Copyright

Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux.
Le fait de partager vos documents limiterait l'utilité du programme. L'IIA investit de nombreuses
ressources pour proposer à ses membres des perspectives professionnelles de qualité. En
conséquence, merci de respecter le copyright.
Table of Contents

Section II : Contrôle interne et risque

Introduction

Chapitre A : Types de contrôles et techniques de management du contrôle

interne
Introduction du chapitre
Rubrique 1 : Définir les types de contrôles (Niveau A)
Rubrique 2 : Définir les types de techniques de contrôle de gestion
(Niveau A)

Chapitre B : Caractéristiques et utilisation des référentiels de contrôle

interne
Introduction du chapitre
Rubrique 1 : Avoir une bonne compréhension du référentiel La pratique
du contrôle interne – COSO Report (Internal Control – Integrated
Framework) (Niveau P)
Rubrique 2 : Avoir une bonne compréhension des cadres de contrôle
alternatifs (Niveau A)

Chapitre C: Lexique du risque et concepts

Introduction du chapitre
Rubrique 1 : Définir la terminologie relative au risque (Niveau A)
Rubrique 2 : Décrire les éléments du risque (Niveau A)
Rubrique 3 : Avoir une bonne compréhension de la gestion des risques
(Niveau A)

Chapitre D : Sensibilisation au risque de fraude

Introduction du chapitre
Rubrique 1 : Définition et introduction de la fraude (Niveau A)
Rubrique 2 : Décrire les types de fraude (Niveau A)
Rubrique 3 : Énumérer les signaux d'alerte en matière de fraude
(Niveau A)
 Section II : Contrôle interne et risque
Cette section a pour objectif de vous aider à :
Définir et décrire le contrôle et les différents types de contrôles.
Évaluer la conception et l'efficacité des contrôles.
Expliquer les diverses techniques du contrôle de gestion.
Décrire le référentiel La pratique du contrôle interne – COSO Report du Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
Décrire d'autres cadres de contrôle interne tels que le modèle Cadbury de l'Institut des
experts comptables d'Angleterre et du Pays de Galles (Institute of Charter Accountants
in England and Wales) et le modèle de Critères de contrôle (CoCo) de l'Institut
canadien des comptables agréés (Canadian Institute of Chartered Accountant).
Apprendre la terminologie relative au risque et au contrôle.
Comprendre les cadres, les éléments et les concepts de gestion des risques.
Examiner les objectifs, les composantes, les rôles et les responsabilités du cadre de
gestion des risques de l'entreprise (ERM) du COSO.
Comparer l'approche de gestion des risques du COSO avec la norme ISO 31000
« Gestion du risque » et les recommandations Turnbull.
Identifier et évaluer les risques en termes d'impact et de probabilité.
Expliquer comment l'activité d'audit interne aide la direction à identifier et évaluer les
risques.
Différencier les quatre techniques de gestion des risques de base : la prévention, la
réduction, le partage et l'acceptation.
Expliquer comment diverses techniques de surveillance des risques peuvent aider à
garantir l'efficacité des activités de gestion des risques de l'entreprise.
Décrire comment l'activité d'audit interne, par ses activités d'assurance et de conseil,
aide le conseil à évaluer les risques à l'échelle de l'entreprise.
Décrire comment l'activité d'audit interne interagit avec la direction au niveau de
l'acceptation du risque (ou la tolérance au risque) dans le cadre de la prise de
décision.
Définir et introduire le concept de fraude.
Expliquer comment l'activité d'audit interne favorise une culture de sensibilisation à la
fraude et le signalement des malversations.
distinguer les principaux types de fraude.
Reconnaître les signaux d'alerte et leur rôle dans la fraude ;

Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de
cette section représentent environ 25 % à 35 % de la totalité des questions relatives à la
Partie 1. Les sujets sont couverts au niveau « A-Awareness », ce qui signifie que vous
devez bien comprendre et mémoriser les informations.
 Introduction
La nature du travail de l'audit interne a évolué bien au-delà des domaines traditionnels de l'assurance
de contrôle interne et de la conformité pour inclure la gestion des risques et la gouvernance. La
norme de fonctionnement 2100 « Nature du travail » décrit succinctement le champ d'application
élargi : « L'audit interne doit évaluer les processus de gouvernement d'entreprise, de gestion des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique et
méthodique. »

Des trois domaines fonctionnels, la gouvernance est le domaine le moins développé et le plus
complexe. La gouvernance est traitée en détail uniquement dans la Partie 3 de ce système
d'apprentissage.

Les auditeurs internes possèdent une grande expérience du contrôle. Les deux premiers chapitres de
cette section traitent du contrôle interne. Le Chapitre A définit les types de contrôles et décrit la façon
dont les contrôles peuvent être mis en œuvre en utilisant des techniques de contrôle de gestion
efficaces. Le Chapitre B se concentre sur les cadres de contrôle interne.

Les connaissances et l'implication de l'activité d'audit interne dans la gestion des risques varient d'un
secteur industriel à l'autre et d'une organisation à l'autre. Les entités de services financiers, par
exemple, présentent un niveau de maturité raisonnable en ce qui concerne la gestion des risques.
Toutefois, de nombreux autres types d'organisation sont novices en la matière. Par conséquent, le
Chapitre C présente une introduction au lexique, aux éléments et à la gestion du risque. (Dans la
Partie 2, les bases introduites ici sont appliquées à la mise en place de plans d'audit interne axés sur
les risques.) Le Chapitre D se rapporte spécifiquement à la sensibilisation aux risques de fraude et
inclut une description des types de fraude et des signaux d'alerte.
 Chapitre A : Types de contrôles et
techniques de management du contrôle
interne
Introduction du chapitre
Qu'est-ce que le contrôle interne ?
Différentes définitions donnent un aperçu du contrôle, de l'environnement de contrôle et du contrôle
interne.

Le glossaire des Normes définit le contrôle comme « toute mesure prise par la direction, le conseil
d'administration et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts
et objectifs fixés seront atteints. La direction planifie, organise et dirige la réalisation d'actions
suffisantes pour assurer, dans la mesure du possible, que les objectifs ciblés seront atteints ».

Le glossaire des Normes définit l'environnement de contrôle comme :

L'attitude et les actions du Conseil et de la direction au regard de l'importance du (dispositif de) contrôle dans l'organisation. Il fournit
la discipline et la structure nécessaires à la réalisation des objectifs principaux du système de contrôle interne. L'environnement de
contrôle englobe les éléments suivants :
Intégrité et valeurs éthiques
Philosophie et style de la direction
Organigramme
Attribution de l'autorité et de la responsabilité
Pratiques et politiques en matière de ressources humaines
Compétence du personnel

Le référentiel La pratique du contrôle interne – COSO Report, publié par le Committee of

Sponsoring Organizations of the Treadway Commission, définit le contrôle interne de la manière
suivante :

Le contrôle interne est un processus exécuté par le conseil d'administration, la direction et d'autres membres d'une entité et conçu
pour fournir une assurance raisonnable concernant la réalisation des objectifs dans les catégories suivantes :
Efficacité et efficience des opérations ;
Fiabilité du reporting financier.
Conformité avec les lois et règlements applicables.

Les concepts fondamentaux sont inhérents à cette définition :

Le contrôle interne est un processus continu et il est effectué par des personnes à tous les niveaux
de l'organisation.
La direction et le conseil d'administration reçoivent une assurance raisonnable, et non pas une
garantie absolue.
Le contrôle interne prévaut sur les formulaires et les manuels de politique. Il est orienté sur la
 réalisation des objectifs organisationnels.

Comme le montrent ces différentes définitions, les contrôles internes permettent à la direction d'une
entité d'exécuter la mission et d'atteindre les objectifs de l'organisation.

Rubrique 1 : Définir les types de contrôles (Niveau

A)
Types de contrôles
Il existe une grande variété de contrôles à la disposition de la direction, comme nous pouvons le voir
dans l'illustration II-1. Le contrôle ou la combinaison de contrôles le plus adéquat dépend de
l'environnement de l'entreprise et de l'objectif.

Illustration II-1 : Exemples d'outils de contrôle

Les types de contrôle peuvent être classés en plusieurs catégories.

Contrôles à l'échelle de l'entité, au niveau du processus et au niveau de

la transaction
Certains contrôles sont conçus pour fonctionner à un niveau élevé et supérieur, tandis que d'autres
s'appliquent à des processus ou des transactions spécifiques.

Contrôles à l'échelle de l'entité

Les contrôles à l'échelle de l'entité s'appliquent à l'ensemble de l'organisation et sont conçus à la fois
pour s'assurer que les objectifs de l'organisation sont atteints et pour atténuer les risques qui
menacent l'organisation dans son ensemble.
Parmi les principaux sous-types de contrôles à l'échelle de l'entité figurent :

Contrôles de gouvernance. Les contrôles de gouvernance instaurent une culture du contrôle,

clarifient les attentes de l'organisation et incluent des politiques et procédures à l'échelle de
l'organisation. Parmi les exemples d'instauration de culture et de clarification des attentes figurent
la mise en place d'une supervision des contrôles par le comité d'audit ou la communication de
l'appétence pour le risque du conseil d'administration et des membres de la direction ou leur
attitude par rapport au reporting financier ; parmi les exemples de politiques et procédures
figurent un code de déontologie, les politiques de conformité, les politiques informatiques et les
procédures de gestion telles que la mise en œuvre de la gestion des risques de l'entreprise.

Contrôles de supervision de la direction. Ces contrôles sont définis au niveau de l'unité

d'affaires ou de la direction des opérations et portent sur la réalisation des objectifs et
l'atténuation des risques de l'unité d'affaires. Nous pouvons citer par exemple les comités de
risque, certains contrôles de fin d'exercice et les contrôles généraux informatiques.

Contrôles au niveau des processus

Les contrôles au niveau des processus sont établis par un responsable de processus pour s'assurer
que les objectifs du processus sont atteints et que les risques au niveau du processus sont pris en
compte. Il s'agit par exemple de la surveillance, du suivi, de la supervision, de l'évaluation des
risques au niveau du processus, des évaluations de performance, du rapprochement des comptes clés
et des inventaires des stocks.

Contrôles au niveau des transactions

Les contrôles au niveau des transactions concernent des transactions individuelles. Ils sont mis en
place pour s'assurer que les objectifs de la transaction sont atteints et que les risques propres à la
transaction sont pris en compte. Nous pouvons citer comme exemple les exigences qui s'appliquent à
la documentation, la séparation des fonctions ou des autorisations et les contrôles d'applications
informatiques (saisie, traitement, sortie).

Contrôles principaux et contrôles secondaires

Les contrôles peuvent également être classés en fonction de leur importance relative. Les définitions
suivantes sont proposées par Sawyer.

Contrôles principaux. « Il s'agit des contrôles qui doivent fonctionner efficacement afin de
réduire un risque considérable à un niveau acceptable ».

Contrôles secondaires. « Il s'agit des contrôles qui permettent au processus de fonctionner

correctement mais qui ne sont pas indispensables ».

Les contrôles principaux désignent les contrôles requis pour atteindre facilement le résultat souhaité
ou l'objectif de l'entreprise. Les contrôles secondaires visent à atténuer les risques qui ne sont pas
considérés comme importants ou sont conçus comme contrôle redondant déjà traité par un contrôle
principal. L'objectif visé lors de l'identification des contrôles principaux est de s'assurer que la
supervision de la direction, les tests de contrôles et autres procédures d'audit sont efficaces, de ne
pas gaspiller du temps et des ressources et de se concentrer sur les risques importants et sur la
réalisation des objectifs de l'entreprise. Chaque risque au niveau de l'entité, des processus ou des
transactions qui a été identifié comme un risque important au cours du processus d'évaluation des
risques se verra associer un ou plusieurs contrôles principaux. Les contrôles secondaires sont les
contrôles restants au niveau d'un système.

Un exemple de contrôle principal de la gouvernance à l'échelle de l'entité est de s'assurer que le « ton
donné par la direction » renforce les contrôles au niveau des processus plutôt que de les
compromettre. Un contrôle secondaire associé peut permettre de revoir et de communiquer à nouveau
les énoncés de mission et de vision. Au niveau des contrôles de supervision de la direction à
l'échelle de l'entité, certains contrôles principaux peuvent vérifier l'efficacité de plusieurs autres
contrôles secondaires et indiquer lorsqu'il se produit des pertes de contrôle de niveau inférieur,
offrant ainsi un indicateur précoce de la défaillance du contrôle pour réduire le nombre d'essais
nécessaires pour les contrôles secondaires. Au niveau du processus, le rapprochement des comptes
clés plutôt que de tous les comptes (contrôles secondaires) pourrait fournir les preuves nécessaires
permettant d'évaluer si l'ensemble du processus est susceptible d'atteindre ses objectifs. Au niveau de
la transaction, la somme de contrôle d'une écriture comptable pourrait fournir la preuve que d'autres
contrôles au niveau des transactions fonctionnent efficacement. On pourrait considérer comme
secondaires les contrôles qui n'acceptent qu'une certaine gamme de données numériques dans un
champ spécifique.

Contrôles par fonction

De nombreux termes couramment utilisés pour décrire les types de contrôles sont basés sur les
fonctions de ces contrôles.

Prévention. Ce sont des contrôles proactifs qui permettent d'éviter que des événements
indésirables ne se produisent. Nous pouvons citer comme exemple un système de récompense
basé sur un indicateur clé de performance pertinent pour un domaine donné plutôt que sur la
réalisation d'une somme budgétaire arbitraire.

Détection. Les contrôles de détection sont réactifs et détectent les événements indésirables qui
sont déjà survenus. Nous pouvons citer comme exemple les rapprochements de comptes ou les
rapports d'exception.

Correction. Les contrôles correctifs sont réactifs et conçus pour permettre une correction
manuelle ou automatique des erreurs ou des irrégularités qui ont été détectées par des contrôles de
détection comme, par exemple, la résolution de cas de paiements en double dans un système de
décaissement, les pistes d'audit ou les procédures de sauvegarde et de récupération.
 Direction. Les contrôles directifs sont proactifs et causent ou encouragent la survenue d'un
événement souhaitable. Parmi les exemples de contrôles directifs figurent les lignes directrices,
les programmes de formation et les mesures incitatives.

Atténuation. Les contrôles d'atténuation réduisent l'impact potentiel d'un événement qui pourrait
se produire. Les assurances sont un excellent exemple de contrôle d'atténuation.

Compensation. Ces contrôles visent à compenser l'absence d'un contrôle prévu. Par exemple, un
examen rigoureux par un superviseur peut compenser le manque de séparation des tâches lorsque
cette séparation est rendue impossible par de faibles effectifs.

Redondance. Les contrôles redondants ou de sauvegarde dupliquent un objectif de contrôle ou un

contrôle secondaire qui fonctionne seulement lorsqu'un contrôle principal est défaillant, comme
par exemple une cuve de débordement située sous un réservoir contenant des substances toxiques.

Contrôles actifs / manuels et contrôles passifs / automatiques

Les contrôles peuvent être actifs ou passifs (manuels ou automatiques) :

Un contrôle actif ou contrôle manuel est une tâche qui consiste à empêcher ou détecter un écart
par rapport à la procédure approuvée. On peut le voir comme un contrôle qui fonctionne par une
sorte d'intervention consciente. Nous pouvons citer comme exemple l'examen de transactions par
un responsable.

Un contrôle passif ou contrôle automatique fonctionne sans intervention humaine. Les contrôles
intégrés dans le système informatique ou une relation ou un processus qui possède des
implications dans le contrôle en sont des exemples. On peut le voir conne un contrôle qui
fonctionne par sa simple existence. On peut illustrer ceci en prenant l'exemple d'un thermostat
réglé pour maintenir la température d'une pièce.

Contrôles formels et informels

L'expression « contrôles informels » est tirée d'une publication de Robert K. Mautz datant de 1980,
intitulée Internal Control in U.S. Corporations: The State of the Art (Le contrôle interne dans les
entreprises américaines : l'état de la technique). Ce livre a clairement influencé les auditeurs
internes. De manière générale, les contrôles formels sont par nature plus scientifiques et les contrôles
informels plutôt orientés sur l'humain. Ces expressions peuvent être définies comme suit :

Contrôle formel. Ces contrôles ont tendance à être quantitatifs et objectifs, ce qui signifie que les
tests d'audit traditionnels peuvent être utilisés pour tester la conformité. Il s'agit, par exemple,
d'inspecter des comptes rendus de réunion ou d'effectuer une analyse mensuelle budget - coût réel.

Contrôle informel. Ces contrôles ont tendance à être qualitatifs et subjectifs et sont destinés à
représenter la culture d'une organisation, tel que l'état d'esprit ou les perceptions. Par exemple, les
 contrôles informels peuvent inclure des politiques pour déterminer si les connaissances sont
suffisantes pour corroborer des résultats ou étayer des conclusions.

L'illustration II-2 présente des exemples courants de ces deux types de contrôles.

Illustration II-2 : Contrôles internes formels et informels

L'évaluation de l'efficacité et de l'efficience du contrôle est un concept de base traditionnel de

l'activité d'audit interne. Toutefois, se concentrer uniquement sur les contrôles formels (par exemple,
politiques et procédures documentées) au niveau des processus aboutit à une évaluation incomplète.
Pour évaluer le contrôle interne et fournir une assurance raisonnable à la direction générale et au
conseil, l'activité d'audit interne doit inclure les contrôles informels intangibles et subjectifs.

Contrôles informatiques
La technologie de l'information, tout comme la notion de contrôles à l'échelle de l'entité par rapport
aux contrôles au niveau des processus et des transactions, possède également des niveaux de contrôle
permettant de gérer les risques associés aux systèmes informatiques :

Contrôles généraux informatiques. Les contrôles généraux informatiques (ITGC) sont des
contrôles mis en place à l'échelle de l'entité qui s'appliquent à des processus informatiques
généraux tels que la gestion du changement, le déploiement, la sécurité d'accès et les opérations.
Ils peuvent être appliqués à tous les systèmes d'information en général ou presque. Les contrôles
généraux informatiques se composent de contrôles de gouvernance, comme une politique de
confidentialité, ainsi que de contrôles de supervision de la direction, tels que les normes d'essai
ou la séparation des fonctions informatiques.

Contrôles des applications ou contrôles techniques. Les contrôles des applications ou les
contrôles techniques sont des contrôles au niveau des processus ou des transactions qui sont
généralement spécifiques à une application donnée, mais ils peuvent également contrôler des
procédés techniques plus importants, tels que les droits d'accès aux systèmes. Les contrôles des
applications sont parfois regroupés par fonction commune :

Contrôles sur les entrées. Les contrôles sur les entrées permettent de vérifier l'intégrité
des données lorsque celles-ci sont saisies manuellement ou automatiquement dans un
système. Par exemple, le total de contrôle vérifie que le bon nombre d'enregistrements a été
 entré.

Contrôles de traitement. Les contrôles de traitement permettent de vérifier que les tâches
de traitement de données sont exactes, complètes et valides. Par exemple, on peut comparer
le total de contrôle à différentes étapes du traitement.

Contrôles sur les sorties. Les contrôles sur les sorties permettent de vérifier que les sorties
de données sont exactes, complètes et valides. Nous pouvons citer comme exemple un
contrôle permettant d'assurer que les données sorties sont envoyées et reçues par les
destinataires prévus et par aucun autre individu ou système.

Il existe un autre outil de contrôle informatique que l'on appelle la piste d'audit et qui est, en d'autres
termes, un enregistrement permanent de toute activité de saisie, de traitement et de sortie
informatique. Les auditeurs peuvent consulter les journaux de transactions, examiner la liste des
contrôles exécutés ou les listes d'erreur.

Avantages/limitations du contrôle interne

Les organisations ne devraient pas avoir d'attentes irréalistes vis-à-vis du contrôle interne. Le
contrôle interne a ses propres avantages et limitations, comme indiqué à l'illustration II-3.

Illustration II-3 : Avantages et limitations du contrôle interne

Le jugement, les dérogations par la direction et tout autre facteur similaire assurent, dans la mesure
du possible, que les contrôles pourront atténuer les risques. D'autres facteurs peuvent réduire les
avantages des contrôles :
Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
Faire trop confiance aux contrôles peut coûter plus cher que l'exposition dont ils sont censés
protéger.
Trop d'importance accordée aux contrôles peut résulter dans le fait que les personnes se
concentrent principalement sur le respect des contrôles et perdent de vue les objectifs
commerciaux.
Les changements et le temps peuvent rendre les contrôles obsolètes.
 Si le personnel n'adhère pas aux contrôles ou s'il ne comprend pas les objectifs à atteindre, il peut
y résister et la créativité et l'esprit d'initiative peuvent s'en ressentir.

Rubrique 2 : Définir les types de techniques de

contrôle de gestion (Niveau A)
Les techniques de contrôle de gestion incluent la conception et l'évaluation des contrôles.
L'évaluation de l'efficacité d'un contrôle (en particulier les contrôles informels) nécessite souvent
d'avoir une compréhension de base des styles de gestion, gestion des conflits et gestion du
changement. C'est la raison pour laquelle ces méthodes sont présentées à un niveau élevé dans cette
rubrique.

Normes associées et Modalités pratiques d'application

Vous retrouverez les Normes et Modalités pratiques d'application relatives l'évaluation de
l'efficacité et de l'efficience du contrôle interne dans l'illustration II-4.

Illustration II-4 : Normes de contrôle interne et Modalités pratiques d'application

Conception et évaluation des contrôles
La boucle de contrôle est un concept utile lorsqu'il s'agit de consulter la direction au sujet de la
conception des contrôles ou d'évaluer la conception des contrôles existants. Une boucle de contrôle
fonctionne par la mesure de l'état du contrôle à un point donné et sa comparaison à un état souhaité du
système. L'écart par rapport à l'état souhaité (erreur) est utilisé pour déterminer l'action corrective.
Comme le montre l'illustration II-5, le schéma forme une boucle, d'où le terme « boucle de contrôle ».

