaire, les étapes et le planning
• Ex: l’industrialisation a consisté à augmenter la production par personne.
• Ex: Le modèle low-cost
Le business plan
• Le business plan – ou plan d’affaire - est la déclinaison concrète,
opérationnelle et chiffrée du business model. Il prend la forme d’un
document formel de présentation de la stratégie de l’entreprise, de
la vision du dirigeant, de comment sera implémenté le business
model, de sa situation financière future (bilan prévisionnel) et de
l’activité (compte de résultat prévisionnel) de l’entreprise.
2) La surveillance
est l'élément de gouvernance avec lequel l'audit interne est le plus
concerné. C'est aussi la composante à laquelle les activités de la
gestion et de contrôle des risques sont les plus susceptibles d'être
appliquées.
Les éléments de la surveillance sont :
• a) Activités de gestion des risques exécutées par la haute direction
et par les propriétaires de risques et
• b) Activités d'assurance internes et externes.
Pratiques de Gouvernance
• a. La gouvernance s'applique à toutes les activités
organisationnelles.
• b. Les pratiques de gouvernance reflètent la culture
unique de l’organisation et en dépendent largement
pour l'efficacité.
1) Selon le cadre de gestion des risques de l'entreprise
« COSO », la culture comprend les attitudes, les
comportements et la compréhension du risque, tous
positifs et négatifs, qui influencent les décisions de la
direction et du personnel et reflètent la mission, la
vision et les valeurs fondamentales de l'organisation.
185
2) En conséquence, la culture organisationnelle( ensemble des
croyances, des valeurs et des attitudes d'une entreprise) se reflète
dans:
• a) Fixer des valeurs, des objectifs et des stratégies;
• b) Définir les rôles et les comportements;
• c) mesurer les performances;
• d) Préciser la responsabilité; et
• e) Respect des responsabilités sociales de l'entreprise (RSE).
• La culture organisationnelle affecte l'environnement
de contrôle global et la mission individuelle des
risques et contrôles.
187
• Les pratiques de gouvernance peuvent utiliser diverses formes juridiques,
structures, stratégies et procédures. Elles s'assurent que l'organisation:
• 1) se conforme aux règles légales et réglementaires de la société;
• 2) Satisfait aux normes commerciales, principes éthiques et sociaux
généralement acceptés et les attentes de la société;
• 3) Procure un avantage global à la société et renforce les intérêts des
parties prenantes à long et à court terme; et
• 4) rend compte pleinement et honnêtement à ses parties prenantes, y
compris le public, pour la responsabilité de ses décisions, actions et
performances.
Quelle est la définition de la
gouvernance organisationnelle?
•Le glossaire des normes de l'IIA définit la gouvernance
organisationnelle comme étant:
GOUVERNANCE
• Contrôle Interne
• Audit Interne
w w.theiia.org 98
w
Quels sont les principaux domaines de
responsabilité du conseil?
1) Surveillance du chef de la direction (DG ) et des autres
cadres supérieurs.
2) Supervision de la stratégie et les processus de gestion de
l’entreprise de la société (y compris la planification de la
relève).
3) Surveillance des risques et des contrôles internes de la
société, y compris le ton éthique.
Le conseil a les fonctions suivantes:
1) Des codes de conduite et des énoncés de vision sont publiés pour indiquer :
209
• 2) Le conseil d'administration supervise le climat éthique de
l'organisation.
• 3) La haute direction a la responsabilité ultime de promouvoir et de
définir l’exemple de comportement éthique (c.-à-d. donner le ton en
haut).
• a) La haute direction est également chargée d'établir et de
maintenir de solides objectifs et programmes liés à l'éthique.
• 4) Les organisations peuvent désigner un responsable de l'éthique.
• 5) Les auditeurs internes peuvent jouer un rôle actif en
soutenant les principes de culture d’éthique. Les rôles
peuvent comprendre le responsable de l'éthique, un membre
d'un conseil d'éthique ou évaluateur du climat d’éthique:
211
• b) Le rôle et les conseils fournis par l’activité d’audit interne dépend
de la maturité du système de gouvernance.
• i) Dans un système moins mature, l'activité d'audit interne met
l'accent sur le respect (conformité) des politiques, procédures, lois,
etc. Il traite également les risques de base pour l'organisation.
• ii) Dans un système de gouvernance plus mature, l'activité d'audit
interne l'accent est mis sur l'optimisation(efficacité) de la structure
et des pratiques.
• c) La responsabilité de l'activité d'audit interne dans une mission
d’audit pour les questions liées à l'éthique est décrite dans la
norme suivante:
• Norme de mise en œuvre 2110.A1 : L'activité d'audit interne doit
évaluer la conception, la mise en œuvre et l'efficacité des objectifs,
programmes et activités de l’organisation en matière d’éthique.
213
• a) Un code de conduite officiel et des déclarations et politiques connexes (y compris procédures couvrant
la fraude et la corruption)
• b) Démonstrations fréquentes d'attitudes et de comportements éthiques par des dirigeants
• c) Stratégies explicites pour soutenir la culture d’éthique
• d) Signalement confidentiel d'une inconduite présumée
• e) Déclarations régulières des employés, fournisseurs et clients sur le exigences de comportement éthique
• f) Délégation claire des responsabilités en matière de conseil, d'enquête et de rapports
• g) Accès facile aux opportunités d'apprentissage
• h) Pratiques du personnel qui encouragent les contributions des employés
• i) Sondages réguliers auprès des employés, des fournisseurs et des clients pour déterminer l’ état du climat
éthique
• j) Examens réguliers des processus qui sapent la culture éthique
• k) Vérification régulière des références et des antécédents
Quel est le rôle de l‘AI avec le code de conduite?
•Le code de conduite doit être évalué périodiquement
par l’AI pour s’assurer qu’il est pertinent et qu’il
reflète les besoins de l’entreprise.
• En outre, la conformité au code de conduite devrait
également être testée périodiquement et pourrait
même être incluse dans toutes les missions d’audit.
Qu'est-ce que la responsabilité sociale des
entreprises(RSE)citoyennes, environnementales,
humaines, démocratiques?
220
Risques de non RSE
• Les risques de ne pas mettre en œuvre un programme RSE efficace sont les
suivants: entre autres:
chapitre 5
. Identification et dialogue
Identifier/déterminer la RS
avec les parties prenantes
7 questions
centrales Gouvernance de l’organisation Chapitre 6
Relations, Bonnes Questions
Droits de L’environnement Engagement
conditions de pratiques des relatives aux
l’homme sociétal
travail affaires consommateurs
228
Quelles sont les différentes approches qui
peuvent être adoptées pour auditer la RSE?
• Par élément.
• Par partie prenante ou groupe de parties prenantes.
• Par sujet. Par exemple, par lieu de travail, marché, environnement
et communauté.
• Par département / fonction. Auditer la RSE séparément pour chaque
département de l'organisation.
• Par tiers. Audit de tiers pour le respect des termes et conditions de
la RSE.
Quels sont les éléments de la RSE qui sont
communément audités?
• Gouvernance
• Éthique
• Environnement
• Transparence
• Santé, sécurité et sûreté
• Droits de l'homme et conditions de travail
Quels sont les groupes de parties prenantes
dans l'audit de la RSE?
• Employés et leurs familles
• Organisations environnementales
• Les clients
• Fournisseurs
• Les communautés
• Actionnaires
• Groupe de parties prenantes:
Audits séparés des programmes RSE liés à chacun des groupes importants
de parties prenantes sont mis en place et tiennent compte du respect des
lois, règlements et contrats.
232
Activités Commerciales RSE
• Les activités commerciales de RSE comprennent généralement les
éléments suivants:
233
RSE Reporting
Chaque organisation doit prendre une décision
commerciale concernant:
• (1) le coût ou l’avantage de produire un rapport RSE et
(2) quelles informations inclure dans le rapport.
• De nombreuses organisations utilisent des processus
de vérification et d'assurance pour tout ou partie du
rapport pour accroître la responsabilisation et réduire
la probabilité que le rapport apparaisse être un outil de
marketing.
Les méthodes de rapport sont les suivantes:
• 1) Prouver un rapport RSE autonome
234
• 2) Intégrer le rapport RSE au rapport financier annuel
• 3) Fournir des brochures d'information sur la RSE sur des sujets
spéciaux
Les formats de distribution sont les suivants:
• 1) Pages Web
• 2) Catalogues
• 3) Communiqués de presse
• 4) Dépôts réglementaires
Modèle de maturité et approches d’audit RSE
236
IDENTIFICATION DU NIVEAU DE
MATURITÉ
On peut évaluer le niveau de maturité en se basant sur les niveaux de
maturité suivants:
237
• 1) Élément: Des audits séparés de chaque élément sont effectués. Les éléments
suivants sont des Éléments RSE typiques avec des exemples de questions
d'audit:
• a) Gouvernance (les membres du conseil d'administration disposent-ils
d'informations suffisantes et pertinentes pour remplir leurs rôles et
responsabilités?)
• b) Investissement communautaire (quelles pratiques philanthropiques sont
en place et comment les décisions sont-elles prises?)
• c) Environnement (sont des évaluations d'impact social et environnemental
effectué?)
• d) Ethique (une culture anti-corruption est-elle incluse dans le risque de
l'organisation évaluation, code de conduite et politiques?)
• e) Santé, sûreté et sécurité (les incidents sont-ils
signalés, communiqués, gérés et résolus de
manière appropriée?)
239
Les audits des systèmes de gestion environnementale
déterminent si les systèmes sont en place et fonctionnent
correctement pour gérer les risques environnementaux
futurs.
240
Le Progrès par le Partage…
Les audits transactionnels nécessitent une diligence
raisonnable (un niveau raisonnable de recherche) de
l'auditeur. Ce qui constitue une diligence raisonnable pour
chaque phase d'un audit transactionnel et les définitions des
phases sont des questions à débattre. Ces phases sont
souvent caractérisées comme suit:
242
Le Progrès par le Partage…
243
Le Progrès par le Partage…
244
Le Progrès par le Partage…
245
RAPPORT KING SUR LA GOUVERNANCE D’ENTREPRISE
248
RAPPORT KING (King I, II , III et IV)
Le rapport met l’accent sur un leadership efficace basé sur un
fondement éthique et le concept de durabilité.
Les outils clés de la Durabilité de l’entité sont:
-L’innovation
-L’équité
-La collaboration
UNITE IV:
Management de Risque
251
Management de Risque
• Processus du Risque Management
• Référentiel COSO II: Risque Management d’Entreprise (ERM)
• ISO 31000: Référentiel Risque Management
252
4.1- Processus de Management de Risque
• Le risque est «la possibilité qu'un événement se produise qui ait un impact sur
la réalisation de objectifs. Le risque est mesuré en termes d'impact et de
probabilité »(Glossaire IIA).
• La Management des risques est «un processus pour identifier, évaluer, gérer et
contrôler des événements ou situations potentiels pour fournir une assurance
raisonnable quant à la réalisation des objectifs de l’organisation »(Glossaire IIA)
• Il s'agit de l'un des trois processus spécifiquement abordés dans la définition de
l’Audit.
• Le risque prend ses origines dans la formulation de stratégies et l'établissement des objectifs. Deux
organisations n'étant jamais identiques, chaque entreprise possède une stratégie et des objectifs uniques
et affronte un type de risque différent.
• Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En l'absence de
résultat unique, la gamme de possibilités crée l'incertitude quant à la compréhension et à l'évaluation du
risque.
• Le risque peut concerner le fait d'empêcher l'apparition d'éléments négatifs ou d'échouer à faire
apparaître des éléments positifs. Les risques peuvent présenter des menaces pour une organisation ou
être constitués par l'absence de résultats positifs.
• Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité commerciale sont
considérés comme des risques commerciaux. Les risques commerciaux sont les incertitudes associées à la
réalisation des objectifs commerciaux.
• Processus de Management des Risques
• Le processus de Management des risques comprend:
(1) l'identification du contexte, (2) l'identification des risques, (3)
évaluation et priorisation des risques , (4) réponse aux risques, et (5)
surveillance des risques.
La direction doit se concentrer sur les risques à tous les niveaux de
l'entité et prendre les mesures nécessaires pour les gérer.
• Tous les risques pouvant affecter la réalisation des objectifs doivent
être pris en compte.
255
Etape 1: Identification du contexte:
• Une condition préalable à l'identification des risques est d'identifier les contextes importants
où les risques doivent être gérés.
• Les contextes comprennent les éléments suivants (sources):
• a) Lois et règlements
• b) Projets d'immobilisations
• c) Processus opérationnels
• d) Technologie
• e) Marché (p. ex. taux d'intérêt, taux de change, placements en actions)
• f) Organisations
256
Etape 2: Identification des Risques:
• L'identification des risques doit être effectuée à tous les niveaux de l'entité (au niveau
de l'entité: division, unité commerciale) correspondant au (x) contexte (s) identifié (s).
• a) Les exemples de facteurs de risque externes au niveau de l'entité comprennent
les changements technologiques et les changements dans les désirs et les attentes
des clients.
• b) Les exemples de facteurs de risque internes au niveau de l'entité: (1)
interruptions dans les systèmes automatisés, (2) la qualité du personnel
embauché, et (3) le niveau de formation dispensée.
• Certaines occurrences (événements) peuvent être sans conséquence au niveau de
l'entité mais désastreuses pour une unité individuelle.
257
• L'identification des risques doit tenir compte des événements passés
(tendances) et des possibilités futures.
Les méthodes utilisées sont les suivantes:
• a) Inventaires des événements.
Certains événements sont communs à certaines industries. Un logiciel est
disponible qui fournit des listes qui peuvent être utilisées comme point pour
l'identification de l'événement.
• b) Questionnaires et enquêtes.
Les réponses peuvent être évaluées pour identifier les événements potentiels.
• c) Indicateurs d'événements principaux et déclencheurs d'escalade.
les indicateurs des événements phares sont des mesures qui donnent un aperçu
des événements potentiels. Un déclencheur d'escalade est une condition qu'un
indicateur d'événement avancé doit satisfaire avant que l'événement potentiel ne
soit transmis à la direction.
(Signaux d’alerte)
258
Par exemple:
• i) Événement potentiel: panne de l'équipement de
fabrication, entraînant baisse de la production
• ii) Indicateur d'événement avancé: demandes de
maintenance
• iii) Déclencheur d'escalade: demandes de maintenance
en dehors de la maintenance programmée régulièrement
sur une période de 3 mois.
• d) Ateliers et entretiens facilitateurs.
Un animateur anime une discussion de groupe composé de la direction, du personnel ou d'autres
parties prenantes par le biais d'un processus structuré de conversation et d'exploration sur les
événements potentiels.
• e) Analyse des flux de processus.
• Un processus métier unique, tel qu'une autorisation et paiement d’un fournisseur, est étudié
isolément pour identifier les événements qui affectent ses intrants, ses tâches, ses
responsabilités et ses extrants.
• f) Méthodologies de perte des données d'événements .
• Les pertes liées aux effets néfastes des événements du passé peuvent être utilisés pour faire
des prédictions.
Un exemple est de faire correspondre les demandes d’indemnisation des travailleurs avec la
fréquence des accidents.
261
• D'autres méthodes pour identifier les risques sont:
(a) le brainstorming,
(b) SWOT (forces, les faiblesses, les opportunités et les menaces),
et (c) l'analyse des scénarios (analyse par simulation).
« Stress Testing »
Outil ou Description
technique
Brainstorming Le terme «Brainstorming » est souvent utilisé pour signifier tout type de discussion en groupe.
Le «Brainstorming » est une technique dont l’objet est de stimuler l’imagination des personnes à
l’aide des idées et déclarations des autres membres du groupe.
Cette technique peut être utilisé seul ou avec d’autres méthodes d’évaluation des risques citées
ci-dessous et elle est relativement rapide et facile à mettre en place.
Elle est particulièrement utile lors de l'identification des risques liés à de nouvelles technologies, en
l'absence de données ou lorsqu'il est nécessaire de trouver des solutions originales à des problèmes.
Elle permet d'identifier de nouveaux risques et des solutions originales, implique des acteurs clés et
facilite la communication globale.
• Analyse SWOT:
• (Strengths(forces),Weaknesses(faiblesses),Opportunities
(opportunités,Threats (menaces) :
• Ce modèle consiste à effectuer un diagnostic de l'organisme
en analysant ses forces, ses faiblesses, ses opportunités et
ses menaces afin de formuler des options stratégiques et
déterminer où l'organisme devrait investir ses ressources
(Profiter d’opportunités, Réduire des faiblesses, Faire face aux
menaces).
264
Stratégie
Consiste à exploiter les forces
Forces internes du business pour
Opportunités
poursuivre les opportunités
de l’environnement.
Stratégie offensive d’expansion
Stratégie
Consiste à améliorer les
Faiblesses faiblesses internes du
Opportunités business afin de pouvoir
exploiter les opportunités
de l’environnement.
Stratégie défensive
Stratégie
Consiste à utiliser les forces
Forces internes pour se protéger des
Menaces menaces de l’environnement.
Stratégie d’ajustement
Stratégie
Consiste à minimiser les
Faiblesses faiblesses de la firme pour
Menaces
la rendre moins vulnérable
aux menaces extérieurs.
Stratégie de repositionnement
ou de diversification.
