MAROC – FRANCE

AUDIT DE PERFORMANCE

Contrôle Interne et Management des Risques

Maroc-France / Projet Audit de performance

1
 1. Le Management des Risques

1.1 Risque : définition et notions clefs

1.2 La cartographie des risques à FT

1.3 Le Management des Risques

Maroc-France / Projet Audit de performance

2
 1.1 Risque : définition et notions clefs

1.1.1 La Notion de risque

1.1.2 Les différents éléments d’un risque

1.1.3 Les différentes réponses à un risque

Maroc-France / Projet Audit de performance

3
1.1.1 Notion de risque

Définition du risque :

• Un risque se définit comme tout événement, action ou inaction de nature à empêcher

une organisation d'atteindre ses objectifs
Élevée
Évaluation du risque en fonction de :
Probabilité Modérée

• la probabilité que le risque se réalise Faible

• l’impact que pourrait avoir ce risque s’il se matérialisait Faible Modéré Élevé

Impact

Un risque majeur est :

• Un risque évalué comme élevé (probabilité & impact en zone rouge)

• ou un risque qui présente un caractère inacceptable pour l’entreprise en regard de la
sécurité des biens et des personnes ou de la survie de l’ entreprise
• Il s’agit par exemple des accidents du travail qui, compte tenu des contrôles mis en place,
n’ont pas été évalués en tant que risque élevé mais sont néanmoins jugés inacceptables.
Maroc-France / Projet Audit de performance
4
1.1.2 Les différents éléments d’un risque

Identification et qualification du risque :

• Fréquence
• Probabilité / Incertitude
• Nature du risque
• Pertes et Impact du risque

Management et réduction du risque

• Contrôles
• Coûts des contrôles
• Analyse des coûts et bénéfices et Retour sur Investissements

Maroc-France / Projet Audit de performance

5
1.1.3 Les différentes réponses à un risque

En réponse à un risque, le management a plusieurs options :

Réponse à un risque Actions à mener

Accepter Surveiller le risque

Éviter Éliminer le risque

Réduire Mettre en place des contrôles

Partager S’ associer avec un partenaire

Maroc-France / Projet Audit de performance

6
 1.2 La cartographie des risques

1.2.1 Méthode pour la cartographie des risques

1.2.2 Prise en compte du contrôle interne dans l’évaluation

Maroc-France / Projet Audit de performance

7
 1.2.1 Méthode pour la cartographie des risques

• Pour identifier, évaluer ou réévaluer les risques, recueil des avis :

• Du top management
• Des experts et des risks managers
• Des auditeurs internes

• Prise en compte des mesures prises par l’organisation pour maîtriser les risques :
• Contrôle interne
• Plans d’ actions
• Couverture d ’assurances
• Plans de crise…

Maroc-France / Projet Audit de performance

8
1.2.2 Prise en compte du contrôle interne dans l’évaluation

• Risque inhérent : Avant la prise en compte du dispositif de contrôle

• Risque résiduel : Après la prise en compte du dispositif de contrôle

• Lorsque des éléments probants (missions d’audit interne récentes, plans d’action et projets en
cours ...) d’évaluation du dispositif de contrôle interne sont connus, ceux-ci doivent être pris en
compte afin d’obtenir une évaluation du risque résiduel.
Modérée Élevée

Risque
Risque
Probabilité

inhérent
résiduel
Légende

Elevé

Modéré
Faible

Faible

Faible Modéré Élevé

Impact
Maroc-France / Projet Audit de performance
9
 1.3 Le Management des Risques

1.3.1 Définition du management des risques

1.3.2 Les concepts fondamentaux du management des risques

1.3.3 Le rôle de l’Audit Interne dans le cadre du Management des Risques

Maroc-France / Projet Audit de performance

10
1.3.1 Définition du management des risques

• Le management des risques est un processus mis en oeuvre par le

conseil d’administration, la direction générale, le management et
l‘ensemble des collaborateurs de l’ organisation.

• Il est pris en compte dans l’élaboration de la stratégie ainsi que dans

toutes les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d’affecter l’organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il
vise à fournir une assurance raisonnable quant à l'atteinte des objectifs
de l'organisation.

Maroc-France / Projet Audit de performance

11
1.3.2 Les concepts fondamentaux du management des risques

Le management des risques :

• Est un processus permanent qui irrigue toute l’ organisation

• Est mis en oeuvre par l’ ensemble des collaborateurs, à tous les niveaux de l’organisation

• Est pris en compte dans l’ élaboration de la stratégie

• Est mis en oeuvre à chaque niveau et dans chaque unité de l’ organisation et permet d obtenir
une vision globale de son exposition aux risques

• Est destiné à identifier les événements potentiels susceptibles d’ affecter l’ organisation, et à

gérer les risques dans le cadre de l’appétence pour le risque

• Donne à la direction et au conseil d administration une assurance raisonnable (quant à la

réalisation des objectifs de l’ organisation)

