Support de Formation Sur La Gestion Des Risques de Fraude Et Corruption - Orange Côte D'ivoire

Contrôle Interne - Gestion des risques de
fraudes et corruption : Approche et Outils

TRABOUET Pierre Aymar
Du 13 au 14 Février 2023
www.apm.ci
Planning de la journée 1 Contrôle Interne – Gestion des risques de fraudes et corruption : Approche et Outils
Activités Description
08h30 - 09h30 Démarrage du séminaire de formation
• Présentation des intervenants

Introduction • Présentation et rappel des attentes des participants
• Objectifs de la formation / Quizz de démarrage
09h30 – 10h30 Section 1
Rappel sur la notion de contrôle interne pour mieux • Définition du contrôle interne
comprendre la gestion des risques • Objectifs du contrôle interne
• Référentiel COSO
• Les trois lignes de défense du contrôle interne
10h30 - 11h00 Pause Café

11h00 – 12h30 Section 2
• Définition et typologie des risques

Gestion de risques • Définitions , enjeux et objectifs de la gestion des risques
• Rôles et Responsabilités
12h30 - 14h Pause déjeuner

14h00 - 15h30 Section 2
Gestion de risques • Démarche de gestion de risques ISO 31 000

• Démarche de gestion de risques selon le COSO-ERM

16h00 – 17h00 Section 2
Gestion de risques • Démarche des gestions de risque (Suite)

• Résumé des notions de la journée
Planning de la journée 2 Contrôle Interne – Gestion des risques de fraudes et corruption : Approche et Outils
Activités Description
08h30 - 09h00 Démarrage du séminaire de formation
• Rappel de la journée 1
Introduction
• Compléments d’informations/Eclaircissements
09h00 – 10h30 Section 3
• Définition et caractéristiques de la fraude (triangle de fraude)

Gestion des risques de Fraude • Symptômes de la fraude
• Typologie de la fraude (Arbre de la fraude )
• Quelques statistiques mondiales sur les effets de la fraude

11h00 – 12h30 Section 3
• Approche et Outils de gestion de risques de fraude

Gestion des risques de fraude • Mise en situation pratique (Cas Mobile money )
12h30 - 14h Pause déjeuner

14h00 - 15h30 Section 4
• Définition et typologie de corruption
Focus sur la corruption • Schéma de la corruption
• Approches et outils de gestion de risque de corruption (ISO 37 0001 )
16h00 – 17h00 Mise en situation pratique et clôture du séminaire
Fin du séminaire • Synthèse et conclusion du séminaire

INTRODUCTION
Africa Project Management || 2022

1.1) Présentation des intervenants
?
Contrôle Interne
Gestions de risques et fraudes

5
1.2) Présentation et recueil des attentes des participants
Tour de table
6
1.3) Objectifs de la formation
Appréhender les notions et concepts liés au contrôle interne ,à

la fraude et la corruption
Appréhender la notion de risque de fraude et de corruption
Appréhender la norme ISO 31000
S’approprier les techniques de gestion de risques de fraude

et de corruption selon le COSO
S’approprier les moyens de prévention,de détection et de lutte

contre la fraude et la corruption

7
1.4) Test de connaissance
1) Qu’est-ce que le contrôle interne?
2) Quels sont les principaux référentiels encadrant le contrôle interne ?
3) Qu’est ce qu’un risque ?
4) Qu’est ce qu’une fraude ?

8
RAPPEL SUR LA NOTION DE
CONTROLE INTERNE POUR
MIEUX COMPRENDRE LA
GESTION DES RISQUES
Africa Project Management || 2022 9

2.1) Définitions du Contrôle interne
Définition selon le TURNBULL
Un système« de
Lacontrôle
fraude estenglobe
interne un acte volontaire
les politiques, ou une
processus, omission
tâches, volontaire,
comportements et autres ayant
aspects d’une
pourentreprise
objet quidecombinés
tromper: un ou des tiers. Il en résulte une perte pour les
victimes et/ou un gain pour le fraudeur » IFACI
• Facilitent l’efficacité et l’efficience des opérations ;
• Aident à assurer la qualité du reporting externe et interne ;
• Aident à assurer la conformité aux lois et règlements ainsi qu’aux politiques internes relatives à la
conduite des affaires

10
Définition selon l’Autorité des Marchés Financiers (AMF)

« La fraude est un acte volontaire ou une omission volontaire, ayant
Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un
pour
ensemble objet ,de
de moyens de tromper
comportements un, ou des tiers.
de procédures et Il en résulte
d’actions adaptésune perte pour les
aux caractéristiques propres de
chaque victimes
société qui : et/ou un gain pour le fraudeur » IFACI
• Contribue à la maitrise de ses activités , à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources ;
• Doit lui permettre de prendre en compte de manière appropriée les risques significatifs , qu’ils soient
opérationnels , financiers ou de conformité .

11
Définition selon le COSO

« La fraude est un acte volontaire ou une omission volontaire, ayant
Le Contrôle Interne est un processus mis en œuvre par le Conseil d’Administration, les dirigeants et le personnel
pour objet de tromper un ou des tiers. Il en résulte une perte pour les
d’une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs liés aux
victimes
opérations, et/ou
au reporting et à un gain pour le fraudeur » IFACI
la conformité.
 Centré sur la réalisation des objectifs

 Processus (Dynamique et itératif )
 Mise en œuvre par des personnes
 Fournissant une assurance raisonnable(non absolue)
 Adaptable à la structure (ligne de service / Division / Zone géographique / Unité Opérationnelle)

12
2.2) Objectifs du Contrôle interne

13
Objectifs liés aux opérations
ils concernent l’efficacité et l’efficience des opérations. Il s’agit notamment des objectifs de performance opérationnelle
et financière (1) , ainsi que de sauvegarde des actifs( 2) :
o Ils peuvent concerner l’amélioration des résultats financiers ; de la productivité ; de la qualité ; des pratiques
environnementales , de la satisfaction des clients et des collaborateurs .
 Exemple 1 : Une entité a but lucratif : mettre l’accent sur le chiffre d’affaires , la rentabilité , le
rendement de ses actifs et la liquidité
 Exemple 2 : Une entité à but non lucratif : accroitre les contributions des donateurs
 Exemple 3 : une administration publique : focalisation sur la réalisation des missions fixés par l’organe
de gouvernance
Définition claire et approprié des objectifs opérationnels : Risque de mauvaise allocation des ressources
o La sauvegarde des actifs inclut leur protection et leur préservation :
 Exemple : Une entité peut fixer des objectifs liés à la prévention de toutes sortes d’actifs ainsi qu’à la
détection et au signalement de ces pertes dans le délai approprié
14
Objectifs liés au reporting
Ils concernent le reporting interne et externe, financier et extra-financier. Ils peuvent viser la fiabilité, le respect des
délais, la transparence ou d’autres exigences des régulateurs, des organismes de normalisation reconnus ou des
instructions internes ;
FINANCIER EXTRA-FINANCIER CARACTERISTIQUES
• Destinés à répondre aux exigences des
parties prenantes externes et aux
EXTERNE
Exemple Exemple :
obligations règlementaires
Etats financiers annuels , Rapport sur le contrôle interne
• Etablir conformément aux normes
Intermédiaires Rapport sur le développement durable externes
Résultats publiés • Parfois exigés par les régulateurs ou par
les clauses contractuelles
INTERNE
Exemple Exemple :
• Utilisés dans le cadre de gestion de
Rapport financier des divisions Les collaborateurs l’activité et de la prise de décisions
Analyse de rentabilité client L’utilisation des actifs • Etablies par le management et le conseil
Calculs des covenants bancaires Mesure de la satisfaction des clients
Mesure en matière de santé sécurité

15
Objectifs liés à la conformité
Ils concernent le respect des lois et règlements applicables à l’entité.
Il s’agit des lois et règlements auxquels la société est soumise. Les lois et les règlements en vigueur fixent des normes de
comportement que la société intègre à ses objectifs de conformité. Compte tenu du grand nombre de domaines
existants (droit des sociétés, droit commercial, environnement, social , fiscal, etc.), il est nécessaire que la société dispose
d’une organisation lui permettant de :
• être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille juridique) ;
• transcrire ces règles dans ses procédures internes;
• informer et former les collaborateurs sur celles des règles qui les concernent.
NB : Objectifs à l’échelle des entités / Objectifs détaillés

16
2.3) Référentiels du Contrôle Interne
• Dans le domaine du contrôle interne, il existe plusieurs référentiels à travers le monde qui convergent et se complètent
 Le cadre de référence de l’AMF (Autorité des Marchés Financiers)
 TUNRBULL GUIDANCE pour les UK
 Le COCO pour le CANADA,
 Le KONTRAG pour l’Allemagne
 Circulaire 3 de la BCEAO
 Les différents accords de BALE 1,2 ,3 pour les banques avec ses 3 piliers
 Solvency II: risques financiers pour les assurances
 Risk IT, pour les risques informatiques
 Guidelines for Ecological Risk Assessment, pour les risques environnementaux
 ISO 31000: énonce le lien entre la gestion du risque et la prise de décision;

importance des facteurs humains et culturels dans le processus de gestion des
risques
 Le référentiel COSO
2.3) Référentiels du Contrôle Interne: Focus sur le COSO
 Historique du COSO
• En 1985, création d’une commission, autour du Sénateur Treadway (USA),

connue sous la dénomination COSO (Committee of Sponsoring
Organizations of the Treadway Commission).
• Vocation : contribuer aux travaux de la « National Commission on Fraudulent

Financial Reporting-Treadway Commission » créée en 1985, une commission
qui étudie les facteurs qui pourraient conduire à des états financiers frauduleux,
et qui développe des recommandations pour les sociétés anonymes, les
auditeurs externes, la SEC et autres régulateurs.
• Publications :
- Edition en 1992 de l’ensemble des travaux sur le contrôle interne dans un
ouvrage : « Internal Control – integrated Framework » (Mise à jour 2013 )
- 2004, édition de l’ouvrage : « Enterprise Risk Management – Integrated
Framework » . (mise à jour 2017 )

18
 Présentation du COSO
• Le COSO est le référentiel intégré de contrôle interne qui

permet aux organisations de développer et de maintenir, de
manière efficace et efficiente, des systèmes de contrôle
interne qui renforcent la capacité de l’entité à atteindre ses
objectifs et s’adaptent aux évolutions de l’environnement
économique et opérationnel.
• Le référentiel comprend 05 composantes et 17 principes.
• Pour un contrôle interne efficace, chacune des 5 composantes

et 17 principes doivent être présents et fonctionner ensemble
et de façon intégrée.

19
 Environnement de contrôle (la fondation )
• L’environnement de contrôle est l’ensemble des normes, des processus et des structures qui constituent le socle de la mise en œuvre du contrôle interne
dans toute l’organisation.
• Le conseil et la direction générale font preuve d’exemplarité en ce qui concerne l’importance du contrôle interne, et notamment les normes de conduite
attendues. Le management répercute et précise ces attentes aux différents niveaux de l’organisation.
• L’environnement de contrôle englobe l’intégrité et les valeurs éthiques de l’organisation, les éléments permettant au conseil d’exercer ses responsabilités en
matière de surveillance, la structure organisationnelle ainsi que l’attribution des pouvoirs et des responsabilités, le processus de recrutement, de formation et
de fidélisation de personnes compétentes, et la robustesse des indicateurs, des mesures d’incitation et des gratifications favorisant le devoir de rendre
compte de la performance.
• L’environnement de contrôle a un impact déterminant sur l’ensemble du système de contrôle interne.

2
 5/17 principes du COSO
Environnement de contrôle
1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques
2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du
dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les
responsabilités.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents.
5. L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne

21
 Evaluation des risques
o Diversité de risques : sources externes et internes.
o Risque = Possibilité qu’un événement survienne et ait un impact défavorable sur la

réalisation des objectifs.
o Le risque est en général exprimé en multipliant sa probabilité d’occurrence et son impact.
o L’évaluation des risques implique un processus dynamique et itératif d’identification et d’analyse

des risques susceptibles d’affecter la réalisation des objectifs.
o Seuils de tolérance au risque.

2
Les familles de risques peuvent être les suivantes :
o Financier : risques pouvant faire perdre de l’argent à l’établissement

o État financier (ou reporting) : risques d’anomalies dans les comptes, d’informations
comptables erronées
o Conformité : risques pouvant mettre l’entreprise dans une situation non-conforme aux normes
ou lois
o Opérationnel : risques qui peuvent empêcher l’entreprise de remplir la mission qu’elle s’est
fixée
o Santé des personnes : risques pouvant atteindre la santé physique ou psychologique des
personnes en lien avec l’entreprise
o Sécurité de l’information : risques portant atteinte à la confidentialité, l’intégrité et l’accessibilité
de l’information
o Image : risques pouvant toucher la réputation de l’entreprise
o Environnement : risques qui peuvent porter atteinte à l’environnement (air, eau, sol, espace,
matières premières, énergie, etc.)
2
L’IFACI propose un outil appelé carte d’identité du processus, qui permet d’identifier les risques de
façon méthodique à travers les principales rubriques que sont:
- La finalité et les objectifs du processus

- Les données d’entrée
- Les étapes du processus
- Les données de sorties
- Les interfaces
Pour chaque, rubrique définir les objectifs et se poser la question suivante: quel évènement peut
empêcher l’atteinte de l’objectif?
NB: l’organisation peut utiliser d’autres méthodes d’identification des risques

2
Exemple:

2
Un risque s’évalue à partir de 2 critères:
 La probabilité de survenance du risque

 L’impact du risque.
En croisant la probabilité de survenance et l’impact

de survenance, on obtient le niveau de risque brut
ou la gravité du risque.
Ici, on ne tient pas compte des actions (ou éléments)

de maitrise qui existent.
Risque brut = Probabilité x Impact=➔ gravité du

risque

2
Evaluation des risques
6. L’organisation définit des objectifs de façon suffisamment claire pour rendre possible l’identification et l’évaluation des risques
susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur
analyse de façon à déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.