• * Analyse STEP (Social, Technologique, Économique,
Politique) devenue PESTEL :
• L’analyse STEP permet à l'organisme d’analyser les
forces du marché et les opportunités catégorisées en
quatre pôles : social, technologique, économique et
politique. Certains auteurs ont ajouté deux autres
catégories : légal et environnemental
267
Combinaison SWOT- PESTEL
PESTEL/ SWOT
268
• Analyse des cinq forces :
• Cette approche consiste en une modélisation de l'environnement
concurrentiel de l'entreprise sous la forme de cinq facteurs qui
influent les actions au sein d'une industrie. Ces cinq forces
consistent en l'intensité de la rivalité entre les concurrents, le
pouvoir de négociation des clients, la menace d'entrants potentiels
sur le marché, le pouvoir de négociation des fournisseurs, la menace
des produits de substitution
269
• Etape 3: Évaluation des risques et priorisation :
1) Le processus d'évaluation des risques peut être formel ou informel.
Ça implique:
• a) évaluer l'importance (en terme Impact) d'un événement,
• b) évaluer la probabilité de l'événement, et
• c) Examiner les moyens de gérer le risque.
2) Les résultats de l'évaluation de la probabilité et de l'impact des
événements à risque identifiés sont utilisés pour hiérarchiser les
risques et produire des informations décisionnelles.
270
• 3) Les méthodes d'évaluation des risques peuvent être qualitatives ou
quantitatives.
• a) Les méthodes qualitatives comprennent:
• (1) les listes de tous les risques,
• (2) les classements des risques (élevé, modéré, faible),
• et (3) les cartes des risques.
• i) Les cartes thermiques (heat map , cartes météorologiques par ex.) présentent les niveaux
de risque par couleur. Des risques qui ont le même probabilité (p. ex. éloignée, peu
probable, possible, probable ou certaine) et impact (par exemple, négligeable, faible,
moyen, élevé ou extrême), ou tomber dans la même gamme de gravité (c.-à-d., évaluation
combinée de probabilité et impact), se voient attribuer la même couleur.
• ii) Les cartes matricielles des risques représentent les risques sur un graphique avec une
probabilité sur un axe et un impact sur l'autre axe.
271
Cartographie des Risques
272
Matrice d’Evaluation de l’Importance du
Risque
Probabilité
Fréquence
Très
Significatif Significatif
Peu
Significatif Significatif
Impact
0
• Les méthodes quantitatives s’appuient sur les chiffres et incluent
des modèles probabilistes (distribution statistique) .
Par exemple, certaines des organisations se concentrent sur les gains
à risque en examinant comment les variables influencent les gains.
La modélisation des risques est une méthode d'évaluation et de priorisation des
risques:
• a) La modélisation des risques classe et valide les priorités de risque lors de la
définition des priorités des missions dans le plan d'audit.
La modélisation des risques permet de mesurer l’occurrence d’événements.
« Les besoins en fonds propres qui découlaient des mesures du risque de crédit
pouvaient varier de 1 à 4 pour un même portefeuille d’actifs. »
• b) Les facteurs de risque peuvent être pondérés en fonction de jugements
professionnels pour déterminer leur importance relative, mais les poids n'ont
pas besoin d'être quantifiés.
• c) Ce modèle simple et le processus d’évaluation des risques qui en résulte
peuvent être représentés comme suit:
275
EXEMPLE:
276
Exemple: suite
• Afin d'établir des priorités pour l'utilisation de ressources d'audit interne qui sont limitées, le RAI
procède à l'analyse suivante:
• ● Le risque D a clairement la priorité sur le risque C car D a à la fois une probabilité plus élevée
et un impact plus important.
• ● Le risque B a également clairement une priorité plus élevée que le risque A car B a une
probabilité plus élevée et le même impact.
• Le choix de la priorité la plus élevée entre le risque D et le risque B est une question de jugement
professionnel basé sur l'organisation de l'évaluation des risques et les priorités déclarées de la
haute direction et du conseil.
• ● Si la menace la plus probable est considérée comme le plus grand risque, le risque D sera
classé plus haut dans le plan de travail de l'audit interne.
• ● De même, si la menace avec le plus grand impact possible entraîne la direction et le conseil
d'administration plus de préoccupation, l’activité d’audit interne accordera une priorité plus
élevée au risque B.
277
• Les voies de communication ouvertes avec la haute direction et le conseil
d'administration sont nécessaires pour garantir que le plan d'audit repose sur les
évaluations du risque approprié et les priorités d'audit. Le plan d'audit devrait être
réévalué si nécessaire.
• La modélisation des risques dans un service de conseil se fait en classant les missions
potentielles:
• (1) d'améliorer la gestion des risques,
• (2) d'ajouter de la valeur,
• et (3) améliorer les opérations de l’organisation.
• La haute direction attribue un poids à chaque élément en fonction des objectifs
organisationnels.
• Les missions avec les valeurs pondérées appropriées sont incluses dans le plan d'audit
annuel.
278
• Etape 4 : Réponses au Risque:
Les réponses aux risques sont les moyens par lesquels une organisation choisit de
gérer les risques individuels:
• a) Chaque organisation sélectionne des réponses aux risques qui alignent les risques sur
l'appétence pour le risque de l'organisation (le niveau de risque que l'organisation a
accepté globalement).
Les stratégies de réponse aux risques sont les suivantes: (4T)
a) L'évitement des risques met fin à l'activité d'où provient le risque. Par exemple, le risque de
sabotage d'un pipeline peut être évité en vendant le pipeline.
b) La rétention(acceptation) des risques accepte le risque d'une activité.
c) La réduction (atténuation) des risques abaisse le niveau de risque associé à une activité. Par
exemple, le risque de piratage des systèmes peut être réduit en maintenant une fonction efficace de
sécurité de l'information au sein de l'entité.
d) Le partage des risques transfère une partie du potentiel de perte à une autre partie.
Des exemples sont assurance, couverture, création de joint-ventures, externalisation
d'une activité, et accords contractuels avec des clients, des fournisseurs ou d'autres
entreprises partenaires.
279
Les contrôles sont des mesures prises par la direction pour gérer le
risque et garantir que les réponses aux risques sont effectuées.
• a) Le risque de contrôle est le risque que les contrôles ne
parviennent pas à gérer efficacement les éléments contrôlables
des risques (contrôle inefficace)
• Le risque résiduel est le risque qui subsiste après l'exécution des
réponses au risque.
• Dans les entités grandes ou complexes, la direction peut nommer
un comité des risques dont le rôle est de:
(a) revoir les risques identifiés par les différentes unités
opérationnelles
et (b) créer un plan d'intervention.
• Tout le personnel doit être conscient de l'importance de
réponse aux risques appropriés pour leurs niveaux d’entité.
280
Etape 5: Pilotage des Risques:
• 1) Le Pilotage des risques (a) suit les risques identifiés, (b) évalue la réponse actuelle aux
risques , (c) surveille les risques résiduels, et (d) identifie les nouveaux risques.
• 2) Les deux sources d'information les plus importantes pour les évaluations en cours de
l'adéquation des réponses aux risques (et la nature changeante des risques) sont:
• a) Les plus proches des activités.
Le directeur d'une unité opérationnelle est en meilleure position pour surveiller les effets des
stratégies de réponses aux risques choisies.
• b) La fonction d'audit.
• Les directeurs d'exploitation ne sont pas toujours objectifs à propos des risques auxquels sont
confrontés leurs unités, surtout s'ils ont aidé à concevoir une stratégie de réponse.
• L'analyse des risques et des réponses fait partie de la normale responsabilité des auditeurs
internes.
281
Responsabilité pour les aspects de management des risques
organisationnels
• La gestion des risques est une responsabilité clé de la haute direction et du conseil
d'administration:
• 1) Les conseils d’administration ont une fonction de surveillance (oversight). Ils déterminent
que les processus de management des risques sont en place, adéquats et efficaces.
• 2) La direction s'assure que de bons processus de management des risques fonctionnent.
• 3) L'activité d'audit interne peut être dirigée pour examiner, évaluer, rapporter et recommander
des améliorations
• a) Elle a également un rôle de conseil dans l'identification, l'évaluation et la mise en œuvre
méthodes et contrôles de management des risques.
282
Ce rôle peut aller de :
* l'absence de rôle;
• à l'audit du processus dans le cadre du plan d'audit ;
• à un soutien et une implication active et continue dans le processus;
• à gérer et coordonner le processus.
• a) Mais assumer des responsabilités de gestion menace le cadre d'indépendance de
l'activité d’audit interne. Cette situation doit être discutée en profondeur et approuvée par
le conseil d'administration.
• Le directeur de l'audit interne doit comprendre les attentes de la direction et du conseil à l'égard des activités
d'audit dans le management des risques. La compréhension est codifiée dans les chartes de l'activité d'audit
interne et du conseil d'administration.
• 1) Si l'organisation n'a pas de processus formels de management des risques, le RAI engage
des discussions officielles avec la direction et le conseil au sujet de leurs obligations de
comprendre, gérer et surveiller les risques.
283
• Les processus de gestion des risques peuvent être formels ou
informels, quantitatifs ou qualitatifs, ou intégrés dans des unités.
• Ils sont conçus pour s’adapter aux culture, style de gestion et
objectifs. Par exemple, une petite entité peut utiliser un comité
informel des risques.
284
Rôle de l’Audit Interne en Management du Risque
L'IIA a publié l'interprétation suivante pour clarifier le rôle de l'audit interne:
Interprétation de la norme 2120
• Déterminer si les processus de management des risques sont efficaces est un jugement résultant de
l’évaluation de l'auditeur interne selon laquelle:
● Les objectifs organisationnels soutiennent et s'alignent sur la mission de l'organisation;
● Les risques importants sont identifiés et évalués;
● Des réponses appropriées au risque sont sélectionnées pour aligner les risques sur l’appétence du risque
de l’organisation ; et
● Les informations pertinentes sur les risques sont saisies et communiquées en temps opportun à travers
l'organisation, permettant au personnel, à la direction et au conseil d'administration d’assumer leurs
responsabilités.
L'activité d'audit interne peut recueillir les informations nécessaires pour étayer cette évaluation durant les
missions multiples. Les résultats de ces missions, considérés ensemble, fournissent une compréhension des
processus de management des risques de l’organisation et de leur efficacité.
Les processus de management des risques sont contrôlés par des activités de gestion continues, des évaluations
périodiques , ou les deux.
285
Deux normes de mise en œuvre relient l'évaluation des risques à des domaines de risques spécifiques.
Norme de mise en œuvre 2120.A1
L’activité d’audit interne doit évaluer les expositions aux risques liés à la gouvernance, les opérations
et les systèmes d'information concernant:
● Atteinte des objectifs stratégiques de l’organisation;
● Fiabilité et intégrité des informations financières et opérationnelles;
● Efficacité et efficience des opérations et des programmes;
● Sauvegarde des actifs; et
● Conformité aux lois, réglementations, politiques, procédures et contrats.
Norme de mise en œuvre 2120.A2
L'activité d'audit interne doit évaluer le potentiel de survenance de fraude et comment l'organisation
gère le risque de fraude.
286
Conformément à la Directive 2120, Management des risques, le RAI et les auditeurs
internes doivent :
1) Acquérir une compréhension claire de:
a) Appétence pour le risque.
b) Missions et objectifs commerciaux.
c) Stratégies commerciales.
d) Risques identifiés par la direction.
i) Les risques peuvent être financiers, opérationnels, juridiques ou réglementaires ou stratégiques.
e) Environnement de gestion des risques actuel et actions correctives antérieures.
f) Moyens d'identification, d'évaluation et de surveillance des risques.
287
Norme de mise en œuvre 2120
• 1) Le directeur de l'audit interne devrait parler avec le conseil d'administration et la haute direction de
l’appétence pour le risque, la tolérance au risque et le management des risques.
• a) Après avoir examiné le plan stratégique, le plan d'affaires et les politiques, le RAI peut déterminer
si les objectifs stratégiques correspondent à la mission, à la vision, et l'appétence pour le risque. Les
gestionnaires de niveau intermédiaire peuvent donner un aperçu en alignement sur leur unité
commerciale.
• 2) L'activité d'audit interne
• a) Alerte la direction de nouveaux risques ou de risques insuffisamment atténués.
• b) Fournit des recommandations et des plans d'action pour les réponses aux risques (par exemple,
accepter, poursuivre, transférer, atténuer ou éviter).
• c) Évalue les processus de management des risques.
• 3) Les auditeurs internes examinent les évaluations des risques par la haute direction, les auditeurs
externes et les régulateurs. Le but est d'apprendre comment l'organisation identifie, évalue et détermine
l'acceptabilité des risques.
• a) Les responsabilités et les processus de risques du conseil d'administration
et des principaux dirigeants sont également évalués.
288
• 4) L'audit interne effectue activement ses propres évaluations
des risques.
• a) Les discussions avec le conseil d'administration et la
direction permettent d'aligner les réponses au risque
recommandées avec l'appétence pour le risque
• b) Un cadre établi (par exemple, COSO ou ISO 31000) peut
être utilisé pour l’identification des risques.
• c) (1) les nouveaux développements dans l'industrie et (2)
les processus de surveillance, l'évaluation et la réponse
aux risques (ou opportunités) peuvent être recherchées.
• 5) Les procédures précédentes permettent aux auditeurs
internes d'effectuer des analyses des lacunes (si les risques
sont identifiés et évalués de manière adéquate).
289
• 6) Les auditeurs internes doivent identifier les risques et les
réponses correspondantes. " Par exemple, la direction peut choisir
d'accepter le risque, et le RAI est appelé de déterminer si la décision est
appropriée, selon l'appétence pour le risque ou la stratégie de
management des risques de l'organisation. Si le RAI conclut que la
direction a accepté un niveau de risque qui peut être inacceptable. . ., Il
doit discuter de la question avec la haute direction et communiquer
l'affaire au conseil d'administration. »
• 7) Si la direction utilise une stratégie d'atténuation des risques, l'activité
d'audit interne peut évaluer l'adéquation et l'opportunité des mesures
correctives, en examinant les conceptions de contrôle et tester les
contrôles et les procédures de surveillance.
• 8) «Pour évaluer si les informations pertinentes sur les risques sont saisies et
communiquées dans l’organisation, les auditeurs internes peuvent interroger le
personnel de divers niveaux et déterminer si les objectifs de l'organisation, les
risques importants, et l'appétence pour le risque le sont compris dans toute
l'organisation. Typiquement, l'activité d'audit interne évalue également
l'adéquation et l'opportunité des résultats de management des risques.
• L'activité d'audit interne peut examiner les procès-verbaux du conseil
,déterminer si les risques les plus importants sont communiqués en temps
opportun au conseil et si le conseil agit pour assurer que la direction a répondu
d’une manière appropriée.
• 9) L'activité d'audit interne devrait également (a) assurer la gestion de ses
risques (par exemple, échec de l'audit, fausse assurance et atteinte à la
réputation) et (b) surveiller toutes les actions correctives.
291
Conformité à la Norme 2120
• 1) La charte d'audit interne et le plan d'audit sont des documents
pertinents.
• 2) Ils sont aussi pertinents, Les procès-verbaux des réunions au cours desquels les éléments de la
norme (par exemple, les recommandations des auditeurs internes) ont été discutées avec le
conseil, la haute direction, les groupes de travail et les comités.
• 3) Les évaluations des risques de l'audit interne et les plans d'action démontrent une évaluation
et amélioration.
• Trois normes de mise en œuvre traitent des responsabilités de management des risques et des
auditeurs internes lors de la réalisation de missions de conseil.
Norme de mise en œuvre 2120.C1
• Pendant les missions de conseil, les auditeurs internes doivent traiter les risques conformément
aux objectifs de la mission et être attentif à l’existence d’autres risques importants.
Norme de mise en œuvre 2120.C2
• Les auditeurs internes doivent intégrer la connaissance des risques issue des missions de conseil
dans leur évaluation des processus de gestion des risques de l’organisation.
Norme de mise en œuvre 2120.C3
• Lorsque ils aident la direction à établir ou à améliorer des processus de management des risques,
les auditeurs internes doivent s’abstenir d’assumer toute responsabilité de gestion des risques.
292
4.2- COSO (Committe of Sponsoring Organzation of the Treadway Commission) II: ERM (Integrated
Framework): Le Management des Risques de l’Entreprise (MRE)
293
ERM: Concepts clés
• 1) La culture consiste en « les attitudes, les comportements et la compréhension du risque, à la
fois positifs et négatifs, qui influencent les décisions de la direction et le personnel et reflètent
la mission, la vision et les valeurs fondamentales de l’ organisation. »
2) Les capacités sont les compétences nécessaires pour réaliser la mission et la vision de
l’entité.
3) Les pratiques sont les méthodes collectives utilisées pour gérer les risques.
294
• 4) Intégrer l’élaboration de la stratégie et la performance.
• a) Le risque doit être pris en compte lors de la définition de la stratégie, les objectifs d’affaires (
Business objectives), les objectifs de performance et la tolérance.
• i) La stratégie indique comment l'organisation va (a) réaliser sa mission et vision et (b) appliquer
ses valeurs fondamentales.
• ii) Les objectifs d’affaires sont les mesures prises pour réaliser la stratégie.
• iii) La tolérance est la plage de variation acceptable des résultats de performances. (Ce terme est
identique à «tolérance au risque» dans le COSO cadre de contrôle interne.)
