Audit Interne
Audit Interne
Audit Interne
Dans le cadre de ma spécialité en audit et contrôle de gestion, j’ai choisi de travailler sur un
projet en liaison directe avec les pratiques de performance au sein de l’entreprise ; la survie
et la prospérité de toute organisation reposant, en partie, sur la mise en œuvre d’un
dispositif de management des risques efficace.
Le management des risques est l’activité qui consiste à évaluer le risque en entreprise puis à
développer les diverses stratégies destinées à le garder sous contrôle. Ces stratégies vont du
transfert du risque à l’évitement en passant par la réduction des effets néfastes et
l’acceptation de certaines conséquences du risque. C’est un outil de pilotage opérationnel et
d'aide à la décision stratégique. Le management des risques est devenu une des fonctions
principales de la gestion d'une entreprise.
Les risques peuvent avoir du bon. Sans risques, il n'y a pas de récompense. L'objectif de la
gestion des risques n'est pas d'éliminer le risque, mais de le comprendre afin de pouvoir en
tirer des opportunités et minimiser les inconvénients.
L’objectif de la mise en place d’une cartographie des risques est d’identifier les zones de risques et
mettre à la disposition des opérationnels un référentiel de maîtrise des risques dont ils pourront
vérifier le respect et d’apporter périodiquement des aménagements pour le faire évoluer en fonction
de l’évolution de l’environnement tant interne qu’externe de l’entreprise.
Comme l’Office National de l’Electricité et de l’Eau Potable- Branche Eau est un des grands
établissements publics du pays et fait figure de monopole dans le secteur de la production
et la distribution de l’eau, il a été parmi les premiers établissements à s’intéresser a la
mise en œuvre d’un dispositif du management des risques et d’avoir adopter la
culture de gestion des risques dans l’ensemble des processus de l’office.
Ce mémoire relatera le concept de management des risques en deux parties, une théorique consacré
aux divers concepts qui y sont liés et une pratique ou j’exposerais la démarche de gestion des
risques.
Les mots clés : Risque, Management/Gestion des risques, cartographie des risques.
INTRODUCTION GENERALE
Propulsée sur le devant de la scène dans un environnement marqué par sa complexité et son
incertitude, remontée ces dernières années des préoccupations des spécialistes des
questions d’assurances à celles de la Direction Générale de l’entreprise, la thématique des
risques et de leur gestion mérite que l’on s’y intéresse.
Le management des risques est devenu une des fonctions principales de la gestion d'une
entreprise: le marché des capitaux ne pardonne plus aucune faute grave, et le Risk
Management fait partie intégrale des nouvelles réglementations comme le Sarbanes-Oxley
Act. Il peut être défini comme la culture, les processus et les structures orientés vers la
réalisation d'opportunités tout en gérant les effets néfastes. Une explication de l'intérêt
accru à la gestion des risques est la possibilité d'appliquer les nouvelles idées et outils sur la
“nouvelle réalité des risques”. Elle devrait faire partie intégrante des bonnes pratiques en
affaires, tant au niveau stratégique qu'opérationnel.
Le cœur du management des risques consiste à évaluer l'incertitude de l'avenir afin de faire
la meilleure décision possible aujourd'hui. Ses avantages sont les meilleures décisions ;
moins de surprises, amélioration de la planification et de la performance, efficacité et
amélioration des relations avec les parties prenantes.
L’état des lieux établi dans les précédents travaux des chercheurs en la matière a permis de
mieux appréhender la situation dans les entreprises et de faire émerger une approche
cognitive et organisationnelle de la gestion des risques. Il met en évidence un intérêt affiché
des entreprises pour le risque contrastant avec une démarche encore « frileuse » de leur
gestion. Il décrit, une démarche de gestion des risques en cinq étapes : définition d’une
Stratégie de définition des risques majeurs, identification des risques, mise en cartes,
identification des dispositifs de contrôle, analyse des résultats.
Pour bien comprendre la mise en œuvre du système management des risques nous allons
présenter le cas de l’Office National de l’Electricité et de l’Eau Potable- Branche Eau
(ONEE), qui est compté parmi les premiers établissements intégrant une démarche
management des risques et parmi les entreprises publiques précurseur dans le choix et
l’adoption d’une culture de gestion et maitrise des risques.
