Audit Interne et Gouvernance d’Entreprise SUPPORT DE COURS PDF

Summary

Ce document est un support de cours sur l'audit interne et la gouvernance d'entreprise pour les étudiants du master CCA à l'Université IBN ZOHR FSJES Ait Melloul. Il couvre les objectifs pédagogiques, le plan de cours, ainsi que des définitions et une introduction à l'audit.

Full Transcript

Université IBN ZOHR
FSJES Ait Melloul

Master d’Excellence CCA
Audit Interne et Gouvernance
d’Entreprise

Professeur : RACHID TATOUTI
[email protected]

1
Année universitaire 2024-2025
 OBJECTIFS PEDAGOGIQUES

Donner aux étudiants les concepts fondamentaux,
les techniques et les outils les plus efficaces en
audit (audit interne et audit externe) leur
permettant d’acquérir la méthodologie de
conduite des missions d’audit, dans le respect des
normes internationales (ISA) définies par
l’International Fédération of Accountants (IFAC).
 OBJECTIFS PEDAGOGIQUES

* Identifier et appliquer les normes éthiques et juridiques
correspondant à la pratique de l’audit interne ;

* Maitriser l’ensemble des savoirs, savoir-faire et savoir- être que doit
détenir un auditeur interne professionnel ;

* Prendre conscience de toutes les dimensions techniques et
managériales de la fonction d‘auditeur interne ;

* Assimiler les connaissances sur les risques et les contrôles des principaux
domaines d’une organisation ;

* Savoir Accompagner efficacement l’entreprise dans l’amélioration
continue de la maîtrise de ses activités et de ses performances.
 Plan de cours
PREMIERE PARTIE: L’ audit
Chapitre Introductif: Maitriser les concepts fondamentaux de l’audit
1. Définitions de l’audit
2. Les normes d’audit
3. Cadre conceptuel des missions d’audit et services connexes
4. Les assertions d’audit
5. Le risque d’audit et la matérialité.
Chapitre 2: Contrôle Interne
1. Définitions
2. Le référentiel COSO 1 - retour d’expérience et limites du CI
3. Diagnostic du système de contrôle interne par domaine de gestion
4. Sarbanes Oxley Act
5. Contrôle interne et gouvernement d’entreprise
6. Contrôle interne et gestion des risques ou le référentiel COSO 2
7. Contrôle interne et fraude 2
 Plan de cours
DEUXIEME PARTIE : MAITRISER LA DEMARCHE D’AUDIT
1. Présentation générale de l’approche d’audit
2. Prise de connaissance de l’entité et travaux préparatoires
3. Evaluation du contrôle interne et élaboration de la stratégie d’audit
4. Exécution des contrôles substantifs
5. Travaux de fin de mission.

TROISIEME PARTIE : MISE EN OEUVRE DES TECHNIQUES ET DES OUTILS
D’AUDIT
1. Les procédures d’examen analytique
2. Les techniques de description des cycles
3. Les techniques de confirmation directe ou circularisassions

2
 Introduction:
-Développement de l’audit dans la quasi-totalité
des domaines du monde économique: audit de
produits, audit social, audit d’environnement,
audit marketing, audit des ressources humaines,
audit opérationnel, audit informatique…

- Cette prolifération ne doit pas nous occulter
des fondements de cette technique :
l’audit Financier et comptable
« Nous vivons à l’age des machines, mais
nous vivons aussi et c’est à peine moins
important à l’age des comptes »

P. Samuelson, prix Nobel de
sciences économiques, 1970
 I-Définition, objectifs et principes fondamentaux

- la sphère de l’argent est souvent associée aux
fraudes et aux malversations,
- le contrôle constitue donc une étape plus
primordiale pour le suivi et le bon
fonctionnement de toute organisation.
- le besoin de vérifier les informations
comptables et financières s’est fait ressentir
très tôt, d’abord sur le plan interne et ensuite
au niveau externe,
 A LA DECOUVERTE DE L’AUDIT
COMPTABLE ET FINANCIER
- L’histoire de l’audit est très ancienne, dès le
3ème siècle avant Jésus Christ,
- les gouvernements romains désignaient des
questeurs pour contrôler les comptabilités de
toutes les provinces.
- C’est à cette époque aussi que remonte
l’utilisation du terme Audit qui provient du
verbe latin Audir qui signifie écouter.
 A LA DECOUVERTE DE L’AUDIT
COMPTABLE ET FINANCIER
- L’audit remonte à l’histoire arabo-musulmane
et ce en la Hisba.
- Le Mouhtassib a dû être une sorte de
commissaire au compte de la cité arabo-
musulmane andalouse ou maghrébine avant
d’étendre ses prérogatives à d’autres domaines
d’activité
- les procédures de la Hisba ne constituaient
rien d’autre qu’un système de contrôle interne
 Au Maroc

Les entreprises publiques ont été
traditionnellement soumises à des audits
externes pour répondre aux exigences
d’institutions financières, internationales
comme la banque mondiale, pour certification
des états financiers des entreprises qu’elles
financent.
 Lettre Royale du 19 juillet 1993

Dans une lettre adressée au premier ministre, en
1993, feu sa majesté le Roi Hassan II,
mentionne que :
« l’audit est aujourd’hui de pratique courante
dans les sociétés et les entreprises. Vous y ferez
procéder dans tous les établissements publics
où le besoin s’en fait sentir ».
 Lettre Royale du 19 juillet 1993
- Une certaine prise de conscience a commencé à se faire
sentir dans le secteur privé.

- Quelques groupes privés de type familial ressentent le
besoin de restructurer le mode de suivi et de contrôle de
leurs filiales par la mise en place de structure d’audit
interne.
- Le souci croissant de transparence imposé par le marché
financier a poussé les entreprises cotées en bourse à
mettre en place des structures d’audit interne.
 Définition du concept de l’audit :
IFACI

« un examen occasionnel périodique sur pièces et sur
place des activités d’un ou plusieurs organismes en
vue d’aider les autorités responsables à améliorer la
gestion et les résultats de ces organismes. Cet
examen comporte des jugements de valeur et des
recommandations sur les politiques, les objectifs, les
procédures, les informations et les moyens. Il est
assuré par des personnes indépendantes de la
hiérarchie, non responsables de l’organisation et de
la gestion des activités qu’elles examinent ».
 Définition du concept de l’audit :

On distingue deux grandes approches selon :

L’appréciation de la qualité de l’information.

L’appréciation des performances et de l’efficacité
des systèmes d’information et d’organisation.
 Classifications de l'audit et typologies

Il existe trois critères selon lesquels on peut
classifier les différents types d’audit :

1- Une classification selon la nature
2- Une classification selon le statut de l’auditeur
3- Une classification selon la nature des unités
auditables.
 B- Classification selon le statut de l'auditeur :

Audit interne :
C'est une fonction qui est apparue aux Etats-Unis en
1930. Depuis, elle n'a cessé de s'étendre vers les pays
développés et ceux en voie de développement.
Audit externe:
L'audit externe est apparu avant l'audit interne, il a été
effectué par des cabinets de conseils, son domaine
d'application s'est élargie au fur et à mesure.
C- Classification selon le type de l'unité auditable:

Audit global
Audit vertical
Audit horizontal
 1-Audit global :

L'entreprise constitue une seule et même
unité auditable, et le système global qu'elle
représente est donc vu dans toutes ses
activités en une seule fois.
 2-Audit vertical :

- Le champ d'action est alors calqué sur la
répétition des responsabilités dans l'entreprise,
de telle façon qu'à une unité auditable
correspond une et une seule unité
organisationnelle.
- Il est dit vertical car il respecte le
cloisonnement de responsabilité séparant les
différentes lignes hiérarchiques.
 3-Audit horizontal :

