Académique Documents
Professionnel Documents
Culture Documents
www.apm.ci
Planning de la journée 1 Contrôle Interne – Gestion des risques de fraudes et corruption : Approche et Outils
Activités Description
08h30 - 09h30 Démarrage du séminaire de formation
Rappel sur la notion de contrôle interne pour mieux • Définition du contrôle interne
comprendre la gestion des risques • Objectifs du contrôle interne
• Référentiel COSO
• Les trois lignes de défense du contrôle interne
Activités Description
08h30 - 09h00 Démarrage du séminaire de formation
• Rappel de la journée 1
Introduction
• Compléments d’informations/Eclaircissements
09h00 – 10h30 Section 3
?
Contrôle Interne
Gestions de risques et fraudes
Tour de table
Africa Project Management || 2022
6
1.3) Objectifs de la formation
Un système« de
Lacontrôle
fraude estenglobe
interne un acte volontaire
les politiques, ou une
processus, omission
tâches, volontaire,
comportements et autres ayant
aspects d’une
pourentreprise
objet quidecombinés
tromper: un ou des tiers. Il en résulte une perte pour les
victimes et/ou un gain pour le fraudeur » IFACI
• Facilitent l’efficacité et l’efficience des opérations ;
• Aident à assurer la conformité aux lois et règlements ainsi qu’aux politiques internes relatives à la
conduite des affaires
ils concernent l’efficacité et l’efficience des opérations. Il s’agit notamment des objectifs de performance opérationnelle
et financière (1) , ainsi que de sauvegarde des actifs( 2) :
o Ils peuvent concerner l’amélioration des résultats financiers ; de la productivité ; de la qualité ; des pratiques
environnementales , de la satisfaction des clients et des collaborateurs .
Exemple 1 : Une entité a but lucratif : mettre l’accent sur le chiffre d’affaires , la rentabilité , le
rendement de ses actifs et la liquidité
Exemple 2 : Une entité à but non lucratif : accroitre les contributions des donateurs
Exemple 3 : une administration publique : focalisation sur la réalisation des missions fixés par l’organe
de gouvernance
Définition claire et approprié des objectifs opérationnels : Risque de mauvaise allocation des ressources
Exemple : Une entité peut fixer des objectifs liés à la prévention de toutes sortes d’actifs ainsi qu’à la
détection et au signalement de ces pertes dans le délai approprié
Africa Project Management || 2022
14
2.2) Objectifs du Contrôle interne
Objectifs liés au reporting
Ils concernent le reporting interne et externe, financier et extra-financier. Ils peuvent viser la fiabilité, le respect des
délais, la transparence ou d’autres exigences des régulateurs, des organismes de normalisation reconnus ou des
instructions internes ;
FINANCIER EXTRA-FINANCIER CARACTERISTIQUES
• Destinés à répondre aux exigences des
parties prenantes externes et aux
EXTERNE
Exemple Exemple :
obligations règlementaires
Etats financiers annuels , Rapport sur le contrôle interne
• Etablir conformément aux normes
Intermédiaires Rapport sur le développement durable externes
Résultats publiés • Parfois exigés par les régulateurs ou par
les clauses contractuelles
INTERNE
Exemple Exemple :
• Utilisés dans le cadre de gestion de
Rapport financier des divisions Les collaborateurs l’activité et de la prise de décisions
Analyse de rentabilité client L’utilisation des actifs • Etablies par le management et le conseil
Calculs des covenants bancaires Mesure de la satisfaction des clients
Mesure en matière de santé sécurité
Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règlements en vigueur fixent des normes de
comportement que la société intègre à ses objectifs de conformité. Compte tenu du grand nombre de domaines
existants (droit des sociétés, droit commercial, environnement, social , fiscal, etc.), il est nécessaire que la société dispose
d’une organisation lui permettant de :
• être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille juridique) ;
• transcrire ces règles dans ses procédures internes;
• informer et former les collaborateurs sur celles des règles qui les concernent.
Circulaire 3 de la BCEAO
Les différents accords de BALE 1,2 ,3 pour les banques avec ses 3 piliers
Le référentiel COSO
Africa Project Management || 2022 17
2.3) Référentiels du Contrôle Interne: Focus sur le COSO
Historique du COSO
• Publications :
- Edition en 1992 de l’ensemble des travaux sur le contrôle interne dans un
ouvrage : « Internal Control – integrated Framework » (Mise à jour 2013 )
- 2004, édition de l’ouvrage : « Enterprise Risk Management – Integrated
Framework » . (mise à jour 2017 )
Environnement de contrôle
2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du
dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les
responsabilités.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents.
5. L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne
L’IFACI propose un outil appelé carte d’identité du processus, qui permet d’identifier les risques de
façon méthodique à travers les principales rubriques que sont:
Pour chaque, rubrique définir les objectifs et se poser la question suivante: quel évènement peut
empêcher l’atteinte de l’objectif?
Exemple:
6. L’organisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification et l’évaluation des risques
susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur
analyse de façon à déterminer comment ils doivent être gérés.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
• Les activités de contrôle sont le contrôle de la mise en application des normes et des procédures définies par la
direction et le management dans la dynamique de la maîtrise des risques.
• Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers stades des processus métier. (Ex)
• Elles peuvent également être mises en œuvre par l’intermédiaire des systèmes d’information.
NB: Prendre compte la séparation des taches dans la sélection et lors du développement des activités du
contrôle
Activités de contrôle
10. L’organisation sélectionne et développe des activités de contrôle qui vise à maitriser et à ramener à un niveau acceptable les risques
susceptibles d’affecter la réalisation des objectifs .
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs , et de procédures qui permettent
de mettre en œuvre ces règles
• L’information doit être pertinente, précise, exacte, en temps voulu et diffusée au bon destinataire. Sa circulation doit
être multidirectionnelle (descendante, ascendante et transversale), et intégrer les informations externes.
• La communication est l’outil indispensable pour la transmission de l’information – notamment les directives de la
Direction Générale – et ses caractéristiques essentielles sont l’efficacité et la clarté.
• La communication permet aux collaborateurs de comprendre les responsabilités liés au contrôle interne et leur
importance pour la réalisation des objectifs .
• Cette composante a pour objectif de faciliter la communication top-down et bottom-up et celle avec les tiers
Information et Communication
13. L’organisation obtient , produit et utilise des informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne .
14. L’organisation communique en interne les informations nécessaires au bon fonctionnement du contrôle interne (objectifs et
responsabilités).
15. L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du contrôle interne.
• L’organisation procède à des évaluations continues ou ponctuelles, ou à une combinaison de ces deux
formes d’évaluation pour s’assurer que chacune des cinq composantes du contrôle interne et les principes qui leur
sont associés sont mis en place et fonctionnent.
• Il doit intégrer le traitement des faiblesses du Contrôle interne détectées dans le but de renforcer l’atteinte des
objectifs
• Les performances du contrôle interne doivent être contrôlées de manière continue aux travers des opérations à
caractère de pilotage, et doivent aussi faire l’objet d’évaluations sous forme de revue indépendante.
• Le périmètre des activités à contrôler et la fréquence des contrôles dépendent de l’importance relative des risques
sous-jacents et des contrôles qui permettent de réduire ces risques.
