Chapitre II : l’audit interne et le management des risques: Concept et définiti

I. L’audit interne

A. Définition de l’audit interne

B. Les finalités de l’audit interne
C. Les moyens de l’audit interne
D. Les outils de l’audit interne

II. Le contrôle interne

A. Définition
B. Le système de contrôle interne de la trésorerie

III. Le management des risques

A. Généralités sur le management des risques

1. Définition
2. Eléments du dispositif de management des risques
3. Relation entre objectifs de l’organisation et éléments du
management des risques
4. Efficacité et limites du management des risques

B. Notion de risque

1. Définition
2. Classification des risques
3. Maitrise des risques
4. Les risques relatifs à la trésorerie

Chapitre III : Cartographie de risques et référentiel d’audit

I. La cartographie de risques

A. Définition
B. Objectifs et utilisateurs
C. Processus d’élaboration d’une cartographie de risque
D. Utilité de la cartographie de risques dans l’audit interne.

II. Le référentiel d’audit

A. Définitions
B. Objectifs
C. Les apports du référentiel d’audit
 Chapitre II : L’audit interne et le management
des risques: Concept et définitions

I. L’audit interne
A. Définition

L’audit interne est une activité d’assistance et conseil à la gestion qui a

beaucoup évolué depuis la seconde guerre mondiale. Autrefois cantonnéaux
questions comptables, l’Audit Interne touche aujourd’hui toutes
les activités de
l’entreprise et assure par conséquent une grande variété de services d’audit et de
conseil.
De simple point de vue du vocabulaire, observons que le terme « Audit
Interne » trouve sa définition dans les mots :
 Audit qui, fidèle à sa racine latine (Audio, Audire : écouter), montre la réelle
définition d’écoute de la fonction. Son caractère générique est naturellement
employé pour tout ce qui constitue une analyse et une opinion sur une
situation.
 Interne car l‘audit est ici exercé par du personnel de l’entreprise. Il
s’oppose ainsi à « externe » relevant d’intervenants extérieurs.

Selon le code de déontologie de l’Institut de l’Audit Interne « The IIA » l’Audit

Interne est défini comme suit :
« L’audit Interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de managementdes risques, de contrôle et de
gouvernement d’entreprise, et en faisant des propositions pour renforcer leur
efficacité . »
 L’audit interne vise l’atteinte de trois objectifs :
 Evaluer le contrôle interne : l’audit est tenu d’identifier les risques relatifs auxx
dispositifs de contrôle interne mis en place et proposer des actions pour les
maîtriser.
 Apporter une valeur ajoutée aux unités auditées tout en concourant à l’intérêt
général de l’entreprise.
 Obtenir le changement c’est-à-dire une amélioration réelle de la situation
actuelle. L’auditeur n’est pas seul responsable de la réussite du changement,
mais ne peut ignorer sa part de responsabilité.

B. Les finalités de l’audit interne

L’audit interne vise l’atteinte de trois finalités :

 Evaluer le contrôle interne : l’audit est tenu d’identifier les risques relatifs auxx
dispositifs de contrôle interne mis en place et proposer des actions pour les
maîtriser.
 Apporter une valeur ajoutée aux unités auditées tout en concourant à l’intérêt
général de l’entreprise.
 Obtenir le changement c’est-à-dire une amélioration réelle de la situation
actuelle. L’auditeur n’est pas seul responsable de la réussite du changement,
mais ne peut ignorer sa part de responsabilité.

C. Les normes de l’audit interne

Les nouvelles normes de l’audit interne impliquent une responsabilité accrue

des auditeurs dans l’évaluation du processus de management des risques ainsi que
dans l’efficacité d’un tel processus. Ces nouvelles normes partent du postulat que le
processus de management des risques peut et doit être évalué comme tout autre
processus de l’organisation, important sur le plan stratégique. Dorénavant il attendu
des auditeurs internes qu’ils anticipent les problèmes et risques significatifs encours
par l’organisation. L’audit interne doit accroitre sa capacité à tourner son regard vers
l’extérieur de l’entrepris, son environnement, ses marchés. Audit interne ne signifie
pas audit autocentré sur les opérations internes.
Toutefois, il est essentiel de garder à l’esprit que l’auditeur interne n’est pas
responsable du processus de management des risques, pas plus que des autres
processus.
Comme il incombe au conseil d’administration et au comité d’audit de veiller
à ce que des processus de management des risques appropriés et efficaces soient en
place, il est attendu que l’audit interne évalue ce dispositif.

D. Les moyens de l’audit interne

Les moyens utilisés par les auditeurs internes peuvent être considérés comme
des démarches logiques qui vont s’inscrire tout naturellementdans le cadre
méthodologique.
Les questionnaires:
 Le questionnaire de prise de connaissance
Ce document est essentiellement utilisé au cours de la phase de « prise de
connaissance » de la mission. Il va permettre la collecte des informations dont la
connaissance est nécessaire à l’auditeur :
 Pour bien définir le champ d’application de sa mission,
 Pour prévoir en conséquence l’organisation du travail et en particulier en
mesurer l’importance,
 Pour préparer l’élaboration des questionnaires de contrôle interne.

 Le questionnaire de contrôle interne

Une liste de questions auxquelles l’auditeur répond par OUI ou par NON
(ou non applicable) afin de porter un diagnostic par simples lectures des réponses.
 Les FRAP:
La Feuille de Révélation et d’Analyse de Problème se présente comme un
document normalisé, qui va conduire le raisonnement de l’auditeur à seule fin de
l’amener à formuler une recommandation.

E. Les outils de l’audit interne

Ces outils sont nombreux, variés et évolutifs. Ils peuvent être classés dans
deux catégories
 Les outils d’interrogation.
 Les outils de description
Les outils d’interrogation :
Les outils d’interrogation aident l’auditeur à formuler des questions ou à
répondre à des questions particulières qu’il se pose. Les plus utilisés sont les
suivants :
 Les interviews ;
 Les vérifications et les rapprochements ;
 Les sondages statistiques ;
 L’analyse causale ;
 Le Questionnaire de Contrôle Interne
 Les interviews
L’interview est un outil que l’auditeur interne utilise fréquemment, mais une
mission d’audit qui ne serait opérée qu’avec des interviews ne pourrait être
considérée comme une mission d’audit interne. De surcroît, l’interview d’audit
interne ne saurait être confondue avec des techniques d’apparence similaire : ce n’est
ni une conversation, ni un interrogatoire.
L’auditeur doit veiller à assurer une bonne interview. Pour le faire, il faut qu’il
respecte les règles citées ci-dessous,qui s’inspirent du nécessaireesprit de
collaboration qui doit s’instaurer entre audité et auditeur :
Respecter la voie hiérarchique surtout quand il s’agit d’une interview qui n’a
pas été programmée au cours de la réunion de lancement de la mission.
 Rappeler clairement la mission et ses objectifs. Il s’agit là du respect du
principe de transparence qui gouverne toute mission d’audit.
 Evoquer, avant toute autre chose, les difficultés, les points faibles, les
anomalies rencontrées. En d’autres termes, on situe d’entrée de jeu le dialogue
au niveau de connaissance où se situe l’auditeur dans le déroulement de sa
mission en rappelant le résultat de ses toutes dernières investigations. Du
même coup, on évite toute digression laudative, telle que l’on peut en
rencontrer dans la narration.
 adhérer aux conclusions de l’interview, Cette règle est la contrepartie
logique de la première : les conclusions de l’interview, résumées avec
l’interlocuteur, doivent recueillir son adhésion avant d’être communiquées
sous quelque forme que ce soit à sa hiérarchie. Rien ne serait plus négatif que le
résultat d’une interview communiqué en confidence à la hiérarchie alors que
l’intéressé n’a pas encore véritablement donné son aval sur les conclusions à
tirer de ses propos.
 Conserver l’approche système, en vertu de ce principe que l’auditeur ne
s’intéresse pas aux hommes. On doit donc se garder de toute question ayant un
caractère subjectif et mettant en cause les personnes. Pour une interview
constructive, cette optique doit également être celle de l’interviewé : l’auditeur
n’hésite pas à le ramener dans le droit chemin si d’aventure – et ce n’est pas
exceptionnel– ce dernier dérive dans ses réponses sur des questions de
personnes
 Savoir écouter, chacun sait que ce n’est pas facile. L’auditeur doit éviter d’être
celui qui parle plus qu’il n’écoute ; or le premier exercice est plus facile – et
plus agréable – que le second. Dans cette écoute l’auditeur doit savoir être
néanmoins un « faciliteur », pratiquer d’instinct la maïeutique de SOCRATE et
conduire l’entretien pour le maintenir sur les rails. Il y a là un subtil équilibre à
trouver entre le « savoir écouter » et le « ne rien dire ». L’auditeur aura tout
intérêt à suivre à cette fin une formation sur « l’écoute active ».
  L’auditeur qui procède à une interview doit considérer son interlocuteur
comme un égal. Non pas un égal au sens hiérarchique du terme, mais un égal
dans la conduite du dialogue.
Dans le respect de ces principes, l’interview d’audit se déroule normalement
en 4 étapes :
 Préparation de l’interview : il s’agit à ce stade de définir au préalable le sujet
de l’interview, de connaître la personne à interviewer, d’élaborer les questions
et de prendre rendez-vous-même si l’entrevue a été prévue lors de la réunion
de lancement.