27
 Activités de contrôle
• Les activités de contrôle sont le contrôle de la mise en application des normes et des procédures définies par la
direction et le management dans la dynamique de la maîtrise des risques.
• Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers stades des processus métier. (Ex)
• Elles peuvent également être mises en œuvre par l’intermédiaire des systèmes d’information.
• On peut décliner les activités de contrôles en plusieurs catégories :

 Contrôle détectif / contrôle préventif / contrôle correctif
 Contrôle informatique / contrôle manuel
 Contrôle hiérarchique ou managérial / contrôle opérationnel
NB: Prendre compte la séparation des taches dans la sélection et lors du développement des activités du
contrôle

28
Activités de contrôle
10. L’organisation sélectionne et développe des activités de contrôle qui vise à maitriser et à ramener à un niveau acceptable les risques
susceptibles d’affecter la réalisation des objectifs .
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs , et de procédures qui permettent
de mettre en œuvre ces règles

2
 Information et communication
• L’information doit être pertinente, précise, exacte, en temps voulu et diffusée au bon destinataire. Sa circulation doit
être multidirectionnelle (descendante, ascendante et transversale), et intégrer les informations externes.
• La communication est l’outil indispensable pour la transmission de l’information – notamment les directives de la
Direction Générale – et ses caractéristiques essentielles sont l’efficacité et la clarté.
• La communication permet aux collaborateurs de comprendre les responsabilités liés au contrôle interne et leur
importance pour la réalisation des objectifs .
• Cette composante a pour objectif de faciliter la communication top-down et bottom-up et celle avec les tiers
• La communication de l’information peut être sous la forme de :

- Manuel de procédures
- Manuels de comptabilité et de reporting financier
- Mémorandum
- Electroniquement, oralement (réunions, compte-rendu) et par des actions des dirigeants

30
Information et Communication
13. L’organisation obtient , produit et utilise des informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne .
14. L’organisation communique en interne les informations nécessaires au bon fonctionnement du contrôle interne (objectifs et
responsabilités).
15. L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du contrôle interne.

31
 Pilotage
• L’organisation procède à des évaluations continues ou ponctuelles, ou à une combinaison de ces deux
formes d’évaluation pour s’assurer que chacune des cinq composantes du contrôle interne et les principes qui leur
sont associés sont mis en place et fonctionnent.
• Il doit intégrer le traitement des faiblesses du Contrôle interne détectées dans le but de renforcer l’atteinte des
objectifs
• Les performances du contrôle interne doivent être contrôlées de manière continue aux travers des opérations à
caractère de pilotage, et doivent aussi faire l’objet d’évaluations sous forme de revue indépendante.
• Le périmètre des activités à contrôler et la fréquence des contrôles dépendent de l’importance relative des risques
sous-jacents et des contrôles qui permettent de réduire ces risques.
• Ce système permet au management d’assumer son rôle de maître d’œuvre du dispositif de Contrôle Interne

3
Activités de pilotage
16.L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin
de vérifier si les composantes du contrôle interne sont mises en place et fonctionnent.
17.L’organisation évalue et communique en temps voulu les faiblesses de contrôle interne aux
parties chargées de prendre des mesures correctives

33
2.4) Trois lignes de défense du Contrôle interne
Un cadre de gestion des risques global est essentiel à la

gestion et à la maîtrise efficace d’une entreprise: Définir les objectifs
Conseil d’Administration
de l’organisation
Le modèle des trois lignes de défense distingue trois
groupes séparés impliqués dans une gestion efficace des Référentiel utilisé
risques dont les missions sont les suivantes: pour gérer les
risques et les
• Être responsable des processus et de la gestion des risques contrôles afin
• Superviser l’activité de gestion des risques d’atteindre les
objectifs
• Donner une assurance indépendante
1ère ligne de défense 2nde ligne de défense 3ème ligne de défense

Contrôle financier
Sécurité de l’Information Structure
Contrôle
Dispositif de
Gestion des Risques
organisationnelle
contrôle Audit Interne
Managérial Fraude et Investigation
pour assurer la
interne Conformité
gestion des risques
Revenue Assurance
….
Le métier Fonctions de contrôle et support Lignes d’assurance
Liens
Direction Générale hiérarchiques
Conseil d’Administration / Comité d’audit

34

35

36
GESTION DES RISQUES

3-1) DEFINITION ET TYPOLOGIES DES RISQUES
 DEFINITION DU RISQUE
Le risque est «la survenue possible d'un événement affectant la

réalisation des objectifs. Le risque est mesuré en termes d'impact et de
probabilité » (Glossaire IIA).

38
 TYPOLOGIE DES RISQUES

39
 TYPOLOGIE DES RISQUES : RISQUES STRATEGIQUES
Le risque stratégique se définit dans les grandes lignes comme les

pertes réelles qui résultent de la mise en œuvre d'un business plan
infructueux ou les pertes potentielles résultant d'opportunités manquées.
Des exemples pourraient être des produits inefficaces, l'incapacité à
réagir face à un changement de l'environnement l’acommercial ou
l’allocation inadéquate des ressources .

40
 TYPOLOGIE DES RISQUES : RISQUES REGLEMENTAIRES
Le risque règlementaire désigne le risque associé à la conformité (ou

non-conformité) aux directives et règles règlementaires, comme la lutte
contre le blanchiment d'argent/ le financement du terrorisme, l'obligation
de s'informer sur le client, la confidentialité des données, les limites sur
les comptes et les transactions, les comptes fiduciaires et les
règlementations relatives au recours à des agents.
Le risque règlementaire inclut également les règles plus générales
relatives au fonctionnement d'une institution particulière comme par
exemple l'octroi de licence, le capital et les liquidités.

41
 TYPOLOGIE DES RISQUES : RISQUES OPERATIONNELS
Le risque opérationnel est inhérent à toute entreprise, et se réfère aux

risques associés aux produits, pratiques commerciales, dommages aux
actifs physiques, ainsi qu'à la gestion de l'exécution, de la prestation et
du processus du service. En pratique, cela se réfère à une gamme vaste
et diverse d'activités nécessaires pour administrer l'entreprise. Pour
l'essentiel, les risques opérationnels sont internes à l'organisation et
peuvent donc être gérés avec soin

42
 TYPOLOGIE DES RISQUES : RISQUES TECHNOLOGIQUES
Le risque technologique a plusieurs implications pour les prestataires.

Etant dans l'incapacité de réaliser des transactions, les agents comme
les clients peuvent ne plus avoir confiance en le produit s'ils ne peuvent
pas accéder à leurs fonds. Cela peut entraîner un risque de réputation et
des pertes financières car les clients et les agents deviennent inactifs et
la pression de la concurrence leur fournit d'autres choix. Une défaillance
technologique donne aussi des opportunités aux fraudeurs de tirer profit
des inadéquations du système pour réaliser des transactions non
autorisées, résultant sur le vol de fonds

43
 TYPOLOGIE DES RISQUES : RISQUES FINANCIERS
• Risque de liquidité : Le risque de liquidité est le risque que l'institution soit

incapable de respecter ses engagements en termes de trésorerie et devienne
insolvable. Les tendances transactionnelles, telles que les montants moyens des
dépôts, les entrées et les sorties de fonds et les durées doivent être étroitement
suivies car le comportement des clients peut être influencé par un accès pratique
aux fonds, ce qui peut modifier le profil actif/passif de l'institution financière.
• Risque de crédit : Le risque de crédit est le risque que les clients ne remboursent
pas leurs emprunts et qu'ils ne disposent pas de garanties suffisantes ou que
l'institution ne puisse pas les saisir. Dans ce cas, l'institution est toujours
responsable envers ses petits épargnants et doit trouver d'autres moyens de les
rembourser si les prêts deviennent douteux

44
• Risque de taux d'intérêt : Le risque de taux d'intérêt sur les fonds

empruntés augmente, alors que l’institution ne peut augmenter le
taux d'intérêt facturé aux clients car les taux sur les prêts de long
terme sont fixes. Dans ce cas, l'institution paierait un montant
d'intérêts aux créanciers supérieur à que ce qu'elle gagne en le
prêtant, engendrant des pertes financières significatives.
• Risque de taux de change : Les pertes de change peuvent se
produire quand on échange des devises, ou quand il existe une
asymétrie des devises dans lesquelles les prêts et les dépôts sont
libellés. Les valeurs comptables des titres de créance peuvent
augmenter substantiellement suite aux fluctuations défavorables de
la devise, entraînant ainsi des pertes. Le risque de change peut
également poser problème si les revenus de l'organisation sont
générés dans un pays différent de celui où les coûts sont encourus

45
• Risque de concentration : Le risque de concentration se réfère à

une surexposition à une contrepartie (crédit) ou secteur particulier.
S'il existe une concentration des fonds détenus dans une banque
particulière, l'institution se retrouve confrontée à un risque de perte
excessive des fonds des clients si la banque devient insolvable. Le
placement des fonds dans plusieurs banques contribue à atténuer
ce risque, bien que cela entraîne davantage de procédures
administratives. De même, une dépendance excessive vis-à-vis
d'un segment particulier de la clientèle peut mettre en péril des
montants élevés de revenus si les préférences des clients évoluent
de telle sorte que des montants élevés de dépôts sont retirés.

46
 TYPOLOGIE DES RISQUES : RISQUES POLITIQUES
• Risque politique : Le risque politique est la possibilité que des décisions,

évènements ou conditions politiques affectent de manière significative la
rentabilité d'une entreprise ou la valeur attendue d'une action économique
donnée. Les risques politiques auxquels sont confrontées les institutions
découlent, entre autres, de troubles civils, du terrorisme, de la guerre, de
la corruption ou de la contraction de la croissance économique, ou de
conditions économiques défavorables suite à des changements dans les
politiques fiscales ou monétaires décidés par le gouvernement. Les
évènements relevant d’un risque politique ont des impacts sur le risque
opérationnel, en particulier la perturbation de l'activité, ils doivent donc
être inclus aux plans de continuité des activités.
Les risques politiques sont hors du contrôle des organisations et des clients
qui en sont affectés, mais peuvent avoir un impact sérieux sur l'activité. Bien
qu’on ne puisse pas les éviter, dans certains cas, on peut les prévoir, tels
que les élections connues, et des réserves pour imprévus peuvent être
mises en place au cas où le risque se matérialiserait,

47
3-2) DEFINITION , ENJEUX ET OBJECTIFS DE LA GESTION DES RISQUES
 DEFINITION DU MANAGMENT DES RISQUES
Le management des risques est « un processus

permettant d'identifier, d'évaluer, de gérer et de contrôler
les événements ou les situations susceptibles de fournir
une assurance raisonnable quant à la réalisation des
objectifs de l’organisation » .

4
 ENJEUX DU MANAGMENT DES RISQUES

4
 OBJECTIFS DU MANAGMENT DES RISQUES

5
3-3 ) DEMARCHE DE GESTION DES RISQUES
 PROCESSUS DE MANAGEMENT DU RISQUE
Les processus de management des risques

comprennent 5 étapes :
 Identification du contexte
 Identification des risques
 Evaluation et priorisation des risques
 Réponses aux risques
 Surveillance des risques

51
Etape 1: Identification du contexte
Une condition préalable à l'identification des risques est l'identification

des contextes significatifs dans lesquels les risques doivent être gérés. Les
contextes comprennent les éléments suivants :
· Lois et règlements
· Projets d'immobilisations
· Les processus d'affaires
· Technologie
· Risque de marché (p. ex. taux d'intérêt, taux de change, placements en
actions)
· Organisations

5
Etape 2: Identification des risques
L'identification des risques doit être effectuée à tous les niveaux de l'entité
(niveau de l'entité, division, unité opérationnelle) pertinents pour le (s)
contexte (s) identifié (s).
· Les exemples de facteurs de risque externes au niveau de l'entité

comprennent les changements technologiques et les changements dans
les désirs et les attentes des clients.
· Les exemples de facteurs de risque internes au niveau de l'entité
comprennent (1) les interruptions dans les systèmes automatisés, (2) la
qualité du personnel recruté et (3) le niveau de formation fourni.
Certaines occurrences peuvent être sans conséquence au niveau de l'entité
mais désastreuses pour une unité individuelle. L'identification des risques
doit tenir compte des événements passés (tendances) et des possibilités
futures. Les méthodes utilisées sont les suivantes :

5

5

5
Les autres méthodes d'identification des risques sont (a) le brainstorming,

(b) l'analyse SWOT (forces, faiblesses, opportunités et menaces) et (c)
l'analyse de scénarios (analyse de simulation).
· Interdépendance des événements
Lors de l'identification des événements, la direction doit tenir compte de la
façon dont les événements interagissent. Les événements sont rarement
isolés. Par exemple, les incitations liées à la performance peuvent
augmenter la productivité, mais elles peuvent aussi aboutir à des pratiques
de reporting frauduleux.
· Distinction entre les risques et les opportunités
Une fois les principaux événements et facteurs d'influence identifiés, la
direction peut déterminer si le potentiel est positif ou négatif. Dans certains
cas, un événement peut présenter ces deux aspects. Les opportunités
positives sont réintégrées dans la stratégie et le processus de mise en place
des objectifs. Les événements ayant un impact négatif qui représentent un
risque devront être évalués en profondeur afin de déterminer la réponse à
apporter.
5
Etape 3: Evaluation et Priorisation des risques
Le processus d'évaluation des risques peut être formel ou informel. Cela

implique :
· Évaluer l’impact d'un événement,
· Évaluer la probabilité de l'événement, et
· Envisager les moyens de gérer le risque.
Facteurs courants de probabilité et d'impact

57
Les résultats de l'évaluation de la probabilité et de l'impact des événements de risque identifiés

sont utilisés pour hiérarchiser les risques et produire des informations décisionnelles.
Les méthodes d'évaluation des risques peuvent être qualitatives ou quantitatives.
· Les méthodes qualitatives comprennent (1) les listes de tous les risques, (2) les classements
des risques et (3) les cartes des risques.
 Les cartes de chaleur présentent les niveaux de risque par couleur. Risques qui ont la
même probabilité (par exemple, éloignée, improbable, possible, probable ou certaine) et
l'impact (par exemple, négligeable, faible, moyen, élevé ou extrême) ou qui se situent
dans la même fourchette de gravité (c.-à-d. évaluation de la probabilité et de l'impact),
se voient attribuer la même couleur.
 Les cartes matricielles des risques présentent les risques sur un graphique avec une
probabilité sur un axe et un impact sur l'autre axe.