• i) Le profil de risque est une vue composite des types, de la gravité et des interdépendances des
risques liés à une stratégie spécifique ou a un objectif d’affaire et leur effet sur les performances.
• Un profil de risque peut être créé à n'importe quel niveau (p. ex. entité, division, unité
opérationnelle ou fonction) ou aspect (par exemple, produit, service ou géographie) de
l'organisation. 295
Profil du Risque
Risk curve: courbe de risque
Target:cible
297
:
• ii) Le portefeuille (Portfolio view) est similaire à un profil de
risque. La différence est que c'est une vue composite des
risques liés à la stratégie à l'échelle de l'entité et les objectifs
d’affaires et leurs effets sur la performance des entités.
299
• 5) Gérer les risques:
• a) Le risque est la possibilité que des événements se produisent et affectent la réalisation
des stratégies et objectifs d’affaires.
• b) L'opportunité est toute action ou action potentielle qui crée ou modifie des objectifs ou
approches pour la création, la préservation ou la réalisation de la valeur.
• c) Les pratiques efficaces de ERM offrent une assurance raisonnable (pas une assurance
absolue ) que le risque assumé est approprié.
• d) L'inventaire des risques comprend tous les risques identifiés qui affectent la stratégie et
les objectifs d'affaires.
• e) La capacité de risque est le montant maximum de risque que l'organisation peut
assumer.
• f) L'appétence pour le risque est le montant et les types de risques auxquels l'organisation
est exposée et qu’elle est disposée à les accepter dans la poursuite de la valeur.
300
• g) Le risque inhérent est le risque restant, en l’absence d’actions de
management de modifier son gravité.
• i) Le risque résiduel réel demeure après les mesures de gestion visant
à modifier son gravité.
• h) La réponse aux risques est une mesure prise pour ramener les risques
identifiés au sein de l'appétence pour le risque de l'organisation.
• i) Un profil de risque résiduel comprend les réponses au risque.
• i) Le risque résiduel cible est le risque que l'entité préfère assumer
sachant que la direction a agi ou agira pour en modifier la gravité.
6) La valeur est :
• a) Créée lorsque les avantages obtenus des ressources utilisées dépassent
leurs frais.
• b) Préservée lorsque la valeur des ressources utilisées est maintenue.
• c) Réalisée lorsque les avantages sont transférés aux parties prenantes.
• d) érodée(détruite) lorsque la stratégie de la direction ne produit pas les
résultats escomptés ou la direction n'effectue pas les tâches quotidiennes.
301
ERM: Rôles et Responsabilités
• Le conseil d'administration assure la surveillance des
risques liés à la culture, aux capacités et aux
pratiques ERM. Certains comités du conseil peuvent
être formés à cet effet.
Les exemples sont:
(1) un comité d'audit (souvent requis par les
régulateurs),
(2) un comité des risques qui supervise la ERM,
(3) un comité de rémunération de la haute direction
et (4) une nomination ou un comité de gouvernance
qui supervise la sélection des administrateurs et des
dirigeants
302
• La direction a la responsabilité globale du MRE et est généralement
responsable de la gestion quotidienne des risques, y compris la
mise en œuvre et le développement du Cadre COSO ERM.
• 1) Au sein de la direction, le PDG est responsable suprême de la
MRE(ERM) et la réalisation de la stratégie et des objectifs
d’affaires.
• Une organisation peut désigner un responsable des risques comme
point de coordination centralisé pour faciliter le management des
risques dans l'ensemble de l'entreprise. Ce responsable des risques
est généralement appelé coordinateur centralisé (Chief Risk Officer).
Trois lignes de défense ou de maitrise des risques:
• 1) La première ligne est constituée des principaux propriétaires du risque. Ils
gèrent les performances et les risques pris pour atteindre la stratégie et les
objectifs.
• 2) La deuxième ligne se compose des fonctions de support, par exemple, un
responsable des risques ou un coordinateur centralisé. Ce niveau de
management fournit des conseils sur les performances et les exigences de MRE,
évalue le respect des normes et invite la première ligne d’e^tre prudente dans
la prise des risques .
• 3) La troisième ligne est la fonction d'audit interne. A l'intérieur l'auditeur
audite (ou examine) la MRE, identifie les problèmes et les améliorations, et
informe le conseil et les dirigeants des questions à résoudre.
304
Le plus grand changement réside dans l’identification de six principes
clés qui sous-tendent le nouveau Modèle des Trois Lignes :
• Principe no 1 : La gouvernance d’une organisation doit reposer sur
des structures et des processus appropriés facilitant le devoir de
rendre compte, la mise en œuvre des actions nécessaires pour
atteindre les objectifs de l’organisation, et l’obtention d’une
assurance.
• Principe no 2 : Les rôles des instances de gouvernance assurent que
des structures et des processus adéquats sont en place pour garantir
l'efficacité de la gouvernance.
• Principe no 3 : La responsabilité du management d’atteindre les
objectifs de l’organisation recouvre les rôles des deux premières
lignes du modèle. Ceux de la première sont plus directement liés à
la fourniture de produits et/ou services aux clients de l’organisation
et incluent les fonctions supports. Ceux de la deuxième recouvrent
quant à eux des activités d’appui à la gestion des risques.
• Principe no 4 : Dans son rôle de troisième ligne, l’audit interne fournit
une assurance et des conseils indépendants et objectifs sur l’adéquation
et l’efficacité de la gouvernance et de la gestion des risques. Pour ce faire,
il met en œuvre, de manière adéquate des processus, une expertise et
des points de vue systématiques et méthodiques. Il a la possibilité de
faire appel à d’autres prestataires d’assurance, internes comme externes.
• Principe no 5 : L’audit interne doit impérativement rester indépendant du
management pour préserver son objectivité, son autorité et sa
crédibilité.
• Principe no 6 : Ensemble, tous ces rôles contribuent à la création ainsi
qu'à la protection de la valeur, dès lors qu’ils sont en phase les uns avec
les autres ainsi qu’avec les intérêts prioritaires des parties prenantes.
• En fondant le nouveau modèle sur des principes, l’objectif était de fournir à ses
utilisateurs une plus grande flexibilité. Les instances de gouvernance, l'équipe
managériale et l'audit interne ne sont pas contraints dans des rôles et des
lignes rigides. Le concept de « lignes » a été conservé par souci de familiarité. Il
convient toutefois de noter que le terme ne sert pas à désigner des éléments
structurels mais à distinguer les différents rôles. Les domaines de responsabilité
sont généralement décrits ainsi :
• Devoir de rendre compte de l’instance de gouvernance envers les parties
prenantes en matière de surveillance.
• Actions (comprenant la gestion des risques) entreprises par le management
pour atteindre les objectifs de l’organisation.
• Assurance et conseils obtenus par l’intermédiaire d’une fonction d'audit interne
indépendante et visant à fournir des éclairages, une confiance et à encourager
l’amélioration continue.
• Dans un élan de prudence excessif, d'aucuns prétendent que l'audit
interne devrait se limiter à la « Troisième Ligne », afin d'assurer
l’indépendance et l’objectivité de son équipe. Toutefois, la version
revue du modèle insiste clairement sur le fait qu’« indépendance ne
signifie pas isolement ». Comme le fait remarquer cette mise à jour,
« l’audit interne et le management doivent entretenir un dialogue
régulier [...] Il est fondamental que les rôles de première et
deuxième lignes du management et l’audit interne collaborent et
communiquent ».
MODELES D’ERM
• Il existe de nombreux modèles d'ERM. Ils se distinguent
généralement par leur objectif et leur complexité. Nous allons
d'abord examiner le modèle ERM du COSO. Nous examinerons
ensuite deux autres cadres reconnus : la norme ISO 31000 et les
recommandations Turnbull.
REVISION DU REFERENTIEL COSOII en 2017
5 composantes
20 principes
COSO II VERSION 2017
◾Gouvernance et culture.
◾Stratégie et établissement d'objectifs.
◾Performance.
◾Examen et révision.
◾Information, communication et reporting.
313
COSO II VERSION 2017
314
Les composantes ERM
• Une stratégie choisie doit soutenir la mission et la vision de l'organisation.
Une stratégie mal alignée augmente la possibilité que l'organisation ne
réalise pas sa mission et sa vision, ou puisse compromettre ses valeurs,
même si une stratégie est menée à bien. Par conséquent, la gestion des
risques d'entreprise considère la possibilité que la stratégie ne s'aligne
pas sur la mission et la vision de l'organisation.
• L'autre aspect supplémentaire est les implications de la stratégie choisie.
Lorsque la direction élabore une stratégie et travaille avec des alternatives
avec le conseil d'administration, elle prend des décisions sur les
compromis inhérents à la stratégie. Chaque stratégie alternative a son
propre profil de risque - ce sont les implications découlant de la stratégie.
• Le conseil d’administration et la direction doivent déterminer si la
stratégie fonctionne en tandem avec l’appétence pour le risque de
l’organisation, et comment elle aidera l’organisation à fixer des objectifs
et, à terme, à allouer efficacement les ressources.
315
• Voici ce qui est important:
la gestion des risques d'entreprise consiste autant à comprendre les
implications de la stratégie et la possibilité que la stratégie ne
s'aligne qu'à gérer les risques pour fixer des objectifs. La figure ci-
dessous illustre ces considérations dans le contexte de la mission, de
la vision, des valeurs fondamentales et en tant que moteur de la
direction et des performances globales d'une entité.
316
317
LES RISQUES ET LA STRATÉGIE -suite-
318
• Le management des risques d'entreprise, telle qu'elle est généralement
pratiquée, a aidé de nombreuses organisations à identifier, évaluer et gérer les
risques pour la stratégie. Mais les causes les plus importantes de destruction de
valeur sont ancrées dans la possibilité que la stratégie ne soutienne pas la
mission et la vision de l'entité, et les implications de la stratégie.
• Le management des risques d'entreprise améliore la sélection des stratégies. Le
choix d'une stratégie nécessite une prise de décision structurée qui analyse les
risques et aligne les ressources sur la mission et la vision de l'organisation.
• L'intégration à la stratégie et aux performances clarifie l'importance de
management des risques d'entreprise dans la planification stratégique et son
intégration dans une organisation, car le risque influence et harmonise la
stratégie et les performances dans tous les départements et fonctions.
319
320
LES COMPOSANTS DU MANAGEMENT DES RISQUES EN ENTREPRRISE -
suite-
321
PRINCIPES RELATIFS AUX CINQ COMPOSANTS DU
MANAGEMENT DES RISQUES
322
• Le cadre COSO ERM comprend cinq composantes interdépendantes. Vingt
principes sont répartis entre les cinq composants.
• 1) Les composants ayant un aspect de support sont:
• a) Gouvernance et culture et
• b) Information, communication et rapports.
• 2) Les composants communs du processus sont:
• a) Stratégie et fixation d'objectifs,
• b) Performance, et
• c) Examen et révision.
323
I- Gouvernance et Culture
• La gouvernance donne le ton à l’organisation et établit les responsabilités en
matière de MRE. La culture se rapporte aux comportements souhaités, aux valeurs
et à la compréhension globale du risque détenus par le personnel de
l'organisation. Cinq principes concernent la gouvernance et la culture:
324
• c) La surveillance des risques est plus efficace lorsque le conseil:
• i) Possède les compétences, l'expérience et les connaissances nécessaires en
affaires
a) comprendre la stratégie et l’industrie de l’organisation
et (b) maintenir cette compréhension à mesure que le contexte commercial
change.
• ii) est indépendant de l'organisation.
• iii) Détermine si les capacités et les pratiques de MRE augmentent la valeur.
• iv) Comprend les biais organisationnels (par exemple, une tendance à évitement
excessif des risques ou prise de risques) influençant la prise de décision et met au
défi la direction de les minimiser.
325
• 2) L'organisation établit des structures opérationnelles.
• a) Elles décrivent la manière dont l'entité est organisée et exécute ses activités et
opérations quotidiennes.
• b) Elles sont généralement alignées sur la structure juridique de l’entité et la structure
de management.
• i) La structure juridique détermine le fonctionnement de l'entité (par exemple, en
tant que entité juridique unique ou en tant qu'entités juridiques multiples et
distinctes).
• ii) La structure de gestion établit des lignes hiérarchiques , rôles et
responsabilités. La direction est responsable de définir clairement les rôles et
responsabilités.
• c) Facteurs à considérer lors de l'établissement et de l'évaluation des structures
opérationnelles inclut :
• i) Stratégie et objectifs, y compris les risques associés.
• ii) Nature, taille et répartition géographique.
• iii) Attribution d'autorité et de responsabilité à tous les niveaux.
• iv) Types de lignes hiérarchiques et de canaux de communication.
• v) Exigences de déclaration (p. ex. financière, fiscale, réglementaire et
contractuel).
326
• 3) L'organisation définit la culture souhaitée.
• a) Le conseil d'administration et la direction sont responsables de la définition
de la culture.
• b) La culture est façonnée par des facteurs internes et externes.
• i) Les facteurs internes comprennent (a) le niveau de jugement et
d'autonomie autorisé au personnel, (b) les normes et règles, et (c) la
récompense système en place.
• ii) Les facteurs externes comprennent (a) les exigences légales et (b) les
attentes des parties prenantes (par exemple, les clients et les investisseurs).
• c). La définition de l’organisation de la culture détermine sa place sur le spectre
de culture, qui va de l'aversion au risque à l'agressivité du risque(prise de
risque).
327
• 4) L'organisation démontre son engagement envers
les valeurs fondamentales.
• a) Les valeurs fondamentales de l’organisation
devraient se refléter dans toutes ses actions et les
décisions.
• b) Le ton de l'organisation est la manière dont les
valeurs fondamentales sont communiquées à
travers l’organisation.
• c) Lorsque la culture du risque et le ton sont
alignés, les parties prenantes ont la confiance que
l'organisation respecte ses valeurs
fondamentales.
328
• 5) L'organisation attire, développe et retient des personnes
compétentes.
• b) La fonction des ressources humaines aide la direction à développer les compétences requises par
des processus qui attirent, forment, encadrent, évaluent, récompensent et retiennent des personnes
compétentes.
• c) Des plans d'urgence devraient être élaborés pour préparer la succession. Tels plans forment le
personnel sélectionné à assumer des responsabilités essentielles au MRE. Un exemple est la
formation d'un gestionnaire des risques pour assumer le poste d'agent des risques.
II- Fixation de la Stratégie et des objectifs
• La stratégie doit soutenir la mission, la vision et les valeurs fondamentales
de l’organisation. l'intégration du MRE à la définition de la stratégies aide
à comprendre le profil de risque lié aux objectifs stratégiques et d’affaires.
Quatre principes concernent la fixation de la stratégie et des objectifs :
• 1) L'organisation analyse le contexte d’affaires et son effet sur le profil de
risque:
a) Le contexte commercial concerne les relations, les événements, les
tendances et autres facteurs qui influencent la stratégie et les objectifs
commerciaux de l’organisation.
En conséquence, le contexte commercial comprend les environnements
internes et externes de l’organisation.
330
• i) L'environnement interne se compose de facteurs liés à quatre catégories:
• (a) capital (par exemple, actifs),
• (b) personnes (par exemple, compétences et attitudes),
• (c) les processus (par exemple, tâches, politiques et procédures),
• et (d) la technologie (par exemple, la technologie adoptée).
• ii) L'environnement externe se compose de facteurs liés aux éléments suivants: six catégories:
a) politique (intervention et influence du gouvernement),
• (b) économique (par exemple, taux d'intérêt et disponibilité du crédit),
• (c) social (p. ex. préférences des consommateurs et données démographiques),
• d) technologie (par exemple, activité de R&D),
• (e) juridique (lois, réglementations et industrie)
• (f) environnementales (par exemple, le changement climatique).
331
• b) Le contexte commercial peut être:
• i) Dynamique. De nouveaux risques, émergents et changeants peuvent apparaître à tout
moment (par exemple, de faibles barrières à l'entrée permettent à de nouveaux
concurrents d'émerger).
• ii) Complexe. Un contexte peut avoir de nombreuses interdépendances et interconnexions
(par exemple, une entreprise transnationale a plusieurs unités opérationnelles à travers le
monde, chacune avec des facteurs environnementaux).
• iii) Imprévisible. Le changement se produit rapidement et de manière imprévue (par
exemple, les fluctuations des devises).
• c) L'effet du contexte commercial sur le profil de risque peut être analysé sur la base des
performances passées, présentes et futures.
332
• 2) L'organisation définit l'appétence pour le risque (la quantité de risque qu'elle est prête à
accepter à la recherche de valeur).
• a) L'organisation considère sa mission, sa vision, sa culture, ses stratégies antérieures et la capacité de
risque (le risque maximal qu'il peut assumer) pour définir son appétence pour le risque.
• b) Pour établir l'appétence pour le risque, l'équilibre optimal entre opportunités et risques est recherché.
• c) L'appétence pour le risque peut être exprimée qualitativement (par exemple, faible, modéré, élevé) ou
quantitativement (par exemple, en pourcentage d'un montant financier). Mais ça devrait refléter la façon
dont les résultats de l'évaluation des risques sont exprimés.
333
• 3) L'organisation évalue les stratégies alternatives et leurs
effets sur le profil de risque .
