IIA CIA Partie1 SecII FR v4-0
IIA CIA Partie1 SecII FR v4-0
IIA CIA Partie1 SecII FR v4-0
Ces matériaux sont protégés par copyright; il est illégal de copier tout ou partie de ces matériaux.
Le fait de partager vos documents limiterait l'utilité du programme. L'IIA investit de nombreuses
ressources pour proposer à ses membres des perspectives professionnelles de qualité. En
conséquence, merci de respecter le copyright.
Table of Contents
Les questions de l'examen de l'auditeur interne certifié (CIA) basées sur le contenu de
cette section représentent environ 25 % à 35 % de la totalité des questions relatives à la
Partie 1. Les sujets sont couverts au niveau « A-Awareness », ce qui signifie que vous
devez bien comprendre et mémoriser les informations.
Introduction
La nature du travail de l'audit interne a évolué bien au-delà des domaines traditionnels de l'assurance
de contrôle interne et de la conformité pour inclure la gestion des risques et la gouvernance. La
norme de fonctionnement 2100 « Nature du travail » décrit succinctement le champ d'application
élargi : « L'audit interne doit évaluer les processus de gouvernement d'entreprise, de gestion des
risques et de contrôle, et contribuer à leur amélioration sur la base d’une approche systématique et
méthodique. »
Des trois domaines fonctionnels, la gouvernance est le domaine le moins développé et le plus
complexe. La gouvernance est traitée en détail uniquement dans la Partie 3 de ce système
d'apprentissage.
Les auditeurs internes possèdent une grande expérience du contrôle. Les deux premiers chapitres de
cette section traitent du contrôle interne. Le Chapitre A définit les types de contrôles et décrit la façon
dont les contrôles peuvent être mis en œuvre en utilisant des techniques de contrôle de gestion
efficaces. Le Chapitre B se concentre sur les cadres de contrôle interne.
Les connaissances et l'implication de l'activité d'audit interne dans la gestion des risques varient d'un
secteur industriel à l'autre et d'une organisation à l'autre. Les entités de services financiers, par
exemple, présentent un niveau de maturité raisonnable en ce qui concerne la gestion des risques.
Toutefois, de nombreux autres types d'organisation sont novices en la matière. Par conséquent, le
Chapitre C présente une introduction au lexique, aux éléments et à la gestion du risque. (Dans la
Partie 2, les bases introduites ici sont appliquées à la mise en place de plans d'audit interne axés sur
les risques.) Le Chapitre D se rapporte spécifiquement à la sensibilisation aux risques de fraude et
inclut une description des types de fraude et des signaux d'alerte.
Chapitre A : Types de contrôles et
techniques de management du contrôle
interne
Introduction du chapitre
Qu'est-ce que le contrôle interne ?
Différentes définitions donnent un aperçu du contrôle, de l'environnement de contrôle et du contrôle
interne.
Le glossaire des Normes définit le contrôle comme « toute mesure prise par la direction, le conseil
d'administration et d'autres parties afin de gérer les risques et d'accroître la probabilité que les buts
et objectifs fixés seront atteints. La direction planifie, organise et dirige la réalisation d'actions
suffisantes pour assurer, dans la mesure du possible, que les objectifs ciblés seront atteints ».
L'attitude et les actions du Conseil et de la direction au regard de l'importance du (dispositif de) contrôle dans l'organisation. Il fournit
la discipline et la structure nécessaires à la réalisation des objectifs principaux du système de contrôle interne. L'environnement de
contrôle englobe les éléments suivants :
Intégrité et valeurs éthiques
Philosophie et style de la direction
Organigramme
Attribution de l'autorité et de la responsabilité
Pratiques et politiques en matière de ressources humaines
Compétence du personnel
Le contrôle interne est un processus exécuté par le conseil d'administration, la direction et d'autres membres d'une entité et conçu
pour fournir une assurance raisonnable concernant la réalisation des objectifs dans les catégories suivantes :
Efficacité et efficience des opérations ;
Fiabilité du reporting financier.
Conformité avec les lois et règlements applicables.
Comme le montrent ces différentes définitions, les contrôles internes permettent à la direction d'une
entité d'exécuter la mission et d'atteindre les objectifs de l'organisation.
Contrôles principaux. « Il s'agit des contrôles qui doivent fonctionner efficacement afin de
réduire un risque considérable à un niveau acceptable ».
Les contrôles principaux désignent les contrôles requis pour atteindre facilement le résultat souhaité
ou l'objectif de l'entreprise. Les contrôles secondaires visent à atténuer les risques qui ne sont pas
considérés comme importants ou sont conçus comme contrôle redondant déjà traité par un contrôle
principal. L'objectif visé lors de l'identification des contrôles principaux est de s'assurer que la
supervision de la direction, les tests de contrôles et autres procédures d'audit sont efficaces, de ne
pas gaspiller du temps et des ressources et de se concentrer sur les risques importants et sur la
réalisation des objectifs de l'entreprise. Chaque risque au niveau de l'entité, des processus ou des
transactions qui a été identifié comme un risque important au cours du processus d'évaluation des
risques se verra associer un ou plusieurs contrôles principaux. Les contrôles secondaires sont les
contrôles restants au niveau d'un système.
Un exemple de contrôle principal de la gouvernance à l'échelle de l'entité est de s'assurer que le « ton
donné par la direction » renforce les contrôles au niveau des processus plutôt que de les
compromettre. Un contrôle secondaire associé peut permettre de revoir et de communiquer à nouveau
les énoncés de mission et de vision. Au niveau des contrôles de supervision de la direction à
l'échelle de l'entité, certains contrôles principaux peuvent vérifier l'efficacité de plusieurs autres
contrôles secondaires et indiquer lorsqu'il se produit des pertes de contrôle de niveau inférieur,
offrant ainsi un indicateur précoce de la défaillance du contrôle pour réduire le nombre d'essais
nécessaires pour les contrôles secondaires. Au niveau du processus, le rapprochement des comptes
clés plutôt que de tous les comptes (contrôles secondaires) pourrait fournir les preuves nécessaires
permettant d'évaluer si l'ensemble du processus est susceptible d'atteindre ses objectifs. Au niveau de
la transaction, la somme de contrôle d'une écriture comptable pourrait fournir la preuve que d'autres
contrôles au niveau des transactions fonctionnent efficacement. On pourrait considérer comme
secondaires les contrôles qui n'acceptent qu'une certaine gamme de données numériques dans un
champ spécifique.
Prévention. Ce sont des contrôles proactifs qui permettent d'éviter que des événements
indésirables ne se produisent. Nous pouvons citer comme exemple un système de récompense
basé sur un indicateur clé de performance pertinent pour un domaine donné plutôt que sur la
réalisation d'une somme budgétaire arbitraire.
Détection. Les contrôles de détection sont réactifs et détectent les événements indésirables qui
sont déjà survenus. Nous pouvons citer comme exemple les rapprochements de comptes ou les
rapports d'exception.
Correction. Les contrôles correctifs sont réactifs et conçus pour permettre une correction
manuelle ou automatique des erreurs ou des irrégularités qui ont été détectées par des contrôles de
détection comme, par exemple, la résolution de cas de paiements en double dans un système de
décaissement, les pistes d'audit ou les procédures de sauvegarde et de récupération.
Direction. Les contrôles directifs sont proactifs et causent ou encouragent la survenue d'un
événement souhaitable. Parmi les exemples de contrôles directifs figurent les lignes directrices,
les programmes de formation et les mesures incitatives.
Atténuation. Les contrôles d'atténuation réduisent l'impact potentiel d'un événement qui pourrait
se produire. Les assurances sont un excellent exemple de contrôle d'atténuation.
Compensation. Ces contrôles visent à compenser l'absence d'un contrôle prévu. Par exemple, un
examen rigoureux par un superviseur peut compenser le manque de séparation des tâches lorsque
cette séparation est rendue impossible par de faibles effectifs.
Un contrôle actif ou contrôle manuel est une tâche qui consiste à empêcher ou détecter un écart
par rapport à la procédure approuvée. On peut le voir comme un contrôle qui fonctionne par une
sorte d'intervention consciente. Nous pouvons citer comme exemple l'examen de transactions par
un responsable.
Un contrôle passif ou contrôle automatique fonctionne sans intervention humaine. Les contrôles
intégrés dans le système informatique ou une relation ou un processus qui possède des
implications dans le contrôle en sont des exemples. On peut le voir conne un contrôle qui
fonctionne par sa simple existence. On peut illustrer ceci en prenant l'exemple d'un thermostat
réglé pour maintenir la température d'une pièce.
Contrôle formel. Ces contrôles ont tendance à être quantitatifs et objectifs, ce qui signifie que les
tests d'audit traditionnels peuvent être utilisés pour tester la conformité. Il s'agit, par exemple,
d'inspecter des comptes rendus de réunion ou d'effectuer une analyse mensuelle budget - coût réel.
Contrôle informel. Ces contrôles ont tendance à être qualitatifs et subjectifs et sont destinés à
représenter la culture d'une organisation, tel que l'état d'esprit ou les perceptions. Par exemple, les
contrôles informels peuvent inclure des politiques pour déterminer si les connaissances sont
suffisantes pour corroborer des résultats ou étayer des conclusions.
L'illustration II-2 présente des exemples courants de ces deux types de contrôles.
Contrôles informatiques
La technologie de l'information, tout comme la notion de contrôles à l'échelle de l'entité par rapport
aux contrôles au niveau des processus et des transactions, possède également des niveaux de contrôle
permettant de gérer les risques associés aux systèmes informatiques :
Contrôles généraux informatiques. Les contrôles généraux informatiques (ITGC) sont des
contrôles mis en place à l'échelle de l'entité qui s'appliquent à des processus informatiques
généraux tels que la gestion du changement, le déploiement, la sécurité d'accès et les opérations.
Ils peuvent être appliqués à tous les systèmes d'information en général ou presque. Les contrôles
généraux informatiques se composent de contrôles de gouvernance, comme une politique de
confidentialité, ainsi que de contrôles de supervision de la direction, tels que les normes d'essai
ou la séparation des fonctions informatiques.
Contrôles des applications ou contrôles techniques. Les contrôles des applications ou les
contrôles techniques sont des contrôles au niveau des processus ou des transactions qui sont
généralement spécifiques à une application donnée, mais ils peuvent également contrôler des
procédés techniques plus importants, tels que les droits d'accès aux systèmes. Les contrôles des
applications sont parfois regroupés par fonction commune :
Contrôles sur les entrées. Les contrôles sur les entrées permettent de vérifier l'intégrité
des données lorsque celles-ci sont saisies manuellement ou automatiquement dans un
système. Par exemple, le total de contrôle vérifie que le bon nombre d'enregistrements a été
entré.
Contrôles de traitement. Les contrôles de traitement permettent de vérifier que les tâches
de traitement de données sont exactes, complètes et valides. Par exemple, on peut comparer
le total de contrôle à différentes étapes du traitement.
Contrôles sur les sorties. Les contrôles sur les sorties permettent de vérifier que les sorties
de données sont exactes, complètes et valides. Nous pouvons citer comme exemple un
contrôle permettant d'assurer que les données sorties sont envoyées et reçues par les
destinataires prévus et par aucun autre individu ou système.
Il existe un autre outil de contrôle informatique que l'on appelle la piste d'audit et qui est, en d'autres
termes, un enregistrement permanent de toute activité de saisie, de traitement et de sortie
informatique. Les auditeurs peuvent consulter les journaux de transactions, examiner la liste des
contrôles exécutés ou les listes d'erreur.
Le jugement, les dérogations par la direction et tout autre facteur similaire assurent, dans la mesure
du possible, que les contrôles pourront atténuer les risques. D'autres facteurs peuvent réduire les
avantages des contrôles :
Des contrôles excessifs et/ou redondants peuvent générer confusion et frustration.
Faire trop confiance aux contrôles peut coûter plus cher que l'exposition dont ils sont censés
protéger.
Trop d'importance accordée aux contrôles peut résulter dans le fait que les personnes se
concentrent principalement sur le respect des contrôles et perdent de vue les objectifs
commerciaux.
Les changements et le temps peuvent rendre les contrôles obsolètes.
Si le personnel n'adhère pas aux contrôles ou s'il ne comprend pas les objectifs à atteindre, il peut
y résister et la créativité et l'esprit d'initiative peuvent s'en ressentir.
Les objectifs et les raisons des contrôles doivent être communiqués aux employés. Dans le cas
contraire, les employés pourraient considérer que ces contrôles ne sont pas nécessaires, qu'ils sont
sans importance et qu'ils constituent une perte de temps. Les normes établissent les performances
attendues. Elles fournissent une base pour mesurer les objectifs à atteindre. Dans la mesure du
possible, les normes devraient être quantitatives. Des mesures qualitatives peuvent prêter à confusion
et mener à une interprétation subjective erronée. Si vous souhaitez utiliser une unité de temps
spécifique (par exemple, cinq jours), il est important d'être précis plutôt que d'utiliser « un intervalle
de temps raisonnable ».