Illustration II-5 : Boucle de contrôle

Le processus intervenant dans une boucle de contrôle est le suivant :
1. Déterminer l'objectif que la direction a mis en place pour la fonction et pour l'entreprise dans
son ensemble.
2. Établir la norme acceptable avant de commencer l'évaluation des contrôles.
3. Comparer les résultats réels par rapport aux normes établies au préalable.
4. Déterminer l'action corrective appropriée.

Les objectifs et les raisons des contrôles doivent être communiqués aux employés. Dans le cas
contraire, les employés pourraient considérer que ces contrôles ne sont pas nécessaires, qu'ils sont
sans importance et qu'ils constituent une perte de temps. Les normes établissent les performances
attendues. Elles fournissent une base pour mesurer les objectifs à atteindre. Dans la mesure du
possible, les normes devraient être quantitatives. Des mesures qualitatives peuvent prêter à confusion
et mener à une interprétation subjective erronée. Si vous souhaitez utiliser une unité de temps
spécifique (par exemple, cinq jours), il est important d'être précis plutôt que d'utiliser « un intervalle
de temps raisonnable ».

Malgré tout, un système de contrôle bien conçu ne suffit pas. La direction a besoin de la garantie que
les contrôles fonctionnent conformément à leur conception (c.-à-d. qu'ils sont efficaces). La direction
des opérations devrait obtenir cette garantie par elle-même, par une surveillance continue. Les
évaluations effectuées séparément par des parties indépendantes (par exemple, des auditeurs
internes) offrent une plus grande assurance, notamment pour la haute direction et le comité d'audit.

Les auditeurs internes évaluent généralement l'efficacité d'un contrôle en sélectionnant un échantillon
de cas où le contrôle aurait dû être appliqué et en effectuant des tests pour déterminer si le contrôle a
été correctement appliqué dans chaque cas. Nous examinerons les approches les plus largement
utilisées pour tester les contrôles dans la Section III « Conduite des missions d'audit – Outils et
techniques d'audit ».

Les entreprises peuvent mettre en œuvre différentes techniques pour documenter, évaluer et rendre
compte de la pertinence des contrôles internes. Quelles que soient les techniques utilisées, certaines
caractéristiques universelles permettent de distinguer les systèmes efficaces :
L'identification opportune des écarts potentiels ou réels afin de limiter l'exposition à des risques
 coûteux.
La garantie raisonnable d'atteindre les objectifs prévus à un coût minimal, avec le moins d'effets
secondaires indésirables possible.
Une responsabilité claire qui aide le personnel à remplir les fonctions attribuées.
Un placement efficace (p. ex. lorsque la mesure est la plus pratique ou qu'il reste du temps pour
l'action corrective).
Une identification de la cause d'origine pour permettre une action corrective appropriée.
Une cohérence avec les stratégies de la direction et les objectifs commerciaux.

Comme le montre l'illustration II-6, pour qu'un système de contrôle soit efficace, les membres de
l'organisation ont tous un rôle à jouer dans la mise en œuvre des contrôles internes.

Illustration II-6 : Responsabilités de l'organisation relatives au contrôle interne

Évaluation de l'efficacité du contrôle informel
Les auditeurs internes doivent souvent dépasser les techniques traditionnelles d'audit lors de
l'évaluation de l'efficacité des contrôles informels.

Auto-évaluation des contrôles (CSA - « Control self-assessment »)

L'auto-évaluation des contrôles (CSA) est une méthode particulièrement utile qui permet d'évaluer les
contrôles informels. La CSA désigne diverses techniques d'évaluation, y compris des ateliers animés
et des enquêtes au cours desquels l'évaluation est effectuée non pas par une partie indépendante mais
par des personnes en charge du domaine ou du processus qui est évalué.

Bien que le manque d'indépendance réduise la fiabilité des résultats, l'expérience nous montre qu'une
technique de CSA rigoureuse et bien élaborée produit des résultats plutôt fiables. Et ces résultats sont
souvent beaucoup plus solides que ceux obtenus par un tiers indépendant ayant examiné des preuves
objectives. Si les participants à la CSA ont l'assurance que leur honnêteté ne se retournera pas contre
eux, cette technique peut les aider à identifier des points faibles du contrôle auxquels ils ne
penseraient pas spontanément ou qu'ils ne révèleraient pas à un évaluateur indépendant. Cela est
particulièrement vrai dans le cas des points faibles des contrôles informels.

La CSA est mise en place dans un environnement structuré dans lequel un processus itératif est
abondamment documenté. Le processus de CSA permet à la direction et/ou aux équipes de travail
d'une fonction commerciale d'effectuer les tâches suivantes :
Prendre part à l'évaluation du contrôle interne.
Évaluer le risque.
Développer des plans d'actions pour traiter les points faibles identifiés.
Évaluer la probabilité d'atteindre les objectifs commerciaux.

Certes, les avantages spécifiques qu'une organisation pourra tirer de la CSA peuvent varier. Mais les
organisations peuvent raisonnablement constater deux types d'améliorations importantes que nous
allons maintenant aborder.

Informations importantes sur le contrôle interne. Le processus de CSA fournit des informations
utiles à la direction et aux auditeurs internes pour pouvoir évaluer la qualité du contrôle. Il
complémente de manière efficace l'audit interne. L'auto-évaluation des contrôles offre au
personnel de l'audit interne et des opérations un moyen de collaborer pour évaluer une opération.
Cette synergie permet à l'audit interne de prendre en charge la fonction de supervision de la
direction en améliorant la quantité et la qualité des informations disponibles.

Une influence positive sur l'environnement de contrôle. En raison de sa nature participative, la

CSA vise à favoriser l'engagement du personnel chargé des opérations. Les participants en
apprennent davantage sur les contrôles et leur propre responsabilité en matière de gestion des
risques. La sensibilisation aux contrôles est accrue. Le personnel chargé des opérations s'implique
au niveau de l'exécution des contrôles et du maintien d'un environnement de contrôle efficace,
 lequel contribue à atteindre les buts et objectifs de l'organisation.

Pour les professionnels de la CSA, l'IIA propose la certification Spécialiste de l'auto-évaluation des
contrôles (CCSA, Certification in Control Self-Assessment). Cette certification prouve une
connaissance des domaines tels que l'identification et l'évaluation des risques, ainsi que la théorie et
l'application du contrôle.

Pour plus d'informations sur l'auto-évaluation des contrôles, vous pouvez consulter le site Web de
l'IIA www.theiia.org.

Exemples de problèmes de contrôle informel que les

auditeurs internes doivent résoudre
Parmi les exemples de problèmes de contrôle informel que les auditeurs internes doivent être en
mesure de résoudre figurent les implications liées aux besoins organisationnels, à l'organigramme,
aux styles d'encadrement, aux styles de gestion, à la gestion du changement et à la gestion des conflits.

Implications liées à des besoins organisationnels différents

Une philosophie « descendante » influence souvent le comportement des employés. Par exemple,
lorsque la direction inculque à un vendeur de faire du chiffre par tous les moyens possibles. Le
vendeur peut ignorer les politiques, les procédures, l'éthique et l'intégrité qui font normalement partie
du processus dans le but de réaliser une vente.

Implications liées à des organigrammes différents

Les mesures de contrôle ne sont pas transférables à d'autres organisations. Le COSO souligne que
même si deux organisations ont des objectifs identiques et des stratégies similaires quant à la façon
d'atteindre leurs objectifs, les activités de contrôle sont différentes car elles dépendent de
caractéristiques organisationnelles telles que l'environnement et le secteur, la taille et la complexité,
la nature et la portée des opérations, l'histoire et la culture, et l'appréciation personnelle qui affecte le
contrôle.

Plus une organisation est grande et complexe, plus les enjeux et les défis en matière de risque et de
contrôle sont importants. Par rapport aux organisations de petite taille ayant des activités moins
variées, les organisations plus grandes ont des activités plus diversifiées et il y a donc beaucoup plus
de facteurs à prendre en compte.

Implications liées à des styles d'encadrement différents

Les différents styles d'encadrement vont au-delà de la portée de cette discussion. Mais étant donné
que l'encadrement est lié aux risques et au contrôle, il faut prendre en compte les concepts
d'autoritarisme et d'autonomisation car ils ont des conséquences importantes.
L'autoritarisme fait référence à la rigidité des croyances d'un responsable. Parmi les caractéristiques
d'un responsable en faveur de l'autoritarisme figurent :
Style de gestion descendant, le responsable prenant les décisions et ses subordonnés les exécutant.
Adhésion rigide aux valeurs conventionnelles et autorité reconnue.
Fermeté et pouvoir, par opposition aux sentiments subjectifs.
Idées acceptées ou rejetées en fonction de l'autorité acceptée.

L'autonomisation signifie que les employés ont le pouvoir de prendre des décisions et d'agir dans
leurs domaines sans autorisation préalable. Dans un environnement autonome, un responsable :
S'engage en faveur de l'autonomisation et promeut le concept ;
Délègue les connaissances, la responsabilité et l'autorité aux individus exécutant effectivement les
processus commerciaux ;
S'assure que la direction et les employés ont accès aux informations commerciales critiques ;
S'assure que la direction et les employés disposent de l'autorité et de la discrétion nécessaires
pour prendre les mesures adéquates, et de l'opportunité d'apporter de précieuses contributions.

Pour réussir à mettre en œuvre l'autonomisation au sein d'une organisation, les responsables doivent
équilibrer leur besoin de contrôler avec l'octroi de suffisamment de liberté aux autres pour que ceux-
ci puissent agir de leur propre chef. Ce transfert d'autorité requiert de travailler avec ses subordonnés
pour établir des attentes, des responsabilités et des limites claires à l'autonomisation dans toute
l'organisation. Il est important que tout le monde soit conscient de ses responsabilités et des limites
de son autorité en matière de gestion des risques et de contrôles connexes, ainsi que de la façon dont
toutes les actions sont liées aux buts et objectifs de l'organisation.

Si un responsable est autoritaire ou est en faveur de l'autonomisation, cela affectera non seulement la
façon dont l'organisation est gérée, mais aussi les types de risques acceptés par l'entreprise. Par
exemple, les responsables autoritaires peuvent être plus réticents à prendre des risques ayant
d'importantes conséquences réglementaires ou économiques. Un responsable autoritaire institue
généralement une culture basée sur davantage de politiques écrites, d'indicateurs de performances, de
rapports d'exception et autres documents similaires. Dans un environnement autonomisé, les
décisions en matière de risques sont prises à des niveaux inférieurs. Le contrôle est davantage assuré
par la vision, les valeurs, les recommandations générales et les échanges en face à face avec le
personnel clé que par des documents écrits. Dans une culture autonomisée, il est très important que
les employés soient bien formés et prennent en compte les limites de l'autorité qui leur est conférée
en matière de prise de risque.

Le style d'encadrement peut être efficace s'il est adapté à la situation. Un responsable autoritaire
convient parfaitement lorsque le personnel exécute des tâches répétitives nécessitant un minimum de
réflexion et dont les membres ne se motivent ni ne se disciplinent eux-mêmes. Un style identique
pourrait susciter du ressentiment et mener à une défaillance du contrôle si une équipe se sent frustrée
lorsqu'elle n'est pas en mesure de prendre des décisions.
Il faut aussi prendre en compte les conséquences que ces deux types d'encadrement peuvent avoir en
matière d'audit interne. La fonction d'audit interne devrait pouvoir accéder sans réserve à la direction
et au comité d'audit. Certaines personnes extrêmement autoritaires peuvent poser des problèmes
particuliers. On peut imaginer un scénario où, par exemple, se conformer strictement à l'autorité d'un
supérieur favoriserait un comportement contraire au Code de déontologie et ne permettrait pas
d'avoir accès à la direction et au comité d'audit.

Implications liées à des styles de gestion différents

Il existe quatre modèles de gestion qui ont évolué au fil des années, comme le montre l'illustration II-
7.

Illustration II-7 : Modèles de gestion

Le modèle de gestion ou la combinaison de modèles que les auditeurs internes rencontrent peut avoir
un effet important sur la nature de l'audit qu'ils doivent mener et la nature de la relation entre auditeur
et direction.

Les personnalités, l'attitude et les relations entre la direction des opérations et l'audit interne posent
des défis et pourraient déstabiliser certaines missions. Le continuum de l'organisation, que l'on peut
voir à l’illustration II-8 sur la page suivante, donne un meilleur aperçu des implications liées aux
différents styles de gestion que les auditeurs internes doivent comprendre pour favoriser la réussite
des missions.

Implications liées à la gestion du changement

Aujourd'hui, de l'aveu général, le succès futur et même la survie d'une organisation peuvent dépendre
de sa capacité à anticiper et à répondre aux changements prévisibles ou inattendus. La gestion du
changement est un processus continu de planification et d'orientation des changements qui se
produisent au sein d'une organisation pour obtenir le résultat souhaité. Cela implique qu'il est
possible d'introduire délibérément un changement et de diriger l'initiative, plutôt que de laisser un
changement se produire spontanément, souvent de manière imprévisible. Une organisation qui
s'engage à s'améliorer de façon continue doit avoir mis en place des pratiques efficaces de gestion du
changement.

Dans une certaine mesure, la gestion du changement est à la fois un art et une science. Elle nécessite
réflexion, apprentissage, intelligence, habileté, ténacité et inventivité. Souvent, ce qui différencie les
gagnants des perdants, est le fait de pouvoir répondre rapidement au consommateur, aux demandes du
marché et à tout autre type de changement, et ce de manière plus efficace que la concurrence.
Les changements de procédures, de formules, de flux, de spécifications de production, etc., sont
souvent effectués régulièrement et peuvent être facilement planifiés et réalisés. Les changements de
comportements, des modes de pensées et d'attitudes doivent aussi être planifiés mais prennent plus de
temps à mettre en œuvre. Il peut être plus dur d'en mesurer les résultats.

Techniques de gestion du changement

Les organisations qui ont du succès ont mis en place une approche proactive qui leur permet
d'anticiper et de répondre aux changements. Elles précèdent littéralement le changement et ne se
contentent pas d'attendre les bras croisés qu'il se produise. Elles disposent également de mécanismes
pour aider les membres de l'organisation à assimiler de manière efficace et efficiente le changement.

Il existe beaucoup de modèles éprouvés de gestion du changement. Par différents moyens, ils ont tous
tendance à :
Créer un environnement propice au changement.
Faciliter le changement.
Suivre les progrès par rapport au plan, pour vérifier si les résultats escomptés ont été obtenus.
Transmettre les mises à jour concernant les progrès et les résultats.
En définitive, un modèle efficace de gestion du changement permet à une organisation de passer
progressivement de sa position actuelle à un meilleur état opérationnel.

En fonction de la nature spécifique du changement, différents niveaux de direction devraient être

impliqués. Par exemple, dans le cas de changements majeurs (par exemple, fusions ou acquisitions),
les cadres supérieurs se trouvent dans une position unique pour valider et légitimer le changement. Ils
peuvent prendre part à la définition de la stratégie de l'organisation en matière de gestion du
changement, fondée sur l'exemple, et endosser la responsabilité globale de son succès. Les
responsables de première ligne et les responsables intermédiaires qui dirigent les opérations au
quotidien peuvent aider les employés à mettre en place le changement, gérer le progrès par rapport au
plan, modifier les incitations et les sanctions pour s'aligner sur de nouveaux objectifs et œuvrer dans
le but d'éliminer les obstacles aux processus.

Obstacles organisationnels au changement

La gestion du changement a été comparée à un numéro d'équilibriste : la clé ne réside pas dans un
traitement isolé des processus et des segments de l'initiative, mais dans le suivi d'une approche
holistique de l'interconnexion entre les différents segments, de l'impact de la modification d'un
élément sur les autres, et de l'effet du séquencement et du rythme sur l'ensemble de l'initiative.

Réussir la gestion du changement n'est pas tâche aisée. Malgré les processus suggérés, les
informations et les enseignements acquis auprès d'autrui, les approches de la gestion du changement
doivent venir à bout de nombreux obstacles, souvent enracinés dans la sagesse populaire, qui peuvent
nuire à une initiative de changement. L'un des points fondamentaux de toute initiative de changement
réside dans l'identification de tels obstacles, l'évaluation de leur importance et du risque qu'ils
présentent, et la planification du meilleur moyen de les aborder. Les plus importants obstacles au
changement sont souvent internes à la structure et la culture d'une organisation.

Les obstacles culturels sont généralement ancrés dans les attitudes et les croyances réactionnaires. La
défiance, la peur du changement et même l'échec de la direction à créer une vision commune peuvent
saper un effort de changement. Les exemples suivants illustrent des obstacles culturels de base et des
solutions générales :

Le changement ne se résume pas uniquement aux tâches concrètes : le « travail mental » doit
aussi être intégré au processus et un sentiment d'urgence doit être créé. Le changement est
souvent personnel et, par conséquent, implique les sentiments. Les organisations qui souhaitent
obtenir l'assentiment de leurs employés doivent accepter le fait que la gestion des émotions est une
part importante du processus. Dans la plupart des initiatives de changement réussies, les
organisations communiquent clairement le besoin de changement et établissent un lien avec leurs
employés à travers des valeurs.

La confiance est essentielle mais souvent difficile à établir quand on en a le plus besoin. Une
vision directrice doit alors être mise en place. La confiance peut décider du sort d'un effort de
 changement. Toutefois, si les nouveaux processus sont alignés sur une vision qui dirige l'effort de
changement et que des stratégies et des objectifs sont en place, la résistance au changement peut
être surmontée. Lorsque les employés peuvent constater que la gestion des risques et les contrôles
sont mis en place pour soutenir le changement, on obtient généralement les résultats attendus. Les
employés doivent comprendre leurs rôles et responsabilités.

Les structures organisationnelles sont susceptibles d'introduire des obstacles structurels au niveau
des efforts de changement. Par exemple, les structures hiérarchiques ou verticales peuvent encourager
le cloisonnement, chaque service se focalisant sur ses propres intérêts, procédures et membres, plutôt
que d'encourager la coopération avec d'autres groupes et l'effort de changement. Cette isolation
structurelle peut augmenter l'efficacité des groupes individuels, mais aussi nuire à la capacité d'une
organisation à apporter des changements.

Les structures horizontales peuvent produire des barrières à la communication entre les niveaux de
direction. Par exemple, les informations potentiellement négatives à un niveau peuvent être déformées
et filtrées avant d'être transmises à un niveau de direction supérieur. Les plans de la direction peuvent
également ne pas être communiqués du tout aux employés de première ligne.

Le meilleur moyen de franchir les obstacles structurels consiste à promouvoir à travers l'organisation
des priorités partagées et un flux d'informations ouvert.

Implications liées à la gestion des conflits

Un conflit survient quand des parties ne s'entendent pas sur des questions de fond ou quand des
antagonismes émotionnels prennent le dessus et causent un désaccord entre les parties. Lorsque
plusieurs parties sont en conflit, chacune a tendance à croire que ses demandes sont
fondamentalement incompatibles avec celles des autres parties. Le but important dans la gestion des
conflits est de faire le nécessaire pour arriver à une résolution – une situation dans laquelle les
raisons sous-jacentes du conflit sont éliminées.

Types de conflit au sein de l'organisation :

Le fait est que le conflit fait inévitablement partie des interactions au sein d'une organisation.
Quelques causes de conflit potentielles que l'on rencontre souvent sont résumées à l'illustration II-9.

Illustration II-9 : Causes les plus courantes de conflits au sein d'une organisation
Bien que la résolution d'un conflit puisse être difficile, la manière dont le conflit est géré distingue
les expériences constructives des expériences susceptibles de générer des dysfonctionnements pour
les individus, les groupes ou l'organisation.

Le conflit constructif (ou conflit positif) mène à des résultats positifs. Ce type de conflit peut
transformer l'interaction entre les personnes et améliorer la qualité de la résolution des conflits.
Voici quelques exemples de résultats positifs :
Mise au jour de problèmes importants afin de les régler.
Analyse de problèmes et prise de décisions.
Augmentation des opportunités de faire preuve de créativité.
Meilleurs dynamique et résultats des équipes.

Le conflit dysfonctionnel (ou conflit destructeur) mène à des expériences qui portent préjudice aux
relations et ralentissent le progrès. Ce type de conflit porte préjudice aux individus et aux groupes, et
son effet sur l'organisation est négatif. Conflits interpersonnels (où le nœud du conflit se situe au
niveau des personnes et/ou des personnalités), mauvaises cohésion et performances de l'équipe,
réduction de la productivité des employés et de leur satisfaction vis-à-vis de leur emploi, et rotation
du personnel sont quelques-unes des conséquences négatives possibles.

Les auditeurs internes doivent comprendre la gestion des conflits pour plusieurs raisons :
 Tous les conflits décrits à l'illustration II-9 peuvent être considérés comme des causes
fondamentales de défaillance de contrôle.
Lors de l'exécution d'activités de conseil ou d'assurance dans un domaine engagé dans un conflit,
l'auditeur interne doit faire preuve de diplomatie avec chacune des parties et veiller à ne pas
« prendre parti » ou être impliqué de quelque manière que ce soit dans le conflit.
Les auditeurs internes peuvent parfois aider la direction à résoudre un conflit, en particulier
lorsque celui-ci est lié à un problème d'audit.

Approches de gestion des conflits

Les organisations considèrent de plus en plus les conflits comme une source vitale d'énergie qui peut
libérer leur créativité et leur permettre d'innover, d'évoluer et de se développer. L'important est de
gérer activement un conflit quand il se produit.

Un conflit peut être traité de plusieurs manières : Les trois techniques les plus courantes sont la
négociation raisonnée, le brainstorming et le vote multiple.

La négociation raisonnée (IBB, Interest-based bargaining) suppose que le fait de comprendre ce

que ressentent les parties permet de révéler des intérêts communs et de produire des choix
innovants, ce qui résulte en des solutions plus durables et un gain mutuel. L'IBB se concentre sur
les problèmes plutôt que sur les personnalités, sur le présent et le futur plutôt que sur le passé, et
sur les intérêts sous-jacents aux problèmes et pas seulement sur les positions.