5
• Exemple de carte de chaleur des risques

59

• Exemple de carte matricielle des risques

6
· Les méthodes quantitatives incluent des modèles probabilistes.

Par exemple, certaines organisations se concentrent sur les revenus à
risque en examinant comment les variables influent sur les gains.

61
Etape 4: Réponse aux risques
Les réponses aux risques sont les moyens par lesquels une organisation choisit de
gérer les risques individuels. Chaque organisation sélectionne les réponses aux
risques qui alignent les risques sur l'appétence pour le risque (le niveau de risque
que l'organisation est prête à accepter).
Les stratégies de réponse au risque comprennent les suivantes :
· L'évitement des risques met fin à l'activité à l'origine du risque. Par exemple, le
risque de sabotage d'un pipeline peut être évité en vendant le pipeline.
· L’acceptation des risques accepte le risque d'une activité. Ce terme est
synonyme d'auto-assurance.
· La réduction des risques (atténuation) réduit le niveau de risque associé à une
activité. Par exemple, le risque de pénétration des systèmes peut être réduit en
maintenant une fonction efficace de sécurité de l'information au sein de l'entité.
• Le partage des risques transfère un certain potentiel de perte à une autre partie.
Des exemples sont l'assurance, la couverture, la conclusion de coentreprises,
l'externalisation d'une activité et les ententes

6
Etape 4: Réponse aux risques
Le risque résiduel est le risque qui subsiste après l'exécution des réponses au
risque.
Dans les grandes entités ou les entités complexes, la direction générale peut nommer
un comité des risques pour a) examiner les risques identifiés par les diverses
unités opérationnelles et b) créer un plan d'intervention.
Tout le personnel doit être conscient de l'importance de la réponse au risque
appropriée à leurs niveaux de l'entité.

63
Etape 5 : Surveillance des risques
Le suivi des risques (a) suit les risques identifiés, (b) évalue les plans actuels de
réponse aux risques, (c) surveille les risques résiduels et (d) identifie les nouveaux
risques.
Les deux sources d'information les plus importantes pour les évaluations continues
de l'adéquation des réponses aux risques (et la nature changeante des risques) sont :
· Les plus proches des activités. Le gestionnaire d'une unité d'exploitation est le
mieux placé pour surveiller les effets des stratégies de réponse au risque choisies.
· La fonction d'audit. Les directeurs d'exploitation peuvent ne pas toujours être
objectifs quant aux risques auxquels font face leurs unités, surtout s'ils ont aidé à
concevoir une stratégie de réponse particulière. L'analyse des risques et des
réponses fait partie des responsabilités normales des auditeurs internes.

64
3-4) DEMARCHE DE GESTION DES RISQUES (COSO ERM )
 COSO « Enterprise Risk Management – Integrated Framework »
• Définition de l’ERM :
 Un processus
 Effectué par le Conseil d’administration, la Direction et
l’ensemble des salariés
 Appliqué dans le cadre d’une stratégie prédéfinie
 Appliqué dans toute l’entreprise (entité, divisions,
filiales, BU)
 Conçu pour identifier d’éventuels évènements qui
pourraient affecter l’entreprise
 Gère les risques afin qu’ils restent dans la limite des
risques que l’entreprise est encline à supporter (notion
de « risk appetite » et « risk tolerance »)
 Procure une assurance raisonnable quant à la
réalisation des objectifs de l’entreprise

6
Le cadre de GRE du COSO comprend cinq composantes inter-reliées. Vingt principes sont répartis entre les
composantes.
· Les éléments d'appui sont les suivants
 Gouvernance et culture et
 Information, communication et reporting.
· Les éléments communs du processus sont les suivants
 Stratégie et fixation d'objectifs,
 Rendement, et
 Examen et révision.

6
Les 4 objectifs d’une entreprise :
 Stratégique
– Objectifs stratégiques « high-level » qui corroborent la vision et la mission de l’entreprise
 Opérations
– Efficacité et efficience des ressources utilisées
 Reporting
– Fiabilité des processus de reporting au sens large du terme, pour tout type d’information (financière / non
financière; interne / externe)
 Conformité
– Aux textes et lois en vigueur

67
 Environnement interne
La pierre angulaire des autres composantes car il influence
– La mise en place de la stratégie et des objectifs
– L’organisation des activités opérationnelles (et donc la manière d’identifier et d’évaluer les risques)
– La conception et le fonctionnement des activités de contrôles
– La circulation de l’information et la mise en place des systèmes d’information
La philosophie de l’entreprise concernant la gestion des risques

– Intégrité et éthique
– Compétences (connaissance et aptitudes nécessaires à l’accomplissement des tâches)
– Conseil d’administration et Comité d’audit
– Philosophie et style de management des dirigeants
– Structure de l’entreprise
– Délégation de pouvoirs et domaines de responsabilité
– Politique en matière de ressources humaines

68
 Définition des objectifs
 Étape préalable à l’identification et l’analyse des risques: Définition des objectifs stratégiques par rapport à la
mission ou vision de l’entreprise afin de définir la stratégie de l’entreprise pour atteindre ces objectifs.
 Identification des « objectifs secondaires » qui découlent des objectifs stratégiques, et qui permettent de fixer
les objectifs au niveau des entités ou business units.
 Atteinte des objectifs: Capacité de l’entreprise pour atteindre ses objectifs par rapport aux facteurs externes.

69
 Définition des objectifs
 Attitude de prise de risques (« risk appetite »): Définition du niveau de risque acceptable pour la direction et
conseil d’administration afin d’atteindre les objectifs de l’entreprise.
 Attitude de tolérance des risques (« risk tolerance »): Définition du niveau acceptable de déviation par rapport
aux objectifs prédéfinis.
 Objectifs sélectionnés: Mise en place d’un processus alignant les objectifs stratégiques de l’entreprise et ses
missions afin d’assurer leur cohérence avec le « risk appetite ».

70
 Identification des évènements potentiels

 Évènements : Un évènement est un incident interne ou externe, positif ou négatif affectant l’implémentation des stratégies
ou l’atteinte des objectifs de l’entreprise.
 Facteurs externes (économie, environnement naturel, politique et social, technologie) et internes (infrastructure, personnel,
processus, technologie).
 Techniques d’identification des évènements: Différentes méthodes et outils peuvent être utilisés selon les différentes
entreprises.
 Interdépendance des évènements: Les événements sont interactifs.
 Catégories des évènements: La définition des catégories permet au management de vérifier si les évènements sont
identifiés d’une manière complète.
 Distinction entre risques et opportunités: Un évènement peut avoir un impact négatif, positif ou les deux sur l’activité de
l’entreprise.
71
 Evaluation des risques
 Contexte : Les contextes peuvent varier selon les métiers, les profils, la taille, la complexité et l’environnement
réglementaire de l’entreprise
 Risques inhérents et risques résiduels : Le risque résiduel est celui qui subsiste après la mise en place de l’activité de
contrôle diminuant l’impact ou la probabilité de survenance du risque inhérent
 Evaluation de l’impact et de la probabilité : Un risque peut être évalué en terme d’impact et de probabilité
 Techniques d’évaluation : Combinaison des méthodes qualitatives et quantitatives
 Relation entre les évènements : Les évènements liés l’un à l’autre doivent être évalués groupés. Sinon, ils doivent être
évalués individuellement.

72
 Réponses aux risques
 Identifier les plans d’actions possibles:

– Éviter les risques
– Réduire les risques
– Partager les risques
– Accepter les risques
 Évaluation des différents plans d’actions:

– Évaluer l’effet sur l’impact et la probabilité
– Évaluer coûts / profils
 Sélectionner les plans d’action sur la base de l’évaluation du portefeuille global de risques et de l’évaluation des différents
plans d’actions possibles.

73
 Activités de contrôles
 Mise en place du plan d’action
 Définition des activités de contrôle correspondant au plan d’action
 Identification des types d’activité de contrôle : préventif/détectif, manuel/informatique, etc…
 Etablissement des règles et procédures
 Contrôles spécifiques des différentes entités
 Contrôles informatisés :
– Contrôles généraux informatiques
– Contrôle d’application

74
 Information et communication
 Information: L’information est nécessaire à tous les niveaux de l’entreprise pour identifier, évaluer et répondre
aux risques
– Information interne/externe
– Information financière/non financière
 Communication: La communication se repose sur le système d’information

– Communication interne
– Communication externe

75
 Pilotage
 Pilotage en permanence au travers des activités au quotidien:

– Des activités routinières permettent à l’entreprise de piloter l’efficacité du risk management en permanence
 Revue indépendante:
– Des revues indépendantes régulières concentrées sur l’efficacité du risk management sont aussi nécessaires
 Reporting des défaillances:

– Quelles sources d’informations ?
– Quoi ?
– Qui ?
– Quelles sont les informations nécessaires pour la prise de décision à un niveau précis du management ?
76
 Les Trois Lignes de défenses

Un cadre de gestion des risques global est essentiel à la
gestion et à la maîtrise efficace d’une entreprise: Définir les objectifs
Conseil d’Administration
de l’organisation
Le modèle des trois lignes de défense distingue trois
groupes séparés impliqués dans une gestion efficace des Référentiel utilisé
risques dont les missions sont les suivantes: pour gérer les
risques et les
• Être responsable des processus et de la gestion des risques contrôles afin
• Superviser l’activité de gestion des risques d’atteindre les
objectifs
• Donner une assurance indépendante
1ère ligne de défense 2nde ligne de défense 3ème ligne de défense

Contrôle financier
Sécurité de l’Information Structure
Contrôle
Dispositif de
Gestion des Risques
organisationnelle
contrôle Audit Interne
Managérial Fraude et Investigation
pour assurer la
interne Conformité
gestion des risques
Revenue Assurance
….
Le métier Fonctions de contrôle et support Lignes d’assurance
Liens
Direction Générale hiérarchiques
Conseil d’Administration / Comité d’audit

77
 Rôles et Responsabilités
 Conseil d’Administration
• Le Conseil d’Administration est responsable en dernier ressort de l’existence d’un système de contrôle interne
répondant aux référentiels et lois/règlements en vigueur. Dans ce cadre, il doit notamment :
 surveiller la mise en place et le bon fonctionnement du système de contrôle interne de l'établissement dans ses
phases de conception, de mise en œuvre et de pilotage ;
 approuver la structure organisationnelle et veiller à ce que l'organe exécutif surveille l'efficacité du système de
contrôle interne ;
 s'assurer que la fonction d'audit interne dispose de moyens appropriés pour exécuter ses missions en toute
indépendance ;
 examiner, au moins une fois par an, l'efficacité du système de contrôle interne en s'appuyant en partie sur les
informations transmises par la fonction d'audit interne, les commissaires aux comptes et la Commission Bancaire
 mandater, au moins tous les cinq ans, une revue externe d'assurance qualité de la fonction d'audit interne.
• Selon les cas, il peut être assisté par un Comité d’Audit et/ou Comité des risques pour l’exercice des prérogatives qui lui
incombent en matière de contrôle interne.

78
 Comité d’audit
• Émanation du conseil, il doit, lorsqu’il existe, assurer une surveillance attentive et régulière du dispositif de
contrôle interne.
• La fréquence des réunions, l’indépendance du comité, l’accès aux informations pertinentes, les
compétences diversifiées des membres du comité sont autant d’atouts pour aider au bon fonctionnement du
contrôle interne.
• La surveillance exercée par le comité se traduit par l’obligation qui est faite aux différents responsables de
lui rendre compte régulièrement
• En charge de l’examen approfondi de questions financières, comptables et de gestion des risques, doit se
réunir périodiquement afin de faire le point sur l’état des risques de l’entreprise correspondant à son profil et
la gestion de ces risques par les dirigeants
• Un membre du Comité d’Audit a les compétences nécessaires en matière comptable et financière.