- Il y a donc complet découpage entre unités
organisationnelles et unités auditables. A une
unité organisationnelle peuvent correspondre
plusieurs unités auditables et à une unité
auditable, plusieurs unités organisationnelles.
- Il traverse les cloisonnements de
responsabilité entre lignes hiérarchiques.
Bref historique
de l’audit
– Raisons structurelles : dissociations entre apporteurs de fonds et
Le développement dirigeants suite au développement des sociétés par
de l’audit financier actions
externe est lié au – Raisons circonstancielles : désastre financier en 1929 amplifié par les
capitalisme informations financières trompeuses

– Fonction apparue dans les années 20 aux Etats-Unis
L’émergence de la – Missions élargies : fonctions comptables mais aussi fonctions commerciales, de
fonction d’audit production, informatiques, …
interne – Volonté d’un audit d’efficacité (opérationnel)

Audit interne et
–
audit externe, deux L’auditeur interne doit pouvoir s’appuyer sur
fonctions les travaux de l’auditeurexterne et réciproquement
complémentaires

Et les entreprises – Ils ont suivi ce mouvement avec retard
et – Développement à la fois de l’audit de conformité (financier), de l’audit
établissements d’efficacité (stratégique) et de fonctionnement (organisationnel)
publics ?
2
© Rachid
 Facteurs favorisant le développement de la culture
d’audit
Globalisation de l’économie
mondiale

Moralisation des affaires :
transparence, reddition des Émergence de « normes
comptes globales »

Facteur Réformes économiques et
financières
s
Restructuration
sectorielles et
opérationnelles de certains
secteurs (libéralisations) Codes de
gouvernance

Implantation de grands
cabinets internationaux au
Maroc et développement de
cabinets nationaux 23
© Rachid
FSJES 2023-2024
Qu’est ce que
l’audit ? 1
4
2 3

L’audit en général
Définitio
L’audit est n
« l’examen d’informations par une personne indépendante de celle
qui les prépare et les utilise, dont l’intention est d’établir leur véracité et de
réaliser un rapport sur son examen, avec le souhait d’augmenter l’utilité et la
qualité de l’information pour l’utilisateur »

Entité qui doit Entité qui
« rendre « requiert
compte » l’information»

Rapport exprimant
Auditeur une opinion, un
avis, des
3 parties recommandations
concernées
2
© Rachid
 Audit
global
Audit financier Audit de Audit comptable
conformité

Audit de stratégie

Audit des
performances :
Audit Audit de gestion
économie,
opérationnel
efficacité et
efficience
Audit des
opérations
2
© Rachid
Bernard
MADOFF
 Affaire ENRON

16ème firme
mondiale

Premier courtier
CA EN 2000: CHUTE mondial en énergie
100 MILLIARD $ DE LA VALEUR
BOURSIERE
DE 90 $ A0.60 $

40 milliards de dollars de dettes impayées.
8000 licenciements immédiats.

27
 Les règles
comptables

La réévaluation artificielle des actifs;

Intense lobbying auprès des parlementaires
américains;

Création des structures financières special
purposes entities (SPE);

La présentation de comptes pro forma

28
Audit et Conseil

Cabinet Andersen : Certification des
comptes falsifiés afin de préserver ses
activités de conseil auprès d’Enron;

Implication des banques d’affaires:
participent à l’ingénierie financière utilisée
par le courtier en énergie,
conseiller à l’achat de leurs titres par
l’intermédiaire de leurs analystes
financiers
En décembre 2001, elle fit Faillite en raison des
pertes occasionnées par ses opérations
spéculatives sur le marché de l'électricité, qui
avaient été maquillées en bénéfices via 29 des
manipulations comptables
 Gouvernement
d’entreprise
Absence du rôle de surveillance

Les investisseurs étaient censés
exercer un plus grand contrôle

Les stock-options: Les managers
servaient leur propre intérêt
(Une stock option est une forme de rémunération variable allouée par
les actionnaires d'une entreprise à ses dirigeants ou ses salariés.)
30
 Worldcom
2002
Une entreprise de telecommunication américaine.
MCI-WorldCom devient ainsi le deuxième opérateur de
télécommunications longue distance aux États-Unis,
derrière le leader mondial AT&T.
Le scandale des manipulations comptables
Près de 11 milliards de dollars de revenus totalement
fictifs.

 Par le biais des stock-options, les dirigeants de la
société se sont enrichis de manière spectaculaire sans que
ces gains reposent sur les bénéfices d'exploitation mais
uniquement sur le gonflement des cours boursiers.
 Worldcom

Suite à cette
découverte,
l'action de
Worlcom a
baissé de 90 %
le lundi
premier juillet

la cotation de l'action avait été suspendue au Nasdaq du 26
juin jusqu'au premier juillet.
 Worldcom
Le 14 avril 2003, WorldCom U.S a choisi de
changer de nom pour adopter celui de

Bernard Ebbers, ancien président de WorldCom a
été condamné le 13 juillet 2005 à 25 ans de prison
pour avoir orchestré la plus importante fraude
comptable de l'histoire américaine.
 L’affaire Norbourg
2005, au Québec
Une entreprise de fonds de
placement
Une fraude financière
Détournement de 130 millions
de CAD fraudant 8 000 à 9 000
investisseurs
PDG Vincent Lacroix
 Madoff Securities
 Bernard L. Madoff Securities (alias Madoff
Securities) a été fondée en 1960
 Ses clients sont des banques, des intermédiaires, des institutions
financières, des fonds de gestion à haut risque (hedge funds), des
« zinzin » (investisseurs institutionnels) et quelques individuels
fortunés.
 Elle gère entre autres pour le compte de ses clients des comptes
d’actions du Nasdaq et du New York Stock Exchange, particulièrement
des S&P500(1)
 Madoff Sécurities aurait entre 11 et 25 clients directs.

 Cette entreprise est contrôlée par Freshling & Horowitz, un cabinet
d’expert comptable inconnu employant 3 personnes, dont deux
comptable et une secrétaire dans laquelle, (sous réserve de
confirmation de l’enquête) l’opération de « vases communicants » de
l’escroquerie se serait pratiquée depuis 1970.
(1) marché américain des actions des 500 sociétés les plus cotées en bourse.
 PYRAMIDE MADOFF
Clients (système dit Ponzi)

Apports Retraits Opération sous
contrôle de
Frieshling &
Horowitz, experts
comptables
Capital Ponction sur capital

INVESTISSEMENT +
Retour apparent
Retour
Investissement Sur investissement
réel sur
investissement
Commissions, frais de
gestion et... Rémunération
de « frais annexe »
L’hypocrisie du contrôle interne
 Enron et les autres , aujourd'hui, sont le symbole de l'échec sur tous
les plans des mesures de contrôle.
 Les conseils d'administration ont failli, les auditeurs des comptes ont
failli, les conseillers juridiques ont failli,...
 Se moquer des contrôleurs considérés comme« des centres de coûts
non productifs » est depuis longtemps la règle.
 Les auditeurs internes aboient et la caravane passe.
 Les organes de tutelle qui ferment les yeux sur cette grande hypocrisie:
La vérité est que l’absence de contrôle et de régulation amènent
automatiquement des comportements qui se généralisent sur le
principe du « pas vu pas pris » et qu’ils finissent par être le
fonctionnement normal du système … jusqu’à ce que la crise amène à
donner en pâture au public quelques boucs émissaires … un public
qui, sous une forme ou une autre, finira par payer la note.
3
7
 Les enjeux actuels des organisations
 Faire preuve de gouverner, développer
une culture d’entreprise basée sur
l’éthique
 Regagner ou conserver la confiance du public

 Démontrer une orientation claire et élaborer des
stratégies solides

 Être capable de gérer les risques

 Demeurer à jour à l’égard de la technologie
38

 Protéger voire développer le savoir qui assure l’avenir
 Définition
 Les termes de contrôle, révision, audit sont utilisés généralement
indistinctement pour signifier les opération de vérification des systèmes et
procédures et/ ou comptes annuels d’une entreprise par une personne qui
n’a pas participé à leur élaboration.