Malgré tout, un système de contrôle bien conçu ne suffit pas. La direction a besoin de la garantie que
les contrôles fonctionnent conformément à leur conception (c.-à-d. qu'ils sont efficaces). La direction
des opérations devrait obtenir cette garantie par elle-même, par une surveillance continue. Les
évaluations effectuées séparément par des parties indépendantes (par exemple, des auditeurs
internes) offrent une plus grande assurance, notamment pour la haute direction et le comité d'audit.
Les auditeurs internes évaluent généralement l'efficacité d'un contrôle en sélectionnant un échantillon
de cas où le contrôle aurait dû être appliqué et en effectuant des tests pour déterminer si le contrôle a
été correctement appliqué dans chaque cas. Nous examinerons les approches les plus largement
utilisées pour tester les contrôles dans la Section III « Conduite des missions d'audit – Outils et
techniques d'audit ».
Les entreprises peuvent mettre en œuvre différentes techniques pour documenter, évaluer et rendre
compte de la pertinence des contrôles internes. Quelles que soient les techniques utilisées, certaines
caractéristiques universelles permettent de distinguer les systèmes efficaces :
L'identification opportune des écarts potentiels ou réels afin de limiter l'exposition à des risques
coûteux.
La garantie raisonnable d'atteindre les objectifs prévus à un coût minimal, avec le moins d'effets
secondaires indésirables possible.
Une responsabilité claire qui aide le personnel à remplir les fonctions attribuées.
Un placement efficace (p. ex. lorsque la mesure est la plus pratique ou qu'il reste du temps pour
l'action corrective).
Une identification de la cause d'origine pour permettre une action corrective appropriée.
Une cohérence avec les stratégies de la direction et les objectifs commerciaux.
Comme le montre l'illustration II-6, pour qu'un système de contrôle soit efficace, les membres de
l'organisation ont tous un rôle à jouer dans la mise en œuvre des contrôles internes.
Bien que le manque d'indépendance réduise la fiabilité des résultats, l'expérience nous montre qu'une
technique de CSA rigoureuse et bien élaborée produit des résultats plutôt fiables. Et ces résultats sont
souvent beaucoup plus solides que ceux obtenus par un tiers indépendant ayant examiné des preuves
objectives. Si les participants à la CSA ont l'assurance que leur honnêteté ne se retournera pas contre
eux, cette technique peut les aider à identifier des points faibles du contrôle auxquels ils ne
penseraient pas spontanément ou qu'ils ne révèleraient pas à un évaluateur indépendant. Cela est
particulièrement vrai dans le cas des points faibles des contrôles informels.
La CSA est mise en place dans un environnement structuré dans lequel un processus itératif est
abondamment documenté. Le processus de CSA permet à la direction et/ou aux équipes de travail
d'une fonction commerciale d'effectuer les tâches suivantes :
Prendre part à l'évaluation du contrôle interne.
Évaluer le risque.
Développer des plans d'actions pour traiter les points faibles identifiés.
Évaluer la probabilité d'atteindre les objectifs commerciaux.
Certes, les avantages spécifiques qu'une organisation pourra tirer de la CSA peuvent varier. Mais les
organisations peuvent raisonnablement constater deux types d'améliorations importantes que nous
allons maintenant aborder.
Informations importantes sur le contrôle interne. Le processus de CSA fournit des informations
utiles à la direction et aux auditeurs internes pour pouvoir évaluer la qualité du contrôle. Il
complémente de manière efficace l'audit interne. L'auto-évaluation des contrôles offre au
personnel de l'audit interne et des opérations un moyen de collaborer pour évaluer une opération.
Cette synergie permet à l'audit interne de prendre en charge la fonction de supervision de la
direction en améliorant la quantité et la qualité des informations disponibles.
Pour les professionnels de la CSA, l'IIA propose la certification Spécialiste de l'auto-évaluation des
contrôles (CCSA, Certification in Control Self-Assessment). Cette certification prouve une
connaissance des domaines tels que l'identification et l'évaluation des risques, ainsi que la théorie et
l'application du contrôle.
Pour plus d'informations sur l'auto-évaluation des contrôles, vous pouvez consulter le site Web de
l'IIA www.theiia.org.
Plus une organisation est grande et complexe, plus les enjeux et les défis en matière de risque et de
contrôle sont importants. Par rapport aux organisations de petite taille ayant des activités moins
variées, les organisations plus grandes ont des activités plus diversifiées et il y a donc beaucoup plus
de facteurs à prendre en compte.
L'autonomisation signifie que les employés ont le pouvoir de prendre des décisions et d'agir dans
leurs domaines sans autorisation préalable. Dans un environnement autonome, un responsable :
S'engage en faveur de l'autonomisation et promeut le concept ;
Délègue les connaissances, la responsabilité et l'autorité aux individus exécutant effectivement les
processus commerciaux ;
S'assure que la direction et les employés ont accès aux informations commerciales critiques ;
S'assure que la direction et les employés disposent de l'autorité et de la discrétion nécessaires
pour prendre les mesures adéquates, et de l'opportunité d'apporter de précieuses contributions.
Pour réussir à mettre en œuvre l'autonomisation au sein d'une organisation, les responsables doivent
équilibrer leur besoin de contrôler avec l'octroi de suffisamment de liberté aux autres pour que ceux-
ci puissent agir de leur propre chef. Ce transfert d'autorité requiert de travailler avec ses subordonnés
pour établir des attentes, des responsabilités et des limites claires à l'autonomisation dans toute
l'organisation. Il est important que tout le monde soit conscient de ses responsabilités et des limites
de son autorité en matière de gestion des risques et de contrôles connexes, ainsi que de la façon dont
toutes les actions sont liées aux buts et objectifs de l'organisation.
Si un responsable est autoritaire ou est en faveur de l'autonomisation, cela affectera non seulement la
façon dont l'organisation est gérée, mais aussi les types de risques acceptés par l'entreprise. Par
exemple, les responsables autoritaires peuvent être plus réticents à prendre des risques ayant
d'importantes conséquences réglementaires ou économiques. Un responsable autoritaire institue
généralement une culture basée sur davantage de politiques écrites, d'indicateurs de performances, de
rapports d'exception et autres documents similaires. Dans un environnement autonomisé, les
décisions en matière de risques sont prises à des niveaux inférieurs. Le contrôle est davantage assuré
par la vision, les valeurs, les recommandations générales et les échanges en face à face avec le
personnel clé que par des documents écrits. Dans une culture autonomisée, il est très important que
les employés soient bien formés et prennent en compte les limites de l'autorité qui leur est conférée
en matière de prise de risque.
Le style d'encadrement peut être efficace s'il est adapté à la situation. Un responsable autoritaire
convient parfaitement lorsque le personnel exécute des tâches répétitives nécessitant un minimum de
réflexion et dont les membres ne se motivent ni ne se disciplinent eux-mêmes. Un style identique
pourrait susciter du ressentiment et mener à une défaillance du contrôle si une équipe se sent frustrée
lorsqu'elle n'est pas en mesure de prendre des décisions.
Il faut aussi prendre en compte les conséquences que ces deux types d'encadrement peuvent avoir en
matière d'audit interne. La fonction d'audit interne devrait pouvoir accéder sans réserve à la direction
et au comité d'audit. Certaines personnes extrêmement autoritaires peuvent poser des problèmes
particuliers. On peut imaginer un scénario où, par exemple, se conformer strictement à l'autorité d'un
supérieur favoriserait un comportement contraire au Code de déontologie et ne permettrait pas
d'avoir accès à la direction et au comité d'audit.
Les personnalités, l'attitude et les relations entre la direction des opérations et l'audit interne posent
des défis et pourraient déstabiliser certaines missions. Le continuum de l'organisation, que l'on peut
voir à l’illustration II-8 sur la page suivante, donne un meilleur aperçu des implications liées aux
différents styles de gestion que les auditeurs internes doivent comprendre pour favoriser la réussite
des missions.
Dans une certaine mesure, la gestion du changement est à la fois un art et une science. Elle nécessite
réflexion, apprentissage, intelligence, habileté, ténacité et inventivité. Souvent, ce qui différencie les
gagnants des perdants, est le fait de pouvoir répondre rapidement au consommateur, aux demandes du
marché et à tout autre type de changement, et ce de manière plus efficace que la concurrence.
Les changements de procédures, de formules, de flux, de spécifications de production, etc., sont
souvent effectués régulièrement et peuvent être facilement planifiés et réalisés. Les changements de
comportements, des modes de pensées et d'attitudes doivent aussi être planifiés mais prennent plus de
temps à mettre en œuvre. Il peut être plus dur d'en mesurer les résultats.
Il existe beaucoup de modèles éprouvés de gestion du changement. Par différents moyens, ils ont tous
tendance à :
Créer un environnement propice au changement.
Faciliter le changement.
Suivre les progrès par rapport au plan, pour vérifier si les résultats escomptés ont été obtenus.
Transmettre les mises à jour concernant les progrès et les résultats.
En définitive, un modèle efficace de gestion du changement permet à une organisation de passer
progressivement de sa position actuelle à un meilleur état opérationnel.
Réussir la gestion du changement n'est pas tâche aisée. Malgré les processus suggérés, les
informations et les enseignements acquis auprès d'autrui, les approches de la gestion du changement
doivent venir à bout de nombreux obstacles, souvent enracinés dans la sagesse populaire, qui peuvent
nuire à une initiative de changement. L'un des points fondamentaux de toute initiative de changement
réside dans l'identification de tels obstacles, l'évaluation de leur importance et du risque qu'ils
présentent, et la planification du meilleur moyen de les aborder. Les plus importants obstacles au
changement sont souvent internes à la structure et la culture d'une organisation.
Les obstacles culturels sont généralement ancrés dans les attitudes et les croyances réactionnaires. La
défiance, la peur du changement et même l'échec de la direction à créer une vision commune peuvent
saper un effort de changement. Les exemples suivants illustrent des obstacles culturels de base et des
solutions générales :
Le changement ne se résume pas uniquement aux tâches concrètes : le « travail mental » doit
aussi être intégré au processus et un sentiment d'urgence doit être créé. Le changement est
souvent personnel et, par conséquent, implique les sentiments. Les organisations qui souhaitent
obtenir l'assentiment de leurs employés doivent accepter le fait que la gestion des émotions est une
part importante du processus. Dans la plupart des initiatives de changement réussies, les
organisations communiquent clairement le besoin de changement et établissent un lien avec leurs
employés à travers des valeurs.
La confiance est essentielle mais souvent difficile à établir quand on en a le plus besoin. Une
vision directrice doit alors être mise en place. La confiance peut décider du sort d'un effort de
changement. Toutefois, si les nouveaux processus sont alignés sur une vision qui dirige l'effort de
changement et que des stratégies et des objectifs sont en place, la résistance au changement peut
être surmontée. Lorsque les employés peuvent constater que la gestion des risques et les contrôles
sont mis en place pour soutenir le changement, on obtient généralement les résultats attendus. Les
employés doivent comprendre leurs rôles et responsabilités.
Les structures organisationnelles sont susceptibles d'introduire des obstacles structurels au niveau
des efforts de changement. Par exemple, les structures hiérarchiques ou verticales peuvent encourager
le cloisonnement, chaque service se focalisant sur ses propres intérêts, procédures et membres, plutôt
que d'encourager la coopération avec d'autres groupes et l'effort de changement. Cette isolation
structurelle peut augmenter l'efficacité des groupes individuels, mais aussi nuire à la capacité d'une
organisation à apporter des changements.
Les structures horizontales peuvent produire des barrières à la communication entre les niveaux de
direction. Par exemple, les informations potentiellement négatives à un niveau peuvent être déformées
et filtrées avant d'être transmises à un niveau de direction supérieur. Les plans de la direction peuvent
également ne pas être communiqués du tout aux employés de première ligne.
Le meilleur moyen de franchir les obstacles structurels consiste à promouvoir à travers l'organisation
des priorités partagées et un flux d'informations ouvert.
Illustration II-9 : Causes les plus courantes de conflits au sein d'une organisation
Bien que la résolution d'un conflit puisse être difficile, la manière dont le conflit est géré distingue
les expériences constructives des expériences susceptibles de générer des dysfonctionnements pour
les individus, les groupes ou l'organisation.
Le conflit constructif (ou conflit positif) mène à des résultats positifs. Ce type de conflit peut
transformer l'interaction entre les personnes et améliorer la qualité de la résolution des conflits.
Voici quelques exemples de résultats positifs :
Mise au jour de problèmes importants afin de les régler.
Analyse de problèmes et prise de décisions.
Augmentation des opportunités de faire preuve de créativité.
Meilleurs dynamique et résultats des équipes.
Le conflit dysfonctionnel (ou conflit destructeur) mène à des expériences qui portent préjudice aux
relations et ralentissent le progrès. Ce type de conflit porte préjudice aux individus et aux groupes, et
son effet sur l'organisation est négatif. Conflits interpersonnels (où le nœud du conflit se situe au
niveau des personnes et/ou des personnalités), mauvaises cohésion et performances de l'équipe,
réduction de la productivité des employés et de leur satisfaction vis-à-vis de leur emploi, et rotation
du personnel sont quelques-unes des conséquences négatives possibles.
