Frederic Bernard

Remi Gayraud
Laurent Rousseau

Concepts,
Reglementation,
Cartographie des risques,
Guide d'audit de la fraude,
Methodologie et mise en place,
Referentiels, modes operatoires

M!XIM!
LAURENT DU MESNlw EDITEUR
Frederic Bernard est directeur administratif et financier au sein de la mutuelle SMPPN.
II a notamment ete Directeur de l'Audit, du Contrale de Gestion et des Achats au sein
de la Mutualite Fonction Publique Services (MFPS) ou il a developpe un dispositif
complet de maitrise des risques en assurances maladie. II a ete co-animateur d'un groupe
de travail avec les Mutuelles sur Ie sujet de la fraude. Docteur es sciences, MBA en intel-
ligence economique, il est charge de cours a l'ESG, NEGOSUP et CENTRALE
Marseille. II est intervenu sur les themes du contrale de gestion et du contrale interne a
l'ENA et l'ESSEC.
Remi Gayraud est associe-fondateur chez CBA Management. Apres avoir exerce des
responsabilites operationnelles en finance, en France et a l'etranger en tant qu' Auditeur
Interne senior et Directeur Administratif & Financier sur Ie Moyen-Orient chez SANOFI,
il a cree avec 2 associes, CBA Management, cabinet independant specialise sur Ie
contrale interne, l'audit interne et Ie risque management aupres de grands groupes.
Laurent Rousseau est manager chez CBA Management. Diplame des Arts et Metiers, il
est specialise dans Ie conseil aux entreprises devant repondre aux nouvelles reglementa-
tions (Sarbanes Oxley, Loi de Securite Financiere, decret du 13 mars 2006, SOL V AIL .. ).
II a tour a tour occupe des fonctions operationnelles puis manageriales dans Ie domaine
financier (comptabilite, contrale de gestion et audit) au sein de la Mutualite Fonction
Publique Services. II a notamment assure la formation au contra Ie interne de plus de
400 operationnels.
Les auteurs peuvent etre contactes a l'adresse suivante : controleinterne@maxima.fr

M.XIM.
LAURENT DU MESNIL EDITEUR
192, bd Saint-Germain, 75007 Paris
Tel. : + 33 1 4439 7400 - Fax: + 33 1 45 48 46 88

© Maxima, Paris, 2006.

ISBN: 2 84001 472 6
I : Les concepts essentiels du controle interne
permanent 21
Ll Elements de definition du Controle Interne 21
1.1.1 Les approches dites « classique » et « actuelle» du Contr6le Interne 21
1.1.2 Le modele propose par Ie COSO 22
1.1.3 Referentiel de Contr6le Interne selon Ie groupe de travail
« de Place» defini par I' AMP 29
1.1.4 L'approche moderne et proactive du Contr6le Interne 31
L2 L 'interet general d'une demarche de ContrOieInterne 33
1.2.1 R6les et valeur ajouree du Contr6le Interne 33
1.2.2 Positionnement du Contr6le Interne vis-a-vis des fonctions
transverses 36
1.2.3 Zoom sur les aspects reglementaires 38
1.2.4 Exemple de methodologie d'application de la loi Sarbanes-Oxley 46

II : Proposition d'une demarche pragmatique

d'analyse des risques : la methode MIRIS®
(Maitrise Interne des Risque & Securite) 51
ILl Caracteristiques de la methodologie 51
H.I.I Vne demarche tournee vers la maltrise de toutes les activites
avec un retour sur investissement 51
H.1.2 Vne demarche avant tout pragmatique 53
H.1.3 Vne methodologie axee sur l'auto-suggestion 55
H.1.4 Les regles de delegation et la gestion des responsabilites 56
11.1.5 La securisation du management 62
11.2 Qu 'est-ce qu 'un risque? .
H2.1 L' existence de menaces .
II.2.2 La methode de classement des risques en risques majeurs,
courants et de non-qualite 69
II.2.3 Le traitement du risque ,................................. 73
II.2.4 La mise en adequation de la gestion des risques avec I'echelle
des responsabilites . 73
IL3 L'identification et l'evaluation des risques 74
II.3.1 Les trois criteres d' analyse des risques 74
II.3.2 Les entretiens dits seances de creativite 75
II.3.3 Les questionnaires de Contrale Interne et la cartographie
des risques 77
II.3.4 La mise en place de plans d'actions de maitrise des risques 79

III.] Lafraude interne: un risque mal connu 83

111.1.1 Qu'est-ce que la fraude interne? 84
IIL1.2 Existe-t-il un profil type de fraudeur? 94
III.I.3 QueUes sont les faiblesses de I' organisation qui permettent
les fraudes? 96
III.lA Comment prevenir les fraudes internes? 98
III.1.5 La fraude informatique 108
IILI.6 La methode MEHARI (Methode harmonisee d'analyse
des risques informatiques) 117
III.2 Exemple: les risques defraude dans Ie domaine
de I'Assurance Maladie 119
III.2.1 La typologie des fraudes 121
111.2.2 La prevention de la fraude 122
I1L3 Guide d'audit de lafraude 126
III.3.1 La detection des fraudes 128
III.3.2 Que faire en cas d'incident constate ? 130
III.3.3 Les systemes dits de « Whistheblowing)} 136

IV : Organisation, evaluation et pilotage

de la fonction ContrOie Interne 139

IV.l Proposition d'un modele d'organisation

du Controle Interne............. 139
IV,2 Evaluation et pilotage du dispositif de gestion des risques
et du ContrOieInterne 143
IV.2.1 L'evaluation du dispositifde Contr6le Interne 144
IV.2.2 Le pilotage du dispositif de gestion des risques
et du Contr6le Interne 146
IV.2.3 Exemple de solution d'evaluation et de pilotage du dispositif
de gestion des risques et du Contr6le Interne 148
IV.2A Exemple de mise en reuvre d'une solution d'evaluation
et de pilotage du dispositif de Contr6le Interne 151

V,l Le ContrOieInterne: une demarche de changement 159

V,2 Les considerations psychologiques utiles pour Ie travail
sur Ie terrain 166
V.2.1 Le determinisme 167
V.2.2 Le syllogislne 167
V.2.3 Les difficultes techniques I 68
V,3 Le role et l'implication de la Direction Generale 169

V,4 Les etapes du projet de Controle Interne 172

VA. I La phase de lancement du projet de Contr6le Interne 173
VA.2 La phase d'analyse de l'existant et de realisation des nouveaux
outils 176
VA.3 La phase de mise en reuvre operationnelle du dispositif
de Contr6le Interne 178
V,S Illustration de la mise en lEuvre du Controle Interne
au facteur management 182
V.5.1 La construction d'un organigramme 182
V.S.2 La realisation de fiches de postes 185
V.S.3 La mise en place de mesures de temps 189

VI : Questionnaires, rHerentiels de risques

et bonnes pratiques, modes operatoires 191
VL2 Processus Management: exemples de points
de controle 217
VI.3 Processus Tresorerie : exemples de points de controle,
risques et bonnes pratiques '" 222
VIA Processus Publication et Remontees des Informations
Comptables et Financiere : exemples de points
de controle, risques et bonnes pratiques 230
VL5 Processus Ressources Humaines: exemples
de points de controle, risques et bonnes pratiques 238
VL6 Processus Systemes d'Information: exemples
de points de controle, risques et bonnes pratiques 244
VL 7 Processus Hygiene et Securite au Travail: exemples
de procedures / modes operatoires 248
VI. 7.1 Quelques rappels sur la reglementation et sur la notion
de responsabilites 248
VI.7.2 L'accueil des nouveaux arrivants (CDI, CDD ) 250
VI.7.3 Que faire en cas d'incendie, d'evacuation 253
Vl.7.4 Les registres obligatoires 255
Vl.7.5 Les affichages obligatoires 256
Vl.7.6 La securite physique: biens et personnes 257
VI. 7.7 Le document unique 262
VI.7.8 Modeles de documents utiles 264
VI.8 Referentiel d'audit de lafraude 276
 PREFACE

C'est avec plaisir que j'ai repondu au souhait de deux de mes anciens
collaborateurs de la Mutualite Fonction Publique, Frederic BERNARD et
Laurent ROUSSEAU, de prefacer ce livre sur Ie Contrale Interne.

D'une part, parce que leur approche pragmatique, operationnelle et illus-

tree par de nombreux exemples, en fait un outil complet, clair et efficace
au service des professionnels de I' audit, mais aussi une excellente « entree
en matiere» pour familiariser avec cette notion toutes les personnes en
situation de responsabilite et de management d'equipes.

D'autre part, parce que nous partageons la meme vision de l'interet du

contrale interne dans un monde ou I' exigence croissante de securite
engendre un refus des risques, alors meme que la complexite de nos orga-
nisations et I' acceleration des changements rendent I' incertitude d' autant
plus pregnante.

II n'y a pas de ContrOle Interne, en effet, sans une prise de conscience et

une qualification des risques qui peuvent etre de diverses natures, et mon
experience de Directeur general, tant dans Ie monde hospitalier qu'a la tete
d'une Mutuelle gerant l'assurance maladie, m'a permis d'en aborder un
echantillon non negligeable. L'ouvrage presente une vision complete des
risques financiers, humains et techniques auxquels peut etre confrontee
l' entreprise ; il insiste particulierement sur Ie risque informatique et sur la
mise en adequation avec Ie niveau de responsabilites. Ie voudrais, quant a
moi, rappeler que cette revue des risques ne peut s'accommoder d'aucune
complaisance, d' aucune autocensure, meme si quelquefois elle peut
froisser certains, etre assimilee a un manque de confiance, a de la defiance,
y compris aux plus hauts niveaux de l' entreprise.

C'est la la contrepartie d'un etat d'esprit rigoureux, de la mise en orbite

du cercle vertueux decrit par les auteurs et dont les retombees sont
multiples car elles touchent de nombreux domaines et fonctions de l' entre-
prise: optimisation de l'organisation grace a l'analyse des processus, mise
en place de fiches de postes en matiere de ressources humaines, securisa-
tion des systemes d'information, transparence dans la communication ...
n'en sont que quelques exemples. Ce n'est pas un des moindres interets
de cet ouvrage que de montrer que l'instauration d'un dispositif de
Controle Interne, meme si elle peut etre liee au depart a des contraintes
externes a l'entreprise comme la Loi de Securite Financiere, et done appa-
raitre comme subie a ce titre, peut aussi lui procurer un reel retour sur
investissement et un benefice economique de par I' amelioration de son
fonctionnement.

Des lors, il est facile d'imaginer combien la mise en place du Controle

Interne est vouee a l'echec ou, au mieux, a l'inefficacite, si elle n'est
portee que par quelques-uns, alors que tout l'interet est de l'inscrire dans
une demarche participative associant Ie plus grand nombre de collabora-
teurs. On aborde ainsi un des atouts majeurs du projet Controle Interne,
c'est son cote accelerateur de changement, notamment dans les organisa-
tions peu familiarisees avec les exigences de l' economie de marche. La
methode MIRIS, proposee par les auteurs, repose sur l'adhesion des opera-
tionnels, sur leur creativite, sur les changements de comportements et
s'inscrit ainsi pleinement dans un projet d'entreprise.

A l'heure ou chacun s'accorde sur la necessite de promouvoir les bonnes

pratiques, Ie dispositif de Controle Interne, loin de s' apparenter a une lour-
deur administrative de plus, apparait comme un point d'appui pour tous
ceux qui sont prets a reflechir sur la perennite de leurs habitudes, sur leur
place au sein du processus de production, sur leur environnement de
travail. II trouve sa place dans toutes les activites de I' entreprise et les
lecteurs puiseront dans cet ouvrage, non pas un catalogue, mais des
exemples concrets concernant ces bonnes pratiques.

Tout dependra alors de la capacite des dirigeants a I'integrer dans un projet

global, suffisamment motivant et ec1airant pour l'avenir, a deployer une
culture valorisant Ie besoin de controle, a montrer I' exemple et a rester
coherents avec les regles d'ethique qu'il sous-tend - j'allais ecrire « sans
langue de bois », mais n'est-ce pas deja la pratiquer ?
Tout dependra aussi des qualites humaines des auditeurs appeles a Ie
mettre en place, de leurs aptitudes a se mettre au service de leurs interlo-
cuteurs et a trouver Ie juste milieu pour ne pas les deresponsabiliser,
capacites qui, plus encore que la technique elle-rnerne, seront determi-
nantes dans la reussite.
Alors a quoi verra-t-on si Ie projet a reussi ? A son pilotage, au suivi orga-
nise, aux actions correctrices engagees, a l'adhesion des operationnels ...
Apres, il faudra Ie faire vivre, et c'est encore un autre defi !

Dominique ACKER
DIRECTEUR GENERAL
de la Mutualite Fonction publique (1998-2005)
Pourquoi un livre sur Ie ContrOie Interne permanent et quel est
l'interet d'une telle demarche pour Ies entreprises ?
Avec les recentes lois fran<;aises et americaines exigeant un renforcement
de la transparence et du contra Ie au sein des entreprises, force est de
constater qu'il existe un regain d'interet pour Ie Contrale Interne, et plus
particulierement pour demontrer a tout protagoniste (management, action-
naires, commissaires aux comptes, autorites de bourse) que Ie dispositif
existant est efficace : operations maitrisees a tous les niveaux et pour
toutes les activites, etats financiers fiables et refletant la realite econo-
mique de I' entreprise.
La notion de Contrale Interne n'est pas une nouveaute dans les organisa-
tions. Celles-ci n'ont pas attendu les recents scandales financiers pour
mettre en place les fondements d'un environnement de contrale. Cette
necessite s'est imposee de maniere plus pointue lorsqu'il s'agit de groupes
dont les organisations et les activites sont de plus en plus complexes.
En effet, dans un contexte de globalisation croissante, les grands acteurs
economiques se doivent aujourd'hui de penser a l'echelle mondiale quand
il s'agit d'asseoir leur position dans n'importe quels industries ou secteurs
que ce soit. Ce postulat entraine pour les groupes fran<;ais de modeler leur
organisation de maniere flexible et decentralisee afin d'offrir une reelle
efficacite lorsqu'il s'agit de gerer des centaines d'entites juridiques a
travers Ie monde et de jongler avec des organisations matricielles de plus
en plus complexes impliquant de multiples strates dans les processus de
decision.

Vne necessaire subsidiarite, reposant sur la delegation des pouvoirs et la

responsabilisation a differents niveaux de l'organisation, s'accompagne
systematiquement de mesures et de dispositifs de contra Ie pour s'assurer
justement que les pouvoirs et les operations delegues obeissent aux regles
et entrent dans un cadre qui a ete prealablement fixe.
L'originalite de ce livre est de proposer une demarche pragmatique et
operationnelle afin de definir un cadre de Controle Interne au sein d 'une
organisation et de Ie mettre en place sur Ie terrain.
Ce livre presente plusieurs cas operationnels vecus :
• la mise en reuvre d'un systeme de controle selon les principes du COSO
(Committee of Sponsoring Organization of the Treadway Commission);

• une proposition de methodologie d'application de la reglementation

Sarbanes-Oxley;
• un cas de mise en reuvre d'une cartographie des risques et d'un projet de
Controle Interne au sein d'une entreprise de service;

• une proposition d'organisation d'une entite de ContrOle Interne;

• un cas d'application concret de pilotage de projet de gestion des risques

et de Controle Interne avec l'outil IC-QUEST, solution methodologique
et technologique ;

• des propositions de questionnaires de Controle Interne sur les processus

Achats, Management, Tresorerie, Publication et Remontees des Infor-
mations Comptables et Financieres, Ressources Humaines, etc.
Ce livre s'adresse principalement aux operationnels impliques dans la
mise en place d 'une demarche de Controle Interne et d' Audit Interne
performante au sein d'une organisation, mais egalement a tout opera-
tionnel cherchant a mieux comprendre les enjeux et objectifs de cette
demarche et ainsi securiser son environnement de controle.

La production d'un ouvrage de cette envergure n'aurait pu se realiser ni

aboutir sans s' appuyer sur :

• les parutions, la methodologie, l' experience des associes fondateurs et

les missions realisees par CBA Management, cabinet independant
specialise sur Ie ContrOle Interne, l'Audit Interne et la Gestion des
Risques,

• les experiences operationnelles vecues au quotidien duoDirecteur de

l' Audit & du Controle Interne et du Responsable de l' Audit Interne au
sein d'une mutuelle franc;aise.
Les auteurs ont voulu rendre cet ouvrage Ie plus complet, Ie plus pragma-
tique et Ie plus a jour possible notamment vis-a-vis des nouvelles regle-
mentations. II se veut egalement tres souple dans son mode d'utilisation :
• si vous etes dirigeant ou manager, ce livre vous permettra d'approfondir
vos connaissances sur Ie Contrale Interne et vous servira de guide pour
diagnostiquer les risques de votre organisation voire pour mener a bien
un veritable projet de mise en place d'un dispositif de Contrale Interne;

• si vous etes auditeur, ce livre vous assistera utilement dans la phase

d'analyse des risques en identifiant les indicateurs et points de contrale
de certaines fonctions ;
• si vous etes etudiant, ce livre vous permettra de mieux apprehender
I' environnement du Contrale Interne.
Enfin, au fil des chapitres, les lecteurs decouvriront toute la methodologie
de construction d'une demarche de Contrale Interne qui peut etre synthe-
tisee par Ie cercle vertueux suivant :

Revision des processus -> Identification des risques -> Quantification des risques -> Identi-
fication des controles -> Comparaison risques I controles -> Mise en place des controles ->
Evaluation des controles.

Tout en repondant aux contraintes suivantes :

• maltriser les couts,
• ne pas empiler ou juxtaposer les systemes de contra Ie,
• tirer un benefice economique du contrale des risques (meilleure qualite,
satisfaction client, meilleure formation ... ),
• eviter la deresponsabilisation des acteurs operationnels.
Cette methodologie s'organise autour de 6 grands chapitres.
Dans Ie premier chapitre, nous rappelons les concepts essentiels du
Contrale Interne permanent et notamment les approches dites «clas-
sique » et « actuelle» du Contrale Interne, Ie modele COSO qui reste tout
de meme la grande reference mondiale a ce jour (en attendant peut-etre la
formalisation d'un referentiel de Contrale Interne fran<;ais et/ou europeen)
et l'approche moderne et proactive du Contr6le Interne. Nous identifions
ensuite les arguments qui militent en faveur de la mise en place d'un
dispositif de Contr6le Interne tout en Ie repositionnant vis-a.-vis des fonc-
tions transverses au sein des organisations.
Nous realisons egalement un zoom sur les nouvelles reglementations
Sarbanes-Oxley Act, Loi de Securite Financiere, Solvency II et decret du
13 mars 2006, qui ont de fait suscite un regain d'interet pour cette fonction
en mentionnant les grandes lignes directrices mais egalement en propo-
sant une methodologie d'application du Sarbanes-Oxley Act. Dne quaran-
taine de societes fran<;aises sont concernees par cette loi tres contraignante
et exigeante financierement et en termes de ressources, qui impose un .
dispositif de Contr6le Interne performant.
Le chapitre 2 debute Ie cycle vertueux tel que decrit precedemment par
l'analyse des risques en suivant la methodologie de Maitrise Interne des
Risques & Securite (dite methode MIRIS). Les concepts et principes de
cette methode y sont decrits dans la premiere partie alors que la seconde
developpe les outils permettant d'identifier, d'evaluer et de hierarchiser
les risques. L' objectif est de realiser une cartographie des risques destinee
a selectionner les actions correctives a mettre en place.
Le chapitre 3 met en exergue les risques de fraudes, risques tres speci-
fiques et devant faire necessairement l'objet d'une demarche particuliere.
Nous verrons que la fraude est depuis longtemps un concept connu des
entreprises et qui est devenu au fil des ans un vrai phenomene de societe.
Nous definirons dans une premiere partie la notion de fraude en no us
appuyant sur les textes reglementaires et legaux definis dans Ie cadre penal
franyais. Nous tenterons de donner une definition de la fraude, de decrire
Ie profil d'un fraudeur et de comprendre comment prevenir les fraudes
internes. La fraude informatique est devenue, ces dernieres annees, Ie
dernier « joujou » des malfaiteurs et fraudeurs en tout genre. Nous preci-
serons alors les points sensibles a surveiller et les parades a mettre en
place.
Dans un second temps, nous developperons toutes les pratiques liees a la
detection, l'instruction et l'analyse des risques lies a la fraude a travers
les processus d'audit qui expliquent et mettent en exergue les causes des
montages frauduleux.
Le chapitre 4 permet de mettre en place une organisation ad hoc afin de
piloter I' ensemble du cycle vertueux et permettre ainsi aux operationnels
de s'approprier la demarche de Controle Interne.
Le but d'un tel projet est de responsabiliser les operationnels sur leur envi-
ronnement de travail: avoir une bibliotheque de procedures, des exigences
de bonnes pratiques et des directives dynamiques en temps reel, une auto
evaluation de leur environnement de controle, I' analyse de leurs risques,
et enfin la gestion de leurs axes d'amelioration via des plans d'action.
Nous verrons qu'une solution technologique et methodologique a travers
l'outi! IC-QUEST permet d'automatiser la demarche et done de la rendre
plus conviviale.
Le chapitre 5 detaille la mise en ceuvre d'un projet de Controle Interne en
s'appuyant sur une experience vecue au sein d'une entreprise de service.
Chaque etape du projet est detaillee depuis la phase de lancement, Ie
champ et les objectifs du projet, les modalites de fonctionnement, les
facteurs cles de succes jusqu'a la phase de mise en ceuvre operationnelle
du dispositif de Controle Interne.
La mise en perspective du Controle Interne en tant que demarche de chan-
gement est egalement proposee ; en effet si cette demarche est mal appre-
hendee et mal geree tout au long du projet, cela represente un frein majeur
dans la mise en place d'un dispositifperformant de maitrise des risques.
Ce chapitre integre egalement des applications au facteur management
(construction d'un organigramme, realisation de fiches de postes, mise en
place de mesure de temps) afm de repondre a notre approche concrete et
operationnelle.
Le chapitre 6 propose des questionnaires operationnels qui repondent aux
objectifs de Controle Interne tels que definis par Ie COSO et la Securities
Exchange Commission (SEC) :
• respect des regles et reglementations,
• securisation des actifs,
• fiabilite des infonnations comptables et financieres,

• efficacite et optimisation des operations.

Quelques exemples de questionnaires sont alors declines par processus de
management:
• les processus operationnels tels que Ie processus Achats avec ses risques
et ses bonnes pratiques, et Ie processus ressources humaines,
• les processus de certaines fonctions supports : tresorerie, publication et
remontees des informations comptables et financieres, systemes d'infor-
mation ou hygiene & securite au travail.
Enfin, nous mettrons en exergue tout Ie long du livre que la mise en place
d'un dispositif de Contrale Interne est essentiellement dictee par la
complexite des environnements et des risques auxquels toutes les entre- .
prises doivent faire face:
• des catastrophes, rapidement relayes par les medias, ne peuvent plus
passer inapen;ues (tunnel du Mont Blanc, Erika, incendie du Credit
Lyonnais ... ) ;
• des exigences plus precises des parties prenantes aI' entreprise en
matiere d' acces a une information transparente et complete;
• des criteres de jugement sur les organisations traditionnelles mais aussi
sur les organismes publics (sang contamine, vache folIe, comptes
truques, fraudes, grippe aviaire ... ).
Par consequent, tous les experts s'accordent a dire que les entreprises a
forte dispersion geographique, a activites diversifiees, a procedures auto-
matiques de pouvoirs devenant la regIe, la mise en place de securites
permanentes devient alors une obligation si I' on veut assurer la perennite
des activites. Ce constat exterieur ne peut que nous conforter dans Ie bien
fonde de notre demarche. Le Contrale Interne ne se compose pas de regles
figees, mais doit evoluer comme la vie des activites qu'il sert et accom-
pagne. II suppose, donc, un entretien permanent qui demande un investis-
sement personnel a tous les niveaux de taches et de responsabilites. D'ou
la notion, comme Ie « kaisen » (perpetuel recommencement) en qualite, de
Contrale Interne permanent.
II s'appuie sur deux valeurs fondamentales :
• un etat d' esprit: la demarche est participative,
• des regles ethiques : transparence, rigueur, souplesse, implication et
esprit de collaboration.
En consequence, la mise en place d'un tel dispositifva generer des chan-
gements non negligeables en modifiant les habitudes, en entrainant des
evolutions dans les methodes de travail et en demandant davantage de
rigueur et de formalisme dans l'execution des taches.
Mais, au-dela des changements, Ie dispositif de Contrale Interne va, par
une discipline collective de gestion, permettre d'assurer une meilleure
efficience des moyens mis en ceuvre dans les organisations.
 lES CONCEPTS ESSENTIElS
DU CONTROlE INTERNE PERMANENT

1.1 ELEMENTS DE DEFINITION DU CONTROlE INTERNE

1.1.1 les approches dites « classique }) et « actuelle })

du Controle Interne

Le tenne Contr6le Interne est la traduction Iitterale de I' expression anglo-

saxonne : « Internal Control» (ou Business Control pour les Americains)
dans lequelle verbe « to control» signifie conserver la maitrise de la situa-
tion alors qu'en fran9ais Ie mot « contr6le » est davantage compris comme
Ie fait d' exercer une action de surveillance sur quelque chose pour
l'evaluer.

Nous vous proposons donc la definition suivante du Controle Interne au sens « clas·
sique » : Ie Controle Interne est un ensemble de dispositifs ayant pour but, d'un cote
d'assurer la protection, la sauvegarde du patrimoine et la qualite de I'information, de
I'autre d'assurer I'application des instructions de la Direction et de favoriser I'amelio·
ration des performances.

L'« Internal Control» se traduit dans les faits par deux aspects
complementaires :
• un etat d'esprit dont la responsabilite incombe a toute personne exer-
9ant quelque autorite dans l'organisation : planifier les taches, orga-
niser les responsabilites, conduire les operations et en controler la bonne
marche;
• un ensemble de moyens, mesures et methodes pour y parvenir.
Deux grandes categories de contr6les sont reprises au travers de cette
approche c1assique :
• les contr6les administratifs ou operationnels dont Ie but est, pour la
Direction, de s'assurer de l'atteinte des objectifs fixes a l'aide de
pratiques permettant d'accroltre l'efficacite dans toutes les fonctions de
l'entreprise. Ces pratiques devront etre appliquees par du personnel
competent et dont les operations devront etre supervisees et contr6lees ;
• les contr6les comptables ou financiers qui se caracterisent par une orga-
nisation et des procedures directement liees a la preservation des actifs
et a la fiabilite des etats financiers.
A notre avis, c'est la definition proposee par Ie CNCC (Compagnie Natio-
nale des Commissaires aux Comptes) qui reflete Ie mieux I' approche
actuelle.

« Les procedures de Contrale Interne impliquent: Ie respect des politiques de gestion,

la sauvegarde des actifs, la prevention et la detection des fraudes, I'exactitude et
I'exhaustivite des enregistrements comptables, I'etablissement en temps voulu d'infor-
mations comptables et financieres stables. » (Norme CNCC 2-301 « Evaluation du
risque et Contrale Interne », para 08, Referentiel normatif CNCC, juillet 2003.)

L'approche actuelle est donc plus large que l'approche c1assique car:
• Ie Contr6le Interne est aborde en termes de processus et plus seulement
en termes de techniques et de dispositifs de securite ;
• elle replace I' ensemble du personnel de I' entreprise au creur du Contr6le
Interne.

A la suite d'une serie de faillites « anormales » aux Etats-Unis dans les annees 80,
une commission, sous la responsabilite du senateur Treadway, entreprend une etude
sur un cadre de contrale. Ce travail aboutit en 1992 au premier instrument de Contrale
Interne : Ie COSO. La question elementaire de ce modele est « comment faire pour
maitriser au mieux ses activites ? ».
 Le Controle Interne est un processus mis en muvre par Ie conseil d'administration, les
dirigeants et Ie personnel d'une organisation, destine 8 fournir une assurance raison-
nab Ie quant 8 la realisation des objectifs suivants :

• la realisation et I'optimisation des operations,

• la fiabilite des informations financieres,
• la conformite aux lois et aux reglementations en vigueur.

Ainsi Ie Contrale Interne n' offre pas de garantie absolue car il ne pennet
pas de realiser comph~tement les objectifs fixes par les responsables d'une
organisation, mais fournit uniquement «une assurance raisonnable»
quant a l'atteinte de ces objectifs.

En ce sens, nous pouvons ajouter que Ie Controle Interne ne rend pas la fraude impos-
sible, ce n'est qu'un moyen preventif de la limiter au maximum ou de la decouvrir
aussitot que possible.

Le COSO decoupe les elements du Contrale Interne en 5 parties :

• environnement de contrale,
• evaluation des risques,
• activites de contra Ie,
• information et communication,

IJH" Remarque

Le « COSO 2» est une etude realisee aux Etats-Unis dans la foulee du Sarbanes-
Oaxley Act (SOX). II ne propose pas un referentiel de Controle Interne (8 I'instar du
COSO) mais un modele de gestion des risques. II s'appuie sur Ie COSO comme refe-
rentiel de Controle Interne. .
L'environnement de contr61e constitue la base de la construction du
Contr6le Interne COSO. Cette notion d'environnement de contr6le
implique une ethique et une politi que generales sensibilisees au contr6le.
L'ethique se diffuse grace a un conseil d'administration et un management
conscients de la necessite de montrer l'exemple (integrite) et de deployer une
culture de l'entreprise valorisant Ie besoin de contr6le aupres du personnel.
Vne politique s'appuie sur des normes et procedures appropriees, sur un
code de conduite valorisant l'adhesion aux valeurs de l'organisation, sur
une conception des systemes et une exploitation quotidienne adaptees a
l'organisation et securisees, et sur des valeurs humaines.

~ Evaluation des risques

L'evaluation des risques reside dans la detection et l'analyse des facteurs

susceptibles de perturber la realisation des objectifs. C'est un processus
continu et repetitif.
Les risques couverts sont aussi bien internes qu'externes, avec une atten-
tion particuliere aux risques specifiques et aux changements.
La finalite est d'aboutir a une gestion des risques. Cette gestion presup-
pose la classification en deux grandes categories: Ie risque non acceptable
et Ie risque acceptable et residuel.
L'etape preliminaire et obligatoire a l'evaluation des risques est la defini-
tion des objectifs.

Les activites de contr6le sont Ie contr6le de la mise en application des

nonnes et des procedures definies par la direction et Ie management dans
la dynamique de la maitrise des risques.
On peut dec1iner les activites de contr6le en plusieurs categories:
• contr6le detectif / contr6le preventif,
• contr6le informatique / contr6le manuel,
• contr6le hierarchique.
Une attention particuliere sera apportee aux activites informatiques de
controle. Un exemple de referentiel de Controle Interne sur les systemes
d'information avec la formalisation de points de controle, de risques
associes et de bonnes pratiques est propose dans Ie chapitre VI.6.

L'information doit etre pertinente, precIse, exacte, en temps voulu et

diffusee au bon destinataire. Sa circulation doit etre multidirectionnelle
(descendante, ascendante et transversale), et integrer les informations
externes.
La communication est l'outil indispensable pour la transmission de I'infor-
mation - notamment les directives de la Direction Generale - et ses carac-
teristiques essentielles sont I' efficacite et la clarte.

Le systeme de pilotage permet de valider que Ie Controle Interne est effi-

cace. II doit integrer Ie traitement des faiblesses de Controle Interne
detectees dans Ie but de renforcer I'atteinte des objectifs.
Ce systeme permet au management d'assumer son role de maitre d'reuvre
du dispositif de Controle Interne.

Une societe, acteur majeur sur son marche, « la distribution », a realise un diagnostic sur
son environnement de Controle Interne afin de rediger son rapport LSF (Loi de Securite
Financiere).
Elle s'appuie sur une organisation decentralisee, une responsabilisation de ses dirigeants et
des modes de gestion differents.
II en ressort les dysfonctionnements enumeres ci-dessous.

Absence:
• d'acteur federateur au siege et de leader du pilotage pour assurer I'harmonie et la cohesion
des elements du Controle Inteme,
I de cellule dediee rattachee a la Presidence pour definir et structurer I'environnement de
pilotage et de controle,

I de repartition des roles et responsabilites,

I de definitions de poste formalisees,

I de chartes, directives, normes qualite, procedures,

I de delegations de pouvoirs internes et d'engagements formalises a I'echelle du Groupe,

I de communication sur Ie Controle Interne,

I d'analyse des risques par I'ensemble des fonctions au niveau des entites et du Siege,

I d'un dispositif de detection et de revue reguliere des risgues lies a I'exploitation.

Aspects a ameliorer etlou a formaliser :

I missions et responsabilites des personnes a clarifier et a formaliser,

I organigrammes avec liens hierarchiques et fonctionnels a formaliser,
I organigramme juridique du Groupe en cours de mise a jour,
I exhaustivite du perimetre juridique a confirmer,
I non formalisation « strictement necessaire » de procedures, ne permettant pas de s'assurer
que les orientations de la Direction sont mises en oouvre de maniere appropriee,

I I'identification et la hierarchisation des risques pour chaque unite de travail formalisees au

sein du Document Unique (decret du 05/11/01) ne sont pas realisees par chaque enlite,

I un processus de recensement formalise des risques de toute nature susceptibles d'affecter

la poursuite de I'activite afin de constituer une premiere approche de formalisation d'une
cartographie globale des risques en vue de :

- degager une premiere hierarchisation,

- s'inscrire dans une dynamique de suivi, d'animation et d'evaluation reguliere : cartogra-

phie, audits terrain ... ,

- formaliser les procedures pour servir de referentiel applicable par tous.

- identifier les risques informatiques et mettre en place une charte specifique au sein des
entites operation nelles,

'ies processus « gestion des hommes », « juridique », « achats » et « assurances groupe»

ne sont pas encadres par des procedures,
• I'information sur les evenements du Groupe irrigue tous les niveaux de I'entreprise par
I'intermediaire de comites, ateliers de travail et intranet. Cependant I'information relative aux
responsabilites des organisations et des hommes est peu diffusee,
• necessite de methodes, referentiels communs Groupe formalises et partages par tous
selon une communication adequate,
- missions et responsabilites des structures en place (siege, fonctions expertes, plate-
forme, entites operationnelles ...),
- bonnes pratiques, contrale de gestion, juridique, fiscal, achats.