• Ce système permet au management d’assumer son rôle de maître d’œuvre du dispositif de Contrôle Interne
Activités de pilotage
16.L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin
de vérifier si les composantes du contrôle interne sont mises en place et fonctionnent.
17.L’organisation évalue et communique en temps voulu les faiblesses de contrôle interne aux
parties chargées de prendre des mesures correctives
Liens
Direction Générale hiérarchiques
DEFINITION DU RISQUE
• Risque de crédit : Le risque de crédit est le risque que les clients ne remboursent
pas leurs emprunts et qu'ils ne disposent pas de garanties suffisantes ou que
l'institution ne puisse pas les saisir. Dans ce cas, l'institution est toujours
responsable envers ses petits épargnants et doit trouver d'autres moyens de les
rembourser si les prêts deviennent douteux
Identification du contexte
Identification des risques
Evaluation et priorisation des risques
Réponses aux risques
Surveillance des risques
· Lois et règlements
· Projets d'immobilisations
· Les processus d'affaires
· Technologie
· Risque de marché (p. ex. taux d'intérêt, taux de change, placements en
actions)
· Organisations
L'identification des risques doit être effectuée à tous les niveaux de l'entité
(niveau de l'entité, division, unité opérationnelle) pertinents pour le (s)
contexte (s) identifié (s).
· Les méthodes qualitatives comprennent (1) les listes de tous les risques, (2) les classements
des risques et (3) les cartes des risques.
Les cartes de chaleur présentent les niveaux de risque par couleur. Risques qui ont la
même probabilité (par exemple, éloignée, improbable, possible, probable ou certaine) et
l'impact (par exemple, négligeable, faible, moyen, élevé ou extrême) ou qui se situent
dans la même fourchette de gravité (c.-à-d. évaluation de la probabilité et de l'impact),
se voient attribuer la même couleur.
Les cartes matricielles des risques présentent les risques sur un graphique avec une
probabilité sur un axe et un impact sur l'autre axe.
Les réponses aux risques sont les moyens par lesquels une organisation choisit de
gérer les risques individuels. Chaque organisation sélectionne les réponses aux
risques qui alignent les risques sur l'appétence pour le risque (le niveau de risque
que l'organisation est prête à accepter).
Les stratégies de réponse au risque comprennent les suivantes :
· L'évitement des risques met fin à l'activité à l'origine du risque. Par exemple, le
risque de sabotage d'un pipeline peut être évité en vendant le pipeline.
· L’acceptation des risques accepte le risque d'une activité. Ce terme est
synonyme d'auto-assurance.
· La réduction des risques (atténuation) réduit le niveau de risque associé à une
activité. Par exemple, le risque de pénétration des systèmes peut être réduit en
maintenant une fonction efficace de sécurité de l'information au sein de l'entité.
• Le partage des risques transfère un certain potentiel de perte à une autre partie.
Des exemples sont l'assurance, la couverture, la conclusion de coentreprises,
l'externalisation d'une activité et les ententes
Le risque résiduel est le risque qui subsiste après l'exécution des réponses au
risque.
Dans les grandes entités ou les entités complexes, la direction générale peut nommer
un comité des risques pour a) examiner les risques identifiés par les diverses
unités opérationnelles et b) créer un plan d'intervention.
Tout le personnel doit être conscient de l'importance de la réponse au risque
appropriée à leurs niveaux de l'entité.
Le suivi des risques (a) suit les risques identifiés, (b) évalue les plans actuels de
réponse aux risques, (c) surveille les risques résiduels et (d) identifie les nouveaux
risques.
Les deux sources d'information les plus importantes pour les évaluations continues
de l'adéquation des réponses aux risques (et la nature changeante des risques) sont :
· Les plus proches des activités. Le gestionnaire d'une unité d'exploitation est le
mieux placé pour surveiller les effets des stratégies de réponse au risque choisies.
· La fonction d'audit. Les directeurs d'exploitation peuvent ne pas toujours être
objectifs quant aux risques auxquels font face leurs unités, surtout s'ils ont aidé à
concevoir une stratégie de réponse particulière. L'analyse des risques et des
réponses fait partie des responsabilités normales des auditeurs internes.
• Définition de l’ERM :
Un processus
Effectué par le Conseil d’administration, la Direction et
l’ensemble des salariés
Appliqué dans le cadre d’une stratégie prédéfinie
Appliqué dans toute l’entreprise (entité, divisions,
filiales, BU)
Conçu pour identifier d’éventuels évènements qui
pourraient affecter l’entreprise
Gère les risques afin qu’ils restent dans la limite des
risques que l’entreprise est encline à supporter (notion
de « risk appetite » et « risk tolerance »)
Procure une assurance raisonnable quant à la
réalisation des objectifs de l’entreprise
Le cadre de GRE du COSO comprend cinq composantes inter-reliées. Vingt principes sont répartis entre les
composantes.
· Les éléments d'appui sont les suivants
Gouvernance et culture et
Information, communication et reporting.
· Les éléments communs du processus sont les suivants
Stratégie et fixation d'objectifs,
Rendement, et
Examen et révision.
Stratégique
– Objectifs stratégiques « high-level » qui corroborent la vision et la mission de l’entreprise
Opérations
– Efficacité et efficience des ressources utilisées
Reporting
– Fiabilité des processus de reporting au sens large du terme, pour tout type d’information (financière / non
financière; interne / externe)
Conformité
– Aux textes et lois en vigueur
Environnement interne
La pierre angulaire des autres composantes car il influence
– La mise en place de la stratégie et des objectifs
– L’organisation des activités opérationnelles (et donc la manière d’identifier et d’évaluer les risques)
– La conception et le fonctionnement des activités de contrôles
– La circulation de l’information et la mise en place des systèmes d’information
Étape préalable à l’identification et l’analyse des risques: Définition des objectifs stratégiques par rapport à la
mission ou vision de l’entreprise afin de définir la stratégie de l’entreprise pour atteindre ces objectifs.
Identification des « objectifs secondaires » qui découlent des objectifs stratégiques, et qui permettent de fixer
les objectifs au niveau des entités ou business units.
Atteinte des objectifs: Capacité de l’entreprise pour atteindre ses objectifs par rapport aux facteurs externes.
Attitude de prise de risques (« risk appetite »): Définition du niveau de risque acceptable pour la direction et
conseil d’administration afin d’atteindre les objectifs de l’entreprise.
Attitude de tolérance des risques (« risk tolerance »): Définition du niveau acceptable de déviation par rapport
aux objectifs prédéfinis.
Objectifs sélectionnés: Mise en place d’un processus alignant les objectifs stratégiques de l’entreprise et ses
missions afin d’assurer leur cohérence avec le « risk appetite ».
Facteurs externes (économie, environnement naturel, politique et social, technologie) et internes (infrastructure, personnel,
processus, technologie).
Techniques d’identification des évènements: Différentes méthodes et outils peuvent être utilisés selon les différentes
entreprises.
Catégories des évènements: La définition des catégories permet au management de vérifier si les évènements sont
identifiés d’une manière complète.
Distinction entre risques et opportunités: Un évènement peut avoir un impact négatif, positif ou les deux sur l’activité de
l’entreprise.