Les auditeurs internes doivent comprendre la gestion des conflits pour plusieurs raisons :
Tous les conflits décrits à l'illustration II-9 peuvent être considérés comme des causes
fondamentales de défaillance de contrôle.
Lors de l'exécution d'activités de conseil ou d'assurance dans un domaine engagé dans un conflit,
l'auditeur interne doit faire preuve de diplomatie avec chacune des parties et veiller à ne pas
« prendre parti » ou être impliqué de quelque manière que ce soit dans le conflit.
Les auditeurs internes peuvent parfois aider la direction à résoudre un conflit, en particulier
lorsque celui-ci est lié à un problème d'audit.
Un conflit peut être traité de plusieurs manières : Les trois techniques les plus courantes sont la
négociation raisonnée, le brainstorming et le vote multiple.
Le brainstorming fournit une méthode commune pour que les parties puissent générer un important
volume d'idées de manière créative et efficace dans un environnement libre de critiques et
jugements. Globalement, les étapes du brainstorming permettent à toutes les parties de participer à
égalité et d'élargir leur perception des dimensions du problème. Ceci élargit le spectre des
solutions possibles.
Le vote multiple permet à des groupes de réduire une longue liste d'enjeux, de problèmes ou de
solutions par le biais d'une série structurée de votes. La stratégie consiste en un processus
collaboratif qui permet de sélectionner les éléments les plus importants.
Les méthodes de collaboration et de résolution de problèmes sont un bon moyen de favoriser une
véritable résolution du conflit. Cependant, comme montré à l'illustration II-10, il peut y avoir d'autres
situations où d'autres approches sont à préférer.
Ces contrôles peuvent être des politiques, des procédures et des activités concrètes ou peuvent être
intégrés au niveau d'aspects comportementaux moins concrets, tels que les valeurs éthiques. Ils sont
conçus par la direction et mis en place dans le but de contenir les risques dans les limites de
tolérance au risque fixées par le processus de gestion des risques de l'organisation, afin d'atteindre
les objectifs commerciaux à moindre coût.
Toutefois, un contrôle interne efficace ne se limite pas à la mise en œuvre d'un éventail de
procédures. Le contrôle interne est un processus dynamique qui se retrouve à tous les niveaux d'une
organisation.
Un cadre de contrôle est un système reconnu de concepts qui englobe tous les éléments du contrôle
interne. Les organisations recourent de plus en plus aux cadres de contrôle pour élaborer des
systèmes de contrôles internes.
Les cadres publiés par le Committee of Sponsoring Organizations of the Treadway Commission
(COSO), le modèle CoCo de l'Institut canadien des comptables agréés (Canadian Institute of
Chartered Accountant) et le modèle Cadbury de l'Institut des comptables agréés en Angleterre et au
Pays de Galles (Institute of Charter Accountants in England and Wales) sont des exemples
représentatifs largement utilisés. Ces modèles définissent le contrôle en matière de gestion des
risques par rapport aux objectifs et définissent les mesures spécifiques qui permettent de le mettre en
place. L'intégration et l'adoption de divers éléments tirés de ces modèles dans un système de contrôle
aident la direction et les organismes de surveillance à réaliser les objectifs stratégiques.
Quel que soit le cadre de contrôle utilisé au sein d'une organisation, celui-ci permet de documenter et
de rendre compte de la pertinence des contrôles internes. L'activité d'audit interne évalue l'efficacité
et l'efficience du contrôle en fonction des critères du cadre de contrôle, et détermine si les contrôles
en place sont adaptés pour atténuer les risques qui pèsent sur l'organisation.
Ce chapitre explore le référentiel La pratique du contrôle interne – COSO Report (Internal Control
– Integrated Framework), le modèle Cadbury, le modèle CoCo, le Rapport King sur la gouvernance
d'entreprise et la publication du COSO intitulée Contrôle interne sur l'information financière –
Lignes directrices à l'intention des petites sociétés ouvertes (Internal Control Over Financial
Reporting – Guidance for Smaller Public Companies).
Objectifs du COSO
Selon le modèle su COSO, le contrôle interne fournit à une organisation une assurance raisonnable
quant à la réalisation des objectifs dans les domaines suivants :
Efficacité et efficience des opérations. Cette catégorie concerne les objectifs commerciaux de
base d'une organisation, y compris les performances, la rentabilité et la protection des ressources.
Conformité avec les lois et règlements applicables. Cette catégorie regroupe les lois et
règlements qui s'appliquent à l'organisation.
Composantes du COSO
Les cinq composantes du cadre de contrôle interne du COSO sont résumées à l'illustration II-11.
Les objectifs et les composantes se recoupent. Par exemple, comme le montre la section détaillée, les
informations financières et non financières produites par les sources internes et externes font partie
de la composante d'informations et de communication. Les informations portent sur les trois
catégories d'objectifs, car elles permettent de :
Gérer efficacement les opérations commerciales.
Développer des états financiers fiables.
Déterminer si une entité est conforme aux lois applicables.
Le cadre de contrôle du COSO est pertinent pour tous les secteurs d'activités. Pour plus
d'informations sur le cadre de contrôle du COSO, vous pouvez consulter le référentiel intitulé La
pratique du contrôle interne – COSO Report (Internal Control – Integrated Framework) ou le site
du COSO à l'adresse suivante www.coso.org.
Procédures de contrôle. Les politiques et procédures ou les activités de contrôle qui facilitent
l'exécution des directives de gestion afin d'assurer la conformité.
Bien que le modèle Cadbury reconnaisse que le conseil est responsable du spectre complet du
contrôle interne, il confine le reporting sur le contrôle au domaine du reporting financier. De ce fait,
en 1999, l'ICAEW a publié les recommandations Turnbull, qui élargissent le concept au-delà du
champ des contrôles financiers.
Pour plus d'informations sur le modèle Cadbury, consultez le site Web de l'ICAEW à l'adresse
www.icaew.co.uk. Vous trouverez des informations supplémentaires sur les recommandations
Turnbull au Chapitre C, Rubrique 3, de cette section.
Le modèle CoCo s'appuie sur le COSO. Les objectifs sont élaborés et communiqués. Les objectifs
organisationnels du modèle CoCo sont semblables à ceux du COSO et sont centrés autour de
l'efficacité et de l'efficience des opérations, la fiabilité du reporting interne et externe, et la
conformité aux lois et règlements applicables ainsi qu'aux politiques internes.
Engagement. Les valeurs éthiques, l'intégrité, les politiques de ressources humaines, l'autorité, la
responsabilité et la confiance mutuelle qui favorisent l'engagement envers les principes de
contrôle.
Capacité. Les connaissances, les compétences, les outils, les processus de communication, les
informations, la coordination et les activités de contrôle qui fournissent aux gens les ressources et
les compétences nécessaires pour participer à la conception et à la mise en place de contrôles
corrects afin de pouvoir évaluer les risques.
Le Rapport King I fournit un modèle de bonne gouvernance qui nécessite une approche intégrée
incluant les intérêts des parties prenantes et met l'accent sur le bilan environnemental et social, en
plus du bilan économique (en d'autres termes, il s'agit de la responsabilité sociale des entreprises,
comme décrit dans la Partie 3).
Le Rapport King II ajoute un Code de pratiques et de conduites des entreprises qui peut être adopté
par n'importe quelle organisation au niveau de son cadre de gouvernance. Le Code contient un
ensemble de principes de bonne gouvernance d'entreprise :
Discipline. Les organisations s'engagent à se comporter d'une manière disciplinée qui est
universellement acceptée comme appropriée et correcte.
Transparence. Les organisations s'engagent à faciliter l'analyse des activités de l'organisation par
des tiers.
Indépendance. Les organisations sont autonomes et peuvent gérer ou éviter les conflits.
Responsabilité. Les organisations doivent développer des moyens d'accepter et de reconnaître les
conséquences positives et négatives de leurs actions.
Responsabilisation. Les organisations doivent concevoir des mesures correctives au niveau de
tous les processus et tenir compte des besoins des parties prenantes dans le cadre de la prise de
décision.
Équité. Les organisations doivent établir un équilibre entre des intérêts contradictoires.
Responsabilité sociale. Les organisations doivent intégrer des programmes de responsabilité
sociale des entreprises dans leur modèle d'entreprise principal.
Le Rapport King II porte sur le rôle et la fonction de l'audit interne ainsi que sur les exigences
spécifiques de reporting, comme l'approbation des nominations et révocations du RAI par les comités
d'audit. Il souligne également l'importance de la mise en place d'un plan d'audit basé sur une
évaluation des risques et sur les problèmes que le comité d'audit et la direction générale jugent
nécessaire d'examiner.
Le Rapport King III met l'accent sur un leadership efficace basé sur un fondement éthique et sur la
nécessité de repenser fondamentalement l'organisation autour du concept de durabilité. L'innovation,
l'équité et la collaboration sont des outils clés permettant d'assurer la durabilité. Les auditeurs
internes jouent également un rôle clé dans le maintien d'une bonne gouvernance et le développement
de la stratégie organisationnelle. Le Rapport King III met en évidence la nécessité d'utiliser un audit
axé sur les risques, en déclarant : « Un audit interne fondé sur la conformité ajoute peu de valeur à la
gouvernance d'une entreprise, car il évalue simplement le respect des procédures et processus
existants sans évaluer si oui ou non la procédure ou le processus est un contrôle adéquat. Une
approche fondée sur les risques est plus efficace, car elle permet à l'audit interne de déterminer si les
contrôles sont efficaces dans la gestion des risques qui découlent de la direction stratégique qu'une
entreprise, par le biais de son conseil, a décidé d'adopter. » Le rapport recommande ensuite que les
auditeurs internes évaluent l'efficacité générale du système de contrôle interne (environnement de
contrôle) et des processus de gestion des risques.
Illustration II-14 : Principes du COSO pour la réalisation du contrôle interne à l'égard du reporting financier
Chapitre C: Lexique du risque et concepts
Introduction du chapitre
Qu'est-ce que la gestion des risques ?
Le glossaire des Normes définit la gestion des risques comme « un processus d'identification,
d'évaluation, de gestion et de contrôle d'événements et de situations potentiels afin d'assurer, dans la
mesure du possible, qu'une organisation atteigne ses objectifs ».
Dans un sens, tous les employés sont des gestionnaires des risques, qu'ils en soient conscients ou non.
Ils gèrent chaque jour les risques afin d'atteindre leurs objectifs. Cependant, ils deviennent des
gestionnaires des risques plus performants lorsqu'ils ont pleinement conscience de cette fonction et
qu'ils l'exercent de manière cohérente et rigoureuse.
Du point de vue de l'organisation, il est possible d'en tirer des avantages importants si les
responsables ne gèrent pas uniquement leurs propres risques dans leurs « silos » organisationnels. Si
le même processus rigoureux d'évaluation des risques est appliqué à travers toute l'organisation et
que les résultats sont remontés aux niveaux hiérarchiques supérieurs, l'encadrement supérieur est
alors en mesure d'obtenir une image complète du risque pour l'organisation. Avec cette « vue
globale » du risque en tête, les cadres peuvent prendre de meilleures décisions stratégiques et allouer
des ressources avec davantage d'efficacité.
Partout dans le monde, des organisations développent des programmes de gestion des risques de
l'entreprise (ERM) pour profiter de ces avantages. La section sur la gestion des risques se concentre
sur la gestion des risques de l'entreprise, qui englobe tous les concepts de la gestion des risques.
En plus de la définition du glossaire des Normes, nous pouvons obtenir des informations
supplémentaires à partir d'autres discussions sur la gestion des risques.
Cette définition implique que la gestion des risques de l'entreprise est un processus continu. Chaque
personne, quels que soient son niveau et son unité, est impliquée dans le processus, lequel est
appliqué lors de la phase de définition de la stratégie. Au final, la gestion des risques de l'entreprise
aide à fournir une assurance raisonnable au conseil d'administration et à la direction.
Nous analyserons plus en détail la publication du COSO Enterprise Risk Management – Integrated
Framework (Le management des risques de l'entreprise – Cadre de référence) plus loin dans ce
chapitre.
L'exposé de principes note également que la gestion des risques de l'entreprise adopte une approche
plus large que la gestion traditionnelle des risques et traite des risques et des opportunités qui ont une
incidence sur la création ou la préservation d'une valeur pour l'organisation.
Les différentes définitions de la gestion des risques et de la gestion des risques de l'entreprise mettent
toutes en avant les mêmes points : Le périmètre de la gestion des risques transcende la mentalité de
gestion des risques traditionnelle, et englobe les objectifs stratégiques et de résultat net. Le processus
de gestion des risques est un processus large et continu qui implique la direction et les employés, à
tous les niveaux d'une entité.
D'après le texte Audit interne : services de conseil et d'assurance, nous pouvons établir les points
supplémentaires suivants concernant le risque.