» » » » » » » » » » » » » » » » » »
L'objectif de ce cas pratique est d'affecter les points de Controle Interne en fonction
des 5 composantes COSO. La correction proposee est la suivante :
Les cinq elements suivants doivent etre pris en consideration pour un dispositif de Contrale
Interne efficace :
• Environnement de contrale : fondations du dispositif de Contrale Interne, ce principe fait
reference a la sensibilisation du personnel aux principes de Contrale Interne dans
I'ensemble de I'organisation (ethique, integrite, conduite, discipline, probite).
• Evaluation des risques : identification et anticipation par Ie management des facteurs de
risques susceptibles d'affecter la poursuite des objectifs.
• Activites de contrale : definies par I'evaluation des risques, ce principe a trait a I'application
des directives, procedures et pratiques permettant de s'assurer que les orientations definies
par la Direction sont mises en reuvre de maniere appropriee.
• Information et communication: processus permettant de s'assurer que !'information perti-
nente est identifiee, recueillie et diffusee dans des delais appropries afin que I'ensemble des
organisations du Groupe puisse assumer ses responsabilites.
• Pilotage: outils qui permettent de contraler et d'evaluer la qualite du Contrale Interne du
Groupe a travers les activites de Supervision exercees par la Direction.

Exemples d'environnement de controle deficient:

• missions et responsabilites des personnes a clarifier et a formaliser,
• organigrammes avec liens hierarchiques et fonctionnels a formaliser,
• organigramme juridique du Groupe en cours de mise a jour,
• exhaustivite du perimetre juridique a confirmer,
• absence/defaut de repartition des rales & responsabilites,
• absence/defaut de definitions de poste formalisees,
• absence/defaut de delegations de pouvoirs intemes et d'engagements formalisees a
I'echelle du Groupe.
Exemples d'evaluation des risques deticiente :

• les risques ne sont pas apprehendes par I'ensemble des fonctions au niveau des entites et
du Siege dans chaque domaine de competence,
• un dispositif de detection et de revue reguliere des risques lies a I'exploitation n'est pas mis
en place,
• I'identification et la hierarchisation des risques pour chaque unite de travail formalisees au
sein du Document Unique (decret du 05/11/01) ne sont pas realisees par chaque entite,
• un processus de recensement formalise des risques de toute nature susceptibles d'affecter
la poursuite de I'activite n'a pas ete iniM recemment, qui aurait permis de constituer une
premiere approche de formalisation d'une cartographie globale des risques en vue de :
degager une premiere hierarchisation, s'inscrire dans une dynamique de suivi, d'animation
et d'evaluation reguliere (cartographie, audits terrain ... ).

Exemples d'activites de controle deficientes :

• absence de chartes, directives, normes qualite, procedures,

• non formalisation « strictement necessaire » de procedures, ne permettant pas de s'assurer
que les orientations de la Direction sont mises en reuvre de maniere appropriee,
• les procedures existantes ne sont pas suffisamment normees pour servir de referentiel
applicable par tous,
• la gestion des systemes d'information est en cours de mise aux normes avec notamment
la mise en place d'une charte informatique et d'un referentiel de Contrale Interne en cours
d'adaptation au sein des entites operationnelles,
• les processus « gestion des hommes », « juridique », « achats » et « assurances groupe»
ne sont pas encadres par des procedures.

Exemples d'information et de communication deficientes :

Necessite de methodes et de reterentiels communs formalises et partages par tous selon une
communication adequate:
• missions et responsabilites des structures en place (siege, fonctions expertes, plateformes,
entites operationnelles ... ),
• bonnes pratiques,
• contrale de gestion, juridique, fiscal, achats,
• I'information sur les evenements irrigue tous les niveaux de I'entreprise par I'intermediaire
de comites, ateliers de travail et intranet. Cependant ,'information relative aux responsabi-
lites des organisations et des hommes est peu diffusee.
 Exemples de pilotage deficient:
Absence:
• d'acteur siege federateur et leader du pilotage pour assurer I'harmonie et la cohesion des
elements du Contrale Interne,
• de cellule dediee rattachee directement au Directoire pour definir et structurer I'environne-
ment de pilotage et de contrale,
• de communication sur Ie Contrale Inteme.

1.1.3 Referentiel de Controle Interne selon Ie groupe de travail

« de Place» defini par I'AMF
A la suite de la loi de Securite Financiere (LSF) du 1er aofit 2003 et notam-
ment 1'article 117, l' Autorite des Marches Financiers (AMF) a confie, en
avril 2005, a un groupe de travail « de Place» Ie choix et/ou l'adaptation
d'un referentiel de Contrale Interne a 1'usage des societes franr;aises
soumises aux obligations de la loi.
Ce groupe de travail « de Place» a retenu la definition suivante :

Le Controle Interne est un dispositif de la societe, defini et mis en muvre sous sa

responsabilite, qui vise a assurer:
• la conformite aux lois et reglements ;
• I'application des instructions et des orientations fixees par la Direction Generale ou
Ie Directoire ;
• Ie bon fonctionnement des processus internes de la societe, notamment ceux
concourant a la sauvegarde de ses actifs ;
• la fiabilite des informations financieres ;
et d'une fa~on generale, contribue a la maitrise de ses activites, a I'efficacite de ses
operations et a I'utilisation efficiente de ses ressources.
a
En contribuant prevenir et maitriser les risques de ne pas atteindre les objectifs que
s'est fixes la societe, Ie dispositif de Controle Interne joue un role cle dans la conduite
et Ie pilotage de ses differentes activites.
Toutefois, Ie Controle Interne ne peut fournir une garantie absolue que les objectifs de
la societe seront atteints.
(Cf. document : Le Dispositif de Contrale Interne : cadre de reference I presentation des
travaux du Groupe de Place - 9 mai 2006.)
Ii appartient a chaque societe de metlre en place un dispositif de Contra Ie
Interne adapte a sa situation.
Dans Ie cadre d'un groupe, la societe mere veille a l'existence de dispo-
sitifs de Contrale Interne au sein de ses filiales. Ces dispositifs devraient
etre adaptes a leurs caracteristiques propres et aux relations entre la societe
mere et les filiales.

La Direction Generale ou Ie Directoire con<;oivent Ie dispositif de Contra Ie

Interne. Celui-ci fait l'objet d'une communication adequate en vue de sa
mise en reuvre par Ie personnel.
Le niveau d'implication des Conseils d' Administration ou de Surveillance
en matiere de Contrale Interne varie d'une societe a l'autre. Ii appartient
a la Direction Generale ou au Directoire de rendre compte au Conseil (ou a
son comite d'audit lorsqu'il existe) des caracteristiques essentielles du
dispositif de Contrale Interne. En tant que de besoin, Ie Conseil peut faire
usage de ses pouvoirs gene raux pour faire pro ceder par la suite aux .
contrales et verifications qu'iljuge opportuns ou prendre toute autre initia-
tive qu'il estimerait appropriee en la matiere.
Le Contrale Interne est d'autant plus pertinent qu'il est fonde sur des
regles de conduite et d'integrite portees par les organes de gouvernance
et communiquees a tous les collaborateurs. Ii ne saurait en effet se reduire
a un dispositif purement formel en marge duquel pourraient survenir des
manquements graves a I' ethique des affaires.
Le dispositif de Contrale Interne, qui est adapte aux caracteristiques de
chaque societe, doit prevoir :
• une organisation comportant une definition claire des responsabilites,
disposant des res sources et des competences adequates et s'appuyant sur
des procedures, des systemes d'information, des outils et des pratiques
appropries ;
• Ia diffusion en interne d'informations pertinentes, fiables, dont la
connaissance permet a chacun d'exercer ses responsabilites ;
• un systeme visant a recenser et analyser les principaux risques identi-
fiables au regard des objectifs de la societe et a s'assurer de l'existence
de procedures de gestion de ces risques ;
• des activites de controle proportionnees aux enjeux propres a chaque
processus et conc;ues pour rMuire les risques susceptibles d' affecter la
realisation des objectifs de la societe;
• une surveillance permanente du dispositif de Contrale Interne ainsi
qu'un examen regulier de son fonctionnement. Cette surveillance, qui
peut utilement s'appuyer sur la fonction d'audit interne de la societe
lorsqu'elle existe, peut conduire a l'adaptation du dispositif de Contrale
Interne.
La Direction Generale ou Ie Directoire apprecient les conditions dans
lesquelles ils informent Ie Conseil des principaux resultats des surveil-
lances et examens ainsi exerces.

1.1.4 L'approche moderne et proactive du Controle Interne

Notre vision du Contrale Interne s'inscrit bien evidemrnent dans Ie cadre

general enonce par les approches precedentes mais nous voudrions
montrer qu 'une autre voie a dominante plus operationnelle est egalement
possible. C'est pourquoi, nous preferons recentrer notre definition sur la
maltrise permanente des activites dans une acceptation tres large grace a
une methodologie rigoureuse d'evaluation des risques.

Nous vous proposons donc la definition suivante : « Le Controle Interne est une
demarche de determination des risques ayant pour objectif la maltrise permanente des
activites. »

Defacto, il convient tout d'abord de quantifier, d'evaluer et de hierarchiser

les differents risques identifies en utilisant une methodologie rigoureuse.
Ce travail est mene a l'aide d'une methodologie de Maltrise Interne des
RIsques et Securite dite methode MIRlS qui est tres largement developpee
dans Ie chapitre II ci-apres.
Sur un plan purement theorique, elle se caracterise egalement par trois
aspects : une finalite, des objectifs a atteindre et des principes
d' organisation.

• Permanence: Ie Controle Interne s'inscrit dans la continuite et la peren-

nite de l'organisme, il doit s'adapter a l'evolution de l'environnement de
I' organisation.
• Universalite : Ie Controle Interne concerne l'ensemble des activites de
I' entreprise et doit etre mis en reuvre par I' ensemble du personnel.
• Independance: les objectifs du Controle Interne doivent etre respectes
quels que soient les moyens et les methodes de l'entreprise.
• Harmonie: Ie Controle Interne doit etre adapte aux caracteristiques de'
I' entreprise et a son environnement.

• Existence: verifier la realite des donnees saisies, transmises et traitees.

• Exhaustivite : enregistrement de toutes les donnees justifiees et seule-
ment celles-Ia.
• Integrite des donnees : verifier que les donnees sont exactes et correc-
tement evaluees.
• Autorisation: s'assurer que les taches sont effectuees par les personnes
habilitees.

• Separation des taches : faire intervenir plusieurs secteurs ou plusieurs

personnes dans les phases successives de realisation.
• Supervision: obtenir la garantie de la qualite des taches executees.
• Dispositif: ensemble des mesures prises, des moyens mis en reuvre dans
Ie but d'atteindre les objectifs de ContrOle Interne.
De plus, certains facteurs de base peuvent egalement etre consideres
comme essentiels au bon fonctionnement du processus de Controle
Interne:
• une organisation logique qui etablit c1airement les responsabilites et
separe nettement les differentes fonctions au sein de I' entreprise. En
effet, I'un des concepts de base du Controle Interne est qu 'une meme
personne ne doit pas avoir la responsabilite, a tous les stades, d 'une tran-
saction de son origine a son aboutissement.
• une structure adequate, un manuel de procedures decrivant dans Ie detail
les schemas des circuits des informations. L'uniformite de traitement de
l'information est une condition necessaire a la fiabilite des documents
comptables. Cette homogeneite ne pourra cependant etre obtenue que si
la maniere de traiter les informations est connue des employes charges
de l'appliquer. Le moyen Ie plus efficace reste l'ecrit.

1.2 l'INTERET GENERAL D'UNE DEMARCHE

DE CONTROlE INTERNE

1.2.1 Roles et valeur ajoutee du Controle Interne

Comme enonce precedemment, Ie ContrOle Interne est un processus mis

en reuvre par Ie conseil d'administration, les dirigeants et Ie personnel
d'une organisation, destine a fournir une assurance raisonnable quant a la
realisation des objectifs suivants :
• permettre la realisation et l'amelioration des operations,
• garantir l'integrite, la pertinence et la permanence des informations,
• assurer la protection et la sauvegarde du patrimoine,
• assurer I' application des lois, des reglementations en vigueur et des
instructions de la Direction Generale.
On ne peut done plus considerer Ie Controle Interne comme une demarche
isolee. Le Controle Interne est un ensemble d'actions/decisions qui se doit
d'etre pris en compte dans toutes les activites de l'organisation. 11est ainsi
integre aux procedures. Par consequent, Ie Contrale Interne est un moyen
pour arriver a des fins; II n'est pas une fin en soi.
Le Contrale Interne est donc un processus transversal mis en reuvre par
Ie Conseil d' Administration, les dirigeants, Ie personnel et notamment les
«process owners» (proprietaires de processus). Dans Ie meme temps, de
nouveaux acteurs interviennent dans Ie processus de Contrale Interne tels
que Ie legislateur et les autorites de tutelle, les organisations profession-
nelles et Ie comite d'audit. Ces nouveaux acteurs donnent donc au
Contrale Interne une dimension obligatoire et incontournable instaurant de
nouvelles contraintes pour les entreprises.
Qui est concerne ?
Dne gestion des risques revient a une gestion de responsabilites. Toute
personne exen;ant une activite dans l' organisation a donc a gerer ses
risques dans son domaine d'activite (en effet, s'il n'y a que celui qui ne
fait rien qui ne risque rien, en corollaire toute activite comporte ses propres
risques).
On distingue neanmoins les operationnels dont la mission est de « bien
faire» et les hierarchiques dont la mission est de « bien faire faire », car
les metiers ne sont pas les memes et les moyens de gerer les risques non
plus.
Comment cela marche ?
Rien n'est plus simple, cependant cette simplicite est loin d'etre natu-
relle. AI' analyse des activites, on fait correspondre des menaces poten-
tielles et on degage ainsi des risques intrinseques. Lorsque ceux-ci se
revelent alors plus ou moins bien couverts operationnellement et/ou plus
ou moins bien suivis hierarchiquement, il en resulte des vulnerabilites resi-
duelles pour lesquelles il faut si possible apporter des solutions. La
demarche de contrale interne permet alors de chercher les solutions les
plus simples et les moins couteuses, loin de toute demagogie et de toute
pretention illusoire.
Combien cela coute ?
Chacun apportant sa contribution, l'effort total parait important (a juste
titre) mais reste tres reduit individuellement (si tous les automobilistes
apportaient, Ie meme jour, leur voiture pour vidange chez Ie meme gara-
giste, cela lui paraitrait impossible, mais si chacun des automobilistes
realise sa vidange lui-meme, chaque effort est minime). Ici, l'effort est
reparti et etali dans Ie temps, car tout Ie monde doit contribuer Acet effort
global pour s' en approprier individuellement Ie resultat.
Combien cela rapporte ?
Les resultats operationnels directs se mesurent en nouvelles procedures de
contrale, en procedures de maitrise (c'est Ie contrale des procedures), en
moyens (contractuels, materiels, logiciels, etc.), mais aussi en comporte-
ment (donc en variation de I' echelle des valeurs, c' est-A-dire en culture).
Les retours d'investissements s'evaluent quantitativement en accroisse-
ment entre deux etats de profit ou de service.
Comment s'y prendre?
Le monde ne s'est pas construit en un jour. II vaut parfois mieux prendre Ie
temps de reus sir dans quelques mois que de ne jamais arriver Aun resultat
vise trop tat. II suffit donc de commencer par un petit domaine de I' organi-
sation' sans prendre de risques inutiles. C'est aussi Ie moyen de se mettre
progressivement en confiance.
Nous verrons plus loin, les grandes etapes de mise en reuvre.
QueUes sont les principales limites de l'apport d'un dispositif de
ContrOle Interne?
Tout d'abord, un systeme de Contrale Interne si perfectionne soit-il n'est
pas systematiquement respecte :
• une intention de nuire peut enrayer Ie processus (Ie whistleblowing
- autrement dit la denonciation - est evoque comme nouvel outil contro-
verse de prevention des risques),
• les risques ne sont jamais mis sous contrale dans leur integralite,
• un processus de Contrale Interne ne previent pas des erreurs de jugements,
• Ie Contrale Interne ne previent pas des evolutions externes A
l' organisation.

Ensuite, les objectifs sont souvent distincts les uns des autres mais ils
doivent se recouper de maniere homogene dans I' organisation generale, ce
qui n'est pas forcement Ie cas si ces objectifs deviennent contradictoires.
Par exemple, un objectif de separation des taches repondant it une
problematique purement Contr6le Interne mais necessitant des moyens
supplementaires peut etre arbitre avec un objectif d'amelioration de la
performance conduisant it restreindre les moyens.

1.2.2 Positionnement du Controle Interne

vis-a-vis des fonctions transverses
[audit, qualite, controle de gestion, deontologie ... ]

Le dispositif de Contrale Interne est complete par la fonction d'Audit Interne, organe
independant au sein de I'organisation, rattache de preference a la Direction Generale et
veritable pierre angulaire de I'edifice. Ces missions sont d'etre garantes du respect et
de la bonne application des regles du Groupe et d'evaluer I'efficacite de regles locales
qui ont ete edictees et mises en aluvre sur Ie terrain.
L'Audit Interne (ou Ie Contrale Interne de second degre) evalue Ie degre de maitrise
des operations au sein d'une organisation, lui apporte ses conseils pour les ameliorer,
et contribue a creer de la valeur ajoutee.

L'Institut de l'Audit Interne (IFACI) precise que: «L'Audit Interne est

une activite independante et objective qui donne it une organisation une
assurance sur Ie degre de maitrise de ses operations, lui apporte ses
conseils pour les ameliorer, et contribue it creer de la valeur ajoutee.
II aide cette organisation it atteindre ses objectifs en evaluant, par une
approche systematique et methodique, ses processus de management des
risques, de contr6le, et de gouvernement d'entreprise, et en faisant des
propositions pour renforcer leur efficacite. »
(Definition approuvee Ie 21 mars 2000 par Ie Conseil d' Administration de
l'IF ACI. Traduction de la definition internationale approuvee par l'IlA Ie
29 juin 1999.)
Le systeme de management par la qualite est I'element du systeme de management
de I'organisme qui se concentre sur I'obtention des resultats, en s'appuyant sur les
objectifs qualite, pour satisfaire, selon les cas, les besoins, les attentes ou exigences
des parties interessees.
II repose en general sur 8 grands principes :
• orientation client,
• leadership,
• implication du personnel,
• approche par processus,
• management par approche systeme,
• amelioration continue,
• approche factuelle pour la prise de decision,
• relation mutuellement benefique avec les fournisseurs .
•.• Le systeme de management de la qualite apparait comme une composante du
systeme de Controle Interne focalisee sur la dimension « respect des objectifs
qualite » et ciblee sur les attentes des clients et des autres parties interessees.

Le « risk management» est une politique d'entreprise qui permet d'assurer la conti-
nuite de I'activite coOte que coOte. II lui est necessaire d'avoir une vision globale de
I'activite dans son actualite et par rapport a des situations extremes afin de pouvoir
apporter des solutions concretes.
Le « risk management» s'inscrit dans un processus d'auto-identification du risque
afin de b&tir une autoprevention de ce risque. On parle alors de risque pur et de risque
speculatif .
•.• Le Controle Interne versus « risk management» est alors un outil indispensable
dans I'elaboration d'une politi que de controle des risques.
 Le controle ethique et deontologique se porte garant que I'organisation (et ses colla-
borateurs) se conforme a la lettre et a I'esprit de tous les codes, lois, reglements,
normes et bonnes pratiques professionnelles. Cette fonction garantie que I'activite est
exercee avec integrite et professionnalisme.
Son responsable devra precisement identifier les points de controle deontologiques .
..• Le Controle Interne se doit d'integrer la definition des regles et Ie cadre de refe-
rence de la fonction deontologie dans la mise en place des procedures.
Le deontologue doit donner un avis sur une situation. La tendance actuelle dans les
organisations est la nomination d'un deontologue qui se porte garant de tout manque-
ment significatif, vis-a-vis des regulateurs exterieurs.

Le controle de gestion est un processus visant a mieux connaitre et mieux comprendre

I'activite de I'entreprise. Ses actions prennent place tant en previsions et travaux prea-
lables qu'en constatations posterieures, tant en reflexions, analyses et conseils qu'en
production de tableaux de bord et de commentaires.
II integre les donnees comptables mais aussi les elements commerciaux, techniques,
qualitatifs et humains.
II se doit de donner une meilleure visibilite generale afin de permettre a I'organisation
une reactivite accrue par rapport aux risques et opportunites.
..• Le Controle Interne est un outil pour garantir au controle de gestion la fiabilite des
informations traitees et pour ameliorer la realisation des objectifs.

A l'instar de la loi Sarbanes-Oxley, la loi de Securite Financiere se

veut « une reponse, a la [ois politique et technique, a la crise de confiance
dans les mecanismes du marche et aux insuffisances de regulation dont
Ie monde economique et financier a pris conscience 1 » suite it divers
scandales financiers et it I' effondrement de grandes entreprises
multinationales.
Pour les pouvoirs publics, il convenait de « reguler Ie capitalisme 2 », de
retablir Ie « pacte de confiance dans I' economie de marche 3 » et de faire
de cette crise boursiere une opportunite pour progresser.
La loi de Securite Financiere, votee Ie I er aout 2003, impose au President
du Conseil d' Administration ou de Surveillance de toute societe anonyme
de rendre compte :
• des conditions de preparation et d'organisation des travaux du Conseil,
• des procedures de Contrale Interne mises en place au sein de la societe.
Trois articles majeurs au sein de ce texte de loi concernent particuliere-
ment les societes anonymes :
• Art 117 (texte original) : Ie President du conseil (d' Administration des
societes anonymes et des societes faisant appel public it l'epargne ; Ie
President de leur Conseil de Surveillance) doit rendre compte dans un
rapport presente it I' Assemblee Generale, des conditions de preparation
et d'organisation des travaux du Conseil ainsi que des procedures de
Contrale Interne mises en place par la societe.
• Art 120 (texte original) : Ie commissaire aux comptes doit verifier la
sincerite des informations et declarations contenues dans Ie rapport du
President pour ce qui est des procedures de Contrale Interne relatives it
l'elaboration et au traitement de l'information comptable et financiere et
presenter ses observations dans son rapport annuel.
• Art 122 : instauration de l' AMF (Autorite des Marches Financiers) qui
se substitue it la COB (Commission des Operations de Bourse) et au
CMF (Conseil des Marches Financiers) et qui devra etablir chaque
annee un rapport sur la base des informations qui auront ete publiees.
Le Senat revient sur la loi, un an apres sa promulgation, et fait un bilan de
sa mise en reuvre dans un rapport d'information n° 431 (2003-2004), de

I. Communication de F. Mer au Conseil des ministres du 5 fevrier 2003.

2. Entretien avec M. Prada, president de I'AMP.
3. Discours de F. Mer devant I'Assemblee Nationale, Ie 29 avril 2003.
M Philippe MARINL Senateur de l'Oise, au nom de la commission des
finances du Senat.
H en ressort que les acteurs de la vie fmanciere se sont rapidement appro-
pries la loi, avec notamment la creation rap ide de I' AMF des
novembre 2003.
H en ressort egalement que I' ensemble des entreprises est maintenant
sensibilise au renforcement des obligations en matiere d'information sur
Ie Contrale Interne et sur I' organisation des travaux du Conseil, mais que
subsiste des difficultes d'interpretation et d'application avec notamment
Ie «faux-debat» sur la semantique «rendre compte» : description ou
evaluation du Contrale Interne?

A, LE RENFORCEMENT OES OBLIGATIONS EN MATIERE O'INFORMATION SUR LE CONTROLE INTERNE ET SUR

L'ORGANISATION OES TRAVAUX OU CONSEIL

1. Des difficultes d'application et d'interpretation

Description ou evaluation: un faux debat.
« Sans doute faut-il relativiser Ie debat entre description et evaluation qui est souvent
presente de maniere trap caricaturale. II ne s'agit naturellement pas de demander a I'entre-
prise de proceder a une autocritique qui pourrait avoir des effets destructeurs. II s'agit
d'encourager I'adoption d'une perspective dynamique orientee vers Ie progres, plutot que
figee sur I'existant. Le consensus en faveur d'une demarche descriptive ne doit pas consti-
tuer un pretexte a I'adoption d'une demarche superficielle qui constituerait alors une forma-
lite supplementaire a la charge des entreprises, sans veritablement induire en contrepartie de
consequences sur leurs comportements et leurs methodes, »
« L'exigence d'une analyse suffisamment fine et d'une perspective dynamique devrait
permettre de depasser Ie debat sterile entre description et evaluation. »

Neanmoins cette loi pose une question d'interpretation fondamen-

tale: qu'entend-on par Procedure de Controle Interne?
Plusieurs definitions existent. On peut reprendre celle de la CNCC ou du
COSO, neanmoins Ie MEDEF (Mouvement des Entreprises Fran<;aise) a
restreint un peu Ie champ:
« Les procedures de Contr61e Interne veillent a ce que les actes de gestion
ou de realisation des operations ainsi que les comportements des
personnels, s'inscrivent dans Ie cadre defini par les orientations donnees
aux activites de l'entreprise par les organes sociaux, par les lois et les
reglements applicables, et par les valeurs, norn1es et regles internes de
l'entreprise.
Par ailleurs, elles permettent de verifier que les informations comptables,
financieres et de gestion communiquees aux organes sociaux de la societe
refletent avec sincerite l' activite et la situation de l' entreprise. »
D'autre part, il est interessant de noter que Ie champ d'application de la
LSF a ete limite aux societes anonymes faisant appel public ai' epargne
(APE) dans Ie cadre de la loi Breton du 26 juillet 2005.

La loi de Securite Financiere impose de produire un rapport Jomt au

rapport de gestion des societes conformement aux dispositions des articles
L. 225-37 et L. 225-68 du Code du commerce au titre des exercices
ouverts a partir du 1er janvier 2003.
Sous la responsabilite du Conseil d'Administration (ou de Surveillance),
il revient a la Direction Generale / Directoire de definir et de mettre en
reuvre des procedures de Contr61e Interne adequates et efficaces.
11appartient au President du Conseil d' Administration ou de Surveillance
d'en rendre compte dans son rapport.
La responsabilite civile collective des administrateurs / membres du
Conseil de Surveillance peut etre engagee, sans occulter celIe du Direc-
teur General / Directoire, pour toute faute commise dans l' execution de
leur mandat (notamment dHaut de Contr61e Interne).

Aux termes des articles L. 225-37 et L. 225-68 du Code de Commerce, Ie

rapport du President doit etre joint au rapport de gestion du Conseil
d' Administration (ou de Surveillance) ; dans Ie cas d 'une societe tete de
Groupe, il est egalementjoint au rapport sur I'activite du Groupe.
En consequence, il va suivre les regles de publicite suivantes :
• envoi aux actionnaires sur leur demande ou mise a leur disposition
(art. 135 du decret du 23 mars 1967),
• presentation (et non lecture) aI' Assemblee Generale ordinaire annuelle
des actionnaires (art. L. 225-100),
• depot au greffe du Tribunal de commerce (art. L. 232-23).
Le Conseil d'Administration (ou de Surveillance) doit-il formellement
prendre connaissance du rapport ?
La loi reste muette sur ce point. Neanrnoins, il serait preferable que Ie
rapport soit officiellement presente au Conseil d' Administration (ou de
Surveillance) et, plus precisement, a l'occasion de l'arrete des comptes
annuels.
L'art. L. 621-18-3 du Code monetaire et financier prevo it que les societes
cotees rendent publiques les informations dans les conditions fixees par
Ie reglement general de l' AMF (Autorite des Marches Financiers) : mise a
disposition sous format electronique sur Ie site de l' AMF, et sur Ie site de
l'emetteur lorsqu'il dispose d'un tel site.

Les Commissaires aux Comptes (CAC) doivent faire part de leurs propres
observations sur Ie rapport du President « pour celles des procedures de
Controle Interne qui sont relatives a l'elaboration et au traitement de
l'information comptable et financiere» (article L. 225-235 du code de
commerce et art. 120 de LSF) :
• Ie CAC doit lui aussi rediger un rapport special, lequel sera joint a son
rapport general. Dans ce cadre, il est necessaire que Ie CAC dispose des
informations utiles a son etablissement (la CNCC precise que Ie contenu
du rapport du president doit etre suffisarnrnent documente afin de
permettre aux CAC de mettre en reuvre leurs diligences),
• selon l' ANSA (Association Nationale des Societes Anonyrnes), «Ie
CAC n'a pas a porter de jugement sur l'efficacite du Controle Interne
et doit se borner a verifier l' exactitude factuelle des informations
contenues dans Ie rapport; en cas d'inexactitude, il doit la signaler ».
S'agissant de la publicite attachee au rapport special du CAC, ce dernier
etant generalement joint au rapport general, suivra les memes regles de
publicite :
• envoi aux actionnaires sur leur demande ou mise a leur disposition
(art. 135 du decret du 23 mars 1967),
• presentation a I' Assemblee Generale ordinaire annuelle des actionnaires
(art. L. 225-100),
• depat au greffe du Tribunal de commerce (art. L. 232-23).

Comme beaucoup de dispositifs mis en place ces dernieres annees par Ie

legislateur, Ie non etablissement du rapport sur les procedures de Contrale
Interne n' entrame pas de sanction particuliere, mais uniquement une .
mention de carence portee dans Ie rapport special du Commissaire aux
Comptes, et une eventuelle responsabilite civile du President si un tiers
interesse s' estime lese par une telle carence ou, eventuellement, par la
production d'un rapport fallacieux.
Pour ce qui concerne les societes cotees, en revanche, outre la sanction
du marche, seront eventuellement applicables les sanctions prevues dans
Ie cadre de la diffusion de fausses informations de nature a
modifier Ie
fonctionnement du marche, infraction sanctionnee a la fois par une ordon-
nance du 28 septembre 1967 et un reglement COB - loi du 2 aout 1989 -,
revetant ainsi une double qualification: penale et administrative.
Neanmoins, l'interet est egalement en interne dans la mesure ou Ie dispositif
doit automatiquement entrainer les entreprises a s'interroger sur la perti-
nence de leur Contrale Interne, a en verifier I' efficacite et donc a ameliorer
leur securite juridique. C'est une opportunite a saisir pour un Groupe afin de
s'assurer de la maitrise de ces risques et de sensibiliser les operationnels a
leur environnement de contrale et aux notions de Contrale Interne.

Le Sarbanes-Oxley Act (SOX), vote en juillet 2002 par Ie congres ameri-

cain est une loi qui constitue la plus grande reforme dans Ie domaine finan-
cier depuis la crise economique de 1930.
Cette loi est guidee par trois grands principes :
• exactitude et accessibilite de l'information comptable et financiere,
• responsabilite des gestionnaires,
• independance des verificateurs/auditeurs.
Cette loi impose une analyse de I' environnement de Contr6le Interne de
chaque societe cotee, aboutissant a une evaluation du domaine comptable
et financier sous la responsabilite du Directeur General (Chief Executive
Officer) et du Directeur Financier (Chief Financial Officer).
La SEC a commente d'une maniere tres detaillee cette loi en lui donnant
un caractere pragmatique d'application dans son document «Manage-
ment's Reports on Internal Control Over Financial Reporting and Certifi-
cation of Disclosure in Exchange Act Periodic Reports ».

Les societes deposant leurs rapports annuels aupres de la SEC en vertu de I'article 13 (a)
ou 15 (d) de la Loi sur Ie Controle des Operations en Bourse de 1934, doivent satisfaire aux
conditions de la SOX depuis aoOt 2003. L'article 302 a deux objectifs principaux :
1. Les responsables des socil~tes doivent delivrer un rapport trimestriel
et garantir que:
• Ie rapport trimestriel a ete etudie par leurs soins,
· a leur connaissance, Ie rapport ne contient aucune fausse declaration sur un element deter-
minant ni n'omet de declarer un element majeur lors de la publication des comptes,
• a leur connaissance, les declarations financieres et autres renseignements financiers figu-
rant dans Ie rapport refletent la realite financiere.
2. Les responsables de societe doivent garantir que les processus de production
et de publication des etats financiers sont efficaces :
• ils leur incombent d'etablir et de maintenir des controles leur permettant d'avoir connais-
sance de toutes les informations importantes, particulierement pendant la periode au cours
de laquelle est prepare Ie rapport periodique ;
• ils doivent evaluer I'efficacite des controles sur Ie processus de production et de publica-
tion des etats financiers dans les 90 jours qui precedent la date de depot du rapport et
presenter, dans Ie rapport, leurs conclusions sur I'efficacite des controles sur la base de
I'evaluation requise depuis la date en question;
 • ils doivent signaler aux Commissaires aux Comptes et au Comite d'Audit (a) toutes les
anomalies significatives, en termes de conception et d'execution du dispositif de Controle
Interne, qui pourraient porter prejudice a la capacite de la societe a enregistrer, traiter,
resumer et publier des donnees financieres ; (b) toute faiblesse significative en termes de
controles internes; (c) toute pratique frauduleuse, qu'elle soit ou non significative, qui
implique la direction ou d'autres employes concernes par Ie dispositif de Controle Interne;
et (d) I'existence ou I'absence de changements significatifs dans Ie dispositif de Controle
Interne ou d'autres facteurs qui pourraient impacter Ie dispositif apres la date de I'evalua-
tion, et toutes mesures de correction sur les anomalies et faiblesses significatives.

Section 404 : EVALUATION DU NIVEAU DE CONTROlE INTERNE PAR LA DIRECTION GENERAlE

Le principal objectif de I'article 404 precise comment rediger un rapport de gestion, portant
uniquement sur les etats financiers, a I'attention de la Direction Generale sur Ie dispositif de
Controle Interne en vigueur dans la societe et qui doit contenir les 4 points suivants :
• Une declaration de responsabilite de la Direction Generale quant a la creation et au main-
tien du dispositif de Controle Interne approprie.
• Une declaration sur les moyens mis en reuvre par la Direction Generale pour evaluer I'effl-
cacite du dispositif de Controle Interne de la societe.
• L'evaluation par la Direction Generale de I'efflcacite du dispositif de Controle Interne a
compter de la fin de I'exercice fiscal Ie plus recent, avec une declaration mentionnant si
oui ou non Ie dispositif de Controle Interne est efflcace. L'evaluation doit mentionner les
anomalies et faiblesses materielles identifiees par la Direction Generale au sein du dispositif
de Controle Interne de la societe. La Direction Generale n'est pas en droit de conclure
que Ie dispositif de Controle Interne de la societe est efflcace s'i1existe une ou plusieurs
anomalies ou faiblesses materielles.
• Le Commissaire aux Comptes doit attester d'avoir audite Ie dispositif de Controle Interne
et son rapport doit etre integre au rapport annuel d'activite de la societe. La periodicite de
ce rapport est annuelle sauf si des changements significatifs sont apparus lors du dernier
trimestre.