Africa Project Management || 2022
71
3-4) DEMARCHE DE GESTION DES RISQUES (COSO ERM )
COSO « Enterprise Risk Management – Integrated Framework »
Contexte : Les contextes peuvent varier selon les métiers, les profils, la taille, la complexité et l’environnement
réglementaire de l’entreprise
Risques inhérents et risques résiduels : Le risque résiduel est celui qui subsiste après la mise en place de l’activité de
contrôle diminuant l’impact ou la probabilité de survenance du risque inhérent
Evaluation de l’impact et de la probabilité : Un risque peut être évalué en terme d’impact et de probabilité
Relation entre les évènements : Les évènements liés l’un à l’autre doivent être évalués groupés. Sinon, ils doivent être
évalués individuellement.
Sélectionner les plans d’action sur la base de l’évaluation du portefeuille global de risques et de l’évaluation des différents
plans d’actions possibles.
Contrôles informatisés :
– Contrôles généraux informatiques
– Contrôle d’application
Information et communication
Information: L’information est nécessaire à tous les niveaux de l’entreprise pour identifier, évaluer et répondre
aux risques
– Information interne/externe
– Information financière/non financière
Pilotage
Revue indépendante:
– Des revues indépendantes régulières concentrées sur l’efficacité du risk management sont aussi nécessaires
Liens
Direction Générale hiérarchiques
Rôles et Responsabilités
Conseil d’Administration
• Le Conseil d’Administration est responsable en dernier ressort de l’existence d’un système de contrôle interne
répondant aux référentiels et lois/règlements en vigueur. Dans ce cadre, il doit notamment :
surveiller la mise en place et le bon fonctionnement du système de contrôle interne de l'établissement dans ses
phases de conception, de mise en œuvre et de pilotage ;
approuver la structure organisationnelle et veiller à ce que l'organe exécutif surveille l'efficacité du système de
contrôle interne ;
s'assurer que la fonction d'audit interne dispose de moyens appropriés pour exécuter ses missions en toute
indépendance ;
examiner, au moins une fois par an, l'efficacité du système de contrôle interne en s'appuyant en partie sur les
informations transmises par la fonction d'audit interne, les commissaires aux comptes et la Commission Bancaire
mandater, au moins tous les cinq ans, une revue externe d'assurance qualité de la fonction d'audit interne.
• Selon les cas, il peut être assisté par un Comité d’Audit et/ou Comité des risques pour l’exercice des prérogatives qui lui
incombent en matière de contrôle interne.
Rôles et Responsabilités
Comité d’audit
• Émanation du conseil, il doit, lorsqu’il existe, assurer une surveillance attentive et régulière du dispositif de
contrôle interne.
• La fréquence des réunions, l’indépendance du comité, l’accès aux informations pertinentes, les
compétences diversifiées des membres du comité sont autant d’atouts pour aider au bon fonctionnement du
contrôle interne.
• La surveillance exercée par le comité se traduit par l’obligation qui est faite aux différents responsables de
lui rendre compte régulièrement
• En charge de l’examen approfondi de questions financières, comptables et de gestion des risques, doit se
réunir périodiquement afin de faire le point sur l’état des risques de l’entreprise correspondant à son profil et
la gestion de ces risques par les dirigeants
Rôles et Responsabilités
Organe exécutif
• Sont notamment considérés comme membres de l'organe exécutif: le Directeur Général, les Directeurs Généraux Adjoints, le
Secrétaire Général et les Responsables des fonctions de contrôle.
• L’organe exécutif est tenu de mettre en place un système de contrôle interne conforme aux bonnes pratiques. Il doit
notamment :
élaborer des politiques et procédures de contrôle interne appropriées et surveiller l'adéquation et l'efficacité du système de
contrôle interne ;
définir clairement et maintenir les structures, les rattachements hiérarchiques ainsi que les pouvoirs et responsabilités qui
permettent d'atteindre les objectifs de contrôle interne ;
informer la fonction d'audit interne, à temps, de tous nouveaux développements, initiatives, projets, produits et changements
opérationnels ainsi que des risques y relatifs ;
s'assurer que des mesures appropriées sont prises dans les délais fixés pour mettre en œuvre toutes les actions correctrices
découlant des recommandations de l'audit interne, des commissaires aux comptes ou de la Commission Bancaire ;
promouvoir l'indépendance de la fonction d'audit interne et mettre à sa disposition les ressources nécessaires pour mener à bien
ses missions ;
rendre compte régulièrement à l'organe délibérant de l'efficacité du système de contrôle interne.
Africa Project Management || 2022
80
3-4) DEMARCHE DE GESTION DES RISQUES (COSO ERM )
COSO « Enterprise Risk Management – Integrated Framework »
Rôles et Responsabilités
Audit interne
• La fonction d’audit interne est chargée de donner aux organes de gouvernance une assurance raisonnable quant à la qualité et à
l'efficacité du système de contrôle interne, des dispositifs de gouvernance, de gestion des risques et de gestion du risque de non-
conformité en vue de faciliter leur maîtrise des activités de l'établissement et des risques encourus.
• Il fournit au Comité d’Audit des analyses, des évaluations et des recommandations portant sur le système de Contrôle Interne, de
management des risques et sur la gouvernance de l’organisation. Par ces missions, situées dans la troisième ligne de défense, il
apprécie entre autres l’efficacité et l’efficience du Contrôle Interne et participe à améliorer le processus de Contrôle Interne.
• Elle fait également des propositions auxdits organes pour renforcer l'efficacité de ces systèmes et dispositifs.
Personnel
La Gestion des Risques de l’Entreprise (GRE) du COSO est basé sur des objectifs. En revanche, ISO 31000 est une
approche de management des risques basée sur des principes. Il énonce des principes qui sont à la base d'un processus
efficace de management des risques.
Un cadre de management des risques est un ensemble d'éléments qui fournissent les bases et les dispositions organisationnelles pour la
conception, la mise en œuvre, le suivi, l'examen et l'amélioration continue du management des risques dans l'organisation.
· Un mandat et un engagement du conseil d'administration et de la direction générale garantissent que les processus de management
des risques sont conformes aux objectifs de l'organisation et que des ressources suffisantes ont été affectées à son succès.
· La conception d'un cadre de management des risques permet de jeter les bases d'un processus efficace de management des risques.
Cette fondation implique
• La mise en œuvre du management des risques aide l'organisation à atteindre ses objectifs.
• Le suivi et l'examen du cadre évaluent l'efficacité des processus de management des risques.
• L'amélioration continue du cadre garantit l'efficacité à long terme des processus de management des risques.
Le processus de management des risques ISO 31000 comprend les sept éléments suivants :
· La communication et la consultation nécessitent une communication et une consultation continue et structurées avec les personnes
affectées par les opérations de l'organisation.
· L'établissement du contexte identifie et comprend les facteurs externes et internes qui influenceront le management des risques de
l'organisation. Cet élément tient également compte des niveaux d'appétence pour le risque et de tolérance au risque de l'organisation.
· L'identification des risques prend en compte les sources de risque, les zones d'impact et les événements potentiels ainsi que leurs
causes et conséquences.
· L'analyse des risques prend en compte l'impact et la probabilité de chaque risque.
· L'évaluation des risques donne la priorité aux risques identifiés.