La principale question qui aura la priorité d’orienter ce travail est : « comment l’ONEE-
Branche Eau peut gérer les risques de manière efficace ?»
La première étape était la production d’un planning de travail à respecter présentant ainsi les
différentes tâches à réaliser tout au long de la période de stage.
La deuxième étape était le lancement du projet par une recherche théorique plus ou moins
approfondie afin d’approfondir nos connaissances en vue d’une maîtrise du projet.
La démarche de recherche est scindée en deux grandes parties qui sont interdépendantes :
- la première partie portera sur l’investigation documentaire. il sera procédé ainsi a une
revue de littérature puisée des principales références bibliographiques dans le domaine du
contrôle interne, audit interne et management des risques tout en mettant le point sur les
référentiels de mesure sur lesquels s’appuie le présent travail.
- La deuxième partie sera consacrée a l’investigation du terrain .nous entamerons cette
partie par une brève présentation de l’organisme accueillant (Office National de l’Electricité et
de l’Eau Potable et de son cycle d’achats), ensuite se fera une analyse du dispositif actuel de
management des risques (élaboration de la cartographie des risques du cycle achats) pour
proposer des suggestions de suivi, de reporting, et d’organisation de ce système.
Le travail se focalisera sur les achats comme étant un processus critique .Pour cela des outils
adéquats seront utilisés à savoir la carte d’identité du processus, le logigramme, des grilles
d’analyse, la cartographie des risques et plans d’actions.
Première partie : Management des risques, un outil idoine pour un audit basé
sur les risques
Chapitre 1 : la maîtrise des risques une préoccupation du contrôle et audit internes
Enfin, l’attention se focalisera sur les limites du contrôle interne qui représentent un
point de départ pour l’auditeur interne, et des sources de risques et de critiques du
dispositif de contrôle interne.
La deuxième section penchera vers l’audit interne puisqu’il est dans le cas de
l’ONEP l’intervenant en matière de gestion des risques. Il s’agira de rapprocher le
lecteur de l’audit interne a travers le cadre et les modalités de fonctionnement dans
un premier temps et puis mettre en perspective la relation entre l’audit interne et le
contrôle interne par le biais des procédures qui constituent un champ commun entre
les deux notions.
Section 1 : Contrôle interne
L’apport du contrôle interne est d’une grande utilité pour les dirigeants, il est
considéré comme un instrument de création de valeur qui fournit une aide précieuse
quant à la prise de décision, réalisation des objectifs et amélioration de la
performance de l’entreprise.
Un contrôle interne bien mis en place, efficace et efficient s’oriente vers l’atteinte et
la réalisation des objectifs primordiales de l’entreprise.
Les définitions du contrôle interne sont multiples, il est défini de façon large, il ne se
limite pas à des contrôles réglementaires (contrôle de type vérification) et n’est pas
restreint au seul Reporting financier. Le terme « contrôler » doit être pris dans
la signification de « Maitriser ».
Le contrôle interne à plusieurs définitions qui ont été, le plus souvent, déterminées
par des organisations comptables professionnelles internationales. De ce fait, ces
organisations ont tenté d’analyser le contenu du contrôle interne.
2
Grand B., Verdalle B., 1999. Audit Comptable et Financier. Paris, Economica, p63.
« Le contrôle interne comprend l’ensemble des systèmes de contrôle, financiers et
autres, mis en place par la direction, afin de pouvoir diriger les affaires d’une société
de façon ordonnée, de sauvegarder des biens et d’assurer, autant que possible, la
sincérité et la Fiabilité des informations enregistrées. Font partie du système de
contrôle interne les Activités de vérification, de pointage et d’audit interne. »
Le COSO regroupe aux USA les associations et instituts dans les domaines de la
comptabilité et de l’audit interne, qui ont sponsorisés les travaux de cette
commission, et qui sur la base de ses recommandation ont rédigé « le COSO
FRAMEWORK » ou référentiel COSO, publié en1992. Il définit le contrôle interne
comme « un processus, mis en œuvre par le conseil d’administration, le
management et les autre membres du personnel, conçu pour donner une assurance
raisonnable quant a la réalisation d’objectifs dans les catégories suivantes :
- La fiabilité de l’information ;
De ce fait, le SOX (the Sarbanes-Oxley Act) a choisi que ces société coté en bourse
adoptent le COSO comme référentiel suite au besoin d’un cadre conceptuel. En
2003, la promulgation de la loi sur la sécurité financière a aussi participé à sa
diffusion.