 Début de l’interview : il faut commencer parse présenteret préciser la

techniquequi sera utilisée. L’auditeur devra égalements’adapterà son
interlocuteur et bien observer ses attitudes.

 Les questions : pour obtenir l’information recherchée ; l’auditeur doit toujours

vérifier qu’il a bien compris la réponse de l’interlocuteur, il doit le laisser
s’exprimer mais il doit savoir ramener le propos sur le thème évoqué sans
bloquer le discours.

 La conclusion : l’auditeur doit procéder à une validation générale en résumant

les principaux points notés. Il doit demander s’il existe d’autres points à
aborder, d’autres personnes à interviewer ou d’autres documents à consulter.

 Les vérifications et les rapprochements :

Ce ne sont pas des outils à proprement parler mais plutôt des procédés et qui
sont utilisés par l’auditeur au cours de la phase de réalisation. Les auditeurs internes
n’y ont recours que pour s’assurer de la validité des opérations effectuées : toute
erreur donne lieu à une recherche causale
.

o Vérifications :

Elles ont extrêmement diverses : les plus nombreux sont les vérifications
arithmétiques. Signalons à ce propos les erreurs croissantes dues à la pratique des
tableurs. C’est pourquoi les auditeurs avisés utilisent des logiciels permettant de
vérifier la logique des tableurs.
 L’auditeur peut également avoir recours à des ratios mais à condition de
disposer d’un référentiel et des ordres de grandeurs lui permettant de faire des
comparaisons et déceler les déviations. Ajoutons la vérification de l’existence de
documents et la recherche d’indices.
o Rapprochements :

Les rapprochements constituent pour l’auditeur interne une technique de

validation : il confirme l’exactitude et l’authenticité d’une information dès l’instant
qu’elle provient de deux sources différents : c’est le cross control. Ces techniques sont
souvent riches d’enseignements, toute différence révélant une anomalie à en chercher
les causes et à redresser.
 Les sondages statistiques :
Le sondage statistique est une méthode qui permet, à partir d’un échantillon
prélevé de façon aléatoire dans une population de référence, d’extrapoler à la
population les observations faites sur l’échantillon.
Pour l’auditeur interne, le sondage statistique n’est pas une fin en soi. Il ne
s’agit pas seulementd’obtenir une information, mais égalementet surtout de
rechercher les causes du phénomène après en avoir mesuré l’ampleur.
L’auditeur interne va utiliser trois niveaux d’information statistique pour
mener son investigation :
 Premier niveau : les données élémentaires qu’il va, le plus souvent, trier pour
pouvoir en tirer soit des conclusions, soit des pistes d’observations.

 Deuxième niveau : les statistiques internes, élaborées par tous et en particulier

par le contrôle de gestion.

 Troisième niveau : l’échantillonnage statistique mis en œuvre par la technique

du sondage.

 L’analyse causale :
L’analyse causale bien conduite aboutit tout naturellement à l’examen des
dispositifs de contrôle interne. Lorsque l’auditeur identifie clairement et précisément
la cause, il perçoit l’usage efficace qu’il peut en faire, lorsqu’il s’agit d’énoncer la
recommandation.
Il s’agit d’une méthode simple et souvent utilisée : le diagramme d’Ishikawa
ou dit « d’arête de poisson ». Ce n’est qu’un simple moyen qui sous cinq vocables
commençant tous par un M (méthode des 5M) rappelle qu’il convient d’explorer les 5
domaines possibles dans lesquels sont susceptibles de se nicher les causes d’un
phénomène :
 Main-d’œuvre ;

 Milieu ;

 Matière ;

 Matériel ;

 Méthode.

Ces cinq points constituent les arêtes fondamentales conduisant à l’explication

du phénomène.

Donc il est essentiel de remonter à la cause ou aux causes du phénomène. Et

l’auditeur saura qu’il est parvenu au bout de son analyse lorsqu’il aura identifié la
défaillance d’un dispositif spécifique du contrôle interne.
L’auditeur interne trouve dans cette démarche la satisfaction de la découverte,
très vite il manie avec efficacité les techniques d’analyse les plus sophistiquées et
peut déceler, à partir d’un constat d’apparence bénigne, des insuffisances très graves
dans les dispositifs de contrôle interne et donc des faiblesses majeurs dans la maîtrise
des opérations.
C’est par de telles analyses, conduites au niveau le plus élémentaire, et à partir
des constats réels que l’auditeur interne va apporter au management une assistance
efficace dont la productivité dépasse largement le coût du temps passé.

 Le Questionnaire de contrôle Interne :

Le questionnaire est une grille d’analyse dont la finalité est de permettre à
l’auditeur d’apprécier le niveau et de porter un diagnostic sur le dispositif de
contrôle interne de l’entité ou de la fonction auditée. Il est composé d’une liste de
questions n’admettant en principe que les réponses « oui » ou « non » qui servent à
recenser les moyens mis en place pour atteindre les objectifs du contrôle interne.
Le questionnaire est bâti pour que les réponses négatives désignent les points
faibles du dispositif de contrôle interne, et que les réponses positives signalent les
points en théorie forts. L’exploitation du QCI consiste ensuite pour l’auditeur à
évaluer l’impact des « non » et à vérifier la réalité des « oui ».

Les outils de description

Les outils de description ne présupposent pas de questions particulières, mais
vont aider à mettre en relief les spécificités des situations rencontrées. Nous pouvons
citer :
 La grille d’analyse des tâches.
Elle va véritablement relierl’organigramme fonctionnel à l’organigramme
hiérarchique et justifier les analyses de postes. Tous ces documents reflétant une
situation à une date donnée, il en est de même de la grille d’analyse des
tâches, qui est la photographie à un instant T de la répartition du travail. Sa lecture
va permettre de déceler sans erreur possible les manquements à la séparation des
tâches et donc d’y porter remède. Elle permet également de faire le premier pas dans
l’analyse des charges de travail de chacun.