De plus, cette loi, a la difference de la loi de Securite Financiere, applique

des sanctions. En effet toute irregularite consciente ou involontaire est
penalisee. Les dirigeants pris en faute encourentjusqu'a 20 ans de prison.
Globalement c'est une loi qui impose aux societes de cemer leurs risques
financiers et de les evaluer regulierement.
1.2.4 Exemple de methodologie d'application
de la loi Sarbanes-Oxley

Contrairement a la loi LSF, SOX conceme uniquement les aspects finan-

ciers relatifs a la production et a la publication des etats financiers mais
suit un processus d'application tres rigoureux et exhaustif.
La mise en place de cette loi engendre des besoins considerables en termes
de res sources financieres et humaines mais s'applique uniquement aux
societes cotees aux Etats-Unis (Nyse, Nasdaq ... ).
II est absolument necessaire d'avoir un soutien fort de la Direction Gene-
rale pour rentrer dans une veritable demarche projet avec la mise en place
de comites de suivi, d 'un plan strategique ainsi que la designation de relais
actifs au sein des entites concemees.

> cad,age)
Prise de connalssance
Evaluation de
I'environnement
de Contra Ie

Description des Synthllse des Senslblliser

de I'environnement : processus I matrices de dysfonctionnements les operationnels sur
rlsques: constatb les notions de controle
- organisation, Interne et nouvelles
- identification eVou revue
- metier, des principales etapes reglementations
Assistance plans
- dispositif de controle des processus d'actlon et sulvl
existant - identification des risques Revues
des processus et
Etat des lIeux : - identification des activiles Mise ~jour des points de controles
de contrOles et types des descriptions cles
- procedures,
de controles des processus et
- moyens de diffusion des actlvltb de controles
et de communication Role parliclpatlf
inteme Methodologle de testing: des operatlonnels,
- Idenlification - test de cheminementl Redaction contribuant
des processus re·medialion de procedures, bonnes au renforcement
majeurs et des entites pratlques ... de I'environnement
concemees - fonnalisation du plan de controle
de test & testing

La phase de Cadrage comprend les actions suivantes :

• recensement des directives et procedures Groupe,
• analyse du contenu et de sa pertinence,
• entretiens avec la Direction sur l' organisation, les moyens et dispositifs
mis en reuvre pour apprehender Ie Contrale Interne et la gestion des
nsques,
• entretiens avec les responsables des fonctions expertes,
• identification des comptes majeurs permettant ainsi de definir les
processus a analyser,
• identification des entites concernees par la demarche SOX.
La phase Evaluation de l' environnement de contra Ie afin de gerer les
risques comprend les actions suivantes :
• determination d'un format homo gene de description des processus,
matrices de risques, test de cheminement et testing,
• assistance aupres des operationnels dans la redaction des descriptions
des processus,
• identification des risques,
• formalisation des objectifs de contrale, des risques associes, des activites
de contra Ie, des contrales cles, des types de contrale et des assertions
• determination de la methodologie de testing:
- test de cheminement / re- mediation,
- plans de tests (frequence, type de test, etc.),
- testing & documentation.
La phase de Synthese et Restitution comprend les actions suivantes :
• synthese des dysfonctionnements rencontres. Formalisation d'un
rapport et documentation et referencement des tests effectues,
• identification de zones de risques potentiels,
• proposition d'ameliorations avec les operationnels (plan d'actions,
action owner, date de mise en place ... ),
• suivi de la mise en place des plans d'actions en annee n + 1... ,
• mise a jour des descriptions des processus,
• mise ajour des procedures.
La phase de Formation comprend les actions suivantes :
• formation des operationnels afin de les renforcer aux contrales internes,
• formation sur site, sur la base d'exemples concrets recueillis lors de la
phase de diagnostic et collant aI' environnement de contrale existant,
• transfert de competences et savoir-faire pour la conduite de futures
evaluations de l' environnement de contra Ie.
Ces evaluations qui sont a realiser, a minima annuellement, devront suivre
Ie cerc1e vertueux d'amelioration au quotidien suivant :

Evaluation de Synthese
Formation
I'environnement et Optionnelle
de Controle Restitutions

r-----·.·---·.··--------.---.----.--.·.··.-·--····.·· ..--- - - -.. - ---- _--.. ---_ _-._._-----

f
-.. SOX 2006, 2007 ... : Amelioration continue de I'environnement

a
Mise jour Ressources dediees
des narratives aI'environnement
de contr61e

Animation et amelioration continue

de I'environnement de contr61e

Afin d'harmoniser les pratiques d'assurance au niveau europeen, Ie projet

appele Solvency II, vise a fixer pour tous les organismes d' assurance
vie/non vie (y compris les societes de reassurance) un nouveau cadre
prudentiel qui devra prendre en compte les risques auxquels ils sont
soumis : risque de credit, risque de marche, risque de sou scription, risque
de liquidite et risque operationnel.
Pour mener ce projet d'envergure, la Commission Europeenne a creee, en
mars 2003 Ie CEIOPS (Commitee of European Insurance and
Occupationnal Pension Supervisors). Ce comite a pour objectif de
formuler des conseils et recommandations a destination de la Commission
Europeenne pour la redaction de sa future Directive de gestion des risques,
prevue enjuillet 2007 et pour une application operationnelle en 2010.
Schematiquement, Solvency II est decompose en trois grands piliers :
• Ie pilier 1, concerne les exigences financieres quantitatives. Elles
recoupent notamment, les risques d'actif et de provisionnement et fixent
les nouvelles regles de marge de solvabilite ;
• Ie pilier 2, concerne les activites de Controle Interne. II impose en
particulier, une connaissance exhaustive et une maltrise totale des
risques et aborde cette maltrise en imposant la mise en reuvre de proce-
dures de Contr6le Interne et de management des risques operationnels :
gouvernance, gestion des procedures et des processus, systemes d'infor-
mation, flux financiers, securite physique, evenements externes ...
• Ie pilier 3, concerne l'information etla communication financiere a
destination du marche et des autorites de contr6le.

Le Decret du 13 mars 2006 vient modifier l'article 336-1 du Code des

Assurances. II precise que toute compagnie d'assurances faisant appel
public ou non ai' epargne, et quelque soit son statut juridique, doit mettre
en place un dispositif permanent de Contr6le Interne.
Cela implique que chaque groupement d'assurances realise et propose au
moins une fois par an a son Conseil d' Administration et/ou son Conseil
de Surveillance, un rapport detaille sur son dispositif de gestion des
risques. Le Decret stipule egalement que Ie rapport soit transmis ai' Auto-
rite de Contr6le des Assurances et Mutuelles (1'ACAM) pour l' analyse et
verification.
En outre, Ie Decret exige que Ie rapport de Contr6le Interne se decline en
deux grandes parties:
• la premiere partie, detaille les conditions de preparation et d'organisa-
tion des travaux du Conseil d' Administration ou du Conseil de Surveil-
lance et, Ie cas echeant, presente les limitations apportees par Ie Conseil
d'Administration aux pouvoirs du Directeur General dans l'exercice de
ses fonctions. Le Decret, precise que « toutefois, les entreprises faisant
 appel public aI' epargne ne sont pas tenues de fournir ces elements
lorsqu'elles transmettent a l' Autorite de ContrOle des Assurances et des
Mutuelles Ie rapport mentionne a l'article L. 225-37 ou a l'article
L. 225-68 du Code de Commerce ».
• La seconde partie du rapport, developpe plus finement Ie dispositif de
Contrale Interne mis en place. II comprend :
• l'organisation du Controle Interne : objectifs, methodologie et
position de la fonction dans l' organigramme de l' entreprise et compe-
tences de ceux qui l' anime ;
• les procedures de verification de la conformite des operations
internes au regard des dispositions legislatives et reglementaires ;
• les methodes utilisees pour assurer l'evaluation et Ie contrOie des
placements;
• la gouvernance du dispositif de controle de la gestion des place-
ments : repartition des responsabilites, personnes chargees de leur
suivi, delegations de pouvoirs mises en reuvre ...
• les procedures et methodes mis en place pour maitriser tous les
risques : engagements financiers, capitaux suffisants, tarification,
gestion des sinistres, activites externalisees ...
• les procedures d'elaboration et de verification de l'information
financiere et comptable.
Le Decret devrait prochainement etre transpose dans Ie Code de la
Mutualite des 2007 et toucher ainsi Ie millier de Mutuelles et Unions de
Mutuelles de Livre II, c'est-a-dire exer~ant des operations d'assurance
pour Ie compte de leurs adherents.
 PROPOSITION D'UNE DEMARCHE
PRAGMATIQUE D'ANALYSE DES RISQUES :
LA METHODE MIRIS®
(Maitrise Interne des Risques et Securite)

11.1 CARACTERISTIQUES DE LA METHODOLOGIE

11.1.1 Une demarche tournee vers la maitrise

de toutes les activites avec un retour sur investissement

Nous avons vu dans Ie chapitre precedent que c'est pour prevenir les
risques financiers qui peuvent impacter les actionnaires des entreprises
cotees que Ie legislateur a cadre les regles de gouvernance. Cependant, Ie
Contr6le Interne demeure une demarche d'analyse de tous les risques de
I' entreprise (fmanciers, humains, techniques ... ) et son objectif est la secu-
risation de l'ensemble du patrimoine de l'entreprise (materiel et immate-
riel: les competences et les savoir-faire, les brevets, les informations) et la
maitrise de tous les processus.

Force est de constater que depuis plusieurs annees une entreprise soumise
a la concurrence n'estjamais en etat« stable» et requiert une veille tech-
nologique et methodologique permanente sous peine d'appauvrissement
rapide. Toute entreprise se doit donc, naturellement de reperer les evolu-
tions qui constituent pour elle une opportunite, et modifier eventuelle-
ment ses «regles du jeu» pour s'y adapter. Or, les entreprises ont
aujourd'hui plus que jamais besoin de rechercher les moyens d'ameliorer
leurs performances tout en reduisant leurs charges. II ne s'agit plus de
simple competitivite mais de survie. Les premiers moyens qui viennent a
I' esprit sont bien entendu la reduction des charges en comprimant les
effectifs et les budgets. Ce ret1exe naturel a ses limites evidentes si I' on
veut conserver les ressources necessaires et suffisantes pour assurer les
missions de I' entreprise.
En complement, les entreprises ont a leur disposition un autre axe
d'economie, souvent meconnu, d'autant plus rentable qu'il n'affaiblit en
rien ses ressources. II s'agit des economies realisees a moyens constants:
• d'une part en reduisant Ie manque a gagner dl1 aux pertes (accidents,
erreurs ou me me malveillance externe ou interne) par l'analyse des
risques dits aleatoires ;

• d'autre part en reduisant les pertes dues a des defauts d'organisation

(insuffisance d'information, inadequation de la reponse, dues Ie plus
souvent aux confusions entretenues sur les partages de responsabilite
dans I' entreprise).
Contrairement aux risques aleatoires, ces derniers relevent directement de
la responsabilite de gestion et non du hasard. Par ailleurs, il ne s'agit plus
seulement de manques a perdre, mais de gains directs obtenus par une
meilleure organisation. Or, les moyens d'y parvenir, appartenant aux
disciplines de la securite, prennent souvent dans l'esprit des dirigeants
un air de contrainte et de solution purement technique, ce qui les fait appa-
raitre a leurs yeux comme une gene et non comme un soutien a la produc-
tion (obligation de satisfaire aux lois, etc.).
II s'avere en effet qu'on ne sait pas toujours distinguer les deux types
d'actions securitaires : celles imposees par les normes et les lois, et celles,
spontanees, relatives au bon fonctionnement de l'entreprise. Cet etat
d'esprit empeche bien souvent les decideurs de prendre conscience que:

L'analyse des risques et leur gestion, independamment de toute contrainte de toutes

sortes, est largement susceptible d'apporter des gains non negligeables.

En outre, cette reduction des pertes par accident, erreur et malveillance,

repose essentiellement sur les changements des comportements, beaucoup
plus que sur une escalade technique de recherche compensatoire a des
cultures inadequates. Cet etat de la culture des collaborateurs tient lui-
meme a trois facteurs principaux :
• Ie manque de vulgarisation d'une methodologie rationalisee d'analyse et
de gestion des risques (en dehors de quelques specialistes) ;
• la situation de ne devoir vraiment jamais rendre compte des efforts en
securite (de fonctionnement) au profit de resultats a obtenir Ie plus
souvent « a tout prix », c'est-a-dire aux depens de la securite ;
• l'insuffisante implication directe des acteurs (ce sont des groupes de
travail qui « retlechissent » pour eux).
Une action de Controle Interne (au sens elargi de surete de fonction-
nement et dans la maitrise et Ie pilotage du patrimoine de l'entreprise)
s'assimile donc complHement aujourd'hui it une action de PROJET
d'entreprise, vis ant it changer sa culture.
II ne s'agit pas de dire «perdez moins» mais « sachez gagner plus, en
profitant de votre richesse potentielle meconnue ».

11.1.2 Une demarche avant tout pragmatique

Tout Contra Ie Interne « professionnel » exige une methode qui s'appuie

sur des instructions et des procedures operationnelles con9ues dans Ie but
d'eviter les dysfonctionnements (et donc de garder la maltrise).
Mais chacun sait qu'il ne suffit pas de donner une instruction, y compris de
contrale, pour que celle-ci soit executee.
Le Contrale Interne fait donc intervenir Ie concept de Supervision (Ie
contrale du contrale par Ie hierarchique).
Cependant, la reserve precedente s'applique aussi a l'instruction de Super-
vision elle-meme. II faut donc une Supervision de la Supervision ...
Pour savoir quand s'arrete certe cascade, il faut etre capable de discerner
une echelle de mise en correlation entre l'enjeu du risque contrale et Ie
niveau de responsabilite Oll doit s'arreter Ie contrale. 11 faut donc de
nouveau une methode appropriee (cf. II.2 sur les risques).
La methode MIRIS apporte la solution a la recherche d'adequation
Enjeux - Responsabilites.
Or MIRIS n'est ni une demarche de securite, ni une demarche de qualite,
ni une demarche de quelque technique que ce soit, car MIRIS s'interesse
avant tout aux activites sans aucun a priori sur Ies risques qu'elles
comportent.
Toute organisation repose sur la bonne foi et la bonne volonte des hommes
qui la composent. La culture d'entreprise joue donc un role fondamental
dans la reussite de cette organisation.
MIRIS est une demarche de changement :
• en changeant la confiance souvent un peu aveugle envers Ie monde dans
lequel on travaille : ce document est-il authentique ? cette personne est-
elle tout a fait honnete ?
• en changeant les savoir-faire par l'apport d'une methodologie d'analyse
professionnelle des risques,
• en instituant une culture de partage (des connaissances, des savoir-faire),
• en creant une synergie de groupe collaborant a une reuvre commune (Ie
« Referentiel de Controle Interne»),
• en habituant tous les acteurs a prendre leurs responsabilites, dans une
culture d'autogestion, sans attendre Ie concours du « specialiste » dans
les cas d'urgence, parce qu'on aura appris avant a gerer ces cas par des
simulations.
MIRIS est donc un puissant levier de motivation, dans la mesure OU
chacun se reconnait mieux dans un travail qu'il fait mieux.
MIRIS est aussi une demarche efficiente du fait qu'elle privilegiera
toujours en premier les actions de communication et de formation, avant
d'envisager en second lieu les solutions organisationnelles, et en tout
dernier lieu les moyens tedmiques.
Enfin, a travers MIRIS, Ie Controle Interne devient un outil de manage-
ment et de strategie d'entreprise pour les raisons suivantes :
• MIRIS amene a creer les structures de gestion des risques appropriees a
une bonne circulation des flux d'information et de leur traitement appor-
tant ainsi une grande plus-value a ces informations souvent dispersees
 autrefois (relais locaux de Contr6le Interne, observatoire Central des
Risques, equivalent du «Contr6le de gestion» pour la gestion des
risques : suivi des evolutions, des couts, des performances, etc.) ;
• cette plus-value se traduit essentiellement en instruments complemen-
taires d' aide a la decision pour soutenir la Direction dans ses orienta-
tions strategiques et ses choix politiques (MIRIS est d'ailleurs un
instrument de construction de projets de politiques en matiere de
Contr6le Interne).
En effet, il ne peut y avoir de choix technique viable sans orientations poli-
tiques claires :
• En identifiant les grands facteurs de risques, au niveau de l'entreprise, Ie
Contr61e Interne est aussi un vecteur de conseil pour offrir a la Direction
des hypotheses de grands axes de progreso

11.1.3 Une methodologie axee sur I'auto-suggestion

MIRIS est essentiellement basee sur :

• la technique de l'autosuggestion,
• l'acquisition d'une meilleure connaissance des risques lies aux activites
exercees (avec par exemple Ie decoupage suivant : questionnaire de
management, questionnaires sur les differents metiers et questionnaires
sur les autres risques : incidents, accidents, risques divers),
• la recherche en commun de solutions adaptees.
En effet, queUe que soit la force d'une verite, et meme son evidence,
celle-ci ne sera integree que si c'est la personne concernee eUe-meme qui
l'enonce. C'est pour cette raison qu'une teUe demarche est necessaire-
ment delocalisee, et surtout pas confiee a un groupe de « sages », queUe
que soit sa competence. Cela ne signifie pas «plus jamais d'autocratie »,
du siege d'un groupe ou d'ailleurs, car Ie maintien d'une coherence
d'ensemble est evidemment necessaire, mais ceci suppose une meilleure
prise en compte du savoir-faire local (et de ses contraintes specifiques),
un nouveau partage des responsabilites (et pas seulement en termes de
« devoir» mais aussi de « pouvoir »). Cela suppose donc, pour permettre
precisement cette « delocalisation », tout Ie contraire d'une
« intellectualisation» outranciere des outils mis en place. Si cette
demarche est delocalisee, elle ne peut concerner que ce qui interesse les
participants, c'est-a-dire «leurs» activites et «uniquement leurs»
activites.
La methode repose donc sur l'acquisition d'une meilleure connaissance de
ses activites. Ceci ne signifie pas que l'on en ait pas deja connaissance,
mais que les realites evoluent, parfois sans que l' on s' en rende vraiment
compte, ce qui fait que l'on croit savoir, ce qui n'est plus tout a fait la
meme chose. Avec Ie temps en effet, on range parfois l'acquis au second
plan pour mieux s'investir dans l'evolution normale du systeme, mais la
realite s'ecarte de cet acquis et il est de temps en temps necessaire de reac-
tualiser l'ecart, un peu comme une « prise de conscience ». Bien entendu,
par sa delocalisation, la demarche necessite un consensus entre les colla-
borateurs pour garantir la coherence d'ensemble.
Ceci montre bien que la «verite» ne s'obtient que par un processus
oscillatoire permettant d'une part de valoriser «I'intelligence» du
metier tel qu'elle est vecue sur Ie terrain et d'autre part d'y associer
la capacite de generaliser dont disposent ceux qui sont en position de
recul.

11.1.4 Les regles de delegation et la gestion des responsabilites

En premier lieu, il y a une difference fondamentale entre la separation

des taches et la separation des pouvoirs dans une optique de maitrise
de la malveillance interne. La separation des pouvoirs (par exemple les
ordonnateurs et les payeurs dans la fonction publique) est souvent un
leurre pour Ie contraleur interne. En effet, dans un processus achats par
exemple, celui qui appose Ie « service fait» est souvent celui qui donne
son «bon a payer ». Or, il y a ici un risque evident de fraude car cette
personne peut a la fois contraler la commande et maitriser Ie budget affe-
rent. Le payeur venant en dernier, il n'a aucun moyen de contraler l'exac-
titude des faits puisque les signatures sont correctes. On voit bien que sur
Ie plan de la methodologie, il faut surtout respecter la separation des
taches. Dans notre exemple, la personne qui appose Ie service fait doit etre
differente de celIe qui donne son bon a payer.
Par ailleurs, « controler », au sens fran<;ais du terme, c'est mettre en jeu
un dispositif de surveillance (en vue d'assurer une meilleure maitrise)
mais ce n'est pas un dispositif de maitrise en soL Ce dispositifne devrait
servir qu' a assurer que «tout fonctionne bien comme prevu». Le vrai
dispositif de maitrise est celui qui resulte du pilotage « sur Ie terrain », non
seulement par les acteurs operationnels, mais aussi, et surtout, par l'orga-
nisation hierarchique operationnelle ainsi que par une fonction de coordi-
nation globale de tous les parametres.
Pour assumer pleinement sa fonction de contr61e operationnel, il est neces-
saire de faire comprendre aux collaborateurs de tout niveau hierarchique
qu'il y a une difference notable entre la confiance et la mefiance. En effet,
comme les recentes etudes de neurologie Ie montrent bien, Ie processus de
la decision est fortement influence par l'action simultanee des motivations
emotionnelles. C'est peut-etre ce qui definit « Ie bon sens» avec toutes
ses vertus et ses risques intrinseques. Or l'emotivite interactive, liee au
concept de « confiance », intervient considerablement dans les processus
decisionnaires relatifs a la securite. Ceci tient essentiellement a deux
raisons:
• l'imagination de scenarios de sinistres etlou de malveillance interne n'a
rien de profondement agreable, et l' on a au contraire un besoin quasi
physiologique de« confiance» dans Ie systeme ou l'on vit et en particu-
lier dans celui ou l' on travaille ;
• ce concept de « confiance » est aussi souvent assimile, a tort, a celui de
«non-mefiance» (d'ou l'amalgame rapidement fait entre« contr61e» et
« mefiance »), parce que notre culture ne nous a pas appris a distinguer
Ie vrai sens du « contr61e », souvent pris comme une activite negative,
au lieu d'etre apprehende en termes de management, d'interet que l'on
porte a ce que l' on contr61e. Cela explique souvent l' absence « d' envie »
dans les processus decisionnaires relatifs au Contr61e Interne. On peut
etre ainsi retenu par une sorte de gene.
Or, par definition, on ne peut avoir confiance que dans un systeme fiable,
et un tel systeme est necessairement contr61e.
En conclusion sur cette notion de contr61e operationnel, on mettra l'accent
sur Ie fait que ledit contr61e (dans ses deux sens : verification et gestion) ne
se delegue pas.
Le propre du controle est d'assumer une responsabilite de garantie
sur ce qui a ete deIegue, justement parce que cela a ete delegue. Ceci
revient a dire que l'on ne peut assumer que son propre controle, et non
celui des autres, notarnment de ceux a qui on a delegue. Cela reviendrait,
sinon, a assumer a leur place, donc a deleguer aussi les responsabilites,
alors que celles-ci ne peuvent que se partager de fac;on solidaire (c'est Ie
contraire de la demission).
Par exemple, si l'on considere que la fac;on la plus courante d'assumer est
de signer, cela nous conduit a constater que l'on ne peut signer que ce qui
est de sa propre responsabilite. Il serait donc illogique (et vain) de signer
pour Ie compte d'un autre. Le propre de la signature est bien d'identifier
celui qui signe afm qu' on puisse Ie reconnaitre, et de « marquer» ainsi
celui qui « a fait» sur ce qu'il a fait.
Par ailleurs, si Ie Controle Interne suppose un changement de culture des
collaborateurs, cela suppose egalement un changement de culture de
l'entreprise, notamment qu'on sache differencier les responsabilires et les
methodes entre :
• ceux qui « fournissent les outils » (les specialistes des differents services
de « logistique » : informatique, securite, etc.),
• ceux qui « emploient » ces outils (les « acteurs »),
• ceux qui« font faire »a l'aide de ces outils (les classes hierarchiques sur
toute la longueur de I' organigramme),
• et ceux qui «regardent» faire et «jugent» (les services de controle,
d'inspection, d'audit).
Il s'agit donc bien d'une clarification des responsabilites, ou chacun sait
exactement ce qu'il a a assumer, en amenant l'utilisateur de ces outils a
apprendre comment, par son propre rOle, il peut contribuer aI' efficacite
de l'ensemble, notamment en apprenant a partager ce role avec Ie techni-
cien de la logistique concernee, et comment on fait la difference entre la
responsabilite de celui qui edicte les regles ou cree les outils et celui qui les
apprecie ou au moins apprecie leur bonne application.
La signature des documents, Ie soir, par Ie hierarchique (<< Ie chef»),
suppose qu'il ait la capacite de refaire tous les contrales techniques que ses
collaborateurs ont mis une ou plusieurs journees a effectuer. La separation
des taches peut tres bien s'envisager au niveau operationnel.
II apparait ainsi tres clairement que I' Audit Interne ne pourra s' exercer que
si, auparavant, Ie dispositif de Contrale Interne est deja construit et en
place. Or ce dernier ne pourra lui-meme s'envisager que si les contrales
operationnels (realises par les operationnels) sont deja existants, efficaces,
rentables et bien-fondes.
Ceci suppose bien que non seulement les aspects techniques de fonction-
nement de l'organisation ont deja ete examines et ameliores, mais aussi
que les comportements sont adequats (sinon a quoi bon verifier ce que 1'on
sait ou que I' on peut deviner par avance).
La demarche proposee permet donc d'eclaircir (ce qui en fait alors
une veritable demarche de cbangement) et de mieux formaliser les
responsabilites des uns et des autres (dans une nouvelle repartition de
ces responsabilites entre ceux qui « font» les missions de base, ceux
qui les leur ont deIeguees et ceux qui en assurent la logistique).
Pour terminer cette analyse - si importante dans une demarche de change-
ment liee au management des responsabilites -, Ie lecteur est invite a
mediter sur les solutions de Contrale Interne a apporter a la securite de
1'immeuble abritant ses bureaux OU, chaque soir, apres son depart,
consciencieusement, Ie personnel d'entretien empile successivement dans
un grand sac en plastique des couches de papiers froisses et de cendres de
cigarettes.
Le plus surprenant est que dans la majorite des cas il ne se passe rien ...
Mais il est vrai qu' on a confiance !
IIfaut egalement veiller it ne pas confondre la notion de responsabilite
avec celle de competence.
En effet, on oublie souvent combien est importante la mission d'un hierar-
chique : diriger et animer une equipe humaine est une tache delicate et
difficile. Et, franchement, frais emoulu d 'une ecole ou issu du rang, Ie
hierarchique y est-il vraiment prepare? QueUes sont les ecoles, de quelque
niveau qu' elles soient, qui inculquent reellement les principes et les
methodes necessaires it la bonne maitrise de la fonction d'encadrement ?
Quant it la formation continue, elle aborde rarement Ie probleme d'assez
haut. Malgre ce que l' on a dit pendant un temps, une entreprise ne peut
pas se passer d'un certain nombre de relais hierarchiques. Certes, Ie role du
hierarchique a evolue et sa place dans l'organisation n'est plus la meme.
En particulier, les fonctions de surveillance et de controle ont cede la place
it des roles autrement plus complexes d'animation et de soutien, mais Ie
hierarchique reste un element essentiel de la structure.
Devant cette evolution, une question revient frequemment dans les discus-
sions : les hierarchiques doivent-ils abandonner leur superiorite technique
(celIe, precisement, qui leur a valu leur statut de hierarchique) pour se
consacrer en priorite it l' animation de leur equipe ? La reponse doit etre
formulee avec prudence. En effet, it la tete d'un atelier d'usinage, d'un
service fonctionnel, d'une equipe de vendeurs, d'un etablissement ou
d'une entreprise, un responsable dirige une activite qui est necessairement
« technique ». II n'est donc pas question de lui demander de se soustraire
it cette responsabilite premiere: il doit pouvoir dialoguer avec son equipe,
comprendre ses besoins et les difficultes auxquelles elle fait face, et y
apporter une reponse. Et pour cela, bien sur, il doit conserver une familia-
rite suffisante avec Ie « metier» dont il a la charge.
Mais ceci dit - et bien qu'il puisse y avoir des exceptions - rien n'exige
qu'il reste, ou qu'il devienne, Ie meilleur «technicien» de l'equipe. On
devrait meme ajouter : au contraire. Car, par definition, les competences
reunies de ses collaborateurs depassent certainement les siennes. Ne
serait-ce que parce qu'il ne peut materiellement pas tout faire.
Le probleme devient plus clair si l'on considere que Ie responsable doit
assumer, simultanement, plusieurs responsabilites :
• responsabilites operationnelles. II doit mener it bien la realisation
d'une operation bien definie, suivant des specifications strictes et des
delais donnes : produire, vendre, concevoir, traiter des commandes,
gerer un projet, etc. ;
• responsabilites de gestion. II doit definir les res sources dont il a besoin,
les organiser et les mettre en ceuvre de fa<;onoptimale. Pour cela, il doit
planifier les activites de son secteur, repartir et orienter les taches
 individuelles, motiver Ie personnel, maintenir les relations avec les
autres unites de I' entreprise (horizontalement et verticalement), etc. ;
• responsabilites strategiques. II doit comprendre les raisons de son acti-
vite et des directives qu'il re<;oit,prendre en compte les facteurs externes
(clients, concurrents, activite economique, marche de l'emploi, etc.),
percevoir les consequences futures de ses actes, participer a la prepara-
tion de l'avenir avec les echelons superieurs de la hierarchie, etc.
Ainsi, pour assumer avec succes ces differentes responsabilites, Ie hierar-
chique doit posseder des competences de diverses natures:
• competences techniques. Connaissances et savoir-faire necessaires a
son« metier» de base: la production pour Ie directeur d'usine, la comp-
tabilite pour Ie chef comptable, la vente pour Ie chef de region, la stra-
tegie pour Ie dirigeant, etc. Egalement, competences specifiques a la
fonction d'encadrement : tedmiques de gestion, methodes d'analyse et
de prise de decision, d'organisation, de motivation, de communication,
d' animation, etc. ;
• competences humaines. Savoir-faire lie a la fonction d'encadrement
proprement dit : empathie, capacite d'ecoute, don de commandement,
maitrise de soi, objectivite, etc. ;
• competences conceptuelles. Capacite a situer son action personnelle
dans un contexte plus large, a envisager la situation sous des angles
multiples et nouveaux, a se projeter dans Ie futur, a prendre des
risques, etc.
En matiere de Contrale Interne pennanent, la difficulte provient de ce que
les responsabilites et les competences requises evoluent :
• la part relative des differentes responsabilites vane constamment
lorsque I' on s' eIeve dans la hierarchie ;

• les competences necessaires varient elles aussi considerablement. Les

« techniques» concernees progressent avec Ie niveau hierarchique :
elles sont peut-etre un peu moins « pointues », mais elles sont de plus en
plus nombreuses et variees.

On peut d' ailleurs observer I' augmentation importante du besoin de

competences humaines (lorsque Ie hierarchique voit la taille de son unite
augmenter), puis de competences conceptuelles (lorsque Ie hierarchique
est de plus en plus associe aux reflexions de direction).
Le fait qu'il y ait trois types de responsabilites et trois natures de compe-
tences ne doit pas laisser penser que responsabilites et competences se
correspondent deux a deux. En fait, chaque responsabilite fait appel aux
trois competences, mais avec des contenus differents et en des proportions
variables.
On Ie voit, Ie hierarchique doit evoluer de fa~on fondamentale :
• de moins en moins de son propre metier d' origine et de plus en plus
d'autres metiers,
• de moins en moins de details et de plus en plus de vue d'ensemble,
• de moins en moins d'absolus et de plus en plus de nuances,
• de moins en moins de securite et de plus en plus de risques,
• de moins en moins de court terme et de plus en plus de long terme,
• de moins en moins de concret et de plus en plus d'abstrait.
Bien qu'il se fasse progressivement, ce changement est considerable, et il
necessite une forme de personnalite que tout Ie monde ne possede pas. II
exige aussi que l'on ne laisse pas les hierarchiques d'une entreprise faire
leur chemin tout seul : leur pratique quotidienne ne suffira pas ales faire
progresser correctement et suffisamment.
La solution porte alors seIon nous sur trois points fondamentaux : Selec-
tion, Formation et Motivation.
Dans une demarche de Contrale Interne, ce sont ces elements qu'il faut
savoir actionner et maitriser pour une parfaite optimisation du manage-
ment et de l' organisation.