3
Loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs. Le texte
est couramment appelé loi Sarbanes-Oxley, du nom de ses promoteurs le sénateur Paul Sarbanes et le député
Mike Oxley.
- La Securities and Exchange Commission (SEC) et le Public Company
Accounting Oversight Board (PCAOB) ont fortement recommandé aux entreprises
américaines (ou étrangères cotées à New York) d’adopter le COSO comme
référentiel.
La fonction de contrôle interne doit donc définir son périmètre d’actions et ses
responsabilités en accord avec un cadre réglementaire mouvant, des
recommandations appuyées et des lois à venir. La responsabilité des
dirigeants d’entreprise est directement engagée par l’ensemble de ces textes
3. Le référentiel COSO 1 :
La combinaison des trois objectifs, des cinq composants et des différentes activités
de l'entreprise, vue comme trois axes d'analyse distincts, donne la base des
évaluations à réaliser: « Evaluer dans toute entité et pour toute activité la façon dont
chacun des 5 composants du contrôle interne participe à chacun des 3 objectifs ».
Le COSO définit le contrôle interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance
raisonnable quant à la réalisation des trois objectifs suivants :
Les cinq composants ont pour objectif l’amélioration du système du contrôle interne
de l’organisation et ils sont interconnectés. Il s’agit de :
1. l'environnement de contrôle ;
4
Coopers, Lybrand, 2002. La nouvelle pratique du Contrôle Interne. Paris, édition d'organisation, pp 51-52-53-54
3. les activités de contrôle ;
5. le pilotage.
Une fois que des objectifs clairs ont été fixés et qu’un environnement de contrôle
efficace a été créé, il est nécessaire de procéder à une évaluation des risques
auxquels l’organisation est confrontée pour réaliser sa mission et atteindre ses
objectifs, afin de définir une réponse adaptée à ces risques.
La principale stratégie pour minimiser les risques réside dans la mise en place
d’activités de contrôle interne. Ces activités de contrôle peuvent être orientées
vers la prévention et/ou la détection. Les mesures correctives constituent un
complément nécessaire des activités de contrôle interne en vue de la réalisation des
objectifs. Le coût des activités de contrôle et des mesures correctives doit avoir une
contrepartie et créer de la valeur. Autrement dit, leur coût ne doit pas dépasser le
bénéfice qui en découle (rapport coût/efficacité).
Les présentes lignes directrices fournissent un cadre général. Lors de leur mise en
œuvre, le management est responsable de l’élaboration de politiques, procédures et
pratiques détaillées et adaptées aux activités de l’organisation et doit s’assurer
qu’elles font partie intégrante de ces dernières.
Il faut toujours garder à l’esprit que tout SCI n’est pas une panacée : il ne permet pas
d’aspirer avoir éliminé tous les risques afférents à une organisation, car aussi bien
conçu et appliqué soit-il, ne peut fournir au plus qu’une assurance raisonnable à la
direction quant à la réalisation des objectifs de l’office. En effet, étant donné qu’elle
est essentiellement basée sur le facteur humain, toute structure de contrôle interne
peut être affectée par une erreur de conception, de jugement ou d’interprétation, par
l’équivoque, la nonchalance, la fatigue ou encore la distraction. Les facteurs
suivants peuvent avoir une influence négative sur l’efficacité du contrôle interne 5.
L’erreur de jugement
5
Rapport sur le Séminaire IIA-FANAF : L’Audit et le Contrôle de Gestion dans les compagnies d’assurance
Les dysfonctionnements
Même les SCI bien conçus peuvent faire l’objet de dysfonctionnements, par exemple
lorsque les collaborateurs interprètent les instructions de manière erronée, cèdent à
la routine et ne sont plus attentifs aux erreurs. Une enquête sur des anomalies
diverses peut ne pas être poursuivie assez loin ou une personne remplissant des
fonctions en remplacement d’une autre (maladie, vacances) peut ne pas s’acquitter
convenablement de sa tâche. Le CDF constate également souvent que des
changements dans les systèmes sont introduits avant que le personnel n’ait reçu la
formation nécessaire pour réagir correctement.