 Le diagramme de circulation.
 Si la grille d’analyse des tâches est statique, le diagramme de circulation est
dynamique : l’un est la photographie, l’autre le cinéma. Le diagramme de circulation,
ou flow-chart, permet de représenterla circulation des documents entre les
différentes fonctions et centres de responsabilité, d’indiquer leur origine et leur
destination et donc de donner une vision complète du cheminementdes
informations et de leurs supports. Cette méthode de schématisation remplace une
longue description et ses avantages l’emportent largement sur ses inconvénients.
 L’observation physique.
L’auditeur interne n’est pas quelqu’un qui reste dans son bureau : il
saisit toutes les occasions pour aller sur le terrain et pratiquer l’observation physique.
Aller « sur le terrain » ce peut être aller dans une usine, visiter un secteur
commercial… ou aller dans un autre bureau. Dans tous ces cas, il ne procède pas
seulement à des interviews, il va également observer. La pratique de
l’observation physique exige trois conditions :

 L’observation ne doit pas être clandestine.

 L’observation ne doit pas être ponctuelle.
 L’observation doit toujours être validée car elle est incertaine, sauf le cas où
elle est elle-même une validation.
 II. Le contrôle interne
A. Définition

Toute entreprise a pour but d’assurer, en fonction de ses moyens, l’atteinte des
objectifs qu’elle s’est fixé. Pour ce faire, elle doit mettre en place des dispositifs de
contrôle interne lui permettant la bonne maîtrise de ses activités et le respect des
procédures et règlement à tous les niveaux.
Les définitions du contrôle interne ont été nombreuses et ont eu le plus
souvent comme auteurs des organisations professionnelles financières et comptables.
Elles se sont modifiées au fur et à mesure que le temps et l’environnement de
l’entreprise ont évolué, et comme suit les définitions les plus pertinenteset
universelles et qui ont apporté une clarté sur le concept et les objectifs du contrôle
interne :

 Définition du contrôle interne selon l’ordre des experts comptables fran

(1977) :

« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de

l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre l’application des instructions de
la direction et de favoriser l’amélioration des performances. Il se manifeste par
l’organisation, les méthodes et les procédures de chacune des activités de
l’entreprise, pour maintenir la pérennité de celle-ci. »

 Définition du contrôle interne selon le COSO (1992) :

 « Le contrôle interne est un processus mis en œuvre par le conseil
d’Administration, les dirigeants et le personnel d’une organisation destiné à fournir
une assurance raisonnable que :
 Les opérations sont réalisées, sécurisées, optimisées et permettant ainsi
à l’organisation d’atteindre ses objectifs de base, de performance, de
rentabilité et de protection du patrimoine ;

 Les informations financières sont fiables ;

 Les lois, les réglementationset directives de l’organisation sont

respectées. »

Le contrôle interneest un processusintégré et dynamique qui s’adapte

constammentaux changementsauxquels une organisation est confrontée.Le
management et le personnel, à tous les niveaux, doivent être impliqués dans ce
processus afin de traiter les risques et fournir une assurance raisonnable quant à la
réalisation des missions de l’organisation et des objectifs généraux. Les définitions du
contrôle interne reposent sur certains concepts fondamentaux, à savoir :

 Le contrôle interne est un processus

Le contrôle interne constitue un moyen d’arriver à ses fins et non pas une fin
en soi. En effet, le contrôle interne n’est pas un événement isolé ou une circonstance
unique mais un ensemble d’actions qui se répandent à travers les activités de
l’entreprise. Ces actions sont perceptibles à tous les niveaux et sont inhérents à la
façon dont l’activité est générée.
Le contrôle interne ainsi défini est, par conséquent, différent de la description
qu’en font certains observateurs, qui le perçoivent comme une activité
supplémentaire d’une organisation ou comme un fardeau nécessaire. Le système de
contrôle interne fait partie intégrante des activités d’une organisation et est
particulièrement efficace lorsqu’il est intégré dans l’infrastructure et la culture de
l’organisation.
 Le contrôle interne doit être intégré et non superposé ? ce faisant, il devient
une partie intégrante des processus de gestion de base en matière de planification,
d’exécution et de vérification.

 Le contrôle interne est mis en œuvre par des personnes :

Le contrôle interne n’existe pas sans les personnes qui le font fonctionner. Il
naît des personnes qui composent l’organisation, à travers de ce qu’elles font et de ce
qu’elles disent. En conséquence, le fait que le contrôle interne soit suivi d’effets est
tributaire des personnes. Elles doivent connaître leur rôle et leurs responsabilités
ainsi que les limites de leur autorité. Quand on parle des personnes qui composent
l’organisation, on vise à la fois les responsables et les autres membres du personnel.
Si le management exerce en priorité un rôle de supervision, il arrête aussi les
objectifs de l’organisation et assume une responsabilité globale sur le système de
contrôle interne. Comme celui-ci contribue, de par les mécanismes qu’il suppose, à
une meilleure compréhension des risques qui menacent la réalisation des objectifs de
l’organisation, il appartient à la direction de mettre en place les activités de contrôle
interne, d’assurer leur suivi et de les évaluer.

 Le management et le conseil d’administration ne peuvent attendre du

contrôle interne qu’une assurance raisonnable et non une assurance
absolue

Le contrôle interne aussi bien conçu et aussi bien appliqué qu’il soit ne peut
offrir qu’une assurance raisonnable quant à la réalisation des objectifs de l’entité. La
probabilité d’atteindre ceux-ci est soumise aux limites inhérentes à tout le système de
contrôle interne.
La notion d’assuranceraisonnablecorrespond à un degré de confiance
satisfaisantpour un niveau de coûts, de bénéficeset de risques donné. La
détermination de ce degré d’assurance raisonnable est une affaire de jugement. Cet
exercice suppose que les responsablesidentifient les risques inhérentsà leurs
opérations, définissent les niveaux de risques acceptables en fonction de divers
scénarios et évaluent le risque tant en termes qualitatifs que quantitatifs.

- Le contrôle interne est axé sur la réalisation d’objectifs

Le contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs

domaines qui sont distincts mais qui se recoupent. Les objectifs peuvent être classés
en trois catégories :
o Opérationnelss’agissant
: de la réalisation et l’optimisation des
ressources de l’entreprise.

o Informationsfinancières s’agissant
: de la préparation des états
financières publiés fiables.
o Conformité : s’agissant du respect par l’organisation des lois et des
règlements en vigueur.