 Les expressions « audit externe » ou « contrôle externe » s’emploient lorsque
les opérations de vérifications sont menés par un professionnel extérieur à
l’entreprise.

 L’audit interne désigne généralement le service de l’entreprise chargé de la
vérification des conditions d’application des procédures en vigueur et leur
amélioration.
 Le système de contrôle interne est l’ensemble des politiques et procédures
mises en œuvre par la direction d’une entité en vue d’assurer, dans la mesure
du possible, la gestion rigoureuse et efficace de ses activités
 Définition

L’audit : vient du verbe latin ‘audire’, écouter ->
contrôler.
- L’apparition de l’audit est lié à la nécessité de
contrôle afin d’éviter la survenance de différents
risques.

L’audit s’est introduit dans le domaine de la gestion
au début du 20ème siècle, l’audit est pratiqué
d’abord dans le domaine financier et comptable,
puis par extension, dans les autres fonctions de
l’entreprise (audit opérationnel).
 Risque ?

1. Tout événement, tout comportement, toute
situation, affectant la réalisation des objectifs.
2. Est une perte potentielle suite à un événement ou
à une série d’événements internes ou externes.
Deux aspects :
- Le risque positif : représente le risque pris par
l’organisation et s’accompagne avec un
accroissement des résultats.
- Le risque négatif : le risque d’avoir les résultats de
l’organisation en diminution, c’est ce dernier qui
intéresse le plus les dirigeants..
 Audit ?
Processus méthodique, indépendant et documenté
permettant d’obtenir des preuves d’audit et de les
évaluer de manière objective.

Il s’attache notamment à détecter les anomalies et les
risques dans les organisations et secteurs d’activités
qu’il examine.
 Rôles de l’auditeur ?

Evaluer et apprécier le degré de maîtrise des
risques et de la structure à travers sa politique de
contrôle interne.

- Proposer des mesures d’amélioration réalistes et
opérationnelles afin de permettre à la structure de
mieux maîtriser ses risques et atteindre ses
objectifs.
2. Le référentiel COSO

44
 Limites du
contrôle interne
Le système de contrôle interne ne peut fournir qu’une
assurance raisonnable quant à la réalisation des objectifs.
La probabilité d’atteindre ceux-ci est soumise aux limites
inhérentes à tout système de contrôle interne
Des événements et des situations peuvent échapper au
contrôle de dirigeants

4
5
 Limites du contrôle interne
Jugement erroné : l’efficacité des contrôles sera limitée par
le risque d’erreur humaine lors des prises de décisions ayant
un impact sur les opérations de l ’entreprise ;
 Dysfonctionnements : Mauvaises interprétations des
instructions, erreur par manque d ’attention ou à cause de la
routine, manque de formation... ;
 Contrôles outrepassés dans le but d ’en tirer profit,
d ’améliorer la présentation des résultats, dissimuler la non-
conformité aux obligations légales

4
6
 Limites du contrôle interne
Ratio Coût/Bénéfice : Les entreprises doivent comparer les
coûts et avantages relatifs des contrôles avant de les mettre
en place( corrélation coût/activités)
Collusion : la collusion entre deux ou plusieurs personnes
peut déjouer le système de contrôle interne (employé
chargé d’une fonction de contrôle et client ou fournisseur…)

4
7
 Limites du contrôle interne - lors
de son appréciation
 liées aux auditeurs
 leurs aptitudes à assumer la fonction,
 leurs connaissances,
 leur formation, leurs qualités intrinsèques. liées aux audités
 leur comportement,
 leurs réactions face aux contrôles qu’ils subissent,
 leurs habitudes.
 Liées à l’attitude des dirigeants
 rattachement hiérarchique de l’audit interne,
 élaboration du programme annuel,
 prise en compte des recommandations.

4
8
3. Diagnostic du système de contrôle
interne par domaine de gestion

49
 Approche générale

1 Diagnostic du système de contrôle interne
par domaine de gestion
Domaine Domaine
Domaine Domaine
Gestion Système
Stratégie Organisation
Courante d ’information

2 Renforcement du système de contrôle interne

Plan de mise à niveau
Plan de refonte de Plan de correction de
des structures
certaines procédures certaines procédures
de contrôle

3 Plan d ’action
5
0
 Le diagnostic du système de contrôle interne
* Objectifs

Le renforcement d ’un système de contrôle interne doit
s’appuyer sur un premier diagnostic…

1/ Recenser les contraintes / opportunités réglementaires en prenant en
compte les métiers, l’organisation et la culture de l’entreprise

2/ Réaliser un inventaire des points forts / points faibles de l’entreprise au
regard des Obligations réglementaires et des règles de gestion

3/ Restituer / intégrer les évolutions organisationnelles et informatiques
récentes ou en cours dans la Problématique « système de contrôle interne »

5
1
Le diagnostic du système de contrôle interne
*Domaines du diagnostic

DOMAINES DU DIAGNOSTIC

STRATEGIE
CONTRÔLE INTERNE

ORGANISATION

GESTION COURANTE

SYSTEME D’INFORMATION 5
2
 Le diagnostic du système de contrôle interne
Domaine1 : Planification stratégique

1
STRATEGIE

2 Processus de planification stratégique
ORGANISATION
Analyse de l ’environnement et du
potentiel interne
Chronologie de réalisation du plan
3
stratégique
GESTION COURANTE
Suivi de la réalisation du plan stratégique
Analyse et explication d ’écart entre
4 prévisions et réalisations
SYSTEME D’INFORMATION Elaboration de plans glissants et de mise
à jour du plan stratégique

Le contrôle interne est aussi un moyen de réduire
les survenances de risques dans le processus de la planification stratégique...
5
3
 Le diagnostic du système de contrôle interne
Domaine2 : Organisation

1
STRATEGIE

2
ORGANISATION Adéquation organisation / objectifs /
moyens
3 Répartition des responsabilités
GESTION COURANTE
Qualités des structures de contrôle
(contrôle de gestion, audit interne,
inspection, …)
4 Evolution de l ’organisation et effets
SYSTEME D’INFORMATION
sur l ’amélioration du système de
contrôle interne

5
4
 Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante

1
Risque de règlement
Risques opérationnels
STRATEGIE Risque commercial
2 Risque comptable,...

ORGANISATION

3

GESTION COURANTE

Le domaine gestion courante peut être
4 décomposé selon différents cycles
SYSTEME D’INFORMATION d ’activités...

55
 Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante

VENTES -
CLIENTS

TRESORERIE ACHATS -
FOURNISSEURS

CYCLES

Immobilisations
STOCKS

PAIE
56
 Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante VENTES -
CLIENTS

Exemple :
Cycle de ventes : Pratiques de contrôle interne à valider

– Toutes les commandes sont traitées rapidement (Pas
de livraison pouvant générer ultérieurement des
litiges).
– Les conditions de la commande sont acceptables (elles
doivent être établies avec soin avant d’accepter la
commande).
– Le client est solvable : la commande reçue ne doit pas
impliquer un dépassement du crédit maximum qui lui
est alloué.
– Les factures sont toutes correctement et rapidement 5
7
établies et enregistrées.
 Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante VENTES -
CLIENTS

Exemple (suite …) :
Cycle de ventes : Pratiques de contrôle interne à valider

– Les quantités livrées ont été correctement saisies et
correspondent aux quantités commandées et aux quantités
facturées.
– Les prix sont correctement appliqués et les différents rabais ou
remises accordés en fonction des accords passés avec les
clients.
– La facture est arithmétiquement correcte.
– La relance des clients est systématique et les provisions sont
constatées.
– Le suivi des encaissements est assuré.
5
8
 Le diagnostic du système de contrôle interne
Immobilisations
Domaine 3 : Gestion Courante

Objectifs généraux du contrôle interne

 Toutes les immobilisations ainsi que les charges et produits annexes
sont enregistrés (exhaustivité).