Un SCI ne peut pas être plus efficace que les personnes responsables de son
fonctionnement. Même au sein d’un office efficacement contrôlé, un responsable
peut être en mesure de contourner le SCI. Ceci signifie qu’un responsable peut
déroger de façon illégitime aux normes et procédures prescrites, par exemple pour
en tirer un profit personnel ou afin de dissimuler la non-conformité de l’activité de son
office à certaines obligations légales.
Les ressources étant toujours limitées, les offices doivent comparer les coûts et les
avantages relatifs des contrôles avant de les mettre en place. Lorsqu’on cherche à
apprécier l’opportunité d’un nouveau contrôle, il est nécessaire d’étudier non
seulement le risque d’une défaillance et l’impact possible sur l’office, mais également
les coûts qu’entraînerait la mise en place de ce contrôle. Une décision quant à la
mise en place d’un contrôle restera toujours partiellement basée sur des critères
subjectifs. Toute la difficulté de l’analyse du rapport coûts/bénéfices consiste à définir
le risque résiduel tolérable.
Dans cette section on verra ce que c’est que l’audit interne, son objectif, sa mission
et sa relation avec les autres entités de l’organisation ainsi que le contrôle interne.
L’Audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte
ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
6
Charte de l’audit interne de l’Office National de l’Eau Potable. Définition approuvée le 21 mars 2000 par le
Conseil d'Administration de l'IFACI (Institut Français de l'Audit et du Contrôle Internes).
L’audit interne est une fonction d'évaluation indépendante qui examine et
évalue les structures et les activités de l'office en vue de lui permettre
d'améliorer son efficacité et son efficience.
Il assiste la hiérarchie dans l'exercice effectif de ses responsabilités en
effectuant des missions et en fournissant des analyses, des évaluations, des
recommandations, des avis et des informations relatifs aux activités ayant fait
l'objet d'un audit.
Il apporte aux entités de l’Office le fruit de ses observations avec
l’ambition d’accroître l’efficacité de chacune d’elles et de l’ensemble.
L’audit interne n’a pas pour objectif la détection des fraudes, mais si des
irrégularités sont constatées dans le cadre d’une mission d’audit, il est tenu de
les signaler dans son rapport au Directeur Général.
Son champ d’action :
L’audit interne est concerné par tous les services et activités de l’office.
Il exécute en particulier des audits opérationnels, de conformité et financiers. Il
peut faire, le cas échéant, appel à une expertise externe.
- Sauvegarde du patrimoine ;
7
Charte de l’audit interne de l’Office National de l’Eau Potable.
- Conformité des activités des différentes entités aux politiques, plans et
procédures tracés par la Direction ;
- Elles fournissent une piste utile pour ses travaux d'investigations et facilitent
sa tâche
Conclusion
Les points abordés dans cette première partie, à savoir dans le premier et le
deuxième chapitre, m’ont permis d'élaborer une définition globale du Contrôle Interne
et de connaître ses champs d'application. Le Contrôle Interne est appliqué par
des Hommes sur des Hommes, ce qui rend cette mission plus ou moins délicate.
Néanmoins, chaque système a ses propres défaillances et limites. On a pu le
constater à travers les scandales financiers qu'ont connus les Etats-Unis dans les
années 90.
Ensuite, le lecteur sera invité à découvrir, dans une deuxième section, les divers
articulations et relations entre le contrôle interne, audit interne et le management des
risques qui reste le cœur de ce travail.
Section 1 : Management des risques
La notion de risque :
- La norme ISO 31000 définit le risque comme l’effet de l’incertitude sur l’atteinte
des objectifs. Cette définition déplace de nouveau la question du risque en imposant
de spécifier les objectifs d’une activité dont l’atteinte pourrait être entravée par
l’occurrence de circonstances incertaines8.
8
La norme iso 31000 en 10 questions –Gilles MOTET- Fondation pour une Culture de Sécurité Industrielle.