79
 Organe exécutif
• Sont notamment considérés comme membres de l'organe exécutif: le Directeur Général, les Directeurs Généraux Adjoints, le
Secrétaire Général et les Responsables des fonctions de contrôle.
• L’organe exécutif est tenu de mettre en place un système de contrôle interne conforme aux bonnes pratiques. Il doit
notamment :
 élaborer des politiques et procédures de contrôle interne appropriées et surveiller l'adéquation et l'efficacité du système de
contrôle interne ;
 définir clairement et maintenir les structures, les rattachements hiérarchiques ainsi que les pouvoirs et responsabilités qui
permettent d'atteindre les objectifs de contrôle interne ;
 informer la fonction d'audit interne, à temps, de tous nouveaux développements, initiatives, projets, produits et changements
opérationnels ainsi que des risques y relatifs ;
 s'assurer que des mesures appropriées sont prises dans les délais fixés pour mettre en œuvre toutes les actions correctrices
découlant des recommandations de l'audit interne, des commissaires aux comptes ou de la Commission Bancaire ;
 promouvoir l'indépendance de la fonction d'audit interne et mettre à sa disposition les ressources nécessaires pour mener à bien
ses missions ;
 rendre compte régulièrement à l'organe délibérant de l'efficacité du système de contrôle interne.
80
 Audit interne
• La fonction d’audit interne est chargée de donner aux organes de gouvernance une assurance raisonnable quant à la qualité et à
l'efficacité du système de contrôle interne, des dispositifs de gouvernance, de gestion des risques et de gestion du risque de non-
conformité en vue de faciliter leur maîtrise des activités de l'établissement et des risques encourus.
• Il fournit au Comité d’Audit des analyses, des évaluations et des recommandations portant sur le système de Contrôle Interne, de
management des risques et sur la gouvernance de l’organisation. Par ces missions, situées dans la troisième ligne de défense, il
apprécie entre autres l’efficacité et l’efficience du Contrôle Interne et participe à améliorer le processus de Contrôle Interne.
• Elle fait également des propositions auxdits organes pour renforcer l'efficacité de ces systèmes et dispositifs.
 Personnel
• Chaque membre du personnel d’une entreprise doit :

 effectuer avec diligence l'ensemble des activités de contrôle qui lui sont attribuées ;
 disposer de toutes les informations nécessaires pour notamment établir, faire fonctionner et surveiller le système de contrôle
interne.

81
3-5) DEMARCHE DE GESTION DES RISQUES ( ISO 31000 )
 ISO 31000 – Principes , cadre et processus
La Gestion des Risques de l’Entreprise (GRE) du COSO est basé sur des objectifs. En revanche, ISO 31000 est une
approche de management des risques basée sur des principes. Il énonce des principes qui sont à la base d'un processus
efficace de management des risques.
La Gestion des risques :

· Est une activité à valeur ajoutée.
· Ne peut se dissocier des opérations et des processus de prise de décision de l'organisation.
· Traite de l'incertitude de façon structurée, ordonnée, sans ambiguïté et en temps opportun.
· Utilise les meilleures informations disponibles.
· Est adaptée à l'environnement d'exploitation, la culture et les objectifs de l'organisation.
· Est transparente, vérifiable et inclut les parties prenantes.
· Utilise un cycle itératif pour favoriser une amélioration continue, les connaissances au niveau organisationnel et la
capacité à rapidement tenir compte des changements au niveau des environnements.

82
Un cadre de management des risques est un ensemble d'éléments qui fournissent les bases et les dispositions organisationnelles pour la
conception, la mise en œuvre, le suivi, l'examen et l'amélioration continue du management des risques dans l'organisation.
· Un mandat et un engagement du conseil d'administration et de la direction générale garantissent que les processus de management
des risques sont conformes aux objectifs de l'organisation et que des ressources suffisantes ont été affectées à son succès.
· La conception d'un cadre de management des risques permet de jeter les bases d'un processus efficace de management des risques.
Cette fondation implique
 Comprendre l'organisation et son contexte

 Établir une politique de management des risques
 Déléguer la responsabilité et l'autorité
 Intégrer le management des risques dans les processus organisationnels
 Allouer les ressources nécessaires
 Établir des communications internes et externes et les méthodes de reporting

83
• La mise en œuvre du management des risques aide l'organisation à atteindre ses objectifs.
• Le suivi et l'examen du cadre évaluent l'efficacité des processus de management des risques.
• L'amélioration continue du cadre garantit l'efficacité à long terme des processus de management des risques.

84
Le processus de management des risques ISO 31000 comprend les sept éléments suivants :
· La communication et la consultation nécessitent une communication et une consultation continue et structurées avec les personnes
affectées par les opérations de l'organisation.
· L'établissement du contexte identifie et comprend les facteurs externes et internes qui influenceront le management des risques de
l'organisation. Cet élément tient également compte des niveaux d'appétence pour le risque et de tolérance au risque de l'organisation.
· L'identification des risques prend en compte les sources de risque, les zones d'impact et les événements potentiels ainsi que leurs
causes et conséquences.
· L'analyse des risques prend en compte l'impact et la probabilité de chaque risque.
· L'évaluation des risques donne la priorité aux risques identifiés.
· Le traitement du risque décide d'une réponse au risque appropriée (éviter, partager, réduire ou accepter) qui est compatible avec
l'appétence pour le risque de l'organisation.
· Surveillance et examen permettent d'évaluer si les traitements des risques sont efficaces.

85

86
 ISO 31000 – Responsabilités pour le management des risques
Le conseil est responsable de la supervision du management des risques et a la responsabilité globale de s'assurer que les risques sont
gérés et que le système de management des risques est efficace.
La direction est responsable de définir l'attitude de risque de l'organisation, qui est définie par l'ISO comme « l’approche de
l'organisation pour évaluer, puis poursuivre, conserver, prendre ou se détourner du risque ».
La direction identifie et gère également les risques. L'activité d'audit interne est chargée de fournir une assurance concernant l'ensemble
du système de management des risques.

87
 ISO 31000 – Approche d’assurance
ISO 31000 décrit trois approches pour fournir une assurance sur le processus de management des risques : (1) les principes clés, (2)
l'élément de processus, et (3) le modèle de maturité.
• L'approche des principes clés évalue si les 11 principes de management des risques sont mis en pratique.
• L'approche des éléments de processus évalue si les sept éléments de management des risques ont été mis en pratique.
• L'approche du modèle de maturité est basée sur le principe selon lequel les processus efficaces de management des risques se
développent et s'améliorent avec le temps, à mesure que de la valeur est ajoutée à chaque étape du processus de maturation.
• En conséquence, cette approche détermine où se situe le processus de management des risques sur la courbe des échéances et évalue
si (1) elle progresse comme prévu, (2) ajoute de la valeur et (3) répond aux besoins organisationnels.

88
Un exemple de courbe de maturité (c'est-à-dire le modèle de maturité) est le modèle de maturité de capacité (CMM). Ce modèle
comprend les cinq niveaux de maturité suivants, présentés par ordre de maturité : (a) initial, (b) répétable, (c) défini, (d) géré et (e)
optimisé.
Niveau 1—Initial : Les organisations à ce niveau ne disposent pas de politiques ou de procédures définies. Ces organisations font
preuve d'un manque d'intérêt ou d'engagement de la part de la direction et des employés.
Niveau 2—Reproductible : ces organisations bénéficient d'une politique définie et d'un certain engagement de la part de la direction et
des employés.
Niveau 3—Défini : Une politique est établie et la direction générale s'engage à la mettre en œuvre. Des risques ont été évalués, des
priorités établies, des ressources attribuées et des activités effectuées ou développées pour assurer des contrôles cohérents.
Niveau 4—Maîtrisé : Les exigences et les contrôles font partie intégrante du cadre de l'organisation. Toutes les parties de l'organisation
se sont engagées.
Niveau 5—Optimisé : Le cadre à des fins d'amélioration continue. Toute action corrective est abordée par l'ensemble des parties
concernées de l'organisation et aucune modification n'est apportée sans une coordination étendue.

89
Le principe de base de cette approche est que le management des risques doit ajouter de la valeur. Un aspect essentiel de l'approche du
modèle de maturité est que la performance du management des risques et les progrès réalisés dans l'exécution du plan de management
des risques doivent être liés à un système de mesure de la performance. Un tel système de performance consiste typiquement en ce qui
suit :
· Normes de performance.
· Critères sur la façon dont les normes peuvent être satisfaites.
· Une méthode de comparaison des performances réelles avec chaque norme.
· Une méthode d'enregistrement et de reporting des performances et d'amélioration de la performance.
· Vérification indépendante périodique de l'évaluation de la direction.

90
GESTION DES RISQUES DE
FRAUDE

Ensemble, réduire la fraude dans le monde entier
L’ACFE (Association of Certified Fraud Examiner) est la première institution de formation et de professionnalisation en matière de lutte contre la fraude dans le monde,
et la certification qu’elle délivre est reconnue par les professionnels du monde entier.
L’ACFE réduit la fraude professionnelle dans le monde entier en donnant aux professionnels de la lutte contre la fraude une formation, des ressources et une certification
professionnelle de pointe.
Elle rassemble près de 85 000 professionnels de la lutte contre la fraude toutes spécialités et organisations confondues (entreprises, cabinets de conseil, institutions
publiques et organisations non gouvernementales), notamment : experts-comptables, auditeurs, juristes et avocats, consultants, universitaires, agents
gouvernementaux.
L’ACFE a pour vocation de :
• Mettre à disposition de ses membres des ressources sur le thème de la fraude (ex: la corruption)
• Mettre en relation et former des professionnels de la lutte contre la fraude,
• Collaborer et développer en commun des savoir-faire avec les groupes et les organisations engagés dans l’étude et dans la lutte contre la fraude.

92
4-1) DEFINITION ET CARACTERISTIQUES DE LA FRAUDE
D’après l’Association of Certified Fraud Examiners (ACFE), la
Depuis quelques semaines, la presse ne parle
que de la fraude orchestrée par le Directeur fraude est l’utilisation par une personne de son activité professionnelle
Financier de notre plus grand concurrent! Vu
le modus operandi de ce Directeur, je doute
pour s’enrichir personnellement par le détournement volontaire des
que nous soyons nous même à l’abris hein. Il
est peut être opportun que nous soyons
ressources ou des actifs de son employeur.
édifiés sur ce sujet de fraude et surtout
comment le prévenir.
Qu’en pensez vous ? Je suis totalement d’accord avec D’après le Dictionnaire La Rousse, la fraude est un acte
vous DG. Je suggère que nous
nous connections et suivions très malhonnête fait dans l'intention de tromper en contrevenant à la
attentivement le webinar que le
Coach Armand organise en ce
loi ou aux règlements
moment avec son collègue
Michael!
D’après le Cadre de référence Internationale des Pratiques
Professionnelles de l’audit interne de l’IIA (page 35), la fraude c’est
tout acte illégal caractérisé par la tromperie, la dissimulation ou
la violation de la confiance sans qu’il y ait eu violence ou menace
de violence.
La fraude au sein de l’organisation apparaît alors comme un acte

délibéré effectué par un de ses membres (employés, mandataires
sociaux…) dans le but d’obtenir malhonnêtement un avantage par
la réduction de l’actif de son organisation.

93
Depuis quelques semaines, la presse ne parle

que de la fraude orchestrée par le Directeur
Financier de notre plus grand concurrent! Vu
Selon le Guide pratique intitulé « Gérer le risque de fraude
le modus operandi de ce Directeur, je doute
que nous soyons nous même à l’abris hein. Il
inhérent à l’activité économique » parrainé par l’IIA , de l’American
est peut être opportun que nous soyons Institute of Certified Fraud Examiners , en donne une autre
édifiés sur ce sujet de fraude et surtout
comment le prévenir. définition :
Qu’en pensez vous ? Je suis totalement d’accord avec
vous DG. Je suggère que nous
nous connections et suivions très
attentivement le webinar que le
« La fraude est un acte volontaire ou une omission volontaire ayant
Coach Armand organise en ce
moment avec son collègue
pour objet de tromper un ou des tiers . Il en résulte une perte pour les
Michael! victimes et/ou un gain pour le fraudeur . »
En d’autres termes , la fraude est tout acte caractérisé par une

tromperie institutionnelle ou une fausse déclaration .
Le risque de fraude est la possibilité qu’une fraude se produise et

ses effets potentiels sur l’organisation lorsqu’elle se produit .

94
TRIANGLE DE LA FRAUDE
95
La pression ou l'incitation correspond au besoin qu’un individu

essaie de satisfaire en commettant une fraude. Souvent, la pression
provient d'un besoin d’argent ou d’un problème financier
significatif. Cela inclut la nécessité de conserver son travail ou
d’obtenir une prime. Dans les entreprises cotées, la pression peut
provenir du besoin d'atteindre ou de dépasser les prévisions des
analystes financiers. Par exemple, une prime ou une rémunération
financière importantes peuvent être liées à certains objectifs de
résultat. Le fraudeur a le désir de maintenir sa position au sein de
l'organisation ainsi que son train de vie afin d’être à la hauteur des
personnes qu’il considère comme ses pairs.

96
L'opportunité correspond à la capacité de commettre la fraude sans être repéré. Comme
les fraudeurs ne veulent pas être pris en flagrant délit, ils doivent croire que leurs actions
ne seront pas détectées. L’opportunité est créée par un dispositif de contrôle interne
faible, un management défaillant, un manque de surveillance du Conseil et/ou par
l'utilisation d’une position et d’un niveau hiérarchique pour contourner les contrôles.
L’incapacité à établir des procédures adéquates pour détecter les activités frauduleuses
accroît également les opportunités de fraude. Un processus peut être adapté aux
conditions courantes, toutefois une situation particulière peut survenir qui crée les
circonstances d’une défaillance du système de contrôle. Les personnes disposant d’une
autorité peuvent être en mesure de créer de telles opportunités, dans la mesure où les
salariés ou la faiblesse des contrôles leur laissent une possibilité de contourner le système
de contrôle établi.
L’opportunité se présente souvent lorsque le fraudeur sait ce qui va être fait par l'auditeur
notamment les « quand, quoi et combien » des procédures d’audit.
Par exemple, si le fraudeur sait que l’auditeur vérifie uniquement les transactions
significatives du mois de décembre, il peut commettre sa fraude sur de plus petites
transactions au cours des autres mois. Cette caractéristique est celle que l'organisation
peut influencer le plus, par exemple au moyen de contrôles.