· Le traitement du risque décide d'une réponse au risque appropriée (éviter, partager, réduire ou accepter) qui est compatible avec
l'appétence pour le risque de l'organisation.
· Surveillance et examen permettent d'évaluer si les traitements des risques sont efficaces.
Le conseil est responsable de la supervision du management des risques et a la responsabilité globale de s'assurer que les risques sont
gérés et que le système de management des risques est efficace.
La direction est responsable de définir l'attitude de risque de l'organisation, qui est définie par l'ISO comme « l’approche de
l'organisation pour évaluer, puis poursuivre, conserver, prendre ou se détourner du risque ».
La direction identifie et gère également les risques. L'activité d'audit interne est chargée de fournir une assurance concernant l'ensemble
du système de management des risques.
ISO 31000 décrit trois approches pour fournir une assurance sur le processus de management des risques : (1) les principes clés, (2)
l'élément de processus, et (3) le modèle de maturité.
• L'approche des principes clés évalue si les 11 principes de management des risques sont mis en pratique.
• L'approche des éléments de processus évalue si les sept éléments de management des risques ont été mis en pratique.
• L'approche du modèle de maturité est basée sur le principe selon lequel les processus efficaces de management des risques se
développent et s'améliorent avec le temps, à mesure que de la valeur est ajoutée à chaque étape du processus de maturation.
• En conséquence, cette approche détermine où se situe le processus de management des risques sur la courbe des échéances et évalue
si (1) elle progresse comme prévu, (2) ajoute de la valeur et (3) répond aux besoins organisationnels.
Un exemple de courbe de maturité (c'est-à-dire le modèle de maturité) est le modèle de maturité de capacité (CMM). Ce modèle
comprend les cinq niveaux de maturité suivants, présentés par ordre de maturité : (a) initial, (b) répétable, (c) défini, (d) géré et (e)
optimisé.
Niveau 1—Initial : Les organisations à ce niveau ne disposent pas de politiques ou de procédures définies. Ces organisations font
preuve d'un manque d'intérêt ou d'engagement de la part de la direction et des employés.
Niveau 2—Reproductible : ces organisations bénéficient d'une politique définie et d'un certain engagement de la part de la direction et
des employés.
Niveau 3—Défini : Une politique est établie et la direction générale s'engage à la mettre en œuvre. Des risques ont été évalués, des
priorités établies, des ressources attribuées et des activités effectuées ou développées pour assurer des contrôles cohérents.
Niveau 4—Maîtrisé : Les exigences et les contrôles font partie intégrante du cadre de l'organisation. Toutes les parties de l'organisation
se sont engagées.
Niveau 5—Optimisé : Le cadre à des fins d'amélioration continue. Toute action corrective est abordée par l'ensemble des parties
concernées de l'organisation et aucune modification n'est apportée sans une coordination étendue.
Le principe de base de cette approche est que le management des risques doit ajouter de la valeur. Un aspect essentiel de l'approche du
modèle de maturité est que la performance du management des risques et les progrès réalisés dans l'exécution du plan de management
des risques doivent être liés à un système de mesure de la performance. Un tel système de performance consiste typiquement en ce qui
suit :
· Normes de performance.
· Critères sur la façon dont les normes peuvent être satisfaites.
· Une méthode de comparaison des performances réelles avec chaque norme.
· Une méthode d'enregistrement et de reporting des performances et d'amélioration de la performance.
· Vérification indépendante périodique de l'évaluation de la direction.
L’ACFE (Association of Certified Fraud Examiner) est la première institution de formation et de professionnalisation en matière de lutte contre la fraude dans le monde,
et la certification qu’elle délivre est reconnue par les professionnels du monde entier.
L’ACFE réduit la fraude professionnelle dans le monde entier en donnant aux professionnels de la lutte contre la fraude une formation, des ressources et une certification
professionnelle de pointe.
Elle rassemble près de 85 000 professionnels de la lutte contre la fraude toutes spécialités et organisations confondues (entreprises, cabinets de conseil, institutions
publiques et organisations non gouvernementales), notamment : experts-comptables, auditeurs, juristes et avocats, consultants, universitaires, agents
gouvernementaux.
• Mettre à disposition de ses membres des ressources sur le thème de la fraude (ex: la corruption)
• Collaborer et développer en commun des savoir-faire avec les groupes et les organisations engagés dans l’étude et dans la lutte contre la fraude.
TRIANGLE DE LA FRAUDE
Africa Project Management || 2023
95
4-1) DEFINITION ET CARACTERISTIQUES DE LA FRAUDE
L’opportunité se présente souvent lorsque le fraudeur sait ce qui va être fait par l'auditeur
notamment les « quand, quoi et combien » des procédures d’audit.
Par exemple, si le fraudeur sait que l’auditeur vérifie uniquement les transactions
significatives du mois de décembre, il peut commettre sa fraude sur de plus petites
transactions au cours des autres mois. Cette caractéristique est celle que l'organisation
peut influencer le plus, par exemple au moyen de contrôles.
Certaines personnes peuvent commettre des actes considérés comme inacceptables par
l’organisation alors que ces comportements sont communément acceptés par leur culture
ou étaient acceptés par leur précédent employeur. Les fraudeurs sont ainsi capables de
justifier leurs comportements, les règles ne s’appliquant pas à eux.
La direction générale peut limiter cette rationalisation par ses actions, en mettant en
place, par exemple, des principes équitables en matière de travail, de salaire, d’emploi ou
en développant un comportement exemplaire (le management façonne les comportements
attendus de la part des employés).
TRIANGLE DE LA FRAUDE
• Les fraudeurs ont souvent des comportements ou caractéristiques qui peuvent servir de signaux d'avertissement ou
d'indicateurs de fraude. Certains d’entre eux sont anormalement irritables, d’autres commencent à dépenser de
façon inconsidérée ou deviennent de plus en plus secrets sur leurs activités. Toutefois, la présence de ces
symptômes ne signifie pas forcément qu'une fraude est en train de se produire ou interviendra dans le futur. Les
indicateurs de fraude (signaux d’alerte) sont liés au moment, à la fréquence, au lieu, au montant ou à la personnalité.
• Les indicateurs de fraude relatifs aux entreprises comprennent, lignes de responsabilité et de transparence
imprécises, les contournements des contrôles par la direction générale ou le management, les décisions de
gestion inhabituelles ou mal justifiées, les dépassements constants des objectifs indépendamment de
l'évolution de l’environnement économique et/ou concurrentiel, la prépondérance des transactions ou
écritures comptables non-routinières, la rotation élevée parmi les postes de supervision dans les domaines
financier et comptable, les difficultés ou retards pour communiquer les informations requises, le manque de
rotation des employés dans des postes sensibles tels que la gestion de trésorerie ou les achats, la combinaison
inappropriée de tâches, et les changements significatifs ou inhabituels de clientèle ou de fournisseurs. Ces
indicateurs comprennent également les transactions non documentées ou non approuvées, les situations où les
salariés ou la direction générale remettent des chèques en main propre, les réclamations de la clientèle concernant la
livraison et l’insuffisance des contrôles d'accès des systèmes d’information comme la faiblesse des contrôles par
mots de passe.