Le risque prend ses origines dans la formulation des stratégies et l'établissement des
objectifs. Deux organisations n'étant jamais identiques, chaque entreprise possède une stratégie et
des objectifs uniques et affronte un type de risque différent.
Le risque ne peut pas être estimé en un point ; il représente une gamme de possibilités. En
l'absence de résultat unique, la gamme de possibilités crée l'incertitude quant à la compréhension
et à l'évaluation du risque.
Les risques sont inhérents à tous les aspects de la vie ; les risques associés à une activité
commerciale sont considérés comme des risques commerciaux. Les risques commerciaux sont
les incertitudes associées à la réalisation des objectifs commerciaux.
Chaque organisation devrait avoir une définition claire du risque. Bien que les définitions pratiques
puissent varier de celle du glossaire des Normes, le langage devrait être compris par tous ceux qui
sont impliqués dans les activités d'évaluation des risques au sein de l'organisation.
La liste suivante des termes liés au risque et au contrôle n'inclut pas tout, mais fournit plutôt de
bonnes bases au niveau du vocabulaire. Les termes, présentés par ordre alphabétique, sont
probablement semblables à ceux utilisés dans votre organisation.
La liste de termes de l'illustration II-15 constitue un langage commun à utiliser avec le conseil
d'administration, la direction et les autres interlocuteurs, dans toutes les communications.
Objectifs possibles. Les objectifs possibles pourraient être de réussir le test ou d'obtenir le
meilleur résultat au test.
Événements de risque. Les exemples incluent une suranalyse des réponses, le manque de temps
pendant l'examen, le manque de préparation à l'examen ou l'incompréhension de parties du contenu
fondamental.
Risque inhérent. D'après l'impact collectif et la probabilité inhérente des événements, le risque
de ne pas réussir l'examen est élevé.
Réponses. Les exemples incluent la planification du temps, le fait de garder un rythme soutenu
pendant l'examen, de faire attention à ne pas trop analyser une réponse, d'effectuer une révision
d'autoformation ou de se joindre à un groupe d'étude.
Risque résiduel. Une fois les réponses prises en compte, le risque résiduel devrait être inférieur
au risque inhérent. Plus les réponses sont efficaces, moins le risque résiduel est important. Des
réponses efficaces peuvent fournir une assurance raisonnable de réussite à l'examen, mais n'offrent
pas le même niveau d'assurance quant à l'obtention du meilleur des résultats.
Sur le plan conceptuel, le processus d'évaluation des risques est simple. Le défi consiste à le mettre
correctement en pratique. Ce devrait être un processus descendant, qui débute à un niveau élevé.
Les organisations évaluent la probabilité et l'impact des risques. Elles peuvent utiliser des termes
qualitatifs (tels que élevé, moyen et faible) ou des mesures quantitatives (telles que les échelles
numériques de 1 à 5, les pourcentages, la fréquence d'occurrence ou d'autres mesures). Certaines
organisations peuvent même utiliser une combinaison de mots et de chiffres au niveau de la
classification du risque (1 = faible, 5 = élevé). De nombreuses organisations utilisent un graphique
pour décrire les facteurs, par exemple une matrice à quatre quadrants, comme le montre l'illustration
II-18. Des variations de cette matrice sont possibles.
Il peut être difficile d'estimer la probabilité et l'impact. Ces estimations ou notes dépendent fortement
du jugement professionnel et d'une utilisation cohérente des facteurs d'évaluation. Voici un exemple
basé sur le passage d'un examen :
Événement à fort impact/faible probabilité. « La suranalyse des réponses » sur un grand nombre
de questions est moins probable, mais pourrait résulter en un manque de temps et avoir un fort
impact sur la réussite au test.
Événement à faible impact/faible probabilité. Effectuer une révision d'autoformation pourrait
réduire le risque de « manque de préparation à l'examen » à ce niveau.
Certaines organisations utilisent une terminologie différente de la probabilité et l'impact (p. ex. les
chances, la gravité, le sérieux ou les conséquences). La terminologie spécifique n'est pas aussi
importante que le développement d'un processus efficace d'évaluation des risques qui répond aux
besoins de l'organisation.
Les techniques spécifiques d'évaluation des risques sont examinées dans la rubrique suivante.
Il existe de nombreux modèles d'ERM. Ils se distinguent généralement par leur objectif et leur
complexité. Nous allons d'abord examiner le modèle ERM du COSO. Nous examinerons ensuite deux
autres cadres reconnus : la norme ISO 31000 et les recommandations Turnbull. (Veuillez noter que
dans les sections suivantes traitant de la gestion des risques, seul le cadre de référence du COSO sera
mentionné.)
Le COSO décrit la gestion des risques de l'entreprise comme étant un processus omnidirectionnel
dynamique. Ce n'est pas un processus en série dans lequel une composante affecte uniquement la
composante suivante. Dans le modèle du COSO, chaque composante peut influencer les autres.
Rôles et responsabilités
La gestion des risques inclut un large éventail d'activités destinées à identifier, évaluer, gérer et
contrôler les risques à travers toute l'entreprise, des événements ou projets ponctuels à des types de
risque précis (p. ex. risque du marché), en passant par les menaces qui pèsent sur l'entreprise et les
opportunités qui lui sont offertes. Traditionnellement, les responsabilités en matière de gestion des
risques sont confiées à chaque unité d'affaires et/ou à des sections des unités d'affaires. La gestion
des risques était théoriquement considérée comme une initiative de l'organisation. Mais en pratique,
les activités de gestion des risques s'étendaient rarement à toute l'organisation.
Comme nous l'avons vu, pour que la gestion des risques soit efficace, chaque membre de
l'organisation, quel que soit son niveau, doit prendre part au processus. Produire des informations
utilisables pour identifier les risques, prendre les mesures nécessaires pour mener à bien la gestion
des risques et soutenir les flux de communication et d'informations sont des tâches qui entrent
implicitement et explicitement dans la description de chaque poste. Toutefois, le COSO indique que
des rôles et des responsabilités particuliers incombent au conseil, à la direction, aux directeurs des
risques, aux directeurs financiers, aux auditeurs internes et à certaines parties externes. Nous allons à
présent examiner ces groupes et ces individus (à l'exception de l'activité d'audit interne, traitée dans
la Partie 2, Section I, Chapitre C).
Conseil d'administration. Le conseil, ou son équivalent, sert plusieurs fonctions. Le conseil aide à
définir la stratégie et énonce les objectifs de haut niveau. Souvent, le conseil délègue à la direction
ses responsabilités en matière de surveillance et d'assurance, et se réserve toute l'autorité sur les
décisions clés.
Le COSO décrit la supervision de la gestion des risques de l'entreprise par le conseil de la manière
suivante :
Connaître l'étendue et l'efficacité de la gestion des risques de l'entreprise établie dans l'organisation par la direction.
Connaître l'appétence de l'entité pour le risque et s'aligner sur celui-ci.
Examiner la vue globale de l'entité sur le risque et évaluer celui-ci par rapport à l'appétence de l'entité pour le risque.
Connaître les risques les plus significatifs et s'assurer que la direction y répond de façon adéquate.
Le conseil fait partie intégrante de la composante d'environnement interne du modèle du COSO. Par
son action, il établit un précédent en matière d'intégrité et de valeurs éthiques. Le conseil peut utiliser
des ressources pour mener des enquêtes particulières et peut recourir à des comités pour exécuter
certaines tâches. À un comité sur les rémunérations, par exemple, incomberaient les responsabilités
relatives à divers aspects du système de récompense. Autre exemple : le comité d'audit pourrait être
chargé de superviser la fiabilité du reporting externe. En résumé, les décisions, l'engagement, les
objectifs et les activités du conseil influent fortement sur le fait que les risques soient ou non gérés à
un niveau acceptable.
Les membres de la direction transforment les stratégies de gestion des risques en opérations. Les
responsables de processus, de fonctions ou de services particuliers jouent un rôle à la fois tactique et
pratique quant à l'élaboration et à l'exécution des procédures spécifiques de gestion des risques. Ils
tiennent informés leurs supérieurs de l'avancée de leurs activités et recommandent des améliorations.
L'autorité et la responsabilité de la direction sont impératives pour une gestion efficace des risques
de l'entreprise. Chaque directeur devrait être responsable devant son supérieur direct, le directeur
général étant responsable devant le conseil.
Le COSO répertorie les responsabilités spécifiques du directeur des risques en matière de gestion
des risques de l'entreprise :
élaboration des politiques pertinentes ;
définition des rôles et des responsabilités, et assistance à la définition des objectifs en matière de
mise en œuvre ;
encadrement de l'autorité et de la responsabilité dans les unités d'affaires ;
promotion des compétences à travers toute l'entité ;
orientation de l'intégration aux autres activités de gestion et de planification des affaires ;
élaboration d'un langage de gestion des risques commun et de mesures communes ;
facilitation des protocoles de reporting ;
transmission de l'avancée des activités au directeur général, ainsi que des actions recommandées.
Certaines organisations nomment une personne chargée exclusivement du poste de gestionnaire des
risques. D'autres attribuent les responsabilités en matière de gestion des risques de l'entreprise au
directeur financier, à l'avocat conseil ou à un autre cadre supérieur.
Responsables financiers. Les activités financières et de contrôle financier touchent toutes les unités
d'exploitation et d'affaires. La budgétisation, la planification financière, le suivi et l'analyse des
performances, et le reporting relèvent du champ d'action du directeur financier, du chef du service
comptable, du contrôleur ou d'autres individus exerçant une fonction financière. Ces personnes et les
activités qu'elles exercent constituent une pièce maîtresse de l'exécution de la gestion des risques par
la direction.
Parties externes Plusieurs parties externes prennent part aux objectifs et aux activités de gestion des
risques de l'entreprise d'une entité :
Auditeurs externes. Les auditeurs externes offrent une vision indépendante et objective qui
contribue à la réalisation des objectifs de l'entreprise, notamment en termes de reporting financier
externe. Bien que la plupart des audits d'états financiers ne s'occupent que peu de la gestion des
risques de l'entreprise, le COSO souligne que les informations fournies peuvent aider la direction
à prendre en charge ses responsabilités en matière de gestion des risques. Les résultats des audits,
les informations analytiques et les actions préconisées sont des données pertinentes pour la
réalisation des objectifs définis. Si un audit externe met au jour des insuffisances au niveau de la
gestion des risques et du contrôle, l'auditeur peut également communiquer ces informations
accompagnées de recommandations d'amélioration. Si la loi ou les règlements (par exemple, la loi
Sarbanes-Oxley) exigent que l'audit externe évalue le contrôle interne du reporting financier d'une
entité, le périmètre de l'audit dans ces domaines est restreint.
Législateurs et régulateurs. Un grand nombre de lois et de règlements ont une incidence sur la
gestion des risques de l'entreprise d'entités particulières. Les législateurs et les régulateurs
établissent des règles qui obligent les systèmes de contrôle et de gestion des risques d'une entité à
satisfaire à des exigences légales et réglementaires minimales. Lorsque les organismes de
régulation examinent une entité (par exemple, lorsque des contrôleurs de banques fédérales et
d'État examinent les opérations d'une banque), l'organisation tire généralement des informations
utiles sur l'application de la gestion des risques de l'entreprise et des recommandations et/ou des
directives portant sur les améliorations nécessaires.
Partenaires. Les partenaires d'une entité (clients, fournisseurs, créanciers, etc.) peuvent s'avérer
des canaux d'informations utiles aux activités de gestion des risques. Les éléments tels que les
demandes de nouveaux produits et services, les problèmes de contrôle qualité, les préoccupations
éthiques et les divergences en matière de facturation ou d'expédition peuvent être des informations
pratiques pour atteindre les objectifs stratégiques, opérationnels, de reporting ou de conformité.
Nous nous concentrerons sur les cadres ISO 31000 et Turnbull, puis nous reviendrons sur le modèle
du COSO afin d'analyser plus en détail les domaines de l'ERM.
Pour plus d'informations sur le document Enterprise Risk Management – Integrated Framework du
COSO (Le management des risques de l'entreprise – Cadre de référence), consultez le site du
COSO à l'adresse suivante : www.coso.org.
ISO 31000
La norme ISO 31000:2009, « Management du risque – Principes et lignes directrices » est un cadre
de normes internationales simple et concis pour la gestion des risques. L'ISO 31000 est un cadre pour
le développement systématique de la gestion des risques de l'entreprise qui peut être utilisé par tout
type d'organisme sans distinction de taille ou d'activité parce que l'organisation peut adapter le cadre
au périmètre approprié et au contexte environnemental. Au fur et à mesure que les activités de gestion
des risques de l'organisation deviennent plus matures, le cadre lui aussi évolue. L'ISO a également
publié un document complémentaire intitulé ISO Guide 73:2009, « Management du risque –
Vocabulaire », qui permet aux organisations de discuter des risques en utilisant un ensemble commun
de termes de gestion des risques.
La norme ISO 31000 est de plus en plus populaire, en partie parce qu'il s'agit d'une norme
internationale et que de nombreuses organisations la considèrent plus claire et plus facile à expliquer
à la direction générale et au conseil d'administration. C'est particulièrement vrai pour les
organisations non américaines et les organisations qui adoptent simplement un cadre de gestion des
risques.