Le brainstorming fournit une méthode commune pour que les parties puissent générer un important
volume d'idées de manière créative et efficace dans un environnement libre de critiques et
jugements. Globalement, les étapes du brainstorming permettent à toutes les parties de participer à
égalité et d'élargir leur perception des dimensions du problème. Ceci élargit le spectre des
solutions possibles.

Le vote multiple permet à des groupes de réduire une longue liste d'enjeux, de problèmes ou de
solutions par le biais d'une série structurée de votes. La stratégie consiste en un processus
collaboratif qui permet de sélectionner les éléments les plus importants.

Les méthodes de collaboration et de résolution de problèmes sont un bon moyen de favoriser une
véritable résolution du conflit. Cependant, comme montré à l'illustration II-10, il peut y avoir d'autres
situations où d'autres approches sont à préférer.

Illustration II-10 : Autres approches de gestion des conflits

 Chapitre B : Caractéristiques et utilisation
des référentiels de contrôle interne
Introduction du chapitre
Les organisations définissent des buts et des objectifs, puis évaluent les risques liés à l'atteinte de ces
objectifs. Une stratégie de contrôle et des contrôles internes permettent de faciliter la réalisation des
opérations, de protéger les ressources et d'améliorer la probabilité que les objectifs seront remplis.

Ces contrôles peuvent être des politiques, des procédures et des activités concrètes ou peuvent être
intégrés au niveau d'aspects comportementaux moins concrets, tels que les valeurs éthiques. Ils sont
conçus par la direction et mis en place dans le but de contenir les risques dans les limites de
tolérance au risque fixées par le processus de gestion des risques de l'organisation, afin d'atteindre
les objectifs commerciaux à moindre coût.

Toutefois, un contrôle interne efficace ne se limite pas à la mise en œuvre d'un éventail de
procédures. Le contrôle interne est un processus dynamique qui se retrouve à tous les niveaux d'une
organisation.

Un cadre de contrôle est un système reconnu de concepts qui englobe tous les éléments du contrôle
interne. Les organisations recourent de plus en plus aux cadres de contrôle pour élaborer des
systèmes de contrôles internes.

Les cadres publiés par le Committee of Sponsoring Organizations of the Treadway Commission
(COSO), le modèle CoCo de l'Institut canadien des comptables agréés (Canadian Institute of
Chartered Accountant) et le modèle Cadbury de l'Institut des comptables agréés en Angleterre et au
Pays de Galles (Institute of Charter Accountants in England and Wales) sont des exemples
représentatifs largement utilisés. Ces modèles définissent le contrôle en matière de gestion des
risques par rapport aux objectifs et définissent les mesures spécifiques qui permettent de le mettre en
place. L'intégration et l'adoption de divers éléments tirés de ces modèles dans un système de contrôle
aident la direction et les organismes de surveillance à réaliser les objectifs stratégiques.

Quel que soit le cadre de contrôle utilisé au sein d'une organisation, celui-ci permet de documenter et
de rendre compte de la pertinence des contrôles internes. L'activité d'audit interne évalue l'efficacité
et l'efficience du contrôle en fonction des critères du cadre de contrôle, et détermine si les contrôles
en place sont adaptés pour atténuer les risques qui pèsent sur l'organisation.

Ce chapitre explore le référentiel La pratique du contrôle interne – COSO Report (Internal Control
– Integrated Framework), le modèle Cadbury, le modèle CoCo, le Rapport King sur la gouvernance
d'entreprise et la publication du COSO intitulée Contrôle interne sur l'information financière –
Lignes directrices à l'intention des petites sociétés ouvertes (Internal Control Over Financial
Reporting – Guidance for Smaller Public Companies).

Rubrique 1 : Avoir une bonne compréhension du

référentiel La pratique du contrôle interne – COSO
Report (Internal Control – Integrated Framework)
(Niveau P)
Le cadre de contrôle interne du COSO est décrit dans le référentiel La pratique du contrôle interne
– COSO Report (Internal Control – Integrated Framework), publié en 1992.

Objectifs du COSO
Selon le modèle su COSO, le contrôle interne fournit à une organisation une assurance raisonnable
quant à la réalisation des objectifs dans les domaines suivants :

Efficacité et efficience des opérations. Cette catégorie concerne les objectifs commerciaux de
base d'une organisation, y compris les performances, la rentabilité et la protection des ressources.

Fiabilité du reporting financier. Le reporting financier englobe la préparation d'états financiers

fiables et d'autres états sélectionnés (par exemple, les publications de résultats) tirés des données
des états financiers et communiqués publiquement.

Conformité avec les lois et règlements applicables. Cette catégorie regroupe les lois et
règlements qui s'appliquent à l'organisation.

Composantes du COSO
Les cinq composantes du cadre de contrôle interne du COSO sont résumées à l'illustration II-11.

Illustration II-11 : Composantes du contrôle interne du COSO

Les effets de synergie et les liens entre ces composantes forment un cadre intégré. Le référentiel La
pratique du contrôle interne – COSO Report, décrit ce qui suit succinctement : « L'environnement
de contrôle établit une atmosphère où les personnes mènent leurs activités et exercent leurs
responsabilités de contrôle. Il sert de base aux autres composantes. Dans cet environnement, la
direction évalue les risques liés à la réalisation des objectifs fixés. Les activités de contrôle sont
mises en œuvre pour faire en sorte que les directives de la direction concernant la gestion des risques
soient respectées. Parallèlement, les informations pertinentes sont recueillies et communiquées dans
toute l'organisation. L'ensemble du processus est surveillé et modifié selon les circonstances ».

Relation entre objectifs et composantes dans le cadre du

COSO
Semblable au modèle de gestion des risques de l'entreprise du COSO (qui sera examiné plus bas
dans cette section), le cadre de contrôle interne du COSO établit un lien direct entre les objectifs
organisationnels (ce que l'entité cherche à atteindre) et les composantes (qui représentent ce dont on a
besoin pour atteindre les objectifs). La matrice cubique tridimensionnelle de l'illustration II-12
schématise ce lien.

Illustration II-12 : Matrice du contrôle interne du COSO

Notez les caractéristiques suivantes de la matrice du COSO.
Les colonnes représentent les trois catégories d'objectifs.
Les lignes représentent les cinq composantes.
Les unités ou les activités d'une entité sont représentées par la troisième dimension.

Les objectifs et les composantes se recoupent. Par exemple, comme le montre la section détaillée, les
informations financières et non financières produites par les sources internes et externes font partie
de la composante d'informations et de communication. Les informations portent sur les trois
catégories d'objectifs, car elles permettent de :
Gérer efficacement les opérations commerciales.
Développer des états financiers fiables.
Déterminer si une entité est conforme aux lois applicables.

L'environnement de contrôle du COSO

Le COSO indique que l'environnement de contrôle est la partie la plus importante du cadre, car il est
au cœur de toute organisation : ses membres (leurs compétences et leurs valeurs sociales et éthiques)
et son environnement d'exploitation. L'environnement de contrôle constitue la base de toute autre
activité et joue un rôle moteur dans l'évolution de l'organisation. Les rapports COSO et CoCo (ce
dernier est décrit plus loin dans ce chapitre) précisent tous deux que la profession ne peut pas
simplement tester les procédures formelles de contrôle. En particulier, les sept facteurs qui
composent l'environnement de contrôle du COSO (voir Illustration II-13) comprennent des éléments
informels de contrôle interne qui servent de base à des contrôles internes plus stricts.

Illustration II-13 : Facteurs liés à l'environnement de contrôle du COSO

Pour évaluer efficacement le côté informel du contrôle, il est nécessaire de réaliser cette évaluation
d'un point de vue différent de celui traditionnellement utilisé dans le cadre des contrôles de
processus. Les professionnels expérimentés savent bien qu'il n'existe pas de solution universelle.
Toute méthode doit être adaptée.

Le cadre de contrôle du COSO est pertinent pour tous les secteurs d'activités. Pour plus
d'informations sur le cadre de contrôle du COSO, vous pouvez consulter le référentiel intitulé La
pratique du contrôle interne – COSO Report (Internal Control – Integrated Framework) ou le site
du COSO à l'adresse suivante www.coso.org.

Rubrique 2 : Avoir une bonne compréhension des

cadres de contrôle alternatifs (Niveau A)
Le modèle Cadbury
Le modèle Cadbury a été publié par l'Institut des comptables agréés d'Angleterre et du Pays de Galles
(ICAEW, Institute of Charter Accountants in England and Wales) en 1994. Les éléments du modèle
Cadbury sont assez similaires aux composantes du COSO :

Environnement de contrôle. L'attitude et les actions des directeurs, de la direction et des

employés qui déterminent l'importance du contrôle dans l'organisation.

Identification et évaluation des risques et des objectifs de contrôle. L'identification et l'analyse

des risques commerciaux pertinents en temps opportun.

Informations et communication. Les indicateurs de performance, les systèmes d'informations et

tout autre système qui diffusent les bonnes informations aux bonnes personnes pour leur permettre
de s'acquitter de leurs responsabilités.

Procédures de contrôle. Les politiques et procédures ou les activités de contrôle qui facilitent
l'exécution des directives de gestion afin d'assurer la conformité.

Surveillance et actions correctives. Le processus de surveillance qui permet d'évaluer la qualité

de la performance du système de contrôle interne et produit des rapports sur les changements et
les actions correctives nécessaires pour combler les lacunes.

Bien que le modèle Cadbury reconnaisse que le conseil est responsable du spectre complet du
contrôle interne, il confine le reporting sur le contrôle au domaine du reporting financier. De ce fait,
en 1999, l'ICAEW a publié les recommandations Turnbull, qui élargissent le concept au-delà du
champ des contrôles financiers.
Pour plus d'informations sur le modèle Cadbury, consultez le site Web de l'ICAEW à l'adresse
www.icaew.co.uk. Vous trouverez des informations supplémentaires sur les recommandations
Turnbull au Chapitre C, Rubrique 3, de cette section.

Critères de contrôle (CoCo)

En 1995, l'Institut canadien des comptables agréés (ICCA) a publié un rapport intitulé Guidance on
Control (Recommandations sur le contrôle) et a présenté un modèle de contrôle appelé Critères de
contrôle (CoCo). Le modèle CoCo définit de façon générale le contrôle interne comme étant
l'ensemble des mesures qui permettent d'optimiser les résultats d'une organisation. Selon le modèle
CoCo, le contrôle implique « les éléments d’une organisation (incluant ressources, systèmes,
processus, culture, structure et tâches) qui, pris ensemble, aident les membres à accomplir les
objectifs de l’organisation ».

Le modèle CoCo s'appuie sur le COSO. Les objectifs sont élaborés et communiqués. Les objectifs
organisationnels du modèle CoCo sont semblables à ceux du COSO et sont centrés autour de
l'efficacité et de l'efficience des opérations, la fiabilité du reporting interne et externe, et la
conformité aux lois et règlements applicables ainsi qu'aux politiques internes.

Le modèle CoCo présente quatre composantes interdépendantes.

Mission. La mission, la vision, la stratégie, les risques et opportunités, les politiques, la

planification et les objectifs et indicateurs de performance qui constituent un objectif clair pour
les critères de contrôle et que les personnes peuvent ainsi comprendre.

Engagement. Les valeurs éthiques, l'intégrité, les politiques de ressources humaines, l'autorité, la
responsabilité et la confiance mutuelle qui favorisent l'engagement envers les principes de
contrôle.

Capacité. Les connaissances, les compétences, les outils, les processus de communication, les
informations, la coordination et les activités de contrôle qui fournissent aux gens les ressources et
les compétences nécessaires pour participer à la conception et à la mise en place de contrôles
corrects afin de pouvoir évaluer les risques.

Surveillance et apprentissage. La surveillance des environnements et performances internes et

externes ainsi que la remise en cause des hypothèses, la réévaluation des besoins en informations
et des systèmes d'informations, la réalisation des procédures de suivi et l'évaluation de l'efficacité
du contrôle.

Le modèle CoCo présente 20 critères de contrôle spécifiques au niveau de ces composantes de

contrôle. Il indique que ces 20 critères doivent être en place pour que le contrôle interne soit
efficace. Pour plus d'informations sur le cadre de contrôle du modèle CoCo, visitez le site Web de
l'ICCA à l'adresse suivante : www.cica.ca.
Le Rapport King sur la gouvernance d'entreprise
Le Rapport King sur la gouvernance d'entreprise a été promulgué en Afrique du Sud par le Comité
King sur la gouvernance d'entreprise. Le premier de ces rapports (King I) a été publié en 1994, le
deuxième (King II) en 2002 et le plus récent (King III) en 2009. Le rapport a été adopté par de
nombreuses organisations à l'échelle mondiale en tant que modèle des meilleures pratiques pour
l'élaboration d'un cadre de gouvernance d'entreprise.

Le Rapport King I fournit un modèle de bonne gouvernance qui nécessite une approche intégrée
incluant les intérêts des parties prenantes et met l'accent sur le bilan environnemental et social, en
plus du bilan économique (en d'autres termes, il s'agit de la responsabilité sociale des entreprises,
comme décrit dans la Partie 3).

Le Rapport King II ajoute un Code de pratiques et de conduites des entreprises qui peut être adopté
par n'importe quelle organisation au niveau de son cadre de gouvernance. Le Code contient un
ensemble de principes de bonne gouvernance d'entreprise :
Discipline. Les organisations s'engagent à se comporter d'une manière disciplinée qui est
universellement acceptée comme appropriée et correcte.
Transparence. Les organisations s'engagent à faciliter l'analyse des activités de l'organisation par
des tiers.
Indépendance. Les organisations sont autonomes et peuvent gérer ou éviter les conflits.
Responsabilité. Les organisations doivent développer des moyens d'accepter et de reconnaître les
conséquences positives et négatives de leurs actions.
Responsabilisation. Les organisations doivent concevoir des mesures correctives au niveau de
tous les processus et tenir compte des besoins des parties prenantes dans le cadre de la prise de
décision.
Équité. Les organisations doivent établir un équilibre entre des intérêts contradictoires.
Responsabilité sociale. Les organisations doivent intégrer des programmes de responsabilité
sociale des entreprises dans leur modèle d'entreprise principal.

Le Rapport King II porte sur le rôle et la fonction de l'audit interne ainsi que sur les exigences
spécifiques de reporting, comme l'approbation des nominations et révocations du RAI par les comités
d'audit. Il souligne également l'importance de la mise en place d'un plan d'audit basé sur une
évaluation des risques et sur les problèmes que le comité d'audit et la direction générale jugent
nécessaire d'examiner.

Le Rapport King III met l'accent sur un leadership efficace basé sur un fondement éthique et sur la
nécessité de repenser fondamentalement l'organisation autour du concept de durabilité. L'innovation,
l'équité et la collaboration sont des outils clés permettant d'assurer la durabilité. Les auditeurs
internes jouent également un rôle clé dans le maintien d'une bonne gouvernance et le développement
de la stratégie organisationnelle. Le Rapport King III met en évidence la nécessité d'utiliser un audit
axé sur les risques, en déclarant : « Un audit interne fondé sur la conformité ajoute peu de valeur à la
gouvernance d'une entreprise, car il évalue simplement le respect des procédures et processus
existants sans évaluer si oui ou non la procédure ou le processus est un contrôle adéquat. Une
approche fondée sur les risques est plus efficace, car elle permet à l'audit interne de déterminer si les
contrôles sont efficaces dans la gestion des risques qui découlent de la direction stratégique qu'une
entreprise, par le biais de son conseil, a décidé d'adopter. » Le rapport recommande ensuite que les
auditeurs internes évaluent l'efficacité générale du système de contrôle interne (environnement de
contrôle) et des processus de gestion des risques.

Contrôle interne sur l'information financière – Lignes

directrices à l'intention des petites sociétés ouvertes,
COSO
Le COSO a publié un ensemble de lignes directrices en 2006 appelé Contrôle interne sur
l'information financière – Lignes directrices à l'intention des petites sociétés ouvertes, en partie
pour aider les organisations à se conformer aux exigences de la loi Sarbanes-Oxley en matière de
documentation et de procédures de test de contrôle. Ces conseils peuvent être particulièrement utiles
pour les petites entreprises publiques ou celles qui ont des activités d'audit interne moins évoluées.
Ces lignes directrices sont aussi particulièrement utiles pour les grandes organisations. Elles
contiennent un ensemble de 20 principes divisés en cinq catégories, des méthodes d'application pour
chaque principe et des exemples sur la façon dont ils peuvent être appliqués. L'illustration II-14 offre
un aperçu de ces principes.

Illustration II-14 : Principes du COSO pour la réalisation du contrôle interne à l'égard du reporting financier
 Chapitre C: Lexique du risque et concepts
Introduction du chapitre
Qu'est-ce que la gestion des risques ?
Le glossaire des Normes définit la gestion des risques comme « un processus d'identification,
d'évaluation, de gestion et de contrôle d'événements et de situations potentiels afin d'assurer, dans la
mesure du possible, qu'une organisation atteigne ses objectifs ».

Dans un sens, tous les employés sont des gestionnaires des risques, qu'ils en soient conscients ou non.
Ils gèrent chaque jour les risques afin d'atteindre leurs objectifs. Cependant, ils deviennent des
gestionnaires des risques plus performants lorsqu'ils ont pleinement conscience de cette fonction et
qu'ils l'exercent de manière cohérente et rigoureuse.

Du point de vue de l'organisation, il est possible d'en tirer des avantages importants si les
responsables ne gèrent pas uniquement leurs propres risques dans leurs « silos » organisationnels. Si
le même processus rigoureux d'évaluation des risques est appliqué à travers toute l'organisation et
que les résultats sont remontés aux niveaux hiérarchiques supérieurs, l'encadrement supérieur est
alors en mesure d'obtenir une image complète du risque pour l'organisation. Avec cette « vue
globale » du risque en tête, les cadres peuvent prendre de meilleures décisions stratégiques et allouer
des ressources avec davantage d'efficacité.

Partout dans le monde, des organisations développent des programmes de gestion des risques de
l'entreprise (ERM) pour profiter de ces avantages. La section sur la gestion des risques se concentre
sur la gestion des risques de l'entreprise, qui englobe tous les concepts de la gestion des risques.

En plus de la définition du glossaire des Normes, nous pouvons obtenir des informations
supplémentaires à partir d'autres discussions sur la gestion des risques.

Le management des risques de l'entreprise – Cadre de référence

La publication du COSO intitulée Le management des risques de l'entreprise – Cadre de référence
(Enterprise Risk Management – Integrated Framework) stipule : « La gestion des risques de
l'entreprise est un processus exécuté par le conseil d'administration, la direction et d'autres membres
d'une entité, qui est appliqué lors de la phase de définition de la stratégie et à travers toute
l'entreprise. Il est conçu pour identifier les événements susceptibles d'avoir une incidence sur l'entité
et gérer le risque dans les limites de l'appétence pour le risque de celle-ci, afin de fournir une
assurance raisonnable quant à la réalisation des objectifs de l'entité ».

Cette définition implique que la gestion des risques de l'entreprise est un processus continu. Chaque
personne, quels que soient son niveau et son unité, est impliquée dans le processus, lequel est
appliqué lors de la phase de définition de la stratégie. Au final, la gestion des risques de l'entreprise
aide à fournir une assurance raisonnable au conseil d'administration et à la direction.

Nous analyserons plus en détail la publication du COSO Enterprise Risk Management – Integrated
Framework (Le management des risques de l'entreprise – Cadre de référence) plus loin dans ce
chapitre.

Enterprise Risk Management: Trends and Emerging Practices (Gestion

des risques de l'entreprise : tendances et pratiques émergentes)
La publication de 2001 Enterprise Risk Management: Trends and Emerging Practices (Gestion des
risques de l'entreprise : tendances et pratiques émergentes) a été préparée par Tillinghast-Towers
Perrin et parrainée par l'Institute of Internal Auditors Research Foundation en collaboration avec le
Conference Board du Canada. En se basant sur les informations rassemblées à partir d'études
exhaustives des ouvrages disponibles, les principaux auteurs ont défini la gestion des risques de
l'entreprise comme « une approche rigoureuse et coordonnée pour évaluer tous les risques affectant la
réalisation des objectifs financiers et stratégiques d'une organisation et y répondre ».

Ce document explique que le management des risques de l'entreprise :

Intègre les risques quelles que soient leurs sources (financières, opérationnelles, stratégiques,
etc.) ;
Utilise les effets de portefeuille et de couverture naturels qu'apporte la gestion de ces risques
selon une approche collective ;
Coordonne les stratégies de gestion des risques, qui couvrent l'évaluation, la réduction, le
financement et la surveillance des risques ;
Se concentre sur l'impact des risques sur les objectifs stratégiques et financiers globaux de
l'organisation ;
Reconnaît les opportunités et la nature négative du risque.

« The Role of Internal Auditing in Enterprise-wide Risk Management »

(Le rôle de l'audit interne dans le management des risques de
l'entreprise)
L'exposé de principes de l'IIA intitulé « The Role of Internal Auditing in Enterprise-wide Risk
Management » (Le rôle de l'audit interne dans le management des risques de l'entreprise) a été
préparé par l'Institute of Internal Auditors en collaboration avec ses filiales britannique et irlandaise.
Il définit la gestion des risques à l'échelle de l'entreprise comme « un processus structuré, cohérent et
continu visant à identifier et à évaluer les opportunités et les menaces liées à la réalisation des
objectifs. Il consiste ensuite à décider des réponses à apporter et des informations à transmettre à ce
sujet dans l'ensemble de l'organisation ».

L'exposé de principes note également que la gestion des risques de l'entreprise adopte une approche
plus large que la gestion traditionnelle des risques et traite des risques et des opportunités qui ont une
incidence sur la création ou la préservation d'une valeur pour l'organisation.