11.1.5 La securisation du management

Nous abordons maintenant Ie Contrale Interne sous l'angle des activites

de management que nous avons resumees sous Ie sigle ODEFIACA :
Organiser, Deleguer, gquiper, former, Informer, Animer, Contraler et
Assumer.
Pour securiser Ie management, il faut s'assurer que les questions
ci-dessous trouvent des reponses claires au sein de l'organisation :
o : decaut d'Organisation - Les structures sont-elles floues 7 La planifi-
cation incertaine 7 Les derapages incontroles, non corriges 7, etc. La loi
« diviser pour mieux regner» s'applique-t-elle 7 Est-elle necessaire pour
maitriser les rapports de forces (pouvoir - contre pouvoir I strategie
d'entreprise - strategies personnelles) 7
D : manque de precision des Delegations - Les missions sont-elles
claires 7 Les objectifs et les responsabilites sont-ils quantifies 7
• Combien de fois entend-on dire « moi je sais deleguer », sous-entendu
« moi je sais repartir Ie travail» (ce qui est concevable a partir du
moment oil on sait assumer les controles de gestion de ce que I' on
delegue).
• A contrario, combien de fois voit-on un hierarchique succomber sous la
tache parce qu'il ne fait pas confiance a ses collaborateurs (parce qu'il
ne sait pas leur apporter la formation indispensable 7 Parce qu'il ne sait
pas construire Ie dispositif de controle qui lui en donnera la maitrise 7
Parce qu'il ne sait pas animer son equipe 7).
• Incapacire (ou impossibilite si Ie systeme lui-meme est pollue) de valo-
riser les competences de ses collaborateurs par des taches a la hauteur de
celles-ci 7
D'ailleurs, un artifice souvent employe est aussi Ie changement regulier
de fonctions : cette technique non seulement permet de compenser quel-
quefois Ie peu d'interet de certaines taches, mais il evite aussi au collabo-
rateur de s'installer plus ou moins consciemment dans une monotonie dont
les effets pervers pollueront non seulement ses capacites de production
mais celles du service (l'etre humain a besoin de « challenge» pour se
valoriser, or la monotonie laisse trop de temps a un individu de se preoc-
cuper, par defaut et excessivement, de petits problemes qu'il aura ten dance
a grossir malgre lui « pour s' occuper ») - donc quel est mon programme
de rotation dans mon equipe 7 Comment je Ie gere 7 (notamment :
comment je communique sur ce sujet 7).
• Enfin, non respect des pouvoirs delegues (<< manipulation» par Ie
niveau hierarchique superieur des pouvoirs delegues sans negociation
avec Ie detenteur : contacts directs avec les collaborateurs du delegue,
 usage des equipements accordes au delegue, de « ses » budgets, etc.).
Attention, il n' est bien entendu pas question de « deposseder » Ie niveau
hierarchique superieur de ses prerogatives de decision, mais de
s'imposer une hygiene de respect des programmes et previsions (les
derogations ulterieures doivent rester des cas exceptionnels et doivent
etre « negociees » pour tenir compte des desorganisations de manage-
ment entrainees par Ie delegue).
E : defant d'Eqnipement - Manque de temps? Mauvais chronome-
trage ? Insuffisance en nombre ou en qualite des moyens ? Des ressources
humaines ? Des budgets? Done deraut de communication sur les moyens :
• Le chronometrage des taches avant leur delegation demande soit une
parfaite maitrise de la technique du metier dans lequel on delegue, soit
Ie recours a des specialistes (service d'organisation par exemple). Dne
absence de-chronometrage laisse supposer un manque de professionna-
lisme non pas dans Ie metier ou l'on delegue mais dans celui du mana-
gement. Dans ce cas, la reaction caricaturale au non chronometrage est
«je ne veux pas Ie savoir ! ».
• Quels sont mes outils de me sure du temps d'occupation (et non de
presence) de mes collaborateurs ?
• Ai-je des comptes-rendus d'activite mettant notamment en evidence Ie
taux d'occupation de mes collaborateurs? Comment et quand me les
communiquent-ils?
• Ai-je des procedures de recherche de nouvelles affectations en cas
d'insuffisance d' occupation? Le sous-emploi est egalement un facteur a
haut risque de demobilisation).
Les moyens foumis sont-ils adequats aux objectifs? Cette adequation
figure-t-elle dans les objectifs fixes dans la lettre de delegation? La
communication ascendante est-elle assez efficace pour Ie savoir ?
F : dHant de competence professionnelle et Formation - En quantite
et/ou en qualite ?
• La formation n'est pas une recompense, mais un besoin evident. C'est
aussi un acte economique qui vise au meilleur retour sur investissement
pour la production dans Ie metier de base de l' entreprise, et non pour
un autre metier (logistique pure, management pur, etc.). En consequence
tout acte de formation doit se traduire par une amelioration (directe ou
 indirecte) des performances de I' organisation. Vne action de formation
doit done se traduire par une serie de mesures operationneUes qui reve-
lent ce retour d'investissement. Ce resultat economique se mesure soit
en quantite de production (dans Ie metier de base), soit en qualite directe
sur les produits. Le contrale de cette mesure revient au hierarchique
direct de l'interesse (est-ce qu'en tant que manager j'exerce ce contrale
avec scrupule? Quels sont mes outils de mesure? QueUes sont mes
reactions possibles en fonction des resultats ?). En principe, un acte indi-
viduel de formation doit aussi se traduire en retour, quand cela est
possible, par une retransmission en interne du benefice obtenu, en vue
d'en demultiplier les effets. Aucun acte de formation ne devrait rester
un apport individuel sans qu'au moins la hierarchie n'en demande ne
serait-ce qu'un reporting (done une communication).

• Ai-je l'art de valoriser les competences de chacun en leur donnant les

moyens de progresser dans leur domaine de competence?
I :decant d'Information - Trop ? Pas assez ? Pas adequate?

• A chaque niveau de management, quel est Ie processus rationnel qui

conduit a decider de la transmission de teUe ou teUe information?
QueUes sont les procedures de verification que cette information est
convenablement exploitee? II serait inadmissible de depenser des
ressources en temps et fmancieres pour diffuser une information dont
on ne se serait me me pas preoccupe a l'avance de l'interet qu'eUe peut
presenter et sans verifier l'usage qui en est fait, ni l'accroissement de
productivite ou de qualite qu'eUe apporte. La caricature la plus
frequente de non communication sur la qualite de l'information se
me sure ala taille de la corbeille a papier du coUaborateur.

• L'information que je transmets est-eUe elaboree suivant des methodes

de structuration de ma pensee qui rendent la construction de ma commu-
nication efficace.
A : decant d' Animation - Insuffisance de reconnaissance? De
communication?

Quels sont mes comportements en terme d'animation (done de

communication) :
• Quelle est l'image de soi (++, +-, -+, OU --)? Quelles sont mes chances
d'etre un manager professionnel si je ne suis pas majoritairement du
type ++?
• Si j'identifie des difficultes dans ce domaine, comment puis-je y reme-
dier? Chacun a « son truc » (relaxation, yoga, sport, hobby, etc.). Dans
tous les cas 11s'agit de trouver un derivatif: quel est Ie mien? Est-11effi-
cace? Sinon quelle nouvelle solution pourrais-je chercher? (dans tous
les cas,je ne peux rester dans une position qui ne soit pas ++ car, en tant
que hierarchique, je suis en partie «paye pour savoir etre cela »).
• Remarque: il est evident que Ie fait de vivre dans des milieux de travail
gais ou tristes influence notre comportement. Le decor compte donc,
bien qu'il n'y ait pas de relation directe avec ce que l'on fait. De la
meme fa90n Ie «decor» psychologique individuel peut avoir une
influence, et decider chaque jour de « vouloir etre heureux et positif »,
quelles que soient les conditions reelles dans lesquelles on vivra cette
journee, conditionne vraisemblablement a la longue Ie fait d'y parvenir,
meme si ce comportement parait parfois cocasse vu de l'exterieur. Le
probleme n' est plus vraiment d'y croire ou pas, car ces techniques ont
maintenant fait leur preuve. La difficulte la plus courante tient genera-
lement a la peur du ridicule. L' essentiel est de ne pas se sentir ridicule
soi-meme a partir du moment OU cette technique permet de relativiser
avec bon sens. En cas de doute sur sa capacite a y parvenir, il suffit quel-
quefois de dresser Ie bilan objectif de ce qui fait que l'on a des raisons
d' etre satisfait et de ce qui fait qu' on en a de ne pas l' etre.
• Quelle attention je porte a l'information que je transmets pour deter-
miner si je dois l'accompagner d'une demarche personnelle (indivi-
duelle ou collective) ou pas?
• Quel est mon mode de communication dominant? (quel est mon
« egogramme » en Analyse Transactionnelle ? Suis-je installe dans une
symbiose hierarchie <-> collaborateurs 7 ou service <-> service 7
Quelle est ma capacite a maltriser mes emotions 7).
• Quels sont mes comportements en termes de jugement des activites de
mes collaborateurs 7
• Est-ce que je pense toujours a preciser avec exactitude ce que Je
reproche 7
• Est-ce que je pense toujours a preciser avec exactitude ce qui a ete bien
fait?

• Est-ce que j'evite toujours de juger la personne, pour ne juger que ce

qu'elle a fait? (saufsituation exceptionnelle).

• Est-ce que je suis capable de temps en temps de complimenter sponta-

nement et sincerement sans autre raison que Ie plaisir partage d'une rela-
tion agreable ?

• Quels sont mes comportements en termes de pedagogie ?

• Est-ce que je me contente de dire «mais je leur ai deja dit ! », ou bien
est-ce que je repete, autant de fois qu'ille faudra, avec patience, jusqu'a
obtention du resultat attendu ?
• Quelle est ma capacite d'ecoute? Commentje la mesure?
• Quelle est ma capacite a pratiquer l'autosuggestion ?
• Quels sont les instruments de motivation que j' emploie pour faire
resurgir les suggestions de mes collaborateurs ? (analyse des besoins par
la pyramide de Maslow, facteurs moteurs d'Herzberg ... ).
C : defaut de ContrOle Interne hierarchique et operationnel - Senti-
ment d'abandon ? De laisser-aller? De manque d'attention ? De conside-
ration de ce qui est fait? Meconnaissance du role complementaire des
controles de gestion par rapport aux controles operationnels ? Confusion
des roles entre les couches de I'organigramme ?

• Ai-je fait l'analyse des activites que j'ai deleguees pour en determiner
I'importance relative (en termes de production, de qualite et de secu-
rite), les hierarchiser et identifier celle(s) qui merite(nt) un contrOle
particulier ?
• Ai-je su faire participer mes collaborateurs en les mettant en condition
psychologique adequate a I'analyse des risques lies a leurs activites
(attention au besoin nature I de confiance, a ecarter momentanement) ?
• Ai-je construit I'organisation correspondante en termes a. la fois de
controles operationnels et de gestion ? Ma communication sur ce sujet
est-elle bien comprise par mes collaborateurs ?
• Ai-je moi-meme songe a suggerer a ma hierarchie de construire de tels
dispositifs de maltrise, lorsque les enjeux m'en paraissent Ie justifier et
qu'eUe n'y a pas pense spontanement?
A : incapacite d' Assumer - Confusion avec Ie contrcle ? Resultat de ce
qui precede ?
• Ai-je fait l'analyse des risques lies ames propres activites ?
• Ai-je negocie mes propres responsabilites ?
• Est-ce que je connais les limites precises de mes responsabilites par
rapport a ma hierarchie et par rapport a mes pairs?
• Ai-je eu la meme demarche de communication sur ce point avec mes
coUaborateurs ?
• Est-ce que moi-meme je rends compte de ma capacite a «odefia-
quer » ? Comment suis-je moi-meme « odefiaque » ? Si personne ne me
demande des comptes sur mes activites de management (situation d'une
Direction Generale par exemple), comment puis-je en dresser spontane-
ment Ie bilan ? Avec queUe periodicite ?

Dans Ie chapitre I, nous avons donne au Contrcle Interne la definition

suivante:
« Le Contrcle Interne est une demarche permanente de determination des
risques ayant pour objeetif la maltrise permanente des aetivites. »
II s'agit done d'identifier les risques auxquels sont confrontees les organi-
sations pour etre en mesure de les gerer.
D'une far;on theorique la notion de risque peut se decrire comme :

Un eVEmementeventuel dont la survenue reelle est susceptible de provoquer un

dommage non negligeable a I'organisation.
• l'identification des menaces,
• la hierarchisation des risques identifies,
• Ie traitement des risques,
• la mise en adequation de la responsabilite de leur gestion.

L'eventualite de survenue d'un risque repose sur l'existence de menaces/

risques qui pesent de fait sur les organisations. Comme I' indique la figure
«Typologie des risques» a la page 70, nous avons choisi dans notre
methodologie de classer ces menaces/risques selon deux origines et trois
grandes categories :
• celles dues au hasard : accidents et catastrophes naturelles,
• celles dues a l'homme : erreurs et malveillance (externe et interne).

11.2.2 La methode de classement des risques en risques majeurs,

courants et de non-qualite

La prise en compte de ces menaces permet d'identifier avec les acteurs

con cernes des scenarios de risques. En effet, nous verrons un peu plus loin
que la decouverte des risques et des scenarios associes se fait a l'aide des
seances dite de creativite avec les collaborateurs de chaque entite etudiee.
L'objectif, comme nous l'avons deja explicite, est de faire en sorte que
chacun des acteurs soit capable de gerer ses propres risques, la ou il est,
pour ce qui Ie concerne et en toutes circonstances.
Enfin, les risques issus des scenarios recenses sont evalues et classes en
trois categories (majeurs, courants et non-qualite) sur la base de deux
criteres traditionnels en analyse de risque :
• la gravite du risque qui me sure les consequences pour I' entreprise,
• la probabilite de realisation du risque qui determine Ie taux
d' occurrence,
 Les accidents
Les erreurs La malveillance
et catastrophes
Catastrophes naturelles : Erreurs de saisie Sabotages:
- eruption volcanique, (mauvaise saisie, - de biens materiels
- tremblement de terre, oubli, etc.). (immeubles, mobilier,
- inondation, avalanche, Erreurs de transmis- informatique, etc.),
- glissement de terrain, sion (courrier, - des donnees (dossiers
- orage (perturbations - electromagne- telecom, etc.). manuels ou
tiques, foudre), Erreurs d'application informatiques, etc.),
- cyclone, raz de maree, de la reglementation. - des programmes
- pollution naturelle (organique, Erreurs de informatiques,
biologique, etc.). manipulations. - gaspillages (temps perdu,
fournitures, etc.).
Accidents:
- de travail, Agressions :
- de transport (terrestre, maritime, aerien, - verbales envers Ie
fluvial), personnel,
- incendie, - physiques du personnel
- degat des eaux, en vue de voler des valeurs.
- chute,
- court-circuit, Vols:
- explosion, - vols de biens materiels,
- bris de machine, d'outillage, - fraudes par accumulation
- de climatisation, de chauffage, progressive ou gros
detournement.
Pannes:
- franche de materiel, a
Atteintes la
- latente (dysfonctionnements), confidentialite :
- de fluide (alimentation, conversion), - vol de donnees,
- de reseau (telephone, telecom, etc.), - consultation illicite
- degradation rapide des performances d'informations,
(temps de reponse, taux - copie illicite de donnees,
d'interruptions, etc.), - piratage informatique.
- vice cache,
- « bogue» de constructeur de logiciel,
- suite modification des normes
techniques.

Accidents conjoncturels :
- baisse de la demande,
- hausse imprevue de la demande.

Defaillances en matiere de personnel:

- maladie contagieuse (incapacite
temporaire),
- deces,
- intoxication (alimentaire, chimique, etc.),
- demission, depart en retraite de
personnel ou strategique (unitaire, massiD.
Le resultat du produit « gravite x probabilite » donne ce que l'on nomme
l'esperance mathematique de la gravite (ou criticite). La criticite d'un
risque est done un indicateur de l'acuite du risque.
Comme 1'indiquent les tableaux suivants, une echelle a quatre niveaux est
utilisee pour chaque critere (gravite et probabilite), qui permet Ie classe-
ment des risques dans les trois categories enoncees :
risques majeurs,
risques courants,
risques de non-qualite.

4 Inadmissible Met I'equilibre de I'entreprise en cause, voire sa survie.

3 Vraiment grave Ne met pas vraiment I'entreprise en peril complet mais tres grave
et doit imperativement etre traite.
2 Relativement grave Ne peut etre tolere que dans un premier temps, a titre provisoire.
1 Genant Porte a consequence. mais reste tolerable.
0 Insignifiant Sans aucune consequence remarquable.
 4 C'est tres possible Cela arrivera sOrement a court ou moyen terme.
3 C'est bien possible Cela arrivera certainement un jour ou I'autre.
2 On ne peut pas dire que ce soit
raisonnablement impossible Techniquement possible.
1 Raisonnablement impossible II est possible que cela puisse se produire un jour.
0 Strictement impossible Cela n'arrivera jamais.

Vne fois les risques identifies en fonction de leur enjeu, nous pouvons
ensuite les classer et les prioriser a travers la matrice de vulnerabilite qui
reprend les criteres de gravite et de frequence. On obtient Ie graphique
ci-apres.

La matrice de classement des risques

Amplitude (gravite ou vulnerabilite)

Plan de prevention A eradiquer

a court terme d'urgence
Plan de prevention
a
et protection moyen terme
(oUactionssimles immedlates)

4
Probalite

Par exemple, dans une activite de services relative a la liquidation de pres-

tations d' Assurance Maladie, les principaux risques majeurs sont sans
aucun doute des risques de fraudes et de malveillances internes (liquida-
teurs, contr6leurs ... ) et externes (professionnels de sante, assures).
Aussi, dans toute demarche de changement, il est done important de
preparer psychologiquement les collaborateurs a centrer leur vigilance sur
des risques de cette nature. Enfin, pour repertorier ou analyser des risques
majeurs, il faut savoir se «mettre dans la peau d'un malfaiteur» pour
comprendre comment il resonne. Nous nous appuyons pour cela sur les
nombreux travaux menes (Ie plus souvent aux Etats-Unis) par des cher-
cheurs sur les emotions et les reflexes inconscients.

Pour reduire un risque nous avons plusieurs possibilites :

• agir sur la probabilite et mettre en place des actions de Prevention,
• diminuer l'impact du risque (Ia gravite) en mettant en place des actions
de Protection,
• agir a la fois sur la probabilite et la gravite,
• supprimer Ie risque et donc annuler la probabilite d' occurrence,
• financer Ie risque par une assurance (transfert du risque a un tiers).
L'objectif est de reduire les menaces «brutes» pour arriver a un risque
residuelle plus faible possible.

11.2.4 La mise en adequation de la gestion des risques

avec I'echelle des responsabilites

Lorsque les risques ont ete hierarchises, Ie travail n'est pas pour autant
termine car il est necessaire de determiner qui, dans la hierarchie, sera
charge de mettre en place les actions de maitrise des risques. Pour ce faire,
ce sont les enjeux inherents aux risques qui sont associes aux niveaux de
responsabilites existants dans la structure concernee. Nous illustrons ce
principe aI' aide du tableau ci-dessous OU les actions de maitrise des
risques majeurs de niveau 4 sont initiees et pilotees par la Direction et ainsi
de suite jusqu'au risque de non qualite de niveau I qui peuvent etre geres
par les employes directement. Bien entendu, il s'agit d'une technique a
adapter dans chaque entreprise en fonction de I' organisation adoptee.
 Correspondances entre I'echelle de gravite des risques
et celie des responsabilites

GESTION DES R.M*. Dir.

RISQUES
= Cadres
GESTION DES R.C*. Agent de
RESPONSABILITtS maitrise
(La responsabilite de chacun
ne signifie pas la responsabilite
de tout Ie monde) R.nQ*. Agents

11.3 L'IDENTIFICATION ET L'EVALUATION DES RISQUES

La methode d'identification et d'evaluation des risques utilise une bol'te a

outils diversifies comportant a la fois des criteres d'analyse des risques,
des entretiens intitules seances de creativite, la realisation de question-
naires de Contr6le Interne destines a visualiser la vulnerabilite aux risques
dans les differentes entites et des plans d'actions de Contr61e Interne pour
maitriser les risques.
II faut egalement preciser que cette boite a outils est utilisee indistincte-
ment dans les deux grandes etapes du projet de mise en reuvre du Contr6le
Interne:
• La phase d'analyse de l'existant et de conception des nouveaux outils,
• La phase de mise en reuvre du dispositif et notamment lors de la forma-
tion des operationnels.

11.3.1 Les trois criteres d'analyse des risques

La methode d'identification des risques et de recueil des scenarios repose,

outre sur la connaissance de la typologie des menaces, sur l'analyse
detaillee des differentes activites en utilisant trois criteres principaux : la
disponibilite, l'integrite et la confidentialite :

Fig. 4 - Les trois criteres d'analyse des risques

DISPONIBILITE

INTEGRITE

CONFIDENTIALITE ----1
j'ai, dans les c'est juste, protection
delais attendus complet, du secret
o authentique C

Chaque critere est en suite croise avec la nature de l'activite analysee. Par
exemple, Ie critere de confidentialite sera decline pour une activite
d'accueil ala fois pour l'accueil physique du public mais egalement pour
I' accueil au telephone. Cela nous amene directement au paragraphe
suivant cons acre aux entretiens qui vont permettre de detecter les risques.

Afin de preparer ces entretiens dans de bonnes conditions, I' equipe en

charge du projet a pris connaissance des activites a mettre sous contr6le
et a recense I' ensemble des procedures et informations correspondantes
pour realiser une premiere ebauche des risques associes en appliquant la
methode MIRIS : analyse des menaces potentielles puis identification des
nsques.
Ce n'est que sur cette premiere base de travail que l'analyse des activites
peut veritablement commencer avec les operationnels et les managers des
activites etudiees.
Le premier travail du groupe consiste a decrire chronologiquement
chacune des taches qui composent l'activite analysee.
II s'agit ensuite d'imaginer collectivement les menaces qui vont permettre
de detecter les risques pesant sur ces taches.
Chaque scenario de risque est ensuite evalue et classe (risque majeur,
risque courant ou risque de non qualite) en appliquant les baremes de
gravite et de probabilite de la methode MOOS, ce qui revient a s'interroger
sur les consequences et les chances de survenue de ces menaces.
Pour chaque scenario, Ie groupe examine ensuite, et Ie cas echeant, les
parades ou actions de Controle Interne deja existantes en appreciant leur
degre de pertinence et d'efficacite. S'il n'existe pas encore de parades
rnises en place, Ie groupe recherche alors Ies actions de preventions etlou
de protections qui pourraient etre mises en reuvre pour dirninuer l'exposi-
tion aux risques.
C'est l'exposition residuelle (risque - parades mises en place) qui est
appelee vulnerabilite de l'organisation au risque identifie.
Pour conclure sur ce point, ces seances de creativite, et donc la detection
des risques, se font selon une approche participative de type latine. Dans
une seance de creativite, ce ne sont pas les hommes que I' on juge, mais les
situations. L'objectif recherche est l'amelioration continue et l'eradica-
tion des dysfonctionnements et defauts d'une organisation. Ces seances de
creativite sont d'autant plus fondamentales que Ie credit des promoteurs
de la maxime « pour progresser, il faut savoir identifier ses faiblesses »
depend de leur capacite a s'appliquer a eux-memes Ie principe fonda-
mental de leur demarche.
Cette logique ne se con<;oit evidemment que dans Ie cadre d'une entreprise
sachant gerer ce type de situation sans mettre en porte a faux les collabo-
rateurs «jouant Ie jeu » de bonne foi. Bien entendu, dans Ie cadre d'une
structure importante ou l'exploitation plus etendue d'une telle franchise
de pensee devient inimaginable, il est au moins indispensable que les parti-
cipants aux seances de creativite realisent entre eux avec sincerite cet
examen des bons et des mauvais fonctionnements, et puissent au moins en
discuter librement entre eux et avec leur hierarchie immediate.
11.3.3 Les questionnaires de Controle Interne et la cartographie
des risques

Les questionnaires de Contr61e Interne ont pour objet d'evaluer la vulnera-

bilite du dispositif de Contr61e Interne et donc, par defaut, sa fiabilite. IIs ont
ete elabores par l'equipe projet lors de la phase d'analyse de l'existant et sont
enrichis par la matiere issue des seances de creativite.
IIs sont egalernent un «pretexte a reflexion » destine a identifier les princi-
pales rnesures de securite, reellement efficaces et deja mises en reuvre.
Pour chaque activite metier recensee dans les unites etudiees, un question-
naire est donc elabore. Celui-ci se decline en trois parties: une partie consa-
cree a la fonction en general, une partie concernant des questions specifiques
a l'activite (classees selon les grandes etapes puis les taches de l'activite) et
une partie audit.
En outre, il existe egalement pour chaque unite etudiee un questionnaire
transversal dit« de management », ainsi que d'autres questionnaires qui font
appel a des connaissances plus techniques, pas forcement repandues dans les
unites etudiees. Par exernples, Ie contr61e d'acces physique, les risques
IARD ...
Le but est de coter et d'expliquer la vulnerabilite (en utilisant une partie
commentaire destinee a traduire Ie mode de rnaitrise du risque par l'entite)
pour chaque question posee sur un risque connu, ai' aide d 'une echelle a
5 niveaux:
4 : Quand la reponse indique que I'on a conscience du risque, et que
celui-ci est inadmissible (eventuellement pour une question de principe). Y
remedier est vrairnent une action prioritaire .
•• a faire d'urgence.
3 : Quand la reponse indique que l'on a conscience du risque et que
celui-ci est grave, des actions correctives sont a mettre en place a moyen
terme.
•• a faire / insuffisant.
2: Quand la reponse indique que l'on a conscience du risque et que des
protections suffisantes existent deja. Les actions a mettre en reuvre ne sont
pas prioritaires. Elles peuvent etre envisagees a plus long terme.
•• fait / non formalise / non systematique / satisfaisant.
1 : Les actions deja existantes permettent de maitriser les risques iden-
tifies. Les dispositifs en place doivent etre suivis et entretenus.
•.• fait / formalise / systematique / tres satisfaisant.
o : Quand la reponse indique que les risques sont bien geres, par des
contrOles exhaustifs, pertinents et recurrents.
•.• non concerne.

La cotati on de la vulnerabilite residuelle pour chaque risque connu va

permettre, non seulement d'elaborer la cartographie des risques de l'organi-
sation etudiee en identifiant les zones de faiblesse, mais egalement de lister
les actions a mettre en place pour renforcer Ie niveau de maitrise du Contr6le
Interne.
Le schema suivant illustre, dans Ie domaine de I'Assurance Maladie, cette
representation graphique et presente notamment un interet pedagogique
evident de prise de conscience des resultats.
Bien entendu, cette cartographie est egalement un outil de pilotage « vivant»
qui doit permettre de mesurer regulierement la progression de l' entite dans
son niveau de rnaitrise des risques.

Contr&e FldUer !. •.•\ "'N~mtnt

,
, ··
Contr6IeLlquidatlon;
,
,
,
" I
I
·
: Uquktatlon

~uell{tjL·phYS·1 \ I
\
\
\
En'llroMement \ •

Sallvtgardtl'x1tI'l"*'\, ','Duallt6dnltrutturt'

" ,.,., • I
I

Chlffrement '<I, '/

, Plandlucourslocal
, ,

--
IIkrolnfonnl~~ .•

Catastrophn nabnUes
,•••••• : ••• ••• Contr61. d'tceU Ioglqut
PfiturtMtIontlOda;S •••••..•.. •.. _ - ••••Contr64t craun physique
Rlsqun phpI~ lARD - - - - - - - - ••-~ du H'IOIr lair.

-"'''-
 Exemple de modelisation d'un tableau de bord de pilotage des actions
a
de Contrale Interne court terme

CoOts
Charge
des Delai
Rappel Qui en Jours
Designation Qui moyens maximum Methode
de super- ou
de I'action fait? eventuels de mise employee
I'enjeu vise? Heures X
(en en place
homme
KEuros)
Activite metier. Semaine Recenser les
Action numero 4 4 X M.X 1/2J 10 k€ 35 habilitations
Ecrire
Comptabilite Comp- la nouvelle
action numero 3 3 table M.Y 1/4H 0 Immediat procedure
Etc. - - - - - - -

11.3.4La mise en place de plans d'actions de maitrise

des risques

Les reponses apportees aux questionnaires de Controle Interne permet-

tent d'identifier les risques pour lesquels Ie degre de maitrise par l'entite
doit etre ameliore par la mise en place d'actions qui sont numerotees pour
chaque activite. L'avantage de definir une vulnerabilite dans Ie question-
naire est de fixer un horizon temporel pour la mise en place des actions en
fonction de l'urgence : court, moyen ou long terme.
Pour terminer ce chapitre, rappelons que pour bien mener une demarche
de changement en matiere de Contr61e Interne, il faut » sans trop intellec-
tualiser la methode» qu' elle soit delocalisee et partagee par tout Ie monde.
Pour etre delocalisee, elle ne doit s'interesser qu'a ce qui preoccupe les
collaborateurs, c'est-a-dire s'interesser uniquement a leurs activites.
II s'agit done avant tout:
• de delocaliser Ie Controle Interne pour bien montrer la volonte de
report d'attention aux realites sur Ie terrain d'execution,
• de demultiplier Ie processus iteratif de la demarche pour bien indi-
quer la volonte d'instaurer une dynamique locale,
• d'avoir une approche consensuelle pour bien rehausser la volonte
de concertation dans Ie cadre d'une negociation participative,
• d'analyser les activites exercees et les risques associes pour souli-
gner que la methode repose sur l'acquisition d'une meilleure
connaissance de ses activites,
• de creer une culture de Controle Interne pour bien faire
comprendre qu'il ne s'agit plus de se preoccuper seulement de
moyens techniques, mais beaucoup plus d'une part d'evolution du
savoir de l'entreprise, en integrant de nouvelles methodes d'analyse,
et d'autre part d'une phase de changement car les nouveaux savoirs
mis en reuvre influencent les comportements humains.
Selon un sondage realise en France par Ia SOFRES I, 45 % des citoyens
sont des fraudeurs.
La morale publique va mal. Le respect de Ia regIe est a Ia baisse. Sont en
hausse : Ia combine, Ie passe droit, I'amaque, Ie travail au noir, Ie piston,
Ia fraude, Ie trucage, Ia « gruge », bref Ia fraude (cf. annexe : statistiques
sur Ies reponses obtenues au sondage).
• premier indice : 8 seulement de ces 21 infractions sont tenues pour tout
a fait condamnables par une majoriU: de Fran<;ais. Les 13 autres appeI-
lent indulgence, souvent absolution, parmi Iesquel1es on trouve tout de
meme la triche dans Ie jeu, dans Ie sport, dans la fraude a la redevance
televisuelle, la fraude dans les transports en commun ou encore Ie
gonflement des notes de frais.
• deuxieme indice : la moitie des Fran<;ais (49 %) declarent connaitre
dans leur entourage un ou plusieurs tricheurs. Certes, quand on arrive
aux questions directes : « et vous-meme, vous arrive-t-il de tricher? »,
les pourcentages diminuent.
Un tiers des Fran<;ais resquillent dans les files d'attente et Ie disent. Un sur
cinq triche aujeu, travaille au noir, ou bien voyage sans billet dans Ie train
ou dans Ie metro. Fautes pardonnables ... mais ils sont 11 % qui avouent
s'exempter de la redevance tele et 7 % fraudent Ie fisc sans remords.

I. Sondage effectue par Ie Nouvel Observaleur en juin 1994 sur un echantillon national de
I 000 personnes representatif de I'ensemble de la population agee de 18 ans et plus, inter-
roges face a face a leur domicile par Ie reseau des enqueteurs de la SOFRES. Methode
d'analyse des quotas (sexe, age, profession du chef de menage) stratification par region et
par categorie d'agg!omeration.
La SOFRES a mis au point un « indice de tricherie » qui recense Ie nombre
de ceux qui avouent avoir pratique eux-memes plus de 4 des fraudes
enumerees dans Ie questionnaire. Le resultat est sans appel : 45 % des
personnes interrogees satisfont a ce critere ultime de la combine.
Ce sondage montre que nous sommes tous des fraudeurs potentiels, et que
si ces fraudes apparaissent dans la vie courante, elles prennent egalement
Ie pas dans la vie professionnelle.
La fraude interne est donc un sujet d'actualite qui occupe et preoccupe de
plus en plus les entreprises. Cependant, ce phenomene reste mal connu.
nest tres difficile de dresser un portrait robot du fraudeur : « C' est en effet
assez difficile car ce phenomene se manifeste dans la quasi-totalite des
classes socioprofessionnelles. Les motifs sont tres differents selon les indi-
vidus; aussi bien chez Ie professionnel de l'escroquerie que chez Ie
citoyen normalement respectueux des lois 1. »
« Chacun peut Hre tente par la fraude et meme passer it l'acte si celui-ci est
facile a commettre ou si l'on se trouve face a une difficulte que l'on peut a
tort ou a raison estimer injuste. »
Ce point est fondamental dans la mesure ou il s'ajoute aux difficultes pour
combattre la fraude.
La premiere partie de ce chapitre est consacree a l'audit de la fraude
interne. Elle a pour vocation de brosser un portrait assez general de la
fraude subie par I' entreprise et provoquee par ses salaries.
Sabotages, abus de confiance, usage de faux sont devenus en quelques
annees I'une des grandes sources de profit, juste devant la drogue et loin
devant Ie hold-up et autres casses.
La deuxieme partie met l'accent sur la fraude informatique. En effet, une
fraude assistee par ordinateur (FAO) rapporte dix fois plus qu'un braquage.
Certains se diront : Pourquoi se gener ? Les nouveaux escrocs s' en lavent
les mains. Pas les victimes dont Ie prejudice est inavouable pour deux
raisons: cela fait un peu desordre d'etre piege par l'un des siens (Ie cas Ie

1. Le Nouvel Observateur du 22/07/94 et du 21/07/92 « les aventuriers de la transgres-

sion» de Patrick Baudry.
plus frequent) ; Ie montant des pertes est tel que l'on prefere etouffer
l'affaire ...
En troisieme partie, nous presenterons un guide d'audit dans lequel seront
proposes d'une part, les moyens d'intervention de l'audit afin de
s'assurer que l'entreprise est suffisamment securisee pour limiter les
fraudes en son sein, et d'autre part, une demarche it suivre par I'audit si
une fraude survient pour faire Ie point sur l'affaire.

Du comptable au PDG, les ruses de l'arnaqueur sont multiples. Certaines

fonctions s'y pretent plus que d'autres : PDG, directeur financier ou infor-
matique, chef comptable ou analyste programmeur, agent de change ou
professionnel de 1'immobilier ... mais la liste n' est pas exhaustive.
De meme, au niveau des complices, on trouve souvent des experts comp-
tables, des commissaires aux comptes, des notaires ou autres experts.
Surtout ne pas se fier aux apparences, Ie fraudeur n' est pas Ie monstre froid
qui ne dit jamais bonjour et qui travaille sans cesse jusqu'a des heures
tardives.
70 % des Europeens sont honnetes ... tant qu'ils n'ont pas de problemes
personnels, ni d'opportunite a devenir malhonnetes ! 10 % sont fonciere-
ment malhonnetes et 20 %, Ie dernier carre, incorruptibles 1.
Les motivations du fraudeur sont multiples. Un homme qui subit des revers
professionnels, qui se demotive ou vit un echec familial sera plus sensible
aux sirenes de la fraude. Une entreprise dont l' organisation generale
manque de rigueur et dont les resultats sont deficitaires, est vulnerable.
Celle dont la deontologie professionnelle est floue risque de Ie payer cher.
L' environnement humain et organisationnel pese lourd dans l' origine
d'une fraude. C'est lui qui va creer l'opportunite ou la motivation du delit.
Si l'opportunite precede la motivation, il arrive que Ie fraudeur attende des
mois ou des annees pour en tirer parti.
La fraude recouvre tous les actes malhonnetes et malveillants prevus par
Ie code penal et dont Ie prejudice est purement financier. II s'agit de faux
et d'usage de faux, du vol non caracterise, de l'extorsion de pieces, du
detournement de gages, de 1'abus de blanc seing, de 1'abus de confiance, et
enfin de la fraude informatique.
La fraude recouvre tout acte malhonnete ou frauduleux prevu par Ie Code
penal au titre des articles 121-7,311-1 it 311-6,313-1 it 313-3,314-1 it
314-4, 321-1, 323-1 it 323-7, 441-1 it 441-11, etant entendu que ces articles
definissent :

• Ie vol,
• Ie recel,
• l' escroquerie,
• l' abus de confiance,
• I'atteinte aux systemes de traitement automatise des donnees,
• Ie faux et I'usage de faux.
La complicite, article 121-7 a1. 1 et 2 du Code penal, est definie de la
fal;on suivante : « est complice d'un crime ou d'un de lit la personne qui
sciemment, par aide ou assistance, en a facilite la preparation ou la
consommation. Est generalement complice, la personne qui, par dons,
promesse, menace, ordre, actes d'autorite ou de pouvoir, aura provoque
une infraction ou donne des instructions pour la commettre ».