Le but de la norme ISO 31000 est d'aider les organisations à gérer le concept d'incertitude. Une
organisation qui peut gérer l'incertitude et s'adapter rapidement au changement sera mieux en mesure
d'atteindre ses objectifs et présentera plus d'intérêt pour les investisseurs. La norme ISO 31000
permet également aux organisations de comparer leurs propres pratiques de gestion des risques à
celles d'autres organisations qui ont déjà adopté la norme.
La phase de mise en œuvre a son propre cycle, comme le montre l'illustration II-22.
Pour plus d'informations sur la norme ISO 31000:2009, visitez le site Web de l'ISO à l'adresse
suivante : www.iso.org/iso/home/standards/iso31000.htm. Vous pourrez consulter l'introduction de
l'AS/NZS ISO 31000:2009 sur sherq.org/31000.pdf et l'acheter sur infostore.saiglobal.com/store.
Comparaison entre le cadre de la norme ISO 31000 et le référentiel de gestion des risques de
l'entreprise du COSO
Les objectifs du cadre de l'ISO 31000 et ceux du référentiel ERM du COSO sont très similaires.
Voici les caractéristiques communes aux deux approches :
Tentative d'aider les organisations à atteindre leurs objectifs commerciaux par le biais d'une
gestion efficace des risques internes et externes.
Reconnaissance de l'importance de l'intégration d'une mentalité de gestion des risques à la culture
de l'organisation.
Reconnaissance de l'importance du « ton donné par la direction » dans la gestion des risques.
Champ d'application délibérément large.
Reconnaissance du fait que la gestion des risques est un processus itératif complexe nécessitant
des compétences pluridisciplinaires pour une mise en œuvre et une gestion correctes.
Bien que les processus de gestion des risques soient similaires par nature, il existe quelques
différences subtiles. L'une d'entre elles se situe au niveau de la terminologie. La norme ISO
31000:2009 utilise l'expression « traitement du risque » lorsque le COSO parle de « réponse au
risque ». L'autre différence est que les composantes de l'ERM du COSO et de la norme ISO 31000 ne
s'alignent pas précisément, comme le montre l'illustration II-23. (Notez que certaines composantes
sont répétées pour montrer leur champ d'application au niveau de plusieurs composantes de l'autre
processus.)
Illustration II-23 : Différences entre les composantes de l'ERM du COSO et de la norme ISO 31000
Toutefois, les Recommandations Turnbull ne sont pas seulement utilisées afin de se conformer aux
modalités en matière de Bourse. Les principes de gestion efficace des risques et l'intégration d'un
contrôle interne au niveau des processus d'entreprise présentent un grand intérêt commercial pour une
entité. Les organisations ont la possibilité de sélectionner les principes adaptés à leurs propres
circonstances. Voici quelques-uns des grands principes des Recommandations Turnbull :
Mettre l'accent sur les risques importants. Si trop de risques sont identifiés, il devient difficile
d'identifier et de gérer ceux qui sont importants. Le Rapport Turnbull recommande que
l'identification des risques se concentre sur les risques qui ont été identifiés par la direction
générale comme étant potentiellement dangereux pour la réalisation des objectifs de l'organisation.
Mettre l'accent sur la gestion des risques. Le Rapport Turnbull considère la gestion des risques
comme essentielle pour réduire la probabilité que les objectifs organisationnels soient mis en
péril par des événements imprévus. Il favorise la gestion proactive des risques.
Surveillance continue des risques et du contrôle. Les stratégies et les politiques de gestion des
risques et de contrôle interne d'une organisation doivent être surveillées en permanence et
adaptées pour répondre à l'évolution des risques. Un processus de feedback devrait être mis en
place pour tirer les leçons des échecs et développer les capacités permettant de potentiellement
s'améliorer et réduire le risque.
Faire participer tous les employés. Le Rapport Turnbull maintient que tous les employés ont une
certaine responsabilité quant au contrôle interne et doivent être responsabilisés pour atteindre les
objectifs organisationnels. Ils doivent disposer des connaissances, des compétences, des
informations et de l'autorité nécessaires pour établir, utiliser et surveiller le système de contrôle
interne dans leur sphère de responsabilités. Ils doivent comprendre les objectifs organisationnels
et les industries et marchés spécifiques à l'entité, ainsi que les risques auxquels elle est
confrontée.
Rationalisation des bases de données de gestion des risques. Le contrôle devrait être intégré
dans les processus organisationnels. Le rapport Turnbull recommande d'intégrer des mécanismes
de détection précoce aux systèmes d'information de la direction existants plutôt que de développer
des systèmes de reporting des risques indépendants.
Grâce à cet aperçu des Recommandations Turnbull, nous pouvons constater qu'il existe beaucoup de
similarités au niveau des différentes approches de gestion des risques présentées. Et comme pour les
cadres de l'ERM du COSO et de la norme ISO 31000, une organisation peut tirer parti de l'adoption
de l'approche Turnbull fondée sur les risques. Certains aspects positifs permettent de mieux :
Fournir une assurance objective au conseil et à la direction générale quant à l'adéquation et à
l'efficacité des processus de contrôle interne et de gestion des risques de l'organisation.
Donner des conseils en matière de gestion efficace des risques, en particulier en ce qui concerne
les problèmes liés à la conception, à la mise en œuvre et à l'exploitation des systèmes de
contrôles internes.
Identifier les possibilités de réaliser des économies sur les coûts du contrôle et/ou d'éviter les
pertes opérationnelles et autres pertes similaires.
Réduire la probabilité d'occurrence d'événements indésirables.
Pour plus d'informations sur les Recommandations Turnbull de 2005, veuillez consulter le site
www.ecgi.org/codes/documents/frc_ic.pdf.
Il est utile de comprendre qu'un contrôle unique peut avoir plusieurs fonctions, puisque les activités
de contrôle se traduisent toutes par un coût. Par exemple, exiger un reçu pour une dépense
d'entreprise permet à la fois de contrôler l'exactitude des écritures dans le grand livre, de se
conformer à la législation fiscale et de réduire le risque de fraude.
Certains contrôles peuvent introduire de nouveaux risques au niveau d'un processus. Par exemple, on
peut utiliser des clés et des serrures pour empêcher l'accès non autorisé à un entrepôt, mais s'il faut
contrôler qui est en possession des clés, cela risque en même temps d'augmenter les coûts. De plus,
les clés peuvent être égarées, cassées ou reproduites. Il peut y avoir une perte de productivité si l'on
prend en compte le temps passé à utiliser les clés, etc.
Pour une meilleure compréhension des technologies de l'information ainsi que des risques et
contrôles associés, consultez le Guide pratique GTAG-1 « Contrôles relatifs aux technologies de
l'information ».
Le personnel doit comprendre comment ses activités individuelles sont liées au travail des autres.
Cela signifie que les canaux de communication doivent être ouverts à tous les niveaux de
l'organisation et favoriser un esprit de coopération et une volonté d'écoute.
Il est important de communiquer avec les parties externes (clients, fournisseurs, parties prenantes,
régulateurs et autres) de manière pertinente et en temps opportun. Par exemple, une communication
utile avec les fournisseurs concernant l'appétence pour le risque et la tolérance au risque peut éviter à
une organisation d'accepter involontairement trop de risques liés à un fournisseur dont les valeurs
sont différentes.
La direction doit obtenir une assurance raisonnable que la gestion des risques demeure efficace. Les
détails pour y parvenir dépendent de l'organisation. Généralement, cela implique deux actions de
surveillance :
Surveillance continue : surveillance intégrée dans les activités normales et récurrentes, et
exécutée en temps réel
Évaluations indépendantes : évaluations exécutées après coup et destinées à obtenir un « regard
neuf » sur l'efficacité de la gestion des risques
Vous trouverez plus d'informations sur les actions de surveillance dans la présentation de la
surveillance des risques, plus loin dans cette rubrique.
Plusieurs facteurs externes et internes doivent être pris en considération lors de l'identification des
événements. L'illustration II-24 présente plusieurs exemples.
Les techniques d'identification peuvent varier. Elles se différencient généralement par leur
sophistication, qu'elles examinent les données historiques et/ou les sources factuelles d'événements
observables, ou fournissent des données à un type quelconque de modèle de projection pour identifier
les événements futurs potentiels. Certaines techniques examinent les données en suivant une approche
descendante, d'autres créent une analyse détaillée en suivant une approche ascendante.
Catégories d'événements
Les événements potentiels sont parfois regroupés en catégories. Par exemple, les événements peuvent
être regroupés de façon horizontale à travers une entité et de façon verticale au sein d'unités
opérationnelles. La catégorisation des événements offre différents avantages. Processus de
catégorisation :
Améliore les informations recueillies pour servir de base à l'évaluation des risques ;
Facilite les efforts que fournit la direction pour déterminer les opportunités et les risques ;
Permet à la direction de prendre en compte le caractère complet de ses efforts d'identification des
événements.
Les catégories varient. Les organisations les définissent en fonction de leur pertinence. Une
organisation peut développer des catégories en se basant sur ses objectifs, en commençant par ses
objectifs stratégiques de haut niveau, puis en descendant vers les objectifs au niveau des unités, des
fonctions ou des processus. Une autre approche peut consister à définir des catégories d'événements
au niveau des facteurs internes et externes. Les facteurs politiques externes peuvent inclure les
modifications gouvernementales, la législation, les politiques publiques ou les règlements. Parmi les
facteurs internes relatifs au personnel figurent les compétences des employés, les activités
frauduleuses ainsi que la santé et la sécurité.
Comme décrit dans le document Implementing the International Professional Practices Framework
(Mise en œuvre du Cadre des pratiques professionnelles) d'Anderson et Dahle, les macro-
évaluations à l'échelle de l'organisation sont destinées à fournir une analyse « descendante » de tous
les principaux risques qui affectent l'organisation.
La direction peut avoir mis en place un processus d'identification et d'évaluation des risques de
haut niveau. Dans ce cas, l'audit interne doit prendre part à ce processus tel qu'approprié.
L'activité d'audit interne peut alors utiliser les résultats de l'évaluation à l'échelle de
l'organisation.
Lorsqu'une organisation ne dispose pas d'un processus de gestion des risques, l'auditeur interne
doit conseiller la direction et lui montrer comment établir un tel processus. Si une organisation
manque de ressources en matière de gestion des risques de l'entreprise, l'activité d'audit interne
peut faciliter la mise en place initiale d'un cadre générique (comme celui du COSO ou de la norme
ISO 31000), à la demande de la direction.
Si une organisation ne possède pas de processus de gestion des risques, l'activité d'audit interne doit
agir avec prudence. Bien que les auditeurs internes puissent faciliter ou réaliser les processus de
gestion des risques, ils ne seront pas responsables de la gestion des risques identifiés. Cependant,
l'interprétation de la Norme 2010, « Planification », nous indique que dans le cadre de la mise en
place d'un plan d'audit interne axé sur le risque, « si ce système de gestion des risques n’existe pas,
le responsable de l’audit interne doit se baser sur sa propre analyse des risques après avoir pris
en considération le point de vue de la direction générale et du conseil d'administration. Le
responsable de l’audit interne doit, le cas échéant, réviser et ajuster le plan afin de répondre aux
changements dans les activités, les risques, les opérations, les programmes, les systèmes et les
contrôles de l’organisation ». Par conséquent, dans certains cas, il peut être nécessaire de travailler
sans avoir recours à une évaluation ou un cadre formalisé de gestion des risques.
Techniques d'évaluation
Les techniques d'évaluation des risques sont soit qualitatives, soit quantitatives. Les entreprises
utilisent généralement les deux types.
Les entretiens et les ateliers sont deux techniques d'évaluation qualitative largement utilisées. De
telles techniques sont utilisées lorsque :
Les risques ne se prêtent pas à une quantification.
Il n'y a pas suffisamment de données fiables disponibles pour réaliser des évaluations
quantitatives.
Il n'est pas rentable d'obtenir ou d'analyser des données quantitatives.
Les techniques qualitatives estiment généralement la probabilité et l'impact des événements potentiels
en utilisant des mesures nominales ou ordinales. Les mesures nominales permettent regrouper les
événements en catégories (comme par exemple économique ou politique), mais sans les classer. Les
mesures ordinales organisent les événements par ordre d'importance à l'aide d'une échelle (par
exemple, en leur attribuant un rang élevé, moyen ou faible sur l'échelle).
Les techniques d'évaluation quantitative donnent généralement des mesures plus précises. Par
rapport aux mesures qualitatives, les techniques quantitatives sont plus complexes et nécessitent
généralement plus d'effort et de rigueur. Elles sont souvent utilisées en complément des techniques
qualitatives. Des modèles mathématiques sont parfois utilisés dans les techniques quantitatives.
L'illustration II-26 résume les techniques courantes d'évaluation quantitative.