B. Les objectifs du contrôle interne

Le contrôle interne est un acte inhérent à tout acte de management et constitue

un préalable indispensable à la maîtrise et au développement des activités de
l’entreprise. De ce fait, il doit permettre à l’entreprise de garantir :

 La fiabilité, la qualité et la sécurité des informations

Les dispositifs du contrôle interne doivent assurer la fiabilité, la qualité et la

sécurité des informations à la fois financières et non financières utilisées pour la prise
de décision ou communiquées.
 La protection du patrimoine

Le contrôle interne a pour objectif, entre autres, de protéger les actifs de la

société contre toute éventuelle perte, notamment la fraude et la mauvaise utilisation.
Le terme patrimoine doit être pris au sens large : financier, hommes, images,
technologies, matériel, etc.
 Le respect des lois, règlements, politiques et directives de la direction
 Le contrôle interne doit assurer la conformité et la régularité de l’ensemble des
opérations et activités de l’entreprise par rapport aux lois et règlementations en
vigueurs.
Il doit aussi garantir le respect et l’application des directives par la direction
générale de l’entreprise.
 La régularité,l’optimisation
et l’efficacitédes opérationsainsi que
l’amélioration des performances

Pour que le contrôle interne soit efficace, les éléments du contrôle dans une
organisation doivent convenir à atteindre les objectifs fixés, à la fois les objectifs
généraux et spécifiques à chacune des activités ou fonctions de l’entreprise.
Le processus du contrôle interne permet d’identifier des insuffisances dans
l’organisation et dans l’exécution des différentes activités de l’entreprise. Ainsi,
l’analyse du processus met en évidence des tâches non effectuées, des activités
effectuées par des personnes ne disposant pas de la compétence requise ou des
informations nécessaires à l’accomplissement correct de ces tâches. Ces constatations
peuvent ainsi conduire à réorganiser certaines fonctions, et à automatiser certains
contrôles.

C. Les éléments de base de contrôle interne :

Le contrôle Interne est composé de cinq élémentsinterdépendantsqui

découlent de la façon dont l’activité est gérée et qui sont intégrés aux processus de
gestion :
 Environnement de contrôle

Les individus et l’environnement dans lequel ils opèrent sont l’essence même
de toute organisation. Ils en constituent le socle et le moteur. L’environnement de
contrôle reflète la culture d’une organisation puisqu’il détermine leniveau de
sensibilisation de son personnel au besoin de contrôle.
 L’environnement de contrôle constitue le fondement de toutes les autres
composantes du Contrôle Interne, en fournissant une discipline et une structure. Les
facteurs constitutifs de l’environnement de contrôle interne sont :
 L’intégrité tant personnelleque professionnelleet les valeurs éthiques des
responsables et du personnel ;
 L’engagement à un niveau de compétence ;
 Le style de management en l’occurrence, la philosophie des responsables et leur
manière d’opérer ;
 La structure de l’organisation ;
 Les politiques et pratiques en matière de ressources humaines.

 Evaluation des risques

L’entreprise doit être consciente des risques et doit mes maîtriser. Elle doit
également fixer des objectifs et les intégrer aux activités commerciales, financières, de
production, de marketing et autres, afin de fonctionner de façon harmonieuse. Elle
doit également instaurer des mécanismes permettant d’identifier, analyser et gérer
les risques correspondants.
L’évaluation des risques est le processus qui consiste à identifier et à analyser
les risques pertinents, susceptiblesd’affecter la réalisation des objectifs de
l’organisation et à déterminer la réponse à y apporter. Elle implique les éléments
suivants :
 Identification des risques.
 Analyse des risques.
 Evaluation du degré d’aversion au risque de l’organisation.
 Mise au point des réponses à y apporter.

Compte tenu de l’évolution permanente des données politiques, économiques,

industrielles, réglementaireset opérationnelles,l’évaluation des risques doit
constituer un processus continu et itératif. Cela implique d’identifier et d’analyser les
changements, les opportunités et les risques qui en découlent et de modifier les
dispositifs de contrôle interne pour l’adapter aux changements intervenus dans les
risques.
 Activités de contrôle :

Les normes et procédures de contrôle interne doivent être élaboréeset

appliquées pour s’assurer que les mesures identifiées par le management comme
nécessaire à la réduction des risques liés à la réalisation des objectifs sont exécutées.
Les activités de contrôle sont présentes à travers une série d’activités orientées
vers la détection et la prévention, aussi diverses que :
 Des procédures d’autorisation et d’approbation ;
 La séparation des fonctions (entre autorisation, traitement, enregistrement,
vérification) ;
 Les contrôles portant sur l’accès aux ressources et aux documents ;
 Les vérifications ;
 Les réconciliations ;
 Les analyses de performances opérationnelles ;
 Les analyses d’opérations, de processus et d’activités ;
 La supervision (affectation, analyse, approbation, directives et formation)
Les organisations doivent atteindre un équilibre adéquat entre les activités de
contrôle orientées vers la détection et celles qui visent la prévention.
Des actions correctives sont un complément indispensable aux activités de
contrôle en vue de la réalisation des objectifs.
 Information et communication :

Les systèmes d’information et de communication sont articulés autour des

activités de contrôle. Ils permettent au personnel de recueillir et échangerles
informations nécessaires à la conduite, à la gestion et au contrôle des opérations.
La première des conditions à l’obtention d’une information susceptible d’être
jugé fiable et pertinente,réside dans l’enregistrementrapide et le classement
convenable des transactions et des événements. L’information pertinente doit être
identifiée, recueillie et communiquéesous une forme et dans des délais qui
permettent au personnel de procéder aux activités de Contrôle Interne dont il a la
charge et d’assumer ses autres responsabilités. Dès lors, le système de contrôle
interne en tant que tel et l’ensemble des transactions et des événements importants
que l’organisation peut avoir à gérer, doivent faire l’objet d’une documentation
complète.
Les systèmes d’information produisent des rapports contenant des
informations opérationnelles,financières et non financières, ainsi que des
informations liées au respect des obligations légales et règlementaires qui permettent
de gérer et de contrôler les activités. Ils traitent non seulement les données produites
en interne, mais également l’information liée aux événements externes, aux activités
et aux conditions nécessaires à la prise de décisions et à l’établissement de rapports.
La capacité des responsablesà prendre les décisions appropriées est
conditionnée par la qualité de l’information ; il s’agit donc qu’elle soit adéquate,
disponible en temps opportun, à jour, exacte et accessible.
D’autre part, une communication efficace doit circuler de manière ascendante,
transversale et descendante dans l’organisation, dans toutes ses composantes et dans
l’ensemble de sa structure. Les plus hauts responsables de l’organisation doivent
transmettre un message clair à tous les membres du personnel sur l’importance des
responsabilités de chacun en matière de Contrôle Interne.

 Pilotage

L’ensemble du processus doit faire l’objet d’un suivi et des modifications

doivent y être apportées le cas échéant. Ainsi, le système peut réagir rapidement en
fonction du contexte. Les systèmes de contrôle interne doivent faire l’objet d’un suivi
destiné à en vérifier la qualité au fil du temps. Ce suivi peut s’opérer en combinant
les deux méthodes :
 Pilotage permanent : le pilotage ou le suivi permanent du contrôle interne
s’inscrit dans le cadre des activités d’exploitation courantes et récurrentes
d’une organisationet comprend des contrôles réguliers effectuéspar la
direction et le personnel d’encadrement, ainsi que d’autres actions effectuées
par le personnel dans le cadre même des tâches qu’il a à accomplir.
 Pilotage ponctuelle : les évaluations ponctuelles varieront en étendue et en
fréquence essentiellementen fonction de l’évaluationdes risques et de
l’efficacité des procédures de pilotage permanent. Les évaluations ponctuelles
portent sur l’efficacité du système de Contrôle Interne et garantissant que
celui-ci atteint les résultats attendus sur la base de méthodes et procédures.
 III. Le management des risques
A. Généralités sur le management des risques

L’incertitude est une donnée intrinsèque à la vie de toute organisation. Aussi

l’un des principaux défis pour la direction réside-t-il dans la détermination d’un
degré d’incertitude acceptableafin d’optimiser la création de valeur, objectif
considéré comme le postulat de base dans le concept de management des risques.
L’incertitude est source de risques et d’opportunités, susceptibles de créer ou de
détruire de la valeur. Le management des risques offre la possibilité d’apporter une
réponse efficace aux risques et aux opportunités associéesaux incertitudes
auxquelles l’organisation fait face, renforçant ainsi la capacité de création de valeur
de l’organisation.
La valeur de l’organisation est maximisée d’une part lorsque la direction
élabore une stratégie et fixe des objectifs afin de parvenir à un équilibre optimal entre
les objectifs de croissance et de rendement et les risques associés, et d’autre part
lorsqu’elle déploie les ressources adaptées permettant d’atteindre ces objectifs. Le
management des risques comprend les éléments suivants :

 Aligner l’appétence pour le risque avec la stratégie de l’organisation : L’appétenc

pour le risque est une donnée que la direction prend en considération
lorsqu’elle évalue les différentes options stratégiques, détermine les objectifs
associés et développe le dispositif pour gérer les risques correspondants.