Peuvent done etre poursuivis sur ces motifs 1 :

• I'expert comptable (art. 1772-1-1 du Code general des imp6ts) pour

etablissement de faux bilans,

1. Source : « Audit et fraude », de Noel PONS et Franl;ois VIDAUX, Edition

IFACI - fevrier 2004, collection « La fraude dans tous ses etats ».
• Ie commissaire aux comptes pour la complicite de publication et de
presentation de comptes annuels infideles,
• Ie comptable salarie pour complicite de fraudes fiscales (art. 1742 du
Code general des impots) d'escroquerie, de delits aux societes commis
par Ie president ou les adrninistrateurs des societes (art. 242-6-2 du
nouveau Code de commerce), de complicite de banqueroute, d'abus de
biens sociaux, d'abus de confiance, de detoumements de fonds.
Le vol (simple ou aggrave), articles 311-1, 311-3 et 311-4, se definit
comme etant « la soustraction frauduleuse de la chose d'autrui ». Le vol
est puni de 3 ans d'emprisonnement et de 45735 euros d'amende.
Le reeel (art. 321-1) « est Ie fait de dissimuler, de detenir ou de transmettre
une chose ou de faire office d'intermediaire afin de transmettre, en sachant
que cette chose provient d'un crime ou d'un delit. Constitue egalement un
recelle fait, en connaissance de cause, de beneficier, par tout moyen, du
produit d'un crime ou d'un delit ». Le recel est punit de 5 ans d'emprison-
nement et de 375 000 euros d' amende.
L'eseroquerie (art. 313-1) « est Ie fait soit par l'usage d'un faux nom ou
d'une fausse qualite, soit par l'abus d'une qualite vraie, soit par l'emploi
de manceuvres frauduleuses, de tromper une personne physique ou morale
et de la determiner ainsi, a son prejudice ou au prejudice d'un tiers, a
remettre des fonds, des valeurs ou biens quelconque, a foumir un service,
ou a consentir un acte operant obligation ou de charge ». L'escroquerie est
punie de 5 ans d'emprisonnement et de 375000 euros d'amende.

L'abus de confiance (art. 314-1) «est Ie fait pour une personne de

detoumer, au prejudice d'autrui, des fonds, des valeurs ou un bien quel-
con que qui lui ont ete remis et qu'elle a accepte a charge de les rendre, de
les representer ou d'en faire un usage determine ».
L'abus de confiance est puni de 3 ans d'emprisonnement et de
375000 euros d'amende.
Le faux et l'usage de faux (art. 441-1) «constitue un faux toute altera-
tion frauduleuse de la verite, de nature a causer un prejudice et accomplie
par quelque moyen que ce soit, dans un ecrit ou tout autre support
d'expression de la pensee qui a pour objet ou qui peut avoir pour effet
d'etablir la preuve d'un droit ou d'un fait ayant des consequences
juridiques ». Le faux et l'usage de faux sont punis de 3 ans d'emprison-
nement et de 45000 euros d'amende.
Le delit de faux porte sur la falsification d'un document ecrit ou tout autre
support (disquettes, CD-Rom ... ) ayant pour objectif d'entrainer un preju-
dice effectif ou eventuel.

Selon une etude menee par Revue Banque nO670 de juin 2005, les experts
s'accordent a dire que l'activite de blanchiment d'argent dans Ie monde
represente des flux financiers annuels compris entre 600 et I 500 milliards
de dollars.
Dans ce contexte, la lutte anti-blanchiment d'argent entre desormais dans
Ie cadre general du risque de non-conformite, donc de fraude potentielle.
En matiere de reglementation, les premieres dispositions specifiques fran-
9aises integrees dans Ie Code de la sante pub Iique, datent de 1987.
Neanmoins, depuis une dizaine d'annee, les dispositifs juridiques ont ete
renforces, notamment sous l'impulsion des Etats.
L'une des resultantes est la creation en 1989 du groupe d' Action Finan-
ciere (Ie GAFI), un organisme intergouvememental appele a concevoir des
strategies de lutte contre Ie blanchiment de capitaux et Ie financement du
terrorisme, et qui a publie dans cet objectif de nombreuses recommanda-
tions : 40 pour Ie blanchiment et 9 pour Ie terrorisme.
En France, c'est Tracfin (traitement du renseignement et actions contre les
circuits financiers clandestins) qui est en charge de verifier et contr6ler les
declarations de souP90ns venant des etablissements financiers.

En d'autres termes, Ie blanchiment d'argent est devenu en quelques

annees, suite aux dereglementations bancaires, une fraude particuliere sur
laquelle il faut etre desormais tres vigilant. De plus en plus, les etablisse-
ments financiers creent des fonctions de compliance-officers pour detecter
et superviser les processus qui peuvent financer Ie terrorisme et favoriser
Ie blanchiment de capitaux. En developpant une approche par'les risques,
Ia troisieme directive europeenne va alors dans Ie bon sens car elle
incite Ies banques et tous les etablissements financiers a adapter leur
organisation et leurs systemes de detection et de pilotage de lutte anti-
blanchiment au type de clientele et a la nature des operations.
Les obligations de vigilance (Ie « know your customer») visent en parti-
culier les entrees en relation sans contact physique, les relations de corres-
pondance bancaire, les personnes politiquement exposees et egalement Ie
controle des cheques.
Des que les «professionnels du chiffre et du droit» Soup90nnent ou
ont des raisons suffisantes de Soup90nner une operation ou une tentative
de blanchiment de capitaux, ils ont I' obligation de faire une declaration
de SOUP90n a la cellule de renseignement financier. L' obligation de
declaration d'une activite criminelle, au sens de la directive, porte sur
les operations et sommes qui proviennent d'activites illicites : Ie trafic
de stupefiants, Ie terrorisme, les atteintes aux interets financiers des
Communautes europeennes, la corruption et les activites criminelles orga-
nisees. Par consequent, tous les delits economiques et financiers entrent
dans Ie champ de la declaration de SOUP90nspuisque ceux-ci encourent
une peine de prison de 5 ans d'emprisonnement, y compris la fraude
fiscale.
Pour gerer ces risques particuliers, les etablissements financiers a travers
les directions d'audit ou les compliance-officers, ont mis en place des
outils d'analyse simples et facilement auditables.
Deux types d'outils sont utilises :
• les outils qui detectent les operations atypiques par rapport a un profil de
client ou a un historique d'operations ;

• les outils, plus sophistiques, qui utili sent des moteurs statistiques
mettant en evidence les operations qui s'ecartent d'une moyenne statis-
tique pour un client donne ou un type de clientele I.

1. Marie-Agnes Nicolet, cabinet Audisoft Consultants: « la lutte anti-blanchiment dans

la fouction conformite », Revue Banque n° 670, juin 2005.
 Par nature, la fraude est un acte de mauvaise foi, en general pour un profit personnel
au detriment de I'entreprise.

Aucune regIe exacte ne peut pretendre definir la fraude. L'imagination

dans ce domaine n'a pas de limites, et l'homme est capable d'inventer des
moyens de tricheries, plus ingenieux les UllS que les autres.
La fraude interne aux entreprises commence par la petite indelicatesse.
Qui peut se pretendre a l'abri de la «gratte»? Appels telephoniques
personnels frequents, pillage de l'armoire a fournitures a chaque rentree
scolaire ou photocopies du memoire de maitrise du fils etudiant : les
occasions sont innombrables, et a I' extreme, cela aboutit a de veri tables
detoumements.
Entre la «gratte» et les detoumements financiers sophistiques, une
nouvelle fraude se developpe de facon preoccupante : celie que permet,
parfois a grande echelle, la generalisation des connexions informatiques,
telematiques et telephoniques. A partir d'un seul poste de travail, en parti-
culier dans les nouvelles configurations clients/serveurs, un individu peut
avoir acces a de nombreuses applications et bases de donnees.
De l'ajout de faux clients ou fournisseurs dans les fichiers informatiques
aux fausses ecritures, la liste est longue des detoumements possibles.
Certaines activites sont notoirement touchees par des abus de tous types:
• en premier lieu la distribution ou est nee I' expression «demarque
inconnue» pour designer les marchandises qui disparaissent dans la
nature. Elle represente entre 1 % et 2 % du chiffre d'affaires des
magasins, dont la moitie serait imputable aux salaries. La distribution a
Ie me rite de parler ouvertement du phenomene et de Ie chiffrer ;
• meme attitude dans l'informatique : en 1993 Ie Club de la securite infor-
mati que francais CClusif) evaluait deja Ie montant des fraudes a environ
245 millions d'euros ;
• banques et compagnies d'assurances constituent les deux cibles preferees
des aigrefins. D'abord parce que c'estla qu'on trouve Ie plus d'argent,
 ensuite parce que la masse est telle que les detournements souvent mineurs
passent inaper9us, meme s'ils sont tres remunerateurs pour Ie fraudeur.
La belle machine mise au point par les escrocs met parfois du temps avant
de derailler. Une vingtaine d'ingenieurs et de cadres superieurs de la
compagnie d' assurances americaine Equity Funding Insurance ont
detoume 2 milliards de dollars en creant 64 000 clients fictifs ; pendant six
ans, ils ont opere en toute imp unite. Rien n' empeche de penser que les plus
belles escroqueries n' ont j amais ete decouvertes.

La fraude peut se definir comme une tromperie organisee par les employes ou par les
dirigeants de I'entreprise pour masquer la verite.
Les moyens et les manil'!res de frauder sont multiples et pratiquement infinis suivant Ie
niveau de responsabilite des fraudeurs dans I'entreprise.

Selon une enquete de KPMG dans les annees 1990, plus de la moitie des
dirigeants d'entreprises estiment que la criminalite en col blanc a tendance
it augmenter. Principaux motifs: la sophistication des techniques et la crise
des valeurs morales.

Insuffisance des actions

commerciales I

Insuffisance des action de

prevention et de detection
Augmentation des
echanges commerciaux
Difficultes economiques I

Crise des valeurs morales

Sophistication des
techniques de fraude
I I I I I I

1. II convient de souligner que certaines questions pouvaient donner lieu a plusieurs

reponses, ce qui a pour effet de faire apparaitre dans certains des graphiques presentes,
des pourcentages de reponses superieurs a 100 %.
La criminalite en col blanc commence a inquieter les entreprises fran-
9aises. Plus de trois entreprises sur quatre s'estiment victimes de fraudes
en 1994 et meme si seulement 25 % des dirigeants fran9ais considerent la
fraude comme un probleme majeur, plus de la moitie d'entre eux pensent
que la fraude a plut6t tendance a augmenter.

Pensez·vous que la fraude ait plutot tendance a augmenter

diminuer ou stagner?

11 %

Vols dans les stocks

Fausses notes de Irais
Vols d'especes
Achats ou utilisations de biens a des fins personnelles
Falsification de cheques emis ou re9us
Fausses pieces justificalives
Autres deloumemenls de fonds
Corruptions
Fraudes a la carte bancaire
Vois d'informations confidentielles
Falsification d'elats financiers ou de documents officiels
Fraudes informatiques
Delils boursiers
Salaries fictifs
Tels sont les principaux enseignements d'une enquete faite par KPMG
Fiduciaire de France aupres des 1 000 entreprises industrielles et commer-
ciales fran9aises (a l'exception des etablissements bancaires et assu-
rances). En France, la multiplication des « affaires » qui a surtout braque
les projecteurs sur les entreprises corruptrices a eu tendance a faire oublier
que les entreprises sont aussi les victimes de plusieurs fraudes. C'est pour
cette raison que l'etude de KPMG est concentree sur les fraudes subies par
I' entreprise.
Le vol dans les stocks, les fausses notes de frais et l' achat ou I'utilisation
de biens a des fins personnelles, constituent les principales fraudes
internes. Enfin, la fraude aux moyens de paiement est l'infraction interna-
tiona1e la plus frequente.
On peut certes regretter que Ie sondage n'ait pas pris en compte les fraudes
de dirigeants eux-memes. Ainsi, les fraudes les plus elaborees pouvant
venir de la Direction (corruption, falsification d'etats fmanciers, abus de
biens sociaux, etc.) sont rarement evoquees. Les delits boursiers ne sont
jamais cites par les entreprises. « Cette autocensure est interessante dans
la mesure ou elle demontre une perception de la fraude tres particuliere
chez les dirigeants d'entreprises. Pour eux, les infractions a la legislation
commises par les directions ne sont pas frauduleuses dans la mesure ou
el1es sont faites dans l'interet de l'entreprise » explique Gerard Riviere,
directeur associe chez KPMG et responsable de I'enquete.
Peut-on mesurer Ie cout de la fraude ? L'enquete est prudente sur ce point.
L'estimation des pertes des entreprises couvre une fourchette qui va de
quelques centaines de milliers d'euros a plus de 15 millions d'euros cumules.
Vne chose est sure en tout cas, les entreprises ne disposent pas encore d'un
systeme de lutte efficace contre la fraude (77 % des dirigeants jugent leur
connaissance de la fraude moyenne ou insuffisante).
Ci-dessous, un schema indiquant l'attitude de la Direction Generale face a
la fraude :
• 60 % des entreprises repondant a l'enquete realisee par KPMG Audit,
declarent licencier I' auteur de la fraude,
• 54 % intentent une action judiciaire et ou penale,
• moins de 10 % negocient a I' amiable et gardent Ie silence.
 Intenter une action judiciaire
etlou penale

Faire effectuer une etude

approfondie par I'audit interne

Contraindre I'auteur de la fraude

II demissionne r

, , ,

Enfin, nous Ie verrons dans la partie qui suivra, la fraude informatique

vient desormais en tete des risques mentionnes dans tous les pays. Pres
de 60 % des delits et fraudes internes proviendraient de manipulations
informatiques : piratage d'informations, transferts de fonds non autorises,
manipulation de donnees et/ou de programmes.
De plus, l'emergence des NTIC (Nouvelles Technologies de l'Information
et de la Communication) et l'ouverture intensive des sites Web des entre-
prises au monde economique sont generatrices de risques plus importants
de fraude et de malveillance. Qui n'a pas entendu parler d'atlaque de ver
ou de virus qui aurait paralyse tous les systemes de communication de son
organisation.
Le graphique ci-apres montre qu'aujourd'hui, les auteurs d'actes delic-
tueux, autrefois « specialistes informaticiens passionnes » sont desormais
dispenses dans Ie grand public.
Selon une etude d'Emst et Young (annee 2000) sur un echantillon de
grandes organisations mondiales et dans 25 secteurs economiques
distincts, la notion de fraude reste encore 10 ans apres un sujet d'actualite.
 Expansion de la criminalite liee aux technologies
de I'information et de la communication

Evolution du nombre d'enquetes penales

en criminalite reconnue « informatique »
de 1981 a 1998. Source etude Ernst et Young - 2000.

1981

Plus de 90 % des entreprises interrogees pensent que la fh~quence des

fraudes a progressee ou est demeuree au meme niveau sur les cinq
dernieres annees et plus de 50 % d'entre elles estiment qu'elle va
augrnenter au cours des cinq annees suivantes. Par ailleurs, pres de 80 %
considerent egalement que leurs entreprises sont autant ou davantage
exposees au risque de fraude.
Par consequent, entre l'etude de KPMG et d'Ernst et Young, 10 ans se
sont ecoules et rien n'a evolue dans les organisations pour mettre en place
des processus de Contr6le Interne adaptes pour prevenir et/ou empecher
les risques de fraude. II semble donc que les entreprises n'ont pas su
ameliorer - malgre l'emergence de nouveaux risques -l'efficacite de leur
contr6le par des diagnostics reguliers de leur vulnerabilite au risque de
fraude. L' etude d' Ernst et Young indiquait en outre, que les entreprises
fran<;aises etaient en retard sur leurs voisines etrangeres alors que huit
societes sur dix avaient eu a subir des fraudes internes ..
Des recherches sur les comportements frauduleux conduisent a tirer les
conclusions suivantes : la realisation de toute fraude (Ie passage a l'acte),
se fait si trois facteurs sont reunis :
• Ie besom (financier, par defi ou par esprit de vengeance),
• la perception d'une possibilite offerte de commettre une fraude (prise de
conscience des defaillances de Controles Internes),
• la possibilite de justifier son acte, et de trouver une bonne raison de
frauder.
La plupart des fraudeurs sont des «petits delinquants» et ne commet-
traient jamais d'autres crimes. Ce qui est inquietant, c'est que les pres-
sions, les opportunites et la possibilite de justifier ces agissements sont des
facteurs en augmentation dans notre societe.
Les opportunites de frauder en affaires abondent. Dans pratiquement tous
les cas, si la fraude a eu lieu, <;an'est pas parce que les contrOles internes
n'existaient pas, mais parce qu'ils n'etaient pas appliques.

Quant a I' opportunite, elle est, bien entendu, creee par les failles de
systemes et des procedures :
• maHrise par une meme personne du processus comptable, de l'expedi-
tion des factures aI' enregistrement des reglements,
• possibilite de detourner la procedure de recrutement de personnel cle
(engagements « pirates »),
• cumul de fonctions incompatibles du point de vue securitaire,
• conjugaison de faiblesses de l'informatique et de la gestion physique des
stocks permettant des detournements physiques ...
Dans nombre de cas de fraudes parprepose sans complicite, la sacro-sainte
regIe de separation des fonctions aurait pu eviter la realisation du scenario.
Par ailleurs, l'occasion faisant Ie larron, il n'est pas rare qu'une faille soit
decouverte par accident, ignoree, puis exploitee volontairement lorsque
natt la pression psychologique ou la necessite economique.
L'opportunite peut-etre plut6t conjoncturelle et creee par une phase de
flottement dans la gestion de I' entreprise : un simple demenagement, une
restructuration des activites qui necessite une redefinition des taches, une
acquisition (Ie delai entre l'incorporation au groupe et l'harmonisation des
procedures et contr6les peuvent etre fatals ... ).
Si aujourd'hui les motivations sont demultipliees sous l'effet de la crise
economique (et les opportunites conjonctureUes accrues par les mouve-
ments internes et externes des societes), les risques sont egalement
amplifies par un phenomene relativement recent, observe tant en France
qu'a l'etranger : Ie glissement tres net de l'ethique et du comportement
social de l'individu.
Nous reviendrons sur Ie theme de l'ethique quant nous serons amenes a
parler de prevention.

Pour un voleur, Ie vol qu'il commet n'est pas un vol. L'etre humain est tres
enc1in a rationaliser, done celui qui cause des pertes ne vole pas,
il compense :
• «je ne suis pas paye a ma juste valeur» ;
• «la compagnie est bien plus riche que moi. .. » ;
• «je merite bien ce petit. .. » ;
il rationalise :
• «si ce n'est pas moi qui Ie prend, 9a va etre quelqu'un d'autre ... aussi
bien moi ... » ;
• «ce n' est pas grand-chose par rapport aux services que je rends ... » ;
• «tout Ie monde Ie fait, je ne suis pas plus sot que les autres ... » ;
• «ce n'est rien compare a ce que d'autres font. .. ».
111.1.3QueUes sont les faiblesses de I'organisation
qui permettent les fraudes ?

La protection des actifs et la maitrise des engagements de la societe, dont

la protection contre la fraude fait partie, sont des taches essentielles du
personnel de I' entreprise et en particulier des financiers et des comptables.
Cette protection est assuree par ce qu'il est convenu d'appeler Ie systeme de
Contr6le Interne que I' on peut definir comme la ou les structures de l' organi-
sation, de telle maniere qu'au travers d'une affectation «rationnelle» des
taches et des responsabilites, la maitrise des flux et Ie contr6le soient assures.

Aucun systeme de protection (systeme anti-intrusion, codes secrets, etc.) n'est effi-
a
cace 100 % et les systemes de Controle Interne pas plus que les meilleures proce-
dures ne derogent a
cette regie.
II apparait toutefois necessaire de s'attachera la mise en place de tels systemes car ils
ont un aspect dissuasif et Iimitent les risques de maniere substantielle.

En regIe generale, les fraudes des dirigeants ne peuvent pas etre evitees
par des mesures d'organisation. En effet, lorsque les falsifications sont
decidees it un niveau eleve, 1es reg1es de Contr61e Interne sont inoperantes.
La recherche des fraudes commises par les dirigeants incombe plus parti-
culierement aux commissaires aux comptes dont la loi du 24 juillet 1966 a
augmente les pouvoirs et 1es responsabilites.
Par contre, les detournements commis par les employes ou les respon-
sables subalternes peuvent etre dans une certaine mesure evites par l' appli-
cation correcte des reg1es d' organisation.
La fraude interne depend de facteurs en general bien identifies:
• facilites d'acces,
• degre de tranquillite,
• frequence des contr61es,
• sanctions connues,
• facteurs emotionnels,
• implication de la Direction Generale.
Certes, Ie Controle Interne ne garantit pas entierement Ie risque de
fraude, soit en raison du cout eleve des mesures qu'il serait neces-
saire d'instituer, soit par les deviations constatees dans son applica-
tion. Neanmoins, on peut considerer que la recherche de mesures
suffisantes peut apporter une garantie raisonnable contre la fraude it
condition d'evaluer periodiquement la qualite du ContrOie Interne.
La constatation des fraudes revele en effet que Ie plus souvent,
celles-ci n'auraient pu se produire si les regles fondamentales du
contrOieavaient Cterespectees.
Bien que les fraudes ne puissent etre totalement evitees, les organisations
qui affichent une reelle volonte de lutter contre ce phenomene, deviennent
considerablement moins vulnerables.
La plupart des entreprises n'adoptent pas une attitude active de lutte contre
la fraude. Et pourtant, la plus grande attention devrait etre accordee a la
prevention, et non pas se limiter a reagir apres l'incident. La prevention
de la fraude, et non pas la detection, permet aux entreprises de reduire les
couts engendres par les detournements frauduleux.
II faut sensibiliser les employes et les rendre conscients de l'ampleur du
probleme, en leur indiquant quelle att~tude adopter s'ils suspectent une
fraude. Les instances a prevenir dans ce cas sont la hierarch ie, la securite et
l' Audit Interne. L'anonymat est respecte pour les employes qui Ie desirent.
Les enjeux et les risques doivent cependant faire l'objet d'une etude prea-
lab Ie. En effet, il est necessaire de proceder a une analyse de la valeur car
engager des couts superieurs a la valeur de l' actif a proteger a peu de sens.
En definitive, la methode repose sur quelques regles d'or :
• separer les fonctions,
• eviter les domaines reserves,
• posseder un systeme coherent dans les flux d'informations pour evaluer
les ecarts entre les stocks reels et leur traduction comptable,
• eviter les liens de copinage entre fournisseurs et salaries,
• disposer d'un service d' Audit Interne independant,
• ou simplement bien choisir un mot de passe (cela s'apprend !).
« Mais il n'y a pas de Contrcle Interne ideal» precise Gerard Riviere de
KPMG Audit. 11 s'agit de trouver un juste milieu. Une autonomie trop
grande peut conduire au laxisme. Un contrcle trop serre, des procedures
trop lourdes nuisent a la responsabilisation des salaries et finissent par
couter cher ... ».
La prevention de la fraude passe surtout par une meilleure organisation
interne. Les mesures physiques ne suffisent pas. Des contrcles trop frequents
peuvent entralner des attitudes de defiance de la part du personnel qui cher-
chera a biaiser. Des changements de codes informatiques trop frequents en
rendent difficiles la memorisation, pour les retenir on les inscrira done sur un
coin de bureau au vu et au su de tout Ie personnel.
Les entrepreneurs qui ont eu a gerer des problemes de fraude ont constate
que la frustration professionnelle des salaries constituait une motivation
pour « gruger» l'entreprise. Les problemes personnels des employes en
sont aussi une cause.

De maniere generale, les phases de f10ttement du management representent des

opportunites pour Ie fraudeur.
Pour remporter Ie combat contre la fraude, les entreprises doivent avoir :
• des regles qui ne tolerent aucune fraude portant prejudice a I'entreprise,
• des regles qui ne tolerent aucune fraude au profit de I'entreprise,
• des responsables, salaries et auditeurs avertis des fonctions exposees au risque de
fraude et des sympt6mes qui I'accompagnent.
Les employes doivent etre suffisamment sensibilises pour alerter immediatement leurs
responsables en cas de suspicion de fraude.

Que les enquetes soient menees par des cabinets specialises, la police ou la
DGCCRF (Direction Generale de la Concurrence, de la Consommation et
de la Repression des Fraudes), elles arrivent tous a la meme conclusion:
les entreprises ne semblent pas avoir pris la mesure du risque de fraude ou
de malveillance dans leur organisation.
Tres rarement, les leviers classiques comme l'assurance, les audits ou les
inspections sont utilises par les societes alors qu'ils constituent un gage
d'efficacite dans la lutte contre les fraudes.
Quelques tentatives « d'associations de malfaiteurs », d'un « monsieur
anti-fraude» ou d'une organisation ad hoc ont ete experimentees dans
certaines organisations, notamment dans les secteurs de la Banque, de
l' Assurance et dans certains groupes industriels. Neanmoins, il n'est pas
dans notre culture « latine » de mettre en reuvre ce type de solutions qui
genent les managers et les equipes dirigeantes des grandes entreprises.
Par consequent, la prevention contre la fraude doit etre une combinaison
« inteUigente » d'un management present, d'un Contr6le Interne perf or-
mant et de 1'honnetete des salaries.
Le plus important de ces trois facteurs repose sur un bon management.
L'attitude des responsables hierarchiques doit etre exemplaire.

Pour etre efficaces, les contr6les ne doivent pas necessairement etre tres
sophistiques, mais ils doivent etre suivis. La discipline dans l'application
des procedures et des contr6les est un gage de succes dans la prevention
des fraudes.
Le systeme de contr6le doit s'articuler sur quatre niveaux :
• Autocontrole : Ie systeme de Contr6le Interne concerne l' ensemble du
personnel. En effet, chaque salarie, a quelque niveau que ce soit et queUe
que soit sa fonction, est responsable de ses actions, dans Ie cadre de la
delegation qu'il a rec;ue. 11doit donc pouvoir en assurer la maitrise et
en rendre compte. En consequence, toute personne est responsable de
son propre contr6le et doit participer au fonctionnement du systeme de
Contr61e Interne.
• Controle hierarchique : tout responsable hierarchique doit, en coordi-
nation avec les services fonctionnels specialises, s'assurer qu'il dispose
d'un systeme de contr61e permanent adapte aux responsabilites qu'il
exerce.
 • a la Supervision des travaux et a I' accomplissement des taches de
verification,
• a I' analyse de I' activite et des resultats,
• aI' examen regulier du fonctiollilement des procedures de controle
mises en place.
Le contrOle exerce par la ligne hierarchique est un aspect fondarnental
du systeme de Controle Interne et constitue Ie corollaire necessaire et
indispensable de la politique de delegation.
• Controle de Direction: la Direction doit disposer d'outils fonctionnels
de controle :
• controle technique : qui verifie Ie respect des regles de gestion et
I' application des directives techniques,
• controle comptable : qui permet de verifier la coherence des ecritures
comptables et l'application des regles comptables.
• ContrOles externes : controle fiscal, commissaires aux comptes consul-
tants externes pour des missions ponctuelles.
Le systeme de controle doit donc prevoir :
• une hierarchisation des operations en termes de risque financier, tech-
nique et humain,
• la definition de normes regulierement revisees,
• Ie controle systematique de tout ce qui est hors norme et/ou
derogatoire,
• Ie controle aleatoire des autres operations.
Le principe de coherence des moyens de controle avec Ie niveau de
risque encouru doit etre respecte.
Pour cela, il faut adopter un cycle de controle dans lequel Ie resultat des
operations anterieures de controle determine la nature de l'intervention
posterieure.
Quatre types de controle peuvent etre prevus :
• controle normal,
 • contra Ie allege,
• contrale renforce,
• sorties du systeme (audit, formation, sanction, etc.).
II faut egalement preciser les regles de passage d 'un type a I' autre, par
exemple:
• au bout de x contrales decelant moins de y % d'erreurs, un contrale
normal est remplace par un contrale allege,
• si Ie taux d' erreur est decele, ou si un tel evenement est mis en
evidence, on sort du cycle de contra Ie pour faire autre chose.
Dne fraude est une erreur volontaire. La lutte contre la fraude est un
sous-produit de la lutte contre l'erreur. Des contrales intelligents
peuvent reduire les risques d'erreur, et par la meme, Ie risque de fraude.

Depuis plusieurs annees, Ie management des entreprises fait l'objet d'une

interrogation d'ordre philosophique : sur quels principes fonder les droits
et devoirs de chacun par rapport a cette realite sociale et economique que
constitue I' entreprise ?
Pour les partisans de l'amoralisme du monde des affaires, il s'agit d'une
simple mode. La gestion des affaires a pour premiere preoccupation l'effi-
cacite. Le management doit rester en dehors de toutes considerations
ethiques ou morales. La vague ethique, meme s'il s'agit d'une vague
deferlante, ne sera qu'ephemere.
Pour d'autres, il s'agit d'un culte purificateur de l'entreprise et du profit.
L'ethique est appelee ala rescousse pour ameliorer l'image de l'entreprise
et mieux motiver Ie personnel. La morale d'entreprise c'est un « supple-
ment d'ame » mais aussi un « supplement de rentabilite ».

Au-dela de certains comportements veritablement iIIegaux, les gens manquent parfois

de reperes, ce qui peut les amener a commettre des actes reprehensibles, d'ou la multi-
plication des codes de bonne conduite : grace a une charte tres precise, Ie salarie ou
Ie patron sait exactement jusqu'ou il peut aller (en matiere de cadeau x par exemple).
II existe des regles du jeu qui ne peuvent etre ignorees. Le fondement
general de ces regles est simple: il s'agit de pouvoir poser une hypo-
these indispensable de transparence et de confiance. Les regles vien-
nent securiser Ie processus contractuel qui est a la base des relations de
tous ordres que des acteurs economiques « adultes et consentants » sont
amenes a etablir.
La tradition fran~aise conduit a une reflexion qui allie ethique des
affaires et deontologie professionnelle. Les entreprises font d'abord un
effort d'eclaircissement des pratiques qu'elles connaissent, celles de leur
secteur ou celles de leur environnement, en imposant des regles tech-
niques ou en fixant un code de bonne conduite. La deontologie financiere
est en France I'une de celles qui s' est Ie plus developpee dans une peri ode
recente.
II ne s'agit plus d'imposer ou de s'imposer des normes morales afin d'etre
en paix avec sa conscience ou de satisfaire a certaines obligations reli-
gieuses. OU plutot, il ne s' agit plus seulement de cela.
S'il est aujourd'hui question d'ethique dans les entreprises les plus perf or-
mantes du monde, c' est que la reussite, pour etre durable, y est reconnue
comme etant fonction de la coherence que I' on est parvenu a creer entre
Ie sens que chacun donne a son existence, les droits et devoirs impartis a
chacun, et la finalite de cette aventure collective qu'est l'entreprise.
La question ethique se pose en termes de choix : choix face a une alter-
native, entre une solution conforme a certains principes (explicites ou
implicites) et une solution qui ne I' est pas. Et cette question est posee non
pas a une entite collective, mais d'abord a une conscience personnelle,
placee face a une situation concrete comportant des enjeux et exigeant de
sa part une initiative dans un sens ou dans un autre.
Lorsqu'il faut se determiner face a un choix generalement complexe (la
« bonne solution» ne se trouvant au premier abord ni d'un cote ni de
l'autre), Ie decideur pourra se reperer par rapport a deux sortes de regles du
Jeu:
• celles qui sont propres a I' entreprise ou il travaille (directives, proce-
dures, culture),
• celles qui lui sont propres ou issues de son education, de son experience,
de ses convictions et de sa retlexion.
L'observation des entreprises, en France meme, suggere en effet l'exis-
tence de deux situations extremes:
• d'un cote des entreprises dont Ie systeme de va leurs affmne est extreme-
ment fort et s'impose presque totalement par rapport aux principes
d'action qui animent eventuellement Ie salarie au moment de son
embauche; celui-ci ne peut autrement dit, que se soumettre ou se
demettre;
• de l'autre, des entreprises dont Ie code de valeurs specifiques est peu
contraignant tout en representant un faible engagement, et qui par prin-
cipe ou par necessite, font essentiellement appel au discernement
personnel et done au code de valeurs qui animent chacun des salaries.
Ce choix a l'extreme constitue beaucoup plus qu'un probleme de
management.
Deux risques en effet meritent d' etre pris en consideration:
• celui d'une manipulation des esprits (une culture faisant obligation a
chacun de respecter un certain nombre d'obligations assorties d'un
homme providentiel, presentant tous les caracU:res du heros mythique,
d'un slogan sans cesse repete et d'un logo),
• celui d'un cynisme triomphant (peu importerait les moyens mis en
reuvre par I' entreprise a partir du moment ou ceux -ci contribuent a la
realisation des objectifs).
L' entreprise dans ses choix et dans ses decisions, doit prendre en compte
simultanement I' existence des differentes parties prenantes que sont les
clients, les apporteurs de capitaux, les salaries, les fournisseurs et sous trai-
tants, les collectivites publiques.
Si chacun des salaries, dans ses choix et dans ses decisions, se determine
lui-meme en fonction de ses engagements a l'egard de l'entreprise mais
egalement de sa famille, rien si ce n'est l'empire de la necessite, ne saurait
obliger l'individu a accorder la priorite aux exigences requises par l'entre-
prise. Ainsi, Ie respect de la liberte individuelle, cette valeur des societes
occidentales, conduit necessairement I' entreprise a laisser a chacun de ses
salaries Ie soin de proceder aux arbitrages requis par I' apparition de
contradictions entre les principes que lui suggerent ses differents
engagements.
Autrement dit, l'influence de l'entreprise, en tant que creatrice de valeurs
morales, se trouve necessairement limitee par ces autres sources de valeurs
qui regis sent la vie des salaries.
L'ethique de l'entreprise ne peut donc etre que limitee, relative, subor-
donnee a des exigences plus vastes.
Le probleme du management dans les entreprises se trouve ainsi pose en
termes de decision dans un environnement incertain dont on possede une
connaissance elle-meme incertaine et partielle.

II est de nombreux cas ou Ie manager, butant aux Iimites de la rationalite se trouve lui
aussi reduit it sa seule subjectivite.
L'interrogation ethique devient d'autant plus necessaire : dans notre economie,
I'ethique reapparait lors de la prise de decision, au moment du choix du mode
operatoire.
La chaine « voir·dire·savoir » nous parait constituer I'indispensable guide au long du
cheminement qui va de I'emergence du probleme it sa solution: ces trois maillons sont
indissolublement lies et presentent egalement la caracteristique de constamment unir
I'individu et Ie collectif.

