Chapitre 3 

: La gestion des risques

par l’approche « contrôle interne
stricto sensu »
suite
III) Caractéristique du contrôle interne: la transversalité:

Le commercial est un service, RH est un service,…, mais

le CI ne peut jamais être érigé en un service car c’est un
ensemble de dispositifs concernant toutes les fonctions
et toutes les activités de l’Entreprise.

Le CI est transversal, c’est-à-dire, il s’adresse à tous les

responsables au sein de l’entreprise.

Ainsi, chaque service doit avoir son CI qui l’accompagne

dans la réalisation de ses objectifs.
En effet, chaque responsable* est doté de son dispositif de CI lui
permettant de :

- Maîtriser son activité (la réaliser dans le respect des contraintes de délai
et de budget)

- Protéger les ressources en sa disposition

- Atteindre les objectifs pré fixés

C’est-à-dire lui permettant de réaliser sa fonction avec le minimum de

risque.

* Au sens du CI, un responsable est toute personne dotée de ressources

diverses (personnel, équipements, …) dans le but de réaliser une fonction
et d’atteindre un objectif, et ce indépendamment du grade ou du titre.
IV) La gestion des risques selon le modèle contrôle interne:

il s’agit des 5 étapes suivantes:

a. Arrêter la liste des principaux cycles constituant l’activité de

l’entreprise;
Les plus cités sont:
°salaire/paie,
°achats/fournisseurs,
°stock/magasin,
°production,
°ventes/clients,
°TVA déclaration fiscales,
°comptabilité
°…etc.
b. Identifier pour chaque cycle la liste des risques
susceptibles d’entraver la réalisation des objectifs
préfixés.
Il s’agit d’identifier les risques inhérents à chaque
cycle.

Exemple: pour le cycle stock/magasin, on peut citer:

- Le risque rupture du stock
- Le risque stock trop important
- Le risque date de validité
- Le risque commande reçue non conforme
c. Élaborer pour chaque cycle une procédure à respecter
par le responsable du dit cycle;

cette procédure comporte:

° une description détaillée des tâches à effectuer
°une série de points de contrôle censés empêcher
l’avènement des risques.

Exemple de point de contrôle: pour le risque « commande

non conforme », le point de contrôle consiste à
demander au magasinier de comparer le bon de
commande au bon de livraison avant de signer ce
dernier.
d. Compiler les différentes procédure dans un seul
document appelé manuel des procédures.
C’est un document regroupant toute les procédures

e. Réviser périodiquement ce manuel à la lumière

des résultats des mission d’audit interne. L’objet est
double:

° vérifier l’efficacité des points de contrôle existants

°insérer de nouveaux point de contrôle si de
nouveaux risques ont été identifiés
 Chapitre 4:
la gestion des risques par le
référentiel COSO
De nombreux référentiels dans le domaine de la garantie de la pérennité des
entreprises ont vu le jour, mais le plus célèbre reste le référentiel COSO
(Committee Of Sponsoring Organisation);ce dernier donne un cadre intégré du
contrôle interne (Internal Control – Integrated Framework).

En 1985, 5 associations professionnelles aux USA se sont convenues à la mise en

place d’une association appelée « Tradway Commission ». Il s’agit de:

- The Americain Accounting Association (AAA)

-The Americain Institute of Certified Public Accountants (AICPA)
-Financial Executive International (FEI)
-The Institute of Internal Auditors (IIA)
-The National Association of Accountants, devenue The Institute of Management
Accountants (IMA)
Pour garantir l’objectivité de ses
recommandations, cette « Tradway
commission » est indépendante des associations
membres et se consacre à la réflexion sur la
lutte contre les fraudes financières.
De sa création à nos jours, 3 référentiels COSO ont
été publiés:
- COSO.
- Entreprise Risk Management (ERM) connu sous
l’appellation COSO 2.
- COSO 2013.
 I) COSO (ou la 1ère version de COSO)
En 1992, la tradway commission a publié la 1ère version dénommée COSO comme
étant un référentiel à destination de toute organisation désirant mettre en place
le contrôle interne

1) Les principes :
Le référentiel COSO est basé sur les principes suivants :

- Le contrôle interne est un process : c’est un moyen, pas une fin ;

il ne se limite pas à un recueil de procédures (donc COSO considère le
contrôle interne une condition nécessaire mais pas suffisante)
mais nécessite l’implication de toutes les parties prenantes de l’organisation.

- Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue)

d’un management et d’une direction respectueuse des lois.

- Le contrôle interne est adapté à la réalisation effective des objectifs

2) Le cadre référentiel : le cube COSO
Le référentiel COSO suggère une vision en trois dimensions  du management
des risques, à savoir, les concepts d'objectifs, de composants et de structure :

2-1) Les trois objectifs :

Le référentiel COSO définit le contrôle interne comme un processus mis en
œuvre par les dirigeants à tous les niveaux de l’entreprise et destiné à fournir
une assurance raisonnable quant à la réalisation des trois objectifs suivants :

- la réalisation et l'optimisation des opérations,

- la fiabilité des informations financières,

- la conformité aux lois et règlements

Il est à signaler que ces objectifs correspondent en grande partie aux

préoccupations des investisseurs.
2-2) Les cinq composants :

Le contrôle interne, tel que stipulé par COSO, s’articule autour de cinq
composants. Ces composants procurent un cadre pour décrire et analyser le
contrôle interne mis en place dans une organisation. Il s’agit de :

1- l'environnement de contrôle, qui correspond aux valeurs diffusées dans

l'entreprise qui doivent être favorables au contrôle;

2- l'évaluation des risques à travers leur importance et fréquence ;

3- les activités de contrôle, définies comme les règles et procédures mises en

œuvre pour traiter les risques, du moment que le COSO impose la
matérialisation factuelle des contrôles ;

4- l'information et la communication, qu'il faut optimiser ;

5- la supervision, c'est-à-dire le contrôle du « contrôle interne ».

2-3) Les structures :

Après les objectifs et les composants, COSO

impose de distinguer les structures de
l’entreprise (entités, fonctions, ...).
La combinaison des trois objectifs, des cinq
composants et des structures de l'entreprise,
vus comme trois axes d'analyse distincts,
constitue ce qui est appelé le cube COSO.
A titre d’illustration, ce cube permet de clarifier le process du
management des risques selon le référentiel COSO.
Ainsi, pour chaque niveau de l’organisation (entité, filiale, direction, unité
opérationnelle, etc.), on a les 5 composantes du contrôle interne
permettant d’atteindre les 3 objectifs du COSO.