• a) Les approches de l'évaluation de la stratégie
comprennent SWOT (Forces-Faiblesses- Opportunités-
Menaces), analyse des concurrents et analyse de
scénarios.
• b) L'organisation doit évaluer:
• i) L’alignement de la stratégie sur sa mission, sa
vision, ses valeurs fondamentales et l'appétit pour le
risque et
• ii) Les implications de la stratégie choisie (ses risques,
opportunités et effets sur le profil de risque).
• c) La stratégie doit être modifiée si elle ne parvient pas à
créer, à réaliser ou à préserver la valeur.
334
4) L'organisation établit des objectifs commerciaux qui s'alignent avec et soutiennent
sa stratégie.
a) Les objectifs commerciaux sont:
(1) spécifiques,
(2) mesurables,
(3) atteignables (observables )
(4) réalistes (pouvant être obtenus)
Et (5) temporels
b) Les objectifs commerciaux peuvent concerner, entre autres, la performance
financière, excellence opérationnelle ou obligations de conformité.
c) Mesures de rendement, cibles et tolérances (la gamme de valeurs acceptables,
variation des performances) sont établies pour évaluer la réalisation des objectifs.
III- Performance
• La performance est liée aux pratiques de MRE qui soutiennent les
décisions de l'organisation à la recherche de la valeur. Ces pratiques
consistent à identifier, évaluer, hiérarchiser, réagir et développer une
vision de portefeuille du risque.
Cinq principes concernent la performance:
• 1) L'organisation identifie les risques qui affectent la performance de la
stratégie et objectifs d'affaires.
• a) L'organisation devrait identifier les risques qui perturbent les opérations
et affectent l’attente raisonnable d'atteindre la stratégie et les objectifs
commerciaux.
• b) Des risques nouveaux, émergents et changeants sont identifiés. Les
exemples sont les risques résultant de changements dans les objectifs
commerciaux ou le contexte commercial.
• i) L'organisation identifie également les opportunités. Ce sont des
actions ou des actions potentielles qui créent ou modifient des objectifs
ou de la création, la préservation ou la réalisation de valeur. Ils diffèrent
des événements positifs, événements dans lesquels la performance
dépasse la cible d'origine.
336
• c) Les méthodes et approches d'identification des
risques comprennent :
• (1) les activités au jour le jour (par exemple, la
budgétisation, la planification des activités ou
l'examen des clients
• (2) questionnaires simples,
• (3) ateliers animés,
• (4) entretiens ou (5) suivi des données.
• d) L'inventaire des risques comprend tous les
risques qui pourraient affecter l'entité.
• e) L'identification des risques et des
opportunités doit être complète dans tous les
niveaux et fonctions de l'entité.
337
• 2) L'organisation évalue la gravité du risque. La gravité est une mesure de
cette considération comme l'impact, la probabilité et le temps de se
remettre des événements.
• a) Les mesures de gravité courantes comprennent des combinaisons
d'impact et probabilité.
• i) L'impact est le résultat ou l'effet du risque. L'impact peut être
positif ou négatif.
• ii) La probabilité est la possibilité qu'un événement se produise. La
probabilité peut être exprimé qualitativement (par exemple, une
probabilité éloignée), quantitativement (par exemple, une
probabilité de 75%), ou en termes de fréquence (par exemple, une
fois tous les 6 mois).
• b) L'horizon temporel pour évaluer le risque doit être identique à celui de
la stratégie et objectif commercial. Par exemple, le risque affectant une
stratégie qui prend 2 ans à réaliser doit être évalué sur la même période.
• c) Le risque est évalué à plusieurs niveaux (par exemple, entité, division,
unité opérationnelle, et fonction) de l’organisation et liés à la stratégie et
aux objectifs
• i) La gravité d'un risque peut varier d'un niveau à l'autre. Par
exemple, un risque avec une gravité élevée au niveau de l'unité
opérationnelle peut avoir une gravité modérée au niveau de l'entité.
• d) Des méthodes qualitatives et quantitatives peuvent être utilisées pour
évaluer le risque.
• i) Les méthodes qualitatives sont plus efficaces et moins coûteuses
que les méthodes quantitatives. Des exemples sont des entretiens,
des enquêtes et analyse comparative.
• ii) Les méthodes quantitatives sont plus précises que les méthodes
qualitatives. Les exemples sont les arbres de décision, la modélisation
(probabiliste et non probabiliste) et simulation de Monte Carlo.
339
• e) L'organisation doit réévaluer la gravité à chaque fois que des
événements déclencheurs tels que des changements dans le
contexte commercial et l'appétence pour le risque.
• f) L'évaluation des risques doit tenir compte du risque inhérent, du
risque résiduel cible et risque résiduel réel.
• g) Les résultats de l'évaluation peuvent être présentés à l'aide d'une
carte thermique, qui met en évidence la gravité relative de chaque
risque. Plus la couleur est chaude, plus la gravité du risque est
grande.
340
• 3) L'organisation priorise les risques à tous les niveaux.
• a) La hiérarchisation des risques permet à
l'organisation d'optimiser l'allocation de ses
ressources limitées.
• b) En plus de la gravité (p. ex. impact et probabilité),
les facteurs suivants sont à considérer lors de la
hiérarchisation des risques:
• i) Critères convenus
• ii) Appétence pour le risque
• iii) L'importance des objectifs commerciaux
concernés
• iv) Le ou les niveaux organisationnels concernés
341
• c) Des critères convenus sont utilisés pour évaluer les caractéristiques des risques et pour déterminer la
capacité de l’entité à réagir de manière appropriée. Priorité plus élevée est donnée aux risques qui affectent
le plus les critères.
• Exemples de critères suivants:
• i) La complexité est la nature et l'étendue d'un risque, par exemple l'interdépendance des risques.
• ii) La vélocité est la vitesse à laquelle un risque affecte l'entité.
• iii) La persistance est la durée pendant laquelle un risque affecte l'entité, y compris le temps pris par
l'entité pour récupérer.
• iv) L’adaptabilité est la capacité de l’entité à s’adapter aux risques et à y répondre.
• v) La récupération est la capacité (et non le temps) de l’entité à revenir à la tolérance.
• d) Une priorité plus élevée est également attribuée aux risques
• i) approcher ou dépasser l'appétence pour le risque,
• ii) Faire en sorte que les niveaux de performance approchent les limites extérieures de tolérance, ou
• iii) Affecter l'entité entière ou se produire au niveau de l'entité.
• 4) L'organisation identifie et sélectionne les réponses au risque, reconnaissant que le
risque peut être géré mais non éliminé. Les risques doivent être gérés dans le contexte et
les objectifs de l'entreprise, les cibles de rendement et l'appétence pour le risque.
• a) Voici les cinq catégories de réponses au risque:
• i) Acceptation. Aucune mesure n'est prise pour modifier la gravité du risque. L'acceptation est
appropriée lorsque le risque se situe dans l'appétence pour le risque.
• ii) Évitement. Des mesures sont prises pour éliminer le risque (par exemple, l'arrêt d'un gamme de
produits ou vente d'une filiale). L'évitement suppose généralement que la réponse ne réduirait pas le
risque à un niveau acceptable.
• iii) Poursuite (augmentation). Des mesures sont prises pour accepter un risque accru afin
d’améliorer les performances sans dépasser la tolérance acceptable.
• iv) Réduction. Des mesures sont prises pour réduire la gravité du risque afin qu'il correspond au
profil de risque résiduel et à l'appétence pour le risque cible
• v) Partage. Des mesures sont prises pour réduire la gravité du risque en transférant une partie du
risque à une autre partie. Des exemples sont : assurance, couverture, coentreprises et externalisation.
•
343
• b) Les facteurs suivants sont pris en compte dans la sélection et la mise en œuvre de réponses
au risque:
• i) Ils doivent être choisis ou adaptés au contexte commercial.
• ii) Les coûts et avantages devraient être proportionnels à la gravité du risque et sa priorité.
• ii) Ils devraient continuer à respecter les obligations (par exemple, normes de l'industrie) et
la réalisation des attentes (par exemple, mission, vision, attentes des parties prenantes).
• iv) Ils devraient mettre le risque dans l'appétence pour le risque et entraîner des résultats
de performance dans les limites de la tolérance.
• v) La réponse au risque doit refléter la gravité du risque.
c) Les activités de contrôle sont conçues et mises en œuvre pour garantir que les réponses
aux risques sont effectuées.
344
• 5) L'organisation développe et évalue sa vision du portefeuille des risques.
• a) Le point culminant de l'identification, de l'évaluation, de la priorisation et de
la réponse est la vue complète du portefeuille sur le risque.
• b) Les quatre vues de risque (portefolio view) suivantes ont différents niveaux
d'intégration du risque:
• i) Vue des risques (intégration minimale). Les risques sont identifiés et évalués. L'accent est
mis sur l'événement et non sur l'objectif commercial.
- ii) Vue des catégories de risques (intégration limitée). les risques identifiés et évalués
sont classés, par exemple, en fonction des structures d'exploitation.
• iii) Vue du profil de risque (intégration partielle). Les risques sont liés aux objectifs
commerciaux qu’ils affectent et les dépendances entre les objectifs sont identifiés et évalués.
Par exemple, un objectif d’augmentation des ventes peut dépendre d’un objectif visant à
introduire un gamme de produits.
• iv) Vue du portefeuille (intégration complète). Cette vision composite des risques se rapporte
à la stratégie et aux objectifs commerciaux à l'échelle de l'entité ayant effet sur la
performance de l'entité. Au niveau supérieur, une plus grande attention est portée sur la
stratégie. Ainsi, la responsabilité des objectifs commerciaux et des risques cascades à travers
l'entité.
345
• c) En utilisant une vue du portefeuille des risques, la direction détermine si les
le profils de risque résiduel (profil de risque comprenant les réponses au risque)
s'aligne sur l’appétence globale pour le risque.
• d) Des méthodes qualitatives et quantitatives peuvent être utilisées pour
évaluer les changements de risque pouvant affecter la vision du portefeuille du
risque.
• i) Les méthodes qualitatives comprennent l'étalonnage, l'analyse de
scénarios et tests de résistance.
• ii) Les méthodes quantitatives comprennent une analyse statistique.
346
IV- Examen et Révision
• L'organisation examine et révise ses capacités et pratiques MRE actuelles en fonction de leurs
effets en changement sur la stratégie et les objectifs commerciaux. Trois principes concernent
l’examen et la révision:
• 1) L'organisation identifie et évalue les changements susceptibles d'affecter considérablement
la stratégie et les objectifs commerciaux.
• a) Les changements dans le contexte commercial et la culture de l’organisation sont susceptibles
d'affecter considérablement la stratégie et les objectifs commerciaux.
• b) De tels changements peuvent résulter de changements dans les environnements internes et
externes.
• i) Les changements substantiels dans l'environnement interne incluent ceux dus à la croissance
rapide, l'innovation et le roulement du personnel clé
• ii) Les changements substantiels de l'environnement externe comprennent ceux de l'économie
ou de la réglementation.
347
• 2) L'organisation examine les résultats de performance de l'entité et tient
compte des risques.
• a) Résultats de performance qui s'écartent de la performance cible ou de la
tolérance cible peut indiquer (1) des risques non identifiés, (2) des risques
mal évalués, (3) de nouveaux risques, (4) les possibilités d'accepter plus de
risques, ou (5) la nécessité de réviser la performance ou la tolérance cible.
• 3) L'organisation poursuit l'amélioration de le MRE
• a) L'organisation doit continuellement améliorer le MRE à tous les niveaux,
même si la performance s'aligne sur la performance ou la tolérance cible.
• b) Les méthodes d’identification des domaines à améliorer comprennent
les évaluations séparées et comparaisons entre pairs (examens des pairs de
l'industrie).
348
V- Information, Communication et Reporting
• L'organisation doit capturer, traiter, gérer
(organiser et stocker) et communiquer
des informations opportunes et
pertinentes pour identifier les risques
qui pourraient affecter la stratégie et les
objectifs commerciaux.
• Trois principes concernent l'information,
communication et rapports:
349
• 1) L'organisation tire partie de ses systèmes d'information pour soutenir le MRE.
• a) Les données sont des faits bruts collectables à des fins d'analyse, d'utilisation ou de
référence. L’ Information est traitée, organisée et structurée sur un fait ou circonstance.
Les systèmes d'information transforment les données (par exemple, les données sur les
risques) en informations pertinentes (par exemple, informations sur les risques).
• i) Les connaissances sont des données transformées en informations.
• ii) Les informations sont pertinentes si elles aident l'organisation à être plus agile en
matière de prise de décision, ce qui lui confère un avantage concurrentiel.
• b) Les données structurées sont généralement bien organisées et facilement consultables
(par exemple, feuilles de calcul, index publics ou fichiers de base de données).
• i) Les données non structurées ne sont pas organisées ou manquent d'un modèle
prédéfini (par exemple, documents de traitement de texte, vidéos, photos ou e-mail
messages).
• c) Les pratiques de gestion des données permettent de garantir que les
informations sur les risques sont utiles, opportunes, pertinentes et de haute
qualité. Voici les éléments de gestion efficace des données:
• i) Gouvernance des données et de l'information. Des normes sont
établies pour la livraison, la qualité, la ponctualité, la sécurité et
l'architecture des données. Les rôles et les responsabilités des
propriétaires du risque des informations et des données sont également
définis.
• ii) Processus et contrôles. Des activités sont mises en œuvre pour
s’assurer que les normes de données établies sont renforcées et que les
corrections sont apportées le cas échéant.
• iii) Architecture de gestion des données. La technologie de l'information
est conçue pour déterminer quelles données sont collectées et comment
elles sont utilisées.
• d) Les systèmes d'information doivent pouvoir s'adapter au changement.
Puisque l’organisation adapte sa stratégie et ses objectifs commerciaux en
fonction des changements du contexte commercial, ses systèmes
d'information doivent également évoluer.
351
• 2) L'organisation utilise des canaux de communication pour soutenir le
MRE.
• a) Communications sur les risques.
• i) La direction communique la stratégie et les objectifs de l'organisation pour les
internes(par exemple, le personnel et le conseil) et externes (par exemple, les
actionnaires) parties prenantes.
• ii) Les communications entre la direction et le conseil devraient inclure des
discussions continues sur l'appétence pour le risque.
• b) Canaux et méthodes.
• i) Les organisations devraient adopter des canaux de communication ouverts
autoriser l'envoi et la réception d'informations sur les risques dans les deux sens
(par et du personnel ou des fournisseurs).
• ii) Les méthodes de communication comprennent des documents écrits (par
exemple, des politiques et procédures), messages électroniques (par exemple, e-
mail), événements publics ou des forums (par exemple, des réunions débats:
Town hall meetings) et informels ou des communications orales (p. ex.,
discussions en tête a tête )
• iii) Le conseil peut tenir des réunions trimestrielles officielles ou convoquer des
réunions (réunions spéciales pour discuter de questions urgentes).
352
• 3) L'organisation rend compte des risques, de la culture et des
performances à plusieurs niveaux et à travers l'entité.
• a) Le but du rapport est de soutenir le personnel dans sa:
• i) Compréhension des relations entre risque, culture et
• ii) Prise de décision concernant (a) la définition de la stratégie et des
objectifs, (b) la gouvernance, et (c) les opérations quotidiennes.
353
Evaluation de l’ERM
• Le cadre de management des risques du COSO fournit des critères pour
évaluer si La culture, les capacités et les pratiques MRE gèrent ensemble
efficacement les risques pour la stratégie et les objectifs commerciaux.
• Lorsque les composants, les principes et les contrôles de support sont présents
et fonctionnels le MRE devrait raisonnablement gérer efficacement les risques
et aider a créer, préserver et réaliser de la valeur.
• 1 Le Présent signifie que les composants, les principes et les contrôles
existent dans la conception et la mise en œuvre de MRE pour atteindre les
objectifs.
• 2) Le Fonctionnement signifie que les composants, les principes et les
contrôles continuent de fonctionner pour atteindre les objectifs.
354
IDENTIFICATION DU NIVEAU DE
MATURITÉ
On peut évaluer le niveau de maturité en se basant sur les niveaux de
maturité
suivants:
355
ISO 31000: PRINCIPES , CADRE Organisationnel,
PROCESSUS
356
ISO 31000 Cadre de Référence MR
1. - ISO 31000 - Principes, cadre et processus
a/ Principes:
. ISO 31000 est une approche de management des risques basée sur des principes. Il
utilise 9 principes qui sont le fondement d'un processus de management des
risques efficace. Le Management des risques:
357
NORME ISO 31000 VERSION 2018: Les principes
358
NORME ISO 31000 VERSION 2018: LE CADRE ORGANISATIONNEL
b/ Cadre Organisationnel:
Un cadre de management ou organisationnel des risques est un ensemble de
composants qui jettent les bases et les dispositions organisationnelles pour la
conception, la mise en œuvre, le suivi, l'examen et l'amélioration continue de
management des risques dans toute l'organisation. Le cadre de management des
risques ISO 31000 comprend les cinq éléments suivants:
• 1) Un mandat et un engagement du conseil et de la haute direction garantissent
que les processus de management des risques sont conformes aux objectifs de
l'organisation et des ressources suffisantes ont été consacrées à son succès.