• Les indicateurs de fraude relatifs aux personnes incluent le fait de vivre au-dessus de ses moyens, de manifester
auprès de ses collègues une insatisfaction liée à son travail, un lien inhabituel avec des fournisseurs, de pertes
financières importantes au niveau personnel, une dépendance aux drogues, à l'alcool ou au jeu, un changement de
situation personnelle, un employé qui refuse de prendre des vacances ou refuse la promotion et le développement
d’intérêts économiques externes. Par ailleurs, il existe des fraudeurs qui trouvent systématiquement une logique à
des résultats insuffisants, perçoivent comme un défi intellectuel de triompher du système, fournissent des
informations et des rapports douteux et prennent rarement des vacances ou arrêts maladie (et personne n’effectue
leur travail en leur absence).
• Ces signaux d’alerte de fraude sont souvent des indicateurs de comportements inappropriés. Le management et les
auditeurs internes doivent être formés pour comprendre et identifier les signaux d’avertissement potentiels de
comportements frauduleux. Bien qu’aucun de ces indicateurs ne signifie qu'un salarié soit effectivement en train de
commettre une fraude, une combinaison de ces facteurs pourrait bien indiquer un besoin d’investigation et
d’attention accrue de la part des auditeurs internes.
• Le niveau de sensibilisation aux schémas de fraude se développe à partir de l’évaluation faite régulièrement par le
management et les auditeurs internes et grâce à la formation des salariés, et à des échanges fréquents entre le
management et les salariés.
Fraude
Sur-évaluations Sous-évaluations
Corruption/ Prises illégales Conflits Extorsion Stocks et
Espèces de l’actif net/ de l’actif net/
Subornation d'intérêts d’intérêt économique autres actifs
du bénéfice net du bénéfice net
Schémas liés Manipulation Manipulation du chiffre d’affaires, des charges, des dettes et
Vol de recettes Vols de stocks
aux ventes des AO des créances
Décaissements
frauduleux
ARBRE DE LA FRAUDE
Africa Project Management || 2022
10
4.3 ) TYPOLOGIE DE FRAUDE
ARBRE DE LA FRAUDE
Africa Project Management || 2022
10
4-4) QUELQUES STATISTIQUES MONDIALES SUR LES EFFETS DE LA FRAUDE
Les pertes monétaires de la fraude sont importantes, mais son coût total est
incommensurable en termes de temps, de productivité et de réputation, y compris les
relations avec les clients.
Ainsi, une organisation devrait avoir un programme de fraude qui comprend des
programmes de sensibilisation, de prévention et de détection. Il devrait également avoir
un processus d'évaluation des risques de fraude pour identifier les risques de fraude.
«Offre, promesse, don, acceptation ou sollicitation d’un avantage indu de toute valeur (financière ou non financières), directement ou
indirectement, indépendamment du ou des lieux, en violation des lois applicables, pour inciter ou récompenser une personne à agir
ou à ne pas agir dans le cadre de ses fonctions.»
La corruption active
Il s’agit de l’acte de corruption exercé par le corrupteur. La corruption active est définie par l’article 433-1 du Code pénal français
comme suit : « Lorsqu’une personne physique ou morale obtient ou essaie d’obtenir, moyennant des dons, des promesses ou
avantages, d’une personne exerçant une fonction publique, qu’elle accomplisse ou retarde ou s’abstienne d’accomplir ou de retarder
un acte de sa fonction ou un acte facilité par elle ; cette personne reçoit le nom de corrupteur
La corruption passive
La corruption passive est l’acte exercé par le corrompu. Elle est définie par l’article 433-11: « Lorsqu’une personne exerçant une
fonction publique profite de cette fonction en sollicitant ou en acceptant des dons, promesses ou avantages en vue d’accomplir ou de
s’abstenir d’accomplir un acte de sa fonction cette personne reçoit le nom de corrompu. »
À part cela, il existe plusieurs formes d’infractions en matière de corruption en entreprise, à savoir les conflits d’intérêts, le
favoritisme ou le fait de préférer une autre entreprise plutôt qu’une autre, la fraude, le détournement de fonds ou les dessous de
table aussi appelés pots-de-vin.
Corruption
L’organisme doit déterminer les enjeux externes et internes pertinents par rapport à sa finalité et qui influent sur sa
capacité à atteindre le ou les objectifs de son système de management anti-corruption .
Les parties intéressées qui sont pertinentes dans le cadre du système de management anti-corruption
Les exigences de ces parties intéressées
L’organisme doit déterminer les limites et l’applicabilité du système de management anti-corruption afin d’établir son
périmètre d’application.
L’organisme doit établir , documenter , mettre en œuvre , tenir à jour et revoir , le cas échéant et améliorer en continue le
système de management anti-corruption , y compris les processus nécessaires et leurs interactions , en accord avec les
exigences de la norme ISO 37 001.
Le système de management doit contenir les indicateurs conçus pour identifier et évaluer le risque de corruption , ainsi que
pour prévenir et détecter les actes de corruption et y remédier.
Le système de management anti-corruption doit etre raisonnable et proportionné et doit tenir compte des facteurs auxquels
il est fait référence dans la détermination du périmètre d’application du système de mangement anti-corruption .
L’organisme doit réaliser une ou des évaluations régulières des risque de corruption , qui doivent :
Identifier les risques de corruption que l’organisme pourrait raisonnablement anticiper
Analyser , apprécier et établir la priorité des risques de corruption identifiés
Evaluer l’adéquation et l’efficacité des moyens de contrôle mis en place par l’organisme pour atténuer les risques
de corruption évalués .
L’organisme doit définir des critères pour l’évaluation de son niveau de risque de corruption qui , doit tenir compte des
politiques et objectifs de l’organisme
• Leadership et engagement
Organe de gouvernance :
L’organisme dispose d’un organe de gouvernance , ce dernier doit démontrer son leadership et engagement vis-à-vis du
système de management anti-corruption en :
Exigeant que les ressources adéquates et appropriées nécessaires au fonctionnement efficace du système de
management anti-corruption sont alloués et affectées
Ces activités doivent etre réalisées par la direction si l’organisme ne dispose pas d’un organe de gouvernance
• Direction
La direction doit démontrer son leadership et engagement vis-à-vis du système de management anti-corruption en :
S’assurant que le système de management anti-corruption , y compris la politique et les objectifs , est établi , mis
en œuvre , tenu à jour et passé en revue pour prendre en compte de manière adéquate les risques de corruption
et de l’organisme
S’assurant que les exigences liées au système de mangement anti-corruption sont intégrées aux processus de
l’organisme
Déployant les ressources adéquates et appropriées pour le fonctionnement efficace du système de management
anti-corruption
• Direction
La direction doit démontrer son leadership et engagement vis-à-vis du système de management anti-corruption en :
S’assurant que le système de management anti-corruption est conçu de façon appropriée pour atteindre ses
objectifs
Orientant et soutenant le personnel pour qu’il contribue à l’efficacité du système de management anti-corruption
Promouvant une culture anti-corruption appropriée au sein de l’organisme
Prouvant l’amélioration continué
Soutenant les autres rôles managériaux pertinents afin de démontrer leurs responsabilités vis-à-vis de la
prévention et de la détection de la corruption dans leurs domaines respectifs ;
Encourageant l’utilisation des procédures de rapport des cas de corruption suspectés et avérés
S’assurant qu’aucun membre du personnel
• Direction
La direction doit démontrer son leadership et engagement vis-à-vis du système de management anti-corruption en :
• Politique Anti-Corruption
La direction doit établir , tenir à jour et passer en revue une politique anti-corruption qui :
Interdit la corruption
Impose le respect des loi anti-corruption applicables à l’organisme
Est appropriée à la finalité de l’organisme
Fournit un cadre pour l’établissement , la revue et l’atteinte des objectifs anti-corruption
Inclut l’engagement de satisfaire aux exigences du système de mangement anti-corruption
Encourage le signalement d’inquiétudes , de bonne foi ou sur des motifs qui ont raisonnablement poussé à le
croire , en toute confiance et sans peur de représailles
• Politique Anti-Corruption
La direction doit établir , tenir à jour et passer en revue une politique anti-corruption qui :
Rôles et responsabilités
La direction doit assumer la responsabilité globale de la mise en œuvre et de la conformité du système de management
anti-corruption .