Les différentes définitions de la gestion des risques et de la gestion des risques de l'entreprise mettent
toutes en avant les mêmes points : Le périmètre de la gestion des risques transcende la mentalité de
gestion des risques traditionnelle, et englobe les objectifs stratégiques et de résultat net. Le processus
de gestion des risques est un processus large et continu qui implique la direction et les employés, à
tous les niveaux d'une entité.

Rubrique 1 : Définir la terminologie relative au

risque (Niveau A)
Les auditeurs internes doivent comprendre les différents termes associés au risque et au contrôle.
Commençons par la définition du risque comme indiqué dans le glossaire des Normes : « La
possibilité qu'un événement ait un impact sur l'accomplissement des objectifs, mesurée en termes
d'impact et de probabilité ».

D'après le texte Audit interne : services de conseil et d'assurance, nous pouvons établir les points
supplémentaires suivants concernant le risque.

Le risque prend ses origines dans la formulation des stratégies et l'établissement des
objectifs. Deux organisations n'étant jamais identiques, chaque entreprise possède une stratégie et
des objectifs uniques et affronte un type de risque différent.

Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En
l'absence de résultat unique, la gamme de possibilités crée l'incertitude quant à la compréhension
et à l'évaluation du risque.

Le risque peut concerner la prévention d'événements négatifs ou l'incapacité à produire des

événements positifs. Les risques peuvent présenter des menaces pour une organisation ou être
constitués par l'absence de résultats positifs.

Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité
commerciale sont considérés comme des risques commerciaux. Les risques commerciaux sont
les incertitudes associées à la réalisation des objectifs commerciaux.

Chaque organisation devrait avoir une définition claire du risque. Bien que les définitions pratiques
puissent varier de celle du glossaire des Normes, le langage devrait être compris par tous ceux qui
sont impliqués dans les activités d'évaluation des risques au sein de l'organisation.

La liste suivante des termes liés au risque et au contrôle n'inclut pas tout, mais fournit plutôt de
bonnes bases au niveau du vocabulaire. Les termes, présentés par ordre alphabétique, sont
probablement semblables à ceux utilisés dans votre organisation.

La liste de termes de l'illustration II-15 constitue un langage commun à utiliser avec le conseil
d'administration, la direction et les autres interlocuteurs, dans toutes les communications.

Illustration II-15 : Termes relatifs au risque et au contrôle

Rubrique 2 : Décrire les éléments du risque (Niveau
A)
Concepts élémentaires d'évaluation des risques
L'évaluation des risques est un processus, comme le montre l'illustration II-16.

Illustration II-16 : Processus d'évaluation des risques

Utilisons l'exemple simple du passage d'un examen pour montrer comment fonctionne le processus
d'évaluation des risques.

Objectifs possibles. Les objectifs possibles pourraient être de réussir le test ou d'obtenir le
meilleur résultat au test.

Événements de risque. Les exemples incluent une suranalyse des réponses, le manque de temps
pendant l'examen, le manque de préparation à l'examen ou l'incompréhension de parties du contenu
fondamental.

Risque inhérent. D'après l'impact collectif et la probabilité inhérente des événements, le risque
de ne pas réussir l'examen est élevé.

Réponses. Les exemples incluent la planification du temps, le fait de garder un rythme soutenu
pendant l'examen, de faire attention à ne pas trop analyser une réponse, d'effectuer une révision
d'autoformation ou de se joindre à un groupe d'étude.

Risque résiduel. Une fois les réponses prises en compte, le risque résiduel devrait être inférieur
au risque inhérent. Plus les réponses sont efficaces, moins le risque résiduel est important. Des
réponses efficaces peuvent fournir une assurance raisonnable de réussite à l'examen, mais n'offrent
pas le même niveau d'assurance quant à l'obtention du meilleur des résultats.

Sur le plan conceptuel, le processus d'évaluation des risques est simple. Le défi consiste à le mettre
correctement en pratique. Ce devrait être un processus descendant, qui débute à un niveau élevé.

Évaluer l'impact et la probabilité du risque

La direction mesure les événements en termes de probabilité et d'impact. La terminologie de la
rubrique 1 décrit la probabilité en termes de possibilité qu'un événement donné se produise et
l'impact qui en résulte ou en découle. Des exemples de facteurs courants de probabilité et d'impact
sont présentés à l'illustration II-17.
 Illustration II-17 : Facteurs courants de probabilité et d'impact

Les organisations évaluent la probabilité et l'impact des risques. Elles peuvent utiliser des termes
qualitatifs (tels que élevé, moyen et faible) ou des mesures quantitatives (telles que les échelles
numériques de 1 à 5, les pourcentages, la fréquence d'occurrence ou d'autres mesures). Certaines
organisations peuvent même utiliser une combinaison de mots et de chiffres au niveau de la
classification du risque (1 = faible, 5 = élevé). De nombreuses organisations utilisent un graphique
pour décrire les facteurs, par exemple une matrice à quatre quadrants, comme le montre l'illustration
II-18. Des variations de cette matrice sont possibles.

Illustration II-18 : Carte des risques concernant la probabilité et l'impact

Il peut être difficile d'estimer la probabilité et l'impact. Ces estimations ou notes dépendent fortement
du jugement professionnel et d'une utilisation cohérente des facteurs d'évaluation. Voici un exemple
basé sur le passage d'un examen :

Événement à fort impact/forte probabilité. « L'incompréhension de parties du contenu

fondamental » aurait probablement le plus fort impact potentiel. La probabilité de cet événement
pourrait être faible, moyenne ou élevée, selon l'expérience et l'histoire de chacun.

Événement à faible impact/forte probabilité. « La suranalyse des réponses » sur plusieurs

questions est très probable sans avoir d'incidence globale majeure.

Événement à fort impact/faible probabilité. « La suranalyse des réponses » sur un grand nombre
de questions est moins probable, mais pourrait résulter en un manque de temps et avoir un fort
impact sur la réussite au test.
 Événement à faible impact/faible probabilité. Effectuer une révision d'autoformation pourrait
réduire le risque de « manque de préparation à l'examen » à ce niveau.

Certaines organisations utilisent une terminologie différente de la probabilité et l'impact (p. ex. les
chances, la gravité, le sérieux ou les conséquences). La terminologie spécifique n'est pas aussi
importante que le développement d'un processus efficace d'évaluation des risques qui répond aux
besoins de l'organisation.

Les techniques spécifiques d'évaluation des risques sont examinées dans la rubrique suivante.

Rubrique 3 : Avoir une bonne compréhension de la

gestion des risques (Niveau A)
La gestion des risques est une compétence de base pour la plupart des services d'audit interne. Les
auditeurs internes contribuent à la gestion des risques à travers de nombreuses activités d'assurance
et de conseil. Comme mentionné plus haut, la gestion des risques est parfois gérée du point de vue
global de l'entreprise. Il existe différentes approches de la gestion des risques de l'entreprise,
notamment celle promue par le COSO et la norme ISO 31000.

Normes associées et Modalités pratiques d'application

L'illustration II-19 donne la liste des Normes de l'IIA en précisant le périmètre de l'audit interne dans
la gestion des risques ainsi que les directives correspondantes.

Illustration II-19 : Normes de gestion des risques et Modalités pratiques d'application

Cadres de référence de gestion des risques d'entreprise
Les organisations peuvent choisir de mettre en œuvre la gestion des risques de l'entreprise de
différentes manières. L'expérience a démontré que l'utilisation d'un cadre peut améliorer l'efficacité
et l'efficience de la gestion des risques de l'entreprise. En organisant de façon formelle les activités
et les responsabilités liées à la gestion des risques dans un cadre, une organisation est mieux
positionnée pour atteindre ses objectifs stratégiques. L'utilisation d'un cadre permet de s'assurer que
les activités de gestion des risques mettent l'accent sur l'ERM (plutôt que sur la gestion des risques au
niveau fonctionnel) et que le risque est géré de manière proactive (et pas seulement réduit).

Il existe de nombreux modèles d'ERM. Ils se distinguent généralement par leur objectif et leur
complexité. Nous allons d'abord examiner le modèle ERM du COSO. Nous examinerons ensuite deux
autres cadres reconnus : la norme ISO 31000 et les recommandations Turnbull. (Veuillez noter que
dans les sections suivantes traitant de la gestion des risques, seul le cadre de référence du COSO sera
mentionné.)

Cadre de référence de gestion des risques de l'entreprise du COSO

Le référentiel Le management des risques de l'entreprise – Cadre de référence du COSO est un
exemple de cadre global qui applique l'ERM dans un contexte stratégique. Le cadre de référence du
COSO s'applique à tous les secteurs industriels ainsi qu'à tous les types de risque. Le modèle du
COSO se différencie des autres modèles de risque par le fait qu'il applique une approche
descendante et qu'il soutient la mission de l'organisation. Le modèle décrit le lien entre les objectifs
(ce que l'organisation s'efforce d'atteindre) et les composantes ERM (ce dont on a besoin pour
atteindre les objectifs).

Objectifs de la gestion des risques de l'entreprise du COSO

Au cours du processus de planification stratégique, la direction d'une organisation définit les
objectifs stratégiques, choisit les stratégies appropriées et établit les objectifs sous-jacents qui se
propagent à travers toute l'organisation. Le cadre de référence du COSO comporte quatre catégories
d'objectifs organisationnels.
Stratégiques (liés aux objectifs organisationnels de haut niveau et alignés sur la mission de
l'organisation en vue de la soutenir)
Opérationnels (liés à l'efficacité et à l'efficience de l'utilisation des ressources de l'organisation)
Reporting (liés à la fiabilité des rapports)
Conformité (liés à la conformité de l'organisation aux lois et règlements applicables)

La réalisation des objectifs de reporting et de conformité fait généralement partie du champ de

contrôle de l'organisation. En d'autres termes, si les activités associées sont exécutées efficacement,
ces objectifs peuvent être atteints. Ce n'est pas toujours vrai pour les objectifs stratégiques et
opérationnels ; des circonstances défavorables peuvent, et c'est d'ailleurs souvent le cas, empêcher
d'atteindre ces objectifs. Une mauvaise décision en matière de choix des investissements entraînant
d'importantes pertes financières ou l'inondation soudaine d'une usine de fabrication clé et le retard du
lancement d'un nouveau produit sont des exemples d'événements qui peuvent faire obstacle à la
réalisation des objectifs stratégiques et opérationnels. Bien que la mise en œuvre du cadre de
référence du COSO ne permette pas d'éviter de tels événements imprévus ou erreurs de gestion, elle
permet néanmoins à la direction de prendre des décisions plus judicieuses, en toute connaissance de
cause.

Composantes de la gestion des risques de l'entreprise du COSO

Les composantes de la gestion des risques de l'entreprise sont définies à partir de la manière dont la
direction gère une entreprise et sont intégrées au processus de gestion. Les composantes ERM
identifiées par le COSO sont présentées à l'illustration II-20, à la page suivante.

Le COSO décrit la gestion des risques de l'entreprise comme étant un processus omnidirectionnel
dynamique. Ce n'est pas un processus en série dans lequel une composante affecte uniquement la
composante suivante. Dans le modèle du COSO, chaque composante peut influencer les autres.

Illustration II-20 : Composantes de la gestion des risques de l'entreprise du COSO

Relation entre objectifs et composantes du cadre de référence du COSO
Comme dans le modèle de contrôle interne du COSO, le modèle ERM du COSO établit un lien direct
entre les objectifs organisationnels et les composantes ERM. La matrice cubique tridimensionnelle de
l'illustration II-21, schématise ce lien. Notez les caractéristiques suivantes de la matrice du COSO :
Les colonnes représentent les quatre catégories d'objectifs.
Les lignes représentent les huit composantes.
L'entité et ses unités (division, unité d'affaires et filiales) sont représentées par la troisième
dimension.

Illustration II-21 : Matrice de la gestion des risques de l'entreprise du COSO

Les objectifs et les éléments se recoupent. Les activités de surveillance continue, par exemple,
s'appliquent aux quatre catégories d'objectifs. La surveillance aide à garantir la mise en œuvre
correcte des stratégies, la gestion efficace des opérations commerciales, la fiabilité du reporting et le
respect des lois applicables par l'organisation.

Rôles et responsabilités
La gestion des risques inclut un large éventail d'activités destinées à identifier, évaluer, gérer et
contrôler les risques à travers toute l'entreprise, des événements ou projets ponctuels à des types de
risque précis (p. ex. risque du marché), en passant par les menaces qui pèsent sur l'entreprise et les
opportunités qui lui sont offertes. Traditionnellement, les responsabilités en matière de gestion des
risques sont confiées à chaque unité d'affaires et/ou à des sections des unités d'affaires. La gestion
des risques était théoriquement considérée comme une initiative de l'organisation. Mais en pratique,
les activités de gestion des risques s'étendaient rarement à toute l'organisation.

Comme nous l'avons vu, pour que la gestion des risques soit efficace, chaque membre de
l'organisation, quel que soit son niveau, doit prendre part au processus. Produire des informations
utilisables pour identifier les risques, prendre les mesures nécessaires pour mener à bien la gestion
des risques et soutenir les flux de communication et d'informations sont des tâches qui entrent
implicitement et explicitement dans la description de chaque poste. Toutefois, le COSO indique que
des rôles et des responsabilités particuliers incombent au conseil, à la direction, aux directeurs des
risques, aux directeurs financiers, aux auditeurs internes et à certaines parties externes. Nous allons à
présent examiner ces groupes et ces individus (à l'exception de l'activité d'audit interne, traitée dans
la Partie 2, Section I, Chapitre C).

Conseil d'administration. Le conseil, ou son équivalent, sert plusieurs fonctions. Le conseil aide à
définir la stratégie et énonce les objectifs de haut niveau. Souvent, le conseil délègue à la direction
ses responsabilités en matière de surveillance et d'assurance, et se réserve toute l'autorité sur les
décisions clés.

Le COSO décrit la supervision de la gestion des risques de l'entreprise par le conseil de la manière
suivante :

Connaître l'étendue et l'efficacité de la gestion des risques de l'entreprise établie dans l'organisation par la direction.
Connaître l'appétence de l'entité pour le risque et s'aligner sur celui-ci.
Examiner la vue globale de l'entité sur le risque et évaluer celui-ci par rapport à l'appétence de l'entité pour le risque.
Connaître les risques les plus significatifs et s'assurer que la direction y répond de façon adéquate.

Le conseil fait partie intégrante de la composante d'environnement interne du modèle du COSO. Par
son action, il établit un précédent en matière d'intégrité et de valeurs éthiques. Le conseil peut utiliser
des ressources pour mener des enquêtes particulières et peut recourir à des comités pour exécuter
certaines tâches. À un comité sur les rémunérations, par exemple, incomberaient les responsabilités
relatives à divers aspects du système de récompense. Autre exemple : le comité d'audit pourrait être
chargé de superviser la fiabilité du reporting externe. En résumé, les décisions, l'engagement, les
objectifs et les activités du conseil influent fortement sur le fait que les risques soient ou non gérés à
un niveau acceptable.

Direction. La direction est le principal responsable de l'identification et de la gestion des risques,

ainsi que de la mise en œuvre d'une approche structurée, cohérente et coordonnée de gestion des
risques de l'entreprise. Les responsabilités propres aux directeurs de chaque niveau varient d'une
organisation à l'autre. Toutefois, la règle universellement suivie est de confier au directeur général la
responsabilité finale du processus de gestion des risques de l'entreprise, de la définition du « ton
donné par la direction » et de la mise en œuvre d'un environnement interne positif.

La direction et le conseil travaillent ensemble durant le processus d'élaboration de la stratégie afin de

déterminer ll'appétence pour le risque de l'organisation. Le COSO définit l'appétence pour le risque
comme « le niveau de prise de risque accepté par l’organisation dans le but d’accroître sa valeur ».
L'environnement d'exploitation de l'organisation détermine en partie son appétence pour le risque.
Par exemple, l'environnement d'exploitation de sociétés pharmaceutiques nécessite de protéger la
valeur de la marque et de minimiser les risques en investissant dans la recherche précoce et les
essais. Cependant, une organisation comme celle-ci peut choisir de suivre une stratégie qui l'expose à
plus ou moins de risques, comme par exemple prendre la décision d'entrer sur un nouveau marché ou
de rester sur des marchés matures plus stables. Le rôle des auditeurs internes est d'assurer que
l'organisation a une tolérance au risque suffisante ou la capacité d'absorber les écarts par rapport aux
objectifs, en fonction de l'attribution des ressources au sein de l'organisation et des choix stratégiques
liés à l'appétence pour le risque.

Le COSO présente les responsabilités du directeur général comme suit :

Fourniture d'un encadrement et d'une orientation aux membres de la direction.
Entretiens réguliers avec les membres de la direction chargés des principales fonctions telles que
la vente, le marketing, les finances, les ressources humaines, etc., afin de comprendre les risques
 inhérents aux opérations, les réponses aux risques, les améliorations requises en matière de
contrôles et l'avancement des initiatives en cours.
Surveillance des activités et des risques liés à l'appétence pour le risque de l'organisation.

Les membres de la direction transforment les stratégies de gestion des risques en opérations. Les
responsables de processus, de fonctions ou de services particuliers jouent un rôle à la fois tactique et
pratique quant à l'élaboration et à l'exécution des procédures spécifiques de gestion des risques. Ils
tiennent informés leurs supérieurs de l'avancée de leurs activités et recommandent des améliorations.

L'autorité et la responsabilité de la direction sont impératives pour une gestion efficace des risques
de l'entreprise. Chaque directeur devrait être responsable devant son supérieur direct, le directeur
général étant responsable devant le conseil.

Responsable de la gestion des risques. Dans certaines organisations, un responsable de la gestion

des risques, également appelé gestionnaire des risques ou directeur des risques, centralise la
coordination de la gestion des risques de l'entreprise à travers toute l'organisation. Nommé par le
directeur général, le directeur des risques dispose des ressources nécessaires pour travailler avec
d'autres responsables dans le but de développer des pratiques efficaces de gestion des risques, de
suivre les progrès et de les assister lors du reporting.

Le COSO répertorie les responsabilités spécifiques du directeur des risques en matière de gestion
des risques de l'entreprise :
élaboration des politiques pertinentes ;
définition des rôles et des responsabilités, et assistance à la définition des objectifs en matière de
mise en œuvre ;
encadrement de l'autorité et de la responsabilité dans les unités d'affaires ;
promotion des compétences à travers toute l'entité ;
orientation de l'intégration aux autres activités de gestion et de planification des affaires ;
élaboration d'un langage de gestion des risques commun et de mesures communes ;
facilitation des protocoles de reporting ;
transmission de l'avancée des activités au directeur général, ainsi que des actions recommandées.

Certaines organisations nomment une personne chargée exclusivement du poste de gestionnaire des
risques. D'autres attribuent les responsabilités en matière de gestion des risques de l'entreprise au
directeur financier, à l'avocat conseil ou à un autre cadre supérieur.

Responsables financiers. Les activités financières et de contrôle financier touchent toutes les unités
d'exploitation et d'affaires. La budgétisation, la planification financière, le suivi et l'analyse des
performances, et le reporting relèvent du champ d'action du directeur financier, du chef du service
comptable, du contrôleur ou d'autres individus exerçant une fonction financière. Ces personnes et les
activités qu'elles exercent constituent une pièce maîtresse de l'exécution de la gestion des risques par
la direction.
Parties externes Plusieurs parties externes prennent part aux objectifs et aux activités de gestion des
risques de l'entreprise d'une entité :

Auditeurs externes. Les auditeurs externes offrent une vision indépendante et objective qui
contribue à la réalisation des objectifs de l'entreprise, notamment en termes de reporting financier
externe. Bien que la plupart des audits d'états financiers ne s'occupent que peu de la gestion des
risques de l'entreprise, le COSO souligne que les informations fournies peuvent aider la direction
à prendre en charge ses responsabilités en matière de gestion des risques. Les résultats des audits,
les informations analytiques et les actions préconisées sont des données pertinentes pour la
réalisation des objectifs définis. Si un audit externe met au jour des insuffisances au niveau de la
gestion des risques et du contrôle, l'auditeur peut également communiquer ces informations
accompagnées de recommandations d'amélioration. Si la loi ou les règlements (par exemple, la loi
Sarbanes-Oxley) exigent que l'audit externe évalue le contrôle interne du reporting financier d'une
entité, le périmètre de l'audit dans ces domaines est restreint.

Législateurs et régulateurs. Un grand nombre de lois et de règlements ont une incidence sur la
gestion des risques de l'entreprise d'entités particulières. Les législateurs et les régulateurs
établissent des règles qui obligent les systèmes de contrôle et de gestion des risques d'une entité à
satisfaire à des exigences légales et réglementaires minimales. Lorsque les organismes de
régulation examinent une entité (par exemple, lorsque des contrôleurs de banques fédérales et
d'État examinent les opérations d'une banque), l'organisation tire généralement des informations
utiles sur l'application de la gestion des risques de l'entreprise et des recommandations et/ou des
directives portant sur les améliorations nécessaires.

Partenaires. Les partenaires d'une entité (clients, fournisseurs, créanciers, etc.) peuvent s'avérer
des canaux d'informations utiles aux activités de gestion des risques. Les éléments tels que les
demandes de nouveaux produits et services, les problèmes de contrôle qualité, les préoccupations
éthiques et les divergences en matière de facturation ou d'expédition peuvent être des informations
pratiques pour atteindre les objectifs stratégiques, opérationnels, de reporting ou de conformité.

Sous-traitants. De nombreuses organisations choisissent de sous-traiter certaines activités

quotidiennes (paie, comptabilité ou informatique) dans le but de consacrer leurs activités et leurs
ressources aux compétences fondamentales de l'organisation. La sous-traitance permet
généralement à une organisation de capitaliser sur les compétences d'autres entreprises jugées
plus efficaces ou plus expertes dans des tâches spécialisées annexes aux compétences
fondamentales de l'organisation. Le COSO soutient le principe selon lequel la direction ne peut
pas déléguer à ces fournisseurs externes les activités de gestion des risques associées. Des
programmes doivent être élaborés et mis en œuvre pour surveiller ces activités.