Illustration II-26 : Techniques d'évaluation quantitative des risques
Pièges de l'évaluation des risques
Le document Implementing the International Professional Practices Framework présente quelques
pièges courants relatifs à l'évaluation des risques.
Limiter les évaluations des risques aux risques financiers. Dans les évaluations des risques,
l'importance des questions informelles moins tangibles (telles que les ressources humaines, la
responsabilité sociale ou la réputation) croît davantage que celle des risques financiers
classiques. Ces questions devraient faire partie du processus d'évaluation des risques car elles
s'avèrent souvent plus avantageuses ou plus préjudiciables.
Sélectionner aveuglément des risques à partir d'un cadre générique des risques. De telles
matrices doivent davantage être considérées comme un outil de brainstorming permettant
d'identifier les expositions aux risques.
Évaluer les risques de manière isolée (auditeurs internes). Les approches collaboratives telles
que les évaluations descendantes à l'échelle de l'entreprise et les évaluations ascendantes des
risques au niveau de la mission qui sont alignées et interconnectées sont beaucoup plus efficaces.
Identifier un trop grand nombre de risques. Des listes de risques trop longues augmentent le
danger de ne pas accorder suffisamment d'attention aux risques significatifs. Le cadre de contrôle
COSO inclut les catégories de risques que les organisations ont utilisées avec succès. Certaines
recommandations conseillent de limiter le nombre de risques significatifs à 15 ou 20.
Risque résiduel
Comme les quatre réponses aux risques illustrées à l'illustration II-27 l'indiquent, il est impossible
d'éliminer tous les risques. Un certain degré de risque résiduel est inévitable. Comme nous l'avons
vu, le risque résiduel correspond au risque restant après application de la réponse au risque (par
exemple, après que des contrôles ont été élaborés). En d'autres termes, le risque résiduel est le risque
restant après que la direction a pris les mesures visant à prévenir, réduire, partager ou accepter le
risque.
L'illustration II-28 présente les deux choix qui s'offrent à la direction lorsqu'elle étudie le risque
résiduel.
Le risque résiduel ne peut pas être ignoré. Voici quelques éléments à prendre en compte lors de la
détermination de la réponse appropriée :
Alignement de la réponse sur la tolérance au risque de l'organisation.
Effets d'une réponse envisagée sur la probabilité et l'impact de l'occurrence d'un risque.
Analyse coûts-bénéfices des différentes réponses.
Impact potentiel des différentes réponses sur la réalisation des objectifs organisationnels.
Surveillance continue
Les activités de gestion des risques de l'entreprise intègrent généralement des dispositions d'auto-
surveillance. La plupart des activités de surveillance continue sont exécutées en temps réel pendant la
conduite quotidienne des activités commerciales. Les activités continues :
Sont généralement exécutées par des responsables du soutien fonctionnel ou des directeurs
opérationnels en fonction des informations qu'ils reçoivent ;
Se concentrent sur les relations, les incohérences ou d'autres implications pertinentes ;
Se distinguent des activités exécutées en réponse à une politique (par exemple, approbations de
transactions ou rapprochements des soldes des comptes).
Une activité de surveillance continue peut être une conversation entre un directeur et des membres du
personnel des opérations au sujet de la manière dont ils identifient les risques qui correspondent aux
tâches qu'ils exécutent, de leur compréhension de l'objectif des contrôles et de leur capacité à
identifier correctement les éventuels problèmes que présentent les activités de contrôle. Ce dialogue
continu ordinaire aide à s'assurer que les employés comprennent les codes de conduite et possèdent
une bonne connaissance de la gestion des risques et du contrôle interne. Tout point problématique
identifié nécessitant une attention particulière peut être traité.
Évaluations indépendantes
Les évaluations indépendantes s'attachent directement à l'efficacité de la gestion des risques de
l'entreprise. Selon le COSO :
Le périmètre et la périodicité varient en fonction de l'importance des risques et des réponses aux
risques dans la gestion de ceux-ci.
Les domaines les plus prioritaires ont tendance à nécessiter des évaluations plus fréquentes.
L'évaluation de l'intégralité du système de management des risques de l'entreprise est
généralement requise moins souvent que les évaluations plus précises.
L'évaluation de l'intégralité du système peut être garantie par des facteurs tels que des
changements majeurs de stratégie ou de direction, des acquisitions ou des ventes, des changements
des conditions politiques ou économiques, ou des changements au niveau des opérations ou des
méthodes de traitement des informations.
Les évaluations indépendantes sont souvent réalisées sous forme d'auto-évaluations. Les individus
responsables d'une fonction ou d'une unité particulière déterminent l'efficacité des activités au sein de
leur sphère de responsabilités. Par exemple, les directeurs opérationnels examinent les objectifs
opérationnels et de conformité, et les contrôleurs s'occupent des objectifs de reporting.
Les auditeurs internes effectuent couramment des évaluations dans le cadre de leurs tâches
quotidiennes ou à la demande expresse de la direction, du conseil ou d'autres cadres supérieurs. La
direction peut aussi envisager de recourir à des auditeurs externes.
Il revient à la direction de juger si des évaluations indépendantes sont nécessaires en se basant sur
divers facteurs, notamment :
La nature et le degré des changements de l'environnement professionnel et des risques associés.
Les compétences du personnel chargé de la mise en œuvre des réponses aux risques et des
contrôles associés.
Les résultats de la surveillance continue.
En règle générale, l'association de la surveillance continue et d'un certain nombre d'évaluations
indépendantes aide à garantir le bon fonctionnement de la gestion des risques de l'entreprise au fil du
temps. Des évaluations indépendantes fréquentes peuvent indiquer la nécessité d'améliorer la
surveillance continue.
Les informations recueillies grâce à la surveillance continue peuvent permettre d'identifier les
insuffisances. Les évaluations de la direction, les résultats de l'activité d'audit interne et les autres
auto-évaluations peuvent mettre en évidence les domaines à améliorer. Les sources externes telles
que les organismes de réglementation et les rapports d'audit externe peuvent mettre au jour des
insuffisances, de la même manière que les rapports d'audit interne.
L'un des rôles de l'audit interne est d'aider le comité d'audit en surveillant la direction afin de vérifier
si elle a tenu compte des précédents rapports en mettant en place des plans d'action destinés à
corriger les insuffisances signalées. Concrètement, cela prend généralement la forme d'une liste
d'insuffisances identifiées dans chaque rapport, accompagnées du plan d'action, de la date cible, de la
responsabilité et de la progression de la mise en œuvre, présentée à chaque réunion du comité
d'audit.
La direction générale et le conseil déterminent le rôle de l'activité d'audit interne dans le processus
de gestion des risques de l'organisation. Dans la plupart des organisations, les auditeurs internes ont
un rôle clé à jouer dans l'évaluation de l'efficacité du management des risques de l'entreprise et dans
la recommandation d'améliorations. Ils contribuent à la gestion des risques de l'entreprise par le biais
de nombreuses activités d'assurance et de conseil.
En tant que fonction au sein de l'organisation, l'activité d'audit interne doit se conformer aux
politiques et procédures de l'organisation, y compris aux processus de gestion des risques, et doit
appliquer les méthodologies en la matière lors de l'élaboration et de la mise en œuvre des pratiques
d'audit interne.
La modalité pratique 2120-2 « Gestion du risque de l'activité d'audit interne » stipule : « L'activité
d'audit interne présente également des risques. Elle doit prendre les mesures nécessaires pour gérer
ses propres risques. On peut classer ces risques en trois grandes catégories : risque d’échec de
l’audit, risque de donner une fausse assurance et risque d’atteinte à la réputation. »
Rôles d'assurance
Le conseil d'une organisation doit obtenir l'assurance que les processus de gestion des risques
fonctionnent comme prévu et que les risques clés sont gérés à un niveau acceptable. Dans la plupart
des organisations, cette assurance est délivrée par différentes sources à différents niveaux. Par
exemple, les domaines opérationnels d'une organisation ayant attribué des responsabilités
fonctionnelles en matière de gestion des risques communiquent au conseil leurs niveaux de
performances. Ces rapports fonctionnels sont complétés par l'assurance objective des audits externes,
des évaluations de spécialistes et des audits internes.
La principale contribution de l'activité d'audit interne à la gestion des risques est l'assurance.
L'auditeur interne fournit généralement une assurance concernant les éléments suivants :
Processus de gestion des risques, y compris leur conception et leur fonctionnement.
Gestion des risques clés, y compris l'efficacité des contrôles et autres activités.
Évaluation fiable et appropriée des risques, et reporting de l'état des risques et des contrôles.
La norme de fonctionnement 2120 « Management des risques » explique que « l'activité d'audit
interne doit évaluer l'efficacité des processus de management des risques et contribuer à leur
amélioration ».
Afin de déterminer si les processus de gestion des risques sont efficaces, les auditeurs internes doivent s’assurer que :
Les objectifs de l’organisation sont cohérents avec sa mission et y contribuent ;
Les risques significatifs sont identifiés et évalués ;
Les modalités de traitement des risques retenues sont appropriées et en adéquation avec l’appétence pour le risque de
l’organisation ; et
Les informations relatives aux risques sont recensées et communiquées en temps opportun au sein de l’organisation pour
permettre aux collaborateurs, à leur hiérarchie et au Conseil d’exercer leurs responsabilités.
Pour étayer cette évaluation, l’audit interne peut s’appuyer sur des informations issues de différentes missions. Une vision
consolidée des résultats de ces missions permet une compréhension du processus de gestion des risques de l’organisation et
de son efficacité.
Les processus de gestion des risques sont surveillés par des activités de gestion permanente, par des évaluations spécifiques
ou par ces deux moyens.
Les techniques utilisées par les organisations en matière de gestion des risques peuvent être très différentes. Selon l’importance et la
complexité des activités, les processus de management des risques peuvent être :
Formels ou informels ;
Quantitatifs ou subjectifs.
Intégrés aux unités d'affaires ou centralisés au niveau de l'entreprise.
Chaque organisation conçoit des processus adaptés à sa culture, à son style de gestion et à ses objectifs commerciaux. . . . L’auditeur
interne s’assure que la méthodologie retenue est suffisamment exhaustive et adaptée à la nature des activités de l’organisation.
Se caractérise par la planification et l'élaboration de ces processus par la direction d'une manière qui garantit la réalisation des
objectifs de l'organisation de façon efficace et rentable. Les performances en termes d'efficience permettent d'atteindre les objectifs
de façon précise, opportune et économique. Les performances en termes de rentabilité permettent d'atteindre les objectifs en utilisant
un minimum de ressources (c'est-à-dire de coûts), en proportion de l'exposition au risque. L'assurance raisonnable est garantie si les
mesures les plus rentables sont prises lors des phases de conception et de mise en œuvre pour réduire les risques et limiter les écarts
attendus par rapport à un niveau acceptable. Ainsi, le processus de conception commence avec la définition des objectifs. Il est suivi
par la mise en relation des concepts, des parties, des activités et des individus, de manière à ce qu'ils fonctionnent de concert pour
atteindre les objectifs définis.
Se caractérise par le fait que la direction exécute les processus de manière à fournir l'assurance raisonnable que les objectifs de
l'organisation seront atteints. Outre la réalisation des objectifs et des activités planifiées, la direction conduit les opérations en
autorisant les activités et les transactions, en surveillant les performances des processus et en vérifiant que les processus de
l'organisation fonctionnent tel que prévu.
Rôles de conseil
L'audit interne peut également réaliser des activités de conseil dans le but d'améliorer les processus
de gestion des risques et de contrôle de l'organisation. L'exposé de principes de l'IIA intitulé « The
Role of Internal Auditing in Enterprise-wide Risk Management » (Le rôle de l'audit interne dans le
management des risques de l'entreprise) mentionne les sujets suivants comme rôles possibles pour les
missions de conseil :
Former la direction aux outils et techniques des contrôles et des risques utilisés par l'activité
d'audit interne et partager ces outils.
Être le fer de lance de l'introduction du management des risques de l'entreprise dans l'organisation
et du partage de l'expertise de l'activité d'audit interne
Conseiller, animer des ateliers et former l'organisation aux risques et au contrôle.
Agir en tant que pivot de la coordination, de la surveillance et du reporting des risques.
Aider les responsables à identifier la meilleure méthode pour atténuer un risque.
La mesure dans laquelle l'activité d'audit interne fournit réellement des activités de conseil en
matière de gestion des risques dépend de divers facteurs :
Disponibilité des ressources : ressources internes et externes disponibles pour le conseil.
Maturité de l'organisation face aux risques : niveau de maturité de la structure et des processus de
gestion des risques organisationnels, rôle organisationnel des auditeurs internes et qualifications
de ces derniers.
Objectivité de l'auditeur interne : l'auditeur interne joue-t-il ou non un rôle dans la gestion du
risque ?
Lorsque l'activité d'audit interne élargit ses services pour inclure des missions de conseil, des
mesures de protection doivent être mises en œuvre afin de préserver son indépendance et son
objectivité.