• 2) La conception d'un cadre de management des risques garantit l'établissement
d'une fondation pour des processus de management des risques efficaces. Cette
fondation implique
• a) Comprendre l'organisation et son contexte
• b) Etablir une politique de management des risques
• c) Déléguer la responsabilité et l'autorité
• d) Intégrer la gestion des risques dans les processus organisationnels
• e) Allouer les ressources nécessaires
• f) Établir des méthodes de communication et de reporting internes et externes
359
• 3) La mise en œuvre du Management des risques aide l'organisation
à atteindre ses objectifs.
• 4) Le suivi et l'examen du cadre évaluent l'efficacité du processus de
management des risques.
• 5) L’amélioration continue du cadre garantit l’efficacité à long terme
des processus de management des risques.
360
Les 5 Composantes du cadre
organisationnel de la norme ISO 31000
P
A
D
C
361
NORME ISO 31000 VERSION 2018: LE PROCESSUS
c. Le Processus
Le processus de management des risques ISO 31000 comprend les huit éléments suivants:
• 1) La communication et la consultation nécessitent une communication continue et
structurée et la consultation des personnes affectées par les opérations de l’organisation.
• 2) L'établissement du contexte identifie et comprend les facteurs externes et internes qui
influenceront le management des risques de l’organisation.
• a) Cet élément prend également en compte l'appétence pour le risque et les niveaux
de tolérance du risque
• 3) L'identification des risques tient compte des sources de risques, des zones d'impact et
les événements potentiels et leurs causes et conséquences.
• 4) L'analyse des risques considère l'impact et la probabilité de chaque risque.
• 5) L'évaluation des risques priorise les risques identifiés.
• 6) Le traitement des risques décide d'une réponse appropriée aux risques (éviter, partager,
réduire ou accepter) qui est conforme à l’appétence pour le risque de l’organisation.
• 7) Le suivi et l'examen évaluent l'efficacité des traitements du risque.
• 8/ Enregistrement et élaboration des rapports: traçabilité
et élaboration
362
PROCESSUS DE MANAGEMENT DU
RISQSUE SELON L’ISO 31000(Version 2018)
Domaine d’application, contexte,
Communication et consultation critères
Appréciation du risque
Identification du risque
Suivi et revue
Analyse du risque
Evaluation du risque
Traitement du risque
Enregistrement et élaboration de
rapports
363
ISO 31000 – Responsabilités en MR
364
4.3- ISO 31000: Approches d’assurance
• a. ISO 31000 décrit trois approches pour fournir une assurance sur le processus de
management des risques :
• (1) principes clés,
• (2) éléments de processus
• et (3) maturité du modèle.
• 1) L'approche fondée sur les principes clés évalue si les 9 principes sont pratiqués.
• 2) L'approche par éléments de processus évalue si les sept éléments risques ont été mis en
pratique.
• 3) L’approche du modèle de maturité est basée sur le principe que les processus de
management des risques se développent et s'améliorent avec le temps à mesure que la valeur
est ajoutée a chaque phase du processus de maturation.
365
• a) En conséquence, cette approche détermine où le processus de management des
risques est sur la courbe de maturité et évalué si :
• (1) il progresse comme prévu,
• (2) ajoute de la valeur,
• et (3) répond aux besoins de l'organisation.
• i) Un exemple de courbe de maturité (c'est-à-dire un modèle de maturité) est la
capacité de modèle de maturité (CMM). Ce modèle comprend les cinq niveaux de
maturité présentés par ordre de maturité:
• (a) initial,
• (b) répétable ou reproductible ,
• (c) défini,
• (d) géré et
• (e) optimisé.
• ● Au niveau initial, peu de processus sont définis.
• ● Au niveau reproductible, des processus de base sont établis.
• ● Au niveau défini, des normes sont élaborés. ●
• ● niveau géré, des mesures de performance sont définies.
• ● Au niveau de l'optimisation, l'amélioration continue est activée.
• ii) Le principe de base de cette approche est que la gestion des risques doit ajouter de
la valeur.
366
• b) Un aspect essentiel de l'approche du modèle de maturité est que la
performance et le progrès du MR dans l'exécution du plan de
management des risques devrait être lié à un système de mesure du
rendement. Tel système de performance se compose généralement des
éléments suivants:
• i) Normes de performance
• ii) Critères de respect des normes
• iii) Une méthode de comparaison des performances réelles avec chaque
norme
• iv) Une méthode d'enregistrement et de rapport des performances et des
améliorations en performance
• v) Vérification indépendante périodique de l'évaluation de la direction
367
- Cadre de management des risques Turnbull
368
Les recommandations Turnbull*
Traitent de l'adoption d'une approche fondée sur le risque de contrôle interne et de
l'évaluation de son efficacité.
Liées aux exigences de divulgation de la Bourse de Londres.
Principes clés :
• Mettre l'accent sur les risques significatifs plutôt que tous les risques.
• Promouvoir le management des risques.
• Perdurer la surveillance continue des risques et de contrôle.
• Faire participer tous les employés.
• Développer les systèmes de reporting des risques dans le cadre du SI.
• Fournir une assurance objective au conseil et à la direction générale quant à
l'adéquation et à l'efficacité des processus de contrôle interne et de gestion des
risques de l'organisation.
• Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou
d'éviter les pertes opérationnelles et autres pertes similaires.
Publié en 1999 par référence à Nigel Turnbull qui a élaboré ses directives
UNITE V
370
CONTROLES: TYPES ET CADRES
Aperçu sur le contrôle.
Types de contrôles.
Cadres de contrôle.
Cette unité d'étude est la troisième des quatre couvrant le domaine V:
gouvernance, gestion des risques et Contrôle du programme d’examen de
la CIA de l’IIA.
Ce domaine représente 35% de la partie 1 de l'examen CIA .
- Interpréter les concepts de contrôle interne et les types de
contrôles
- Appliquer des cadres de contrôle interne mondialement
acceptés et adaptés à l’organisation
- Examiner l'efficacité et l'efficience des contrôles internes
371
5.1- Aperçu sur le Contrôle
• a. Le contrôle
est «toute mesure prise par la direction, le conseil
d'administration et d'autres parties pour gérer le risque et
augmenter la probabilité que les objectifs et buts fixés seront
atteints. La direction planifie, organise et dirige la performance
des actions suffisantes visant à fournir une assurance
raisonnable que les objectifs et les buts seront atteints. »
• b. Les processus de contrôle
sont «les politiques, les procédures (manuelles et automatisées)
et activités faisant partie d'un cadre de contrôle, conçues et
gérées de manière à garantir que les risques sont contenus dans
le niveau qu’une organisation est prête à accepter. »
372
Objectifs du système de contrôle interne:
• 1) Les trois catégories d’objectifs dirigent les organisations vers les différents
éléments de contrôle.
• a) Opérations
• i) Les objectifs opérationnels concernent la réalisation de la mission de l’entité.
• ● Les objectifs appropriés comprennent l'amélioration (1) des performance, (2)
productivité, (3) qualité, (4) innovation, et (5) satisfaction du client.
• ii) Les objectifs opérationnels comprennent également la sauvegarde des actifs.
• ● Les objectifs liés à la protection et à la préservation des actifs contribuent à
l’évaluation des risques et élaboration de contrôles d'atténuation.
• ● Éviter le gaspillage, l'inefficacité et les mauvaises décisions commerciales se
rapporte à des objectifs plus larges que la sauvegarde des actifs.
373
• b) Reporting
• i) Pour prendre des décisions judicieuses, les parties prenantes doivent disposer d’
une information transparente.
• ii) Des rapports peuvent être préparés pour être utilisés par l'organisation et les
parties prenantes.
• iii) Les objectifs peuvent concerner:
• ● Reporting financier et non financier
• ● Reporting interne ou externe
• c) Conformité
• i) Les entités sont soumises à des lois, règles et règlements qui fixent un minimum
de normes de conduite.
• ● Les exemples incluent la fiscalité, la protection de l'environnement et les
relations avec les employés.
• ● Le respect des politiques et procédures internes est une question
opérationnelle.
• d) Ce qui suit est une aide mémoire utile pour les classes d'objectifs COSO: O =
Opérations R = Rapports C = Conformité
374
Types de Contrôle
• 1. Contrôles Primaires:
• a. Les contrôles préventifs
• dissuadent la survenue d'événements indésirables.
• 1) Stockage de la petite caisse dans un coffre-fort verrouillé et la séparation
des fonctions , sont des exemples.
• 2) Les exemples informatiques incluent (a) la conception d'une base de
données afin que les utilisateurs ne puissent pas saisir de lettre dans le
domaine qui stocke un numéro de sécurité sociale et (b) nécessitant le
nombre de factures dans un lot à saisir avant le début du traitement.
• b. Les contrôles détectifs
alertent les personnes appropriées après un événement indésirable. Elles sont
efficaces lorsque la détection se produit avant que des dommages matériels ne se
produisent.
• 1) Par exemple, un lot de factures soumises pour traitement peut être rejeté
par le système informatique s'il comprend des paiements identiques à un seul
fournisseur. Un contrôle de détection permet de signaler automatiquement
tous les lots rejetés au service des comptes fournisseurs.
• 2) Une alarme antivol est un autre exemple.
375
• c. Les contrôles correctifs corrigent les effets
négatifs des événements indésirables.
• 1) Un exemple est une exigence que tous les écarts de
coûts au delà d’ un certain montant soient justifiés.
• d. Les contrôles directifs provoquent ou encouragent
la survenance d'un événement souhaitable. Ceux-ci
incluent les éléments suivants:
• 1) Manuels de procédure
• 2) Formation des employés
• 3) Descriptions de poste
• 2. Contrôles Secondaires:
• a. Des contrôles compensatoires (atténuants) peuvent réduire le risque
lorsque les contrôles primaires sont inefficaces. Cependant, ils ne
réduisent pas à eux seuls les risques à un niveau acceptable.
• 1) Un exemple est le manque de séparation des tâches lorsqu'un employé de magasin
est le seul employé présent à la fermeture. En conséquence, l’employé compte l'argent
comptant à la fin de la journée sans surveillance. Le contrôle de compensation à
effectuer le prochaine matin par un superviseur est de concilier le comptage avec les
données de la caisse enregistreuse.
• b. Les contrôles complémentaires fonctionnent avec d'autres contrôles
pour réduire le risque à un niveau acceptable. En d'autres termes, leur
synergie est plus efficace que l'un ou l'autre contrôle seul.
• 1) Par exemple, la séparation des fonctions de comptabilité et de conservation des
reçus d’espèces est complétée par l'obtention de bordereaux de dépôt validés par la
banque.
377
CONTRÔLES INFORMATIQUES
• Contrôles Généraux:
378
• c. Les contrôles informatiques généraux les plus courants sont:
• 1) Contrôles d'accès logiques (par exemple, mots de passe) sur
l'infrastructure, les applications et Les données
• 2) Contrôles du cycle de vie du développement du système
• 3) Contrôles de gestion du changement de programme
• 4) Contrôles de sécurité physique sur le centre de données
• 5) Contrôles de sauvegarde et de récupération du système et des
données
• . Contrôles des Applications :
• a. Selon le GTAG de l’IIA, les contrôles des applications sont ceux
qui se rapportent à la portée des processus opérationnels
individuels ou aux systèmes d'application. L'objectif des contrôles
d'application est de veiller à ce que:
• 1) Les données d'entrée sont exactes, complètes, autorisées et
correctes.
• 2) Les données sont traitées comme prévu dans un délai
acceptable.
• 3) Les données stockées sont exactes et complètes.
• 4) Les sorties sont précises et complètes.
• 5) Un enregistrement est conservé pour suivre le processus de
données de l'entrée au stockage et à la sortie éventuelle.
380
• L’utilisation d’une Matrice de contrôle :
• a. Les contrôles ne correspondent pas nécessairement aux risques un à un. Certains contrôles
peuvent répondre à plus d'un risque, et plus d'un contrôle peut être nécessaire pour traiter
adéquatement un seul risque.
• 1) Par exemple, supposons que tous les dépositaires de petite caisse doivent présenter des
pièces justificatives de dépenses périodiquement. Ce contrôle permet de garantir que (a) les
comptes de petite caisse maintenus au niveau établi et b) les dépenses de petite caisse sont
examinées pour vérifier leur pertinence.
• 2) Une matrice de contrôle est utile pour faire correspondre les contrôles aux risques dans ces
circonstances. Ce qui suit est un exemple:
381
Exemple de Matrice de contrôle (Control Matrix)
382
RÉFÉRENTIELS DU CONTRÔLE
• 1. Cadres de contrôle disponibles :
• a. Plusieurs organismes ont publié des cadres de contrôle qui
fournissent un des moyens de s’assurer que l’organisation a pris en
considération tous les aspects du contrôle interne.
• 1) L'utilisation d'un modèle ou d'une conception de contrôle
particulier non mentionné ici peut être spécifiés par des
exigences réglementaires ou légales.
• 2) Certains des cadres les plus connus sont décrits à la page
suivante.
• b. États Unis
• 1) Les enquêtes Watergate de 1973-1974 ont révélé que les
entreprises américaines ont corrompu des représentants du
gouvernement, des politiciens et des partis politiques à l'étranger.
Le résultat a été la Foreign Corrupt Practices Act de 1977.
383
• 2) Le secteur privé a également réagi en créant la Commission nationale des Rapports financiers
frauduleux (NCFFR: National Commission on Fraudulent Financial Reporting)) en 1985.
• a) La NCFFR est connue sous le nom de Commission Treadway parce que James C. Treadway
a été sa première chaise.
• b) La Commission Treadway était initialement parrainée et financée par cinq des
organisations comptables professionnelles basées aux États-Unis.
• c) Ce groupe de cinq personnes est devenu le Comité de parrainage Organisations de la
Commission Treadway (COSO).
• d) La Commission a recommandé que ce groupe de cinq organisations coopèrent par la
création d'orientations pour le contrôle interne.
3) Le résultat a été le COSO Contrôle interne - Cadre intégré, publié au 1992, qui a été modifié
en 1994 et à nouveau en 2013.
• Canada:
• 1) Guide sur le contrôle (communément appelé CoCo sur la base de son
titre Criteria of Control), publié par l'Institut canadien des Experts
Comptables (CICA: Canada Institute of Chartered Accountants).
• Royaume Uni :
• 1) Contrôle interne: Directives aux administrateurs sur le code combiné
(communément dénommé le rapport Turnbull d'après Nigel Turnbull, président du
comité qui a rédigé le rapport), publié par le Financial Reporting Council (FRC) du
Royaume-Uni et republié en tant que Contrôle Interne: Guide Révisé pour les
Administrateurs du Code combiné.
• 2) Le Comité britannique sur les aspects financiers de la gouvernance d'entreprise
(connu officieusement en tant que Comité Cadbury après son président Sir Adrian
Cadbury) a publié son rapport à peu près en même temps que la Commission
Treadway aux États-Unis.
• 3) Il a ensuite été fusionné avec les rapports de deux autres organisations. Le code
combiné qui en résulte comprend des recommandations pour une bonne
gouvernance, comme l’exigence que le PDG et le président soient des personnes
distinctes.
385
• Technologies d’Information:
• 1) Les objectifs de contrôle des technologies de l'information et des
technologies connexes (COBIT: Control Objectives for Information and Related
Technology) cadre le plus connu spécifiquement pour les contrôles
informatiques. COBIT 5 est la plus récente version.
• 2) Le cadre VAL IT (Value from IT Investments) est couvert dans le cadre du
cadre COBIT 5. Il traite de la gouvernance des investissements commerciaux
informatiques.
• 3) Electronic Systems Assurance and Control (eSAC), publié par l’Institute of
Internal Auditors Research Foundation, est un modèle de contrôle alternatif
pour l'informatique (logiciel libre).
386
LE COSO 2013
COMPOSANTES ET PRINCIPES
Control Environment
Function
Operating Unit
Division
Risk Assessment
Entity Level
Control Activities
Monitoring Activities
Nouveau COSO …
390
ENVIRONNEMENT DE CONTRÔLE :
5 PRINCIPES et 20 points d’attention :
396
CADRE DE CONTRÔLE INTERNE COCO*:1995
3 objectifs 4 composantes
+ interdépendantes
Efficacité et efficience des
opérations Mission,stratégie, vision,
Fiabilité de l'information risque,opportunités,objec.
interne et externe Engagement:autorité,responsabilité,valeurs
éthiques, confiance
La conformité aux lois et
règlements applicables et Capacité:connaissance,compétence,.processus de
communication
aux politiques internes
Surveillance et formation: suivi et éval.
20 critères spécifiques de
contrôle au niveau de
ces composantes pour
que le contrôle soit
efficace
* Les critères de contrôle mis au point par l'Institut Canadien des Comptables Agréés ( ICCA).
• COBIT 5 - Cinq principes clés
• a. Principe 1: Répondre aux besoins des parties prenantes
• 1) COBIT 5 affirme que la création de valeur est le besoin le plus fondamental
des parties prenantes. Donc, la création de valeur pour les parties prenantes est
l'objectif fondamental de toute entreprise, commerciale ou non.
• a) La création de valeur dans ce modèle est obtenue en équilibrant trois
composantes:
• i) Réalisation des Bénéfices
• ii) Optimisation (et non minimisation) du risque
• iii) Utilisation optimale des ressources
• 2) COBIT 5 reconnaît également que les besoins des parties prenantes ne sont
pas fixes. Ils évoluent sous l'influence de deux facteurs internes (par exemple, des
changements dans la culture l'organisation ) et des facteurs externes (par
exemple, les technologies perturbatrices).