Analystes financiers, agences de notation et médias d'information. Les analystes financiers et

les agences de notation évaluent un large éventail de facteurs pour émettre un avis sur la santé
d'une organisation et sa valeur en tant qu'investissement. Les médias financiers conduisent
fréquemment des analyses similaires. Les observations et les perspectives que ces groupes
 émettent peuvent s'avérer utiles à la direction afin d'améliorer les activités de gestion des risques.

Nous nous concentrerons sur les cadres ISO 31000 et Turnbull, puis nous reviendrons sur le modèle
du COSO afin d'analyser plus en détail les domaines de l'ERM.

Pour plus d'informations sur le document Enterprise Risk Management – Integrated Framework du
COSO (Le management des risques de l'entreprise – Cadre de référence), consultez le site du
COSO à l'adresse suivante : www.coso.org.

ISO 31000
La norme ISO 31000:2009, « Management du risque – Principes et lignes directrices » est un cadre
de normes internationales simple et concis pour la gestion des risques. L'ISO 31000 est un cadre pour
le développement systématique de la gestion des risques de l'entreprise qui peut être utilisé par tout
type d'organisme sans distinction de taille ou d'activité parce que l'organisation peut adapter le cadre
au périmètre approprié et au contexte environnemental. Au fur et à mesure que les activités de gestion
des risques de l'organisation deviennent plus matures, le cadre lui aussi évolue. L'ISO a également
publié un document complémentaire intitulé ISO Guide 73:2009, « Management du risque –
Vocabulaire », qui permet aux organisations de discuter des risques en utilisant un ensemble commun
de termes de gestion des risques.

La norme ISO 31000 est de plus en plus populaire, en partie parce qu'il s'agit d'une norme
internationale et que de nombreuses organisations la considèrent plus claire et plus facile à expliquer
à la direction générale et au conseil d'administration. C'est particulièrement vrai pour les
organisations non américaines et les organisations qui adoptent simplement un cadre de gestion des
risques.

Le but de la norme ISO 31000 est d'aider les organisations à gérer le concept d'incertitude. Une
organisation qui peut gérer l'incertitude et s'adapter rapidement au changement sera mieux en mesure
d'atteindre ses objectifs et présentera plus d'intérêt pour les investisseurs. La norme ISO 31000
permet également aux organisations de comparer leurs propres pratiques de gestion des risques à
celles d'autres organisations qui ont déjà adopté la norme.

Principes de la norme ISO 31000

L'ISO 31000 est un document succinct, fondé sur des principes, qui vise à mettre l'accent sur la
transparence et la crédibilité au niveau de la fonction de gestion des risques. Ces principes stipulent
que la gestion des risques :
Est une activité à valeur ajoutée.
Ne peut se dissocier des opérations et des processus de prise de décision de l'organisation.
Traite de l'incertitude de façon structurée, ordonnée, sans ambiguïté et en temps opportun.
Utilise les meilleures informations disponibles.
Est adaptée à l'environnement d'exploitation, la culture et les objectifs de l'organisation.
Est transparente, vérifiable et inclut les parties prenantes.
 Utilise un cycle itératif pour favoriser une amélioration continue, les connaissances au niveau
organisationnel et la capacité à rapidement s'adapter aux changements en termes d'environnement.

Cycles ISO 31000

À un niveau supérieur, le cadre ISO 31000 est un processus cyclique qui permet tout d'abord aux
cadres supérieurs de démontrer un engagement ferme quant à la gestion des risques et d'imposer sa
mise en œuvre d'après les principes susmentionnés. Le cadre est alors conçu et personnalisé. Une
fois mis en œuvre, il est surveillé et examiné pour permettre une amélioration continue et une
personnalisation plus poussée.

La phase de mise en œuvre a son propre cycle, comme le montre l'illustration II-22.

Illustration II-22 : Cadre de la phase de mise en œuvre ISO 31000

AS/NZS 4360:2004 remplacée par AZ/NZS ISO 31000:2009

Notez que la norme ISO 31000 a été adoptée sous la désignation AS/NZS ISO 31000:2009 par
l'organisme commun responsable des normes en Australie/Nouvelle-Zélande, et cette norme remplace
la norme AS/NZS 4360:2004 pour la gestion des risques. La raison de cette décision est que la
norme ISO 31000 développe la norme AS/NZS 4360 de 2004. Elle propose également une
explication plus claire des principes de gestion des risques. La norme AS/NZS ISO 31000:2009
comprend une annexe informative qui fournit des informations sur l'amélioration des attributs de
gestion des risques.

Pour plus d'informations sur la norme ISO 31000:2009, visitez le site Web de l'ISO à l'adresse
suivante : www.iso.org/iso/home/standards/iso31000.htm. Vous pourrez consulter l'introduction de
l'AS/NZS ISO 31000:2009 sur sherq.org/31000.pdf et l'acheter sur infostore.saiglobal.com/store.

Comparaison entre le cadre de la norme ISO 31000 et le référentiel de gestion des risques de
l'entreprise du COSO
Les objectifs du cadre de l'ISO 31000 et ceux du référentiel ERM du COSO sont très similaires.
Voici les caractéristiques communes aux deux approches :
Tentative d'aider les organisations à atteindre leurs objectifs commerciaux par le biais d'une
 gestion efficace des risques internes et externes.
Reconnaissance de l'importance de l'intégration d'une mentalité de gestion des risques à la culture
de l'organisation.
Reconnaissance de l'importance du « ton donné par la direction » dans la gestion des risques.
Champ d'application délibérément large.
Reconnaissance du fait que la gestion des risques est un processus itératif complexe nécessitant
des compétences pluridisciplinaires pour une mise en œuvre et une gestion correctes.

Bien que les processus de gestion des risques soient similaires par nature, il existe quelques
différences subtiles. L'une d'entre elles se situe au niveau de la terminologie. La norme ISO
31000:2009 utilise l'expression « traitement du risque » lorsque le COSO parle de « réponse au
risque ». L'autre différence est que les composantes de l'ERM du COSO et de la norme ISO 31000 ne
s'alignent pas précisément, comme le montre l'illustration II-23. (Notez que certaines composantes
sont répétées pour montrer leur champ d'application au niveau de plusieurs composantes de l'autre
processus.)

Illustration II-23 : Différences entre les composantes de l'ERM du COSO et de la norme ISO 31000

Les recommandations Turnbull

L'ouvrage « Internal Control Guidance for Directors on the Combined Code » (Recommandations de
contrôle interne pour les administrateurs relatives au Code Combiné) a été publié en 1999 au
Royaume-Uni. Il est plus souvent appelé « Recommandations Turnbull » ou « Rapport Turnbull », en
référence à Nigel Turnbull, le président du groupe de travail qui a élaboré ces directives de gestion
des risques. L'ouvrage a été révisé en 2005 pour refléter les différents développements au Royaume-
Uni et sur la scène internationale et intégrer l'expérience acquise dans le cadre des mises en œuvre.
Les Recommandations Turnbull traitent de l'adoption d'une approche du contrôle interne fondée sur
les risques et de l'évaluation de son efficacité. Elles sont liées aux exigences de divulgation de la
Bourse de Londres. Le rapport Turnbull recommande à toutes les entreprises répertoriées à la Bourse
de Londres de mettre en place un plan de gestion des risques. Bien que les détails de mise en œuvre
spécifiques soient laissés à la discrétion de l'entreprise, la direction exige que le plan soit mis en
place et géré activement. Comme pour les exigences imposées par la loi Sarbanes-Oxley de 2002, les
règlements associés de la US Securities and Exchange Commission (SEC) et les règlements de la
Bourse américaine, si l'on ne se conforme pas aux Recommandations Turnbull, les informations
seront publiées dans le rapport annuel. En fait, la SEC considère les Recommandations Turnbull
comme étant un cadre approprié pour se conformer aux exigences des États-Unis concernant le
reporting des contrôles internes relatifs à l'information financière, comme indiqué dans la Section
404 de la loi Sarbanes-Oxley et les règlements associés de la SEC.

Toutefois, les Recommandations Turnbull ne sont pas seulement utilisées afin de se conformer aux
modalités en matière de Bourse. Les principes de gestion efficace des risques et l'intégration d'un
contrôle interne au niveau des processus d'entreprise présentent un grand intérêt commercial pour une
entité. Les organisations ont la possibilité de sélectionner les principes adaptés à leurs propres
circonstances. Voici quelques-uns des grands principes des Recommandations Turnbull :

Mettre l'accent sur les risques importants. Si trop de risques sont identifiés, il devient difficile
d'identifier et de gérer ceux qui sont importants. Le Rapport Turnbull recommande que
l'identification des risques se concentre sur les risques qui ont été identifiés par la direction
générale comme étant potentiellement dangereux pour la réalisation des objectifs de l'organisation.

Mettre l'accent sur la gestion des risques. Le Rapport Turnbull considère la gestion des risques
comme essentielle pour réduire la probabilité que les objectifs organisationnels soient mis en
péril par des événements imprévus. Il favorise la gestion proactive des risques.

Surveillance continue des risques et du contrôle. Les stratégies et les politiques de gestion des
risques et de contrôle interne d'une organisation doivent être surveillées en permanence et
adaptées pour répondre à l'évolution des risques. Un processus de feedback devrait être mis en
place pour tirer les leçons des échecs et développer les capacités permettant de potentiellement
s'améliorer et réduire le risque.

Faire participer tous les employés. Le Rapport Turnbull maintient que tous les employés ont une
certaine responsabilité quant au contrôle interne et doivent être responsabilisés pour atteindre les
objectifs organisationnels. Ils doivent disposer des connaissances, des compétences, des
informations et de l'autorité nécessaires pour établir, utiliser et surveiller le système de contrôle
interne dans leur sphère de responsabilités. Ils doivent comprendre les objectifs organisationnels
et les industries et marchés spécifiques à l'entité, ainsi que les risques auxquels elle est
confrontée.
 Rationalisation des bases de données de gestion des risques. Le contrôle devrait être intégré
dans les processus organisationnels. Le rapport Turnbull recommande d'intégrer des mécanismes
de détection précoce aux systèmes d'information de la direction existants plutôt que de développer
des systèmes de reporting des risques indépendants.

Grâce à cet aperçu des Recommandations Turnbull, nous pouvons constater qu'il existe beaucoup de
similarités au niveau des différentes approches de gestion des risques présentées. Et comme pour les
cadres de l'ERM du COSO et de la norme ISO 31000, une organisation peut tirer parti de l'adoption
de l'approche Turnbull fondée sur les risques. Certains aspects positifs permettent de mieux :
Fournir une assurance objective au conseil et à la direction générale quant à l'adéquation et à
l'efficacité des processus de contrôle interne et de gestion des risques de l'organisation.
Donner des conseils en matière de gestion efficace des risques, en particulier en ce qui concerne
les problèmes liés à la conception, à la mise en œuvre et à l'exploitation des systèmes de
contrôles internes.
Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou d'éviter les
pertes opérationnelles et autres pertes similaires.
Réduire la probabilité d'occurrence d'événements indésirables.

Pour plus d'informations sur les Recommandations Turnbull de 2005, veuillez consulter le site
www.ecgi.org/codes/documents/frc_ic.pdf.

Incidences de la structure sur les risques et le contrôle

L'organigramme se réfère généralement à la manière dont les groupes fonctionnels d'une entité sont
conçus et organisés. Pendant de nombreuses années, la structure traditionnelle des grandes
organisations a reposé sur un modèle hiérarchique dans lequel, comme son nom l'indique, l'autorité et
les fonctions sont séparées de façon claire par rang hiérarchique. Cependant, dans le monde du
travail actuel, de nombreux écarts par rapport à la structure hiérarchique traditionnelle peuvent être
constatés. Les pyramides inversées, les structures horizontales, matricielles ou en réseau (équipes), et
les organisations virtuelles se rencontrent de plus en plus. Certaines conceptions visent à recréer des
formes de trèfles, d'étoiles et de camemberts pour mettre en avant un principe d'égalité de tous et
favoriser le dialogue et les échanges.

Un examen critique de la conception organisationnelle est le meilleur moyen de faciliter une

communication et une coordination efficaces pour atteindre les buts et objectifs de l'entreprise.
Quelle que soit la manière dont la structure organisationnelle est représentée sur le papier, une
conception efficace doit :
Refléter la taille et la nature des activités de l'entité ;
Etablir des lignes formelles d'autorité ;
Définir des sphères clés de responsabilités ;
Etablir des lignes de reporting ;
Etablir des relations entre les individus, les groupes et les services ;
Coordonner les différentes tâches organisationnelles ;
 Affecter des responsabilités à des services et des postes particuliers ;
Allouer et déployer les ressources de l'organisation.

Dans l'ensemble, la structure de l'organisation fournit le cadre nécessaire à la planification,

l'exécution, au contrôle et à la surveillance des activités. Le document Enterprise Risk Management
– Integrated Framework du COSO (Le management des risques de l'entreprise – Cadre de
référence) explique comment la structure d'une entité aura un impact notamment sur les domaines
suivants.

Développement des objectifs

Les organisations doivent d'abord fixer des objectifs stratégiques conformes aux objectifs de
l'organisation. Des objectifs plus spécifiques (sous-objectifs) applicables aux services, aux fonctions
et aux individus peuvent ensuite être élaborés. Quel que soit l'organigramme, l'aspect fondamental du
développement de ces objectifs en cascade est la cohérence des objectifs avec les perspectives
stratégiques et le soutien qu'ils apportent à celles-ci. De plus, tous les objectifs doivent être
clairement communiqués et mesurables. Tous les membres de l'organisation doivent comprendre les
objectifs liés à leur sphère d'influence, en d'autres termes ce qui doit être accompli et comment la
performance sera mesurée.

Identification des événements (ou identification des risques)

Le COSO souligne le fait que les événements peuvent avoir un impact positif ou négatif, ou les deux à
la fois, sur la mise en œuvre de la stratégie organisationnelle et la réalisation des objectifs. La
direction doit comprendre comment un événement peut entraîner ou se rapporter à d'autres
événements à travers l'organisation afin que les efforts de gestion des risques soient coordonnés de
manière appropriée.

Réponse aux risques (ou traitement des risques)

Il est important de prendre en compte l'organigramme lorsque l'organisation évalue comment gérer au
mieux les risques. La réponse aux risques ou le traitement des risques devrait être un processus
itératif qui considère non seulement le niveau de l'entreprise, mais également les différents services
et fonctions. Par exemple, la tolérance au risque pour des services particuliers peut être appropriée
sur un plan individuel, mais sur le plan collectif, elle peut conduire à un dépassement de l'appétence
pour le risque de toute l'organisation. Ou, d'un autre côté, certaines fonctions encourent un risque plus
élevé que d'autres, mais les réponses collectives face au risque finissent par équilibrer l'appétence
pour le risque de l'organisation.

Activités de contrôle (ou surveillance et examen du cadre)

Les activités de contrôle sont généralement établies pour s'assurer que les réponses aux risques sont
correctement mises en œuvre et soutiennent les objectifs connexes. Comme pour les autres aspects de
la gestion des risques, les activités de contrôle ne s'exécutent pas isolément. Il existe un grand
nombre de types d'activités de contrôle différents exécutés par de nombreuses personnes à différents
niveaux de l'organisation. Ce sont le périmètre et la diversité des activités de contrôle à travers une
organisation qui permettent à tous les niveaux d'avancer sur la même voie pour atteindre les objectifs
commerciaux.

Il est utile de comprendre qu'un contrôle unique peut avoir plusieurs fonctions, puisque les activités
de contrôle se traduisent toutes par un coût. Par exemple, exiger un reçu pour une dépense
d'entreprise permet à la fois de contrôler l'exactitude des écritures dans le grand livre, de se
conformer à la législation fiscale et de réduire le risque de fraude.

Certains contrôles peuvent introduire de nouveaux risques au niveau d'un processus. Par exemple, on
peut utiliser des clés et des serrures pour empêcher l'accès non autorisé à un entrepôt, mais s'il faut
contrôler qui est en possession des clés, cela risque en même temps d'augmenter les coûts. De plus,
les clés peuvent être égarées, cassées ou reproduites. Il peut y avoir une perte de productivité si l'on
prend en compte le temps passé à utiliser les clés, etc.

Informations et communication (communication et de consultation)

Chaque organisation doit capturer une large quantité d'informations relatives aux événements et
activités internes et externes. Le personnel de l'organisation, quant à lui, doit recevoir les
informations dont il a besoin pour mener à bien ses responsabilités. Une infrastructure d'informations
doit recueillir les données au moment opportun et à un niveau de détail adapté aux besoins de
l'organisation en matière d'identification des événements et de réponse aux risques. La conception de
l'architecture système et l'acquisition des technologies sont deux éléments critiques. La fiabilité et
l'intégrité des données ne doivent pas être compromises. Il faut prendre en compte la façon de
concilier les défis suivants :
Besoins fonctionnels contradictoires ;
Contraintes systémiques ;
Processus non intégrés.

Pour une meilleure compréhension des technologies de l'information ainsi que des risques et
contrôles associés, consultez le Guide pratique GTAG-1 « Contrôles relatifs aux technologies de
l'information ».

Pour compléter l'infrastructure d'informations, les communications internes et externes devraient

soutenir la philosophie et l'approche de gestion des risques de l'organisation. Par exemple,
l'ensemble du personnel interne à l'organisation doit saisir l'importance de la gestion des risques, les
objectifs de l'organisation, et les rôles et responsabilités qui soutiennent les initiatives.

Le personnel doit comprendre comment ses activités individuelles sont liées au travail des autres.
Cela signifie que les canaux de communication doivent être ouverts à tous les niveaux de
l'organisation et favoriser un esprit de coopération et une volonté d'écoute.

Il est important de communiquer avec les parties externes (clients, fournisseurs, parties prenantes,
régulateurs et autres) de manière pertinente et en temps opportun. Par exemple, une communication
utile avec les fournisseurs concernant l'appétence pour le risque et la tolérance au risque peut éviter à
une organisation d'accepter involontairement trop de risques liés à un fournisseur dont les valeurs
sont différentes.

Surveillance (surveillance et examen, amélioration continue du cadre)

La gestion des risques n'est pas statique. Les changements qui interviennent au niveau du personnel,
des processus, des objectifs commerciaux, de l'environnement concurrentiel, etc., finissent par rendre
les réponses actuelles aux risques obsolètes. Les activités de contrôle peuvent aussi perdre de leur
efficacité.

La direction doit obtenir une assurance raisonnable que la gestion des risques demeure efficace. Les
détails pour y parvenir dépendent de l'organisation. Généralement, cela implique deux actions de
surveillance :
Surveillance continue : surveillance intégrée dans les activités normales et récurrentes, et
exécutée en temps réel
Évaluations indépendantes : évaluations exécutées après coup et destinées à obtenir un « regard
neuf » sur l'efficacité de la gestion des risques

Vous trouverez plus d'informations sur les actions de surveillance dans la présentation de la
surveillance des risques, plus loin dans cette rubrique.

Identification et évaluation des risques

Ensuite, nous nous pencherons plus en détail sur deux domaines de la gestion des risques de
l'entreprise : les techniques d'identification et d'évaluation des risques (événements). Le contenu est
en grande partie fondé sur le modèle ERM du COSO, mais on peut relever dans le cadre ISO 31000
des thèmes et des concepts très similaires, et les différences de terminologie sont entre parenthèses,
le cas échéant. Les principes du modèle ERM du COSO et de la norme ISO 31000 sont destinés à
être facilement exploitables par un large éventail d'organisations, parties prenantes et autres parties
intéressées qui souhaiteraient mettre en œuvre un processus complet de gestion des risques.

Identification des risques

Le modèle du COSO se réfère à l'identification des risques comme étant la composante intitulée
« identification des événements ». (La norme ISO 31000 comprend une sous-composante
d'identification des risques dans sa composante d'évaluation des risques.) Le modèle du COSO décrit
le processus d'identification des événements comme englobant les principales mesures de gestion
suivantes :
Identification des événements susceptibles d'avoir une incidence sur l'entité.
Détermination de la nature des événements potentiels (opportunités ou dangers).

Plusieurs facteurs externes et internes doivent être pris en considération lors de l'identification des
événements. L'illustration II-24 présente plusieurs exemples.

Illustration II-24 : Facteurs externes et internes à l'origine des événements

Techniques d'identification des événements
Les organisations utilisent généralement une combinaison de techniques et d'outils pour identifier les
événements. Le COSO stipule que, lors de l'identification des événements, il faut prendre en compte :
Les événements aux niveaux de l'entité et des activités.
Les événements antérieurs (p. ex. historiques des défauts des comptes débiteurs ou accidents avec
arrêt de travail) et expositions à venir (p. ex. évolutions des facteurs démographiques ou des
préférences des clients).

Les techniques d'identification peuvent varier. Elles se différencient généralement par leur
sophistication, qu'elles examinent les données historiques et/ou les sources factuelles d'événements
observables, ou fournissent des données à un type quelconque de modèle de projection pour identifier
les événements futurs potentiels. Certaines techniques examinent les données en suivant une approche
descendante, d'autres créent une analyse détaillée en suivant une approche ascendante.

L'illustration II-25 résume les techniques communes d'identification des événements.

Illustration II-25 : Techniques communes d'identification des événements

Il faut se rappeler que ces techniques ne conviennent pas forcément à une situation ou à une
organisation en particulier. Selon le COSO :
La profondeur, l'étendue, le rythme et la rigueur du processus d'identification des événements
varient d'une organisation à l'autre.
La direction choisit les techniques appropriées à sa philosophie en matière de gestion des risques
et garantit l'adéquation des capacités d'identification des événements.