Comme nous l'avons vu, l'activité d'audit interne peut apporter une contribution précieuse à la
réussite via ses activités de conseil et d'assurance, et aider de manière efficace la direction et le
conseil à s'acquitter de leurs responsabilités. Toutefois, il faut bien comprendre que la direction reste
responsable de la gestion des risques.
Pour préserver l'intégrité de la fonction d'audit interne au sein du cadre de gestion des risques de
l'organisation, l'exposé de principes de l'IIA émet les recommandations suivantes :
Les auditeurs internes doivent conseiller la direction et remettre en question ou soutenir les
décisions de celle-ci à propos des risques, et non pas prendre eux-mêmes des décisions en la
matière.
La nature des responsabilités de l'audit interne doit être documentée dans la charte d'audit et
approuvée par le comité d'audit.
Le document « The Role of Internal Auditing in Enterprise-wide Risk Management » identifie les
rôles suivants comme des fonctions que l'audit interne ne devrait pas exercer :
L'interprétation de la norme 2600 clarifie la façon dont les risques peuvent être identifiés et qui est
responsable de la gestion de ce risque : « L’identification du niveau de risque accepté par le
management peut résulter d’une mission d’assurance, d’une mission de conseil, du suivi des plans
d’actions du management à la suite de missions d’audit interne antérieures, ou d’autres moyens.
La réponse au risque ne relève pas du responsable d’audit interne. »
Risques imprévus
Les plans de mission d'audit hiérarchisent les missions selon plusieurs facteurs, notamment
l'utilisation efficace des ressources, les priorités des risques et l'importance des risques et de
l'exposition. Le rapport final de l'activité d'audit présente les résultats et les observations. Toutefois,
des risques imprévus, c'est-à-dire en dehors de ceux pris en compte lors de la phase de planification
des missions fondée sur les risques, apparaissent fréquemment.
En pratique, même les processus de gestion des risques les plus efficients et efficaces ne peuvent pas
prévoir tous les risques potentiels. Si des risques imprévus émergent et que le RAI les juge
significatifs, celui-ci doit discuter des expositions aux risques avec le conseil et le comité d'audit.
Chapitre D : Sensibilisation au risque de
fraude
Introduction du chapitre
Dans ce chapitre, nous ne traitons pas d'audits de fraude ou d'enquêtes à grande échelle liées à des
fraudes. Ces sujets seront explicités ultérieurement dans la Partie 2, qui examine en détail les risques
de fraude et les contrôles. Nous allons ici évoquer un aspect plus général.
Conformément à la norme 1210.A2 (Missions d'assurance), « les auditeurs internes doivent disposer
de connaissances suffisantes pour évaluer le risque de fraude et la manière dont il est géré par
l'organisation, mais ils ne sont pas censés détenir l'expertise d'une personne dont la principale
responsabilité est de détecter les fraudes et d'enquêter sur elles ». La norme 1210.A2 est une norme
de mise en œuvre qui fournit des recommandations pour la réalisation de missions d'assurance (A) en
conformité avec les normes 1200 et 1210.
Norme 1200, « Compétence et conscience professionnelle » : Les missions doivent être menées
avec compétence et conscience professionnelle.
Norme 1210, « Compétence » : Les auditeurs internes doivent posséder les connaissances, le
savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités
individuelles. L’équipe d’audit interne doit collectivement posséder ou acquérir les
connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses
responsabilités.
L'IIA propose des supports de formation qui permettent à l'auditeur de satisfaire aux exigences pour
acquérir et conserver la maîtrise requise par ces Normes. Ces supports comprennent les modalités
pratiques d'application, les guides pratiques et les exposés de principes associés, des séminaires et
des publications, ainsi que des liens vers d'autres ressources.
Ce chapitre traite du premier devoir, qui consiste à détecter les indices de fraude. On analysera le
reste des responsabilités dans la Partie 2, Section III, « Risques de fraude et contrôles ».
Être suffisamment expérimenté pour remarquer les possibilités et indices de fraude nécessite :
De connaître la définition de la fraude, telle qu'elle est donnée dans le glossaire de l'IIA ou dans
d'autres sources professionnelles ou légales faisant autorité ;
D'être en mesure d'identifier les types de fraude les plus susceptibles de se produire chez un client
d'audit précis et d'être capable d'évaluer le niveau de vulnérabilité du client (risque de fraude) ;
De connaître les symptômes de fraude (signaux d'alerte).
Les rubriques de ce chapitre couvrent ces indices de fraude, en commençant par la définition de la
fraude, suivi d'une description des divers types de fraude et, pour conclure, les symptômes de fraude
ou les signaux d'alerte de fraude.
En 2008, l'IIA, en association avec l'AICPA (American Institute of Certified Public Accountants) et
l'ACFE (Association of Certified Fraud Examiners), a publié le guide « Managing the Business Risk
of Fraud, A Practical Guide ». Ce dernier définit la fraude comme « tout(e) acte ou omission
délibéré(e) visant à tromper un tiers et ayant pour résultat une perte subie par la victime et/ou un gain
obtenu par l'auteur ».
Si les auditeurs internes ne sont pas censés être des experts de la fraude, ils doivent cependant
posséder une compréhension suffisante des contrôles internes pour identifier les opportunités de
fraude. Ils doivent également
comprendre les mécanismes de fraude, être sensibles aux signes annonciateurs de fraude et savoir
comment empêcher la fraude.
Vous trouverez plus d'informations dans l'ouvrage « Managing the Business Risk of Fraud, A
Practical Guide », disponible sur le site Web de l'IIA.
La fraude peut être classée de différentes manières : selon la personne – interne ou externe à
l'organisation – qui la commet, selon la manière dont elle est dissimulée (fraude sur les comptes ou
hors comptes) ou selon le cycle commercial pendant lequel elle est commise (ventes et
recouvrements, acquisitions et paiements, rémunération et personnel, stock et entreposage, acquisition
et remboursement de capital). Les auditeurs internes doivent choisir le système de classification le
plus approprié à leur organisation, puis se familiariser avec des scénarios de fraude communs à ces
classes.
Le détournement de fonds a lieu lorsque de l'argent est volé à une organisation avant d'être
enregistré dans les livres comptables de l'organisation. Par exemple, un employé accepte le
paiement d'un client, mais n'enregistre pas la vente.
Le décaissement frauduleux a lieu lorsqu'une personne fait payer à l'organisation des produits ou
services fictifs, des factures exagérées ou des factures pour des achats personnels. Par exemple,
un employé peut créer une société-écran, puis envoyer à son employeur une facture pour des
services inexistants. D'autres exemples incluent des demandes d'indemnité frauduleuses pour des
soins de santé (facturations pour des services non effectués, facturations séparées au lieu de
facturations groupées), demandes d'indemnité chômage par des personnes qui travaillent ou
demandes de pension ou de prestations de sécurité sociale pour des personnes décédées.
On parle de fraude par remboursement de frais lorsque l'employé est rémunéré pour des
dépenses fictives ou exagérées. Par exemple, un employé présente des notes de frais frauduleuses
pour se faire rembourser des déplacements personnels, des repas inexistants, des kilomètres
supplémentaires, etc.
La fraude sur salaire a lieu lorsque le fraudeur fait émettre un paiement par l'organisation en
établissant de fausses demandes de rémunération. Par exemple, un employé réclame le paiement
d'heures supplémentaires pour des heures non travaillées ou ajoute des employés fictifs à la liste
du personnel et perçoit les paies.
Un détournement est l'acte de détourner une transaction potentiellement lucrative pour le compte
d'un employé ou d'une personne extérieure.
Les gens escroquent les organisations de très nombreuses manières, allant du simple vol au
détournement de fonds. Au bas de l'échelle, l'escroquerie d'une organisation n'implique rien de plus
que le fait de ramener chez soi des fournitures de bureau peu onéreuses. Si les éléments dérobés n'ont
pas plus de valeur que des stylos ou quelques feuilles de papier, il est probable que personne, pas
même l'auditeur interne, ne le remarquera. Le vol d'équipement onéreux à des fins d'utilisation ou de
vente sera remarqué et déclenchera une enquête plutôt qu'un audit.
C'est la « tromperie » mentionnée dans la définition du glossaire des Normes de l'IIA qui fait
généralement entrer la fraude dans le domaine de compétence de l'auditeur interne. L'auditeur
recherche des signaux d'alerte indiquant la possibilité qu'une personne (employé, responsable ou tiers
extérieur) détourne des actifs de l'organisation pour son utilisation personnelle ou pour les vendre,
tout en masquant la disparition de ces actifs.
Fraude dans les états financiers : comme indiqué précédemment, cette fraude implique la
falsification des états financiers, souvent en surévaluant les actifs ou les recettes, ou en sous-
évaluant les dettes et les dépenses. Les fraudes de ce type sont généralement commises par des
directeurs d'organisation qui cherchent à améliorer l'image économique de leur organisation. Les
membres de la direction peuvent profiter directement de la fraude en vendant des parts, en
touchant des primes de rendement ou en utilisant de faux rapports pour dissimuler une autre
fraude.
Pot-de-vin : c'est l'offre, le don, l'acceptation ou la sollicitation de tout élément de valeur pour
influencer un résultat. Des pots-de-vin peuvent être offerts à des directeurs ou des employés clés
tels que des acheteurs qui ont toute latitude pour attribuer des contrats à des fournisseurs. Dans le
cas typique, un acheteur accepte des pots-de-vin pour favoriser un fournisseur extérieur dans
l'achat de biens ou de services. L'offre ou l'acceptation de tout élément de valeur peut aussi être
vue dans le sens inverse : celui de demander cet élément de valeur comme condition d'attribution
de contrats, ce qu'on appelle extorsion économique. Autre exemple : un responsable des prêts
corrompu qui demande un pot-de-vin en échange de l'approbation d'un prêt. Les personnes qui
offrent les pots-de-vin ont tendance à être des représentants mandatés ou des intermédiaires pour
des fournisseurs extérieurs.
Transaction avec des parties liées : il s'agit d'une situation dans laquelle une partie reçoit des
bénéfices qu'il serait impossible d'obtenir dans le cadre d'une transaction indépendante normale.
Parmi ces actes frauduleux, les contributions illégales, les pots-de-vin, etc. ont entraîné l'adoption du
projet de loi Foreign Corrupt Practices de 1977 aux États-Unis. Tout acte impliquant une tromperie
dans le but de profiter à l'organisation (et, dans le même temps, de faire du tort à une autre partie)
s'intègre dans ce contexte.
Comme les champignons vénéneux, la fraude prospère dans un type d'environnement particulier.
L'auditeur interne doit savoir reconnaître les conditions environnementales qui constituent un sol
fertile pour la fraude.
Cependant, il est important de se rappeler que ce sont les gens qui sont à l'origine des fraudes et non
les défaillances dans les systèmes, les politiques, les procédures ou les contrôles. Les gens peuvent
profiter de ces défaillances mais il s'agit toujours d'une activité humaine ; les discussions entourant la
détection de fraude se rapportent donc à la compréhension des motivations et rationalisations des
personnes.
Chacune de ces situations peut suggérer des tentations précises. Une « position financière risquée »
constitue un motif en cas de fraude commise pour le compte de l'organisation à l'encontre des prêteurs
et des investisseurs, par exemple. Le « manque de vérification sur les nouvelles embauches » suggère
qu'il est nécessaire de mettre en place des étapes d'embauche visant à identifier les employés ayant
un passé suspect, mais aussi les motifs et les opportunités (il est évident que cela suggère également
des recommandations à proposer à la direction concernant les pratiques liées aux ressources
humaines). La « faible motivation des employés » implique l'éventualité d'une fraude commise à
l'encontre de l'entreprise par des employés enclins au vol et particulièrement désenchantés par leur
employeur.
Il existe un ensemble de trois conditions qui, lorsqu'elles sont présentes en proportions adéquates,
suggèrent l'éventualité d'une fraude. Il s'agit de l'opportunité, du motif et de la rationalisation, qui sont
décrits comme suit.
Opportunité
Un processus peut être convenablement conçu pour des conditions données. Toutefois, une fenêtre d'opportunité peut survenir et
produire un dysfonctionnement ou des circonstances menant à l'échec du contrôle.
Une opportunité de fraude peut exister en raison d'une mauvaise conception du contrôle ou d'un manque de contrôle. Par exemple,
un système peut être développé pour protéger, en apparence, les actifs, sans toutefois être doté d'un contrôle important. Quiconque
est conscient de cet écart peut en profiter sans faire beaucoup d'efforts.
Il est possible que des personnes occupant des positions d'autorité puissent créer des occasions de contourner les contrôles
existants, car des subordonnés ou des contrôles faibles leur permettent de contourner les règles.
Rationalisation
La plupart des personnes se considèrent comme des gens bien, même s'il leur arrive parfois de mal agir. Pour se convaincre
malgré tout qu'elles ne font rien de mal, elles peuvent justifier ou nier leurs actes. Par exemple, ces personnes peuvent considérer
qu'elles étaient en droit de posséder l'élément dérobé ou que, si les cadres enfreignent les règles, il est acceptable que d'autres
individus fassent de même.