97
La rationalisation est la capacité d’une personne à justifier sa fraude, élément essentiel

de la plupart des fraudes. Dans la rationalisation, une personne est capable d'aligner son
comportement (voler, par exemple) avec les notions généralement acceptées de décence
et de confiance. Par exemple, le fraudeur devient lui-même la priorité (égocentrique) au
détriment du bien de l’organisation ou de la société en général. Il peut croire que sa
fraude est justifiée lorsqu’il s'agit de sauver un membre de sa famille ou un être cher et
qu’elle lui permet de financer des frais médicaux élevés. Ou dans d’autres cas, la
personne voit son vol comme un « emprunt » et a l’intention de rembourser les sommes
dérobées ultérieurement.
Certaines personnes peuvent commettre des actes considérés comme inacceptables par
l’organisation alors que ces comportements sont communément acceptés par leur culture
ou étaient acceptés par leur précédent employeur. Les fraudeurs sont ainsi capables de
justifier leurs comportements, les règles ne s’appliquant pas à eux.
La direction générale peut limiter cette rationalisation par ses actions, en mettant en
place, par exemple, des principes équitables en matière de travail, de salaire, d’emploi ou
en développant un comportement exemplaire (le management façonne les comportements
attendus de la part des employés).

98
TRIANGLE DE LA FRAUDE

99
4-2) SYMPTOMES DE LA FRAUDE
• Un symptôme du document consiste à altérer les enregistrements comptables pour

dissimuler une fraude. Garder deux séries de livres ou forcer les livres à se réconcilier
sont des exemples.
• Un symptôme de style de vie est une augmentation inexpliquée du statut social ou

du niveau de consommation matérielle d'un employé.
• Un symptôme comportemental (c'est-à-dire une modification radical du

comportement d'un employé) peut indiquer la présence de fraude. La culpabilité et
d'autres formes de stress associées à la perpétration et à la dissimulation de la fraude
peuvent entraîner des changements de comportement visibles.

10
• Les fraudeurs ont souvent des comportements ou caractéristiques qui peuvent servir de signaux d'avertissement ou
d'indicateurs de fraude. Certains d’entre eux sont anormalement irritables, d’autres commencent à dépenser de
façon inconsidérée ou deviennent de plus en plus secrets sur leurs activités. Toutefois, la présence de ces
symptômes ne signifie pas forcément qu'une fraude est en train de se produire ou interviendra dans le futur. Les
indicateurs de fraude (signaux d’alerte) sont liés au moment, à la fréquence, au lieu, au montant ou à la personnalité.
• Les indicateurs de fraude relatifs aux entreprises comprennent, lignes de responsabilité et de transparence
imprécises, les contournements des contrôles par la direction générale ou le management, les décisions de
gestion inhabituelles ou mal justifiées, les dépassements constants des objectifs indépendamment de
l'évolution de l’environnement économique et/ou concurrentiel, la prépondérance des transactions ou
écritures comptables non-routinières, la rotation élevée parmi les postes de supervision dans les domaines
financier et comptable, les difficultés ou retards pour communiquer les informations requises, le manque de
rotation des employés dans des postes sensibles tels que la gestion de trésorerie ou les achats, la combinaison
inappropriée de tâches, et les changements significatifs ou inhabituels de clientèle ou de fournisseurs. Ces
indicateurs comprennent également les transactions non documentées ou non approuvées, les situations où les
salariés ou la direction générale remettent des chèques en main propre, les réclamations de la clientèle concernant la
livraison et l’insuffisance des contrôles d'accès des systèmes d’information comme la faiblesse des contrôles par
mots de passe.

101
• Les indicateurs de fraude relatifs aux personnes incluent le fait de vivre au-dessus de ses moyens, de manifester
auprès de ses collègues une insatisfaction liée à son travail, un lien inhabituel avec des fournisseurs, de pertes
financières importantes au niveau personnel, une dépendance aux drogues, à l'alcool ou au jeu, un changement de
situation personnelle, un employé qui refuse de prendre des vacances ou refuse la promotion et le développement
d’intérêts économiques externes. Par ailleurs, il existe des fraudeurs qui trouvent systématiquement une logique à
des résultats insuffisants, perçoivent comme un défi intellectuel de triompher du système, fournissent des
informations et des rapports douteux et prennent rarement des vacances ou arrêts maladie (et personne n’effectue
leur travail en leur absence).
• Ces signaux d’alerte de fraude sont souvent des indicateurs de comportements inappropriés. Le management et les
auditeurs internes doivent être formés pour comprendre et identifier les signaux d’avertissement potentiels de
comportements frauduleux. Bien qu’aucun de ces indicateurs ne signifie qu'un salarié soit effectivement en train de
commettre une fraude, une combinaison de ces facteurs pourrait bien indiquer un besoin d’investigation et
d’attention accrue de la part des auditeurs internes.
• Le niveau de sensibilisation aux schémas de fraude se développe à partir de l’évaluation faite régulièrement par le
management et les auditeurs internes et grâce à la formation des salariés, et à des échanges fréquents entre le
management et les salariés.

10
4.3 ) TYPOLOGIE DE FRAUDE
Détournement de l’encaisse en numéraire Fraude aux chèques et moyens de paiement

Le fraudeur détourne l’argent liquide disponible dans Un employé vole des chèques vierges de la société et les
les caisses de l’organisation : un employé vole de libelle à son nom ; un employé redirige un paiement
l’argent liquide dans un coffre-fort de l’entreprise. électronique sortant vers un fournisseur pour qu'il soit
déposé sur son propre compte bancaire
L’écrémage
Le fraudeur intercepte un paiement entrant avant qu’il Fraude aux remboursements de frais
ne soit comptabilisé dans les livres: un employé réalise Un employé présente une demande de remboursement de
une vente, encaisse l’argent du client et soit, il frais professionnels fictifs ou gonflés : l’employé remplit une
n’enregistre pas la vente dans système soit l’enregistre note de frais frauduleuse, demandant le remboursement
pour un montant inférieur et empoche la différence d’un voyage personnel, de repas inexistants.
Fraude liée à la facturation Fraude ciblant le système de paie

Un employé conduit son employeur à effectuer un Un employé demande le paiement d’heures
paiement en présentant des factures pour des biens supplémentaires qui n’ont pas été effectuées ; l’employé
ou des services fictifs, des factures gonflées ou des ajoute des employés fictifs sur le registre du personnel
factures pour des achats personnels : un employé crée Fraudes sur les stocks
une société écran et facture à son employeur des Un employé commande des stocks excédentaires et les
services qui n’ont pas été réellement rendus revend, utilisation personnelle des biens de l'entreprise…
10
Fraude sur les déclarations des états financiers Corruption

Le fraudeur exagère les actifs ou les revenus ou sous- Il s’agit d’une mauvaise utilisation de la puissance , par
estiment les passifs et les dépenses . La direction peut exemple la subornation . Il en résulte peu de preuves
bénéficier en vendant des actions , en recevant des comptables . Ces crimes sont généralement révélés par
primes ou en dissimulant d’autres fraudes des conseils ou des plaintes de tiers .
Evasion Fiscale Diversion

Le fraudeur falsifie intentionnellement une déclaration Le fraudeur redirige vers un employé ou une entreprise
des revenus étrangère une transaction qui profiterait normalement
à l’organisation .

10
Fraude
Corruption Détournements d’actifs Fraude sur les états financiers
Sur-évaluations Sous-évaluations
Corruption/ Prises illégales Conflits Extorsion Stocks et
Espèces de l’actif net/ de l’actif net/
Subornation d'intérêts d’intérêt économique autres actifs
du bénéfice net du bénéfice net
Pots de vin Abus des biens

Schémas liés Vol d'encaisse
Rétrocommissio de Décalage temporel des produits et des charges
aux achats en numéraire
ns l’organisation
Schémas liés Manipulation Manipulation du chiffre d’affaires, des charges, des dettes et
Vol de recettes Vols de stocks
aux ventes des AO des créances
Décaissements
frauduleux
ARBRE DE LA FRAUDE
10
ARBRE DE LA FRAUDE
10
4-4) QUELQUES STATISTIQUES MONDIALES SUR LES EFFETS DE LA FRAUDE
Les pertes monétaires de la fraude sont importantes, mais son coût total est
incommensurable en termes de temps, de productivité et de réputation, y compris les
relations avec les clients.
Ainsi, une organisation devrait avoir un programme de fraude qui comprend des
programmes de sensibilisation, de prévention et de détection. Il devrait également avoir
un processus d'évaluation des risques de fraude pour identifier les risques de fraude.

107

10

10
4-5) APPROCHES ET OUTILS DE GESTION DE RISQUES DE LA FRAUDE
 DETERMINATION DU NIVEAU DE TOLERANCE AU RISQUE

110
 IDENTIFICATION DES PRINCIPAUX RISQUES

111
 EVALUATION DES PRINCIPAUX RISQUES

112
 MISE EN PLACE DES MESURES NECESSAIRES A LA REDUCTION DU NIVEAU DE RISQUE :
MESURE DE PREVENTIONS

113
 MISE EN PLACE DES MESURES NECESSAIRES A LA REDUCTION DU NIVEAU DE RISQUE :
MESURE DE DETECTION

114
 SUIVI ET REVUE DE LA STRATEGIE DE GESTION DES RISQUES

115
FOCUS SUR LA CORRUPTION

5-1) DEFINITION ET TYPOLOGIES DE CORRUPTION
 La corruption
«Offre, promesse, don, acceptation ou sollicitation d’un avantage indu de toute valeur (financière ou non financières), directement ou
indirectement, indépendamment du ou des lieux, en violation des lois applicables, pour inciter ou récompenser une personne à agir
ou à ne pas agir dans le cadre de ses fonctions.»
 La corruption active
Il s’agit de l’acte de corruption exercé par le corrupteur. La corruption active est définie par l’article 433-1 du Code pénal français
comme suit : « Lorsqu’une personne physique ou morale obtient ou essaie d’obtenir, moyennant des dons, des promesses ou
avantages, d’une personne exerçant une fonction publique, qu’elle accomplisse ou retarde ou s’abstienne d’accomplir ou de retarder
un acte de sa fonction ou un acte facilité par elle ; cette personne reçoit le nom de corrupteur
 La corruption passive
La corruption passive est l’acte exercé par le corrompu. Elle est définie par l’article 433-11: « Lorsqu’une personne exerçant une
fonction publique profite de cette fonction en sollicitant ou en acceptant des dons, promesses ou avantages en vue d’accomplir ou de
s’abstenir d’accomplir un acte de sa fonction cette personne reçoit le nom de corrompu. »
À part cela, il existe plusieurs formes d’infractions en matière de corruption en entreprise, à savoir les conflits d’intérêts, le
favoritisme ou le fait de préférer une autre entreprise plutôt qu’une autre, la fraude, le détournement de fonds ou les dessous de
table aussi appelés pots-de-vin.

117
5-1) DEFINITION ET TYPOLOGIES DE CORRUPTION
 Les pots-de-vin
Ce sont des sommes d’argent versées en échange d’un service ou d’un avantage. Les pots-de-vin sont généralement versés à des
fonctionnaires en vue d’accélérer l’exécution d’un acte qui fait partie intégrante de leurs fonctions officielles. Dessous de table, paiement
de facilitation, tels sont les types de pots-de-vin les plus connus.
 Le blanchiment d’argent
Sévèrement puni par la loi, le blanchiment d’argent est étroitement lié aux infractions commises dans le cadre de la corruption. Il
implique la circulation de fonds obtenus de manière illégale et les tentatives mises en place afin de « laver » l’argent en question. Le
blanchiment d’argent concerne en outre le transfert de fonds illégal dans le but d’éviter la détection par le fisc local ou le contrôle des
changes.
 Les commissions occultes
Les commissions occultes sont une autre forme de pot-de-vin. La seule différence réside au niveau du paiement qui est réalisé après
adjudication d’un marché, mais pas avant. De ce fait, un opérateur privé désirant obtenir un contrat promet de verser la « commission » à
l’agent de l’État dès que le marché lui est donné.
 Les cadeaux
Les cadeaux sont une forme non monétaire de commission occulte ou de pot-de-vin. Souvent, ils peuvent être interprétés comme étant
un signe de bienveillance, alors qu’il s’agit d’une obligation de service pure et simple.
•Les prélèvements illicites
S’apparentant à des pots-de-vin, les prélèvements illicites peuvent concerner les droits de services ou les taxes qui ont été prélevés
illégalement. Ces prélèvements monétaires se produisent lorsqu’un agent de l’État impose une taxe sans pour autant détenir l’autorité
juridique.

118
5-2) LES SCHEMAS DE CORRUPTION

119
Construction d’un schéma de corruption

120
Les différentes formes de corruption selon l’ACFE (Association of Certified Fraud Examiner ).
Corruption
Corruption / Prise illegale Conflits d’intérêt Extorsion

Subordination d’intérêt économique
Schéma liés aux Pots de vin

achats rétrocommission
Schéma liés aux Manipulation des

ventes Appels d’Offres

121
Les différentes formes de corruption selon l’ACFE (Association of Certified Fraud Examiner ).

12
5-3) Approches et Outils de Gestion des fraudes de risque de corruption (ISO 370001 )
 Comment coter et hiérarchiser les risques de corruption ?