Catégories d'événements
Les événements potentiels sont parfois regroupés en catégories. Par exemple, les événements peuvent
être regroupés de façon horizontale à travers une entité et de façon verticale au sein d'unités
opérationnelles. La catégorisation des événements offre différents avantages. Processus de
catégorisation :
Améliore les informations recueillies pour servir de base à l'évaluation des risques ;
Facilite les efforts que fournit la direction pour déterminer les opportunités et les risques ;
Permet à la direction de prendre en compte le caractère complet de ses efforts d'identification des
événements.
Les catégories varient. Les organisations les définissent en fonction de leur pertinence. Une
organisation peut développer des catégories en se basant sur ses objectifs, en commençant par ses
objectifs stratégiques de haut niveau, puis en descendant vers les objectifs au niveau des unités, des
fonctions ou des processus. Une autre approche peut consister à définir des catégories d'événements
au niveau des facteurs internes et externes. Les facteurs politiques externes peuvent inclure les
modifications gouvernementales, la législation, les politiques publiques ou les règlements. Parmi les
facteurs internes relatifs au personnel figurent les compétences des employés, les activités
frauduleuses ainsi que la santé et la sécurité.

Interdépendance des événements

Lors de l'identification des événements, la direction doit tenir compte de la façon dont les événements
interagissent. Les événements sont rarement isolés. Par exemple, les incitations liées à la
performance peuvent augmenter la productivité, mais elles peuvent aussi aboutir à des pratiques de
reporting frauduleuses.

Distinction entre les risques et les opportunités

Une fois les principaux événements et facteurs d'influence identifiés, la direction peut déterminer si le
potentiel est positif ou négatif. Dans certains cas, un événement peut présenter ces deux aspects. Les
opportunités positives sont intégrées dans la stratégie et le processus de définition des objectifs ; les
événements ayant un impact négatif qui représentent un risque devront être évalués en profondeur afin
de déterminer la réponse à apporter.

Évaluation des risques

L'évaluation des risques est un processus d'identification, de mesure et de hiérarchisation des risques.
Le périmètre global des évaluations des risques peut être large (macroanalyse) ou restreint
(microanalyse).

Les micro-évaluations à l'échelle de la mission visent à identifier et mesurer l'exposition au risque

dans les opérations et à s'assurer que les risques pertinents au domaine évalué sont abordés. Ces
évaluations des risques à l'échelle de la mission sont abordées dans la Partie 2, Section II, Chapitre
A.

Comme décrit dans le document Implementing the International Professional Practices Framework
(Mise en œuvre du Cadre des pratiques professionnelles) d'Anderson et Dahle, les macro-
évaluations à l'échelle de l'organisation sont destinées à fournir une analyse « descendante » de tous
les principaux risques qui affectent l'organisation.

Concernant les évaluations à l'échelle de l'organisation, deux possibilités existent.

La direction peut avoir mis en place un processus d'identification et d'évaluation des risques de
haut niveau. Dans ce cas, l'audit interne doit prendre part à ce processus tel qu'approprié.
 L'activité d'audit interne peut alors utiliser les résultats de l'évaluation à l'échelle de
l'organisation.

Lorsqu'une organisation ne dispose pas d'un processus de gestion des risques, l'auditeur interne
doit conseiller la direction et lui montrer comment établir un tel processus. Si une organisation
manque de ressources en matière de gestion des risques de l'entreprise, l'activité d'audit interne
peut faciliter la mise en place initiale d'un cadre générique (comme celui du COSO ou de la norme
ISO 31000), à la demande de la direction.

Si une organisation ne possède pas de processus de gestion des risques, l'activité d'audit interne doit
agir avec prudence. Bien que les auditeurs internes puissent faciliter ou réaliser les processus de
gestion des risques, ils ne seront pas responsables de la gestion des risques identifiés. Cependant,
l'interprétation de la Norme 2010, « Planification », nous indique que dans le cadre de la mise en
place d'un plan d'audit interne axé sur le risque, « si ce système de gestion des risques n’existe pas,
le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris
en considération le point de vue de la direction générale et du conseil d'administration. Le
responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux
changements dans les activités, les risques, les opérations, les programmes, les systèmes et les
contrôles de l’organisation ». Par conséquent, dans certains cas, il peut être nécessaire de travailler
sans avoir recours à une évaluation ou un cadre formalisé de gestion des risques.

Techniques d'évaluation
Les techniques d'évaluation des risques sont soit qualitatives, soit quantitatives. Les entreprises
utilisent généralement les deux types.

Les entretiens et les ateliers sont deux techniques d'évaluation qualitative largement utilisées. De
telles techniques sont utilisées lorsque :
Les risques ne se prêtent pas à une quantification.
Il n'y a pas suffisamment de données fiables disponibles pour réaliser des évaluations
quantitatives.
Il n'est pas rentable d'obtenir ou d'analyser des données quantitatives.

Les techniques qualitatives estiment généralement la probabilité et l'impact des événements potentiels
en utilisant des mesures nominales ou ordinales. Les mesures nominales permettent regrouper les
événements en catégories (comme par exemple économique ou politique), mais sans les classer. Les
mesures ordinales organisent les événements par ordre d'importance à l'aide d'une échelle (par
exemple, en leur attribuant un rang élevé, moyen ou faible sur l'échelle).

Les techniques d'évaluation quantitative donnent généralement des mesures plus précises. Par
rapport aux mesures qualitatives, les techniques quantitatives sont plus complexes et nécessitent
généralement plus d'effort et de rigueur. Elles sont souvent utilisées en complément des techniques
qualitatives. Des modèles mathématiques sont parfois utilisés dans les techniques quantitatives.
L'illustration II-26 résume les techniques courantes d'évaluation quantitative.
Illustration II-26 : Techniques d'évaluation quantitative des risques
Pièges de l'évaluation des risques
Le document Implementing the International Professional Practices Framework présente quelques
pièges courants relatifs à l'évaluation des risques.

Limiter les évaluations des risques aux risques financiers. Dans les évaluations des risques,
l'importance des questions informelles moins tangibles (telles que les ressources humaines, la
responsabilité sociale ou la réputation) croît davantage que celle des risques financiers
classiques. Ces questions devraient faire partie du processus d'évaluation des risques car elles
s'avèrent souvent plus avantageuses ou plus préjudiciables.

Sélectionner aveuglément des risques à partir d'un cadre générique des risques. De telles
matrices doivent davantage être considérées comme un outil de brainstorming permettant
d'identifier les expositions aux risques.
 Évaluer les risques de manière isolée (auditeurs internes). Les approches collaboratives telles
que les évaluations descendantes à l'échelle de l'entreprise et les évaluations ascendantes des
risques au niveau de la mission qui sont alignées et interconnectées sont beaucoup plus efficaces.

Identifier un trop grand nombre de risques. Des listes de risques trop longues augmentent le
danger de ne pas accorder suffisamment d'attention aux risques significatifs. Le cadre de contrôle
COSO inclut les catégories de risques que les organisations ont utilisées avec succès. Certaines
recommandations conseillent de limiter le nombre de risques significatifs à 15 ou 20.

Compliquer inutilement la quantification des risques. À moins qu'une quantification complexe

des risques ne soit requise (par exemple, dans le cas de produits dérivés ou d'autres instruments
financiers complexes), il est préférable que la quantification et la hiérarchisation des risques
restent simples. Une quantification précise et détaillée peut compliquer inutilement une évaluation
des risques alors que des tactiques simples de notation de l'importance et de la probabilité (par
exemple, forte probabilité/forte importance ou faible probabilité/faible importance) suffiraient.

Nature dynamique du risque

Comme nous l'avons vu, l'identification des événements et l'évaluation des risques varient d'une entité
à l'autre en fonction de leurs caractéristiques organisationnelles. Toutefois, les processus doivent être
robustes. Les organisations, leurs marchés et leurs environnements professionnels ne sont pas
statiques. Des changements se produisent en permanence. Les événements de risque évoluent
également. C'est pourquoi l'identification et l'évaluation des risques ne peuvent pas se limiter à un
exercice stratégique annuel. Le document Implementing the International Professional Practices
Framework suggère de prendre des dispositions afin d'acquérir constamment de nouvelles
informations sur les risques par l'intermédiaire de pratiques telles que des programmes de
sollicitation fréquente de la direction, une convocation trimestrielle du comité de gestion des risques
et des outils automatisés pour capturer et comprendre les indicateurs de risque.

Gestion des risques

Une fois que la direction a évalué les risques pertinents, elle doit décider des réponses à leur
apporter. Outre les contrôles, la direction a d'autres techniques de réponse au risque à sa disposition.
L'illustration II-27 présente les quatre différentes mesures du COSO qui peuvent être appliquées pour
gérer les risques évalués.

Illustration II-27 : Réponses de gestion des risques du COSO

Réponse aux risques pour différents types de risques
Risque inhérent
Le risque inhérent (également appelé risque absolu) est le risque généré par l'environnement, sans les
effets d'atténuation des contrôles internes. En d'autres termes, il s'agit de la combinaison des facteurs
de risque internes et externes dans leur état pur et incontrôlé, ou encore le risque brut présent
lorsqu'aucune activité de contrôle n'est exécutée. L'évaluation des risques doit d'abord être appliquée
aux risques inhérents. Une fois les réponses aux risques développées, la direction peut s'attaquer au
risque résiduel (en fonction de l'appétence de l'organisation pour le risque).

Risque résiduel
Comme les quatre réponses aux risques illustrées à l'illustration II-27 l'indiquent, il est impossible
d'éliminer tous les risques. Un certain degré de risque résiduel est inévitable. Comme nous l'avons
vu, le risque résiduel correspond au risque restant après application de la réponse au risque (par
exemple, après que des contrôles ont été élaborés). En d'autres termes, le risque résiduel est le risque
restant après que la direction a pris les mesures visant à prévenir, réduire, partager ou accepter le
risque.

L'illustration II-28 présente les deux choix qui s'offrent à la direction lorsqu'elle étudie le risque
résiduel.

Illustration II-28 : Considérations liées au risque résiduel

Le risque résiduel ne peut pas être ignoré. Voici quelques éléments à prendre en compte lors de la
détermination de la réponse appropriée :
Alignement de la réponse sur la tolérance au risque de l'organisation.
Effets d'une réponse envisagée sur la probabilité et l'impact de l'occurrence d'un risque.
Analyse coûts-bénéfices des différentes réponses.
Impact potentiel des différentes réponses sur la réalisation des objectifs organisationnels.

Risque lié au contrôle

Outre le risque résiduel, il existe des risques liés au contrôle (ou risques inhérents) intrinsèques aux
processus de réponse de la direction. Le risque lié au contrôle fait référence à la tendance du système
de contrôles internes à perdre de son efficacité et à exposer les actifs contrôlés. En d'autres termes,
les risques liés aux contrôles correspondent aux risques associés à une procédure de contrôle qui
échoue dans l'accomplissement de sa tâche.

Surveillance des risques

La surveillance des risques tient compte du fait que les processus de gestion des risques de
l'entreprise d'une organisation évoluent au fil du temps. Grâce aux activités de surveillance, la
direction peut déterminer si le management des risques de l'entreprise est toujours efficace. Le COSO
présente trois méthodes pour évaluer au fil du temps l'existence et le fonctionnement des composantes
de la gestion des risques de l'entreprise : la surveillance continue, les évaluations indépendantes ou
une combinaison des deux.

Surveillance continue
Les activités de gestion des risques de l'entreprise intègrent généralement des dispositions d'auto-
surveillance. La plupart des activités de surveillance continue sont exécutées en temps réel pendant la
conduite quotidienne des activités commerciales. Les activités continues :
Sont généralement exécutées par des responsables du soutien fonctionnel ou des directeurs
 opérationnels en fonction des informations qu'ils reçoivent ;
Se concentrent sur les relations, les incohérences ou d'autres implications pertinentes ;
Se distinguent des activités exécutées en réponse à une politique (par exemple, approbations de
transactions ou rapprochements des soldes des comptes).

Une activité de surveillance continue peut être une conversation entre un directeur et des membres du
personnel des opérations au sujet de la manière dont ils identifient les risques qui correspondent aux
tâches qu'ils exécutent, de leur compréhension de l'objectif des contrôles et de leur capacité à
identifier correctement les éventuels problèmes que présentent les activités de contrôle. Ce dialogue
continu ordinaire aide à s'assurer que les employés comprennent les codes de conduite et possèdent
une bonne connaissance de la gestion des risques et du contrôle interne. Tout point problématique
identifié nécessitant une attention particulière peut être traité.

Évaluations indépendantes
Les évaluations indépendantes s'attachent directement à l'efficacité de la gestion des risques de
l'entreprise. Selon le COSO :
Le périmètre et la périodicité varient en fonction de l'importance des risques et des réponses aux
risques dans la gestion de ceux-ci.
Les domaines les plus prioritaires ont tendance à nécessiter des évaluations plus fréquentes.
L'évaluation de l'intégralité du système de management des risques de l'entreprise est
généralement requise moins souvent que les évaluations plus précises.
L'évaluation de l'intégralité du système peut être garantie par des facteurs tels que des
changements majeurs de stratégie ou de direction, des acquisitions ou des ventes, des changements
des conditions politiques ou économiques, ou des changements au niveau des opérations ou des
méthodes de traitement des informations.

Les évaluations indépendantes sont souvent réalisées sous forme d'auto-évaluations. Les individus
responsables d'une fonction ou d'une unité particulière déterminent l'efficacité des activités au sein de
leur sphère de responsabilités. Par exemple, les directeurs opérationnels examinent les objectifs
opérationnels et de conformité, et les contrôleurs s'occupent des objectifs de reporting.

Les auditeurs internes effectuent couramment des évaluations dans le cadre de leurs tâches
quotidiennes ou à la demande expresse de la direction, du conseil ou d'autres cadres supérieurs. La
direction peut aussi envisager de recourir à des auditeurs externes.

Il revient à la direction de juger si des évaluations indépendantes sont nécessaires en se basant sur
divers facteurs, notamment :
La nature et le degré des changements de l'environnement professionnel et des risques associés.
Les compétences du personnel chargé de la mise en œuvre des réponses aux risques et des
contrôles associés.
Les résultats de la surveillance continue.
En règle générale, l'association de la surveillance continue et d'un certain nombre d'évaluations
indépendantes aide à garantir le bon fonctionnement de la gestion des risques de l'entreprise au fil du
temps. Des évaluations indépendantes fréquentes peuvent indiquer la nécessité d'améliorer la
surveillance continue.

Signalement des insuffisances

Le signalement des insuffisances est un autre aspect de la surveillance. Le COSO définit une
insuffisance comme « un élément de gestion des risques de l'entreprise qui mérite attention. Ce peut
être un point faible perçu, potentiel ou réel, ou une occasion de renforcer la gestion des risques de
l'entreprise afin d'améliorer la probabilité pour une entité d'atteindre ses objectifs ».

Les informations recueillies grâce à la surveillance continue peuvent permettre d'identifier les
insuffisances. Les évaluations de la direction, les résultats de l'activité d'audit interne et les autres
auto-évaluations peuvent mettre en évidence les domaines à améliorer. Les sources externes telles
que les organismes de réglementation et les rapports d'audit externe peuvent mettre au jour des
insuffisances, de la même manière que les rapports d'audit interne.

L'un des rôles de l'audit interne est d'aider le comité d'audit en surveillant la direction afin de vérifier
si elle a tenu compte des précédents rapports en mettant en place des plans d'action destinés à
corriger les insuffisances signalées. Concrètement, cela prend généralement la forme d'une liste
d'insuffisances identifiées dans chaque rapport, accompagnées du plan d'action, de la date cible, de la
responsabilité et de la progression de la mise en œuvre, présentée à chaque réunion du comité
d'audit.

Rôle de l'activité d'audit interne dans le management des

risques de l'entreprise
Les auditeurs internes doivent identifier et évaluer les expositions aux risques significatifs dans le
cours normal de leurs activités. Le rôle de l'activité d'audit interne dans le processus de gestion des
risques d'une organisation peut changer au fil du temps et se trouver à n'importe quel point le long de
l'échelle suivante :
Aucun rôle.
Audit du processus de gestion des risques dans le cadre du plan d'audit interne.
Fourniture d'informations et de données historiques sur les événements à risque identifiés dans les
résultats des audits internes.
Implication et soutien actifs et continus au processus de gestion des risques, par exemple par le
biais d'une participation aux comités de supervision, d'activités de surveillance et du reporting
des états.
Gestion et coordination du processus de gestion des risques.

La direction générale et le conseil déterminent le rôle de l'activité d'audit interne dans le processus
de gestion des risques de l'organisation. Dans la plupart des organisations, les auditeurs internes ont
un rôle clé à jouer dans l'évaluation de l'efficacité du management des risques de l'entreprise et dans
la recommandation d'améliorations. Ils contribuent à la gestion des risques de l'entreprise par le biais
de nombreuses activités d'assurance et de conseil.

En tant que fonction au sein de l'organisation, l'activité d'audit interne doit se conformer aux
politiques et procédures de l'organisation, y compris aux processus de gestion des risques, et doit
appliquer les méthodologies en la matière lors de l'élaboration et de la mise en œuvre des pratiques
d'audit interne.

La modalité pratique 2120-2 « Gestion du risque de l'activité d'audit interne » stipule : « L'activité
d'audit interne présente également des risques. Elle doit prendre les mesures nécessaires pour gérer
ses propres risques. On peut classer ces risques en trois grandes catégories : risque d’échec de
l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation. »

Rôles d'assurance
Le conseil d'une organisation doit obtenir l'assurance que les processus de gestion des risques
fonctionnent comme prévu et que les risques clés sont gérés à un niveau acceptable. Dans la plupart
des organisations, cette assurance est délivrée par différentes sources à différents niveaux. Par
exemple, les domaines opérationnels d'une organisation ayant attribué des responsabilités
fonctionnelles en matière de gestion des risques communiquent au conseil leurs niveaux de
performances. Ces rapports fonctionnels sont complétés par l'assurance objective des audits externes,
des évaluations de spécialistes et des audits internes.

La principale contribution de l'activité d'audit interne à la gestion des risques est l'assurance.
L'auditeur interne fournit généralement une assurance concernant les éléments suivants :
Processus de gestion des risques, y compris leur conception et leur fonctionnement.
Gestion des risques clés, y compris l'efficacité des contrôles et autres activités.
Évaluation fiable et appropriée des risques, et reporting de l'état des risques et des contrôles.

L'assurance exige de l'auditeur interne la formulation d'une opinion sur la compréhension de la

méthodologie de gestion des risques d'une organisation par les individus et les groupes clés
impliqués dans la gouvernance, y compris le conseil et le comité d'audit. L'auditeur interne doit
également s'assurer que les processus de gestion des risques sont suffisants pour protéger les actifs,
la réputation et la continuité des opérations de l'organisation.

La norme de fonctionnement 2120 « Management des risques » explique que « l'activité d'audit
interne doit évaluer l'efficacité des processus de management des risques et contribuer à leur
amélioration ».

Son interprétation nous permet de dégager les points suivants :

Afin de déterminer si les processus de gestion des risques sont efficaces, les auditeurs internes doivent s’assurer que :
Les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
 Les risques significatifs sont identifiés et évalués ;
Les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de
l’organisation ; et
Les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour
permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.

Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision
consolidée des résultats de ces missions permet une compréhension du processus de gestion des risques de l’organisation et
de son efficacité.

Les processus de gestion des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques
ou par ces deux moyens.

La modalité pratique d'application 2120-1 déclare :

Les techniques utilisées par les organisations en matière de gestion des risques peuvent être très différentes. Selon l’importance et la
complexité des activités, les processus de management des risques peuvent être :
Formels ou informels ;
Quantitatifs ou subjectifs.
Intégrés aux unités d'affaires ou centralisés au niveau de l'entreprise.

Chaque organisation conçoit des processus adaptés à sa culture, à son style de gestion et à ses objectifs commerciaux. . . . L’auditeur
interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation.

Lors de l'évaluation de l'adéquation et de l'efficacité d'un système quelconque, y compris la gestion

des risques, le contrôle interne et la gouvernance, il existe des distinctions entre les termes qu'un
auditeur interne doit bien comprendre.

L'adéquation de la gestion des risques, du contrôle et de la gouvernance

Se caractérise par la planification et l'élaboration de ces processus par la direction d'une manière qui garantit la réalisation des
objectifs de l'organisation de façon efficace et rentable. Les performances en termes d'efficience permettent d'atteindre les objectifs
de façon précise, opportune et économique. Les performances en termes de rentabilité permettent d'atteindre les objectifs en utilisant
un minimum de ressources (c'est-à-dire de coûts), en proportion de l'exposition au risque. L'assurance raisonnable est garantie si les
mesures les plus rentables sont prises lors des phases de conception et de mise en œuvre pour réduire les risques et limiter les écarts
attendus par rapport à un niveau acceptable. Ainsi, le processus de conception commence avec la définition des objectifs. Il est suivi
par la mise en relation des concepts, des parties, des activités et des individus, de manière à ce qu'ils fonctionnent de concert pour
atteindre les objectifs définis.

L'efficacité de la gestion des risques, du contrôle et de la gouvernance

Se caractérise par le fait que la direction exécute les processus de manière à fournir l'assurance raisonnable que les objectifs de
l'organisation seront atteints. Outre la réalisation des objectifs et des activités planifiées, la direction conduit les opérations en
autorisant les activités et les transactions, en surveillant les performances des processus et en vérifiant que les processus de
l'organisation fonctionnent tel que prévu.

Rôles de conseil
L'audit interne peut également réaliser des activités de conseil dans le but d'améliorer les processus
de gestion des risques et de contrôle de l'organisation. L'exposé de principes de l'IIA intitulé « The
Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit interne dans le
management des risques de l'entreprise) mentionne les sujets suivants comme rôles possibles pour les
missions de conseil :
Former la direction aux outils et techniques des contrôles et des risques utilisés par l'activité
d'audit interne et partager ces outils.
Être le fer de lance de l'introduction du management des risques de l'entreprise dans l'organisation
et du partage de l'expertise de l'activité d'audit interne
Conseiller, animer des ateliers et former l'organisation aux risques et au contrôle.
Agir en tant que pivot de la coordination, de la surveillance et du reporting des risques.
Aider les responsables à identifier la meilleure méthode pour atténuer un risque.