 Toutes les immobilisations ainsi que les charges et produits
correspondants sont réels (réalité), appartiennent à l'entreprise et
sont correctement protégés.

 Toutes les immobilisations, ainsi que les charges et produits
correspondants sont correctement évalués.

5
9
 Le diagnostic du système de contrôle interne
Immobilisations
Domaine 3 : Gestion Courante

Principales caractéristiques du cycle immobilisations

 Le processus type d'une opération d'investissement

étude et décision d'investissement,
procédure d'acquisition et de mise en place,
utilisation, entretien et protection,
décision de remplacement, de cession ou de mise au rebut.

6
0
 Le diagnostic du système de contrôle interne Immobilisations
Domaine 3 : Gestion Courante

Acquisition ou amélioration des immobilisations
 Objectif:
Acquérir le matériel nécessaire à assurer l ’activité tout en
optimisant le rapport qualité/prix
 Mise en œuvre :
l’établissement d ’une liste des investissements possibles
la détermination d ’enveloppe destinée à l ’investissement,
l’analyse de la rentabilité ou de l ’utilité des investissements prévus, la
sélection des projets dans la cadre d ’un budget d ’investissement,
l’autorisation de la dépense en fonction du budget préalablement défini,
l’autorisation de mise en chantier lorsqu’il s ’agit d ’une livraison à soi-
même. 6
1
 Immobilisations
Le diagnostic du système de contrôle interne
Domaine 3 : Gestion Courante

Maintenance et protection des immobilisations
Objectif:
Préserver le patrimoine de la société contre les risques de vols, incendies...
Mise en œuvre :
des inventaires physiques périodiques,
l ’ existence d ’un service chargé de la maintenance des immobilisations,
une assurance suffisante des immobilisations contre les principaux sinistres.

6
2
Le diagnostic du système de contrôle interne
Immobilisations
Domaine 3 : Gestion Courante

Suivi des immobilisations

Objectifs
Assurer une meilleure gestion des immobilisations
Offrir à la comptabilité les informations techniques
qui ne relèvent pas de ces compétences

6
3
 Le diagnostic du système de contrôle interne
Immobilisations
Domaine 3 : Gestion Courante

Suivi des immobilisations
Mise en œuvre
Le suivi peut être fait par des fiches manuelles ou informatiques qui donnent
pour chaque bien:
la description (nature, numéro de série),
la date d'installation
la date de mise en service (point de départ de l’amortissement)
la localisation
le compte comptable concerné
les renseignements comptables (factures, valeurs hors taxes, TVA
récupérée, mode et durée d'amortissement etc.),
les valeurs d'expertise,
le montant des amortissements pratiqués chaque année,
les conditions de cession en cas de sortie du patrimoine,
les dépenses de réparation et d'entretien engagées.
6
4
 Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information

1

STRATEGIE Lexique
2 informatique

ORGANISATION

3 Organisation informatique
Architecture du système
GESTION COURANTE
d ’information
La sécurité informatique
4 L ’intégrité, l ’exhaustivité et la
SYSTEME D’INFORMATION fiabilité des traitements

65
 Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information

Eléments d ’approche : Quelques risques dominants
Au niveau de la fonction système d'information
actuelle:
non performance du système d’information
perte d’efficacité :
dérapage sur des délais afférents aux projets
informatiques menés en interne
absence de pérennité des modes de
fonctionnement au sein de l’organisation
informatique
...
6
6
 Le diagnostic du système de contrôle interne
Domaine 4 : Système d ’Information

Eléments d ’approche : Quelques risques dominants
 Evolutions de la fonction informatique
retard au niveau de la mise en œuvre
opérationnelle de nouveaux systèmes
manque de compétences pour
l’accompagnement des mutations du système
faible niveau de fiabilité des données
...
 Sécurité du système d’information
disparition totale ou partielle du système
d’information
intrusion dans le système
6
7
4. Sarbanes Oxley Act

68
 – SARBANES OXLEY Act « Loi Sarbanes-Oxley »

préparée par la SEC et votée par le Congrès en
juillet 2002 suite aux scandales des affaires
Enron et Worldcom, institue une vaste série de
mesures.

Objectifs: restaurer la confiance du public dans
les marchés des capitaux américains à la suite
de plusieurs scandales mettant en cause
l’information financière publiée aux États- Unis

6
9
 SEC
La Securities and Exchange Commission (SEC) est l'organisme
fédéral américain de réglementation et de contrôle des
marchés financiers. C'est en quelque sorte le « gendarme de
la Bourse » américain, aux fonctions généralement similaires
à celles de l'autorité des marchés financiers des autres États.
Ses pouvoirs et sa composition ont été profondément
remaniés par le Dodd–Frank Wall Street Reform and
Consumer Protection Act de 2010.
SARBANES OXLEY: quatre principes:
l'exactitude

l'accessibilité de l'information,

la responsabilité des gestionnaires

et l'indépendance des vérificateurs/auditeurs

71
SARBANES OXLEY:
La plupart des observateurs s'accordent pour
dire que cette loi est celle qui affecte le plus la
gouvernance des entreprises, l'information
financière et l'expertise- comptable depuis les
lois américaines sur les investissements du
début des années 30.
Elle s'applique à toutes les entreprises cotées
sur les bourses US (CA > 75 M $)

72
La loi vise à augmenter la responsabilité
corporative et à mieux protéger les investisseurs
pour rétablir leur confiance dans le Marché
La loi Sarbanes-Oxley compte plus de 50
sections, chacune ayant sa propre date d'entrée
en vigueur.
 Sections les plus importantes de la loi: 302, 404
et 409 sont celles qui affectent principalement la
sécurité.

73
 SARBANES OXLEY Act
Section 103 - Normes et règles relatives à l'audit, au contrôle de la
qualité, à l'indépendance - L'auditeur (et par conséquent
l'entreprise) doit conserver pendant sept ans tous les documents
relatifs aux audits, y compris les documents électroniques
pendant sept ans

Section 201 - Services hors champ d'exercice des auditeurs ;
activités interdites - Les sociétés qui procèdent à l'audit des
comptes ne peuvent plus lui offrir de services de conseil. Rotation
obligatoire des commissaires aux comptes.
74
SARBANES OXLEY Act
Section 301 - Comités d'audit des sociétés faisant appel à
l'épargne publique - Les entreprises doivent publier des
systèmes ou des procédures qui permettent aux
collaborateurs de communiquer de façon confidentielle avec
le comité d'audit

Section 302 - Responsabilité de l'entreprise vis-à-vis des rapports
financiers - Le directeur général et le directeur financier
doivent préparer une déclaration certifiant l'exhaustivité et la
justesse des rapports financiers. Toute irrégularité volontaire
ou consciente est pénalisée. Les dirigeants pris en faute
encourent jusqu’à 25 ans de prison

75
SARBANES OXLEY Act

 La loi Sarbanes-Oxley oblige les entreprises cotées à mettre en
place un système permettant aux employés d'effectuer des
témoignages anonymes et confidentiels, concernant des
pratiques d'audit ou comptables qu'ils jugeraient suspectes.

 « Whisleblowing system », canaux anonymes d’information
hors hiérarchie

76
SARBANES OXLEY Act

Section 404 - Evaluation par la direction des contrôles
internes - Les directeurs généraux, les directeurs
financiers et les auditeurs externes doivent attester
de l'efficacité des contrôles internes destinés aux
rapports financiers., les entreprises doivent avoir des
comités de vérification indépendants pour
superviser le processus de vérification..

77
SARBANES OXLEY Act

Section 409 - Signalement des problèmes en temps réel - Les
entreprises doivent signaler “ rapidement et sans délai ” les
changements matériels importants de leur état financier

Section 802 - Prescriptions pénales pour falsification de
documents - Les entreprises doivent conserver et protéger les
documents d'audit, de même que les documents (qui leurs
sont liés) relatifs (y compris sous format électronique).