123
 Déploiement d’un système de management anti-corruption

124
 Déploiement d’un système de management anti-corruption : Décrire le Contexte de l’organisme
• Compréhension de l’organisme et de son contexte
L’organisme doit déterminer les enjeux externes et internes pertinents par rapport à sa finalité et qui influent sur sa
capacité à atteindre le ou les objectifs de son système de management anti-corruption .
Ces enjeux sont :
 La taille , la structure et l’autorité déléguée de prise de décision de l’organisme

 Les lieux et les secteurs dans lesquels l’organisme opère ou prévoit d’opérer
 La nature , l’échelle et la complexité des activités et des opérations de l’organisme
 Le modèle économique de l’organisme
 Les entités sur lesquelles l’organisme exerce un contrôle et les entités exerçant un contrôle sur l’organisme
 Les partenaires commerciaux de l’organisme
 La nature et l’étendue des interactions avec les représentants publics
 Les obligations et devoirs statutaires , règlementaires , contractuels et professionnels applicables

125
• Compréhension des besoins et attentes des parties intéressées
L’organisme doit déterminer :
 Les parties intéressées qui sont pertinentes dans le cadre du système de management anti-corruption
 Les exigences de ces parties intéressées

126
• Détermination du périmètre d’application du système de management anti-corruption
L’organisme doit déterminer les limites et l’applicabilité du système de management anti-corruption afin d’établir son
périmètre d’application.
Lorsque l’organisme établit ce périmètre , il doit prendre en compte :
 Les enjeux externes et internes

 Les enjeux liés aux besoins et attentes de parties intéressées
 Les résultats de l’évaluation des risques de corruption
Le périmètre d’application doit etre disponible sous la forme d’une information documentée

127
• Système de management anti-corruption
L’organisme doit établir , documenter , mettre en œuvre , tenir à jour et revoir , le cas échéant et améliorer en continue le
système de management anti-corruption , y compris les processus nécessaires et leurs interactions , en accord avec les
exigences de la norme ISO 37 001.
Le système de management doit contenir les indicateurs conçus pour identifier et évaluer le risque de corruption , ainsi que
pour prévenir et détecter les actes de corruption et y remédier.
Le système de management anti-corruption doit etre raisonnable et proportionné et doit tenir compte des facteurs auxquels
il est fait référence dans la détermination du périmètre d’application du système de mangement anti-corruption .

128
• Evaluation des risques de corruption
 L’organisme doit réaliser une ou des évaluations régulières des risque de corruption , qui doivent :
 Identifier les risques de corruption que l’organisme pourrait raisonnablement anticiper
 Analyser , apprécier et établir la priorité des risques de corruption identifiés
 Evaluer l’adéquation et l’efficacité des moyens de contrôle mis en place par l’organisme pour atténuer les risques
de corruption évalués .

129
• Evaluation des risques de corruption
 L’organisme doit définir des critères pour l’évaluation de son niveau de risque de corruption qui , doit tenir compte des
politiques et objectifs de l’organisme
 L’évaluation des risques de corruption doit faire l’objet d’une revue :

 Régulière , afin que les changements et les nouvelles informations soient correctement appréciés , en fonction de
la planification et de la fréquence définies par l’organisme ; et
 Si un changement significatif se produit dans la structure ou les activités de l’organisme

 L’organisme doit conserver des informations documentées qui prouvent que l’évaluation des risques de corruption a été
réalisée et utilisée pour concevoir ou améliorer le système de management anti-corruption .

130
 Déploiement d’un système de management anti-corruption : Prouver le leadership et l’engagement de la direction
• Leadership et engagement
 Organe de gouvernance :
L’organisme dispose d’un organe de gouvernance , ce dernier doit démontrer son leadership et engagement vis-à-vis du
système de management anti-corruption en :
 Approuvant la politique anti-corruption de l’organisme

 S’assurant que la stratégie de l’organisme et sa politique anti-corruption sont harmonisées
 Recevant et passant en revue les informations sur le contenu et le fonctionnement du système de management
anti-corruption de l’organisme à des intervalles
 Exigeant que les ressources adéquates et appropriées nécessaires au fonctionnement efficace du système de
management anti-corruption sont alloués et affectées
 Supervisant de façon raisonnable la mise en œuvre du système de management anti-corruption de l’organisme

par la direction et son efficacité
Ces activités doivent etre réalisées par la direction si l’organisme ne dispose pas d’un organe de gouvernance

131
• Direction
La direction doit démontrer son leadership et engagement vis-à-vis du système de management anti-corruption en :
 S’assurant que le système de management anti-corruption , y compris la politique et les objectifs , est établi , mis
en œuvre , tenu à jour et passé en revue pour prendre en compte de manière adéquate les risques de corruption
et de l’organisme
 S’assurant que les exigences liées au système de mangement anti-corruption sont intégrées aux processus de
l’organisme
 Déployant les ressources adéquates et appropriées pour le fonctionnement efficace du système de management
anti-corruption
 Communiquant en interne et externe sur la politique anti-corruption

 Communiquant en interne sur l’importance de disposer d’un système de management anti-corruption efficace et de
se conformer aux exigences liées à ce système

132
• Direction
 S’assurant que le système de management anti-corruption est conçu de façon appropriée pour atteindre ses
objectifs
 Orientant et soutenant le personnel pour qu’il contribue à l’efficacité du système de management anti-corruption
 Promouvant une culture anti-corruption appropriée au sein de l’organisme
 Prouvant l’amélioration continué
 Soutenant les autres rôles managériaux pertinents afin de démontrer leurs responsabilités vis-à-vis de la
prévention et de la détection de la corruption dans leurs domaines respectifs ;
 Encourageant l’utilisation des procédures de rapport des cas de corruption suspectés et avérés
 S’assurant qu’aucun membre du personnel

133
• Direction
 S’assurant qu’aucun membre du personnel ne subisse de représailles , de discrimination ou de sanctions

disciplinaires pour avoir rapporté l’existence d’une violation ou d’une violation suspectée de la politique anti-
corruption de l’organisme , de bonne foi ou sur des motifs qui l’ont raisonnablement poussé à le croire , ou pour
avoi refusé de prendre part à un acte de corruption , meme si ce refus a pu entrainer une perte d’affaires pour
l’organisme ( sauf si la personne a pris part à la violation )
 Rendant compte à l’organe de gouvernance (s’il existe) du conteni et du fonctionnement du système de

mangement anti-corruption et d’allégations de corruption sérieuse ou systématique à intervalles planifiés .

134
• Politique Anti-Corruption
La direction doit établir , tenir à jour et passer en revue une politique anti-corruption qui :
 Interdit la corruption
 Impose le respect des loi anti-corruption applicables à l’organisme
 Est appropriée à la finalité de l’organisme
 Fournit un cadre pour l’établissement , la revue et l’atteinte des objectifs anti-corruption
 Inclut l’engagement de satisfaire aux exigences du système de mangement anti-corruption
 Encourage le signalement d’inquiétudes , de bonne foi ou sur des motifs qui ont raisonnablement poussé à le
croire , en toute confiance et sans peur de représailles
 Inclut l’engagement pour l’amélioration continue du système de management anti-corruption

135
• Politique Anti-Corruption
La direction doit établir , tenir à jour et passer en revue une politique anti-corruption qui :
 Explique l’autorité et l’indépendance de la fonction de conformité anti-corruption , et

 Détaille les conséquences du non-respect de la politique anti-corruption
La politique anti-corruption doit :
- Exister / etre présentée sous la forme d’une information documentée ;

- Etre communiquée dans la langue appropriée au sein de l’organisme et aux partenaires commerciaux qui représentent
un risque de corruption plus que faible
- Et etre disponible vis-à-vis des parties intéressées pertinentes , le cas échéant .

136
• Rôles, responsabilités et autorités au sein de l’organisme
 Rôles et responsabilités
La direction doit assumer la responsabilité globale de la mise en œuvre et de la conformité du système de management
anti-corruption .
La direction doit s’assurer que les responsabilités et autorités des rôles pertinents sont attribués et communiquées à tous
les niveaux de l’organisme .
Les dirigeants à tous les niveaux doivent se charger d’imposer le respect et l’application des exigences du système de
management anti-corruption au sein de leur service ou de leur fonction .
L’organe de gouvernance ( s’il existe ) , la direction et tout le personnel doivent comprendre , respecter et appliquer les
exigences du système de management anti-corruption applicables à leur rôle au sein de l’organisme

137
 Fonction de conformité anti-corruption

La direction doit attribuer la responsabilité et l’autorité à une fonction de conformité anti-corruption pour :
 Superviser la conception et la mise en œuvre du système de management anti-corruption

 Fournir des conseils et préconisations au personnel à propos du système de management anti-corruption et des
problématiques associés à la corruption
 S’assurer que le système de management anti-corruption est conforme aux exigences de la norme ISO 37 001
 Rendre compte de la performance du système de management anti-corruption à l’organe de gouvernance (s’il

existe ) et à la direction , et à d’autres fonctions de conformité , le cas échéant
La fonction de conformité anti-corruption doit etre disposer d’un accès direct et immédiat à l’organe de gouvernance et à la
direction dans l’éventualité ou un problème ou une inquiétude doit etre signalé concernant la corruption ou le système
de management

138
 Fonction de conformité anti-corruption

La direction peut confier toute ou partie de la fonction de conformité anti-corruption à des personnes extérieures à
l’organisme . Dans ce cas , la direction doit s’assurer qu’un personnel spécifique dispose des responsabilités et de
l’autorité nécessaire sur les parties de la fonction déléguées en externe .

139
 Déploiement d’un système de management anti-corruption : Planifier et faire vivre le SMAC
• Actions à mettre en œuvre face aux risques et opportunités
Dans le cadre de la planification de son système de management anti-corruption , l’organisme doit tenir compte des enjeux
tels que précisés par ISO 37 001 , des risques identifiés et des opportunités d’amélioration qu’il est nécessaire de prendre
en compte pour :
 Assurer de façon raisonnable que le système de management anti-corruption atteint ses objectifs
 Prévenir ou réduire les effets indésirables relatifs à la politique et aux objectifs anti-corruption
 Surveiller l’efficacité du système de mangement anti-corruption
 S’inscrire dans une dynamique d’amélioration continue
L’organisme doit planifier :
-Les actions à mettre en œuvre face ces risques de corruption et opportunités d’amélioration
-La manière :
- D’intégrer et de mettre en œuvre ces actions au sein des processus du système de management anti-corruption et
- D’évaluer l’efficacité de ces actions

140
• Objectifs Anti-Corruption et planification des actions pour les atteindre
L’organisme doit établir les objectifs du système de management anti-corruption , aux fonctions et niveaux concernés .
Les objectifs du système de management anti-corruption sont :
 Etre en cohérence avec la politique anti-corruption

 Etre mesurable (si possible )
 Tenir compte des facteurs , exigences tels que définies par la norme ISO 37001 et des risques de corruption identifiés
 Etre atteignable
 Etre surveillés
 Etre communiqués
 Etre mis à jour en tant que de besoin

141
• Objectifs Anti-Corruption et planification des actions pour les atteindre
L’organisme doit conserver des informations documentées sur les objectifs du système de management de anti-corruption .
Lorsque l’organisme planifie la façon dont les objectifs de son système de management anti-corruption seront atteints , il
doit déterminer :
-ce qui sera fait

-les ressources qui seront nécessaires
-qui sera rsponsable
-à quel moment les objectifs seront atteints
-la façon dont les résultats seront évalués et rapportés ; et
-qui infligera des sanctions ou pénalités

142
 Déploiement d’un système de management anti-corruption : S’assurer que les ressources et compétences , la communication et
la gestion documentaire sont adaptés aux besoins du SMAC
• Ressources
L’organisme doit identifier et fournir les ressources nécessaires à l’établissement , la mise en œuvre , la tenue à jour et
l’amélioration continue du système de management anti-corruption
• Compétences
 Généralités
L’organisme doit
 Déterminer les compétences nécessaire de la ou des personnes effectuant , sous son contrôle , un travail qui
a une incidence sur les performances anti-corruption .
 S’assurer que ces personnes sont compétentes sur la base d’une formation initiale ou professionnelle ou
d’une expérience appropriée .
 Le cas échéant , mener des actions pour acquérir et tenir à jour les compétences nécessaires , et évaluer
l’efficacité de ces actions , et
 Conserver des informations documentées appropriées comme preuves desdites compétences
143
• Compétences
 Processus relatif à l’emploi

Pour l’ensemble de son personnel , l’organisme doit mettre en œuvre des procédures qui comprennent par
exemple :
 Des conditions d’emploi qui stipulent que le personnel doit respecter la politique anti-corruption et le système
de management anti-corruption , et qui donnent le droit à l’organisme de prendre des sanctions disciplinaires
à l’encontre du personnel s’il ne les respectes pas
 Après un délai raisonnable suivant le début de la prise de fonctions , la mise à disposition du personnel d’un
exemplaire de la politique anti-corruption , ou d’un moyen lui permettant d’y accéder , et la formation relative à
ladite politique

144
• Compétences

Pour l’ensemble de son personnel , l’organisme doit mettre en œuvre des procédures qui comprennent par
exemple :
 La mise en place de procédures qui permettent à l’organisme de prendre les sanctions disciplinaires
appropriés à l’encontre du personnel qui ne respecte pas la politique anti-corruption ou le système de
management anti-corruption
 L’absence de représailles , de discrimination ou de sanction disciplinaire à l’égard du personnel q( par

exemple : menaces , isolement , rétrogradation , avancement retardé , transfert , licenciement ,
intimidation ,victimisation ou autres formes de harcèlement ) pour .
- Avoir refusé de prendre part ou avoir décliné toute activité pour laquelle il a jugé de façon raisonnable
qu’il existait un risque de corruption plus que faible qui n’avait pas été atténué par l’organisme
- Avoir formulé des inquiétudes ou rapporté des faits relatifs à une tentative de corruption , à un cas de
corruption avéré ou à un cas de corruption suspecté , ou à une violation de la politique anti-corruption ou
du système de management anti-corruption , de bonne foi ou sur des motifs qui l’ont raisonnablement
poussé à le croire (sauf si la personne a pris part à la violation )
145
• Compétences

Pour l’ensemble des postes exposés à un risque de corruption plus que faible , comme défini par l’évaluation des
risques de corruption et pour la fonction de conformité anti-corruption , l’organisme doit mettre en œuvre des
procédures qui prévoient :
 Que des diligences raisonnables soient exercées quant aux personnes préalablement à leur embauche et
quant au personnel avant son transfert ou sa promotion par l’organisme , afin de s’assurer , dans la mesure
du raisonnable , qu’il est approprié de les embaucher ou de les réaafecter et qu’il est raissonable de penser
qu’ils respecteront les exigences de l apolitique anti-corruption .
 Que les primes de performance , les objectifs de performance et les autres éléments d’incitation en matière
de rémunération soient passés en revue de façon périodique pour vérifier qu’il existe des mesures de
préventions raisonnables pour éviter d’encourager la corruption .
 Que le personnel , la direction et l’organe de gouvernance remplissent une déclaration , à des intervalles
raisonnables , proportionnée aux risques de corruption identifiés , pour confirmer leur conformité à la politique
anti-corruption .