La direction doit s’assurer que les responsabilités et autorités des rôles pertinents sont attribués et communiquées à tous
les niveaux de l’organisme .
Les dirigeants à tous les niveaux doivent se charger d’imposer le respect et l’application des exigences du système de
management anti-corruption au sein de leur service ou de leur fonction .
L’organe de gouvernance ( s’il existe ) , la direction et tout le personnel doivent comprendre , respecter et appliquer les
exigences du système de management anti-corruption applicables à leur rôle au sein de l’organisme
S’assurer que le système de management anti-corruption est conforme aux exigences de la norme ISO 37 001
La fonction de conformité anti-corruption doit etre disposer d’un accès direct et immédiat à l’organe de gouvernance et à la
direction dans l’éventualité ou un problème ou une inquiétude doit etre signalé concernant la corruption ou le système
de management
Dans le cadre de la planification de son système de management anti-corruption , l’organisme doit tenir compte des enjeux
tels que précisés par ISO 37 001 , des risques identifiés et des opportunités d’amélioration qu’il est nécessaire de prendre
en compte pour :
Assurer de façon raisonnable que le système de management anti-corruption atteint ses objectifs
Prévenir ou réduire les effets indésirables relatifs à la politique et aux objectifs anti-corruption
Surveiller l’efficacité du système de mangement anti-corruption
S’inscrire dans une dynamique d’amélioration continue
L’organisme doit planifier :
-Les actions à mettre en œuvre face ces risques de corruption et opportunités d’amélioration
-La manière :
- D’intégrer et de mettre en œuvre ces actions au sein des processus du système de management anti-corruption et
- D’évaluer l’efficacité de ces actions
L’organisme doit établir les objectifs du système de management anti-corruption , aux fonctions et niveaux concernés .
L’organisme doit conserver des informations documentées sur les objectifs du système de management de anti-corruption .
Lorsque l’organisme planifie la façon dont les objectifs de son système de management anti-corruption seront atteints , il
doit déterminer :
• Ressources
L’organisme doit identifier et fournir les ressources nécessaires à l’établissement , la mise en œuvre , la tenue à jour et
l’amélioration continue du système de management anti-corruption
• Compétences
Généralités
L’organisme doit
Déterminer les compétences nécessaire de la ou des personnes effectuant , sous son contrôle , un travail qui
a une incidence sur les performances anti-corruption .
S’assurer que ces personnes sont compétentes sur la base d’une formation initiale ou professionnelle ou
d’une expérience appropriée .
Le cas échéant , mener des actions pour acquérir et tenir à jour les compétences nécessaires , et évaluer
l’efficacité de ces actions , et
Conserver des informations documentées appropriées comme preuves desdites compétences
Africa Project Management || 2022
143
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 37001 )
Déploiement d’un système de management anti-corruption : S’assurer que les ressources et compétences , la communication et
la gestion documentaire sont adaptés aux besoins du SMAC
• Compétences
Des conditions d’emploi qui stipulent que le personnel doit respecter la politique anti-corruption et le système
de management anti-corruption , et qui donnent le droit à l’organisme de prendre des sanctions disciplinaires
à l’encontre du personnel s’il ne les respectes pas
Après un délai raisonnable suivant le début de la prise de fonctions , la mise à disposition du personnel d’un
exemplaire de la politique anti-corruption , ou d’un moyen lui permettant d’y accéder , et la formation relative à
ladite politique
• Compétences
La mise en place de procédures qui permettent à l’organisme de prendre les sanctions disciplinaires
appropriés à l’encontre du personnel qui ne respecte pas la politique anti-corruption ou le système de
management anti-corruption
- Avoir refusé de prendre part ou avoir décliné toute activité pour laquelle il a jugé de façon raisonnable
qu’il existait un risque de corruption plus que faible qui n’avait pas été atténué par l’organisme
- Avoir formulé des inquiétudes ou rapporté des faits relatifs à une tentative de corruption , à un cas de
corruption avéré ou à un cas de corruption suspecté , ou à une violation de la politique anti-corruption ou
du système de management anti-corruption , de bonne foi ou sur des motifs qui l’ont raisonnablement
poussé à le croire (sauf si la personne a pris part à la violation )
Africa Project Management || 2022
145
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 37001 )
Déploiement d’un système de management anti-corruption : S’assurer que les ressources et compétences , la communication et
la gestion documentaire sont adaptés aux besoins du SMAC
• Compétences
Que des diligences raisonnables soient exercées quant aux personnes préalablement à leur embauche et
quant au personnel avant son transfert ou sa promotion par l’organisme , afin de s’assurer , dans la mesure
du raisonnable , qu’il est approprié de les embaucher ou de les réaafecter et qu’il est raissonable de penser
qu’ils respecteront les exigences de l apolitique anti-corruption .
Que les primes de performance , les objectifs de performance et les autres éléments d’incitation en matière
de rémunération soient passés en revue de façon périodique pour vérifier qu’il existe des mesures de
préventions raisonnables pour éviter d’encourager la corruption .
Que le personnel , la direction et l’organe de gouvernance remplissent une déclaration , à des intervalles
raisonnables , proportionnée aux risques de corruption identifiés , pour confirmer leur conformité à la politique
anti-corruption .
• Compétences
Sensibilisation et formation
L’organisme doit sensibiliser et former son personnel de façon adéquate et appropriée aux mécanismes anti-
corruption . Ladite formation doit aborder les problématiques suivantes , le cas échéant , en tenant compte des
résultats de l’évaluation des risques de corruption :
Le risque de corruption et les répercussions négatives pouvant découler de la corruption pour le personnel et
pour l’organisme
Les circonstances de la surveillance possible de la corruption dans le cadre des fonctions confiés et la façon
d’identifier ces circonstances
Comment reconnaitre les sollicitations ou offres de pots de vins et comment y faire face ?