78
Sur recommandation de la SEC

Creation d’un nouvel organisme de
réglementation et de surveillance, le Public
Company Accounting Oversight Board, doit
superviser les firmes comptables ; établir des
standards, enquêter et sanctionner les personnes
physiques et morales qui ne respectent pas les
règles.

79
 La plupart des entreprises ont réagi favorablement aux
mesures annoncées et se sont mises rapidement en
conformité avec les nouvelles règles

 La SOX reste controversée ( polémique et débat)de par
sa portée extra- territoriale… notamment par l'Europe
et le Canada dont les sociétés cotées aux Etats unis
doivent se soumettre aux normes établies par la Loi
Sarbanes-Oxley

80
 Réglementation - France
En France, la Loi sur la Sécurité Financière (LSF) a été adoptée par le
Sénat en mars 2003 et fait suite au rapport Bouton sur la
gouvernance d’entreprise. Elle a été votée le 1er août 2003.
– Champ d’application : Toutes les Sociétés Anonymes,
La LSF s’inscrit dans un cadre qui dépasse largement le contrôle
interne. Trois articles traitent des obligations liées au CI :
– Article 117 : Obligation d’information de l’Assemblée Générale par le
Président du Conseil d’Administration ou de Surveillance, dans un rapport
joint au rapport annuel, sur les conditions de préparation et d’organisation
des travaux du conseil d’administration, ainsi que sur les procédures de CI
mises en œuvre.
 Responsable: Le Président du Conseil d’Administration ou de Surveillance

– Article 120 : Présentation à l’Assemblée Générale par le Commissaire Aux
Comptes d’un rapport sur la sincérité du rapport du président sur le
contrôle interne.
 Responsable : CAC

– Article 121 : Obligation pour les sociétés faisant appel public à l’épargne de
publier ces informations.
 Responsable : Personne morale (société) faisant appel public à l’épargne.
 Réglementation - France
En juin 2013, publication d’une version révisée de
l’Afep-Medef, le code de gouvernement des
sociétés côtées ou sociétés anonymes à partir de
juin 2013
Mise en place d’un Haut-Comité qui aura pour mission d’interpréter les dispositions du code, de
proposer les mises à jour, de s’auto-saisir en cas de non-application

Un champ d’application élargit
Contrôle de la rémunération des mandataires sociaux par l’assemblée générale : le « Say on pay »
Les indemnités de prise de fonction « Golden hello » sont reconnues, mais doivent être communiquées
Les indemnités de non-concurrence sont plus strictement encadrées et doivent être reconnues par le
Conseil d’administration
Limitation des parachutes dorés : l’indemnité ne peut pas dépasser deux ans de salaire et doit s’appuyer
sur des preuves de compétences appréciées sur au moins deux exercices.
Cumuls des mandats : un code plus restrictif
Une force accrue conférée à la règle dite du « Comply or explain » : lorsqu’elles voudront s’écarter de la
réglementation, les entreprises devront présenter rigoureusement les motifs de cet écart et présenter
les alternatives choisies
 Pourquoi ces Réglementations ?

La loi Sarbanes – Oxley La loi sur la Sécurité financière Afep- MEDEF
ou LSF

 Certification et évaluation  Transparence et fiabilité de Encadrement de la
par les dirigeants de l’information gouvernance de
l’efficacité du contrôle  Responsabilité des l’entreprise
interne dirigeants

 Contrôle périodique de
l’information publiée

Assurer la transparence et la fiabilité des
informations publiées par les sociétés.
 Constat :

Les crises successives ont ébranlé la confiance des marchés sur la maîtrise et la véracité de
l’information financière publiée :
– ENRON
– WORLDCOM

Les nouvelles dispositions réglementaires sont une réponse législative à la crise de confiance des
marchés financiers

Désormais :
– Les dirigeants doivent s’engager sur la qualité du contrôle interne

–  Risques pénaux et financiers

– La réglementation internationale change et devient de plus en plus
contraignante
5. Contrôle interne et Gouvernance

85
 Les enjeux actuels des organisations
 Faire preuve de gouverner, développer
une culture d’entreprise basée sur
l’éthique
 Regagner ou conserver la confiance du public

 Démontrer une orientation claire et élaborer des
stratégies solides

 Être capable de gérer les risques

 Demeurer à jour à l’égard de la technologie
86

 Protéger voire développer le savoir qui assure l’avenir
 L’éthique
 Tirée du mot grec «ethos» qui signifie « manière de vivre », l'éthique est une branche
de la philosophie qui s'intéresse aux comportements humains et, plus précisément, à
la conduite des individus en société. L'éthique fait l'examen de la justification
rationnelle de nos jugements moraux,

 L’éthique s’appuie donc sur la morale et fait référence à des valeurs telles que la
morale, certes, mais aussi la sagesse, le plaisir, le souverain bien, l’harmonie
intérieure, la connaissance, l’accord avec la nature et avec Dieu.

 L'éthique établit les critères pour juger si une action est bonne ou mauvaise et pour
juger les motifs et les conséquences d'un acte ».

 La morale est l’ensemble de nos devoirs- l’ensemble des obligations ou des interdits
que nous nous imposons à nous-mêmes, indépendamment de toute récompense ou
sanction attendue, et même de toute espérance. C’est l’ensemble de ce qui vaut ou
s’impose, pour une conscience donnée, inconditionnellement.
 La mondialisation éloigne la DG du
terrain de jeu opérationnel

Comment assurer l’efficacité du contrôle et sur quel type de
risque ?

DG
DG

88
Comment faire face?
la gouverne est ce qui doit servir de
règle de conduite dans une affaire

89
Les acteurs qui interviennent dans la mise en place la
Gouverne d’entreprise:
Éthique
Contrôle de gestion
Conseil d’administration
Comité d’audit
Direction
Mission Vision
Communication
 Audit interne
 Mettre en place la Gouverne d’entreprise

Éthique Contrôle
Conseil de gestion
d’administration
Mission Vision
Direction
Comité d’audit

Communication Audit interne

91
 Définition

La gouverne s’entend de l’exercice de l’autorité, de l’orientation et du
contrôle. Elle s’apparente au droit et à l’obligation d’établir les fins et les
principes régissant le fonctionnement d’une organisation et d’en structurer la
gestion en conséquence.

La gouverne traite des mesures qu’une organisation doit prendre; elle insiste
donc beaucoup sur la planification, sur l’établissement des buts et des
objectifs et sur l’élaboration des politiques pour guider l’organisation et suivre
la mise en œuvre des plans.

La gouverne se préoccupe des mesures qu’une organisation doit prendre, la
gestion traite de la façon dont elle les applique

9
2
La pensée stratégique comme « VISION »
MINTZBERG

En Haut

Au Delà

Derrière Devant A Travers

En Bas
A Coté
 La vision permet la bonne conduite avec tous les moyens du bord
Compteur de vitesse : Rétroviseur :
Indicateur de Analyses de
performances. performances sur les
& actions terminées.
Jauge d’essence :
Indicateur de S’assurer qu’aucun
ressources. acteur n’a été perdu
tout au long des
Volant : projets.
Outil de pilotage pour
aller vers les objectifs
définis. Donne la possibilité Pare-brise :
au manager de recadrer les équipes Vision sur les objectifs
(métiers / techniques) pour fixés via des indicateurs
les remettre sur le droit chemin. Imprime la de tendances
trajectoire de l’entreprise vers ses objectifs.
Frein : Levier de vitesses :
Accélérateur :
Prévient le risque, élément Maîtrise des activités des
Contrôle du rendement de
Anticipateur s’il est bien Utilisé, métiers. Contrôle la vie de
l’organisation et l’avancement
élément perturbateur dans le cas l’organisation.
du projet.
inverse
Embrayage : Cadence et rythme la vie de
Elément de synchronisation l’organisation.
 La solution
 C’est donc la gestion globale de l’entreprise