La mesure dans laquelle l'activité d'audit interne fournit réellement des activités de conseil en
matière de gestion des risques dépend de divers facteurs :
Disponibilité des ressources : ressources internes et externes disponibles pour le conseil.
Maturité de l'organisation face aux risques : niveau de maturité de la structure et des processus de
gestion des risques organisationnels, rôle organisationnel des auditeurs internes et qualifications
de ces derniers.
Objectivité de l'auditeur interne : l'auditeur interne joue-t-il ou non un rôle dans la gestion du
risque ?

Lorsque l'activité d'audit interne élargit ses services pour inclure des missions de conseil, des
mesures de protection doivent être mises en œuvre afin de préserver son indépendance et son
objectivité.

Comme nous l'avons vu, l'activité d'audit interne peut apporter une contribution précieuse à la
réussite via ses activités de conseil et d'assurance, et aider de manière efficace la direction et le
conseil à s'acquitter de leurs responsabilités. Toutefois, il faut bien comprendre que la direction reste
responsable de la gestion des risques.

Pour préserver l'intégrité de la fonction d'audit interne au sein du cadre de gestion des risques de
l'organisation, l'exposé de principes de l'IIA émet les recommandations suivantes :
Les auditeurs internes doivent conseiller la direction et remettre en question ou soutenir les
décisions de celle-ci à propos des risques, et non pas prendre eux-mêmes des décisions en la
matière.
La nature des responsabilités de l'audit interne doit être documentée dans la charte d'audit et
approuvée par le comité d'audit.

Le document « The Role of Internal Auditing in Enterprise-wide Risk Management » identifie les
rôles suivants comme des fonctions que l'audit interne ne devrait pas exercer :

Définir l'appétence pour le risque.

Imposer des processus de gestion des risques.
Assurer la gestion des risques.
Prendre des décisions concernant les réponses aux risques.
Mettre en œuvre les réponses aux risques au nom de la direction
Être responsable en matière de gestion des risques.
Acceptation du risque par la direction
L'activité d'audit interne évalue l'efficacité des processus de gestion des risques de l'organisation en
menant des missions d'assurance et recommande des améliorations au conseil et au comité d'audit.
Lors de l'évaluation des processus internes, l'activité d'audit interne assure de manière raisonnable
que les processus en place vont permettre à l'organisation d'atténuer les risques et d'atteindre ses
objectifs de façon efficiente et rentable.

La norme de fonctionnement 2600 « Communication relative à l'acceptation des risques » indique :

« Lorsque le responsable de l'audit interne conclut que le management a accepté un niveau de risque
qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec la direction
générale. Si le responsable de l’audit interne estime que le problème n’a pas été résolu, il doit
soumettre la question au Conseil.

L'interprétation de la norme 2600 clarifie la façon dont les risques peuvent être identifiés et qui est
responsable de la gestion de ce risque : « L’identification du niveau de risque accepté par le
management peut résulter d’une mission d’assurance, d’une mission de conseil, du suivi des plans
d’actions du management à la suite de missions d’audit interne antérieures, ou d’autres moyens.
La réponse au risque ne relève pas du responsable d’audit interne. »

La responsabilité de l'acceptation du risque est également traitée dans la modalité pratique

d'application 2060-1, « Communication avec la direction générale et le conseil » : « C’est à la
direction générale et au Conseil qu’il revient de décider des mesures appropriées à prendre face à
des problèmes importants. Ils peuvent décider, pour des raisons de coût ou pour d’autres raisons, de
prendre le risque de ne pas remédier à la situation dont il leur a été rendu compte. La direction
générale devrait informer le Conseil des décisions portant sur tous les enjeux importants soulevés par
l’audit interne. »

Risques imprévus
Les plans de mission d'audit hiérarchisent les missions selon plusieurs facteurs, notamment
l'utilisation efficace des ressources, les priorités des risques et l'importance des risques et de
l'exposition. Le rapport final de l'activité d'audit présente les résultats et les observations. Toutefois,
des risques imprévus, c'est-à-dire en dehors de ceux pris en compte lors de la phase de planification
des missions fondée sur les risques, apparaissent fréquemment.

Voici quelques-uns des nombreux risques possibles :

Actions en justice ;
Problèmes de responsabilité pour les produits/services ;
Méfaits de la part d'employés ;
Accidents ;
Vandalisme ;
Sabotage ;
Erreurs commises par des employés ;
 Erreurs commises par des fournisseurs ;
Arriérés de comptes fournisseurs ;
Rendement d'investissements financiers inacceptable ;
Délais de récupération de projets inacceptables ;
Catastrophes naturelles
Départ, décès ou handicap inattendu d'un membre clé de l'organisation
Contrôles inadaptés ;
Fraude.

En pratique, même les processus de gestion des risques les plus efficients et efficaces ne peuvent pas
prévoir tous les risques potentiels. Si des risques imprévus émergent et que le RAI les juge
significatifs, celui-ci doit discuter des expositions aux risques avec le conseil et le comité d'audit.
 Chapitre D : Sensibilisation au risque de
fraude
Introduction du chapitre
Dans ce chapitre, nous ne traitons pas d'audits de fraude ou d'enquêtes à grande échelle liées à des
fraudes. Ces sujets seront explicités ultérieurement dans la Partie 2, qui examine en détail les risques
de fraude et les contrôles. Nous allons ici évoquer un aspect plus général.

Conformément à la norme 1210.A2 (Missions d'assurance), « les auditeurs internes doivent disposer
de connaissances suffisantes pour évaluer le risque de fraude et la manière dont il est géré par
l'organisation, mais ils ne sont pas censés détenir l'expertise d'une personne dont la principale
responsabilité est de détecter les fraudes et d'enquêter sur elles ». La norme 1210.A2 est une norme
de mise en œuvre qui fournit des recommandations pour la réalisation de missions d'assurance (A) en
conformité avec les normes 1200 et 1210.

Norme 1200, « Compétence et conscience professionnelle » : Les missions doivent être menées
avec compétence et conscience professionnelle.
Norme 1210, « Compétence » : Les auditeurs internes doivent posséder les connaissances, le
savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités
individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les
connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses
responsabilités.

L'IIA propose des supports de formation qui permettent à l'auditeur de satisfaire aux exigences pour
acquérir et conserver la maîtrise requise par ces Normes. Ces supports comprennent les modalités
pratiques d'application, les guides pratiques et les exposés de principes associés, des séminaires et
des publications, ainsi que des liens vers d'autres ressources.

Responsabilités de l'auditeur relatives à la fraude

Quatre exigences liées aux fraudes sont spécifiquement mentionnées dans le plan de l'examen des
auditeurs internes certifiés (CIA). Il relève de la responsabilité de l'auditeur :
De remarquer les indices de fraude ;
De prévoir les étapes adéquates pour faire face à un risque important de fraude ;
D'utiliser les tests d'audit pour détecter les fraudes ;
De déterminer si une suspicion de fraude nécessite une enquête.

Ce chapitre traite du premier devoir, qui consiste à détecter les indices de fraude. On analysera le
reste des responsabilités dans la Partie 2, Section III, « Risques de fraude et contrôles ».
Être suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :
De connaître la définition de la fraude, telle qu'elle est donnée dans le glossaire de l'IIA ou dans
d'autres sources professionnelles ou légales faisant autorité ;
D'être en mesure d'identifier les types de fraude les plus susceptibles de se produire chez un client
d'audit précis et d'être capable d'évaluer le niveau de vulnérabilité du client (risque de fraude) ;
De connaître les symptômes de fraude (signaux d'alerte).

Les rubriques de ce chapitre couvrent ces indices de fraude, en commençant par la définition de la
fraude, suivi d'une description des divers types de fraude et, pour conclure, les symptômes de fraude
ou les signaux d'alerte de fraude.

Rubrique 1 : Définition et introduction de la fraude

(Niveau A)
Définition de la fraude
Le Glossaire des Normes définit la fraude comme « tout acte illégal caractérisé par la tromperie, la
dissimulation ou la violation de la confiance. Ces agissements ne sont pas subordonnés à l'usage de
menaces de violence ni au recours à la force physique. Les fraudes sont perpétrées par des parties et
des organisations dans le but d'obtenir de l'argent, des biens ou des services, d'échapper au paiement
ou à la perte de services ou de s'assurer des avantages personnels ou commerciaux ».

En 2008, l'IIA, en association avec l'AICPA (American Institute of Certified Public Accountants) et
l'ACFE (Association of Certified Fraud Examiners), a publié le guide « Managing the Business Risk
of Fraud, A Practical Guide ». Ce dernier définit la fraude comme « tout(e) acte ou omission
délibéré(e) visant à tromper un tiers et ayant pour résultat une perte subie par la victime et/ou un gain
obtenu par l'auteur ».

La définition juridique spécifique de la fraude peut varier en fonction de la juridiction.

Éléments particuliers à prendre en compte concernant la

détection et les enquêtes de fraude
La fraude est un domaine dans lequel les services d'experts extérieurs sont souvent utilisés. Dans le
cadre de ses missions, l'auditeur interne porte diverses responsabilités en matière de détection des
fraudes. Il doit :
Considérer les risques de fraude dans l'évaluation de la conception des contrôles et la
détermination des étapes d'audit à effectuer.
Posséder une connaissance suffisante de la fraude pour identifier les signaux d'alerte indiquant
qu'une fraude a pu être commise.
Rester vigilant quant aux opportunités de fraude, telles que les faiblesses du contrôle.
 Évaluer les indices de fraude et décider si une action complémentaire est nécessaire ou si une
enquête doit être recommandée.
Informer les autorités compétentes au sein de l'organisation s'il est déterminé qu'une fraude a été
commise, afin de recommander une enquête.

Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant
posséder une compréhension suffisante des contrôles internes pour identifier les opportunités de
fraude. Ils doivent également

comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir
comment empêcher la fraude.

Vous trouverez plus d'informations dans l'ouvrage « Managing the Business Risk of Fraud, A
Practical Guide », disponible sur le site Web de l'IIA.

Rubrique 2 : Décrire les types de fraude (Niveau A)

Il existe deux types généraux d'actes frauduleux : ceux qui permettent à un individu (qu'il soit interne
ou externe à l'organisation) de tirer un profit à la charge de l'organisation (comme le détournement de
fonds), et ceux commis au nom d'une organisation (comme le reporting financier frauduleux visant à
faire grimper artificiellement le prix des actions).

La fraude peut être classée de différentes manières : selon la personne – interne ou externe à
l'organisation – qui la commet, selon la manière dont elle est dissimulée (fraude sur les comptes ou
hors comptes) ou selon le cycle commercial pendant lequel elle est commise (ventes et
recouvrements, acquisitions et paiements, rémunération et personnel, stock et entreposage, acquisition
et remboursement de capital). Les auditeurs internes doivent choisir le système de classification le
plus approprié à leur organisation, puis se familiariser avec des scénarios de fraude communs à ces
classes.

Fraude faisant du tort à l'organisation

La fraude perpétrée au détriment de l'organisation est généralement réalisée au profit direct ou
indirect d'un employé, d'un individu extérieur ou d'une autre organisation. Les opérations de fraude
courantes qui nuisent à l'organisation comprennent notamment :

Le détournement d'actifs implique le vol d'argent ou d'actifs (fournitures, stock, équipement,

informations) appartenant à l'organisation. Bien souvent, l'auteur de la fraude essaie de dissimuler
le vol, généralement en modifiant les registres.

Le détournement de fonds a lieu lorsque de l'argent est volé à une organisation avant d'être
enregistré dans les livres comptables de l'organisation. Par exemple, un employé accepte le
 paiement d'un client, mais n'enregistre pas la vente.

Le décaissement frauduleux a lieu lorsqu'une personne fait payer à l'organisation des produits ou
services fictifs, des factures exagérées ou des factures pour des achats personnels. Par exemple,
un employé peut créer une société-écran, puis envoyer à son employeur une facture pour des
services inexistants. D'autres exemples incluent des demandes d'indemnité frauduleuses pour des
soins de santé (facturations pour des services non effectués, facturations séparées au lieu de
facturations groupées), demandes d'indemnité chômage par des personnes qui travaillent ou
demandes de pension ou de prestations de sécurité sociale pour des personnes décédées.

On parle de fraude par remboursement de frais lorsque l'employé est rémunéré pour des
dépenses fictives ou exagérées. Par exemple, un employé présente des notes de frais frauduleuses
pour se faire rembourser des déplacements personnels, des repas inexistants, des kilomètres
supplémentaires, etc.

La fraude sur salaire a lieu lorsque le fraudeur fait émettre un paiement par l'organisation en
établissant de fausses demandes de rémunération. Par exemple, un employé réclame le paiement
d'heures supplémentaires pour des heures non travaillées ou ajoute des employés fictifs à la liste
du personnel et perçoit les paies.

Un conflit d'intérêts a lieu lorsqu'un employé, un directeur ou un dirigeant d'une organisation a un

intérêt économique personnel gardé secret dans une transaction et que celui-ci compromet les
intérêts de l'organisation ou des actionnaires.

Un détournement est l'acte de détourner une transaction potentiellement lucrative pour le compte
d'un employé ou d'une personne extérieure.

D'autres exemples incluent :

Le fait d'accepter des pots-de-vin ou des commissions occultes.
La non-divulgation intentionnelle ou la fausse déclaration d'événements, transactions ou données.
L'absence intentionnelle de réaction dans des circonstances où l'entreprise ou la loi exige de
prendre des mesures.
L'utilisation non autorisée ou illégale d'informations confidentielles.
La manipulation non autorisée ou illégale des réseaux informatiques ou des systèmes
d'exploitation.

Les gens escroquent les organisations de très nombreuses manières, allant du simple vol au
détournement de fonds. Au bas de l'échelle, l'escroquerie d'une organisation n'implique rien de plus
que le fait de ramener chez soi des fournitures de bureau peu onéreuses. Si les éléments dérobés n'ont
pas plus de valeur que des stylos ou quelques feuilles de papier, il est probable que personne, pas
même l'auditeur interne, ne le remarquera. Le vol d'équipement onéreux à des fins d'utilisation ou de
vente sera remarqué et déclenchera une enquête plutôt qu'un audit.
C'est la « tromperie » mentionnée dans la définition du glossaire des Normes de l'IIA qui fait
généralement entrer la fraude dans le domaine de compétence de l'auditeur interne. L'auditeur
recherche des signaux d'alerte indiquant la possibilité qu'une personne (employé, responsable ou tiers
extérieur) détourne des actifs de l'organisation pour son utilisation personnelle ou pour les vendre,
tout en masquant la disparition de ces actifs.

Fraude qui profite à l'organisation

Le deuxième type de fraude est perpétré pour le compte de l'organisation. La fraude mise en œuvre
pour profiter à l'organisation produit généralement un bénéfice, par l'exploitation d'un avantage
injuste ou malhonnête, qui peut également nuire à un tiers extérieur. Les auteurs de telles fraudes
profitent généralement d'un avantage personnel indirect, comme le versement de primes de gestion ou
une promotion.

Parmi les opérations de fraude qui profitent à l'organisation figurent :

Fraude dans les états financiers : comme indiqué précédemment, cette fraude implique la
falsification des états financiers, souvent en surévaluant les actifs ou les recettes, ou en sous-
évaluant les dettes et les dépenses. Les fraudes de ce type sont généralement commises par des
directeurs d'organisation qui cherchent à améliorer l'image économique de leur organisation. Les
membres de la direction peuvent profiter directement de la fraude en vendant des parts, en
touchant des primes de rendement ou en utilisant de faux rapports pour dissimuler une autre
fraude.

Fausses déclarations : cette fraude implique la communication de fausses informations,

généralement à des personnes extérieures à l'organisation. Le plus souvent, cela implique des états
financiers frauduleux, bien que la falsification d'informations utilisées comme mesures de
performances puisse également avoir lieu.

Corruption : il s'agit de l'abus de pouvoir à des fins d’enrichissement personnel. La corruption

inclut les pots-de-vin et d'autres utilisations abusives du pouvoir. Il s'agit souvent d'une fraude
hors comptes, ce qui signifie que les états financiers ne présentent pas suffisamment d'éléments
pour prouver que le délit a été commis. Les employés corrompus n'ont pas à modifier
frauduleusement les états financiers pour dissimuler leurs crimes ; ils reçoivent simplement des
paiements en espèces sous la table. Dans la plupart des cas, ces crimes sont découverts sur des
suggestions ou des plaintes de tiers, souvent par le biais d'une ligne téléphonique anti-fraude. La
corruption implique souvent la fonction d'approvisionnement. Tout employé autorisé à dépenser
l'argent d'une organisation est susceptible d'être corrompu.

Pot-de-vin : c'est l'offre, le don, l'acceptation ou la sollicitation de tout élément de valeur pour
influencer un résultat. Des pots-de-vin peuvent être offerts à des directeurs ou des employés clés
tels que des acheteurs qui ont toute latitude pour attribuer des contrats à des fournisseurs. Dans le
cas typique, un acheteur accepte des pots-de-vin pour favoriser un fournisseur extérieur dans
 l'achat de biens ou de services. L'offre ou l'acceptation de tout élément de valeur peut aussi être
vue dans le sens inverse : celui de demander cet élément de valeur comme condition d'attribution
de contrats, ce qu'on appelle extorsion économique. Autre exemple : un responsable des prêts
corrompu qui demande un pot-de-vin en échange de l'approbation d'un prêt. Les personnes qui
offrent les pots-de-vin ont tendance à être des représentants mandatés ou des intermédiaires pour
des fournisseurs extérieurs.

Transaction avec des parties liées : il s'agit d'une situation dans laquelle une partie reçoit des
bénéfices qu'il serait impossible d'obtenir dans le cadre d'une transaction indépendante normale.

Évasion fiscale : il s'agit de la communication intentionnelle de fausses informations dans une

déclaration de revenus pour réduire le montant des impôts dus. Les prix de transfert malhonnêtes
et intentionnels (par exemple, l'évaluation des marchandises échangées entre organisations
apparentées) peuvent également être utilisés dans le cadre de l'évasion fiscale. En structurant
volontairement les techniques de tarification de manière inadéquate, la direction peut améliorer
les résultats d'exploitation au détriment d'une autre organisation et des systèmes d'imposition d'un
ou plusieurs pays.

D'autres exemples incluent :

Les contributions politiques illégales et les paiements à des responsables gouvernementaux ou à
leurs intermédiaires ;
La vente ou l'attribution d'actifs fictifs ou falsifiés ;
Les activités commerciales interdites, comme celles qui enfreignent les législations, règles,
règlements ou contrats gouvernementaux.

Parmi ces actes frauduleux, les contributions illégales, les pots-de-vin, etc. ont entraîné l'adoption du
projet de loi Foreign Corrupt Practices de 1977 aux États-Unis. Tout acte impliquant une tromperie
dans le but de profiter à l'organisation (et, dans le même temps, de faire du tort à une autre partie)
s'intègre dans ce contexte.

Listes de vérification en matière de fraude

La sensibilisation aux mécanismes de fraude est développée par le biais de l'évaluation périodique
par la direction et les auditeurs internes, la formation des employés, et des communications
fréquentes entre la direction et les employés. Certaines organisations développent une liste de
vérification des scénarios de fraude par catégorie comme outil d'évaluation des risques ; les
auditeurs internes peuvent utiliser cette liste comme support lors de la planification d'un audit.

Vous trouverez un exemple à l'illustration II-29 sur la page suivante.

Rubrique 3 : Énumérer les signaux d'alerte en

matière de fraude (Niveau A)
Situations indiquant une fraude potentielle (signaux
d'alerte)
La lutte contre la fraude commence par des programmes et contrôles anti-fraude efficaces, que la
direction devrait mettre en place pour prévenir et dissuader les fraudes. La déclaration SAS n° 99,
norme anti-fraude américaine publiée par l'Auditing Standards Board, contient une présentation des
types de contrôles et de programmes qu'un auditeur doit rechercher. Elle permet de comprendre les
caractéristiques de la fraude et donne divers exemples.

Comme les champignons vénéneux, la fraude prospère dans un type d'environnement particulier.
L'auditeur interne doit savoir reconnaître les conditions environnementales qui constituent un sol
fertile pour la fraude.

Cependant, il est important de se rappeler que ce sont les gens qui sont à l'origine des fraudes et non
les défaillances dans les systèmes, les politiques, les procédures ou les contrôles. Les gens peuvent
profiter de ces défaillances mais il s'agit toujours d'une activité humaine ; les discussions entourant la
détection de fraude se rapportent donc à la compréhension des motivations et rationalisations des
personnes.

Illustration II-29 : Liste de vérification en matière de fraude

Sawyer propose la liste d'exemples suivants de situations qui pourraient indiquer une fraude :
Des contrôles internes peu structurés ;
Une philosophie inappropriée de la direction ;
Une position financière risquée ;
La faible motivation des employés ;
La confusion déontologique ;
Le manque de vérification sur les nouvelles embauches ;
Le manque de programmes de soutien des employés ;
Les conditions générales, comme un taux de rotation élevé des employés, des fusions en attente,
une confiance excessive envers des employés clés, etc.

Chacune de ces situations peut suggérer des tentations précises. Une « position financière risquée »
constitue un motif en cas de fraude commise pour le compte de l'organisation à l'encontre des prêteurs
et des investisseurs, par exemple. Le « manque de vérification sur les nouvelles embauches » suggère
qu'il est nécessaire de mettre en place des étapes d'embauche visant à identifier les employés ayant
un passé suspect, mais aussi les motifs et les opportunités (il est évident que cela suggère également
des recommandations à proposer à la direction concernant les pratiques liées aux ressources
humaines). La « faible motivation des employés » implique l'éventualité d'une fraude commise à
l'encontre de l'entreprise par des employés enclins au vol et particulièrement désenchantés par leur
employeur.