A ce sujet, une authentique reflexion'morale doit d'abord porter sur la

responsabilite associee au pouvoir exerce par tout dirigeant.
La logique de I' obeissance ne fonctionne plus. On ne peut plus gerer du
centre, apartir de quelques uns qui savent, pensent, decident, Ie grand
nombre s'appliquant a l'execution. II faut simplifier les structures et
renvoyer la complexite sur les acteurs qui doivent donc etre plus intelli-
gents, conscients, responsables. C'est la logique de la responsabilite.
Or, les conditions permettant a la responsabilite de fonctionner sont au
nombre de trois :
• la liberte (autonomie, decentralisation, principe de subsidiarite),
• Ie discemement des acteurs a tous les niveaux,
• enfin, l'existence d'un champ de force ethique capable d'orienter les
reponses qui depassent les seuls problemes techniques.
 Si quelques regles simples peuvent aider (visa de notes de frais, remboursement de
depenses personnelles), aucun code formel ne pourra envisager toutes les situations.
C'est d'avantage Ie sens ethique de chacun et Ie climat de I'entreprise qui permettent
d'eviter les abus.

Les codes de conduite se developpent dans beaucoup d'entreprises. Ils

detinissent les grands principes ethiques et decrivent, en face de situations
concretes, queUes sont les bonnes reponses a apporter en cas de situation
de fraude averee.
Les comportements des dirigeants et notamment du President, sont
tout it fait determinants.
Le comportement du dirigeant est Ie meilleur signe de I' engagement
ethique. En tout cas, il est strictement impossible qu'existe dans l'entre-
prise un souci ethique qui ne serait pas vecu d'en haut. Pour les dirigeants,
plus que ce qu'ils disent, compte ce qu'ils sont ... et font.
• I' ethique est une exigence actuelle et fortement durable,
• I' ethique est un appel plus qu 'une contrainte,
• Ie souci d'ethique interesse toutes les cultures, meme si les approches
different,
• Ie pole du champ de force ethique tel qu'il apparait aux entrepreneurs
occidentaux que nous sommes, est une certaine image de l'homme
debout, acteur, createur et responsable,
• I' ethique de I' entreprise doit tenir compte des champs de force ethiques
de la societe qui l'entoure et des personnes privees qu'elle emploie,
• l'ethique plus qu'un dire est un faire,
• l'ethique est d'abord au service d'une finalite : les moyens ne justifient
pas la fin, mais pour autant la fin ne justifie pas les moyens. Un moindre
mal reste un mal,
• pour l'action, des reperes sont utiles. Ils se trouvent dans les codes de
conduite de certaines societes. Reperes et codes supposent I' existence de
sanctions,
• chaque entreprise do it s'y appliquer it sa maniere, fermement. Chaque
dirigeant doit savoir que la qualite de son comportement est
determinante.

~ 111.1.4.3Le role de la Direction Generale definir ce qui n'est pas

acceptable

Le premier devoir de I'entreprise est de detinir des regles bien

precises quant it ce qui est acceptable et ce qui ne l'est pas.
Beaucoup d'entreprises ont des codes de conduite ou d'ethique, mais les
salaries n'ont pas tous conscience de ce qui est effectivement permis. Pour
cela, une definition ecrite des responsabilites de chacun est necessaire et
une clause particuliere sur les fraudes doit etre redigee, incluant des
exemples ainsi que les mesures prises par la Direction pour sanctionner les
fraudeurs. II ne doit pas y avoir de malentendu sur ce qui est permis et ce
qui ne I' est pas.
En principe, les Directeurs, les responsables et Ie personnel doivent rece-
voir des instructions bien precises pour alerter, gerer et sanctionner les
fraudeurs.
Neanmoins, encore beaucoup d'entre eux considerent qu'ils n'ont aucun
role a jouer dans la detection des fraudes et nombreux sont ceux qui ne
connaissent pas les risques auxquels sont exposees leurs activites ni ne
comprennent l'interet des controles preventifs ou de detection. Cette atti-
tude qui consiste a vouloir « ne pas avoir de problemes » peut paraitre
comprehensible, mais certains responsables vont trop loin en niant
meme l'existence d'un «probleme» jusqu'au jour ou celui-ci devient
incontrolable.
Voici ce qui devrait etre mentionne dans une charte de lutte anti-fraude :
• un enonce clair des activites illegales, y compris les fraudes au profit de
I' entreprise,
• une definition claire des responsabilites pour mener des enquetes (en
general, I' Audit Interne ou les autorites judiciaires),
• une clause precisant que chaque employe suspectant une fraude doit
immediatement en informer ses superieurs hierarchiques,
• une clause assurant que toute action suspecte de la part d'un salarie fera
l'objet d'une enquete approfondie,
• une clause precisant que tout suspect ou fraudeur sera traite de la meme
fa90n, quel que soit sa position ou son anciennete dans Ie service,
• une clause selon laquelle les superieurs hierarchiques sont responsables
des actes malveillants qui se produiraient dans leur service,
• une clause indiquant que les responsables se doivent de cooperer pleine-
ment avec les enqueteurs,
• une clause interdisant toutes represailles contre les temoins qui auraient
permis la decouverte d'une fraude,
• une condition selon laquelle l' Audit Interne devra etre informe de toutes
les enquetes.
Pour finir, Ie conseil que nous pourrions donner aux divers responsables et
managers d'une entreprise serait qu'ils soient reguW:rement sur leur garde
pour reagir Ie plus vite possible et de maniere adaptee a tout symptome de
fraude.

L' Audit Interne peut aider les operationnels et les responsables dans la
detection des fraudes en les incitant a changer leur attitude :
• definir leurs responsabilites tres clairement dans une charte,
• mettre en place des formations pour encourager les responsables a se
montrer plus malins et comprehensifs dans l'implication dans leurs
controles.
Certains auditeurs internes pensent qu'il ne releve pas de leur devoir de
detecter les fraudes. II est courant de les entendre dire : « nous pouvons
decouvrir une fraude lors d 'une mission, mais nous n' avons pas a effectuer
des missions specifiques de recherche de fraude ».
L'Audit Interne peut neanmoins jouer un role de dissuasion tres fort en
faisant savoir que des controles existent, mais en n'en divulguant pas
l'etendue. Les fraudeurs ne doivent pas se sentir libres d'agir.
Auditer des fraudes suppose que les auditeurs reflechissent, mais n'agis-
sent pas, comme des voleurs. L'auditeur doit se demander queUes sont les
faiblesses de l'organisation, et quels contr6les peuvent etre contournes
sans attirer l'attention ; comment un voleur peut brouiller les pistes pour
ne pas etre decouvert? QueUes sont ses responsabilites comment pour-
raient-eUes etre elargies ? QueUe explication convaincante pourrait donner
un fraudeur suspecte et comment un fraudeur decouvert pourrait-iljustifier
sa conduite ?
Plus l'auditeur apprendra a penser comme un fraudeur, plus ses efforts
pour detecter les fraudes seront recompenses.

Aucune organisation, aucune institution, aucun individu n'est a I'abri des ravages de
la fraude. Les detecter est un tres grand challenge pour les auditeurs, et ils devraient
se sentir fiers de relever Ie defi.

Veiller it la securite de son patrimoine informatique est une question

de survie.
En effet, la fraude informatique et les autres formes d'utilisation abusive
de l'ordinateur comptent parmi les risques les plus graves auxquels sont
exposees les entreprises. En se focalisant sur les avantages de l'informa-
tique, les entreprises ont rarement pense a assurer la viabilite et la securite
de leurs systemes.
Par « utilisation abusive de I' ordinateur » nous entendons :
• l'appropriation irreguliere de biens ou de services, ou l'utilisation a des
fins commerciales de temps machine,
• la manipulation de comptes informatiques a des fins de detoumements,
• l'appropriation irreguliere d'informations, propriete de l'employeur, et
l'utilisation de celles-ci en general pour en tirer profit (par exemple,
donnees comptables, previsions de benefices, offres commerciales,
programmes informatiques, etc.),
• la manipulation de materiels ou de systemes appartenant a une entre-
prise en vue de placer celle-ci en situation desavantageuse de quelque
maniere.
Dans les entreprises et plus particulierement dans les Directions Informa-
tiques, nous trouvons aujourd'hui de plus en plus de specialistes du « risk
management », dont la mission est d'essayer d'integrer Ie risque des la
conception des applications.
C'est beaucoup plus efficace et surtout nettement moins cher que de
« greffer» la securite a posteriori. Une operation toujours delicate qui
s'apparente parfois a du bricolage.
II faut etre d'autant plus sensibilise a ces questions de securite que l'infor-
matique doit etre conviviale et ouverte, ce qui demultiplie Ie nombre
d'utilisateurs et, afortiori, les questions de securite.
Les metaphores sont nombreuses pour decrire I' etat de vulnerabilite des
entreprises face aux risques tres divers lies a leur outil informatique. Pour
les uns, la situation est celle d'un immeuble ou tous les locataires dispose-
mient de la meme de ; pour les autres, I' entreprise est comme une superbe
voiture que I' on aurait garee dans la rue, fenetres ouvertes et des sur Ie
contact.
Aujourd'hui, l'ordinateur n'est plus l'objectif, mais Ie moyen de
piratage.
La technique la plus simple, et deja ancienne, est celle de la «perruque »
dont Ie nom evoque la lenteur avec laquelle cheveu apres cheveu, Ie perru-
quier realise son ouvrage.
C'est celle qui est utilisee dans une banque, par l'informaticien indelicat :
il lui suffit d'introduire un petit programme qui arrondit par defaut tous
les interets des placements financiers qu'il est charge de traiter. Le meme
programme est charge de virer sur son propre compte toutes les sommes
qui depassent: centimes s'il arrondit it l'euro pour jouer la prudence, euros
s'il arrondit a la dizaine pour se constituer au plus vite son capital
frauduleux.
Un salarie est evidemment bien place pour etre Ie maitre-d'ceuvre d'un
piratage de sa propre entreprise. Et I' on doit reconnaitre au fil des ans que
les securites imaginees par les techniciens sont de faibles resistances. Dans
une banque, un perruquier n'est en general decouvert qu'apres de longs
mois, voire des annees de fraudes, et souvent sur plainte d'un client plus
que sur alerte interne.
Apres l'avenement de la micro-informatique et les ramifications tissees a
I' echelle mondiale par les reseaux, Ie risque informatique a pris un visage
nouveau tres diversifie. Desormais, la plus grande part du patrimoine
informationnel de l'entreprise reside ou transite par des micro-ordinateurs
et via des reseaux souvent publics et internationaux. La population infor-
maticienne ne se resume plus aux specialistes habilites a franchir les portes
de la salle informatique mais englobe la quasi-totalite du personnel.

Les specialistes admettent generalement que la fraude informatique est un

phenomene majeur aujourd'hui et on ne saurait contester, etant donne Ie
nombre de cas decouverts par hasard, ou simplement parce que leurs
auteurs cessent d'intervenir ou commettent une erreur, qu'une forte
proportion des fraudes et des detournements n' est pas detectee.
Responsable de 57 % des pertes dues aux sinistres informatiques, la
malveillance est en forte progression. Cette categorie regroupe Ie vol, la
fraude, Ie sabotage, l'attaque logique, la divulgation d'informations, les
malveillances humaines, la copie illicite de logiciels. Autant de risques qui
s'amplifient avec l'action conjuguee de la crise economique et de la diffu-
sion accrue des micros.
S'il est difficile de marquer magnetiquement tous les micros d'une entre-
prise, il est en revanche plus facile de se proteger contre les virus ou de
sensibiliser Ie personnel aux dangers du piratage.

Le probleme de la securite informatique est de plus en plus un probleme de comporte-

ment humain, d'organisation, et donc d'education.

Par exemples : a quoi sert de chiffrer les echanges d'informations entre

systemes si les gens en parlent au restaurant? A quoi sert une carte d'acces
si Ie mot de passe est colle sur I' ecran du poste de travail ?
Les risques propres au materiel: vols, incendie volontaire, malveillance
sur les installations electroniques et la climatisation, destruction, inonda-
tion, detournement de biens ou services ...
Les risques prop res aux batiments : intrusion, destruction, incendie,
sabotage, explosion, implosion ...
Les risques prop res aux traitements : attaque logique, sabotage, infec-
tion logique, modifications illicites, atteinte aux algorithmes, divulgation
d'information ou de donnees ...
Les risques propres aux telecommunications : ecoute, brouillage ou
saturation de ligne, intrusion passive ou active, destruction physique ou
logique de lignes ...

• Les consequences directes

Pour les pertes directes, nous distinguons les pertes directes materielles
qui recouvrent les frais d' expertise, de deblaiement, de reparation ou
de remplacement des materiels endommages, et les pertes directes
non materielles qui recouvrent quant a elles les frais d'expertise et de
restauration des elements non materiels des systemes atteints (systeme
d'exploitation, donnees, programme, procedures, documentations et
divers).
Les consequences en termes de disponibilite, confidentialite, integrite
(source Clusif) sont presentees dans Ie schema ci-dessous :

Disponibilite
41 %
Les pertes indirectes se declinent en quatre parties. Tout d'abord les frais
supplementaires et pertes d'exploitation dans lesquels on inclut d'une part
l'ensemble des frais correspondant a des mesures conservatoires destinees
a maintenir des fonctionnalites et performances du systeme aussi proches
que possible de celles qui etaient les siennes avant Ie sinistre, jusqu' a sa
remise en etat (materiel et non materiel), d'autre part les marges dues a
des frais supplementaires et/ou a des pertes de revenu directes ou indi-
rectes (pertes d'affaires, de clients, d'image, etc.).
Viennent ensuite les pertes de fonds et de biens physiques, les pertes
d'informations confidentielles et de savoir-faire, les pertes d'elements
non reconstituables du systeme (essentiellement des donnees ou des
programmes) evaluees en valeur patrimoniale.
Enfin, n'oublions pas toutes les autres pertes induites par l'utilisation non
autorisee de res sources, par la copie de logiciels, et plus generalement par
Ie non-respect de regles qualitatives, reglementaires, deontologiques, etc.

Les auteurs des fraudes informatiques sont en general des informaticiens,

des personnes exterieures a I' entreprise ou des utilisateurs du systeme
informatique. Chacune de ces categories agit par des voies differentes : Ie
centre de traitement, les supports d'entree des donnees, Ie logiciel et les
programmes, la banque de donnees et les documents de sortie sont donc,
entre autres, exposes a des risques.
Les informaticiens tout d'abord, representent une population bien speci-
fique. Non seulement parce qu'ils peuvent dejouer un minimum de secu-
rite logique, mais aussi parce qu'ils ont une tendance a considerer
l'information comme libre et devant circuler librement. Vne etude realisee
il y a quelques annees par 14 associations Europeennes Culture et Informa-
tique dans Ie cadre d 'un fmancement par les Ministeres de l'Interieur et de
la Justice est edifiante sur ce point. D'apres cette etude, beaucoup d'infor-
a
maticiens ont tendance ne pas considerer comme un delit Ie fait de pene-
trer un systeme d'information et considerent une intrusion comme un jeu
a
ou un defi. Ils ont donc la fois les moyens et la motivation.
La deuxieme categorie de fraudeurs fait partie du personnel de l' entre-
prise: ce sont les utilisateurs autorises d'une part, et leur entourage imme-
diat d'autre part. Les premiers ont un acces officiel a une partie de
l'information pour un certain nombre de taches, mais ils peuvent vouloir
acceder a d'autres informations et peuvent en avoir les moyens, ou vouloir
agir de maniere malveillante, alors que les seconds, qui n'ont pas d'acces
explicitement prevu aces ressources, peuvent y acceder par la simple
observation d'une personne autorisee (mot de passe, badge oublie, etc.).
Le passe, la personnalite et Ie style de vie de tous les collaborateurs travail-
lant autour des postes infonnatiques donnant acces aces ressources ne
doivent done pas etre laisses au hasard. Les postes de responsabilites ne
doivent naturellement etre confies qu'apres une soigneuse verification des
references et une analyse approfondie de la responsabilite.

Dans Ie cadre de ses missions, Ie CLUSIF 1 publie des statistiques sur Ia

sinistralite informatique en France. De nombreuses enquetes a partir de
1984 sont elaborees grace notamment a la FFSA (Federation Fran<;aise des
Societes d' Assurance) sur les sinistres informatiques des societes
adherentes.
A partir de 200 I, Ie CLUSIF a souhaite mettre en place une methodologie
statistique rigoureuse conjointement avec Ie cabinet GMV Conseil suite a
l'accroissement de certaines formes de malveillance : virus informatique,
intrusion informatique, etc.
Depuis, un rapport compIet2 est realise chaque annee sur l'etat des lieux
de la politique Securite des systemes d'information et sur la sinistralite en
France.

1. Le Club de la Securite Informatique Fran<;ais a ete fonde en 1984 et a fonctionne

pendant 9 ans sous les auspices de I' APSAD (Assemblee pleniere des Societes d' Assu-
rances Dommages) avant de se doter au I er janvier 1993 de la personna lite juridique
d' Association sans but lucratif. La vocation du Clusif qui regroupe a la fois I~s principaux
utilisateurs (responsables de la securite des grands groupes et organismes) et les princi-
paux offreurs (experts dans les domaines propres), est de developper la maitrise de la
securite et de la qualite des systemes d'informations et de communications.
2. Consultable sur Ie site du CLUSIF (www.Clusif.asso.fr)
II presente les nouvelles formes d'insecurite liees aux developpements de
nouveaux processus informatiques. Generalement, un focus est realise sur
les politiques Securite dans des entreprises de differents secteurs (hospita-
liers, collectivites territoriales ... ).
La methodologie utilisee pour Ie recueil des donnees s' effectue par entre-
tiens telephoniques a partir d'un questionnaire adresse par fax. II est alars
interessant si l'on regarde les enquetes menees dans des organisations
depuis 1993, les evolutions des sinistres informatiques selon leur nature.

Accident
25%

Erreur
17%

Types de causes %
A (accidents) + 2,8
E (erreurs) -1,1
M (malveillance) + 5,4
Total + 3,6

Selon les chiffi'es du CLUSIF, 1a malveillance representait 40 % des pertes

totales dues a l'informatique en 1984. Dix ans plus tard, ce po ids atteignait
60%.
Le vol des petits materiels s' alourdit considerablement, meme si Ie poids
global reste limite. Le phenomene est plus net pour les detoumements de
biens (directs ou indirects grace a des escroqueries, manipulations, etc.)
que pour les detoumements de fonds.
Les attaques logiques progressent (+ 7 %). NOll seulement Ie poids des
petits sinistres visant la micro (virus pour l'essentiel) augmente beaucoup
et commence a peser (meme si les consequences economiques sont diffi-
ciles a evaluer), mais les attaques directes et indirectes (reseau, reseau
local, etc.) augmentent en creant une serie de sinistres, moins nombreux
mais beaucoup plus graves, se traduisant d'abord en termes d'integrite et
de disponibilite de l'information.

Pour l'annee 2000 Ie pourcentage lie a la malveillance a regresse de 35 %

au profit des erreurs.
Cette diminution importante en lOans des sinistres lies a la malveillance
vient alors des efforts importants menes par les entreprises et plus particu-
lierement les directions informatiques qui se sont dotees d'un budget plus
consequent pour securiser ses systemes.
Durant ces demieres annees, l'informatique s'est professionnalisee par la
creation de RSSI (Responsable de la Securite des Systemes d'Information)
et la mise en place de procedures de securisation.
En revanche, comme pour Ie debut des annees 1990, les sinistres les plus
courants restent les vols de materiels, les attaques logiques et les infections
par ViruS.

La encore, on retrouve une stabilite dans la nature des sinistres remontee

par les entreprises interrogees. Les infections par virus restent notamment
avec 17,6 % des sinistres en tete de la sinistralite informatique.
D'ailleurs, 36 % des entreprises envisagent de renforcer dans les deux ans
leurs dispositifs de securite pour se proteger contre les virus, les intrusions
illicites et Ie vol.
En fonction de ces resultats menes depuis 15 ans, nous pen sons alors que
la croissance de la malveillance risque de continuer a
etre forte, en nous
fondant sur plusieurs criteres :
• poursuite de la crise en general et remanence de ces parametres: insecu-
rite de l'emploi, ch6mage, tensions sociales, concurrence, etc.,
• poursuite de la crise informatique et apparition de tensions dans Ie
secteur des telecommunications : mutation des systemes et architec-
tures, budgets restrictifs, mutation des fonctions des informaticiens,
destabilisation de certaines fonctions informatiques, etc.,
• complexite, interconnexion des systemes,
• evolution des mentalites, manque d'education,
• augmentation des enjeux supportes par les systemes d'information.

Les composantes les plus vulnerables aux nsques humains sont·

principalement :
• les postes de travail, point d'acces naturel des utilisateurs au systeme
d'information,
• les reseaux qui transportent les donnees, et ou ces demieres pourraient
etre detournees ou manipulees,
• les logiciels, qui peuvent contenir des instructions frauduleuses ou
malveillantes,
• les systemes traitant les informations, accessibles principalement aux
administrateurs et exploitants de l'informatique et du reseau, mais aussi
a toute personne reussissant a penetrer par Ie reseau.

Si I' objectif de I'utilisation frauduleuse vise en general les produits, les

moyens utilises sont varies. Par voie d'acces, on veut designer Ie premier
point du systeme attaque par Ie fraudeur.
La voie d'acces la plus caracteristique des utilisations abusives est Ie
passage par Ie logiciel et les programmes.
Les differents objectifs de la securite logique sont que:
• l'acces aux informations soit contrale,
• les communications ne puissent pas etre detoumees ou ecoutees,
• les personnes autorisees n'abusent pas de leurs droits et n'accedent
qu'aux elements pour lesquels elles ont re~u un mandat.
La securite logique est un moyen incontoumable sans lequel il ne peut y
avoir de confiance dans Ie systeme d'information.
Un systeme d'information est souvent appele strategique pour la seule
raison qu'il est devenu indispensable a l'entreprise et que les anciennes
procedures d'acces a l'information ou de traitement de l'information ne
sont plus disponibles ou ne sont plus adaptees au fonctionnement de
l' entreprise.
I1 peut aussi etre appele strategique parce qu'il participe a la strategie de
l' entreprise notamment pour acquerir des avantages concurrentiels.
I1 est alors parfaitement clair que l'on ne peut baser sa strategie sur un
systeme en lequel on n'a pas entierement confiance ou pour lequel on ne
connait pas la limite de la confiance que l' on peut lui accorder.
De maniere plus precise, c'est dans les systemes d'information que l'on
doit trouver les elements qui seront a la base des mesures de dissuasion,
ce sont eux qui devront prevenir tout acces illicite aux donnees et
confirmer les acces licites aux seuls objets autorises ; entin, eux aussi qui
devront apporter les garanties et les preuves de la realite et de l' exactitude
des transactions.

111.1.6La methode MEHARI® (Methode Harmonisee d'Analyse

des Risques Informatiques)

La methode MEHARI s'inscrit dans l'ensemble methodologique

d'analyse de risques et d'elaboration de schemas directeurs de"la securite
des systemes d'information du CLUSIF et a pour objectif de n~pondre aux
demandes grandissantes suivantes :
• avoir une approche glob ale de la securite dans les structures decentra-
lisees, c'est-a.-dire proposer un cadre et une methode qui garantissent la
coherence des decisions prises par des unites jouissant d'une grande
autonomie;
• manager la securite d'un systeme d'information dans sa complexite et en
particulier, les systemes distribues qui tendent a. se generaliser, quelles
que soient l' etendue et la variete des composantes ;
• permettre une approche analytique dans I' evaluation des risques et la
recherche de solutions, c'est-a.-dire repondre a. la question «quelles
solutions sont envisageables face a.tel type de risques ? ».
Ses principales caracteristiques sont de :
• Adopter une approche « top down» allant du general au particu-
Her. En effet, des que les organisations deviennent complexes, il n'est
pas possible de faire dependre Ie choix des solutions de securite d'une
analyse detaillee des risques encourus par l' entreprise dans chacune de
ses implantations et dans chaque structure organisationnelle. II convient,
au contraire, de faire un certain nombre de choix a priori, c' est-a.-dire
sur un plan politique, et de decentraliser les decisions de management
operationnel de la securite.
Une des options fondamentales de MEHARI est que les choix faits par un
echelon central doivent assurer la coherence, la. ou elle est necessaire, et
que les decisions operationnelles doivent etre prises a. l'endroit Ie mieux
adapte pour qu' elles soient efficaces, c' est-a.-dire pres de 1'utilisateur.
• Avoir un double point de vue correspondant d'une part a.la protec-
tion contre les risques maximum et, d'autre part, a. la cohesion de
l'ensemble de la structure de l'entreprise vis-a.-vis de la securite. La
prise en compte prioritaire des risques les plus critiques pour l' entreprise
est un des elements de la demarche.
Cependant, plus les entreprises sont gerees sur un mode decentralise, plus
Ie role des hommes et des femmes de l'entreprise devient primordial. 11
serait donc illusoire de se focaliser sur les seules mesures techniques sans
attacher une place equivalente a. la responsabilisation et a. l'engagement
de l'ensemble du personnel. 11peut, des lors, etre souhaitable d'accorder
une priorite importante aux mesures ayant pour objectif la motivation des
hommes.
• S'appuyer sur une mHrique des risques la plus transparente possible,
laissant l'entreprise marrresse de ses choix strategiques. La perception des
risques et de leur gravite est, en effet, une question qui ne peut pas se
decreter de maniere universelle, et il est important que l' entreprise puisse
librement agir sur les parametres essentiels pour adapter la methode a sa
propre vue.
• Proposer des regles, des modes de presentation ou des schemas de
decision automatisables, pour faciliter Ie travail des responsables en
charge de l'analyse, sans pour autant alterer leur autonomie et leurs respon-
sabilites dans les prises de decisions.

111.2EXEMPLE: LES RISQUES DE FRAU DES DANS LE DOMAINE

DE L'ASSURANCE MALADIE

Dans une activite de services relative a la liquidation des pre stations d' Assu-
rance Maladie, les risques majeurs sont sans aucun doute les risques de
fraudes et de malveillances internes etlou externes (voir exemples ci-apres).
n est done particulierement important de preparer psychologiquement les
a
collaborateurs centrer leur vigilance sur les risques de cette nature ainsi que
de leur donner des outils pertinents et adaptes pour prevenir etlou detecter Ie
rnieux possible les risques de fraudes.
Par ailleurs, la reforme de l'Assurance Maladie dont l'objectif est de mieux
soigner en depensant mieux a mis en reuvre en 2005 un programme d'infor-
mation et de sensibilisation it destination des professionnels de sante et des
assures pour faire evoluer les comportements et favoriser Ie respect des
bonnes pratiques. Parallelement, l'Assurance Maladie a annonce et mis en
reuvre un plan de contrale et de lutte contre les fraudes autour de trois themes
prioritaires : les arrets maladie, les depenses de soins indfunent prises en
charge it 100 % au titre des affections de longue duree et les consommations
ou prescriptions medicales frauduleuses ou dangereuses.
Nous illustrons notre propos avec quelques exem pIes de comportements
abusifs et de fraudes 1.

1. Dossier de presse Controles et lutte contre les abus et les fraudes a I' Assurance
Maladie, 23 fevrier 2006.
« II s'agit de cas atypiques tres peu frequents mais revelateurs des fraudes
contre lesquelles l' Assurance Maladie entend poursuivre et intensifier sa
lutte en 2006. »
Les prescriptions d'indemnites journalieres : en Rhone-Alpes, un
medecin a fait l'objet de controles successifs depuis 2001 et d'un conten-
tieux au Conseil National de I'Grdre qui ont conduit a une interdiction de
donner des soins aux assures sociaux pendant six mois, ainsi qu'un
remboursement de 1 500 € a la CPAM, en mars 2004. Malgre ces faits,
de nombreuses anomalies ont ete observees en 2004 dont une prescription
plus de 8 fois superieure a la moyenne nationale d'indemnites joumalieres.
La procedure de mise sous accord prealable de ce medecin pour ses
prescriptions d'indemnites journalieres a ete enclenchee.
Les remboursements it 100 % injustifies : un controle a par exemple
revele plus de 45 % d'anomalies dans les prescriptions d'un medecin et
une prise en charge indue estimee a plus de 6000 euros, soit plus du triple'
de la somme moyenne constatee chez les 1300 prescripteurs les plus
excessifs. Une procedure de penalites financieres a ete declenchee
pour ce medecin.
Le contrOle des «mega-consommants» : Ie cas d'une jeune femme de
34 ans s' avere exceptionnel, avec un ,enjeu financier tres important. Elle
consultait en moyenne 75 medecins par mois et se rendait dans 67 phar-
macies differentes. Les deux produits les plus consommes etaient un anti-
depresseur et un anxiolytique avec une moyenne de 12 boites par jour pour
l'un des deux produits et de 5,7 boites pour l'autre. L'enjeu financier
depasse les 28 000 euros.
L' etude du dossier a revele des falsifications d' ordonnances avec ratures
ou surcharges et fait suspecter un trafic possible. Les elements medicaux
du dossier ne mettent pas en evidence de pathologie particuliere mais une
addiction severe.
Un suivi medical serre a Cte Mis en place et une plainte a Cte deposee
au Procureur.
En matiere d' Assurance Maladie, nous proposons quant a nous une typo-
logie des cas de fraudes segmentee selon trois axes d'analyses :
• selon l'origine de la fraude : interne si commise par un membre du
personnel ou par l'informatique ou au contraire externe si commise par
des assures, des tiers ou bien les professionnels de sante (prescripteur ou
executant). II est a noter que des cas mixtes, avec complicite interne-
exteme sont egalement possibles,

Rubriques de depenses Prestations correspondantes

Honoraires medicaux et paramedicaux Remboursement de frais d'honoraires
Pharmacie Remboursement de frais de medicaments
Remboursement de frais d'analyses et examens de
Examens de laboratoires laboratoire
Frais de transports Remboursement de frais de transport
Frais d'hospitalisation Remboursement de frais d'hospitalisation
Soins a I'etranger Remboursement de frais lies a des soins a I'etranger
Remboursement de frais de cure thermale Iibre ou avec
Autres prestations en nature hospitalisation
• Indemnites joumalieres :
- Pour accident de travail;
- Pour maladie professionnelle ;
- Pour maternite ;
- Pour adoption;
Indemnites journalieres - Pour paternite.
• Indemnite d'incapacite permanente
• Pension d'invalidite
• Allocation supplementaire du Fonds special d'invali-
dite
Rentes ou pensions d'incapacite • Rente d'ayant droit au titre de la maladie profession-
permanente nelle
• Remboursements d'autres frais medicaux : optiques,
Autres types de prestations protheses orthopediques, appareillage, dentaire, etc.

• selon Ie processus conceme : les pieces justificatives servant de base aux

prestations peuvent etre inexistantes, fausses ou faisifiees ou bien Ie
 paiement lui-meme peut faire l'objet de faux en ecritures et/ou de
falsifications,
• selon la nature des prestations versees comme Ie fait apparaitre Ie
tableau suivant relatif aux risques maladie, maternite, accidents du
travail et maladies professionnelles.

La prevention de la fraude repose sur l'utilisation combinee de deux outils

complementaires :
• Les scenarios de risques identifies en phase de mise en place du dispo-
sitif de Controle Interne qui vont permettre d'identifier et de mettre en
place differentes natures de controles destines a renforcer la maHrise du
risque de fraude. En fonction de la nature du risque, et comme nous Ie
verrons ci-apres, il sera fait usage de controles systematiques, de
controles cibles sur criteres ou bien de controles aleatoires ou encore
d'actions de Supervision.
• Le recueil de fiches descriptives des fraudes deja constatees au
niveau de l' organisme ou signalees par un organisme exterieur comme
la CNAMTS (Caisse Nationale d' Assurance Maladie des Travailleurs
Salaries). Ces fiches serviront de base de travail pour selectionner les
criteres les rnieux a meme de detecter les fraudes eventuelles et donc les
parades a instaurer.
Comme nOllS I'avons deja enonce precedemment, la methodologie
MIRIS a notamment pour objectif d'identifier et de hierarchiser tous
Ies risques a Ia fois au niveau de l'entreprise et de chaque activite. En
effet, I'imagination de scenarios est fondamentale pour bien gerer Ie
risque en Ie prevoyant. Ces scenarios sont recenses en utilisant une
grille standardisee.
Ces deux exemples concrets permettent d'indiquer dans la partie« actions
a entreprendre» la nature et la variete des controles utilises : systema-
tiques, cibles sur criteres, aleatoires ou actions de Supervision aleatoires
et inopinees de la hierarchie. Bien evidemment, les actions de la hierar-
chie destinees a maltriser Ie risque de fraude interne ne sont pas portees a
la connaissance des operationnels concernes. Certes, il importe que chacun
Activite : Contrale de I'activite de liquidation des prestations.
Tache concernee : Contrale des dossiers liquides pour des assures decedes.
Description du scenario: Liquidation frauduleuse sur assure decede
Pour des considerations techniques, Ie systeme permet de saisir sur Ie compte d'un assure
decede des demandes de remboursement pendant 2 ans et trois mois avec des dates de soins
anterieures a la date du deces. II est donc possible d'imaginer un scenario pour lequel un Iiqui-
dateur saisirait de fausses demandes de remboursements (par exemples, des honoraires medi-
caux, de la pharmacie, des frais de laboratoire, de transports ou d'hospitalisation) sur Ie compte
d'un assure decede apres avoir modifie frauduleusement Ie RIB de I'assure decede.
Gravite du scenario (sur une echelle de 1 a 4) : 4.
Probabilite du scenario (sur une echelle de 1 a 4) : 2.
Type de risque identifie (en Disponibilite, Integrite ou Conftdentialite) : Integrite : fraude inteme.
Nature du risque et consequences:
Pertes financieres et perte d'image pour I'organisme.
Actions a entreprendre :
• Controler tous les changements de RIB intervenus dans Ie fichier des assures decedes.
• Supervision par des controles aleatoires et inopines sur les changements de RIB intervenus
dans Ie ftchier des assures decedes ainsi que sur les paiements aux assures decedes.

Activite : Maintenance du ftchier des prestations.