 Développer les modalités de traitement des risques : Le dispositif de managemen

des risques apporte une méthode permettant de choisir de façon rigoureuse
parmi les différentes options de traitement des risques que sont : l’évitement,
la réduction, le partage ou l’acceptation du risque.

 Diminuer les déconvenues

et les pertes opérationnellesLes
: organisations
améliorent leur capacité à identifier et traiter les événements potentiels, ce qui
 leur permet d’atténuer les impondérables et de diminuer les coûts ou pertes
associés.

 Identifier et gérer les risques multiples et transverses : Chaque entité est confron
à une multitude de risques affectant différents niveaux de l’organisation. Le
dispositif de management des risques renforce l’efficacité du traitement des
impacts en cascade et apporte des solutions intégrées pour les risques à
conséquences multiples.

 Saisir les opportunités C’est

: en prenant en compte un large éventail
d’événements potentiels que la direction est le mieux à même d’identifier et de
tirer parti des opportunités de façon proactive.

 Améliorer l’utilisation du capital : C’est en ayant une vision claire des risques de
l’organisationque la direction peut évaluer efficacementles besoins en
capitaux et en améliorer l’allocation.

Ces élémentsdu dispositif de managementdes risques contribuentà la

réalisation des objectifs de performance et de rentabilité de l’organisation et à la
minimisation des pertes. Le dispositif de management des risques contribue aussi à
la mise en place d’un reporting efficace et au respect de la conformité aux lois et
réglementations.Ce faisant, il protège l’image de l’entité et lui épargne les
conséquences néfastes d’une perte de réputation. En bref, grâce au déploiement d’un
tel dispositif, une société est mieux armée pour atteindre ses objectifs et éviter les
écueils et les impondérables.

1. Définition du management des risques

Le management des risques traite des risques et des opportunités ayant une
incidence sur la création ou la préservation de la valeur. Il se définit comme suit :
 Le management
des risquesest un processusmis en œuvrepar le Conseil
d’administration, la direction générale, le management et l'ensemble des collaborateur
l’organisation.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les ac
de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’a
l’organisation et pour gérer les risques dans les limites de son appétence pour le risque
à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation.

Cette définition reflète certains conceptsfondamentaux.Le dispositif de

management des risques :

 Est un processus permanent qui irrigue toute l’organisation,

 Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’organisation,
 Est pris en compte dans l’élaboration de la stratégie,
 Est mis en œuvre à chaque niveau et dans chaque unité de l’organisation et
permet d’obtenir une vision globale de son exposition aux risques,
 Est destiné à identifier les événementspotentiels susceptiblesd’affecter
l’organisation, et à gérer les risques dans le cadre de l’appétence pour le
risque,
 Donne à la direction et au Conseil d’administration une assurance raisonnable
(quant à la réalisation des objectifs de l’organisation),
 Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs catégories
indépendantes mais susceptibles de se recouper.

Cette définition est volontairement large. Elle intègre les principaux concepts
sur lesquels s’appuient les sociétés ou d’autres types d’organisation pour définir leur
dispositif de management des risques et se veut une base pour la mise en œuvre d’un
tel dispositif au sein d’une organisation, d’un secteur industriel ou d’un secteur
d’activité. Elle est centrée sur l’atteinte des objectifs fixés pour une organisation
donnée, et constitue en cela une base pour la définition d’un dispositif de
management des risques efficace.
 2. Eléments du dispositif de management des risques

Le dispositif de managementdes risques comprend huit éléments.Ces

éléments résultent de la façon dont l’organisation est gérée et sont intégrés au
processus de management. Ces éléments sont les suivants :

 Environnement interne : L’environnement interne englobe la culture et l’esprit

de l’organisation. Il structure la façon dont les risques sont appréhendés et pris
en compte par l’ensemble des collaborateurs de l’entité, et plus
particulièrementla conceptiondu management etson appétencepour le
risque, l’intégrité et les valeurs éthiques, etl’environnementdans lequel
l’organisation opère.

 Fixation des objectifs : Les objectifs doivent avoir été préalablement définis pour
que le management puisse identifier les événements potentiels susceptibles
d’en affecter la réalisation. Le management des risques permet de s’assurer que
la direction a mis en place un processus de fixation des objectifs et que ces
objectifs sont en ligne avec la mission de l’entité ainsi qu’avec son appétence
pour le risque.

 Identification des événements (Risques ou opportunités) : Les événements interne

et externes susceptibles d’affecter l’atteinte des objectifs d’une organisation
doivent être identifiés en faisant la distinction entre risques et opportunités.
Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou
au cours du processus de fixation des objectifs.

 Évaluation des risques : Les risques sont analysés, tant en fonction de leur
probabilité d’occurrence que de leur impact, cette analyse servant de base pour
déterminer la façon dont ils doivent être gérés. Les risques inhérents et les
risques résiduels sont évalués.
  Traitement des risques : Le management définit des solutions permettant de faire
face aux risques (évitement, acceptation, réduction ou partage). Pour ce faire le
managementélabore un ensemblede mesures permettantde mettre en
adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour
le risque de l’organisation.

 Activités de contrôle : Des politiques et procédures sont définies et déployées

afin de veiller à la mise en place et à l’application effective des mesures de
traitement des risques.

 Information et communication : Les informations utiles sont identifiées, collectées

et communiquéessous un format et dans des délais permettant aux
collaborateurs d’exercer leurs responsabilités. Plus globalement, la
communication doit circuler verticalement et transversalement au sein de
l’organisation de façon efficace.

 Pilotage : Le processus de management des risques est piloté dans sa globalité

et modifié en fonction des besoins.Le pilotage s’effectueau travers des
activités permanentesde managementou par le biais d’évaluations
indépendantes ou encore par une combinaison de ces deux modalités.

Le management des risques n’est pas un processus séquentiel dans lequel un

élément affecte uniquement le suivant. C’est un
processus multidirectionnel et
itératif par lequel n’importe quel élément a une influence immédiate et directe sur
les autres.

3. Relation entre objectifs de l’organisation et éléments

management des risques

Il existe une relation directe entre les objectifs que cherche à atteindre une
organisation et les éléments du dispositif de managementdes risques qui
représentent ce qui est nécessaire à leur réalisation. La relation est illustrée par une
matrice en trois dimensions ayant la forme d’un cube.

 Les quatre grandes catégories d’objectifs (stratégiques,opérationnels,

reporting et conformité) sont représentées par les colonnes

 Les huit éléments du management des risques par les lignes

 Les unités de l’organisation par la troisième dimension.