• a) Ces facteurs sont collectivement appelés moteurs des parties prenantes.
398
• 3) En réponse aux besoins identifiés des parties prenantes, des objectifs d'entreprise sont établis.
-
• a) COBIT 5 fournit 17 objectifs d’entreprise génériques qui sont directement liés au modèle de tableau de
bord équilibré.
• - 4) Ensuite, des objectifs liés à l'informatique sont élaborés pour répondre aux objectifs de l'entreprise.
• a) COBIT 5 traduit les 17 objectifs d'entreprise génériques en objectifs informatiques.
• - 5) Enfin, des catalyseurs sont identifiés pour soutenir la poursuite des objectifs liés aux TI. Un
facilitateur est largement défini comme tout ce qui aide à atteindre les objectifs.
• a) Les sept catégories de facilitateurs sont énumérées dans les slides suivantes.
• - 6) COBIT 5 fait référence au processus décrit ci-dessus comme la cascade des objectifs. Ça peut être
représenté graphiquement comme suit:
399
COBIT 5 - La Cascade de Buts
Motivations des parties prenantes
Création de la valeur
Réalisation de bénéfice
Optimisation de risque
Utilisation optimale de
ressources
Objectifs de l’entreprise
Objectifs TI associés
Facilitateurs 400
COBIT 5
Le référentiel COBIT5 repose sur cinq
principes de base qui sont:
• b. Principe 2: Couvrir l'entreprise de bout en bout
• 1) COBIT 5 a une vue d’ensemble de toutes les fonctions de l’entreprise et
ses processus. La technologie de l'information les imprègne tous; il ne
peut pas être considéré comme fonction distincte des autres activités de
l'entreprise.
• a) Ainsi, la gouvernance informatique doit être intégrée à la
gouvernance d'entreprise.
• 2) L'informatique doit être considérée à l'échelle de l'entreprise et de
bout en bout, c'est-à-dire toutes les fonctions et processus qui régissent
et gèrent les informations: partout où ces informations peuvent être en
traitement.
(Une solution est considérée comme de "bout en bout" lorsqu'un
fournisseur propose tous les composants logiciels et matériels requis pour
répondre aux besoins d'un client. Cela sans faire appel à des fournisseurs ou
logiciels extérieurs et en fournissant l'installation et la configuration.)
402
• c. Principe 3: Application d'un cadre unique et intégré
• 1) En reconnaissance de la disponibilité de plusieurs normes
informatiques et des meilleures pratiques, COBIT 5 fournit un cadre
général pour l'informatique d'entreprise dans lequel d'autres
normes peuvent être appliquées de manière cohérente.
• 2) COBIT 5 a été développé pour être un cadre global qui ne traite
pas des problèmes techniques spécifiques; c'est-à-dire que ses
principes peuvent être appliqués indépendamment du matériel et
des logiciels particuliers utilisés.
• Principe 4: permettre une approche globale
• 1) COBIT 5 décrit sept catégories de facilitateurs qui prennent en charge
une gouvernance informatique globale et management:
• a) Principes, politiques et cadres
• b) Processus
• c) Structures organisationnelles
• d) Culture, éthique et comportement
• e) Information
• f) Services, infrastructure et applications
• g) Personnes, aptitudes et compétences
• 2) Les trois derniers de ces facilitateurs sont également classés en tant
que ressources, qui doit être optimisé.
• 3) Les facilitateurs sont interconnectés car ils:
• a) ont Besoin de la contribution d'autres facilitateurs pour être pleinement efficaces et
• b) Fournissent des résultats au profit d'autres facilitateurs.
404
COBIT5 définit un ensemble d’outils pour aider la gouvernance et le
management a atteindre ses objectifs. Ce cadre professionnel a défini sept
catégories d’outils (7 facilitateurs):
• Principe 5: Séparer la gouvernance du management
• 1) La complexité de l'entreprise moderne nécessite une gouvernance et un management à
traiter comme des activités distinctes.
• a) D'une manière générale, la gouvernance est la fixation d'objectifs globaux et le pilotage
des progrès vers ces objectifs. COBIT 5 associe gouvernance avec le conseil d'administration.
• i) Dans tout processus de gouvernance, trois pratiques doivent être traitées: évaluer, diriger et surveiller.
• b) Le management consiste à mener des activités pour atteindre les objectifs de l'entreprise.
COBIT 5 associe ces activités à la direction générale sous le leadership du PDG.
• i) Dans tout processus de gestion, quatre domaines de responsabilité
doivent être abordés: planifier, construire, exécuter et surveiller.
406
VAL IT
• Value for IT, c’est à dire la création de la valeur pour l’informatique, permet de répondre à la question
fondamentale : Est-ce que les investissements en SI sont réellement managés de sorte à :
• obtenir la contribution maximale à la création de valeur?
• à un coût supportable?
• et avec un niveau de risque acceptable?
• 1) Valoriser la gouvernance. Ce domaine définit la relation entre la TI et l'organisation, qui inclut ces
fonctions dans l'organisation avec des responsabilités de gouvernance.
• 3) Gestion de portefeuille. Ce domaine maximise la qualité des analyses de rentabilisation pour les
investissements TI commerciaux.
407
• d. Basé sur les «Four Ares» (comme décrit par John Thorp dans son livre, The
Information Paradoxe - Réaliser les Bénéfices commerciaux des technologies de
l'information, rédigé conjointement avec Fujitsu, publié pour la première fois en
1998 et révisé en 2003, McGraw-Hill, Canada), les analyses de rentabilisation
doivent comprendre des réponses aux quatre questions suivantes:
409
• c. Les objectifs suivants sont les objectifs d’assurance informatique de l’eSAC:
• 1) Disponibilité. L'entité doit s'assurer que les informations, les processus et les services
sont disponibles en tout temps.
• 2) Capacité. L'entité doit garantir l'achèvement fiable et rapide des transactions.
• 3) Fonctionnalité. L'entité doit s'assurer que les systèmes sont conçus pour les
spécifications de l’utilisateur pour répondre aux exigences de l'entreprise.
• 4) Capacité de protection. L'entité doit s'assurer qu'une combinaison de caractéristiques
physiques et logiques de contrôles empêche tout accès non autorisé aux données du
système.
• 5) Responsabilité. L'entité doit s'assurer que les transactions sont traitées selon des
principes fermes de propriété, d'identification et d'authentification des données.
Guides pour l'évaluation des risques informatiques (GAIT)
• a. La méthodologie GAIT fournit à la direction et aux auditeurs des directives pour
évaluer la portée des contrôles généraux informatiques en utilisant une approche
descendante et basée sur les risques.
• 1) La méthodologie GAIT est conforme à la Norme d'audit no 5 du PCAOB( Public
Company Accounting Oversight Board) et autres cadres de contrôle, par exemple
COSO.
• b. Les quatre principes de la méthodologie GAIT sont les suivants:
• 1) L'identification des risques et des contrôles de TI associés dans les processus de
contrôle général qui devrait être une continuation de l’approche descendante et
fondée sur les risques utilisés pour identifier les comptes importants, les risques pour
ces comptes et les contrôles clés des processus d'affaires.
• 2) Les risques du processus de contrôle général TI qui doivent être identifiés sont ceux
qui affectent les fonctionnalités TI critiques dans les applications financièrement
importantes et les données.
• 3) Les risques liés au processus de contrôle général qui doivent être identifiés existent,
par exemple, dans le code de programme d'application, les réseaux et les systèmes
d'exploitation.
• 4) Les risques dans les processus de contrôle général des TI sont atténués par la
réalisation des objectifs de contrôle TI, et non par des contrôles individuels.
411
Contrôles Soft
• a. Les modèles COSO et CoCo mettent l'accent sur les contrôles softs . Par
exemple, la communication des valeurs éthiques et la promotion de la
confiance mutuelle sont des contrôles softs dans le modèle CoCo. Dans le
modèle COSO, les contrôles softs font partie de l'environnement de
contrôle.
• 1) Les contrôles softs (informels) doivent être distingués des contrôles
durs (formels), tels que la conformité avec des politiques et
procédures spécifiques imposées aux employés d'en haut.
• b. Les contrôles softs sont devenus plus nécessaires à mesure que les
progrès technologiques ont renforcé les employés. La technologie leur a
donné accès à de grandes quantités d’ informations et leur a permis de
prendre des décisions autrefois prises par les plus hautes structures
organisationnelles.
• 1) En plus pour rendre obsolètes de nombreux contrôles durs, les
progrès technologiques ont permis l’automatisation des contrôles
durs, par exemple, l’intégration de modules d'audit dans les
programmes informatiques.
412
• c. L'auto-évaluation des contrôles (CSA: Control Self Assessment))
est une approche de contrôle soft. C'est la participation de la
direction et du personnel dans l'évaluation des contrôles internes
au sein des groupes de travail.
• d. Les contrôles durs(formels) et softs(informels) peuvent être
associés à des risques particuliers et mesurés.
Contrôles Internes formels et informels
1/ Contrôles formels:
- Politique/ Procédure,
- Organigramme,
- Bureaucratie,
- Processus
2/ Contrôles informels:
- Compétences
- Confiance
- Valeurs partagées
- Encadrement
- Transparence
- Normes éthiques
- Gestion des conflits
- Gestion du changement
Implications liées à des styles de gestion différents
Les gens sont Les gens sont Les gens sont Les gens sont
motivés par un motivés par motivés par les motivés par le
appel à des opportunités travail d'équipe
l'obéissance. récompenses d’évolution et la
« modèle matérielles et et réussite. contribution
autorité l'offre du Les travailleurs pour la
militaire » bonheur et sont motivés réalisation des
Culture sécurité. par le souci de objectifs
d’obéissance. Les personnes performance. communs.
heureuses
sont
productives.
UNITÉ VI:
CONTROLES : APPLICATION
416
CONTROLES : APPLICATION
417
Diagrammes des flux et schématisation des processus:
Flowcharts & Process Mapping
418
Symboles de Flowchart: (Flowchart Symbols)
419
Symboles de Flowchart: (Flowchart Symbols)
420
Flowcharts Horizontaux (Horizontal Flowcharts)
421
Flowchart Horizental
achat traitement informatique
Réception Entrepôt
Start d'inventaire
les ventes font chuter le niveau des
stocks en dessous du point record
Programme d’inventaire
Fichier
d’expédition
principal
mise à jour du fichier
d’inventaire
d’inventaire
Facture
Fournisseur Programme de facturation
Fichier
modifier la transaction
maître
Tester les prix et les
AP
conditions
Créer un compte à payer
Saisir les
informations de la
facturation
422
Flowcharts Verticaux
• a. Les Flowcharts verticaux, parfois appelés organigrammes
de programme, présentent les étapes successives dans un
format de haut en bas.
• 1) Leur utilisation principale consiste à décrire les actions
spécifiques menées par un Programme d'ordinateur.
423
Flowchart Vertical
Charger la Facture
Fichier PO
Lire le Numéro de la Facture ouvert
Le N° du fichier
Enquêter sur les doublons
PO ouvert exist ?
Commande Fichier PO
terminée Fermé
424
Diagrammes de flux de données: Data Flow Diagrams
425
Symboles des Diagrammes de flux de données
Banque de Flux de
données données
manuelle ou
automatisée
426
• Le Data Flow Diagram est un type de représentation graphique du
flux de données à travers un système d’information. Cet outil est
souvent utilisé comme étape préliminaire dans la conception d’un
système afin de créer un aperçu de ce système d’information. De
plus, il est également utilisé pour visualiser le traitement de
données (structured design).
• Il montre quel type d’informations entre (input) ou sort (output) du
système, d’où elles proviennent et où elles sont stockées.
Cependant, il n’indique ni la temporalité des transmissions de
données, ni l’ordre dans lequel les données circulent.
• Aucun symbole n'est nécessaire pour les documents ou autres sorties car les
Diagrammes des flux de données ne représentent que le flux de données. Pour
la même raison, aucune distinction ne se fait entre le stockage manuel et le
stockage en ligne.
428
Cartographie des processus
• a. La cartographie des processus est une forme simple
d'organigramme utilisée pour représenter un processus client. Vous
trouverez ci-dessous un exemple de schéma de processus.
Cartographie de processus d’une Facture en traitement dans une
Direction d’Achat
Enquête
Réception Numéro
sur le Commande Marque PO
facture fichier PO
fichier PO terminée Fermée
fournisseur existe?
ouvert
Transmettre
Enquêter sur marquer les
le fichier
des articles en
avec
doublons attente dans
autorisation
possibles le fichier PO
de payer
430
Les cycles comptables et les contrôles associés
• 1. Contrôles internes
• a. Un système de contrôle interne correctement conçu devrait réduire le risque
d’erreurs et empêcher un individu de commettre et de dissimuler une fraude. La
structure de l'organisation et l'attribution des tâches devraient être conçues de
manière à séparer certaines fonctions dans cet environnement.
• 1) Les critères coûts-avantages doivent être pris en compte.
• 2. Séparation des tâches
• a. Pour toute transaction donnée, les trois fonctions suivantes doivent de préférence
être exécutées par des personnes distinctes dans différentes parties de
l'organisation:
• 1) Autorisation de la transaction
• 2) Enregistrement de la transaction
• 3) Conservation des actifs associés à la transaction
• b. Le système de contrôle interne est conçu pour détecter la fraude par une seule
personne mais pas la fraude par collusion ou dérogation de management.
431
Cycles Comptables
• a. Le processus comptable peut être décrit en termes de cinq cycles:
• 1) Ventes aux clients à crédit et reconnaissance de créances
• 2) Recouvrement de la trésorerie des créances clients
• 3) Achats à crédit et reconnaissance des dettes
• 4) Paiement (décaissement) des espèces pour satisfaire les dettes
commerciales
• 5) Paiement des employés pour le travail effectué et répartition des coûts
• b. Les pages suivantes présentent cinq flowcharts et tableaux
d'accompagnement décrivant les étapes dans les cycles et les contrôles à
chaque étape pour une organisation suffisamment grande pour avoir une
séparation optimale des tâches.
• 1) Dans les petites et moyennes organisations, certaines tâches doivent
être combinées. L'auditeur interne doit évaluer si la séparation
organisationnelle des tâches est adéquate.
432
Cycle Ventes- Clients
433
Les comptes suivants sont utilisés pour saisir les données pertinentes du cycle
de vente et de recouvrement :
Ventes
Reception de Trésorerie
Créances Douteuses
Créances Irrécouvrables
434
435
436
Cycle des Encaissements
437
Cycle Achats-Fournisseurs
438
Cycle Décaissements
439
Cycle Paie
440
CONTRÔLES DE MANAGEMENT
• 1. Rôles et Responsabilités
• a. Management
• 1) Le PDG devrait donner le ton au sommet. Les
organisations reflètent les valeurs éthiques et
contrôlent la conscience du PDG.
• 2) Le Directeur Comptable a également un rôle
crucial à jouer. Le personnel comptable a un aperçu
des activités à tous les niveaux de l'organisation.
441
• b. Conseil d‘Administration
• 1) L'engagement de l'entité envers l'intégrité et les valeurs
éthiques se reflète dans le sélections pour les postes de direction.
• 2) Pour être efficaces, les membres du conseil doivent être
capables de juger objectivement, ayant une connaissance de
l’industrie de l’organisation et être disposé à demander aux
autorités les questions sur les décisions de la direction.
• 3) Les Sous-comités importants du conseil d'administration dans
les organisations de taille et de complexité suffisantes comprennent
le comité d’audit, le comité de rémunération, le comité des finances
et le comité des risques.
• c. Auditeurs internes
• 1) La direction est ultimement responsable de la
conception et du fonctionnement du système de
contrôles interne. Cependant, la fonction d'audit
interne d'une organisation peut jouer un important
rôle de conseil.
• 2) La fonction d'audit interne évalue également la
solidité du système de contrôle interne en effectuant
des revues systématiques selon les normes
professionnelles.
• 3) Pour rester indépendant dans la conduite de ces
revues, la fonction d'audit interne ne peut pas être
responsable de la sélection et de l'exécution des
contrôles.
443
• d. Autre personnel
• 1) Tout le monde dans l'entité doit être impliqué dans le
contrôle interne et doit effectuer ses activités de contrôle
appropriées.
• 2) De plus, tous les employés doivent comprendre qu'ils
sont censés informer la hiérarchie de l'entité lorsque les
contrôles ne fonctionnent pas comme prévu.
• 2. Contrôle imposé et Autocontrôle
• a. Le contrôle imposé est l'approche mécanique
traditionnelle. Il mesure les performances par rapport aux
normes et prend ensuite des mesures correctives par le biais
de la personne responsable de la fonction ou le domaine
évalué.
• 1) Bien que courant, il présente l'inconvénient que les
actions correctives ont tendance à venir après la
performance. Le résultat peut être une réponse à des
mauvaises performances plutôt qu'à sa prévention.
• b. L’ Autocontrôle évalue l'ensemble du processus de
gestion et les fonctions exercées. Ainsi, il tente d'améliorer ce
processus au lieu de corriger la performance spécifique du
gestionnaire. La gestion par objectifs en est un exemple.