146
• Compétences
 Sensibilisation et formation
L’organisme doit sensibiliser et former son personnel de façon adéquate et appropriée aux mécanismes anti-
corruption . Ladite formation doit aborder les problématiques suivantes , le cas échéant , en tenant compte des
résultats de l’évaluation des risques de corruption :
 La politique anti-corruption , les procédures et le système de mangement anti-corruption de l’organisme et

l’obligation de s’y conformer .
 Le risque de corruption et les répercussions négatives pouvant découler de la corruption pour le personnel et
pour l’organisme
 Les circonstances de la surveillance possible de la corruption dans le cadre des fonctions confiés et la façon
d’identifier ces circonstances
 Comment reconnaitre les sollicitations ou offres de pots de vins et comment y faire face ?
 La façon dont le personnel peut prévenir et éviter la corruption ,et reconnaitre les indicateurs clés de risque
de corruption ;
147
• Compétences
L’organisme doit sensibiliser et former son personnel de façon adéquate et appropriée aux mécanismes anti-
corruption . Ladite formation doit aborder les problématiques suivantes , le cas échéant , en tenant compte des
résultats de l’évaluation des risques de corruption :
 La contribution du personnel à l’efficacité du système de management anti-corruption , y compris aux effets

bénéfiques d’une amélioration des performances anti-corruption et des rapports de cas de corruption
suspectés .
 Les répercussions et les conséquences potentielles d’un non respect des exigences du système de
management anti-corruption
 La façon de rapporter des préoccupations et la personne à contacter

 Des informations sur les formations et ressources disponibles

148
• Compétences
Le personnel doit régulièrement etre sensibilisé aux mécanismes anti corruption ( à des intervalles planifiés ,
définis par l’organismes ) , en adéquation avec ses fonctions , les risques de corruption auxquels il est posé et
toute circonstance pouvant évoluer . Les programmes de sensibilisation et de formation doivent etre mis à jour
de façon périodique et autant de fois que nécessaire pour refléter toute nouvelle information pertinente .
Pour prendre en compte les risques de corruption identifiés , l’organisme doit en outre mettre en œuvre des
procédures qui prévoient la sensibilisation et la formation aux mécanismes anti-corruption pour les partenaires
commerciaux agissant pour le compte de l’organisme ou dans son intérêt , et qui pourraient représenter un
risque de corruption plus que faible pour l’organisme. Ces procédures doivent identifier les partenaires
commerciaux pour lesquels une sensibilisation et une formation sont nécessaires , le contenu et le format des
formations .
L’organisme doit conserver des informations documentées sur les procédures de formation , le contenu des
formations ainsi que la date et les participants .

149
• Compétences
 Communication
L’organisme doit déterminer les besoins de communication interne et externe pertinents pour le système de
management anti-corruption , y compris :
 Sur quels sujets communiquer .

 À quels moments communiquer
 Comment communiquer
 Avec qui communiquer
 Qui communiquera
 Et les langues de communication
La politique anti-corruption doit etre mise à disposition de l’ensemble du personnel et des partenaires
commerciaux , communiquée directement au personnel et aux partenaires .
150
• Compétences
 Communication
L’organisme doit déterminer les besoins de communication interne et externe pertinents pour le système de
management anti-corruption , y compris :
 Sur quels sujets communiquer .

 À quels moments communiquer
 Comment communiquer
 Avec qui communiquer
 Qui communiquera
 Et les langues de communication
La politique anti-corruption doit etre mise à disposition de l’ensemble du personnel et des partenaires commerciaux ,
communiquée directement au personnel et aux partenaires commerciaux qui présentent des risques de corruption plus que
faible et publiée par le biais des canaux de communication interne et externe de l’organisme , le cas échéant .
151
• Informations documentées
 Généralités
Le système de management anti-corruption de l’organisme doit inclure :
 Les informations documentées exigés par la norme ISO 37 001

 Les informations documentées que l’organisme juge nécessaire à l’efficacité du système de management
anti-corruption .

152
 Création et mise à jour des informations documentées

Lors de la création et de la mise à jour , l’organisme doit veiller à assurer que :
 L’identification et la description des informations documentées (leur titre , leur date , numéro de référence par
exemple )
 Leur format ( langue , version logicielle , graphiques , par exemple ) et support (électronique , papier , par
exemple )
 La revue effectuée ( pour en déterminer la pertinence et l’adéquation ) et leur approbation sont appropriées

153
 Maitrise des informations documentées

Les informations documentées exigées par le système de management anti-corruption et par la présente norme
doivent etre maitrisées pour assurer :
 Qu’elles sont disponibles et conviennent à l’utilisation , quand et la ou elles sont nécessaire

 Qu’elles sont convenablement protégés ( par exemple , de toute perte de confidentialité , utilisation
inappropriée ou perte d’intégrité )
Pour maitriser les informations documentées , l’organisme doit mettre en œuvre les activités suivantes , quand
elles sont apllicables :
-distribution , accès , récupération et utilisation

-stockage et protection , y compris préservation de la lisibilité
-maitrise des modifications ( par exemple , contrôle des versions )
-conservation et élimination

154
 Maitrise des informations documentées

Les informations documentées d’origine externe que l’organisme juge nécessaire à la planification et au
fonctionnement du système de management anti-corruption doivent etre identifiées comme il convient et
maitrisées .

155
 Déploiement d’un système de management anti-corruption : Réalisation des activités opérationnelles
• Planification et maitrise opérationnelle
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux
exigences du système de management anti-corruption et réaliser les actions déterminées ,
 Établissant des critères pour ces processus

 Mettant en œuvre la maitrise de ces processus conformément aux critères ; et
 Conservant des informations documentées dans une mesure suffisante pour l’assurance que les processus
ont été réalisés comme prévu.
Ces processus doivent comprendre les moyens de contrôle spécifique auxquels il est fait référence dans la
norme ISO 37 001 .
L’organisme doit maitriser les modifications prévues, analyser les conséquences des modifications imprévues et,
si nécessaire, mener des actions pour limiter tout effet négatif.

156
• Diligences raisonnables
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux exigences du
système de management anti-corruption et réaliser les actions déterminées ,
Lorsque l’évaluation des risques de corruption, telle que décrite dans la norme iso 37 001 a identifié un risque de corruption plus
que faible relatif à :
 Des catégories spécifiques de transaction, projets ou activités ;

 Des relation actuelles ou planifiées avec des catégories spécifiques de partenaires commerciaux ; ou
 Des catégories spécifiques de personnel occupant certain postes
L’organisme doit apprécier la nature et l’étende du risque de corruption relatif aux transaction, projets, activités, partenaires
commerciaux et personnel spécifiques entrant dans ces catégories. Cette appréciation doit s’appuyer sur toutes les diligences
raisonnables nécessaires pour obtenir des informations suffisantes afin d’évaluer le risque de corruption.
Les diligences raisonnables doivent être revue à une fréquence définie pour que les changements et les informations soient
correctement pris en compte.

157
• Diligences raisonnables
L’organisme doit planifier, mettre en œuvre, revoir et maitriser les processus nécessaires pour satisfaire aux exigences du
système de management anti-corruption et réaliser les actions déterminées ,
Lorsque l’évaluation des risques de corruption, telle que décrite dans la norme iso 37 001 a identifié un risque de corruption plus
que faible relatif à :
 Des catégories spécifiques de transaction, projets ou activités ;

 Des relation actuelles ou planifiées avec des catégories spécifiques de partenaires commerciaux ; ou
 Des catégories spécifiques de personnel occupant certain postes
L’organisme doit apprécier la nature et l’étende du risque de corruption relatif aux transaction, projets, activités, partenaires
commerciaux et personnel spécifiques entrant dans ces catégories. Cette appréciation doit s’appuyer sur toutes les diligences
raisonnables nécessaires pour obtenir des informations suffisantes afin d’évaluer le risque de corruption.
Les diligences raisonnables doivent être revue à une fréquence définie pour que les changements et les informations soient
correctement pris en compte.

158
• Moyens de contrôle financier
L’organisme doit mettre en œuvre des moyens de contrôle financiers pour gérer le risque de corruption .
• Moyens de contrôle non financier
L’organisme doit mettre en œuvre des moyens de contrôle non financiers pour gérer le risque de corruption relatif
à des domaines tels que l’approvisionnement, les opérations, les ventes, les opérations commerciales, les
ressources humaines, les activités légales et réglementaires.

159
• Mise en œuvre de moyens de contrôle anti-corruption de l’organisme
L’organisme doit mettre en œuvre des procédures qui imposent que toute entité sur laquelle il exerce un contrôle :
 Mettre en œuvre le système de management anti-corruption de l’organisme ; ou
 Mettre en œuvre ses propres moyens de contrôle anti-corruption ;
Dans les deux cas, uniquement dans une mesure raisonnable et proportionnée eu égard aux risques de corruption auxquels
font face les entités sur lesquelles l’organisme exerce un contrôle, en tenant compte de l’évaluation des risques de
corruption réalisée conformément à la norme ISO 37 001 .

160
• Mise en œuvre de moyens de contrôle anti-corruption de l’organisme
Pour les partenaires commerciaux sur lesquels l’organisme n’exerce pas de contrôle, pour lesquels l’évaluation
des risques de corruption ou les diligences raisonnables ont permis d’identifier un risque de corruption plus que
faible, et pour lesquels les moyens de contrôle anti-corruption mis en œuvre par des partenaires commerciaux
aideraient à atténuer le risque de corruption en question, l’organisme doit mettre en œuvre des procédures
comme suit :
 L’organisme doit déterminer si le partenaire commercial a mis en place les moyens de contrôle anti-corruption
applicable au risque de corruption en question ;
 Lorsqu’un partenaire commercial n’a pas mis en place de moyens de contrôle anti-corruption ou qu’il est
impossible de vérifier leur mise en place ;
 Si possible, l’organisme doit exiger du partenaire commercial qu’il mette en œuvre des moyens de
contrôle anti-corruption pour la transaction, le projet ou l’activités concerné(e) ;
 Lorsqu’il est impossible d’exiger du partenaire commercial qu’il mette en œuvre des moyens de contrôle
anti-corruption, ce facteur doit être pris en compte lors de l’évaluation des risques de corruption relative à
la relation établie avec ce partenaire commercial et de la façon dont l’organisme gère ces risques.

161
• Engagements anti-corruption
Pour les partenaires commerciaux qui représentent un risque de corruption plus que faible , l’organisation doit
mettre en œuvre des procédures qui imposent :
 Que les partenaires commerciaux s’engagent à prévenir la corruption , qu’elle soit initiée par eux-mêmes , pour leur
compte ou dans leur intérêt , en relation avec la transaction , le projet , l’activité ou la relation concernée .
 Que l’organisme soit en mesure de mettre fin à la relation qu’elle a établie avec le partenaire commercial si un cas de
corruption est identifié , qu’il soit initié par le partenaire commercial , pour son compte ou dans son intérêt , en relation
avec la transaction , le projet , l’activité ou la relation concerné .
Lorsqu’il est impossible de satisfaire aux exigences çi dessus , ce facteur doit être pris en compte lors de l’évaluation des
risques de corruption relative à la relation établie avec le partenaire commercial et de la façon dont l’organisme gère ce risque .