Certaines personnes feront des choses définies comme inacceptables par l'organisation et qui sont pourtant monnaie courante dans
leur culture ou qui étaient acceptées par leurs précédents employeurs. En conséquence, ces personnes ne respectent pas les règles
qui n'ont aucun sens à leurs yeux.
Certaines personnes peuvent connaître des difficultés financières périodiques au cours de leur vie, avoir succombé à une
dépendance coûteuse ou subir d'autres pressions. C'est pourquoi elles se justifient en disant qu'elles ont juste emprunté l'argent et
que, lorsque leur vie s'améliorera, elles le rembourseront.
D'autres peuvent penser qu'il n'y a rien de mal à voler une entreprise, dépersonnalisant ainsi l'acte.
Bien que les auditeurs internes puissent ne pas être capables de connaître le motif exact ou la
rationalisation de la fraude, ils sont censés en savoir suffisamment sur les contrôles internes pour
identifier les opportunités de fraude. Les auditeurs devraient également comprendre les mécanismes
de fraude, être sensibles aux signes annonciateurs de fraude et savoir comment les empêcher. Il
convient d'examiner les informations mises à disposition par l'IIA et d'autres associations ou
organisations professionnelles pour s'assurer que les connaissances de l'auditeur sont à jour.
Les fraudeurs présentent souvent des comportements ou des caractéristiques qui peuvent servir
d'avertissements ou de signaux d'alerte. Les signaux d'alerte personnels incluent le fait de vivre au-
dessus de ses moyens, de faire part de son insatisfaction au travail à ses collègues, une collaboration
anormalement étroite avec des fournisseurs, de lourdes pertes financières personnelles, une
dépendance à la drogue, à l'alcool ou au jeu, un changement dans la situation personnelle et le
développement d'intérêts extérieurs à l'entreprise. En outre, il existe des fraudeurs qui rationalisent
constamment des performances médiocres, qui perçoivent le fait de contourner le système comme un
défi intellectuel, qui fournissent des communications et des rapports peu fiables, et qui prennent
rarement des vacances ou des arrêts de travail (et qui, lorsqu'ils sont absents, ne sont pas remplacés à
leur poste).
Ces signaux d'alerte indiquent souvent une conduite inappropriée, et les auditeurs internes ainsi que
la direction de l'organisation doivent être formés pour comprendre et identifier les signes
d'avertissement potentiels d'une conduite frauduleuse. Bien qu'aucun de ces signes ne signifie qu'un
employé commette véritablement une fraude, une combinaison de ces facteurs peut indiquer la
nécessité de conduire des enquêtes et de renforcer l'attention de l'audit.
Dans Effective Fraud Detection and Prevention Techniques Practice Set (Techniques efficaces de
détection et de prévention des fraudes), Glover et Flag suggèrent différents moyens de classer les
signaux d'alerte par catégories et répertorient plusieurs exemples spécifiques. Voici les types de
signaux d'alerte généralement rencontrés :
Signaux d'alerte relatifs au cycle d'audit : ils se caractérisent par la partie du cycle d'audit dans
laquelle ils sont observés.
Signaux d'alerte relatifs à l'environnement : ils se caractérisent par l'environnement dans lequel
ils se produisent.
Signaux d'alerte spécifiques au secteur industriel : la nature de certains secteurs industriels
crée des circonstances favorables pour la réalisation de certains types d'activités frauduleuses qui
ont leurs propres signaux d'alerte.
Signaux d'alerte relatifs aux auteurs de fraudes : ils sont liés aux personnes qui commettent la
fraude, qu'il s'agisse d'employés ou de directeurs.
Nous allons étudier chacun de ces types, puis nous examinerons brièvement les signaux d'alerte
associés aux états financiers, bien que l'audit des états financiers incombe généralement à un auditeur
externe plutôt qu'à un auditeur interne.
L'illustration II-30 sur la page suivante présente certains signaux d'alerte associés à chacun de ces
cycles et décrits par Glover, Flag et d'autres auteurs. Ces listes de signaux d'alerte ne sont nullement
exhaustives.
Les mêmes types de signaux d'alerte sont également visibles à l'échelle locale ou à l'échelle de
l'organisation :
Un besoin financier peut être créé par des événements tels que la perte d'un contrat lucratif, des
pressions pour améliorer les performances financières afin d'obtenir un prêt ou avant d'émettre
des actions, ou un échec en recherche et développement qui menace la santé du portefeuille de
produits de l'organisation.
Des réorganisations peuvent être synonymes de perturbations dans les politiques de contrôle, ce
qui favorise la fraude. L'absence de processus de sélection peut conduire à l'embauche de
personnes ayant un motif pour commettre une fraude. L'incapacité des directeurs et des
superviseurs à mettre en œuvre, appliquer et surveiller des politiques de contrôle peut créer une
culture de l'opportunité.
L'incapacité de former tout le personnel au code déontologique de l'organisation peut contribuer à
une culture qui rationalise facilement les actes de fraude, petits et grands, comme le vol, la
manipulation des procédures d'appel d'offres, les commissions occultes et les conflits d'intérêt.
Deux types particuliers d'environnements locaux offrent des opportunités de fraude spécifiques et
posent des difficultés pour l'audit interne : les organisations internationales et les organisations qui
reposent fortement sur la technologie.
Organisations internationales
Les audits internes d'entreprises qui fonctionnent au niveau international peuvent révéler plusieurs
types de signaux d'alerte qui résultent de la difficulté à conserver des contrôles dans une organisation
décentralisée et multiculturelle. La corruption peut se présenter dans les deux sens : les employés
peuvent recevoir des commissions occultes et de lourdes dépenses mal décrites peuvent dissimuler
des pots-de-vin à des agents étrangers. Les directeurs peuvent porter des salariés fictifs sur la masse
salariale. Des dossiers peuvent être perdus. Des différences dans les taux de change peuvent être
exploitées. Des myriades de transferts de fonds internationaux légitimes peuvent dissimuler des
transferts bancaires frauduleux vers des comptes numérotés.
Le secteur des services financiers – qui inclut les banques, les établissements d'épargne et de prêts,
les sociétés émettrices de carte de crédit, les entreprises d'investissement et les établissements
financiers – réunit au moins deux des facteurs de fraude : le motif et l'opportunité. Dans des activités
hautement concurrentielles, les personnes et les entreprises peuvent être incitées à rapporter
incorrectement des ventes et des bénéfices. Il y a également l'accès à l'argent, via des détournements
systématiques des comptes clients, l'interception des paiements des clients, l'émission de prêts à des
entités fictives, etc., ainsi que des systèmes de transaction électroniques compliqués qui peuvent être
utilisés pour dissimuler les infractions.
De la même façon, le secteur de l'assurance offre un accès aisé à l'argent via des demandes
d'indemnité ou des dédommagements frauduleux à des clients inexistants ou une mauvaise évaluation
des biens assurés.
Les opportunités abondent également dans les entreprises industrielles, où des processus
d'acquisition compliqués et une supervision laxiste ont généré des écarts et des dépassements de
coûts très fréquents. Les entreprises technologiques à peu d'actionnaires offrent des opportunités de
fraude à la poignée de décideurs qui connaissent et comprennent le produit et l'activité.
Dans le secteur de l'énergie, une structure décentralisée, souvent internationale, laisse le champ libre
pour couvrir les activités frauduleuses et la corruption. Il peut être difficile d'évaluer les actifs ou de
suivre les bénéfices. Les clients ne sont peut-être pas en mesure de vérifier la nature et le volume de
ce qu'ils reçoivent vraiment.
Les signaux d'alerte relatifs aux auteurs de fraudes concernent les trois conditions de la fraude :
Opportunité. Les employés qui refusent de prendre des pauses, des vacances ou d'avoir des
promotions ; les employés qui acceptent volontairement certaines tâches qui leur permettent
d'accéder à l'argent, aux systèmes d'information, aux dossiers ou aux actifs ; une tendance des
employés ou des directeurs à cultiver des relations étroites avec certains clients ; une atmosphère
de crise continuelle ; l'incapacité à résoudre ou à enquêter sur des affaires non résolues ; le
recours fréquent à la manipulation d'un processus par la direction ; un responsable à un poste
particulier depuis un nombre excessif d'années.
Motif. Des possessions ou un style de vie qui ne concordent pas avec les revenus familiaux, la
vantardise au sujet des possessions, un niveau d'endettement élevé ou une succession d'emprunts,
des retenues sur la paye ou des appels au travail de la part de créanciers, la pression subie pour
atteindre les objectifs professionnels ou familiaux, une forte ambition de gagner plus d'argent, un
investissement important dans des systèmes lucratifs (p. ex., Bourse, biens immobiliers).
Rationalisation. Un piètre sens moral, des antécédents de violation des règles ou d'abus de
certaines situations, l'attribution des irrégularités à des mauvaises habitudes ou à des points
faibles personnels anodins (p. ex., retards dans les tâches administratives dus à une aversion
personnelle à ce genre de tâches), des griefs contre l'employeur et les superviseurs.
Les auditeurs doivent également être attentifs aux signaux de comportement tels qu'une succession de
plaintes contre un employé, une baisse du moral des employés ou une hausse de l'absentéisme, des
démissions soudaines ou des réponses évasives aux questions posées, ainsi qu'un manque de
coopération ou une attitude hostile pendant l'audit.
D'autres signaux d'alerte peuvent indiquer les techniques utilisées pour commettre la fraude, à
savoir :
Des écarts inexpliqués (p. ex., des dépenses anormalement élevées en comparaison avec les
périodes précédentes) ;
Des pénuries d'argent ou de stock inhabituelles ;
Des documents manquants ou modifiés ;
Des éléments de facturation ne correspondant pas au code de taxe ou à la fonction commerciale ;
Des contournements des processus d'approbation (p. ex., division des commandes pour rester en
dessous des seuils pour approbation) ;
Des fournisseurs avec des noms génériques ou des adresses de boîte postale seulement ;
Des transactions manuelles dans un environnement habituellement caractérisé par des transactions
automatisées ;
Des montants égaux dans un environnement habituellement caractérisé par des montants
irréguliers ;
Des paiements en double ;
Une augmentation soudaine de l'activité « par intermédiaire » (à l'aide d'un employé intermédiaire
fictif pour détourner l'argent ou les actifs de l'entreprise).
Les directeurs qui commettent des fraudes contre leur entreprise (à distinguer de ceux qui commettent
des fraudes au nom de leur entreprise, tels que les directeurs qui autorisent et couvrent la violation de
la législation environnementale et du droit du travail) présentent de nombreux signaux d'alerte
identiques à ceux de leurs employés. Ils peuvent avoir des besoins supplémentaires ayant pour cause
les attentes de l'entreprise. Ainsi, un directeur commercial peut falsifier des registres de vente afin
d'atteindre les objectifs trimestriels et rester en course pour une promotion. Le responsable d'un
service peut rapporter incorrectement des performances pour éviter des licenciements. Les directeurs
peuvent également avoir bien plus d'opportunités de commettre des fraudes. Par exemple, un
directeur peut falsifier des registres de dépenses et trafiquer des primes en falsifiant des données sur
les rendements.
Les directeurs qui commettent des fraudes sont souvent de mauvais directeurs. Ils ont du retard dans
les rapports, ils font du favoritisme avec les employés et exigent leur loyauté sans leur en témoigner
en retour, ni même à l'entreprise. Certains mauvais directeurs sont simplement de mauvais directeurs.
Les auditeurs internes, toutefois, devraient considérer ces domaines de la direction comme présentant
des risques élevés de fraude et être attentifs à d'autres signaux d'alerte.
Voici quelques signaux d'alerte susceptibles d'être associés aux états financiers.
Valorisation incorrecte des actifs. Modifications apportées aux inventaires des stocks, comptes
de ventes fictifs, dettes non reconnues et non recouvrées, actifs fictifs avalisés par des documents
fictifs (p. ex., baux falsifiés).
Dettes dissimulées. Factures fournisseurs non enregistrées, appeler une dépense un actif (qui peut
être amorti), dettes assumées par des sociétés écrans (comptabilité hors bilan), recours à des
estimations subjectives, dépenses ou acquisitions exceptionnellement basses, niveau de perte (p.
ex., par des retours ou des garanties) inférieur à celui d'organisations similaires, erreurs qui
réduisent les impôts à payer.
En général, une concentration importante de l'autorité chez une personne ou dans une zone
(généralement associée à des contrôles médiocres), des propos évasifs, des antécédents de
malhonnêteté ou de non-respect des lois et règlements, des possibilités d'importantes rétributions
financières pour certaines personnes : voici autant de possibilités de signaux d'alerte pour la fraude
dans les états financiers.
Étapes suivantes
Vous avez terminé la Partie 1, Section II du CIA Learning System® de l'IIA. À présent, vérifiez
votre compréhension en effectuant le ou les tests en ligne spécifiques à cette section pour vous
aider à identifier tout contenu mal assimilé.
Une fois le(s) test(s) spécifique(s) à la section complété(s) et si vous pensez maîtriser ces
informations, vous pouvez passer à l'étude de la Section III.