445
• 3. Définition alternative du contrôle
• a. Sawyer, Dittenhofer et Scheiner, dans l’audit interne de Sawyer
(Altamonte Springs, FL, The Institute of Internal Auditors, 5e éd., 2003,
pages 82-86), définissent le contrôle et décrire les moyens de réaliser le
contrôle.
Leur définition du contrôle est la suivante:
• L'emploi de tous les moyens mis au point dans une entreprise pour
promouvoir, orienter, restreindre, gouverner et contrôler ses diverses
activités dans le but de voir que les objectifs de l'entreprise sont atteints.
Ces moyens de contrôle comprennent, mais ne sont pas limités à savoir:
forme d'organisation, politiques, systèmes, procédures, instructions,
normes, comités, plans comptables, prévisions, budgets, calendriers,
rapports, enregistrements, listes de contrôle, méthodes, appareils et audit
interne.
446
• 4. Organisation
• a. L'organisation, en tant que moyen de contrôle, est une structure qui
approuve le rôle assigné aux personnes au sein de l'organisation afin qu'elle
puisse atteindre ses objectifs efficacement et économiquement.
• 1) Les responsabilités doivent être réparties de façon à ce qu'aucune
personne ne contrôle toutes les phases de toute transaction .
• 2) Les gestionnaires devraient avoir le pouvoir de prendre les mesures
nécessaires pour s'acquitter de leurs responsabilités.
• 3) La responsabilité individuelle doit toujours être clairement définie afin
qu'elle ne puisse être ni contournée ni dépassée.
• 4) Un fonctionnaire qui attribue la responsabilité et délègue l'autorité aux
subordonnés devrait avoir un système efficace de suivi. Son objectif est de
garantir que les tâches attribuées sont correctement exécutées.
447
• 5) Les personnes à qui l'autorité est déléguée devraient être autorisées à
exercer cette autorité sans surveillance étroite. Mais elles devraient vérifier
auprès de leurs supérieurs en cas d'exceptions.
• 6) Les personnes devraient être tenues de rendre compte à leurs supérieurs
de la manière dont ils se sont acquittés de leurs responsabilités.
• 7) L'organisation doit être suffisamment flexible pour permettre des
changements dans sa structure lorsque les plans d'exploitation, les politiques et
les objectifs changent.
• 8) Les structures organisationnelles doivent être aussi simples que possibles.
• 9) Des organigrammes et des manuels devraient être préparés. Ils aident à
planifier et contrôler les changements au sein de l'organisation, ainsi que
permettre une meilleure compréhension de la chaîne d'autorité et attribution
des responsabilités.
• 5. Politiques
• a. Une politique est un principe déclaré qui nécessite, guide
ou restreint l'action. Les politiques devraient suivre certains
principes.
• 1) Les politiques doivent être clairement énoncées par écrit
et organisées systématiquement dans des manuels ou autres
publications et doivent être correctement approuvées. Mais
lorsque la culture organisationnelle est forte, le besoin de
politiques est réduite. Dans une culture forte, une formation
substantielle entraîne un degré d’acceptation des valeurs clés
de l’organisation. Ainsi, ces valeurs sont intensément détenues
et largement partagées.
• 2) Les politiques devraient être systématiquement
communiquées à tous les fonctionnaires et employés de
l'organisation.
449
• 3) Les politiques doivent être conformes aux lois et réglementations
applicables. Elles devraient être conformes aux objectifs et aux
politiques générales prescrits aux niveaux supérieurs.
• 4) Les politiques devraient être conçues pour promouvoir la
conduite des activités autorisées dans une manière efficace,
efficiente et économique. Elles devraient fournir un degré
d'assurance que les ressources sont convenablement protégées.
• 5) Les politiques devraient être revues périodiquement. Elles
devraient être révisées lorsque les circonstances changent.
• 6. Procédures
• a. Les procédures sont des méthodes employées pour
exécuter des activités conformément aux Stratégies. Les
mêmes principes applicables aux politiques s'appliquent
également aux procédures. En plus,
• 1) Pour réduire les risques de fraude et d'erreur, les
procédures doivent être coordonnées afin que le travail d'un
employé soit automatiquement vérifié par un autre qui
exerce de façon indépendante des fonctions prescrites
distinctes. La mesure dans laquelle les contrôles internes
automatiques devraient être intégrés dans le système de
contrôle dépend de nombreux facteurs. Les exemples sont
• (a) le degré de risque,
• (b) le coût des procédures préventives,
• (c) disponibilité du personnel, (d) impact opérationnel, et e)
faisabilité.
451
• 2) Pour les opérations non mécaniques, les procédures prescrites ne
devraient pas être aussi détaillées pour étouffer le recours au
jugement.
• 3) Pour promouvoir une efficacité et une économie maximales,
les procédures prescrites devraient être aussi simples et aussi bon
marché que possible.
• 4) Les procédures ne doivent pas se chevaucher, être en conflit ou
faire double emploi.
• 5) Les procédures devraient être périodiquement revues et
améliorées si nécessaire.
• 7. Personnel
• a. Les personnes embauchées ou affectées doivent avoir les
qualifications requises pour effectuer leur tâches . La
meilleure forme de contrôle sur la performance des individus
est la supervision. Par conséquent, des normes élevées de
supervision devraient être établies. Les pratiques suivantes
aident à améliorer le contrôle:
• 1) Les nouveaux employés devraient faire l'objet d'une
enquête sur l'honnêteté et la fiabilité.
• 2) Les employés devraient recevoir une formation qui leur
donne la possibilité d’amélioration et les tient informés des
nouvelles politiques et procédures.
453
• 3) Les employés devraient être informés des fonctions et
responsabilités des autres segments de l'organisation. Ils
comprendront mieux comment et où leurs emplois s'inscrivent dans
l'organisation dans son ensemble.
• 4) La performance de tous les employés doit être périodiquement
revue pour voir si toutes les exigences essentielles de leur travail
sont satisfaites. La meilleure performance doit être dûment
reconnue. Les lacunes devraient être discutées avec les employés
afin qu'ils aient la possibilité d'améliorer leur performance ou
améliorer leurs compétences
• 8. Comptabilité
• a. La comptabilité est le moyen indispensable de
contrôle financier des activités et des ressources.
C'est un cadre qui peut être adapté aux affectations
de responsabilité. De plus, il est le marqueur
financier de l'organisation. Le problème réside dans
les scores à garder. Voici quelques principes de base
pour les systèmes comptables:
• 1) La comptabilité devrait répondre aux besoins
des gestionnaires en matière de prise de décision
rationnelle .
455
• 2) La comptabilité doit être basée sur les lignes de responsabilité.
• 3) Les rapports financiers des résultats d'exploitation doivent être
parallèles aux unités organisationnelles responsables de l'exécution
des opérations.
• 4) La comptabilité doit permettre d'identifier les coûts
contrôlables.
• 9. Budgétisation
• a. Un budget est un énoncé des résultats attendus exprimé en
termes numériques. Comme un contrôle, il établit une norme pour
l’input des ressources et ce qui devrait être réalisé comme
extrants et résultats.
• 1) Ceux qui sont responsables de respecter un budget devraient
participer à sa préparation.
• 2) Les personnes chargées de respecter un budget devraient
recevoir des informations qui comparent les budgets aux
événements réels et indiquent les raisons de tout écart significatif.
• a) La direction doit s'assurer qu'elle reçoit rapidement des
commentaires sur la justification des écarts.
457
• 3) Tous les budgets subsidiaires(secondaires) doivent être liés au
budget global.
• 4) Les budgets devraient fixer des objectifs mesurables. Les
budgets n'ont de sens que si les gestionnaires savent pourquoi ils
ont un budget.
• 5) Les budgets devraient aider à affiner la structure
organisationnelle. Les normes objectives de Budgétisation sont
difficiles à établir dans une combinaison confuse de sous-systèmes.
La budgétisation est donc une forme de discipline et de coordination
• 10. Reporting
• a. Dans la plupart des organisations, la fonction de gestion et de
prise des décisions se basent sur les rapports qu‘elle reçoit. Ainsi, les
rapports doivent être opportuns, précis, significatifs et économiques.
Voici quelques principes pour établir un système interne de
reporting satisfaisant:
• 1) Les rapports doivent être rédigés conformément aux
responsabilités assignées.
• 2) Les individus ou les unités devraient être tenus de faire un
rapport uniquement sur les questions où ils sont responsables.
• 3) Le coût de l’accumulation de données et de la préparation des
rapports doit être mis en balance avec les avantages à en retirer.
459
• 4) Les rapports devraient être aussi simples que possible et conformes à la nature du sujet. Ils
ne doivent inclure que des informations répondant aux besoins des lecteurs. Des classifications
et une terminologie communes devraient être utilisées autant que possible pour éviter toute
confusion.
• 5) Le cas échéant, les rapports sur le rendement devraient montrer des comparaisons avec
des normes prédéterminées de coût, de qualité et de quantité. Les Coûts contrôlables doivent
être séparés.
• 6) Lorsque la performance ne peut être rapportée en termes quantitatifs, les rapports
doivent être conçus pour mettre l'accent sur les exceptions ou autres questions nécessitant une
attention de gestion.
• 7) Pour une valeur maximale, les rapports doivent être opportuns. Rapports opportuns basés
en partie sur les estimations peuvent être plus utiles que les rapports différés qui sont plus
précis.
• 8) Les destinataires du rapport devraient être sondés périodiquement pour voir s'ils reçoivent
toujours les rapports qu'ils reçoivent ou si les rapports pourraient être améliorés.
UNITÉ VII:
462
Risques de Fraude et Contrôles
Cette unité d’étude couvre le domaine VI: Risques de fraude du programme d’examen CIA de l’IIA. Ce domaine
représente 10% de la partie 1 de l'examen CIA et est testé aux niveaux cognitifs de base et expert
463
Définition et principales caractéristiques de la fraude
Le Glossaire de
l’IIA définit la
fraude comme
étant
465
2. Caractéristiques de la Fraude
466
Le triangle de la fraude…
Opportunité
Prévention
de la
Fraude
Décourager l’Acte
Limiter
l’Exposition
w w.theiia.or 246
w g
467
• 3. Effets de Fraude
• a . Les pertes monétaires dues à la fraude sont
importantes, mais son coût total est
incommensurable en termes de temps,
productivité et réputation, y compris les relations
avec la clientèle.
• b. Ainsi, une organisation devrait avoir un
programme de fraude qui comprend des
programmes de sensibilisation, de prévention et
de détection. Il devrait également avoir une
évaluation de processus des risques de fraude
pour identifier les risques de fraude.
468
• 4. Types de Fraude
• a. Le détournement d’actifs consiste à voler de l’argent ou d’autres
actifs (fournitures, stocks, équipements et informations). Le vol peut
être dissimulé, par exemple en ajustant les enregistrements. Par
exemple, la saisie d'entrées de journal frauduleuses peut aider à
dissimuler le vol d'actifs (par exemple, lorsqu'un bien est acheté,
l’auteur débite un compte de dépenses au lieu d’un compte d'actif).
• b. L'écrémage( skimming) est un vol d'argent avant qu'il ne soit
enregistré, par exemple, en acceptant le paiement d’ un client mais
sans enregistrer la vente.
• c. La fraude aux paiements implique le
paiement de biens ou de services fictifs, la
surestimation des factures ou l’utilisation de
factures pour des raisons personnelles.
• d. La fraude au remboursement des
dépenses est le paiement de dépenses fictives
ou par exemple, un rapport de dépenses pour
un voyage personnel, des repas inexistants ou
un kilométrage supplémentaire.
470
• e. La fraude à la paie est une fausse demande d'indemnisation, par
exemple, des heures supplémentaires non travaillées ou des
paiements à des employés fictifs.
• f. Les fausses déclarations dans les états financiers surestiment
souvent les actifs ou les revenus ou sous-estiment le passif et les
dépenses. La direction peut en bénéficier en vendant des actions,
recevoir des bonus ou dissimuler une autre fraude. Par exemple la
fausse déclaration fournit de fausses informations, généralement à
des personnes sous forme d'états financiers frauduleux.
• h. La corruption est une mauvaise utilisation du
pouvoir. Elle laisse souvent peu de preuve
comptable. Ces crimes sont généralement
découverts grâce à des astuces ou des plaintes de
tiers. La corruption implique souvent la fonction
d'achat.
• i. Le pot de vin offre, donne, reçoit ou sollicite
quelque chose de valeur pour influencer un résultat .
Des pots-de-vin peuvent être offerts à des employés
clés tels que les agents d'achat. Ces pots-de-vin sont
généralement commiss par des intermédiaires pour
des vendeurs extérieurs.
472
• j. Un conflit d'intérêts est un intérêt économique personnel non divulgué
dans une transaction qui affecte négativement l'organisation ou ses
actionnaires.
• k. Un détournement redirige vers un employé ou un étranger une
transaction qui profite normalement à l'organisation.
• l. L'utilisation abusive d'informations confidentielles ou exclusives est
frauduleuse.
• m. Une fraude entre apparentés est la réception d'un avantage qui ne
peut être obtenue dans des conditions de pleine concurrence.
• n. L'évasion fiscale falsifie intentionnellement une déclaration de
revenus
• 5. Fraude de bas niveau contre fraude des cadres
• a. La fraude commise par le personnel ou les
employés de ligne(métier) consiste le plus souvent
en un vol de biens ou détournement de fonds.
L'incitation pourrait être le soulagement des
difficultés économiques, le désir pour un gain
matériel, ou une habitude de drogue ou de jeu. Ce
type de fraude vise à faire bénéficier les individus.
• 1) Vol de petite caisse ou de marchandise,
recouvrement des comptes débiteurs et création des
fournisseurs inexistants sont des formes courantes
de fraude de bas niveau.
474
• b. La fraude au niveau du management exécutif est
différente. L’incitation consiste généralement soit à
maintenir ou augmenter le prix de l'action, recevoir
un gros bonus, ou les deux. Ce type de fraude est
destiné à bénéficier à l'organisation.
• 1) La fraude au niveau de la direction consiste
généralement en des déclarations financières
mensongères.
• 6- Les Symptômes de Fraude
• a. Un symptôme de document est toute
altération des registres comptables pour
masquer une fraude. Garder deux ensembles
de livres ou forcer les livres à se réconcilier en
sont des exemples.
• b. Un symptôme de style de vie est une
augmentation inexpliquée du statut social ou
du niveau de consommation de matière.
476
• c. Un symptôme comportemental (c.-à-d. Un
changement radical du comportement d'un
employé) peut indiquer la présence de fraude.
Culpabilité et autres formes de stress associées à la
perpétration et la dissimulation de la fraude peuvent
entraîner des changements de comportement
notables.
7. Quelques indicateurs possibles de fraude
• a. Les fraudes et leurs indicateurs (drapeaux
rouges) ont de différentes formes, notamment:
• 1) Absence de rotation des employés dans les
postes sensibles, tels que la gestion des espèces
• 2) Combinaison inappropriée de tâches
• 3) Lignes de responsabilité et de responsabilité
peu claires
• 4) Des objectifs de vente ou de production
irréalistes
• 5) Un employé qui refuse de prendre des
vacances ou refuse une promotion
• 6) Les contrôles établis ne sont pas appliqués de manière cohérente
• 7) Bénéfices déclarés élevés lorsque les concurrents souffrent d'un
ralentissement économique
• 8) Taux de rotation élevé parmi les postes de supervision dans les
domaines financiers et comptables
• 9) Utilisation excessive ou injustifiable des achats à fournisseur unique
• 10) Une augmentation des ventes très disproportionnée à
l'augmentation du coût des marchandises vendues
• 11) Les exigences importantes du contrat diffèrent entre le contrat
réel de celles de l’appel d'offres
• 8. Types de processus frauduleux
• a. Créances de rodage (lapping)
• 1) Dans cette fraude, une personne (ou des
personnes) ayant accès aux paiements des clients et
les comptes débiteurs(AR) volent le paiement d'un
client. La pénurie dans ce compte client est alors
couvert par un paiement ultérieur d'un autre client.
• 2) Le processus se poursuit jusqu'à ce que (a) un
client se plaint de son paiement n’est pas affiché, b)
l’absence de l’auteur permet à un autre employé de
découvrir la fraude, ou (c) l'auteur des faits couvre le
montant volé.
480
• b. Chèque sans provision (cavalerie bancaire ou kitting )
• 1) Le sans provision exploite le délai entre (a) le dépôt d'un
chèque sur un compte bancaire et b) compenser le chèque par
l'intermédiaire de la banque sur laquelle il a été tiré. Cette pratique
est possible uniquement lorsque des vérifications manuelles sont
utilisées. L'utilisation généralisée de transfert électronique de fonds
et autres sauvegardes informatiques en réseau font du kitting
électronique difficile.
• 2) Un chèque est sans provision quand (a) une
personne (le kitter) écrit un chèque au montant
insuffisant sur un compte dans une banque et (b)
dépose le chèque dans une autre banque.
• 3) La deuxième banque crédite immédiatement le
compte de tout ou partie du montant du chèque,
permettant au kitter d'écrire d'autres chèques à ce
sujet (inexistant) . Le cerf-volant couvre ensuite
l'insuffisance de la première banque avec une autre
source de fonds. Le processus peut se dérouler dans
un cercle de comptes à n'importe quel nombre des
banques.
482
• 9. Rôles des Auditeurs Internes
• a. Les auditeurs internes ne sont pas responsables de la
détection de toutes les fraudes, mais ils doivent toujours
être attentifs à la possibilité de fraude.