La façon dont le personnel peut prévenir et éviter la corruption ,et reconnaitre les indicateurs clés de risque
de corruption ;
Africa Project Management || 2022
147
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 37001 )
Déploiement d’un système de management anti-corruption : S’assurer que les ressources et compétences , la communication et
la gestion documentaire sont adaptés aux besoins du SMAC
• Compétences
Sensibilisation et formation
L’organisme doit sensibiliser et former son personnel de façon adéquate et appropriée aux mécanismes anti-
corruption . Ladite formation doit aborder les problématiques suivantes , le cas échéant , en tenant compte des
résultats de l’évaluation des risques de corruption :
Les répercussions et les conséquences potentielles d’un non respect des exigences du système de
management anti-corruption
• Compétences
Sensibilisation et formation
Le personnel doit régulièrement etre sensibilisé aux mécanismes anti corruption ( à des intervalles planifiés ,
définis par l’organismes ) , en adéquation avec ses fonctions , les risques de corruption auxquels il est posé et
toute circonstance pouvant évoluer . Les programmes de sensibilisation et de formation doivent etre mis à jour
de façon périodique et autant de fois que nécessaire pour refléter toute nouvelle information pertinente .
Pour prendre en compte les risques de corruption identifiés , l’organisme doit en outre mettre en œuvre des
procédures qui prévoient la sensibilisation et la formation aux mécanismes anti-corruption pour les partenaires
commerciaux agissant pour le compte de l’organisme ou dans son intérêt , et qui pourraient représenter un
risque de corruption plus que faible pour l’organisme. Ces procédures doivent identifier les partenaires
commerciaux pour lesquels une sensibilisation et une formation sont nécessaires , le contenu et le format des
formations .
L’organisme doit conserver des informations documentées sur les procédures de formation , le contenu des
formations ainsi que la date et les participants .
• Compétences
Communication
L’organisme doit déterminer les besoins de communication interne et externe pertinents pour le système de
management anti-corruption , y compris :
• Compétences
Communication
L’organisme doit déterminer les besoins de communication interne et externe pertinents pour le système de
management anti-corruption , y compris :
• Informations documentées
Généralités
Le système de management anti-corruption de l’organisme doit inclure :
• Informations documentées
L’identification et la description des informations documentées (leur titre , leur date , numéro de référence par
exemple )
Leur format ( langue , version logicielle , graphiques , par exemple ) et support (électronique , papier , par
exemple )
La revue effectuée ( pour en déterminer la pertinence et l’adéquation ) et leur approbation sont appropriées
• Informations documentées
Pour maitriser les informations documentées , l’organisme doit mettre en œuvre les activités suivantes , quand
elles sont apllicables :
• Informations documentées
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux
exigences du système de management anti-corruption et réaliser les actions déterminées ,
Ces processus doivent comprendre les moyens de contrôle spécifique auxquels il est fait référence dans la
norme ISO 37 001 .
L’organisme doit maitriser les modifications prévues, analyser les conséquences des modifications imprévues et,
si nécessaire, mener des actions pour limiter tout effet négatif.
• Diligences raisonnables
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux exigences du
système de management anti-corruption et réaliser les actions déterminées ,
Lorsque l’évaluation des risques de corruption, telle que décrite dans la norme iso 37 001 a identifié un risque de corruption plus
que faible relatif à :
L’organisme doit apprécier la nature et l’étende du risque de corruption relatif aux transaction, projets, activités, partenaires
commerciaux et personnel spécifiques entrant dans ces catégories. Cette appréciation doit s’appuyer sur toutes les diligences
raisonnables nécessaires pour obtenir des informations suffisantes afin d’évaluer le risque de corruption.
Les diligences raisonnables doivent être revue à une fréquence définie pour que les changements et les informations soient
correctement pris en compte.
• Diligences raisonnables
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux exigences du
système de management anti-corruption et réaliser les actions déterminées ,
Lorsque l’évaluation des risques de corruption, telle que décrite dans la norme iso 37 001 a identifié un risque de corruption plus
que faible relatif à :
L’organisme doit apprécier la nature et l’étende du risque de corruption relatif aux transaction, projets, activités, partenaires
commerciaux et personnel spécifiques entrant dans ces catégories. Cette appréciation doit s’appuyer sur toutes les diligences
raisonnables nécessaires pour obtenir des informations suffisantes afin d’évaluer le risque de corruption.
Les diligences raisonnables doivent être revue à une fréquence définie pour que les changements et les informations soient
correctement pris en compte.
L’organisme doit mettre en œuvre des moyens de contrôle financiers pour gérer le risque de corruption .
L’organisme doit mettre en œuvre des moyens de contrôle non financiers pour gérer le risque de corruption relatif
à des domaines tels que l’approvisionnement, les opérations, les ventes, les opérations commerciales, les
ressources humaines, les activités légales et réglementaires.
L’organisme doit mettre en œuvre des procédures qui imposent que toute entité sur laquelle il exerce un contrôle :
Mettre en œuvre le système de management anti-corruption de l’organisme ; ou
Mettre en œuvre ses propres moyens de contrôle anti-corruption ;
Dans les deux cas, uniquement dans une mesure raisonnable et proportionnée eu égard aux risques de corruption auxquels
font face les entités sur lesquelles l’organisme exerce un contrôle, en tenant compte de l’évaluation des risques de
corruption réalisée conformément à la norme ISO 37 001 .
Pour les partenaires commerciaux sur lesquels l’organisme n’exerce pas de contrôle, pour lesquels l’évaluation
des risques de corruption ou les diligences raisonnables ont permis d’identifier un risque de corruption plus que
faible, et pour lesquels les moyens de contrôle anti-corruption mis en œuvre par des partenaires commerciaux
aideraient à atténuer le risque de corruption en question, l’organisme doit mettre en œuvre des procédures
comme suit :
L’organisme doit déterminer si le partenaire commercial a mis en place les moyens de contrôle anti-corruption
applicable au risque de corruption en question ;
Lorsqu’un partenaire commercial n’a pas mis en place de moyens de contrôle anti-corruption ou qu’il est
impossible de vérifier leur mise en place ;
Si possible, l’organisme doit exiger du partenaire commercial qu’il mette en œuvre des moyens de
contrôle anti-corruption pour la transaction, le projet ou l’activités concerné(e) ;
Lorsqu’il est impossible d’exiger du partenaire commercial qu’il mette en œuvre des moyens de contrôle
anti-corruption, ce facteur doit être pris en compte lors de l’évaluation des risques de corruption relative à
la relation établie avec ce partenaire commercial et de la façon dont l’organisme gère ces risques.
• Engagements anti-corruption
Pour les partenaires commerciaux qui représentent un risque de corruption plus que faible , l’organisation doit
mettre en œuvre des procédures qui imposent :
Que les partenaires commerciaux s’engagent à prévenir la corruption , qu’elle soit initiée par eux-mêmes , pour leur
compte ou dans leur intérêt , en relation avec la transaction , le projet , l’activité ou la relation concernée .
Que l’organisme soit en mesure de mettre fin à la relation qu’elle a établie avec le partenaire commercial si un cas de
corruption est identifié , qu’il soit initié par le partenaire commercial , pour son compte ou dans son intérêt , en relation
avec la transaction , le projet , l’activité ou la relation concerné .
Lorsqu’il est impossible de satisfaire aux exigences çi dessus , ce facteur doit être pris en compte lors de l’évaluation des
risques de corruption relative à la relation établie avec le partenaire commercial et de la façon dont l’organisme gère ce risque .
L’organisme doit mettre en œuvre des procédures conçues pour prévenir l’offre , la mise à disposition ou
l’acceptation de cadeaux , de marques d’hospitalité , de dons et d’avantages similaires lorsque l’offre , la mise à
disposition ou l’acceptation est , ou pourrait raisonnablement être perçue comme , un acte de corruption.