9
La définition de l’IFACI
Le risque est l’ensemble d’événements potentiels qui, s’ils se réalisent, pourront
affecter l’entreprise. Il détermine s’ils représentent une opportunité ou s’ils sont
susceptibles de nuire sérieusement à la capacité de l’entité à mettre en œuvre avec
succès sa stratégie et à atteindre ses objectifs. Les événements ayant un impact
négatif constituent des risques qui demandent une évaluation du management et un
traitement. Le risque dit « majeure » est un risque évalué comme élevé, avec une
grande gravité. Ou un risque qui représente un caractère inacceptable pour
l’entreprise en regard de la sécurité des biens et des personnes ou de la survie des
organisations.
10
www.lebas-conseil.fr, article « Risk management : gérer l’ingérable » écrit par Anne Sophie David. Le 8/06/2011
Le management des risques :
Le management des risques traite des risques et des opportunités ayant une
incidence sur la création ou la préservation de la valeur. Il offre la possibilité
d’apporter une réponse efficace aux risques et aux opportunités associées aux
incertitudes auxquelles l’organisation fait face, renforçant ainsi la capacité de
création de valeur de l’organisation11.
- est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’organisation,
- est pris en compte dans l’élaboration de la stratégie est mis en œuvre à chaque
niveau et dans chaque unité de l’organisation et permet d’obtenir une vision globale
de son exposition aux risques,
12
COSO II – « Enterprise Risk Management Framework » - 2002
Cette définition, assez ample et consciemment large, englober les concepts
fondamentaux, à la base desquels les organisations définissent leur dispositifs de
management des risques. Elle permet de garder les objectifs fixés cernés et bien au
centre des préoccupations d’un organisme donné.
La direction doit avoir une vue d’ensemble du risque. En pratique, tous les
responsables, quel que soit leur niveau, devront évaluer les événements
susceptibles d’affecter leur domaine d’activité et en informer les hauts
responsables. Cette évaluation peut être qualitative ou quantitative. La haute
direction devrait utiliser ces évaluations couvrant tous les niveaux et domaines
d’activité de l’entité pour aboutir à une évaluation du risque global au niveau de
l’ensemble de l’organisation.
COSO II
FERMA
ISO 31000
Les deux référentiels utilisés dans la gestion de risques sont : COSO2 et FERMA, le
travail pratique reposera sur la méthodologie et le processus proposés par ces
référentiels.
Action stratégiques :
- Mettre en place des enquêtes et des repères pour identifier et partager les
pratiques Actuelles
Actions stratégiques :
- Détecter les problèmes précoces qui peuvent avoir un impact sur notre profession
13
Cadre de référence de la gestion des risques © AIRMIC, ALARM, IRM: 2002, translation copyright FERMA:
2003.
- Proposer et coordonner les positions avec les associations membres sur les
questions pertinentes.
1. Appréciation du risque :
2. Analyse du risque :
Les activités et les décisions de l’organisation peuvent être classées dans un éventail
de Catégories, dont par exemple:
Les mesures les plus adaptées pour les conséquences et les probabilités peuvent
varier d’une organisation à une autre.
3. Evaluation du risque :
Après avoir analysé les risques, il est nécessaire de comparer les risques estimés
aux critères de risque que l’organisation a établis. L’évaluation du risque aide à
décider de l’importance de chaque risque spécifique pour l’organisation, et à
déterminer s’il convient d’accepter ce risque en l'état ou bien de le traiter.
4. Traitement du risque :
• Des principaux systèmes de maîtrise en place pour gérer les risques significatifs
Une gestion des risques efficace requiert une structure de compte-rendu et de revue
pour assurer que les risques sont efficacement identifiés et évalués et que les
dispositifs de maîtrise et les réponses appropriées sont en place. Il convient d’auditer
régulièrement la conformité à la politique et aux normes, et de passer régulièrement
les performances en revue pour identifier les opportunités d’amélioration. Il faut
garder à l’esprit que les organisations sont dynamiques et opèrent dans des
environnements dynamiques.