• Est orienté vers l’ atteinte d’ objectifs appartenant à une ou plusieurs catégories indépendantes
mais susceptibles de se recouper
Maroc-France / Projet Audit de performance
12
1.3.3 Le rôle de l’Audit Interne dans le cadre du Management des Risques

Maroc-France / Projet Audit de performance

13
 2. Le Contrôle Interne

2.1 Contrôle Interne : définition et notions clefs

2.2 Descriptif du modèle COSO

2.3 Le modèle COSO 2 : du contrôle interne au Management des

Risques

Maroc-France / Projet Audit de performance

14
 2.1 Contrôle Interne : définition et notions clefs

2.1.1 Introduction au Contrôle interne

2.1.2 Le COSO : Une norme internationale en matière de Contrôle
Interne
2.1.3 Définition COSO du Contrôle interne
2.1.4 Les limites du Contrôle interne
2.1.4 La pyramide du COSO : Les 5 composantes du contrôle
Interne

Maroc-France / Projet Audit de performance

15
2.1.1 Introduction au Contrôle interne

• Les définitions du Contrôle Interne sont multiples. D’où une grande confusion parmi les
décideurs, les organes législatifs, les autorités de tutelle et le public

• Difficultés renforcées lorsque la même terminologie est utilisée dans les lois, règlements ou
autre texte sans être clairement définie

• Objectif : établir une norme pour toutes les entreprises et organisations (secteur public ou
privé, but lucratif ou non) leur permettant d’évaluer leurs propres dispositifs de contrôle et de
déterminer comment les améliorer

• Le contrôle interne est défini de façon large ; il ne se limite pas à des contrôles comptables et
n’est pas restreint au seul reporting financier

• Le cadre de contrôle est lié aux objectifs de l’entreprise et il est suffisamment souple pour être
modulable

• Il faut prendre le terme « contrôler » dans sa signification anglo-saxone qui est

« maîtriser »

Maroc-France / Projet Audit de performance

16
2.1.2 Le COSO : Une norme internationale en matière de Contrôle Interne

Le COSO :

• COmittee of Sponsoring Organisations of the Treadway Comission

• Référentiel de Contrôle Interne développé dans les années 90, à l’époque des
faillites des caisses d’épargne américaines
• Référentiel de contrôle Interne le plus pertinent selon l’ IIA

Historique du COSO :

• 1985 : Formation de la Commission Treadway

• 1987 : Premier rapport de la commission sur le contrôle interne
• Sept. 1992 : Publication du rapport intitulé Internal Control - Integrated Framework
• Juin 2003 : Le COSO doit être la norme d’application de la loi Sarbanes-Oxley
(SEC)

Maroc-France / Projet Audit de performance

17
2.1.3 Définition COSO du Contrôle interne

Définition COSO :

• Le contrôle interne est un processus mis en œuvre par la direction générale, la

hiérarchie et le personnel d’une entreprise, et destiné à fournir une assurance
raisonnable quant à la réalisation d’objectifs entrant dans les catégories suivantes :
• Réalisation et optimisation des opérations
• Fiabilité des informations financières
• Conformité aux lois et réglementations en vigueur

Points clefs

• Processus : Ensemble de dispositifs pour arriver à un résultat, et non une fin en soi

• L’ensemble du personnel : Chacun a son contrôle interne à tous les niveaux

• Assurance raisonnable : Et non absolue : Caractère relatif du contrôle interne

Maroc-France / Projet Audit de performance

18
2.1.4 Les limites du Contrôle interne

• Le contrôle interne tend à réduire les risques d’erreur ou de fraude

mais ne peut pas les éliminer complètement en raison de :

• Mauvaise évaluation
• Changements des organisations
• Défaillances
• Volonté de passer outre de la direction
• Collusion
• Coûts excessifs par rapport aux bénéfices

Maroc-France / Projet Audit de performance

19
2.1.5 La pyramide du COSO : Les 5 composantes du contrôle Interne

Pilotage

Activités
de
contrôles

Evaluation des risques

Environnement de contrôle

Maroc-France / Projet Audit de performance

20
 2.2 Descriptif du modèle COSO

2.2.1 Les objectifs, les composantes et l’organisation sont

intégrés
2.2.2 Les 3 catégories d’objectifs
2.2.3 Environnement de contrôle
2.2.4 Évaluation des risques
2.2.5 Activités de contrôle
2.2.6 Information et Communication
2.2.7 Pilotage
2.2.8 Périmètre du modèle COSO

Maroc-France / Projet Audit de performance

21
2.2.1 Les objectifs, les composantes et l’organisation sont intégrés
Objectifs

ité ns
rm t io
es ons
fo a èr ti
n rm ci r a
Co fo n
In ina pé
f O
Environnement de contrôle

Cycle 2
Cycle 1
Évaluation des risques

Site B
Site A
Activités de contrôle
Composantes

Pilotage Organisation

Maroc-France / Projet Audit de performance

22
 2.2.2 Les 3 catégories d’objectifs

 Fiabilité des informations financières

Concerne la fiabilité de la préparation des états financiers
publiés, y compris les états financiers intermédiaires et
synthétiques, et les données non directement financières qui y
concourent