Lorsque les diligences raisonnables appliqués à une transaction , un projet , une activité ou une relation
spécifique avec un partenaire commercial établissent que les risques de corruption ne peuvent pas être gérés par
les moyens de contrôle anti-corruption existants et que l’organisme ne peut ou ne veut pas mettre en œuvre de
moyens de contrôle anti-corruption additionnels ou plus performants , ou prendre d’autres mesures appropriées
( comme modifier la nature de transaction , du projet , de l’activité ou de la relation ) qui permettent à l’organisme
de gérer les risques de corruption concernés
L’organisme doit :
Dans le cas d’une transaction , d’un projet , d’une activité ou d’une relation existante ; prendre des mesures
appropriés aux risques de corruption et à la nature de la transaction , du projet , de l’activité ou de la relation
pour y mettre fin , l’interrompre , la suspendre ou s’en retirer aussitôt possible .
Dans le cas de la proposition d’une nouvelle transaction , d’un nouveau projet , d’une nouvelle activité ou d’une
nouvelle relation , différer ou décliner de poursuivre .
Encouragent et permettent aux personnes de rapporter de bonne foi , ou des motifs qui les ont
raisonnablement poussés à le croire , les tentatives de corruption , les cas de corruption avérés et les cas de
corruption suspectés , ou une violation ou une lacune du système de management anti-corruption ; à la
fonction de conformité anti-corruption ou au personnel approprié ( directement ou par le biais d’une tierce partie
appropriée ).
Excepté dans la mesure requise par le bon déroulement d’une enquête , imposent que l’organisme traite les
rapports de manière confidentielle , de sorte que l’identité de l’émetteur et des personnes impliques ou
mentionnés dans le rapport soit protégée ;
Interdisent les représailles , et protègent les émetteurs des rapports de réprésailles , après qu’ils sont formule
des inquiétudes ou rapporté des faits relatifs à une tentative de corruption , à un cas de corruption avéré ou à
un cas de corruption suspecté , ou a une violation de la politique anti-corruption ou du système de
management anti corruption , de bonne foi ou sur des motifs qui les ont raisonnablement poussés à le croire
Requièrent la mise en place de mesure appropriées si l’enquête révèle un cas de corruption ou de violation de
la politique anti-corruption ou du système de management anti-corruption
Imposent que l’état d’avancement et les résultats de l’enquete soient rapportés à la fonction de conformité anti-
corruption et aux fonctions de conformité , le cas échéant ;
Imposent que l’enquête soit réalisée de manière confidentielle et que les éléments de sortie de l’enquête soient
confidentiels
L’enquête doit être menée par du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête et
rapportée à du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête .
L’organisme peut désigner un partenaire commercial qui réalisera l’enquête et rapportera les résultats à du
personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête .
Les méthodes de surveillance de mesure , d’analyse et d’évaluation , selon le cas , pour assurer la validité des
résultats
L’organisme doit conserver des informations documentées pertinentes comme preuve des méthodes et des
résultats .
Il doit évaluer la performance anti-corruption , ainsi que l’efficacité et l’efficience du système de management anti-
corruption .
• Audit Interne
L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de
déterminer si le système de management anti-corruption :
Est conforme :
• Audit Interne
L’organisme doit :
Planifier , établir , mettre en œuvre et maintenir un ou des programmes d’audit , couvrant notamment la
fréquence , les méthodes , les responsabilités , les exigences de planification , et le compte rendu . Le ou les
programmes d’audit doivent tenir compte de l’importance des processus concernés et des résultats des audits
précédents ;
Définir les critères d’audit et le périmètre d’audit
Sélectionner des auditeurs compétents et réaliser des audits pour assurer l’objectivité et l’impartialité du
processus d’audit ;
Veiller a ce que les résultats des audits soient rapportes aux responsables concernés , à la fonction de
conformité anti-corruption ; à la direction , et suivant le cas ; à l’organe de gouvernance
Conserver des informations documentées comme preuves de la mise en œuvre du programme d’audit et des
résultats d’audit
Africa Project Management || 2022
172
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 37001 )
Déploiement d’un système de management anti-corruption : Mesure et Analyse
• Audit Interne
Ces audits doivent être raisonnable, proportionnés et basés sur les risques. Ils doivent comprendre des processus
d’audit interne ou d’autre procédure qui analysent les procédures, les contrôles et les systèmes relatifs à :
• Audit Interne
Afin de garantir l’objectivité et l’impartialité de ces programmes d’audits, l’organisme doit s’assurer que ces audits
sont réalisés selon l’une des options suivantes :
b-La fonction de conformité anti-corruption (à moins que le périmètre d’audit comprenne l’évaluation du
système de management anti-corruption lui-même ou d’un élément similaire dont la fonction de conformité
anti-corruption est responsable) ;
Une personne appropriée d’un service ou d’une fonction autre que celui/celle qui est audité(e) ;
• Revue de direction
À des intervalles planifiés, la direction, au niveau le plus élevé, doit procéder à la revue du système de
management anti-corruption mis en place par l’organisme, afin de s’assurer qu’il est toujours approprié, adéquat
et efficace.
La revue de direction doit prendre en compte :
L’état d’avancement des actions décidées à l’issue des revues de direction précédente ;
Les modifications des enjeux externes et interne pertinent pour le système de management anti-corruption
Les informations sur la performance du système de management anti-corruption, y compris les tendances
concernant :
o Les non conformités et les actions correctives
o Les résultats de la surveillance et de la mesure
o Les résultats d’audits
o Les rapports de cas de corruption
o Les enquêtes
Africa Project Management || 2022
175
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 37001 )
Déploiement d’un système de management anti-corruption : Mesure et Analyse
• Revue de direction
L’efficacité des action mise en place pour gérer les risques de corruption
• Revue de direction
Les éléments de sortie de la revue de direction doivent inclure les décisions relatives aux opportunités
d’amélioration continue et aux éventuels changement à apporter au système de management anti-corruption.
Une synthèse des résultats de la revue de direction doit être remise à l’organe de gouvernance (s’il existe)
L’organisme doit conserver des informations documentées comme preuves des résultats des revues de direction.
• Revue de direction
L’organe de gouvernance (s’il existe) doit réaliser des revues périodiques du système de management anti-
corruption en fonction des informations fournies par la direction et par la fonction de conformité anti-
corruption et de toute autre information que d'organe de gouvernance demande au cabinet .
L’organisme doit conserver des informations documentées de synthèse comme preuve des résultats des
revues de l’organe de gouvernance.
• Revue de direction
Evaluer s’il est nécessaire de mener une action pour éliminer la ou les causes de la non-conformité, afin
qu’elle ne se reproduise pas ou n’apparaisse pas ailleurs, en :
Effectuant la revue de la non-conformité
Recherchant et analysant les causes de la non-conformité
Recherchant si des non-conformités similaire existent ou pourraient éventuellement se produire
Les actions correctives doivent être appropriées aux conséquences des non-conformités rencontrées.
• Amélioration Continue
L’organisme doit améliorer en continue la pertinence, l’adéquation et l’efficacité du système de management anti-
corruption.