Cette représentationillustre la façon d’appréhenderle managementdes

risques dans sa globalité ou bien par catégorie d’objectifs, par élément, par unité ou
en les combinant.
 4. Efficacité et limites du management des risques

Efficacité

L’efficacité d’un dispositif de management des risques peut s’apprécier en

vérifiant que chacun des huit éléments est en place dans l’organisation et qu’ils
fonctionnent efficacement. Ces éléments constituent donc un critère d’efficacité du
dispositif de management des risques. Un dispositif efficace exclut toute faiblesse
majeure dans l’un des éléments, et peut justifier que le niveau des risques est contenu
dans les limites de l’appétence pour le risque de l’organisation.

Lorsque le dispositif de management des risques s’avère être efficacement

géré pour chacune des quatre catégories d’objectifs, le Conseil d’administration et la
direction de l’organisation peuvent considérer qu’ils ont une assurance raisonnable
de disposer d’une vision claire sur la façon dont les objectifsstratégiqueset
opérationnels de l’entité sont en passe d’être atteints, de la fiabilité du reporting et du
respect des lois et règlements applicables.

La mise en œuvre et le fonctionnement des huit éléments est spécifique à

chaque organisation. Pour les PME, le dispositif de management des risques peut
être moins formel et moins structuré. Il n’en demeure pas moins que chacun des
éléments existe et fonctionne correctement.

Limites

Si le dispositif de management des risques offre des avantages importants, il

comporte néanmoins certaines limites. Outre les facteurs exposés ci-dessus, ces
limites résultent :

 D’une erreur de jugement dans la prise de décision,

 De la nécessaire prise en compte du rapport coûts / bénéfices dans le choix du
traitement des risques, et de la mise en place des contrôles,
 De faiblesses potentielles dans le dispositif, susceptibles de survenir en raison
de défaillances humaines (erreurs),
  De contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs
individus,
 De la possibilité qu’a le management de passer outre les décisions prises en
matière de gestion des risques.

En raison de ces limites, un Conseil d’administration ou une direction ne

peuvent obtenir la certitude absolue que les objectifs de l’organisation seront atteints.

B. Notion de risque

1. Définition

Le risque peut être défini comme étant une conséquence plus ou moins
prévisible pouvant affecter l’atteintedes objectifs d’une organisation .il existe
plusieurs types de risques selon le genre d’activités réalisées par l’entreprise, les
caractéristiques propres de ses opérations, l’environnement dans lequel les biens sont
produits et les services sont rendus,

Le risque est également une incertitude, menace ou opportunité (résultant

d’une action ou inaction) que l’entreprise doit anticiper, comprendre et gérer pour
protéger ses actifs, atteindre ses objectifs dans le cadre de sa stratégie et créer de la
valeur.

Plus précisément, Le risque est, selon l’institut de l’audit interne (IIA : institute
of internal auditors): «la possibilité qu’il se produise, un événement susceptible d’avoir
impact surla réalisation des objectifs. Le risque se mesure en terme de probabilité et
d’impact.»

En effet, nous retenons la définition du risque selon l’institut de l’audit interne

pour les raisons suivantes :

 La transversalité de la définition fait qu’elle peut être applicable dans

n’importe quel domaine, au niveau de toute entreprise ou de ses processus,
il suffit qu’il y ait des objectifs à atteindre ou à réaliser.
  La perception du risque sous une forme quantitative (probabilité et impact)
qui permet l’évaluation du risque selon des critères simples, mesurables et
reproductibles.

 La définition de l’IIA est une définition normée et sert de base pour

l’identification et l’évaluation des risques dans le cadre de la démarche de la
maîtrise des risques.

2. Classification des risques

Nous pourrons distinguer deux types de classification des risques auxquels

une entreprise peut être confrontée.

La première classification consiste à classer les risques en deux types :

 Les risques spéculatifs, qui sont l’essence même de l’entreprise : investir

des capitaux dans une nouvelle usine, se lancer sur de nouveaux marchés,
lancer un nouveau produit… Ces prises de risques sont conscientes, et elles
ont pour objet d’engendrer un profit.

 Les risques purs : traditionnellement définis comme étant le résultat du

hasard, ce sont des événements (tels que les incendies, explosions, atteinte à
l’environnement…) engendrés par l’activité de l’entreprise qui se réalisent à
la suite de concours de circonstance et sur lesquels il est possible d’agir de
manière préventive ou moyennant un refinancement.

La deuxième classification comporte les risques suivants :

 Le risqueinhérent : est
celui qui existe en soi sans tenir compte des
mécanismes de contrôle et de maîtrise présents dans l’entreprise .on dit
aussi, que c’est celui que l’on retrouve dans l’environnement des activités
humaines, qui fait partie de l’existence.
  Le risque de non contrôle : on le définit comme la probabilité qu’une
mesure de contrôle ou un mécanisme de contrôle faille à prévenir ou à
détecter une menace présente que l’on veut absolument éviter.

 Le risque de non détection : c’est la probabilité qu’une mauvaise conclusion

soit tirée des résultats de travaux d’audit interne ou d’autres analyses
effectuées par des personnes habilitées. On retrouve cela normalement en
matière de comptabilité publique.

 Le risque résiduelc’est
: le risque qui subsiste après l’application des
techniques de maîtrise des risques.

3. Maitrise des risques

Définition

La maîtrise des risques est l’ensemble des initiatives souhaitables qu’une

entreprise devrait adopter pour faire face aux principaux risques inhérents à ses
activités. En d’autres termes, maîtriser les risques c’est prendre les initiatives pour
éviter les ennuis et pour ne pas manquer les opportunités.

C’est une démarche managériale qui existe souvent mais de manière non
globale et non structurée. Sa possession procure un avantage compétitif majeur
puisqu’elle permet une meilleure :

 Efficacité dans l’atteinte des objectifs.

 Sécurité dans la protection des actifs.
 Transparence vis-à-vis des parties prenantes.
 La valeur de la maîtrise des risques

 L’aspect organique :

La maîtrise des risques bénéficie davantageà l’organisationpuisqu’elle

permet de ne maintenir que les dispositifs efficaces. La maîtrise des risques est plus
susceptible de couvrir l’ensemble des préoccupations des gestionnaires puisqu’elle
fonde son analyse sur les risques plutôt que de repérer et d’analyser les mécanismes
de contrôle.

Ainsi, la maîtrise des risques permettra de préciser les risques et d’évaluer les
moyens qu’empruntent les gestionnaires pour atténuer ceux-ci. En d’autres termes, la
maîtrise des risques va permettre de valoriser tout dispositif de contrôle interne
adopté puisque ne sera retenu que le dispositif permettant :

 La fiabilisation : elle est atteinte, en adoptant une approche systématique

des bonnes pratiques face aux risques identifiés de survenance d’ennuis.

 La stimulation : ceci en systématisant les bonnes initiatives face aux risques

identifiés de ratage d’opportunité.

 La simplification : par la maîtrise des risques permettra de ne maintenir que

les dispositifs utiles et de ce fait, éliminer les contrôles bureautiques ou
autres non légitimés par un risque quelconque.

 La délégation : en maîtrisant les risques et en adoptant des contrôles

internes adéquats, le top management pourra déléguer sans risque les
responsabilités.

 La transparence
un:dispositif de contrôle interne basé sur la maîtrise des
risques permet de mieux assurer les actionnaires et les met en confiance.
 L’aspect économique

La maîtrise des risques confère un avantage concurrentiel majeur ; En effet, en

réduisant les coûts évitables futurs, la maîtrise des risques permet de restreindre les
coûts liés aux risques inhérents de majoration de coûts normaux prévus ou de
minoration de gains normaux prévus.