Tache concernee : Creation d'assures.
Description du scenario: Creation frauduleuse d'assures fictifs
Creation d'assures ftctifs soit par fraude interne soit par fraude externe aftn de saisir, par la suite,
de vraies ou de fausses demandes de remboursements (potentiellement tous les types de pres-
tations : honoraires medicaux, pharmacie, frais de laboratoire ... ).
Gravite du scenario (sur une echelle de 1 a 4) : 4.
Probabilite du scenario (sur une echelle de 1 a 4) : 2.
Type de risque identifie (en Disponibilite, Integrite ou Confidentialite) : Integrite : fraude interne
eUou externe.
Nature du risque et consequences:
Fraude interne et externe => pertes financieres et perte d'image.
Actions a entreprendre :
• Rapprochement systematique du fichier de I'organisme avec Ie repertoire National des
assures RNIAM (ftchier externe).
• Supervision de la hierarchie consistant a controler de maniere aleatoire et inopinee la realite
du rapprochement avec Ie RNIAM.
• Supervision de la hierarchie sur echantillon cible : radiations et creations d'assures intervenues
la meme semaine ainsi que creations des membres associes.
soit averti de l'existence d'un dispositif de Contr61e Interne luttant contre la
fraude car ce1a participe a l'aspect dissuasion mais la divulgation des meca-
nismes employes aurait certainement un effet contre productif.
• Le second outil mis a disposition de la hierarchie est constitue de fiches
descriptives des fraudes deja constatees soit, au niveau de l'organisme lui-
rneme, soit, par un organisme exterieur qui exerce Ie meme type d'activite
comme la CNAM (Caisse Nationale d'Assurance Maladie).
Ces fiches sont consignees par les operationnels a chaque fraude
constatee selon une trame predeterminee puis sont remontees au niveau de
l'observatoire des risques situe au Siege. L'observatoire est l'organe de
centralisation, de pilotage et d' entretien du dispositif de Contr6le Interne qui
est charge de centraliser toutes les fraudes, puis de les analyser et de reflechir
conjointement avec les operationnels aux parades a mettre en place. Les fiches
doivent comporter toutes les informations connues relatives a la fraude.
Le tableau suivant (page 125) volontairement sirnplifie donne au lecteur
quelques exemples tires de l' experience du terrain.
Les scenarios retenus et les fiches de recueil des fraudes averees vont donc
permettre de selectionner les criteres les mieux a meme de detecter les
fraudes. II est ensuite necessaire de realiser un bilan tenant compte des
actions de contrOie deja existantes et qui repondent aces criteres afin
de definir les nouvelles operations de controle a instaurer en prenant
en compte au moins quatre dimensions: la nature de l'action, comment la
realiser, l' acteur concerne et la periodicite.
Ce travail d'analyse est realise par l'observatoire des risques en concerta-
tion avec de nombreux acteurs de l' organisme : les operationnels pour bien
montrer la volonte de report d'attention aux realites sur Ie terrain d'execu-
tion, Ie responsable de la production pour I' evaluation de la charge de
travail et l'informatique pour mesurer la faisabilite des developpements
informatiques a realiser.
Le tableau suivant (page 125) presente deux exemples d'actions mises en
place apres realisation de requetes informatiques specifiques :
En conclusion de cette partie, et pour repondre aux nouveaux enjeux inhe-
rents aux echanges de plus en plus dematerialises, a l'augmentation mani-
feste des cas de fraudes et a la professionnalisation des fraudeurs, nous
signalons egalement au lecteur l'existence de solutions informatiques
 Montant
Presta· Origine
Fraudeur Nature de la fraude Pieces du
tions de la decouverte
prejudice
Controleur Fait liquider par un Falsifiees H6pital 11321 Verification d'un
COD de fausses pieces doublon : meme
(faux tampons) hopital, meme montant,
mais N° Insee different
Comptable S'etablit des cheques Non Hone- 6000 Commissa ire aux
en imitant la signature raires comptes : Ie rapproche-
et procede a de ment bancaire
fausses eClitures comporte des sommes
comptables non justiMes
Liquidateur Liquide des indemnttes Falsifiees Indem- 25345 Cas atypique : constat
joumalieres sans nttesjour- d'un paiement d'IJ pour
pieces avec N° nalieres un arret de travail de
d'employeur fictif 6 mois auparavant
Assure Paiement par cheque FalsiMes Hone- 311 Comptable lors du
sutte a reimpute. raires rapprochement
L'assure falsifie Ie bancaire
montant du cheque
Chirurgien Falsifie indications de Falsifiees Dentaire Signale- Assure
dentiste soins et facture des ment
soins non realises CNAM
Pharmacien Faux renouvellements Falsif~es Pharmacie Signa Ie- Assure
ment
CNAM

Acteurl
Nature Periodicite Comment
Supervision
Exploiter la Mensuelle Par sondage : Controleurl
requete des Si dentaire, verifier qu'i1n'y ait pas eu de travaux sur Direction
seuils de plus les memes dents et ce sur un an environ.
dex Euros. Si appareil auditif, verifier qu'il n'y ait pas eu d'autre
achat recent (un an environ).
Si IJ (Indemnite Journaliere), verifier la realite et
I'exhaustivite du paiement en remontant a la piece.
Pour toutes ces prestations, en cas de suspicion,
faire un signalement au controle medical et une
fiche gestion du risque.
Exploiter la Mensuelle Exhaustivement : controle sur Ie montant. Ie code ContrOleurl
requete des + acte, la date d'execution, Ie numero de securtte Direction
dex sociale, la date de naissance du beneficiaire.
decomptes. Soumettre au service medical. Selon I'avis du
service medical, regularisation ou contr61eobliga-
toire sur une periode donnee.
compl{~tesd'analyse de donnees qui permettent de piloter encore mieux Ie
risque de fraude en favorisant une demarche proactive.
Ces solutions utilisent des methodes statistiques simples ou plus
complexes (arbre de decision, regression ... ) pour rechercher des compor-
tements frauduleux dans un ensemble de donnees afin de proposer des
systemes d'alertes et d'en me surer egalement l'efficacite.

Les recents scandales financiers, I' affaire Enron ou Parmalat par exemple,
ont montre que les auditeurs internes, les grands cabinets d'audit ou les
commissaires aux comptes sont tous passes « a cote» de manipulations
frauduleuses orchestrees souvent depuis des annees.
Faut-il alors remettre en cause les grands principes et les analyses menees'
par les demarches d' audit?
La reponse est bien evidemment non car, ne nous trompons pas de cible,
I' audit n' est pas une assurance tous risques et n' a surtout pas vocation a
deceler toutes les fraudes ou malveillances averees, contrairement aux
demarches d'inspection. L'audit a .une obligation de moyens, pas de
resultat.
C'est dans ce contexte que, ces dernieres annees, les secteurs de l'assu-
rance (Projet Solvency II), de la banque (Bale II) et des instituts specia-
lises comme l'ECIIA (Confederation Europeenne des Instituts d' Audit
Interne) se sont orientes vers une plus grande reglementation des
processus de gestion des risques et des procedures de Controle Interne.
La fonction d'audit se trouve desormais au cceur du dispositif de maitrise
et de reduction des risques. Plus particulierement dans Ie domaine de la
fraude, les travaux menes par l'ECIIA (rediges dans son livre vert en
1996) ont debouche sur des recommandations et des prises de position sur
Ie role des auditeurs internes dans la prevention des fraudes.
En particulier, elle preconise que la fraude soit reconnue comme l'un des
nombreux risques inherents a l'activite de l'entreprise. L'evaluation de la
probabilite de survenance d'une fraude et son impact doit faire partie du
processus periodique d'evaluation du risque dans l'entreprise realise par
Ie Conseil d' Administration dans Ie cadre de la revision de ses strategies.
L' Audit Interne a un role essentiel it jouer dans ce processus, en assurant
aux parties prenantes que ce processus de grande importance est realise
avec une regularite suffisante et de fa<;onrigoureuse I.
La fraude etant aujourd'hui reconnue comme un risque d'entre-
prise, il faut que Ie ContrOle Interne de deuxieme niveau (c'est-it-dire
I'audit) s'interesse it toutes les menaces ou dangers potentiels de
malveillance avec ses consequences sur I'organisation : impact finan-
cier, impact sur I'image, impact interne, impact c1ient/fournisseurs.
Toujours selon 1'ECIIA, les defaillances en matiere de Controle Interne
ont presque toujours ete identifiees comme l'un des principaux facteurs
dans les nombreux effondrements d' entreprises qui ont marque la fin du
xx·siecle.
Aussi, Ie role des equipes dirigeantes et en particulier des Conseils
d'Administration, des Conseils de Surveillance ou des Comites d'evalua-
tion est fondamental dans leur capacite it s'approprier et it diffuser cette
culture de controle. L'approche dite de «soft control» (controles
informels) qui developpent plus particulierement les comportements it
tenir en matiere d'ethique des affaires depend en grande partie de la
volonte des dirigeants it montrer l' exemple.
Cela va d'ailleurs dans Ie sens des principes de gouvernance mis en place
dernierement suite aux scandales fmanciers pour qu'it tous les niveaux
d'une entreprise, et plus particulierement au sommet de la hierarchie, une
inspection periodique (commandite par un comite ad hoc) soit realisee sur
l'ensemble du dispositif de conformite (procedures, normes, reglements,
charte deontologique, plans, lois).
La norme sur la conformite aux reglementations (MPA 2100-5), les
recommandations de la Commission Bancaire ou meme les recommanda-
tions du Comite de Bale pour doter les organisations d 'un programme de
« compliance» (conformite aux normes) vont dans Ie bon sens en matiere
de prevention de fraudes.

1. « Le role de l'auditeur interne dans la prevention des fraudes : prise de position de

l'ECHA », les cahiers de la recherche, IFACI septembre 2000.
Subsequemment, Ie role de l' Audit Interne est de contribuer efficacement
et durablement a la prevention et a la detection de la fraude et/ou malveil-
lance interne.
D'ailleurs, la norme professionnelle 330 de l'IIA (Institute of Internal
Auditors) demande a ce que les auditeurs examinent les risques associes
a la sauvegarde des actifs et done du patrimoine de l'entreprise. II s'agit
done pour eux d'examiner egalement tous les risques lies a des manipu-
lations frauduleuses : vol, escroquerie, activite illegale comme la concep-
tion de faux ou d'usage de faux.
Nous allons voir dans les pages qui suivent quel guide d'audit (ou ses
composants essentiels) l'auditeur doit mettre en place pour contribuer ala
maltrise des risques de fraudes.

Le hasard est Ie plus grand facteur de decouverte, mais I'entreprise peut aussi
apprendre a trouver.

L'alerte peut etre donnee par l'exterieur :

• lettre ou coup de telephone anonyme (reglement de compte),
• fournisseur qui rec;oit un cheque dans des circonstances ou pour des
montants qui l'etonne, et qui appelle I'entreprise emettrice du cheque
pour s'assurer qu'il n'y a pas une erreur,
• une banque qui appelle pour avoir confirmation d'un cheque emis,
• Ie service comptabilite qui fait Ie rapprochement entre cheques emis et
presentes.
C'est I'exterieur qui permet de donner Ie 1er element de la fraude, qui
permet d'alerter l'entreprise et de mettre la puce a l'oreille en disant :
attention, il y a peut-etre quelque chose de bizarre qui se passe et de pas
tres honnete.
Souvent, Ies fraudes sont decouvertes pendant Ies vacances du fraudeur,
lorsqu'il n'a plus Ia main dans l'organisation.
Pourquoi Ies auditeurs ne detectent-ils pas Ies fraudes ?
• Ils ne pensent pas que cela fasse partie de leur mission ;
• Ils font trop confiance aux audites. Beaucoup de fraudes pourraient etre
detectees et meme evitees si les auditeurs se montraient plus scep-
tiques. Plus d'une fois, les auditeurs se sont contentes des explications
des salaries sans chercher a verifier ce qu'ils disaient. En d'autres
termes, si les explications sont logiques, elles sont suffisantes ;
• Ils pensent que les responsables sont au courant de tout ce qui se passe
dans leur service et sont plus a me me de detecter les fraudes et de
prendre les mesures qui s'imposent ;
• Ils ne connaissent pas vraiment les indicateurs qui peuvent mettre en
alerte sur les cas de fraude ;
• Ils surestiment trop la fiabilite des controles par sondage ;
• Ils sont trop limites dans Ie temps et par Ie budget pour pousser plus loin
leurs investigations;
• Ils n'accordent pas d'importance aux symptomes de fraude parce que
l'appreciation generale sur Ie fonctionnement d'un service est bonne;
• Ils ne sont peut-etre pas toujours aussi independants qu'ils Ie devraient,
et ne se sentent pas libres de leurs agissements.
Les auditeurs internes doivent connaitre les indicateurs et les risques
specifiques lies it I' environnement dans lequel evolue l' entreprise. Un
indicateur est defini comme la manifestation d'une condition qui est direc-
tement liee a l'activite d'une action frauduleuse.
Le spectre de la detection pourrait etre plus fort avec un service d'audit
plus present. Dans de nombreux cas l'audit pourrait jouer un tres grand
role de dissuasion si les salaries et les responsables savaient qu'ils recher-
chaient activement a demasquer les fraudes. Les auditeurs ne peuvent pas
decouvrir toutes les fraudes, mais ils peuvent montrer qu'ils les recher-
chent. En adoptant cette attitude, les fraudeurs en puissance se sentiront
deja moins libres de leurs actes.
Pour detecter les fraudes, les auditeurs doivent vouloir les voir.
Un des rOles importants de l'audit repose sur Ie fait d'identifier et de
rendre compte des problemes non encore connus, tels que Ies
defaillances du Controle Interne, les erreurs et les fraudes. Les tech-
niques d'audit et les tests realises par l'audit sont lit pour porter les
problemes it la surface.

Lorsque 1'incident a lieu, l'audit devra effectuer une enquete et analyser

les circonstances dans lesquelles la fraude s'est produite.
EnquHe : l' enquete doit se faire de maniere tres rigoureuse. II faut
determiner :
• qui va mener l' enquete ?
• comment la hierarchie en sera-t-elle informee ?
• les autorites (police, justice ... ) vont-elles etre contactees? a quel
moment?
• qui va determiner Ie champ de l' enquete ?
• qui va determiner les methodes autorisees pour mener l' enquete ?
• qui va mener les entretiens (avec Ie fraudeur, les collegues, la
hierarchie) ?
• qui determinera les sanctions a prendre?
Afin d' obtenir la cooperation des autorites legales et de la justice, l' entre-
prise qui Ie souhaite doit deja avoir constitue un dossier sur l'affaire
(aveux signes du fraudeur).
Analyse : l' analyse de la situation et de la fa90n dont la fraude a pu se
produire imp Iique l' audit, la hierarchie, les ressources humaines, les
comptables et financiers.
Ace niveau, il convient de cerner la personnalite du fraudeur, l'absence de
contr61es ou ceux qui n'ont pas fonctionne, l'environnement dans lequel
Ie fraudeur a pu operer. II est important de comprendre queUes mesures
preventives il aurait fallu prendre pour eviter que la fraude se produise.
En cas de decouverte d'une fraude, il convient de :
• confier la maitrise d'reuvre de l'enquete a un organe independant ayant
acces aux informations, dote de pouvoirs et des moyens humains, mate-
riels et methodologiques necessaires,
• recuperer Ie montant du prejudice,
• faire l'inventaire exhaustif des detournements,
• delimiter precisement et rapidement les zones a contrcler,
• etablir tous les niveaux de responsabilite : acteurs directs, complices
actifs ou passifs,
• discretement, ne pas laisser a l'agresseur Ie temps de s'organiser, ne pas
laisser les autres gens s'immiscer,
• dominer les reactions internes:
• inquietude diffuse (expectative, denonciation),
• diffusions d'informations non contrclees,
• personnalisation plus ou moins justifiee,
• revolte collective au nom de l'injustice,
• gerer la communication interne: expliquer et sensibiliser sans culpabiliser,
• recenser les methodes et moyens employes. II est important de connaitre
Ie CurSUSde l'individu ainsi que son profil psychologique,
• ameliorer en consequence Ie systeme de Contrcle Interne,
• sanctionner eventuellement la hierarchie negligente dans ses contrcles,
• organisation, systemes, liaisons, securites (blocages, contrcles),
• encadrement, personnel (changement, formation sensibilisation).
Sanctionner individuellement (et non une unite ou une entite) :
• constituer un dossier suffisant pour soutenir la legitimite du licencie-
ment pour faute lourde devant les Prud'hommes,
• sans tabou (une fraude non per9ue ou non sanctionnee est une faute de la
hierarchie ),
• sans omission (necessite de bien delimiter),
• sans faiblesse (dissuasion, exemplarite, perte irreversible de confiance),
• sans publicite (effet d'image devastateur).
Deposer plainte :
• constituer un dossier suffisant pour soutenir I' action civile. II faut en
particulier etablir et conserver les preuves jusqu'a la cloture du dossier.

II faut faire tres attention aux problemes juridiques : une entreprise n'a pas
Ie droit de pieger un employe, pas Ie droit de Ie mettre sur ecoute telepho- .
nique, ni de Ie fouiller elle-meme. II faut faire appel aux instances
habilitees.
L' Audit Interne a un tres grand rOle it jouer lors de I'instruction
notamment en termes de collecte de preuves et d'investigation sur la
personnalite et Ie profil du fraudeur. Cependant, l'audit ne peut pas agir
a sa guise, sous peine de voir les syndicats et la justice se retourner contre
l'entreprise. Nous donnons ci-dessous quelques principes qui vont
permettre a l'audit d'agir avec precaution et en connaissant les limites de
ses pouvorrs.
La meilleure des choses a faire, lorsque l'audit doit instruire un cas de
fraude interne, reste tout de meme de consulter un avo cat pour valider la
marche a suivre, rester dans la legalite et accumuler des preuves
irrHutables.

A queUes conditions peut-on mettre en jeu la responsabilite contrac-

tuelle du salarie? L'interrogation est lourde de consequences pour les
deux parties a la relation de travail.
Certains deficits d'exploitation ne sont pas negligeables et il importe de
savoir qui va les assumer. Au-dela de la sanction disciplinaire, l'employeur
peut done avoir interet a faire supporter par Ie salarie la reparation du
dommage cause.
Or, Ie droit de travail ne permet d'engager la responsabilite du salarie
qu'en cas de faute lourde de ce demier. La regIe peut surprendre dans la
me sure ou il est de principe que toute faute engage la responsabilite de son
auteur. Elle n'est cependant pas exempte d'exceptions, et il arrive que pour
des raisons diverses, on eleve Ie seuil de la responsabilite.
II convient de se concentrer sur la notion meme de faute lourde. Pour la
definir, on peut s'appuyer sur la jurisprudence de la chambre sociale qui
assume depuis quelques annees la faute lourde a la faute intentionnelle.
Mais force est de constater, qu'en marge de la responsabilite civile du
salarie, la faute lourde presente souvent pour Ie chef d'entreprise un autre
enjeu. Elle est frequemment pen;ue comme la notion qui permet de priver
Ie salarie de toute indemnite de rupture. A ce titre, les rapports entre faute
contractuelle et faute disciplinaire meritent d' etre precises.
Classiquement, Ia faute Iourde ne suppose pas l'intention de causer un
dommage a autrui, meme si Ie debiteur de l'obligation inexecutee a
fait preuve d 'une extreme incurie. Cette analyse traditionnelle va etre
remise en cause par la chambre sociale dans une serie d'arrets rendus prin-
cipalement en 1990. Cette nouvelle jurisprudence «bouscule les cate-
gories de droit commun de la responsabilite contractuelle » en assimilant
la faute lourde a la faute intentionnelle.
Si l'intention de nuire aide a la reconnaissance de la faute intentionnelle,
la majorite de la doctrine civiliste considere que seule la preuve de la
mauvaise foi est indispensable.
Plus que la volonte de nuire a l'entreprise ou a l'employeur, c'est la satis-
faction d'un interet personnel qui justifie l'agissement d'un salarie.
L'intention de nuire n'est pas determinante, Ie mal n'a pas ete voulu en
tant que tel mais comme un simple moyen de satisfaire un interet
personnel.

En resume, pour engager la responsabilite contractuelle du salarie, il faut

caracteriser, sinon l'intention de nuire, au moins la volonte de causer Ie
dommage.
La reconnaissance de la faute lourde passe non seulement par I' examen
du comportement du salarie, mais aussi par I' etude des circonstances de
l'acte. L'attitude de l'employeur peut notamment amener Ie juge it rejeter
la notion de faute lourde. L' etablissement de faux rapports d' activite et de
fausses notes de frais ne constituera pas une faute lourde si l'employeur
connaissait les pratiques frauduleuses de l'interesse et les avait tolerees.
L'engagement de la responsabilite contractuelle du salarie est subordonne
it l'existence d'une faute lourde qui se caracterise par I' intention de nuire it
l'employeur ou a l'entreprise.
La faute lourde commise par Ie salarie peut n'avoir ete rendue possible que
par un manquement de I' employeur a son obligation de surveillance. Mais
surtout, il appartient a l'employeur de supporter les risques de l'exploita-
tion, et les malveillances des salaries font partie de ces risques.
Le chef d'entreprise doit supporter les malveillances de ses salaries, mais
il n'a pas a repondre des fautes lourdes qui echappent a toute prevision.
Dne distinction doit etre operee entre les risques normaux et les risques
anormaux d' exploitation.

Face au comportement fautif du salarie, l'utilisation par l'employeur de

son pouvoir disciplinaire peut apparaitre comme la reponse legitime. La
logique de la solution est d'autant plus evidente que les faits reproches au
salarie sont importants. Toutefois, Ie caractere suppose legitime de la sanc-
tion disciplinaire n'en fait pas forcement une technique appropriee. En
presence d'une faute lourde permettant d'engager la responsabilite
contractuelle du salarie, queUe doit etre la place de la sanction
disciplinaire ?
Toute faute se caracterise d'abord par un element materiel: on a adopte un
comportement reprehensible, soit en agissant, soit en s'abstenant d'agir.
La faute comprend aussi un element psychologique : la volonte. Pour
qu'une faute puisse etre imputee a son auteur, il faut qu'ill'ait commise
volontairement ce qui suppose la faculte de discerner Ie bien du mal. Mais
cette volonte demeure insuffisante pour caracteriser la faute intention-
nelle. Celle-ci suppose quelque chose en plus: l'intention. L'interesse a
non seulement prevu et accepte les consequences dommageables de son
acte, mais en plus illes a cherchees.
La faute lourde du salarie permet it l'employeur de lui infliger une
sanction disciplinaire mais aussi de mettre en jeu sa responsabilite
contractuelle. En pratique, cette derniere reste peu frequente, I' employeur
preferant s'en tenir au terrain disciplinaire. En privant Ie salarie de toute
indemnite de rupture, I' employeur espere obtenir une compensation avec
Ie prejudice subi du fait de la faute contractuelle. La solution a aussi Ie
merite de maintenir la procedure sous la « tutelle» de l' employeur : il
determine les fautes et choisit les sanctions (seul un contrale a posteriori
du juge permettra de verifier Ie bien fonde de la sanction).
L 'utilisation exclusive de la voie disciplinaire laisse aussi sans reponse la
question de la reparation du dommage cause aI' entreprise. Or, certains
deficits d'exploitation ne sont pas negligeables et il importe de savoir qui
va les assumer. Au-dela de la sanction disciplinaire, l'employeur peut
aussi avoir interet a faire supporter par Ie salarie la reparation du dommage
cause.
L'idee d'une demarche parallele de l'employeur associant responsabilite
pecuniaire du salarie et sanction disciplinaire est toutefois peu satisfai-
sante sur un plan strictement juridique. En se pla9ant volontairement sur
Ie terrain disciplinaire, l'employeur s'engage a en respecter les regles et
notamment l'article L. 122-42 du Code du travail qui interdit les sanc-
tions pecuniaires. Certes, comme toute victime, l' employeur peut obtenir
la reparation du prejudice subi des lors qu'il entend reprimer un agisse-
ment fautif du salarie, la prohibition legale des sanctions pecuniaires a
vocation as' appliquer.
En definitive, il apparait que Ie rapprochement parfois opere entre la faute
contractuelle et la faute disciplinaire ne doit pas masquer les implica-
tions juridiques propres it chacune des deux fautes. Des lors que la
demarche repond a une logique disciplinaire, on peut difficilement se situer
sur Ie chemin de la responsabilite civile pour en analyser les consequences.

A la suite de la decouverte d'une fraude, et apres l' instruction, l'audit

devra rediger un rapport qui s'articulera autour des points suivants :
• cerner la personnalite du fraudeur et determiner quelles circonstances
l'ont pousse a agir,
• etablir une reconstitution des faits concernant Ie detournement,
• examiner les dysfonctionnements qui ont rendu possible la malversa-
tion et qui n'ont pas pennis a l'entreprise victime de reveler la fraude en
temps voulu,
• effectuer un diagnostic de la securite du service concerne,
• rechercher si d'autres operations illicites ont ete effectuees par Ie frau-
deur (historique et evaluation),
• proposer des recommandations.

111.3.3 Les systemes dits de « Whistheblowing »

Dans de nombreux pays anglophones, les Etats- U nis, I' Australie, Ie

Royaume Uni, la Nouvelle Zelande, Ie principe de « WhistheBlowing »
(ou de denonciation) fait partie integrante de la legislation.
II est alors couramment admis qu'un employe qui a connaissance (ou
meme seulement des soup90ns) d'actions frauduleuses en fasse part a sa
hierarchie sous Ie sceau de la confidentialite.
Le systeme de denonciation repose sur une procedure bien etablie et qui
doit proteger Ie « denonciateur ».
Bien entendu, pour que ce genre de demarche soit applicable, Ie Conseil
d' Administration doit etablir une charte de deontologie et des proce-
dures precises pour a la fois eviter tout debordement par l'application de
penalites en cas de denonciation abusive et non fondee et proteger Ie
salarie qui denonce des malversations. II est done important de bien
informer l'ensemble du personnel par une communication exhaustive sur
toutes les preoccupations exprimees quant a ce genre de pratique.

En conclusion, les entreprises doivent se battre sur plusieurs fronts: illeur

faut a la fois eviter de perdre de l'argent (par exemple avec un detourne-
ment de fonds assiste par ordinateur), de perdre leur image, leur savoir-
faire, et enfin leur patrimoine.
La fraude est multiforme, ingenieuse, encouragee a plaisir par l' evolution
technologique, et surtout la multiplication des operations financieres.
La crise economique pousse trop souvent au raisonnement a court terme
(la rentabilite), ce qui est evidemment contradictoire avec les besoins en
termes de securites.
II s'ensuit que les systemes d'informations ne sont pas bien maitrises et,
dans leur ensemble, mal proteges, pas temps du point de vue des solutions
de securite elles-memes qu'a cause de l'insuffisance des procedures et de
l'organisation associees. Mais surtout, du fait de l'incoherence des actions
et de l'insuffisance de contr6les. La securite informatique et micro-infor-
matique en particulier, sont l'affaire de tous dans une entreprise. Seules la
prise de conscience et l'initiative des utilisateurs prevues par une informa-
tion et une formation adequates favoriseront la pleine reus site des mesures
de securite mises en place.
II est vraiment essentiel que la fonction de contr6le ne soit pas conc;ue
comme la seule affaire de l' Audit Interne, mais comme l' affaire de tous les
cadres, sinon des employes eux-memes.
En effet, la plupart des fraudes ne sont pas detectees par l' Audit Interne.
Mais l' Audit Interne peut apprendre a trouver les fraudes par la mise en
reuvre d'une large panoplie de moyens d'information et d'outils. L'atten-
tion de l'auditeur est attiree par une serie de clignotants pouvant accrediter
l'hypothese d'une fraude.
L'existence d'une fonction audit au sein d'un etablissement est, de plus, en
soi une bonne chose, par la crainte qu'elle peut inspirer, meme si aucune
statistique ne permettra jamais de me surer vraiment Ie nombre de tenta-
tions de fraudes qu' elle aura decourage par sa seule presence.
 ORGANISATION, EVALUATION
ET PILOTAGE
DE LA FONCTION CONTROLE INTERNE

IV.1 PROPOSITION D'UN MODELE D'ORGANISATION

DU CONTROlE INTERNE

Pour entretenir la supervision et l' animation du Contr61e Interne de fa~on

permanente dans une organisation en assurant la coherence globale du dispo-
sitif avec les decideurs de l'entreprise, nous preconisons de detinir explici-
tement les rOles et objectifs de chacun, ainsi que les modes de reporting.

Comite de Pilotage de la Securite

CPS « Maitre d' Ouvrage »
Le schema precedent illustre les principes organisationnels, les roles
des acteurs et les flux d'informations entre les differentes strates de
l' entreprise.
On constate qu'il y a environ une dizaine de partenaires qui peuvent
assurer des roles differents dans cette organisation type:

La Direction Generale LeCLS: Coordonnateur

Local
LeCPS: Comite de Pilotage LeCCS: Coordonnateur
de la Securite Central de Securite
LeCMOS: Comite de Mise en LeGMS: Gestionnaire de
CEuvrede la Moyens de Securite
Securite
La Hierarchie L'Auditeur Interne
Intermediaire
L'Agent de Production Le Participant d'un
Groupe Projet

Remarque : Le Compliance Officer est egalement reguW:rement utilise en

lieu et place du CCS ou du CLS, principalement dans les societes soumises
au Sarbanes-Oxley Act.
L'Observatoire des Risques, souvent rattache a la Direction de l' Audit ou
des Risques, est un instrument de concentration d'informations sur les
risques, de routage de ces informations aux bons destinataires, de garantie
que toutes les informations sur les risques sont partagees/diffusees de
fac;on coherente et de l'exhaustivite des partages d'informations sur les
risques, et enfin de restitution de la « vision des risques » aI' echelle de
l' entreprise.
De ce demier point de vue, l'Observatoire est done un instrument d'agre-
gation et de representation de l'etat des vulnerabilites des differentes fonc-
tions de l'entreprise, c'est-a-dire un instrument de reporting general des
nsques.
Ce reporting n'est possible que sur la base de l'existence d'outils de
capture des mesures des risques. Ces outils sont les questionnaires remis
entre les mains des CLS de chaque fonction (Directions operationnelles,
Directions techniques et supports ... ). La qualite de l'instrument de deci-
sion remis a la Direction generale sera done directement liee a la richesse
en nombre et en pertinence des questions de revision permanente de I' etat
des risques.
Eventuellement, l'audit et ses propres outils de questionnement viendront
completer ou tout au moins valider les mesures effectuees, mais la garantie
permanente de la bonne application des mesures de Contr6le Interne doit
rester entre les mains de la cellule d'Observatoire des risques.
C' est ce que tente de resumer Ie graphique suivant :

Le role de I'observatoire des risques

Observatoire des risques

Referentiel d'observation
Cartographie

~
/ ~teurs credibles

~ ~ ~
Reporting
Instruments de mesure ~

Le modele d'organisation de la fonction Contr6le Interne que nous avons

presente en debut de chapitre permet de mettre en exergue trois categories
de comportements des differents acteurs que nous allons baptisees : Reac-
tive - Active - Passive.
La Direction Generale elabore la politi que de Controle Interne permanente.
La CPS en deduit les axes strategiques (la Direction y est presente et Ie
CPS en est un membre).
Le CMOS conduit et suit les proj ets repondant a cette strategie (exemples :
deploiement de la demarche, constitution du referentiel « risques », evolu-
tion des procedures, etc.).
La hierarchie intermediaire actionne les reponses appropriees suivant les
alarmes des indicateurs.
L' Agent « de Production» signale spontanement toute presomption de
dysfonctionnement par rapport aux regles edictees.
Le CLS remonte les incidents et les informations concernant leur traite-
ment et Ie resultat.

Le CCS restitue de nouvelles regles de Controle Interne ou met a jour les

anCIennes.
Le GMS attire l'attention des qu'un projet n'integre pas la methodologie
d'analyse des risques.
Partie Active
La Direction Generale signe les publications de communications internes
gui lui sont proposees.

Le CPS enterine les travaux realises sous la conduite du CMOS.

Le CMOS reagit aupres du CPS des qu'il y a dysfonctionnement d'un

projet qui touche au Controle Interne.
La hierarchie intermediaire pratique regulierement sa Supervision.
L' Agent de Production applique les procedures (de controle de production
ou de traitement degrade).
Le CLS verifie periodiquement les questionnaires d'analyse des risques.
Le CCS entretient les projets de communication interne, assure la veille
methodologique et technique de securite.
Le GMS assure son rale de gardien de la maitrise des risques et de produc-
teur d'outils de securite.
Le Participant d'un Groupe Projet applique la demarche d'analyse des
risques pour enrichir Ie cahier des charges, les tests, etc.
Partie Passive
L' Auditeur Interne cons tate l'etat des lieux du Contrale Interne et en
rapporte.
L'Observatoire des Risques tient a jour les modeles de representation des
niveaux de vulnerabilite de chacune des entites de I' entreprise.

IV.2 EVALUATION ET PILOTAGE DU DISPOSITIF DE GESTION

DES RISQUES ET DU CONTROLE INTERNE

La responsabilite du management est notamment de gerer Ie risque econo-

mique avec pour objectif de preserver la valeur des fonds propres pour les
actionnaires dans un contexte global d'aversion aux risques qui se traduit
par:
• un accroissement de la reglementation : LSF, Sarbanes-Oxley Act, Bale
II, 97-02, Solvency II, Ie decret du 13 mars 2006,
• une augmentation des exigences d'information,
• des risques juridiques et de reputation eleves.
Neanmoins, il s'agit aussi d'assurer de fac;on coherente 1es fonctions de
« conformite », de suivi des risques operationnels et de Contrale Interne
dans des conditions economiques acceptables, ce qui necessite de se doter
d'outils pertinents et adequats.
II est en effet souhaitable de formaliser une strategie de maitrise des
risques et de mettre en reuvre une organisation et des outils de Contrale
Interne permettant d'en assurer Ie suivi et Ie pilotage.
Comme nous avons pu Ie decrire precedemment, les nouvelles regiemen-
tations incitent fortement :
• a Ia mise en place d'un dispositif de Contrale Interne: voir Ie chapitre
intitule « La mise en reuvre d'un projet de Contrale Interne »,
• a l' evaluation du dispositif de gestion des risques et du Contr6le Interne
au-dela du recensement et de la documentation des procedures et
moyens en place,
• au pilotage de ce dispositif.
Aussi, l' enjeu est de foumir les moyens adequats aux organisations pour
realiser cette phase d'evaluation exhaustive de l'efficacite des procedures
et du dispositif de Contr6le Interne en place, aux bornes du Groupe et de
ses composantes (filiales, unites operationnelles, centre de decisions) et de
pilotage.