 Conformité aux lois et Objectifs  Réalisation et optimisation

réglementations en vigueur des opérations
Concerne le respect des lois et
réglementations auxquelles est soumise Concernent les objectifs opérationnels
ns ns
l’entité ité a ti o e s t io d’une entité
rm rm ièr pér
a
fo f o a nc
C on n
I in O
f
Pilotage

Cycle 2
Information &

Cycle 1
Communication
Site B
Composantes Activités de contrôle
Site A

du COSO Evaluation des

risques Organisation
Environnement de
contrôle

Maroc-France / Projet Audit de performance

23
2.2.3 Environnement de contrôle

ité ons s
rm t i es n
fo a èr tio
n rm ci r a
 Les employés sont sensibles au contrôle (intégrité, Co fo n
In ina pé
valeurs éthiques, compétence, autorité et f O
responsabilité)
Environnement de

Cycle 2
contrôle
 Fondement de tous les autres composantes de

Cycle 1
contrôle
Évaluation des risques

Site B
 Politiques de ressources humaines

Site A
Activités de contrôle

Pilotage

Exemple : (accès physique à l’immeuble de la société)

• Il y a un gardien à l’entrée
• Ses objectifs ont été clairement définis
• Il est régulièrement formé

Maroc-France / Projet Audit de performance

24
2.2.4 Évaluation des risques

ité ons s
rm t i es n
fo a èr tio
n rm ci r a
 Identification et analyse des risques pertinents Co fo n
In ina pé
f O
 Analyse du niveau de risque acceptable Environnement de

Cycle 2
contrôle

Cycle 1
Évaluation des risques

Site B
Site A
Activités de contrôle

Pilotage

Exemple : (accès physique à l’immeuble de la société)

• Vol d’équipements de la société
• Vol d’informations de la société

Maroc-France / Projet Audit de performance

25
2.2.5 Activités de contrôle

ité ons s
rm t i es n
fo a èr tio
n rm ci r a
 Politiques/procédures qui garantissent que les Co fo n
In ina pé
directives de la direction sont exécutées f O
Environnement de
 Approbations, autorisations, vérifications,

Cycle 2
contrôle
recommandations, évaluations des performances,

Cycle 1
sécurité des actifs et répartition des tâches Évaluation des risques
 Les contrôles peuvent être préventifs, détectifs ou

Site B
directifs

Site A
Activités de contrôle

Pilotage

Exemple : (accès physique à l’immeuble de la société)

• Demande d’une carte d’identité au visiteur
• Comparaison du nom avec la liste des visiteurs.

Maroc-France / Projet Audit de performance

26
2.2.6 Information et Communication

ité ons s
rm t i es n
fo a èr tio
n rm ci r a
 Les informations pertinentes sont Co fo n
In ina pé
f O
identifiées, enregistrées et Environnement de
communiquées en temps utile

Cycle 2
contrôle

Cycle 1
Évaluation des risques
 Rapports internes de la direction

Site B
Site A
Activités de contrôle

Pilotage

Exemple : (accès physique à l’immeuble de la société)

• Utilisation du téléphone, du courriel, etc. pour informer la personne ayant l’autorité de
décider de l’accès du visiteur.

Maroc-France / Projet Audit de performance

27
2.2.7 Pilotage
ité ons s
rm t i es n
fo a èr tio
n rm ci r a
 Les Combinaison évaluation indépendante Co fo n
In ina pé
continue/audit interne et externe f O
Environnement de

Cycle 2
 Évaluations de pilotage et de la direction contrôle

Cycle 1
Évaluation des risques
 Mise à jour des procédures et contrôles si

Site B
nécessaire

Site A
Activités de contrôle

Pilotage

Exemple : (accès physique à l’immeuble de la société)

• Vérifications périodiques pour s’assurer que la procédure de contrôle de l’accès à
l’immeuble est systématiquement suivie.

Maroc-France / Projet Audit de performance

28
2.2.8 Périmètre du modèle COSO

Cette dimension correspond aux niveaux

d’organisation :
 L’entreprise,
 Les filiales

Cycle 2
 Les départements,
 Les différents cycles (Achat,

Cycle 1
Production, Marketing…)
Site B  Tout niveau de l’organisation pertinent…
Site A

Le modèle COSO peut être utilisé pour le contrôle interne de toute

l’organisation ou de certaines de ses unités / activités uniquement

Maroc-France / Projet Audit de performance

29
2.3 Le modèle COSO 2 : Du Contrôle Interne au Management des Risques

• Les quatre grandes catégories

d’objectifs stratégiques,
opérationnels, reporting et
conformité sont représentées par
les colonnes

• Les huit éléments du management

des risques représentés par les
lignes

• Les unités de l’organisation

représentées par la troisième
dimension

Maroc-France / Projet Audit de performance

30