Ainsi, la maîtrise des risques se veut un outil quantitatif de mesure de la

valeur économique et permettra à l’ingénierie de maîtrise (assistance à la maîtrise des
risques) et à l’ingénierie de fonctionnement(direction générale, stratégie et
développement) d’apprécier l’efficacité économique à partir du niveau des coûts liés
aux risques futurs.

 L’aspect financier

L’aspect financier de la maîtrise des risques consiste en la mise en place et en

une surveillance des principes d’indemnisation financière, sur les risques
difficilement maîtrisables,mais assurables.A ce titre, il incombe au directeur
financier de gérer ces différents risques, soit de les transférer (cas assurances) ou de
les traiter (cas instruments financiers (option, swap).)

Frontière de la maîtrise des risques au sein du management

globale des risques :
 Le management global des risques :

La maîtrise des risques s’inscrit dans le cadre de la gestion des risques qui

vise à identifier les risques à l’échelle de l’entreprise, à mesurer financièrement

l’ensemble des risques, à prendre en compte cette mesure du risque dans
l’appréciation des performances des activités et à mettre en place des processus de
suivi des risques intégrés à la gestion des opérations.
 Ceci nécessite au préalable, la mise en place d’une architecture de gestion
globale des risques afin de doter l’entreprise de moyens nécessaires pour réussir
l’intégration de la gestion des risques dans les processus de gestions opérationnelle et
stratégique de l’entreprise.

A défaut de ce dispositif, les risques ne peuvent être analysés, divulgués,

comparés et gérés d’une manière cohérenteet efficace à tous les niveaux de
l’organisation considérée dans son ensemble.

Les principaux éléments d’un dispositif de management des risques sont :

 Des politiques et des directives claires et cohérentes en matière de management

des risques.
 Des moyens adaptés à la diffusion d’information sur les risques et à leur analyse.
 Une définition claire des responsabilités et des pouvoirs en matière de gestion des
risques, et leurs attributions à des personnes clés.
 Des procédures et des programmes de gestion des risques adéquats.
 Et un dispositif adéquat de suivi et de revue des processus de management des
risques (audit) permettant notamment de tirer en permanence les enseignements
de l’expérience acquise au sein de l’entreprise.

 La position de la maîtrise des risques au sein du management global des risques :

La maîtrise des risques est l’un des trois thèmes du management global des
risques qui sont : l’économie des risques (RISK ECONOMICS), la maîtrise des risque
elle même, et le financement du risque (RISK FINANCING).

L’économie des risques intervient lors de la prise de décision sur les choix des
investissements et projets arrêtés par l’entreprise, avec l’assistance de la direction de
la stratégie .l’économie des risques a pour objet de traiter les aspects stratégiques de
l’entreprise ainsi que les nouvelles orientations.
 Le support est assuré par la direction de la stratégie et l’objectif étant d’évaluer
le couple (risque / opportunité).

Une fois les décisions prises, la maîtrise des risques intervient pour veiller à ce
que les objectifs tracés initialement (lors de la prise de décision) soient atteints.
L’objectif est, à cet effet, d’évaluer les risques susceptibles d’entraver la réalisation
des objectifs et d’élaborer les plans d’action idoines.

Le support à la maîtrise des risques est assuré par la direction business control
où contrôle général.

Le financement du risque par contre, se situe directement après la maîtrise des

risques puisqu’il tâchera de gérer tout risque jugé non maîtrisable (difficile). Ainsi, le
financement des risques pourra faire l’objet d’un transfert du risque (sous-traitance)
ou un financement pur moyennant un contrat d’assurance ou une provision contre le
risque .le support du financement du risque est assuré par la direction financière.

4. Les risques relatifs à la trésorerie

Pour l'atteinte de ses objectifs, il est important pour l'entreprise de mieux

appréhender les risques opérationnels de trésorerie.

Les risques opérationnels liés au cycle trésorerie sont relatifs à la faiblesse des
procédures de ce cycle. Selon BARRY (2004 : 275) et COOPERS & al (2000 : 263), les
risques opérationnels du cycle trésorerie sont les suivants : les risques liés à la
budgétisation, les risques liés aux encaissements et décaissements, les risques liés au
contrôle des avoirs en caisse et en banque, les risques liés à la comptabilisation des
opérations de caisse et de banques et à l'analyse et justification des comptes de
virements de fonds.

Risques liés à la budgétisation

Les risques liés à la budgétisationde la trésorerie sont en général la

méconnaissance des objectifs spécifiques, la non élaboration du budget de trésorerie,
la mauvaise maîtrise de la trésorerie, l'appréhension tardive des « impasses » de
trésorerie, l'inexactitudedes informations relatives aux entrées et sorties de
trésorerie.

Risques liés aux encaissements et aux décaissements

Les risques liés aux procédures d'encaissement et de décaissement sont le

risque de détournementd'encaissementou de détournementpar création de
dépenses fictives : difficulté d'assurer un contrôle correct des caisses ; difficulté
d'exercer un contrôle séquentiel des pièces de caisse ; risque de détournement des
encaisses significatives détenues par le caissier ; existence de bons de caisse non
régularisés,correspondantà des prêts déguisés ; risque de détournementdes
encaissements clients et de falsification des comptes clients concernés.

Risques liés au contrôle des avoirs en caisse et en banque

Les risques liés au contrôle des avoirs en caisse et en banque sont : le risque de
détournement de caisse non détecté, risque de collusion entre les responsables des
caisses et les contrôleurs ; risque de détournementd'avoir en banque et de
falsification des états de rapprochement bancaire ; risques de maintien dans les états
de rapprochement bancaire de montants significatifs en suspens, au détriment de la
trésorerie de l'entreprise.

Risques liés à la comptabilisation des opérations de caisse e

banques analyse et justification des comptes de virements d
fonds.

Les risques liés à ces procédures sont les suivants : inexactitude, à un moment
donné, des soldes comptables des comptes de caisse et de banques, empêchant de ce
fait, l'exercice d'un contrôle correct ; risque de détournement de montants retirés de
la caisse ou de la banque pour alimenterthéoriquementd'autres comptes de
trésorerie ; risque de falsification des justifications des comptes de virements de
fonds par les auteurs du détournement
 Chapitre III : Cartographie de risques et
référentiel d’audit
A. Cartographie de risques

1. Définition

«Ce processus, qui cartographie par type de risque les diverses unités, fonctions
organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesse et perm
d’établir des priorités pour l’action à entreprendre par l’organe de direction»

La cartographie des risques opérationnels doit permettre de :

 Évaluer périodiquement les risques portés par les processus au sein des
métiers,
 Établir une synthèse dégageant les risques majeurs et/ou les processus les
plus sensibles,
 Surveiller les processus sensibles à l’aide d’indicateurs (à déterminer par
filiales et métiers),
 Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise
des risques,
 Compléter les éléments en entrée du modèle interne de calcul d’allocation
des fonds propres aux métiers / filiales (notamment les scénarios de
risques opérationnels

En terme de résultats, la cartographie des risques doit fournir une gestion

différenciée par nature de risque (Risques acceptables, risques à traiter cas par cas,
risques insupportables)
 2. Objectifs et utilisateurs

Objectifs

La cartographie a pour but d’évaluer la qualité du dispositif de prévention et

de contrôle et de quantifier l’exposition aux risques opérationnels. Pour ce faire, il
s’agit de:

En pratique, la démarche de la cartographie des risques consiste à rencontrer les acteurs des
risques au quotidien et leur demander:
- De quelle activité s’agit-il? Domaine/Processus/Acteurs
-Quel est le «problème»redouté (avéré ou potentiel)? Risque
-Quelles sont les principales causes? Cause
-Quelle est la nature des préjudices induits? Conséquences
-Avec quelle fréquence ce problème peut-il survenir? Combien cela coûte-t-il en moyenne par
an et combien cela pourrait-t-il coûter dans un scénario pessimiste mais plausible? Cotation
-Que pourrait-on faire pour mieux anticiper, détecter et gérer ce problème (plans d’actions)?