 La gestion intégrée de l’entreprise

 L’optimisation des ressources

 L’imputabilité des administrateurs, gestionnaires et employés de l’entreprise

9
5
 Des administrateurs de qualité

 Honnêtes, intègres
 Compétents
 Enthousiastes
 Manifestant un esprit d’équipe
 Esprit ouvert
 Goût de trouver des solutions
 Rationnels dans la prise de décision

9
6
 Des administrateurs de qualité
 Sens des affaires
 De bonne nature
 Capables de focus
 Capables d’évaluer les gens
 Humbles
 Disponibles
 Courageux
 Curieux
 Capables d’écoute

9
7
 Des gestionnaires de qualité

 Un peu de tout ce qui précède

 Sens de l’éthique

 Des connaissances pertinentes

 Capables de communiquer

 Dédiés à l’entreprise sans complaisance

 Transparents, responsables

 Visionnaires capables de pro action

 S’améliorent continuellement
9
8
 Un ou Une PDG qui:

 Détermine et contrôle, de concert avec le C.A l’orientation stratégique
de l’entreprise
 Établi et met à exécution les stratégies et politiques
 Établi la structure, les plans et les budgets nécessaires à la rencontre
des objectifs ( en collégialité )
 Dirige les activités et les processus
 Supervise le recrutement la rémunération, la formation, la relève des
ressources humaines
 S’assure de l’optimisation des ressources
 Veille au respect des politiques, à l’éthique, et à la conformité légale des
activités
 Est à l’affût des tendance qui peuvent influencer les activités de
l’entrepris
 Un conseil d’administration qui:

 Assume la supervision de l’organisme
Comprend les enjeux, les tendances, les grandes orientations, les

stratégies, les risques, les systèmes, les mesures de contrôle interne,
l’impact des lois ainsi les pratiques de gouverne de vérification et de
comptabilité.
 Se prépare en vue de chaque assemblée
 Compte sur la participation systématique de ses membres.
 Possède un code d’éthique
 Délibère et prend des décisions claires et inspirées
 Communique
1
0
0
 Un comité d’audit qui:

 Jouit d’une indépendance factuelle à l’égard du Conseil d’administration
et de la direction
 Expérimenté
 Habile en systèmes et en finance
 Supervise le processus de vérification et l’intégrité des rapports
financiers
 Fait le lien entre l’auditeur interne et l’auditeur externe
 S’assure de l’indépendance des auditeurs, la protège continuellement
 Supporte la crédibilité et l’objectivité des informations financières et de
la qualité des systèmes qui les supportent

1
0
1
 Le contrôle interne contribue
directement au gouvernement
d’entreprise

Gouvernement
d'Entreprise

Créer/rétablir
le « chaînon manquant"

Activités de
contrôle
1
0
2
 Contrôle Interne et Gouvernance

 Le conseil d’administration organise la tutelle de l’Organisation par
l’intermédiaire de plusieurs comités spécialisés dont le comité d’audit,
chargés d’exercer des contrôles.

 En dehors du contrôle précis des comptes, le comité d’audit cherche souvent
à évaluer le niveau de contrôle interne de l’Organisation, au travers
notamment:

 de l’analyse des risques;
 du programme d’audit;
 du bilan des activités d’audit.
1
0
3
 Contrôle Interne et Gouvernance

 dirigeants d’entreprise cotées sont tenus d’établir et entretenir des
Lescontrôles internes adéquats à la maîtrise de leurs activités et pour
une meilleure transparence.
 Le management est tenu d’évaluer la performance des contrôles internes.

 Lors du rapport annuel, la Direction et le CAC doivent attester que le système
de ce CI et de gestion d’information financière de l’entreprise est efficace.

 La publication du rapport annuel sur l’appréciation du CI par les dirigeants
donne une vision plus claire du présent et de l’avenir de la société.

1
0
4
5. Contrôle interne et Gestion des Risques ou
le référentiel COSO 2

10
5
 Définition
 « Le CI est le processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une
organisation, destiné à fournir une assurance raisonnable
quant aux objectifs fixés.
Les objectifs fixés sont les suivants :
 la réalisation et l’optimisation des opérations,
 la fiabilité des opérations financières,
 la conformité aux lois et aux réglementations en vigueur »

COSO (Committee Of Sponsoring Organizations) publié en 1992
1
0
6
Les acteurs du contrôle interne
Direction Direction
Financière Informatique

Risk
Audit Interne Management
Direction
Compliance
Générale
Directions
Opérationnelles

Dispositif de contrôle interne

Fiabiliser Renforcer la
l‘info financière gouvernance

Enjeux
Optimiser Maîtriser les
les processus risques

Prévenir Clarifier les
la fraude responsabilités
 Principes fondamentaux du
contrôle interne
 Le contrôle interne prend appui sur des principes
fondamentaux:
 Organisation;
 Séparation des fonctions;
 Autocontrôle;
 Bonne information;
 Qualité du personnel;
 Harmonie;
 Universalité;
 Indépendance;
 Permanence. 1
0
8
 Pourquoi mettre en place un management
des risques de l’entreprise ?

Aligner et intégrer Construire la
Réduire la variabilité les vues confiance des
non maîtrisée des différentes sur les investisseurs
risques et leur et des parties
résultats gestion
prenante
s

Répondre avec Aligner la
Renforcer la
succès aux stratégie avec
corporate
changements de la culture de
governance
l’environnement l’entreprise

1
0
9
 Définition de la gestion des
risques
 Selon le COSO II, le management des risques traite des risques et des
opportunités ayant une incidence sur la création ou la préservation
de la valeur. Il se définit comme suit :

Le management des risques est un processus mis en œuvre par le
conseil d'administration, la direction générale, le management et
l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'élaboration de la stratégie ainsi que dans
toutes les activités de l'organisation. Il est conçu pour identifier les
événements potentiels susceptibles d'affecter l'organisation et pour
gérer les risques dans les limites de son appétence pour le risque*. Il
vise à fournir une assurance raisonnable quant à l'atteinte des objectifs
de l'organisation. 1
1
0
* Appétence au risque : niveau de risque souhaité pour atteindre les objectifs de l’entreprise
 Définition de la gestion des risques

 Processus : continu et transversal à l’organisation
 Élaboration de la stratégie : anticiper plutôt que réagir
 Toutes les activités de l’entreprise : implique des changements
dans l’organisation et le comportement des gens
 Appétence pour le risque : définir ce qui acceptable et ce qui ne l’est
pas, préalable à l’élaboration de la stratégie
 Atteinte des objectifs de l’organisation : comprendre les objectifs permet de
comprendre les risques que l’entreprise choisit de prendre et ceux qu’elle décide
d’éviter 1
1
1
 Le cube COSO
Pilotage
l
Suivre l’ensemble du eÉvaluation des R isques Activités de contrôle
n n t
i é
processus, l’adapter le cas o e
tiac m r 2 Élaborer les normes
ré n fCoontrôle 1 évti
o

Activité
p Aa
n
i ctivités de
n
échéant F et procédures de

Activité 1
O C éi t
t i c contrôle
v A
Pilotage B cti

2
Pilotage Appliquer ces normes

Unité B
Information et A nté A et procédures
Information et i

Unité A
Communication étU
i
n
Activités de Contrôle U

Évaluation des Risques
Evaluation des risques
Information et Communication Environnement de
Contrôle Avoir conscience des risques
S’assurer que les systèmes et les maîtriser
d’information et de communication
Fixer des objectifs et les
permettent au personnel de
intégrer aux activités (
recueillir et échanger les Environment de contrôle commerciales, financières,
informations nécessaires à la
conduite, à la gestion et au contrôle Définir l’environnement dans lequel de production, de
les personnes accomplissent leurs marketing...)
des opérations
tâches Instaurer des mécanismes
S’assurer des qualités individuelles permettant d’identifier,
des collaborateurs et surtout leur analyser et gérer les risques
intégrité, leur éthique et leur correspondants 11
compétence 2
Les référentiels de contrôle interne