Il existe un ensemble de trois conditions qui, lorsqu'elles sont présentes en proportions adéquates,
suggèrent l'éventualité d'une fraude. Il s'agit de l'opportunité, du motif et de la rationalisation, qui sont
décrits comme suit.

Opportunité
Un processus peut être convenablement conçu pour des conditions données. Toutefois, une fenêtre d'opportunité peut survenir et
produire un dysfonctionnement ou des circonstances menant à l'échec du contrôle.
Une opportunité de fraude peut exister en raison d'une mauvaise conception du contrôle ou d'un manque de contrôle. Par exemple,
un système peut être développé pour protéger, en apparence, les actifs, sans toutefois être doté d'un contrôle important. Quiconque
est conscient de cet écart peut en profiter sans faire beaucoup d'efforts.
Il est possible que des personnes occupant des positions d'autorité puissent créer des occasions de contourner les contrôles
existants, car des subordonnés ou des contrôles faibles leur permettent de contourner les règles.

Motif (également appelé incitation ou pression)

Même si les gens peuvent justifier leurs actes, ils doivent avoir un motif pour se comporter ainsi.
Le pouvoir est un facteur de motivation. Le pouvoir peut se résumer à gagner l'estime de sa famille ou de ses collègues. Dans le
cas des fraudes informatiques, la plupart du temps, le pirate veut démontrer son pouvoir et ses compétences plutôt que de causer
un préjudice intentionnel.
Un autre stimulant est la satisfaction d'un désir, comme la cupidité, ou d'une dépendance.
Le troisième stimulant est la pression, issue de contraintes physiques ou imposée par des parties extérieures.

Rationalisation
La plupart des personnes se considèrent comme des gens bien, même s'il leur arrive parfois de mal agir. Pour se convaincre
malgré tout qu'elles ne font rien de mal, elles peuvent justifier ou nier leurs actes. Par exemple, ces personnes peuvent considérer
qu'elles étaient en droit de posséder l'élément dérobé ou que, si les cadres enfreignent les règles, il est acceptable que d'autres
individus fassent de même.
Certaines personnes feront des choses définies comme inacceptables par l'organisation et qui sont pourtant monnaie courante dans
leur culture ou qui étaient acceptées par leurs précédents employeurs. En conséquence, ces personnes ne respectent pas les règles
qui n'ont aucun sens à leurs yeux.
Certaines personnes peuvent connaître des difficultés financières périodiques au cours de leur vie, avoir succombé à une
dépendance coûteuse ou subir d'autres pressions. C'est pourquoi elles se justifient en disant qu'elles ont juste emprunté l'argent et
que, lorsque leur vie s'améliorera, elles le rembourseront.
D'autres peuvent penser qu'il n'y a rien de mal à voler une entreprise, dépersonnalisant ainsi l'acte.

Bien que les auditeurs internes puissent ne pas être capables de connaître le motif exact ou la
rationalisation de la fraude, ils sont censés en savoir suffisamment sur les contrôles internes pour
identifier les opportunités de fraude. Les auditeurs devraient également comprendre les mécanismes
de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment les empêcher. Il
convient d'examiner les informations mises à disposition par l'IIA et d'autres associations ou
organisations professionnelles pour s'assurer que les connaissances de l'auditeur sont à jour.

Signaux d'alerte par catégories

Les signaux d'alerte peuvent se rapporter un moment, une fréquence, un lieu, un montant ou un type de
personnalité. Les signaux d'alerte incluent la neutralisation des contrôles par la direction ou des
membres du comité, les activités de gestion irrégulières ou mal expliquées, le dépassement régulier
des buts/objectifs quelles que soient les conditions commerciales et/ou la concurrence, la
prépondérance de transactions ou d'entrées de journal non programmées, les problèmes ou retards
pour fournir les informations demandées, ainsi que les changements importants ou inhabituels de
clients ou de fournisseurs. Les signaux d'alerte peuvent également inclure des transactions pas
suffisamment justifiées ou pas approuvées de manière normale, des employés ou des membres de la
direction qui remettent des chèques en main propre, des plaintes de clients au sujet de livraisons, des
contrôles d'accès informatique insuffisants tels que de mauvais contrôles par mot de passe.

Les fraudeurs présentent souvent des comportements ou des caractéristiques qui peuvent servir
d'avertissements ou de signaux d'alerte. Les signaux d'alerte personnels incluent le fait de vivre au-
dessus de ses moyens, de faire part de son insatisfaction au travail à ses collègues, une collaboration
anormalement étroite avec des fournisseurs, de lourdes pertes financières personnelles, une
dépendance à la drogue, à l'alcool ou au jeu, un changement dans la situation personnelle et le
développement d'intérêts extérieurs à l'entreprise. En outre, il existe des fraudeurs qui rationalisent
constamment des performances médiocres, qui perçoivent le fait de contourner le système comme un
défi intellectuel, qui fournissent des communications et des rapports peu fiables, et qui prennent
rarement des vacances ou des arrêts de travail (et qui, lorsqu'ils sont absents, ne sont pas remplacés à
leur poste).

Ces signaux d'alerte indiquent souvent une conduite inappropriée, et les auditeurs internes ainsi que
la direction de l'organisation doivent être formés pour comprendre et identifier les signes
d'avertissement potentiels d'une conduite frauduleuse. Bien qu'aucun de ces signes ne signifie qu'un
employé commette véritablement une fraude, une combinaison de ces facteurs peut indiquer la
nécessité de conduire des enquêtes et de renforcer l'attention de l'audit.

Dans Effective Fraud Detection and Prevention Techniques Practice Set (Techniques efficaces de
détection et de prévention des fraudes), Glover et Flag suggèrent différents moyens de classer les
signaux d'alerte par catégories et répertorient plusieurs exemples spécifiques. Voici les types de
signaux d'alerte généralement rencontrés :
Signaux d'alerte relatifs au cycle d'audit : ils se caractérisent par la partie du cycle d'audit dans
laquelle ils sont observés.
Signaux d'alerte relatifs à l'environnement : ils se caractérisent par l'environnement dans lequel
ils se produisent.
Signaux d'alerte spécifiques au secteur industriel : la nature de certains secteurs industriels
crée des circonstances favorables pour la réalisation de certains types d'activités frauduleuses qui
ont leurs propres signaux d'alerte.
Signaux d'alerte relatifs aux auteurs de fraudes : ils sont liés aux personnes qui commettent la
fraude, qu'il s'agisse d'employés ou de directeurs.

Nous allons étudier chacun de ces types, puis nous examinerons brièvement les signaux d'alerte
associés aux états financiers, bien que l'audit des états financiers incombe généralement à un auditeur
externe plutôt qu'à un auditeur interne.

Signaux d'alerte relatifs au cycle d'audit

L'audit interne analyse les activités dans quatre domaines ou cycles d'ordre général :
Les ventes, qui incluent l'enregistrement des créances et la réception des paiements ;
Les dépenses, qui incluent les dettes associées au coût d'exploitation de l'entreprise ;
La production, qui est axée sur les coûts spécifiquement associés aux biens ou services produits
ou vendus ;
Le financement, qui inclut à la fois les dettes contractées et remboursées et les actions émises et
rachetées.

L'illustration II-30 sur la page suivante présente certains signaux d'alerte associés à chacun de ces
cycles et décrits par Glover, Flag et d'autres auteurs. Ces listes de signaux d'alerte ne sont nullement
exhaustives.

Signaux d'alerte relatifs à l'environnement

L'environnement peut être considéré à l'échelle globale ou locale. L'échelle globale se rapporte à des
conditions qui affectent tout un secteur industriel, un pays ou une région mondiale, tandis que l'échelle
locale se rapporte à des organisations spécifiques. Parmi les exemples de signaux d'alerte à l'échelle
globale figurent :
Une concurrence rude dans laquelle certains acteurs d'entreprise peuvent être gênés par des
pratiques commerciales déloyales ou des ralentissements économiques qui font pression sur les
entreprises et les poussent à licencier, ce qui exerce des pressions économiques sur les personnes.
Ces conditions peuvent être un motif de fraude.
Des secteurs récemment déréglementés ou mal réglementés, dans lesquels l'absence ou le laxisme
des contrôles crée des opportunités de fraude. Comme indiqué ci-dessous, certains types de
secteurs industriels offrent intrinsèquement des opportunités de fraude : notamment par
l'importance et la facilité d'accès à l'argent dans l'entreprise ou par la complexité des transactions
et l'opacité qui en résulte.
Une tendance culturelle ou sectorielle à la malhonnêteté et au mépris des lois et règlements (p. ex.,
une longue histoire de pratiques de corruption chez certains types d'entrepreneurs travaillant pour
le, un phénomène d'acceptation des pots-de-vin par des fonctionnaires de l'État). Les fraudeurs
peuvent invoquer des antécédents ou un climat de consentement comme rationalisation de la
fraude.

Les mêmes types de signaux d'alerte sont également visibles à l'échelle locale ou à l'échelle de
l'organisation :

Un besoin financier peut être créé par des événements tels que la perte d'un contrat lucratif, des
pressions pour améliorer les performances financières afin d'obtenir un prêt ou avant d'émettre
des actions, ou un échec en recherche et développement qui menace la santé du portefeuille de
produits de l'organisation.
Des réorganisations peuvent être synonymes de perturbations dans les politiques de contrôle, ce
qui favorise la fraude. L'absence de processus de sélection peut conduire à l'embauche de
personnes ayant un motif pour commettre une fraude. L'incapacité des directeurs et des
 superviseurs à mettre en œuvre, appliquer et surveiller des politiques de contrôle peut créer une
culture de l'opportunité.
L'incapacité de former tout le personnel au code déontologique de l'organisation peut contribuer à
une culture qui rationalise facilement les actes de fraude, petits et grands, comme le vol, la
manipulation des procédures d'appel d'offres, les commissions occultes et les conflits d'intérêt.

Illustration II-30 : Signaux d'alerte relatifs au cycle d'audit

Deux types particuliers d'environnements locaux offrent des opportunités de fraude spécifiques et
posent des difficultés pour l'audit interne : les organisations internationales et les organisations qui
reposent fortement sur la technologie.

Organisations internationales
Les audits internes d'entreprises qui fonctionnent au niveau international peuvent révéler plusieurs
types de signaux d'alerte qui résultent de la difficulté à conserver des contrôles dans une organisation
décentralisée et multiculturelle. La corruption peut se présenter dans les deux sens : les employés
peuvent recevoir des commissions occultes et de lourdes dépenses mal décrites peuvent dissimuler
des pots-de-vin à des agents étrangers. Les directeurs peuvent porter des salariés fictifs sur la masse
salariale. Des dossiers peuvent être perdus. Des différences dans les taux de change peuvent être
exploitées. Des myriades de transferts de fonds internationaux légitimes peuvent dissimuler des
transferts bancaires frauduleux vers des comptes numérotés.

Organisations dépendant de la technologie informatique

Les entreprises qui reposent fortement sur la technologie informatique font face à des difficultés de
sécurité des contrôles. Le système peut être utilisé pour voler des actifs, notamment des données
pouvant faciliter l'identification du vol et la dissimulation de la fraude. L'accès au système peut
permettre de forcer des contrôles et de falsifier des dossiers. La propriété intellectuelle peut être
facilement accessible dans des formats hautement portables. Les auditeurs internes doivent être
attentifs aux signaux d'alerte susceptibles de signaler des contrôles de sécurité inefficaces : p. ex.,
une gestion médiocre du réseau qui ne parvient pas à définir et à appliquer des niveaux d'accès
appropriés, l'absence de rapports indiquant un accès non autorisé au système, l'utilisation de mots de
passe par des utilisateurs non autorisés, l'incapacité des utilisateurs à sécuriser leur propre
ordinateur au moyen de mots de passe ou même le contrôle physique d'outils tels que les ordinateurs
personnels, l'absence de pare-feu pour la détection des intrus, les utilisateurs invitant des intrus dans
un système d'entreprise par une utilisation négligente d'Internet. Les auditeurs doivent également
prendre note des signaux d'alerte suivants : une succession de perturbations du système ou de pertes
de données, des méthodes inhabituelles d'utilisation du système (p. ex., activités de +traitement et
transactions dans une zone du système, à une heure inattendue), des personnes qui travaillent au-delà
ou en dehors de leurs heures normales afin de pouvoir garder accès au système ou encore des
ordinateurs personnels signalés comme volés.

Signaux d'alerte spécifiques au secteur industriel

Il a été estimé que quatre secteurs industriels représentaient à eux seuls plus de 70 % de la fraude en
col blanc : les services financiers, l'industrie manufacturière, l'assurance et l'énergie.

Le secteur des services financiers – qui inclut les banques, les établissements d'épargne et de prêts,
les sociétés émettrices de carte de crédit, les entreprises d'investissement et les établissements
financiers – réunit au moins deux des facteurs de fraude : le motif et l'opportunité. Dans des activités
hautement concurrentielles, les personnes et les entreprises peuvent être incitées à rapporter
incorrectement des ventes et des bénéfices. Il y a également l'accès à l'argent, via des détournements
systématiques des comptes clients, l'interception des paiements des clients, l'émission de prêts à des
entités fictives, etc., ainsi que des systèmes de transaction électroniques compliqués qui peuvent être
utilisés pour dissimuler les infractions.

De la même façon, le secteur de l'assurance offre un accès aisé à l'argent via des demandes
d'indemnité ou des dédommagements frauduleux à des clients inexistants ou une mauvaise évaluation
des biens assurés.
Les opportunités abondent également dans les entreprises industrielles, où des processus
d'acquisition compliqués et une supervision laxiste ont généré des écarts et des dépassements de
coûts très fréquents. Les entreprises technologiques à peu d'actionnaires offrent des opportunités de
fraude à la poignée de décideurs qui connaissent et comprennent le produit et l'activité.

Dans le secteur de l'énergie, une structure décentralisée, souvent internationale, laisse le champ libre
pour couvrir les activités frauduleuses et la corruption. Il peut être difficile d'évaluer les actifs ou de
suivre les bénéfices. Les clients ne sont peut-être pas en mesure de vérifier la nature et le volume de
ce qu'ils reçoivent vraiment.

Signaux d'alerte relatifs aux auteurs de fraudes

Les auteurs de fraudes peuvent être des organisations ou des personnes. La fraude commise par des
organisations entières fait l'objet d'une large couverture médiatique et peut avoir de lourds impacts
économiques, réglementaires et sociaux. Les signaux d'alerte relatifs à l'environnement précédemment
évoqués abordent un bon nombre des indicateurs du risque de fraude. En outre, comme Tracy Coenen
l'a rapporté dans le Wisconsin Law Journal, il y a des coûts économiques indirects (p. ex., une perte
de la productivité de gestion, des enquêtes et des poursuites judiciaires, le développement et la mise
en œuvre de nouveaux contrôles), mais également des coûts non économiques (p. ex., des
conséquences négatives sur le moral des employés).

Les signaux d'alerte relatifs aux auteurs de fraudes concernent les trois conditions de la fraude :

Opportunité. Les employés qui refusent de prendre des pauses, des vacances ou d'avoir des
promotions ; les employés qui acceptent volontairement certaines tâches qui leur permettent
d'accéder à l'argent, aux systèmes d'information, aux dossiers ou aux actifs ; une tendance des
employés ou des directeurs à cultiver des relations étroites avec certains clients ; une atmosphère
de crise continuelle ; l'incapacité à résoudre ou à enquêter sur des affaires non résolues ; le
recours fréquent à la manipulation d'un processus par la direction ; un responsable à un poste
particulier depuis un nombre excessif d'années.

Motif. Des possessions ou un style de vie qui ne concordent pas avec les revenus familiaux, la
vantardise au sujet des possessions, un niveau d'endettement élevé ou une succession d'emprunts,
des retenues sur la paye ou des appels au travail de la part de créanciers, la pression subie pour
atteindre les objectifs professionnels ou familiaux, une forte ambition de gagner plus d'argent, un
investissement important dans des systèmes lucratifs (p. ex., Bourse, biens immobiliers).

Rationalisation. Un piètre sens moral, des antécédents de violation des règles ou d'abus de
certaines situations, l'attribution des irrégularités à des mauvaises habitudes ou à des points
faibles personnels anodins (p. ex., retards dans les tâches administratives dus à une aversion
personnelle à ce genre de tâches), des griefs contre l'employeur et les superviseurs.
Les auditeurs doivent également être attentifs aux signaux de comportement tels qu'une succession de
plaintes contre un employé, une baisse du moral des employés ou une hausse de l'absentéisme, des
démissions soudaines ou des réponses évasives aux questions posées, ainsi qu'un manque de
coopération ou une attitude hostile pendant l'audit.

D'autres signaux d'alerte peuvent indiquer les techniques utilisées pour commettre la fraude, à
savoir :
Des écarts inexpliqués (p. ex., des dépenses anormalement élevées en comparaison avec les
périodes précédentes) ;
Des pénuries d'argent ou de stock inhabituelles ;
Des documents manquants ou modifiés ;
Des éléments de facturation ne correspondant pas au code de taxe ou à la fonction commerciale ;
Des contournements des processus d'approbation (p. ex., division des commandes pour rester en
dessous des seuils pour approbation) ;
Des fournisseurs avec des noms génériques ou des adresses de boîte postale seulement ;
Des transactions manuelles dans un environnement habituellement caractérisé par des transactions
automatisées ;
Des montants égaux dans un environnement habituellement caractérisé par des montants
irréguliers ;
Des paiements en double ;
Une augmentation soudaine de l'activité « par intermédiaire » (à l'aide d'un employé intermédiaire
fictif pour détourner l'argent ou les actifs de l'entreprise).

Fraude commise par la direction

L'ACFE, Association of Certified Fraud Examiners, a remarqué que la taille d'une activité
frauduleuse est en rapport avec la position du fraudeur. Les pertes imputables à la fraude commise
par des propriétaires ou des dirigeants étaient près de cinq fois supérieures à celles causées par des
directeurs, tandis que les pertes causées par des directeurs étaient 13 fois plus coûteuses que les
fraudes commises par des employés.

Les directeurs qui commettent des fraudes contre leur entreprise (à distinguer de ceux qui commettent
des fraudes au nom de leur entreprise, tels que les directeurs qui autorisent et couvrent la violation de
la législation environnementale et du droit du travail) présentent de nombreux signaux d'alerte
identiques à ceux de leurs employés. Ils peuvent avoir des besoins supplémentaires ayant pour cause
les attentes de l'entreprise. Ainsi, un directeur commercial peut falsifier des registres de vente afin
d'atteindre les objectifs trimestriels et rester en course pour une promotion. Le responsable d'un
service peut rapporter incorrectement des performances pour éviter des licenciements. Les directeurs
peuvent également avoir bien plus d'opportunités de commettre des fraudes. Par exemple, un
directeur peut falsifier des registres de dépenses et trafiquer des primes en falsifiant des données sur
les rendements.

Les directeurs qui commettent des fraudes sont souvent de mauvais directeurs. Ils ont du retard dans
les rapports, ils font du favoritisme avec les employés et exigent leur loyauté sans leur en témoigner
en retour, ni même à l'entreprise. Certains mauvais directeurs sont simplement de mauvais directeurs.
Les auditeurs internes, toutefois, devraient considérer ces domaines de la direction comme présentant
des risques élevés de fraude et être attentifs à d'autres signaux d'alerte.

Signaux d'alerte relatifs aux états financiers

Bien que les auditeurs externes soient chargés d'analyser les états financiers et d'identifier la fraude
dans les états financiers, les auditeurs internes peuvent être invités à faire des consultations lors de la
préparation de l'état financier afin d'éviter des problèmes au cours de l'audit externe. Par conséquent,
l'auditeur interne peut se trouver dans une bonne position pour détecter des irrégularités avant
qu'elles ne deviennent coûteuses pour l'organisation et embarrassantes sur le plan public.

Voici quelques signaux d'alerte susceptibles d'être associés aux états financiers.

Revenus fictifs. Croissance inhabituelle des résultats ou de la rentabilité, croissance des

bénéfices malgré des flux de trésorerie négatifs récurrents dans certaines parties de l'organisation,
transactions très complexes (comme celles utilisées par l'entreprise Enron et au sujet desquelles
les membres du conseil et de nombreux experts financiers disaient qu'ils ne pouvaient pas suivre),
transactions ayant lieu juste avant la fin de la période comptable (une de ces pratiques est appelée
« saturation des canaux » : par cette pratique, l'entreprise crée des ventes par des incitations
spéciales, ce qui crée des ventes dans une période au détriment des ventes dans les périodes
suivantes), ventes ou résultats attribués à des entreprises ou des secteurs inconnus, absence de
documentation pour les ventes enregistrées.

Valorisation incorrecte des actifs. Modifications apportées aux inventaires des stocks, comptes
de ventes fictifs, dettes non reconnues et non recouvrées, actifs fictifs avalisés par des documents
fictifs (p. ex., baux falsifiés).

Dettes dissimulées. Factures fournisseurs non enregistrées, appeler une dépense un actif (qui peut
être amorti), dettes assumées par des sociétés écrans (comptabilité hors bilan), recours à des
estimations subjectives, dépenses ou acquisitions exceptionnellement basses, niveau de perte (p.
ex., par des retours ou des garanties) inférieur à celui d'organisations similaires, erreurs qui
réduisent les impôts à payer.

Communications incorrectes. Mauvaise communication des normes sur la divulgation, conseils

d'administration inefficaces.

En général, une concentration importante de l'autorité chez une personne ou dans une zone
(généralement associée à des contrôles médiocres), des propos évasifs, des antécédents de
malhonnêteté ou de non-respect des lois et règlements, des possibilités d'importantes rétributions
financières pour certaines personnes : voici autant de possibilités de signaux d'alerte pour la fraude
dans les états financiers.
Étapes suivantes
Vous avez terminé la Partie 1, Section II du CIA Learning System® de l'IIA. À présent, vérifiez
votre compréhension en effectuant le ou les tests en ligne spécifiques à cette section pour vous
aider à identifier tout contenu mal assimilé.

Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces
informations, vous pouvez passer à l'étude de la Section III.