Indicateurs/ Mesures.

Utilisateurs

La cartographiedes risques est un des outils de pilotage des Risques

Opérationnels. Il intéresse à terme différents acteurs :

B. Le référentiel d’audit

Définition
Le référentiel d’audit ou le TARIR (tableau des risques référentiel) constitue l’outil de
référence qui permet à l’auditeur interne d’une part de définir le champ et les limites de ses
investigations, et d’autre part, de structurer la présentation de ses a nalyses et conclusions,
notamment pour renseigner ce qui relève de constat(s), la ou les causes des faits constatés
ainsi que leurs conséquences. Donc l’objectif du référentiel d’audit est de guider l’auditeur
dans la pratique de ses missions.
5.2. Composition du référentiel d’audit :
Le référentiel d’audit se remplit de gauche à droite. Ce remplissage est le support d’un
raisonnement où chaque colonne composante est affinée par la colonne suivante, et
inversement chaque colonne se déduit de la colonne précédente. Les composantes du
référentiel sont les suivants :
a. Objectifs
Etre sur que :
Les investigations de l’audit portent sur un domaine ou un processus identifié par sa finalité
(ex : le processus gestion de la trésorerie dont la finalité est de gérer et optimiser la position
cash de l’entreprise et assurer le règlement des dépenses de l’ONE dans les délais requis).
Pour satisfaire à une finalité des activités sont déroulées dans un ordre chronologique c.â.d
des sous-processus ou des stades chronologiques. Ces activités sont identifiées par des verbes
d’action (ex : pour satisfaire à la finalité assurer le règlement des dépenses, il faut vérifier que
les factures sont échus, autoriser le règlement, éditer les titres de paiement, signer les titres de
paie ment, envoyer ces titres au fournisseur, comptabiliser le règlement …).
Les objectif doivent être des objectifs de contrôle interne : « être sur que », et non des actions
de contrôle (s’assurer) ni le but opérationnel de l’étape, de l’opération, du sous -processus, ou
du domaine.

b. Les objets auditables

Le thème ou le domaine de l’audit est découpé en éléments qui peuvent être observés et
constatés, appelés « objets auditables ». Il s’agit de l’ensemble des opérations successives qui
retracent tout le processus à auditer.

c. Les objectifs spécifiques :

Dans cette colonne on identifie les objectifs spécifiques assignés à chaque objet auditable. Il
s’agit de définir de manière synthétique la situation théorique que l’auditeur devrait rencontrer
pour conclure au bon fonctionnement d’une organisation, d’un système ou d’une opération.
 a. Les risques ou les Scénarii d’empêchement : risque que la finalité ne soit pas
atteinte (que peut-il se passer ?)

Pour chaque objectif spécifique, il faut imaginer ce qui peut se passer et décrire les
empêchements possibles : ce qui empêcherait d’atteindre l’objectif via des scénarii. Il y a
presque toujours plusieurs empêchements pour un même objectif.
Les empêchements sont des causes potentielles de non atteinte de la finalité, des « risques
que » la finalité ne soit pas atteinte, et non des conséquences ou impacts, des « risques si »
elle n’est pas atteinte.
Quand il y a plusieurs empêchements, il faut les traiter séparément sur le même tableau. Par
exemple : Empêchement financier : (détournement de fonds, gestion des fonds inefficace,
mauvaise évaluation des provisions, signature non autorisée, cours boursier sur côté) ;

d. Les bonnes pratiques : moyens du contrôle interne, ressources

Les bonnes pratiques décrivent ce qu’en général les audités doivent faire, les moyens et
méthodes pour éviter un empêchement.
Ces ressources sont regroupées classiquement en 3 familles : les ressources humaines (l’agent
qui exprime le besoin, le responsable qui valide la demande), les ressources matérielles (sur
quel support est saisi et validé le besoin), les ressources immatérielle s (notes d’organisation,
guide des procédures, informations indispensables).
L’ensemble de ressources souhaitées donne l’assurance que l’activité est maîtrisée (réalisation
du verbe d’action et respect des critères de contrôle) et que les risques sont sous contrôle. Une
assurance mal adaptée devient la cause de la non réalisation d’un verbe d’action, la non
réalisation d’un verbe d’action constitue un fait/constat et génère des conséquences.
Exemple : une personne non habilitée (cause) valide un besoin non conforme aux besoins de
l’entreprise (fait) induisant un surcoût financier (conséquence).
Le renseignement de cette colonne se fait par la prise de connaissance de référentiel existant
sur un domaine (note de politique interne ou ouvrage externe traitant du domaine) et en
répondant à 4 questions génériques : Qui ? Peut-on faire ? Comment fait-on ? Est-ce bien
fait ?
Ce sont de bons conseils mais ils ne sont pas obligatoires ; contrairement aux critères des
points de contrôle. Leur déficience (non adaptée, non adoptée, non disponible, non
performante explique les défaillances des points de contrôle. Elles seront souvent la source
des recommandations.
 e. Les points de vérification :
Les points de vérification se présentent sous forme de questions permettant de s ’assurer de la
couverture des risques identifiés. Ces questions doivent être formulées de manière claire et
simple.
f. Les modes opératoires
Pour chaque empêchement, les points de contrôle décrivent ce que l’auditeur va contrôler (ce
sera repris dans le programme de vérifications puis dans les constats), donc la réalité (ou la
vraisemblance) de l’empêchement, d’une manière indiscutable et selon des critères de
résultats objectifs et mesurables : Exactitude, Exhaustivité, Autorisation, Délai, Suivi ;
Exemple : s’assurer que - ou être sur que- tous (exhaustivité) les besoins exprimés font l’objet
d’une validation par des personnes habilitées (autorisation) dans des délais permettant de
satisfaire la date de livraison (ou de réalisation de la prestation).
Il s’agit de définir les tâches à réaliser pour répondre à la question posée au niveau de chaque
point de vérification. Il faut, à ce niveau, préciser la méthode de vérification (rapprochement,
recoupement, confirmation, etc.) ainsi que les supports à utiliser (fichiers informatiques,
documents, etc.).

5.3. Les apports du référentiel d’audit

L’évolution méthodologique du tableau des forces et faiblesses apparentes (TFfa) au

référentiel d’audit se situe principalement dans l’enrichissement de la colonne « Risques » par
l’ajout des empêchements, des points de contrôle et l’impact par rapport à un objectif de
contrôle interne à satisfaire.

L’apport du référentiel d’audit consiste à associer à une prise de connaissance du domaine à

auditer défini par l’ordre de mission, une prise de conscience de ses habituels risques et
opportunités d’amélioration, par une décomposition du sujet de la mission en objets
auditables.

En outre, le référentiel d’audit permet à l’auditeur de mener une analyse des risques en
s’appuyant sur des éléments d’appréciation identifiés par l’audit lors de la phase d’étude puis
d’orienter les travaux détaillés de vérification.