Apport nouveau du COSO2 : Les modifications ont été portées sur l’axe
stratégique de l’organisation ; nouvel objectif stratégique :
14
Le management de risques de l’entreprise (cadre de référence-techniques d’applications –coso2 report
(EYROLLES Édition)
- Les autres objectifs sont dépendant des objectifs stratégiques.
Il existe une relation directe entre les objectifs que cherche à atteindre une
organisation et les éléments du dispositif de management des risques qui
représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une
matrice en trois dimensions.
1. Environnement interne
Toute entité est confrontée à des risques divers d’origine externe et interne et la
fixation d’objectifs constitue une condition préalable pour identifier efficacement les
événements susceptibles d’en affecter la réalisation, en évaluer les risques et réagir
par rapport à ces risques.
Les objectifs doivent être préalablement définis pour que le management des risques
puisse identifier les événements potentiels susceptibles d’en affecter la réalisation.
Le management des risques permet de s’assurer que la direction a mis en place un
processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission
de l’entité ainsi qu’avec son appétence pour le risque.
La gestion des risques des entités fournit une assurance raisonnable quant à la
réalisation des objectifs – opérationnels, de rapportage et de conformité – d’une
organisation.
Les événements sont des incidents ou des faits d’origine interne ou externe qui
affectent la mise en œuvre de la stratégie ou la réalisation des objectifs. Ils peuvent
avoir un impact positif, négatif, ou les deux à la fois.
L’évaluation des risques a pour but d’identifier quels éléments sont assez importants
et Significatifs pour concentrer sur eux l’attention de la direction.
Les risques sont analysés, tant en fonction de leur probabilité d’occurrence que de
leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent
être gérés. Les risques inhérents et les risques résiduels sont évalués.
6. Activité de contrôle :
- Les contrôles directifs visent à s’assurer qu’un résultat particulier sera atteint.
- Les contrôles à des fins de détection sont destinés à mettre en évidence si des
résultats non voulus sont apparus "après coup".
- Les contrôles correctifs ont pour but de corriger les résultats non
voulus qui sont apparus.
7. Information et communication :
8. Pilotage :
Le management des risques n’est en aucun cas un processus qui pourrait être
qualifié de séquentiel, dans lequel un élément affecte uniquement le suivant. C’est
un processus dynamique, multidirectionnel et itératif, par lequel n’importe quel
élément a une influence et un impact immédiat et direct sur les autres.
Pour appliquer les composantes de la gestion des risques des entités, une entité
devrait Prendre en compte l’ensemble du champ de ses activités à tous
les niveaux de L’organisation. La direction devrait également étudier les nouveaux
projets et initiatives en appliquant le modèle de gestion des risques des entités.
ISO 31000 fournit des principes, un cadre et des lignes directrices pour gérer toute
forme de risque d'une manière systématique, transparente, et crédible dans
quelque domaine et quelque contexte que ce soit. Elle a été élaborée par Kevin W.
Knight, AM, président du groupe de travail ISO.
L’ISO 31000 ne vient pas se rajouter aux référentiels existants, elle les complète,
dans le cadre d’une démarche de management intégré et rationnel. Cette norme
n’est d’ailleurs pas « Certifiable ». Il s’agit d’un outil complémentaire permettant de
développer le principe de l’approche risque et de l’intégrer dans les pratiques
managériales d’entreprises.
15
Source : site : http://qualiblog.fr
En parallèle, l'ISO publie le Guide ISO 73:2009, Management du risque –
Vocabulaire, qui complète ISO 31000 en fournissant un ensemble de termes et
définitions dans le domaine. Ils peuvent être appliqués par tout public, toute
entreprise publique ou privée, toute collectivité, toute association, tout groupe ou
individu. (Annexe 2)
- leurs causes,
- leurs impacts,
16
Fonction achat-contrôle interne et gestion des risques- MAXIMA édition p.144 /145
- Identifier les risques critiques pour la mise en place de dispositifs de maitrise
adaptés,
Ainsi soit-il, la proposition du nouveau référentiel n’était autre que la réponse aux
limites du premier référentiel qui d’ailleurs n’a pas pu faire face à la montée
spectaculaire des activités qu’a connu le XXIème siècle,
La gestion des risques des entités peut être considérée comme une évolution
naturelle du modèle de contrôle interne. La plupart des organisations tendront à
appliquer entièrement le Modèle de contrôle interne avant de mettre en œuvre les
concepts inhérents à la gestion des
17
Olivier Poupart-Lafarge Membre du Collège de l’AMF Les dispositifs de gestion des risques et de contrôle
interne, Cadre de référence, mis en ligne le 14 juin 2010
- De son côté, le dispositif de contrôle interne s’appuie sur le dispositif de gestion des
- En outre, le dispositif de gestion des risques doit lui-même intégrer des contrôles,
relevant du dispositif de contrôle interne, destinés à sécuriser son bon
fonctionnement.