COSO
Qu’est-ce que le COSO?
– En 1985, aux Etats-Unis, la «Treadway Commission »
constitue un groupe de travail réunissant des représentants
de grandes entreprises, de cabinets d’audit et des membres
de l’IIA (Institute of Internal Auditors) et l’AICPA (American
Institute of Certified Public Accountants). En découle en
1992 une étude devenue référentielle «Internal Control
Framework», plus connue sous le nom de «COSO Report»
(«Committee of Sponsoring Organizations of the Treadway
Commission».
Les grands principes du COSO
– Le contrôle interne est un processus : c’est un moyen, pas
une fin ; il ne se cantonne pas à un recueil de procédures
mais nécessite l’implication de tous à chaque niveau de
l’organisation.
– Le contrôle interne doit procurer l’assurance raisonnable
(mais non absolue) d’un management et d’une direction
respectueuse des lois.
– Le contrôle interne est adapté à la réalisation effective des
objectifs.
 Définition de la
gestion des risques
n
o
l
neÉvaluation des Risques
e ité
it c m
n r

Activité 2
a o 2
ér nac tivité s d enfC o n trô le 1 ti

Activité 1
A
i é
p
O F Co é vi
Pilotage t it c

Unité B
v
Pilotage
Inform ation et Unité A
B cti A
ComInform ation et
m unication A nté A
i
Com m unication ét U
Activités de Contrôle i
n
Activités de Contrôle U
Évaluation des Risques
Évaluation
Environnem des ent
Risquesde
Contrôleent de
Environnem
Contrôle

*Le référentiel COSO 1 a été complété en 2004 par le
COSO 2 « Entreprise Risk Management ERM »
1
1
4
Les référentiels de contrôle interne

De COSO au COSO 2
Qu’est-ce que le COSO2?
– En 2004, la commission élargit le périmètre de ses réflexions et élabore un
nouveau référentiel COSO 2 qui est axé davantage sur le processus de
management des risques en entreprise. On se soucie désormais du degré
de méthodologie et de formalisme du management des risques.
– En effet, cette tendance peut s’expliquer par deux facteurs :
- D’une part, l’évolution d’un contexte économique de plus en plus risqué
pousse les entreprises à se munir d’un processus de maitrise de
risque efficace.
- D’autre part, suite aux scandales financiers, l’apparition d’un renforcement
de la gouvernance d’entreprise entraine une surveillance accrue des comités
d’administration et une transparence de la part des dirigeants.
De nouveaux objectifs:
– Identifier les événements potentiels pouvant affecter l’organisation,
– Maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite
(appétence au risque)» de l’organisation,
– Fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.

 Les référentiels de contrôle interne

COSO 1 et COSO 2 : Quels changements?
 Les référentiels de contrôle interne

Le cube COSO 2
Des objectifs transversaux
– Le dispositif COSO 2 de management des risques est intégré au processus de management global de
l’organisation. Ainsi il sert à la fois les objectifs stratégiques, opérationnels, de reporting et de conformité.

Le risque est la possibilité qu’un évènement survienne et nuise
à l’atteinte des objectifs.
L’organisation constitue une stratégie de management du risque selon son degrés d’appétence au risque. Il s’agit du
niveau de risque global auquel l’organisation accepte de faire face, en cohérence avec ses objectifs de création de valeur.
Il reflète sa conception en matière de contrôle interne et influence son approche opérationnelle.

Le dispositif de management des risques du COSO 2 comprend 8 étapes (strates du cube) :
– L’environnement interne de contrôle
– La définition des objectifs
– L’identifcation des évenements
– L’évaluation des risques
– Le traitement des risques
– Les activités de contrôle

– L’information et communication
– Le Pilotage
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2

L’environnement de contrôle interne

– L’environnement interne comprend notamment la culture du risque (l’appétence pour le risque), l’exemplarité
des dirigeants, la culture d’intégrité, la structure organisationnelle. Il est le fondement sur lequel s’appuie tous
les autres éléments du dispositif de management des risques.

– Dans ce sens, l’environnement interne exerce une influence sur :
La façon dont les activités sont structurées et les risques identifiés, évalués et gérés.
La conception et le fonctionnement des activités de contrôle
Les systèmes d’information et de communications

Le suivi des opérations
– L’impact d’un environnement interne inefficace peut être l’altération de l’image de marque mais aussi des
pertes financières. Pour limiter cet impact ou risque, le COSO 2 conseille une définition rigoureuse des
objectifs du management des risques.
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2

La définition des objectifs
– Le cadre COSO 2 a pour ambition d’aider les entreprises à définir des objectifs au niveau
global de l’organisation et au niveau plus détaillé des activités afin d’identifier les facteurs clés
de succès. Ainsi, la direction définit les objectifs stratégiques, choisit la stratégie pour les
atteindre et décline la stratégie en différents types d’objectifs :
Opérationnels
Reporting
Conformité.
Stratégiques
– Les objectifs doivent être clairs, intelligibles et mesurables
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2
L’identification des évènements
– L’identification de tous les évènements
importants doit se faire de manière
objective et indépendante.
Un évènement est un incident ou une occurrence, d’origine
interne ou externe , qui affecte la mise en œuvre ou
l’atteinte des objectifs.

– L’identification des évènements couvre
à la fois le passé et le futur
Les techniques centrées sur les faits et tendances passées permettant de
constituer une base de données d’évènements et leur conséquences réelles.
Les techniques orientées vers le futur qui cherchent à anticiper les risques.
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2
L’évaluation des risques
– Une fois les évènements identifiés, le cadre COSO 2, évalue le risque
associé. Cela consiste à en apprécier la gravité estimée sur la base de la
matrice probabilité d’occurrence x impact.
– Ce risque évalué peut être classé
Risque inhérent est défini comme étant le risque auquel une entité est exposée en l’absence de mesures correctives pour en modifier la probabilité
Risque résiduel est le risque auquel l’entité reste exposée malgré la prise en compte du risque
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2
Le traitement des risques :
– Le cadre COSO 2 retient 4 types de traitement
Le partage : externalisation ou sous-traitance en vue de couvrir le risque et
diminuer sa probabilité d’occurrence.
L’acceptation : lorsque le risque inhérent se situe déjà au niveau de la tolérance au
risque, la solution consiste à n’engager aucun cout spécifique supplémentaire.
L’évitement qui consiste à céder ou arrêter les activités génératrices de risques
La réduction qui consiste à mettre en place de nouvelles procédures en vue de
réduire la probabilité d’occurrence.
 Les référentiels de contrôle interne

Les 7 étapes du cube COSO 2
Les activités de contrôle
– Les activités de contrôle sont constituées des politiques et des procédures
qui permettent de s’assurer que les traitements des risques fonctionnent et
que les activités se déroulent sous contrôle.
– Il existe différents types de contrôle :
Les contrôles préventifs / détectifs
Les contrôles manuels / informatisés

– Les contrôles peuvent se présenter sous différentes formes :
Les contrôles hiérarchiques
La revue de la direction
Le reporting
La supervision directe
L’utilisation d’indicateurs
 Les référentiels de contrôle interne

Les 8 étapes du cube COSO 2
Le Pilotage
– Les activités de pilotage sont réalisées de 4 manières
Le pilotage continu c’est-à-dire courant : il s’intègre dans les activités courantes et fait partie des activités habituelles Il
repose principalement sur l’observation des éventuels dysfonctionnements.

L’évaluation spécifique périodique : elle porte principalement sur les personnes qui s’occupent de la gestion du risque (
auto évaluation, audit interne)

Un reporting sur les défaillances internes communiqué régulièrement aux supérieurs hiérarchiques.