• Norme de mise en œuvre 1210.A2
• Les auditeurs internes doivent avoir des connaissances
suffisantes pour évaluer le risque de fraude et la
manière dont il est géré par l'organisation, mais ne
devraient pas avoir l'expertise d'une personne dont la
responsabilité principale est de détecter et d'enquêter
sur la fraude.
483
• 1) Selon la norme de mise en œuvre 1220.A1, les auditeurs internes
doivent exercer avec les diligences professionnelles en tenant
compte, entre autres, de la «probabilité d’existence des erreurs
importantes, de fraude ou de non-conformité. »
• 2) Les auditeurs internes doivent donc tenir compte de la
probabilité de fraude lorsqu'ils développent des objectifs de mission
(NMO: 2210.A2).
• Norme de mise en œuvre 2120.A2
• L'activité d'audit interne doit évaluer le potentiel de survenance de
fraude et comment l'organisation gère le risque de fraude.
• b. L'auditeur interne doit prendre en compte les
risques potentiels de fraude dans l'évaluation de
conception du contrôle et choix des procédures
d'audit.
• 1) Les auditeurs internes devraient obtenir une
assurance raisonnable que les objectifs de processus
en cours d'examen sont atteints et des lacunes dans
le contrôle sont détectées.
• 2) La prise en compte des risques de fraude et
leur relation avec des travaux d'audit spécifiques
sont documentés.
485
• c. Les auditeurs internes doivent avoir une connaissance suffisante
de la fraude pour identifier les fraudes (drapeaux rouges).
• 1) Cette connaissance comprend (a) les caractéristiques de la
fraude, (b) les méthodes utilisées pour commettre une fraude, et (c)
les divers schémas de fraude associés aux activités examinés.
• d. Les auditeurs internes doivent être attentifs aux opportunités
qui pourraient permettre la fraude, telles que les faiblesses de
contrôle.
• 1) Si des déficiences de contrôle importantes sont détectées, des
procédures supplémentaires peuvent être effectuées pour
déterminer s'il y a eu fraude.
• e. Les auditeurs internes devraient évaluer les
indicateurs de fraude et décider si d'autres mesures
sont nécessaires ou si une enquête doit être
recommandée.
• f. Les auditeurs internes devraient évaluer si:
• 1) La direction supervise activement les
programmes de gestion des risques de fraude,
• 2) Des mesures correctives opportunes et
suffisantes ont été prises à l'égard de toute lacune
de contrôle notée, et
• 3) Le plan de suivi du programme est adéquat.
Exemple: Le cas échéant, les auditeurs internes
devraient recommander une enquête. 487
7.2: Contrôles de la Fraude
• 1. Programme de gestion de la fraude
• a. Les éléments d'un programme efficace de
gestion de la fraude sont les suivants:
• 1) Politique d'éthique de l'entreprise
• 2) Sensibilisation à la fraude
• 3) Évaluation du risque de fraude
• 4) Examens des contrôles en cours
• 5) Prévention et détection
• 6) Enquête
488
• 2. Contrôles
• a. Le contrôle est le principal moyen de gérer la fraude et
de garantir que les éléments de programme de gestion de
la fraude sont présents et fonctionnent.
• b. Le cadre de contrôle interne du COSO peut être
appliqué dans le contexte de la fraude pour promouvoir un
environnement dans lequel la fraude est efficacement
gérée.
• 1) L'environnement de contrôle comprend des éléments tels
qu'un code de conduite, politique d'éthique ou politique de
fraude pour établir le ton approprié en haut; engager et
promouvoir les directives et les pratiques ; et la surveillance
du conseil d'administration.
• 2) Une évaluation du risque de fraude comprend
généralement les éléments suivants:
• a) Identifier et hiérarchiser les facteurs de risque de
fraude et les programmes de fraude
• b) Déterminer si les contrôles existants s'appliquent aux
programmes de fraude potentiels et identifier les lacunes
• c) Tester l'efficacité opérationnelle des contrôles de
prévention et de détection de la fraude
• d) Documenter et rapporter l'évaluation des risques de
fraude
490
• 3) Les activités de contrôle sont des politiques et procédures pour les
processus opérationnels qui incluent les limites d'autorité et la
séparation des tâches.
• 4) Les pratiques d'information et de communication liées à la fraude
favorisent le programme de gestion de risque de fraude et la position de
l’organisation en matière de risque. Les moyens utilisés comprennent une
formation de sensibilisation à la fraude et confirment que les employés
se conforment aux politiques de l'organisation.
• 5) Le suivi évalue les contrôles antifraude à travers des évaluations
indépendantes des programme de gestion des risques de fraude et son
utilisation.
• c. Prévenir la fraude. Les éléments essentiels
pour prévenir la fraude donnent le ton au sommet
et inculquer une forte culture d’éthique.
• d. Détecter la fraude. Un élément essentiel dans
la détection de la fraude est la rétroaction
(feedback) des employés. Les sources de
Feedback des employés comprennent une ligne
d'assistance (hotline) pour les dénonciateurs
(whistleblower), des entretiens de sortie (exit
interviews) et des enquêtes d’employés (employee
surveys).
492
• 3. Responsabilité des contrôles
• a. La direction est principalement responsable de l'établissement et
du maintien du contrôle.
• b. Les auditeurs internes doivent aider l'organisation en évaluant
l'efficacité et l'efficience des contrôles et la promotion de
l'amélioration continue (Norm. Fonct. 2130).
• 1) Dans une mission d'assurance, les auditeurs internes doivent
aider l'organisation en évaluant l'adéquation et l'efficacité des
contrôles pour répondre aux risques (Norm. Mise en œuvre
2130.A1).
• 2) Les auditeurs internes ne sont pas responsables de la conception
et de la mise en œuvre des contrôles de prévention de fraude.
• 3) Cependant, les auditeurs internes jouant un rôle
de conseil et peuvent aider la direction a identifier
et évaluer les risques et déterminer l'adéquation de
l'environnement de contrôle.
• a) Les auditeurs internes occupent également une
position unique au sein de l'organisation pour
recommander des modifications et pour améliorer
l'environnement de contrôle.
494
• 4. Sensibilisation à la fraude
• a. La sensibilisation à la fraude consiste à comprendre la nature,
les causes et les caractéristiques de la fraude. Elle est développée
par des évaluations périodiques des risques de fraude, la formation
des employés et les communications entre la direction et les
employés.
• b. La formation des employés sur la fraude doit être adaptée aux
risques de fraude de chaque organisation. La formation couvre
généralement les valeurs et le code de conduite de l’organisation,
les types de fraude et les rôles et responsabilités des employés pour
signaler les violations des comportements éthiques.
7.3 : Investigation sur la Fraude
• 1. L'audit judiciaire (Forensic auditing)
utilise les connaissances et les
compétences en comptabilité et en audit
dans des implications juridiques civiles
ou pénales. Les Missions impliquant la
fraude, le soutien aux litiges et les
témoignages d'experts sont des
exemples. Les procédures d'audit
judiciaire comprennent les entretiens,
des enquêtes et des tests.
496
• 2. Enquête sur la fraude
• a. Une enquête rassemble suffisamment d'informations pour
déterminer (1) si la fraude a été survenu (2) les expositions aux pertes, (3)
qui était impliqué et (4) comment la fraude s'est produite.
Elle devrait découvrir toute la nature et l'étendue de la fraude.
• b. Les auditeurs internes, les avocats et d'autres spécialistes mènent
généralement des enquêtes sur les fraudes.
• c. Les activités d'enquête et de résolution doivent être conformes à la
législation locale et les auditeurs devrait travailler efficacement avec un
conseiller juridique et se familiariser avec les lois pertinentes.
• d. La direction met en place des contrôles sur
l'enquête. Ils comprennent (1) le développement des
politiques et procédures, (2) conservation des
preuves, (3) réponse aux résultats, (4) rapports et (5)
communications.
• 1) Ces questions peuvent être documentées dans
une politique de fraude que les auditeurs internes
peuvent aider à évaluer.
• 2) Les politiques et procédures traitent (a) des
droits des individus; b) les qualifications des
enquêteurs; c) les lois pertinentes; et (d) la
discipline(sanctions) des employés, fournisseurs ou
clients, y compris les mesures légales.
498
• 3) L'autorité et les responsabilités des personnes impliquées dans
l'enquête, en particulier l'enquêteur et le conseiller juridique,
doivent être clairs.
• 4) Les communications internes concernant une enquête en
cours devraient être réduites au minimum.
• 5) Une politique devrait spécifier la responsabilité de l’enquêteur
pour déterminer si une fraude a été commise. L’enquêteur ou la
direction décide s'il y a eu fraude et que la direction décide de
notifier aux autorités extérieures.
• e. La responsabilité de l'activité d'audit interne
pour les enquêtes devrait être définie dans sa
charte et dans les politiques et procédures de
fraude.
• 1) Par exemple, l'audit interne peut:
• a) Être principalement responsable,
• b) Agir en tant que ressource, ou
• c) Éviter toute implication car il est
responsable de l'évaluation des enquêtes ou
manque de ressources.
500
• 2) Tout rôle est acceptable si son effet sur
l'indépendance est reconnu et géré de manière
appropriée.
• 3) Les auditeurs internes non seulement évaluent
généralement les enquêtes mais conseillent
également la gestion du processus, y compris
l'amélioration des contrôles.
• 4) Pour être compétentes, les équipes d'enquête sur
les fraudes doivent acquérir une connaissance a) les
stratagèmes(astuce, combine) de fraude, b) les
méthodes d'enquête et c) la loi applicable.
• 5) L'activité d'audit interne peut faire appel au
personnel interne, à l'externalisation ou aux deux.
• f. Un plan d'enquête est élaboré pour chaque
enquête.
• 1) L'enquêteur principal détermine les
connaissances, les aptitudes et les autres
compétences nécessaires.
• 2) Le processus comprend l'obtention de
l'assurance qu'aucun conflit d'intérêts
potentiel existe avec les personnes enquêtées
ou tout autre employé de l'organisation
503
• 3) La planification doit tenir compte des éléments suivants:
• a) Collecte de preuves à l'aide des contrôles, d'entretiens ou de
déclarations écrites
• b) Documenter et conserver les preuves, les règles juridiques de preuve
et les utilisations commerciales des preuves
• c) Déterminer l'étendue de la fraude
• d) Déterminer les méthodes utilisées pour commettre la fraude
• e) Évaluer la cause de la fraude
• f) Identification des auteurs
• 4) Toutes les preuves obtenues doivent être
enregistrées chronologiquement dans un
journal ou un inventaire. Voici des exemples
de preuves:
• a) Lettres, notes de service et
correspondance (sur papier ou sous forme
électronique)
• b) Dossiers financiers
• c) Dossiers d'accès aux TI ou aux systèmes
• d) Enregistrements téléphoniques
505
• e) Informations sur le client ou le fournisseur (par exemple,
contrats, factures et information sur paiement)
• f) Documents publics (p. ex. registres de propriété ou
enregistrements d'entreprises déposés auprès d’organismes
gouvernementaux)
• g) Articles de presse
• h) Sites Web (p. ex. sites de réseautage social)
• 5) L'enquête doit être coordonnée avec la direction, les conseillers
juridiques et d'autres spécialistes.
• 6) Les enquêteurs doivent être prudents, cohérents et bien
informés des droits des personnes entrant dans le champ de
l'enquête et la réputation du l'organisation elle-même.
• 7) Le niveau et l'étendue de la complicité de la fraude dans
l'ensemble de l'organisation ont besoin d’être évalués. Cette
évaluation peut être critique pour éviter (a) de détruire ou
entacher des preuves cruciales et b) obtenir des informations
trompeuses de la part de personnes qui peuvent être impliquées
• 8) L'enquête doit sécuriser les preuves collectées et suivre la
chaîne de procédures de traçabilité (chain of custody procedures).
507
• 3. Interrogatoire des employés
• a. Un interrogatoire lié à la fraude diffère considérablement d'un
entretien normal.
• 1) Le but d'un entretien typique est de rassembler des faits. Lors
d'un interrogatoire, l'auditeur interne a déjà rassemblé les faits
pertinents et demande de confirmation.
• 2) À aucun moment l'auditeur interne ne devrait accuser
l'employé d'avoir commis un crime. Si l'accusation n'est pas
démontrable, l'organisation pourrait avoir une responsabilité légale
• . 3) L'accusé est généralement interrogé
après que la plupart des preuves
pertinentes ont été obtenues. L'objectif
est souvent d'utiliser les preuves pour
obtenir des aveux.
• 4) Toutes les informations reçues
lors de l'entretien doivent être
correctement documentées. Aussi,
toutes les preuves doivent être soumises
à des procédures efficaces de chaîne de
contrôle.
509
• 5) Deux personnes devraient mener l'entretien, dont l'une prend des notes et
l’autre peut servir de témoin.
• b. L'auditeur interne doit guider la conversation du général au particulier.
• 1) Les questions ouvertes sont généralement utilisées au début de
l'interrogatoire et fermées sont utilisées plus tard alors que l'auditeur se
rapproche de l'obtention d'aveux.
• a) Les questions ouvertes sont du type «Décrivez votre rôle dans
l'approbation du processus fournisseur.«
• b) Les questions fermées sont du type: «Vérifiez-vous personnellement
l’existence de chaque fournisseur qui demande l'approbation? «
2) Méthodes d'entrevue normales concernant le ton non menaçant et
l'observation étroite du langage corporel s'applique.
• c. L'employé ne devrait pas être autorisé à retourner dans
sa zone de travail normale avant l’ achèvement de
l'interrogatoire.
• 1) Parce que l'employé est maintenant au courant de
l'enquête sur la fraude, il peut être tenté de détruire des
preuves précieuses.
511
• 4. Déclaration des fraudes
• a. Le directeur de l'audit est responsable du signalement des
fraudes. Il se compose des différentes communications orales ou
écrites, intermédiaires ou finales à la direction ou au conseil
concernant le statut et les résultats des enquêtes sur les fraudes.
• 1) Une communication officielle peut être émise à la fin de
l'enquête et comprend (a) les délais, (b) les observations, (c) les
conclusions, (d) la résolution, et e) action corrective pour améliorer
les contrôles.
• 2) Il peut être nécessaire de l'écrire pour protéger l'identité de
certaines personnes impliquées.
• 3) Les besoins du conseil d'administration et de la direction, les
exigences légales, les politiques et les procédures doivent être
envisagées.
• b. Un projet de communication finale devrait être soumis au
conseiller juridique pour la revue. Pour être couvert par le secret
professionnel client –avocat (attorney-client privilege), le rapport
doit être adressé au conseiller.
• c. Tout incident de fraude importante ou incident qui amène les
auditeurs internes à remettre en question le niveau de confiance
accordé à une ou plusieurs personnes doit être signalé en temps
opportun à la direction et au conseil.
• d. Si des états financiers publiés antérieurement pour un an ou
plus peuvent avoir été défavorables la haute direction et le conseil
d'administration devraient également être informés.
514
• 5. Résolution des incidents de fraude
• a. La résolution consiste à déterminer les
mesures à prendre après l’achèvement de
l’enquête.
• 1) La direction et le conseil
d'administration sont responsables de la
résolution des incidents de fraude.
515
• b. La résolution peut inclure les éléments suivants:
• 1) Réconforter les personnes qui ont été trouvées innocentes ou qui ont
signalé un problème
• 2) Discipliner l’ employé (sanctions)
• 3) Demande de restitution financière volontaire
• 4) Résiliation des contrats avec les fournisseurs
• 5) Signaler l’incident aux autorités chargées de l’application des lois ou aux
organismes de réglementation, à poursuivre et à coopérer avec eux
• 6) Dépôt d'une action civile pour récupérer le montant prélevé
• 7) Déposer une réclamation d'assurance
• 8) Plainte auprès de l’association professionnelle de l’auteur
• 9) Recommander des améliorations de contrôle
• 6. Communication des incidents de fraude
• a. La direction ou le conseil d'administration décide s'il
faut informer les parties extérieures de l’organisation après
consultation de personnes telles que des conseillers
juridiques, le personnel des ressources humaines et le RAI.
• 1) L'organisation peut devoir notifier aux agences
gouvernementales certains types d’ actes frauduleux. Il
peut également être nécessaire d'informer ses assureurs,
ses banquiers et ses auditeurs externes des cas de
fraude.
• b. La communication interne est un outil stratégique utilisé
par la direction pour renforcer sa position relative à
l'intégrité et de montrer pourquoi les contrôles internes
sont importants.
517
• 7. Avis sur les contrôles liés à la fraude
• a. L'auditeur interne peut être invité par la direction ou le conseil à
exprimer une opinion sur les contrôles internes liés à la fraude. Les
éléments suivants fournissent des conseils pertinents:
• 1) Normes et guides de mise en œuvre applicables à la
communication des résultats (Norme de Fonctionnement 2400, etc.)
• 2) Guide pratique, formulation et expression d'opinions d'audit
interne
• b. Un avis sur les contrôles liés à la fraude est acceptable, mais il n'est
pas approprié pour un auditeur d’ exprimer une opinion sur la culpabilité
d'un suspect de fraude.
•F I N
•B O N N E C H A N C E
•KRIMI
•abkrimi@yahoo.com
•0021697252635
519