Pour COSO 1, une gestion des risques efficace consiste à lutter contre les risques
les plus dangereux quant à la réalisation des objectifs de l’organisation. Ce dispositif
montre comment un système de contrôle interne peut jouer un rôle significatif dans la
réduction des risques grâce à la mise en place d'un cycle dynamique reliant les
personnes à tous les niveaux de l'institution pour les intégrer au processus de
gestion des risques. Il répertorie les principaux risques auxquels sont
confrontées les directions d’un organigramme
COSO 2 quant à lui stipule que le contrôle interne n’est autre qu’un élément parmi
d’autres nécessaires à la mise en place d’un système de management des risques.
Ainsi le premier niveau de préoccupation de l’audit interne doit être l’analyse des
risques liés aux processus en évaluant grâce à des audits la qualité et l’efficacité de
ces processus. Le dispositif d’évaluation des risques permet alors l’identification des
activités qui méritent d’être auditées parce qu’elles sont considérées comme
essentielles pour l’entreprise.
L’une des principales missions du Conseil (ou son équivalent), consiste à s’assurer
que les processus de gestion du risque fonctionnent correctement et que les
principaux risques sont maintenus à un niveau acceptable.
Il est probable que cette assurance proviendra de différentes sources. Parmi ces
sources, l’assurance provenant de la direction est fondamentale, mais doit être
complétée par une assurance objective, émanant principalement de l’audit interne.
Les autres sources sont l’audit externe et les examens par des experts
indépendants. L’audit interne apporte normalement des assurances dans trois
domaines :
Management des risques et audit interne, en précisant leurs rôle de manière exacte,
participeront ensemble à assurer et sécuriser l’entreprise face aux multiples risques.
Conclusion
Après avoir achevé la première partie du rapport, qui ne relate que le côté
conceptuel , le premier chapitre a permis de présenter les éléments relatives au
management des risques à savoir le contrôle interne et l’audit interne, qui tout deux
permettent à l’organisation de faire face aux risques d’une manière plus efficace. Le
deuxième chapitre c’est focaliser sur le traitement du concept management des
risques en présentant les éléments clés qui y sont liés, en s’appuyant sur des
référentiels internationaux significatifs, notamment le référentiel COSO II, et en
mettant le point sur la relation qui existe entre le contrôle interne, l’audit interne et le
management des risques.
Il s’est avéré que L'audit interne doit évaluer les processus, de management des
risques et de contrôle, et contribuer à leur amélioration. La gestion des risques des
entités peut être considérée comme une évolution naturelle du modèle de contrôle
interne. La plupart des organisations tendront à appliquer entièrement le modèle de
contrôle interne avant de mettre en œuvre les concepts inhérents à la gestion des
risques des entités, dont le contrôle interne fait intégralement partie.
On peut déduire que le management des risques crée de la valeur (utile aux objectifs
de l’organisation), est intègre aux processus organisationnels (utile aux activités) et
aux processus de prise de décision (utile aux décisions). Il est l’affaire de tous les
acteurs de la société, et vise à être globale et doit couvrir l’ensemble des activités,
processus et actifs de la société. L’objectif de la mise en place d’une cartographie
des risques est d’identifier les zones de risques et mettre à la disposition des
opérationnels un référentiel de maîtrise des risques dont ils pourront vérifier le
respect et d’apporter périodiquement des aménagements pour le faire évoluer.
C’est dans cette vision que la deuxième partie sera consacrée à un cas pratique du
déploiement du système management des risques au sein de l’Office National
de l’Eau Potable (ONEP), spécifiquement au niveau du cycle stock de l’office.