Suivi des actions correctrices en vue d’une amélioration continue
 Définition de la gestion des
risques
 Le contrôle interne fait partie intégrante du management des risques.
 Le management des risques élargit la notion de contrôle interne tout en
s’appuyant sur celui-ci pour former un concept plus solide, axé
davantage sur le risque.
 référentiels de CI et de management des risques (MR)
Les prévoit
pareillement 3 catégories d’objectifs avec un 4ème objectif pour le RMR.
 Au sein du référentiel de CI, la catégorie concernant l’information
financière est définie comme la fiabilité des états financiers publiés
 Dans le cadre du référentiel de MR, la catégorie concernant le reporting
est plus large puisqu’elle englobe tous les rapports produits par une
1
Organisation en interne comme en externe. 2
5
 Définition de la gestion des
risques

 Introduction dans le référentiel de MR des concepts d’appétence
pour le risque et de tolérance au risque

Appétence pour le risque: c’est le niveau de risque qu’une
Organisation est prête à accepter dans le cadre de sa mission et de
sa vision.
Il sert de point de repère dans le cadre de la détermination
de la stratégie et des objectifs qui y sont associés

La tolérance au risque: c’est le niveau de variation acceptable 1
dans la réalisation d’un objectif 2
6
 Définition de la gestion des risques

 Au sein des deux référentiels, l’identification du risque est considérée au
regard de l’impact potentiel d’un risque sur l’atteinte d’un objectif.

 Cette identification s’appuie sur un ensemble de techniques qui
prennent en compte les données historiques, les tendances à venir
ainsi que les facteurs qui provoquent les événements.

 Les deux référentiels exigent une évaluation des risques à la fois en
termes de probabilité d’occurrence et d’impact potentiel.

1
2
7
Qu’est ce que le
Risque ?
Un risque est la possibilité que produise un évènement
aléatoire susceptible de compromettre plus ou moins gravement
la réussite d’un projet.
Le risque de perte peut résulter de procédures internes
inadéquates ou défaillantes, de personnes et systèmes ou
d’événements extérieurs.
Le risque est multidimensionnel: le risque opérationnel, le
risque commercial, de réputation, fiscal, comptable, le risque
politique, le risque juridique, etc.

1
2
8
 Attention: un risque n’est pas un problème

 Un risque:
 peut se concrétiser ou non
 devient un problème lorsque la défaillance se produit effectivement
 doit être abordé préventivement, en cherchant les mesures permettant de limiter la menace
qu’il représente.
 Un problème:
 Est un écart constaté entre une situation réelle et une situation souhaitée (exemple: un
nouveau logiciel est mal utilisé)
 Peut ou non avoir été identifié comme un risque avant de se poser (compétences des
utilisateurs)
 Est traité après s’être déclaré, en élaborant un plan d’action pour éliminer l’écart gênant
(formation des utilisateurs)

1
2
9
Variétés, Complexité , Sophistication des risques

Sophistication Sophistication
Globalisation
des produits des process

Risques de plus en plus complexes et
diversifiés

Qui concernent toutes les activités de
l’entreprise

1
3
Préoccupation des auditeurs 0
L’approche systémique

 L’entreprise comme tout système est caractérisée par le
fait qu’elle :
échange avec son milieu des flux
est constituée d’un ensemble d’éléments en interaction
orientés vers la raison d’être du système, son but.
met en œuvre ses ressources pour produire sur les flux
d’entrée les changements prévus
a pour objectif de générer un produit ou service qui est le
résultat de la transformation des flux d’entrée en ouput,
se pilote en intervenant sur des variables d’action, qui
permettent le guidage du dispositif vers la réalisation de ses
objectifs,
dispose d’un dispositif d’information renseignant sur l’état du
système
L’approche systémique

La gestion des risques doit être à la fois globale et
intégrée.
Globale car elle concerne toute l’organisation et
tous ses Stakeholders
Intégrée car elle doit correspondre à la réalité de
l’entreprise caractérisée par son organisation, ses
activités, ses processus, son économie nationale
ainsi que son environnement culturel

1
3
2
L’approche systémique

INTERVENANTS DANS LA GESTION DES
RISQUES
1. Régulateurs
8. Investisseurs Institutionnels 2. Direction Générale

7. Analystes 3. Risk Management

6. Agences de Notation 4. Auditeurs

5. Assureurs 1
3
3
 L’approche systémique
Risques opérationnels
panne des machines
augmentation des défauts dans les
produits
destruction d ’une usine par les
Risques du marché de intempéries
Risques liés à la production
consommation stocks obsolètes
augmentation du prix des
perte de clients achats
obsolescence des produits grèves
augmentation de la concurrence démission des meilleurs
diminution de la Risques fiscaux
collaborateurs
demande Risque faillite
augmentation
d ’un fournisseur
de l ’impôt sur le
revenu
Risques financiers
modification du coût du capital
global augmentation des taxes sur les
variation des taux de change ventes
inflation augmentation de la
violation d ’une disposition taxe professionnelle
Risques réglementaires
contractuelle modification de la législation
cessation de paiement
sur l ’environnement
modification de l ’encadrement
Risques légaux des prix
responsabilité pour les produits fin de la protection des importations
restriction des
Source: Les échos « l’art de la gestion des
échanges
risques » commerciaux 85
poursuites contre les actionnaires
L’approche systémique

Le processus IVTS
Ces questionnements justifient le recours à
l’approche moderne, et ce en 4 étapes :
Première étape : l’identification des risques (I)
Deuxième étape : l’évaluation des risques suivie de
leur hiérarchisation (V)
Troisième étape : le traitement des risques (T)
Quatrième étape : le suivi des risques par le
reporting et le contrôle des actions (S)
L’Identification des risques
Identifier un risque ou un objet de risque
reviendra à :
1. la localisation de sa source, c’est-à-dire de
l’activité génératrice du risque,
2. la connaissance des causes,
3. l’évaluation des conséquences et
4. la connaissance des différents scénarios
L’Identification des risques
L’identification des risques peut se mener de
plusieurs façons :
par les ressources affectées,
par les objets de risques,
par les centres,
par les processus,
par les conséquences,
par les causes.
L’Evaluation des risques

Pour chaque risque identifié, on associera une situation
et une cause.
La situation correspond à l’état précurseur du
sinistre. Sinistre qui ne se produira que si un
événement extérieur entre en jeu.
Cet élément n’est autre que la cause.
La situation conditionnera la gravité du dommage.
La cause déterminera la probabilité de survenance.
 La cartographie des risques

 C’est un mode de représentation et de hiérarchisation des risques
d’une Organisation.

 Les risques identifiés se voient attribuer deux caractéristiques
(probabilité et gravité) qui permettent de les situer sur une carte.

 C’est un outil de pilotage des risques et un moyen de communication
sur les risques.

90
La Cartographie des risques

SURVENANCE

Fréquent

Occasionnel

Rare

Improbable
GRAVITE
Négligeable Marginal Critique Catastrophique
 La Cartographie des risques
Classification des Risques

SURVENANCE

Fréquent RISQUES DE
FREQUENCE RISQUES
Occasionnel
MAJEURS

Rare
RISQUES
RISQUES DE
Improbable MINEURS GRAVITE
GRAVITE
Négligeable Marginal Critique Catastrophique
L’Acceptabilité des risques
Limite d’acceptabilité:Risques Acceptables vs Risques Inacceptables

SURVENANCE

Fréquent RISQUES

Occasionnel INACCEPTABLES

Rare
RISQUES

Improbable ACCEPTABLES
GRAVITE
Négligeable Marginal Critique Catastrophique
Le Traitement des risques
Après avoir été identifiés et évalués, les risques
inacceptables doivent être traités
 Prévention: les actions entreprises réduisent la
survenance ( objets aggravants le risque)
on agit sur les causes
Protection: la gravité du dommage est réduite
suite au respect de certaines mesures (sprinklers,
détecteurs de fumée, programme de formation en
faveur des a