162
• Cadeaux , marques d’hospitalité , dons et avantages similaires
L’organisme doit mettre en œuvre des procédures conçues pour prévenir l’offre , la mise à disposition ou
l’acceptation de cadeaux , de marques d’hospitalité , de dons et d’avantages similaires lorsque l’offre , la mise à
disposition ou l’acceptation est , ou pourrait raisonnablement être perçue comme , un acte de corruption.
• Gestion de l’inadéquation des moyens de contrôle anti-corruption
Lorsque les diligences raisonnables appliqués à une transaction , un projet , une activité ou une relation
spécifique avec un partenaire commercial établissent que les risques de corruption ne peuvent pas être gérés par
les moyens de contrôle anti-corruption existants et que l’organisme ne peut ou ne veut pas mettre en œuvre de
moyens de contrôle anti-corruption additionnels ou plus performants , ou prendre d’autres mesures appropriées
( comme modifier la nature de transaction , du projet , de l’activité ou de la relation ) qui permettent à l’organisme
de gérer les risques de corruption concernés

163
• Gestion de l’inadéquation des moyens de contrôle anti-corruption
L’organisme doit :
 Dans le cas d’une transaction , d’un projet , d’une activité ou d’une relation existante ; prendre des mesures
appropriés aux risques de corruption et à la nature de la transaction , du projet , de l’activité ou de la relation
pour y mettre fin , l’interrompre , la suspendre ou s’en retirer aussitôt possible .
 Dans le cas de la proposition d’une nouvelle transaction , d’un nouveau projet , d’une nouvelle activité ou d’une
nouvelle relation , différer ou décliner de poursuivre .

164
• Signalement des inquiétudes
L’organisme doit mettre en œuvre des procédures qui :
 Encouragent et permettent aux personnes de rapporter de bonne foi , ou des motifs qui les ont
raisonnablement poussés à le croire , les tentatives de corruption , les cas de corruption avérés et les cas de
corruption suspectés , ou une violation ou une lacune du système de management anti-corruption ; à la
fonction de conformité anti-corruption ou au personnel approprié ( directement ou par le biais d’une tierce partie
appropriée ).
 Excepté dans la mesure requise par le bon déroulement d’une enquête , imposent que l’organisme traite les
rapports de manière confidentielle , de sorte que l’identité de l’émetteur et des personnes impliques ou
mentionnés dans le rapport soit protégée ;

165
• Signalement des inquiétudes
 Permettent des rapports anonymes
 Interdisent les représailles , et protègent les émetteurs des rapports de réprésailles , après qu’ils sont formule
des inquiétudes ou rapporté des faits relatifs à une tentative de corruption , à un cas de corruption avéré ou à
un cas de corruption suspecté , ou a une violation de la politique anti-corruption ou du système de
management anti corruption , de bonne foi ou sur des motifs qui les ont raisonnablement poussés à le croire

166
• Enquête et traitement des cas de corruption
 Imposent l’évaluation de tout cas de corruption ou de violation de la politique anti-corruption ou du système de

management anti-corruption signalé , détecté ou raisonnablement suspecté et , le cas échéant , son enquête
 Requièrent la mise en place de mesure appropriées si l’enquête révèle un cas de corruption ou de violation de
la politique anti-corruption ou du système de management anti-corruption
 Donnent les moyens et la légitimité aux enquêteurs ;
 Imposent la coopération du personnel concerné dans le cadre de l’enquête

167
• Enquête et traitement des cas de corruption
 Imposent que l’état d’avancement et les résultats de l’enquete soient rapportés à la fonction de conformité anti-
corruption et aux fonctions de conformité , le cas échéant ;
 Imposent que l’enquête soit réalisée de manière confidentielle et que les éléments de sortie de l’enquête soient
confidentiels
L’enquête doit être menée par du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête et
rapportée à du personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête .
L’organisme peut désigner un partenaire commercial qui réalisera l’enquête et rapportera les résultats à du
personnel qui ne fait pas partie du rôle ou de la fonction objet de l’enquête .

168
 Déploiement d’un système de management anti-corruption : Mesure et Analyse
• Surveillance , mesure , analyse et évaluation
 Ce qu’il est nécessaire de surveiller et mesure
 Qui est responsable de la surveillance
 Les méthodes de surveillance de mesure , d’analyse et d’évaluation , selon le cas , pour assurer la validité des
résultats
 Quand la surveillance et la mesure doivent être effectuées ;
 Quand les résultats de la surveillance et de la mesure doivent être analysés et évalués ; et

169
• Surveillance , mesure , analyse et évaluation
 À qui et de quelle façon ces informations doivent être rapportées
L’organisme doit conserver des informations documentées pertinentes comme preuve des méthodes et des
résultats .
Il doit évaluer la performance anti-corruption , ainsi que l’efficacité et l’efficience du système de management anti-
corruption .

170
• Audit Interne
L’organisme doit réaliser des audits internes à des intervalles planifiés pour fournir des informations permettant de
déterminer si le système de management anti-corruption :
 Est conforme :
 Aux propres exigences de l’organisme concernant le système de management anti-corruption et

 Aux exigences de la norme ISO 37001
 Est efficacement mis en œuvre et tenu à jour

171
• Audit Interne
L’organisme doit :
 Planifier , établir , mettre en œuvre et maintenir un ou des programmes d’audit , couvrant notamment la
fréquence , les méthodes , les responsabilités , les exigences de planification , et le compte rendu . Le ou les
programmes d’audit doivent tenir compte de l’importance des processus concernés et des résultats des audits
précédents ;
 Définir les critères d’audit et le périmètre d’audit
 Sélectionner des auditeurs compétents et réaliser des audits pour assurer l’objectivité et l’impartialité du
processus d’audit ;
 Veiller a ce que les résultats des audits soient rapportes aux responsables concernés , à la fonction de
conformité anti-corruption ; à la direction , et suivant le cas ; à l’organe de gouvernance
 Conserver des informations documentées comme preuves de la mise en œuvre du programme d’audit et des
résultats d’audit
172
• Audit Interne
Ces audits doivent être raisonnable, proportionnés et basés sur les risques. Ils doivent comprendre des processus
d’audit interne ou d’autre procédure qui analysent les procédures, les contrôles et les systèmes relatifs à :
 La corruption ou les cas de corruption suspectés ;

 La violation des exigences de la politique anti-corruption ou du système de management anti-corruption
 L’incapacité des partenaires commerciaux à se conformer aux exigence anti-corruption applicable de
l’organisme ;
 Les lacunes ou les opportunités d’amélioration du système de management anti-corruption.

173
• Audit Interne
Afin de garantir l’objectivité et l’impartialité de ces programmes d’audits, l’organisme doit s’assurer que ces audits
sont réalisés selon l’une des options suivantes :
 a-Une fonction ou un personnel indépendant établi ou désigné pour ce processus ;
 b-La fonction de conformité anti-corruption (à moins que le périmètre d’audit comprenne l’évaluation du
système de management anti-corruption lui-même ou d’un élément similaire dont la fonction de conformité
anti-corruption est responsable) ;
 Une personne appropriée d’un service ou d’une fonction autre que celui/celle qui est audité(e) ;
 Une tierce partie appropriée ;
 Un groupe réunissant des personnes de a)-b)

174
• Revue de direction
 Revue de direction ( à son plus haut niveau )
À des intervalles planifiés, la direction, au niveau le plus élevé, doit procéder à la revue du système de
management anti-corruption mis en place par l’organisme, afin de s’assurer qu’il est toujours approprié, adéquat
et efficace.
La revue de direction doit prendre en compte :
 L’état d’avancement des actions décidées à l’issue des revues de direction précédente ;
 Les modifications des enjeux externes et interne pertinent pour le système de management anti-corruption
 Les informations sur la performance du système de management anti-corruption, y compris les tendances
concernant :
o Les non conformités et les actions correctives
o Les résultats de la surveillance et de la mesure
o Les résultats d’audits
o Les rapports de cas de corruption
o Les enquêtes
175
La revue de direction doit prendre en compte :

o La nature et l’étendue des risques de corruption auxquels l’organisme est exposé
 L’efficacité des action mise en place pour gérer les risques de corruption
 Les opportunités d’amélioration continue du système de management anti-corruption

176
Les éléments de sortie de la revue de direction doivent inclure les décisions relatives aux opportunités
d’amélioration continue et aux éventuels changement à apporter au système de management anti-corruption.
Une synthèse des résultats de la revue de direction doit être remise à l’organe de gouvernance (s’il existe)
L’organisme doit conserver des informations documentées comme preuves des résultats des revues de direction.

177
 Revue de l’organe de gouvernance
L’organe de gouvernance (s’il existe) doit réaliser des revues périodiques du système de management anti-
corruption en fonction des informations fournies par la direction et par la fonction de conformité anti-
corruption et de toute autre information que d'organe de gouvernance demande au cabinet .
L’organisme doit conserver des informations documentées de synthèse comme preuve des résultats des
revues de l’organe de gouvernance.

178
 Revue par la fonction de conformité anti-corruption

La fonction de conformité anti-corruption doit évaluer de façon continue si le système de management de la
corruption est :
 Adéquat pour gérer efficacement les risques de corruption auxquels l’organisme est exposé
 Mis en œuvre de façon efficace.
La fonction de conformité anti-corruption doit rendre compte, à des intervalles planifiés et de façon ad hoc, suivant
le cas, à l’origine de la gouvernance (s’il existe) et à la direction, ou au comité compétent de l’organe de
gouvernance ou de la direction, de l’adéquation et de la mise en œuvre du système de management anti-
corruption, y compris les résultats des enquêtes et des audits.

179
 Déploiement d’un système de management anti-corruption : Amélioration
• Non-conformité des actions correctives
Lorsqu’une non- conformité se produit, l’organisme doit :
 Réagir promptement à la non-conformité, et le cas échéant :

 Agir pour la maitriser et la corriger
 Faire face au conséquence
 Evaluer s’il est nécessaire de mener une action pour éliminer la ou les causes de la non-conformité, afin
qu’elle ne se reproduise pas ou n’apparaisse pas ailleurs, en :
 Effectuant la revue de la non-conformité
 Recherchant et analysant les causes de la non-conformité
 Recherchant si des non-conformités similaire existent ou pourraient éventuellement se produire

180
• Non-conformité des actions correctives
Lorsqu’une non- conformité se produit, l’organisme doit :
 Mettre en œuvre toutes les actions requises

 Examiner l’efficacité de toute action corrective mise en œuvre
 Modifier, si nécessaire, le système de management anti-corruption
Les actions correctives doivent être appropriées aux conséquences des non-conformités rencontrées.
L’organisme doit conserver des informations documentées comme preuve :

-De la nature des non-conformités et de toute action menée ultérieurement
-Des résultats de toutes action corrective

181
• Amélioration Continue
L’organisme doit améliorer en continue la pertinence, l’adéquation et l’efficacité du système de management anti-
corruption.

182

Support de Formation Sur La Gestion Des Risques de Fraude Et Corruption - Orange Côte D'ivoire

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Support de Formation Sur La Gestion Des Risques de Fraude Et Corruption - Orange Côte D'ivoire

Transféré par

Droits d'auteur :

Formats disponibles

Contrôle Interne - Gestion des risques de

fraudes et corruption : Approche et Outils

• Présentation des intervenants

09h30 – 10h30 Section 1

10h30 - 11h00 Pause Café

• Définition et typologie des risques

12h30 - 14h Pause déjeuner

Gestion de risques • Démarche de gestion de risques ISO 31 000

15h30 - 16h00 Pause Café

Gestion de risques • Démarche des gestions de risque (Suite)

• Définition et caractéristiques de la fraude (triangle de fraude)

10h30 - 11h00 Pause Café

• Approche et Outils de gestion de risques de fraude

12h30 - 14h Pause déjeuner

Fin du séminaire • Synthèse et conclusion du séminaire

Africa Project Management || 2022

Africa Project Management || 2022

Appréhender les notions et concepts liés au contrôle interne ,à

Appréhender la notion de risque de fraude et de corruption

Appréhender la norme ISO 31000

S’approprier les techniques de gestion de risques de fraude

S’approprier les moyens de prévention,de détection et de lutte

Africa Project Management || 2022

1) Qu’est-ce que le contrôle interne?

2) Quels sont les principaux référentiels encadrant le contrôle interne ?

3) Qu’est ce qu’un risque ?

4) Qu’est ce qu’une fraude ?

Africa Project Management || 2022

Africa Project Management || 2022 9

Définition selon le TURNBULL

• Aident à assurer la qualité du reporting externe et interne ;

Africa Project Management || 2022

Définition selon l’Autorité des Marchés Financiers (AMF)

Africa Project Management || 2022

Définition selon le COSO

 Centré sur la réalisation des objectifs

Africa Project Management || 2022

Africa Project Management || 2022

o La sauvegarde des actifs inclut leur protection et leur préservation :

Africa Project Management || 2022

Objectifs liés à la conformité

Ils concernent le respect des lois et règlements applicables à l’entité.

NB : Objectifs à l’échelle des entités / Objectifs détaillés

Africa Project Management || 2022

 Le cadre de référence de l’AMF (Autorité des Marchés Financiers)

 TUNRBULL GUIDANCE pour les UK

 Le COCO pour le CANADA,

 Le KONTRAG pour l’Allemagne

 Solvency II: risques financiers pour les assurances

 Risk IT, pour les risques informatiques

 Guidelines for Ecological Risk Assessment, pour les risques environnementaux

 ISO 31000: énonce le lien entre la gestion du risque et la prise de décision;

• En 1985, création d’une commission, autour du Sénateur Treadway (USA),

• Vocation : contribuer aux travaux de la « National Commission on Fraudulent

Africa Project Management || 2022

• Le COSO est le référentiel intégré de contrôle interne qui

• Le référentiel comprend 05 composantes et 17 principes.

• Pour un contrôle interne efficace, chacune des 5 composantes

Africa Project Management || 2022

Africa Project Management || 2022

1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques

Africa Project Management || 2022

 Evaluation des risques