IV.2.1 L'evaluation du dispositif de Controle Interne:

une demarche pragmatique

La demarche adoptee par plusieurs grands groupes internationaux consiste

a mettre en reuvre une evaluation participative qui implique les opera-
tionnels, responsabilises au meme titre que la Direction, dans leur domaine
de competences et de responsabilites. Cette demarche presente Ie merite
d'etre plus objective qu'une revue et une appreciation sommaire menees
depuis Ie Siege sur un nombre d'organisations limitees plus ou moins
representatives de l'activite de tout un Groupe. Elle pennet egalement de
s'assurer de la complete maitrise de 1'ensemble des risques auxquels
I' organisation est confrontee mais demeure a contrario plus longue.
L'evaluation du dispositif de Contr61e Interne sur un mode participatif et
declaratif s' organise principalement sous forme de questionnaires et de
tests sur les points de Contr6le Interne mis en place tout au long des
processus de management de l'entreprise; la finalite est d'offrir une
appreciation synthetique it la Direction d'un Groupe et de faire
emerger de manii~re homogene les zones de faiblesses. Les resultats
obtenus des operationnels, beaucoup plus legitimes et pertinents car
provenant directement du terrain, contribuent a fournir les elements de
pilotage et d'aide a la decision pour orienter les actions correctrices
necessaires.
Cette evaluation du Controle Interne pourrait ainsi etre une premiere
etape de defrichage pour identifier des sujets ou des filiales pour
lesquels un travail de revue in situ plus approfondi serait necessaire.
Evaluer efficacement un dispositif de Contr6le Interne necessite d'adopter
une demarche structuree et progressive de type Projet tant Ie sujet peut etre
vaste, difficile a cerner et parfois abstrait pour les operationnels non-
inities au sein d'une organisation. Le Contr6le Interne etant l'affaire de
tous, chacun doit pouvoir contribuer a un tel Projet ; la comprehension
de l'organisation et des specificites de chaque Groupe est une premiere
composante cleo
Une approche par processus de management s'avere appropriee car
plus proche des preoccupations «business» des operationnels. De
maniere plus globale, Ie referentiel methodologique (questionnaires,
processus, points de contr6le, risques ... ) doit etre simple, clair et precis
pour garantir une comprehension rapide de tous les acteurs impliques et
une participation constructive au travail d'evaluation du dispositif de
Contr6le Interne.
Venjeu majeur est de susciter une adhesion totale des operationnels, .
au-dela de la population financiere, faute de quoi la qualite et la pertinence
de l'evaluation et de l'appreciation des elements remontes en seraient
affectees. La deuxieme composante cle du Projet consistera a porter une
attention particuliere a la comprehension de I' environnement de contr6le
existant (cadres, procedures, modes de communication et de diffusion,
application ... ) et a I' elaboration du referentiel methodologique pour favo-
riser cette adhesion.
11existe aujourd'hui differents types d' outils logiciels facilitant ce travail
d'evaluation exhaustive. Toutefois, il apparait important d'avoir a l'esprit
qu'un logiciel n'est qu'un vehicule pour diffuser Ie referentiel et la metho-
dologie qui auront ete retenus.
Dans cette perspective, il apparalt plus judicieux d'envisager et de privile-
gier des solutions proposant un contenu et une methodologie traitant du
Contr6le Interne declines par des specialistes en la matiere, tout en s'ados-
sant a une plateforme logicielle simple d'utilisation. Un propos aussi
vaste, englobant une multitude de sujets, justifie que la solution retenue
ait ete structuree de sorte que la demarche critique et les facteurs cles de
succes aient bien ete integres dans la reussite de ce projet.
IV.2.2 Le pilotage du dispositif de gestion des risques
et du Controle Interne

Un pilotage performant de la gestion des risques et du dispositif de

Contr6le Interne doit permettre de mettre en place Ie cycle vertueux
suivant:

Revision des processus -> Identification des risques -> Quantification des risques -> Identi-
fication des contr61es -> Comparaison risques I contr61es -> Mise en place des contr61es ->
Evaluation des contr6les.

Ceci permet d'elaborer une demarche progressive d'amelioration continue

de chaque etape du dispositif tout en repondant aux quatre contraintes
principales suivantes :
• maHriser les couts,
• ne pas empiler ou juxtaposer les systemes de contr6le,
• tirer un benefice economique du contr6le des risques (meilleure qualite,
satisfaction client, meilleure formation ... ),
• eviter la deresponsabilisation des acteurs operationnels,
• inventorier les processus et sous processus (Management, Marketing,
Ventes, Informatique, Finance, RH, etc.),
• classifier et cartographier les risques (sous la conduite de l' Audit
Interne),
• associer les risques aux divers processus (nature, echelle de gravite,
probabilite de survenance),
• mesurer via Ie Contr6le Interne les impacts lorsque cela est possible
(financier, resultat. .. ),
• determiner Ie niveau de Contr6le Interne necessaire (risque/cout, best
practices ),
• formaliser Ie referentiel de contr6le, documenter et mettre en reuvre les
bonnes pratiques,
• piloter et evaluer l'efficacite du Contrale Interne (groupe, entite,
prestataires ).
Ce pilotage ne peut se faire que par l'intermediaire d'une solution metho-
dologique et technologique performante.
Les fonctionnalites assignees a un tel media doivent notamment permettre
de servir les objectifs suivants :
• offrir un outil de contra Ie et de pilotage efficace, rigoureux et homogime
pour Ie respect des dispositions reglementaires, des procedures internes,
de la deontologie, de la gestion des risques operationnels et pour la fiabi-
lite du reporting financier,
• supporter les equipes de Contrale Interne dans leurs missions de defini-
tion et realisation des contrales : leur permettre de prouver l'efficacite et
I' efficience du dispositif,
• assurer Ie suivi de la mise en reuvre de recommandations internes ou
externes,
• permettre a un organe tiers de contraler la veracite des informations
recueillies,
• fournir aux operationnels un outil d'acces a l'information et de compre-
hension des risques,
• emegistrer et suivre les incidents et/ou demandes et plaintes des clients.
Les interets et les enjeux sont donc multiples.
Le dimensionnement d'un tel Projet et de l'outil permettant de l'animer
devra tenir compte de la maturite (culture) en matiere de Contrale Interne
au sein du Groupe; les retours d'experience des Groupes ayant deploye
une telle demarche permettent de retenir cinq criteres necessaires au
succes du Projet :
• simplicite: susciter l'interet a la demarche au-dela des reglementations
du type LSF, SOX, Bale II, 97-02, Solvency II ... ,
• pragmatisme : promouvoir l'adhesion des operationnels acteurs du
Contrale Interne,
• progressivite : integrer progressivement les specificites organisation-
nelles, culturelles ... ,
• partage: partager et promouvoir un referentiel commun,
• convivialite: ergonomie et modularite des outils.
Les remontees du terrain montrent egalement qu' au-dela de la «refe-
rence» en matiere de procedures et bonnes pratiques, les operationnels
per90ivent une valeur ajoutee pragmatique et directement exploitable, a
savoir une « check list des contrales a minima a operer » afin de s' assurer
raisonnablement que leurs operations quotidiennes sont « sous contrale » :
encadrees et suffisamment securisees.
Independamment de sa robustesse, de la perennite qu'il offre et de sa
faculte a pouvoir embrasser les besoins d'evolutions, Ie logiciel qui pour-
rait etre retenu pour accompagner une telle demarche, do it aussi etre ergo-
nomique, simple dans sa comprehension et structure autour du referentiel
methodologique pour une plus grande acceptation de la part des opera-
tionnels participants.
II s'agit de fournir une aide a l'interpretation d'un existant et d'accompa-
gner la definition d'une feuille de route pour l'harmonisation et l'amelio-
ration continue de cet existant et non pas d'offrir des fonctions d'analyse
des processus comme un outil de Business Project Management.
Enfin, l'outil retenu do it privilegier Ie travail de synthese et de restitution
des resultats a I' ensemble des acteurs pour atteindre I' objectif principal, a
savoir analyser, apprecier et, Ie cas echeant, ameliorer Ie dispositif de
Contrale Interne.
C'est a ces conditions qu'une demarche d'evaluation du Contra Ie Interne,
qui se veut participative, aura des chances d'etre acceptee et partagee pas
tous pour devenir une veritable plateforme interactive d'animation et de
promotion du Contrale Interne au sein d'une organisation.

IV.2.3 Exemple de solution d'evaluation et de pilotage

du dispositif de gestion des risques et du Controle Interne

Nous avons retenu la solution technologique et methodologique IC-QUEST,

concept initie et aujourd'hui commercialise par Control Metrics et ses parte-
naires, car nous avons eu I' opportunite de Ie mettre en place au sein de
societes et d'obtenir des retours d'appreciations des utilisateurs.
IC-QUEST est une suite logicielle dediee au Contrale Interne mais egale-
ment a la gestion des risques et de la conformite notamment dans les
Banques et Assurances Mutuelles.
L'application IC-QUEST adopte la philosophie d'evaluation avec la
notion de responsabilisation et de participation des operationnels dans Ie
processus de gestion des risques et du Contrale Interne avec un traitement
et une analyse en temps reel des informations collectees permettant ainsi
de piloter Ie dispositif de Contrale Interne.
Cette philosophie est organisee autour des principaux processus de mana-
gement, et est rattachee a des risques financiers et/ou operationnels iden-
tifies tout au long de ces processus.
Cette solution permet de remplir les fonctionnalites suivantes, indispen-
sables a un pilotage performant :
Une gestion dynamique du referentiel de Controle Interne:
• Gestion d'un referentiel de document,
• Integration avec des outils tiers de documentation et publication des
processus,
• Identification et documentation des risques (cartographie),
• Identification et documentation des points de contra Ie,
• Identification et documentation des processus,
• Gestion de l' organisation de l' entreprise,
• Gestion des profils d'autorisation et des rales dans les workflows.
Une evaluation des risques en continu :
• Cartographie des risques,
• Evaluation des risques inherents et campagne d'evaluation des risques
residuels,
• Valorisation et suivi de l' exposition aux risques par nature,
• Rapprochement avec Ie Contrale Interne et mise a jour des risques
residuels,
• Gestion des actions correctives identifiees,
• Collecte des incidents et association aux risques cartographies.
Une evaluation du dispositif de Controle Interne en temps reel:
• Conception, planification et realisation de campagnes de contrale perio-
diques ou ponctuelles,
• Gestion du testing,
• Gestion des documents associes aux contrales,
• Gestion des actions correctives identifiees,
• Parametrage des methodes de mesure.
Un pilotage du dispositif performant :
• Tableaux de bord de suivi des campagnes de contra Ie,
• Tableaux de bord synthetiques avec analyse des resultats de campagne,
• Tableaux de bord de suivi de mise en ceuvre de plans d'actions·
correctives,
• Benchmark transversaux et historiques,
• Historisation des donnees,
• Alertes en fonction de niveaux de resultats.
Une gestion des workflows pour les organisations les plus complexes:
• Workflow des questionnaires et questions : delegation, validation,
endossement,
• Workflow de testing des reponses,
• Workflow de gestion des campagnes,
• Workflow de gestion des plans d'action.
IC-QUEST est ainsi un veritable outil de gestion et d'aide a la decision
au quotidien pour la Direction de l'Audit Interne et/ou la Direction des
Risques et/ou du Contrale Interne dans son activite de suivi du niveau de
Contrale Interne et d'amelioration constante du dispositif grace a l'interac-
tivite de la solution logicielle.
En outre, l'application IC-QUEST permet d'evaluer de maniere objec-
tive, tangible et auditable tout dispositif de Contrale Interne en place et
de foumir au management tous les elements necessaires pour se prononcer
sur l'efficacite du dispositif en question, tel que Ie requiert la Loi de Secu-
rite Financiere (LSF) et Sarbanes-Oxley Act (SOX).

IV.2.4 Exemple de mise en muvre d'une solution d'evaluation

et de pilotage du dispositif de Controle Interne

La Direction de l' Audit Interne de ce Groupe soumis a LSF a produit un

ensemble d'environ 700 questions autour des principaux processus de
management et du processus specifique lie a la publication des comptes.
Chaque questionnaire individuel offre une appreciation du niveau de
maitrise du Contrale Interne aux bornes du processus de management
concerne et egalement une appreciation du niveau de maitrise du Contrale
Interne de maniere transverse, selon les principaux objectifs de modele
COSO. Ainsi, il a ete defini et affecte a chaque question un des objectifs
de Contrale Interne tel que definis par Ie referentiel Ie plus commune-
ment utilise (COSO - integrated framework) et par la Security Exchange
Commission (SEC) :
• Conformite aux lois et reglementations en vigueur (COSO),
• Securisation des actifs (SEC),
• Efficacite des operations et des processus de management (COSO),
• Fiabilite des informations financieres (COSO).
L'objectif de Contra Ie Interne relatif a la Fiabilisation des Informations
Financieres a ete traite dans un questionnaire « Processus de production et
de publication des etats financiers» a part entiere.
La construction de chaque questionnaire a donne lieu au rattachement
de chaque question / groupe de questions / point de Contrale Interne un a
risque inherent operationnel et/ou financier afin de guider I'operationnel
qui repond aux questions dans l'evaluation de son environnement de
Contrale Interne, ce qui a pour objectif de recadrer Ie sujet de Contrale
Interne dans son contexte de risque et de proposer des elements de
reponses sous forme de procedures ou de contrales a mettre en place a
minima pour circonscrire les types de risque identifies.
Cette demarche permet egalement de realiser une cartographie des risques.
La Direction de l' Audit Interne de la societe ne disposait pas de referen-
tiel de Contrale Interne; cependant, une identification des risques inhe-
rents aux differents processus de management avait ete realisee et
formalisee. Les risques, majeurs dans un premier temps, releves lors de
cetle identification ont donne lieu a la formalisation d'une centaine de
fiches specifiques.
Des ateliers de validation des questionnaires et des fiches de risques et
bonnes pratiques personnalises reunissant la Direction de l' Audit Interne,
des Directions expertes (exemples : Tresorerie, Achats, Ressources
Humaines ... ) et des operationne1s identifies ont egalement ete realises.

Le Groupe a determine les filiales cibles soumises a evaluation et un inter-

locuteur officiel en charge d'administrer les questionnaires d'evaluation
dans son perimetre de responsabilite ete designe.
L'interlocuteur officiel (Directeur de Filiale ou d'Etablissement etJou
Directeur Financier) do it repondre a un certain nombre de questionnaires
d'evaluation du Contrale Interne. 11peut deleguer un ou plusieurs ques-
tionnaires a un ou plusieurs responsables operationnels, impliques dans les
processus de management, en charge de repondre directement aux dits
questionnaires.
Ce principe de delegation permet de designer la personne la plus appro-
priee pour repondre aux questions de Contrale Interne, bien que la respon-
sabilite et la validation des reponses foumies incombent a l'interlocuteur
officiel.
Dans cet exemple, 1 300 interlocuteurs ont ete definis.

Des questionnaires ont ete rediges en fonction des processus des identifies.
Les questionnaires sont publies et rendus disponibles sur Ie serveur d'appli-
cation de la solution IC-QUEST et sont soumis aux operationnels (entite
soumise aux questionnaires d'evaluation) de maniere individualisee.
L'acces aux questionnaires et la saisie des reponses apportees s'effectuent
en ligne directement par les operationnels via intranet.
La mise a jour des informations fournies par les operationnels s'effectue
en temps reel, de meme que les traitements des donnees et leurs restitu-
tions, ce qui permet une veritable interactivite entre les utilisateurs et
l'organe central gerant I' application.
Des campagnes d'evaluation ont ete programmees une fois par an, indivi-
duellement ou pour un groupe d'operationnels et pour un questionnaire
unique ou un ensemble de questionnaires.
Le temps de reponse accorde aux operationnels pour remplir les question-
naires a ete planifie rigoureusement en fixant la periode de la campagne
- date d' ouverture et date de clature. Ce delai a ete important la premiere
annee afin de laisser aux operationnels Ie temps de s'approprier l'outil.

Le Groupe n'a retenu que trois langues de travail et un seul format de

reponses : conforme/non-conforme/non applicable.
Neanmoins, certaines societes utilisent jusqu'a 10 formats de reponses,
permettant ainsi une grande flexibilite, modularite et evolutivite des ques-
tions et questionnaires qui pourront etre deployes sur la meme plate forme.

Lors des evaluations en ligne, les operationnels ont la possibilite de saisir

a
des plans d'actions pour chaque question de Contrale Interne, leur initia-
tive et sans contrainte.
Les plans d'actions sont formules de maniere libre, sous forme de texte,
avec l'indication d'un delai de mise en reuvre et la designation d'un
responsable operationnel pour la mise en reuvre.
Les plans d'actions seront ulterieurement restitues dans des tableaux reca-
pitulatifs permettant leur suivi ce qui permet de delocaliser la gestion des
risques du Contra Ie Interne. En effet les operationnels locaux deviennent
ainsi responsables de leur propre environnement de contrale.
 Exemple de questions auxquelles un operationnel doit repondre
dans Ie domaine bancaire

'fldller ~dtion Aff~ h-uts c.Jth 1

.il'Pt"-:4dett:e •. ; ;, ••.«h!tcher F ••• orts ~~ .•.. w" i)J •.

'1I\drflIeI£jhttp://dllnJ.l:l:lrtt~.taIl1lC~-&ljjW(J'~/~QuIlstldaQ'U''lJ1t

'LI\'AI -ileokKal @]LOl:~1)S«Yw1H11~cmmi :;';CIA~~;,]~CM ,,j'tC.~''JjQt'P »;"Al %-1

••• J iJ! ie _<h
.J '""••
-.~.~

-~q~d_, __u",l OrQ __ -.111..1 E :JUII:J1 -1~ld,,_101 F.~~ -( •...[,.11.;: rU~1 1'-_
Iv dual lUll QU'" (It'r1fllll'' Qlw-.111J1t

Lors des evaluations en ligne, les operationnels ont la possibilite egale-

ment de joindre tout type de fichier, a leur initiative et sans contrainte, afin
de documenter leur environnement de Contrale Interne.
Les documents attaches sont archives et seront ulterieurement restitues
dans des tableaux recapitulatifs permettant Ie suivi par participant et
l'acces en lecture.
Cette demarche repond aux exigences des nouvelles reglementations
financieres qui mettent l'accent sur la documentation de tout element ou
dispositif de Contrale Interne mis en place au sein d'une organisation, et
plus particulierement au sein des entites operationnelles ou filiales.
En outre, ce recensement documentaire presente egalement l' interet de
centraliser tout element de procedures present dans un groupe, dans une
optique d'amelioration continue et de partage de bonnes pratiques au sein
des differentes entites d'un meme groupe.

Chaque interlocuteur officiel a la responsabilite de revoir les reponses et

les plans d'actions fournis par un responsable operationnel et de valider les
questionnaires de Contrale Interne.
La validation finale de l'interlocuteur officiel fait office de « sign-off» et
declenche de maniere definitive l'envoi des reponses au serveur central
pour traitement.

« Je certifie :
Choix nO1 :
que la structure et Ie fonctionnement en place sont adequats et de nature a assurer la
maitrise des operations.
Choix nO2:
que la structure et Ie fonctionnement en place presentent certaines faiblesses identi·
fiees et que des actions correctrices seront mises en place dans Ie courant de
I'annee. »

A l'issue des evaluations, les resultats du Groupe sont presentes dans des
tableaux de bord recapitulatifs pour l'ensemble des participants.
L'approche retenue par Ie Groupe permet de presenter un observatoire du
Contrale Interne selon les formats desires (plus de 10) mais trois formats
nous semblent indispensables:
• vision globale de tous les participants: donner une image du niveau de
satisfaction du Contrale Interne aux bornes du Groupe et de ses diffe-
rentes composantes organisationnelles (Branche d'activite, organisation
juridique, zones geographiques ... ),
• vision specifique d'un participant en particulier : donner une image du
niveau de satisfaction du Contra Ie Interne d'un site filiale en particulier
et la comparer aux composantes organisationnelles auxquelles elle se
rattache (Branche d'activite, organisation juridique, zones
geographiques ... ) ;
• vision analytique par question ou sujet specifique de Contrale Interne:
donner une image du niveau de satisfaction d'un point de Contrale
Interne particulier aux bornes du Groupe et d 'une composante organisa-
tionnelle particuliere (par exemple : Branche d'activite).
Chaque tableau de bord composant l'Observatoire du Contrale Interne
peut etre egalement presente sous differentes dimensions :
• par objectif de Contrale Interne COSO,
• par type de risque,

Conformite
4 R 96-03
5 R 96-03
6 R 96-03
7 R 96-03
7 R 96-03
8 R 96-03
104 R 96-03
14 R 96-03
15 R 96-03
15bR 96-03
16 R96·03
16 bls R96-0J
16 cis R96-03
16 R96-0J non modj1il~
16 R96·03 non modifie
16 R96-03 non modifie
16 R96-03 non modifie
Cet observatoire permet egalement d'alimenter une cartographie des
nsques.
Bien entendu, l'acces a l'Observatoire du Contrale Interne est contextuel
et varie selon Ie profil detini Administrateur Central, Administrateur
partiel (niveau inferieur) ou operationnel (site filiale ou etablissement) et
donc selon leur perimetre de competence, i.e. Branche d'activite, zone
geographique ...

•
26
12

• 14
C,htfUfi,ttt1lu<:h.

",,,I
"I;.".•" I-$el-'~\:;:-'c'-'J~"'-I'.,,-:::J
•
Jamais Parrols
RaM!ment SotHenl
Frequence

Ni"8au de risk Vert OllmQC' Ruuge

Uua'lltl du CI

13
_ 0

14 2

L'ensemble des plans d'actions saisis au cours des evaluations peut etre
restitue dans des tableaux recapitulatifs listant les plans d'actions se10n de
nombreux elements: par questionnaire, par question, par intitule de plan
d'action, etc. avec des indications telles que Ie nom du responsable en
charge de la mise en reuvre, Ie delai de mise reuvre et les statuts pour
chaque plan d'action : a faire, en cours, fait.
Les tableaux comportent de nombreux criteres de tri pour la visualisation
des plans d'actions tels que par Groupe, par site Filiale, par questionnaire
de Contr61e Interne.
Le suivi des plans d'actions a travers les tableaux recapitulatifs permet
egalement de communiquer par email avec Ie responsable designe pour la
mise en reuvre des plans d'actions. Le nom du responsable possede un lien
dynamique pour l'envoi d'un email dedie au plan d'actions, ayant comme
objet l'intitule du plan d'actions.

L'ensemble des documents attaches au cours des evaluations est restitue

dans des tableaux recapitulatifs, classes selon des elements tels que ques-
tionnaire, question, intitule du document attache ...
L'acces au suivi des documents attaches est contextuel et varie selon Ie profil
defini (Administrateur general, Administrateur partiel ou Operationnel).

Pour conclure :
it partir des elements de restitution:
• I'observatoire du Controle Interne,
• la cartographie des risques au niveau Groupe et au niveau des filiales,
• les plans d'action,
• les documents attaches (procedures, documents justificatifs, bonnes pratiques,
organ igramme...)
Ie chef de projet etlou Ie Directeur de l'Audit Interne ou Ie Directeur du Controle Interne
ou Ie Directeur des risques ou Ie Compliance Officer ou Ie CCS ou Ie CLS a une vision
globale du dispositif de Controle Interne et a la possibilite d'identifier :
• les zones de faiblesses au sein du Groupe,
• les missions d'Audit Interne a realiser en priorite pour circonscrire certains risques,
• les procedures etlou bonnes pratiques it amender etlou it creer.
II peut donc exercer un pilotage efficace du dispositif de Controle Interne au niveau
du Groupe, des fonctions expertes, mais egalement aux niveaux des filiales, des
operationnels, etc.
 LA MISE EN CEUVRED'UN PROJET
DE CONTROlE INTERNE

V.1 lE CONTROlE INTERNE: UNE DEMARCHE

DE CHANGEMENT

Dans Ie cadre de la demarche de Contr61e Interne, comme dans toute

demarche systematique d'entreprise, Ie changement est une preoccupa-
tion ou au moins un sujet fondamental de discussion. C'est en effet de
l'acceptation de cette idee de changer que viendra tout d'abord la deci-
sion de s'y engager (<< est-il si necessaire de changer?, ne pourrait-on pas
se « donner Ie temps », etc. ») et par la suite la qualite du succes (<< il serait
bien agreable de s' engager du « bout des levres » dans un processus de
changement, on verra bien « Ie moment venu »).

Si Ie changement est une realite incontournable, pourquoi genere-t-il

aut ant de resistance? Pour Ie comprendre,. il faut faire la difference entre
l'evolution, dont tout Ie monde reconnaH sans difficulte l'evidence, et Ie
changement. Si l'evolution est incontoumable, on peut se poser la question
pour Ie changement.

En effet, autant l'evolution se fait « en douceur », autant Ie changement

ressemble a une action non naturelle, et donc plus ou moins stressante.

L'aspect « psychologique »est donc fondamental pour faire accepter, sans

phenomene de rejet, ce « corps etranger» dans Ie processus normal
d'evolution. II y aura donc lieu d'actionner a la fois les deux leviers de la
raison et de l' emotion pour que les individus y adherent.

Le changement est voulu par Ie levier de l'emotion ou subi du fait du

levier de la raison.
C'est ainsi que nous sommes confrontes a d'interminables processus de
changements :

• techniques (par exemple intranet),

• methodologiques (par exemple, it n'est plus question de se contenter de

son art et son intuition dans la conduite d'un projet),

• de valeurs (Ies comportements relationnels en ce debut de millenaire

n'ont plus rien a voir avec ceux du siecle demier).

Or, les facteurs d'evolution de notre culture (pas seulement profession-

nelle, mais aussi sociale, politique, religieuse, etc.) s' intensifient de jour en
jour a la fois en intensite et en rapidite sous l'effet des progres technolo-
giques dans quasiment toutes les disciplines.

II ne peut donc plus etre question de se contenter d'une douce evolution

pour rester en harmonie avec ses nouveaux facteurs de notre culture et
ainsi survivre. Le changement devient donc inevitable, d'autant que l'on
n' est pas maitre de ces fameux facteurs.

Le schema ci-contre montre bien que Ie comportement n'est finalement

que la representation de notre culture, et que celle-ci ne change pas sponta-
nement, Iorsque les conditions de changement ne sont plus naturelles, mais
seulement sous l'action de leviers de trois ordres (techniques, methodes
et valeurs), interagissant les uns sur les mitres. Ce constat perrnet de souli-
a
gner un point fondamental : il est tout fait illusoire de ne vouloir changer
qu 'un des facteurs en ignorant les autres, a moins de desequilibrer
l'ensemble, ou de se contenter (voire se bercer) d'illusions.

En realite, la solution de facilite est encore souvent bien tentante, et les

pretextes ne manquent pas (Ie changement est encore une idee a la mode,
Ie changement technique suffit, Ie reste suivra, «soyons pragma-
tiques »...). Par exemple, il est plus facile de se contenter de solutions
techniques en faisant abstraction de la gestion d'autres phenomenes (parce
qu' on ne sait pas vraiment gerer) » dans ce cas on invoquera Ie « pragma-
tisme », Ie « concret » qui non seulement tente de justifier Ie choix mais
en plus, par opposition, deconsidere toute autre approche. Cela permet au
moins d' avoir bonne conscience.
 Le comportement com me representation de notre culture

Representation tangible de la culture

TECHNIQUES
METHODES

En consequence, cette fayon de ne pas vraiment traiter les problemes

engendre quantite de difficultes de realisation des changements attendus,
et Ie plus sou vent de reelles deceptions:
- «Comment apres tous les efforts qu'on a faits ... » (sous-entendu : il n'y
a toujours aucun resultat ... et c'est evidemment de leur faute),
- «Comment se fait-il que Ie groupe de travail responsable de la mise en
amvre technique n'y soit pas encore parvenu ... » (avec des premisses de
proces d'intention : mais qu'est-ce qu'ils font, il faut changer d'equipe ... ).
Le pire est qu'on ne voit meme pas Ie remede a ces situations de sterilite.
En effet, comme on n' a pas trop envie de se risquer dans Ie changement,
on cherche des substituts faciles (en apparence), done « cela ne marche
pas », et comme on ne veut toujours pas changer de fonds, on changera
d'hommes s'il Ie faut mais pas la demarche. Cela s'appelle un « cercle
vicieux », qui en tout etat de cause ne pourra durer longtemps.
A partir du moment ou on a compris qu'il faille ineluctablement changer,
et encore qu'il faille changer sur les trois axes « T » (Technique), « 0 »
(Organisation) et « C » (Culture), la premiere idee qui vient souvent a
l'esprit est que ces trois axes faisant appel a des disciplines tout a fait
distinctes, doivent done faire appel a des specialistes experts dans chacun
de ces domaines. Comme ces specialistes sont generalement distincts (les
competences de l'ingenieur, du gestionnaire et du psychologue etant rare-
ment reunies chez Ie meme personnage), les actions font done l'objet de
programmes paralleles, meme si leur finalite globale les reunit.
Par ailleurs toute notre culture (au moins occidentale) nous influence plus
ou moins consciemment a considerer l' etre humain de fa90n dichoto-
rnique en separant Ie corps de l'esprit (ou de 1'ame), l'emotion de la raison
(Ie cceur a ses raisons que la raison ne connait pas ... ).
II en resulte souvent une grande difficulte pour I' acteur a faire lui -meme la
synthese entre ces actions de changement. Cela lui est d'autant plus diffi-
cile que Ie stress de la production quotidienne ne lui laisse pratiquement
jamais ni Ie temps ni l'occasion de recul necessaire.
Le but du ContrOle Interne est de mettre justement les acteurs en
situation de faire ce qu'iIs ont a faire, la oil ils doivent Ie faire, quand
ils doivent Ie fa ire (me me de maniere degradee si c'est necessaire).
L'interet du Controle Interne est que c'est une demarche naturelle
qui ne cherche pas a privilegier a priori un facteur de changement plus
qu'un autre, ce qui evite de se demander, apres, comment faire pour
« ajuster ».
Le Controle Interne n'a pas pour objectif d'ameliorer la securite de fonc-
tionnement du systeme, ni sa qualite, ni son organisation, ni ses outils, ni
meme les comportements des acteurs, mais simplement d'identifier les
vrais besoins de I'un ou l'autre de ces changements, Ia OU iis se presen-
tent, et d'y repondre uniquement dans la mesure OU ils apparaissent. C'est
Ie contraire de la volonte a priori de « faire » de la qualite ou de la securite
ou n'importe quoi d'autre.
Aussi, toute la plus value de la demarche de Controle Interne repose sur
Ie fait que les trois changements interferent 1'un sur l'autre, en donnant la
maitrise du tout tantot a l'un tantot a l'autre suivant Ie besoin decouvert.
A ce niveau, rappelons que la difference de comportement entre I' expert et
Ie conseil est fondamentale puisqu'il ne s'agit en aucun cas de privilegier
une discipline plutot qu 'une autre. En revanche, les experts sont appeles au
coup par coup suivant les besoins eventuels pour des reponses precises et
specifiques. Mais ce ne sont pas des experts qui conduisent Ie changement,
quel qu'il soit.
Chacun devra donc assumer son propre changement dans son propre
metier.
Par exemple, pour I' encadrement, la demarche apportera de nouveaux
indicateurs (il ne s'agit pas d'en ajouter d'autres a une somme peut-etre
deja saturee, mais peut-etre d'en retirer certains pour les remplacer par
d'autres, de differentes natures). Pour les employes, la demarche appor-
tera un moyen de valoriser leur travail en assurant une reponse de meilleur
niveau, et par la meme occasion des sources d'autosatisfaction, et aussi de
se faire reconnaitre.

Encadrement Nouvelles methodes de management (plus grande rigueur d'organisation et

meilleure adaptation du suivi operationnel)
Employes Nouvelles potentia lites d'expression. Nouvelles attitudes face a I'entreprise
(autres valeurs, autres comportements) : acceleration des reactivites, ajuste-
ment des reponses aux vrais besoins (ce qu'il faut et pas plus).

Globalement, l'entreprise, ou l'administration, y gagnera en performance

(qu'il s'agisse de service ou de production). La vertu de base sur laquelle
s'appuiera Ie succes de cette demarche reste l'autosuggestion, c'est-a-dire
Ie veritable travail de conseil- des equipes internes ou externes a l'entre-
prise - qui elaborera la solution avec les collaborateurs de l'entite.
Le ContrOle Interne est it ce titre une demarche de management des
risques amenant l'entreprise it se positionner sur:
• les structures de son organisation (sont-elles adaptees aux missions
poursuivies ?) ;
• les partages de responsabilites, et leurs frontieres precises entre les diffe-
rents acteurs et leurs objectifs respectifs (la production, la logistique, les
relations de consolidation entre les actions de mai'trises operationnelles
et celles de Contrale Interne de la hierarchie, l'audit et cette nouvelle
fonction de «coordination centrale », qui apparai't au cours de la
demarche et se construit peu a peu) ;
• la construction des systemes de contrale (procedures operationnelles,
hierarchiques, fonctionnelles de l'audit).
II s'agit bien ainsi d'un dispositif de « contrale permanent» au sens de
mai'trise, de pilotage. II s'agit bien aussi du contrale permanent « d'une
entreprise donnee », sachant que celui-ci est trop etroitement lie a sa
culture, a ses modes de representation des concepts de qualite et de
securite et a son mode de management pour etre exportable en I' etat
n'importe ou ailleurs.
Dne action de Contr6le Interne (au sens elargi de sfuete du bon fonction-
nement) s'assimile done completement aujourd'hui a une action de projet
d'entreprise, visant a changer sa culture, au moins sous cet angle. Ii se
trouve en consequence que c'est aussi souvent l'occasion de reajuster les
valeurs et done de reorienter, voire de reanimer la conscience profession-
nelle et la motivation, au profit d'une meilleure performance de l'entre-
prise et done d'une meilleure garantie de sa survie.
Enfin, on remarquera aussi que, bien souvent, les tentatives de reponses
qui sont proposees par des professionnels de I' analyse (et quelquefois,
mais pas toujours, aussi des specialistes de la gestion) des risques, ne pren-
nent en compte que les aspects techniques de cette discipline de « risk-
management ». Le piege est de finir par « faire de l'analyse de risques
pour en faire », un peu comme on a deja vu des cercles de qualite« toumer
en rond » en ne se preoccupant plus que de leur qualite de fonctionnement.
En tout cas, il en resulte la plupart du temps que ces solutions sont theori-
quement pures mais beaucoup trop intellectualisees, et surtout pas assez
« psychologiques » : quelle que soit, par exemple, la qualite d'un question-
naire, celui-ci restera toujours un «corps etranger» pour l'acteur de
l'entreprise s'il ne se l'est pas approprie. Or, il ne se l'appropriera pas tant
que pour lui il s'agira d'un travail « demande » par un « autre ».
Par ailleurs, une telle demarche apporte souvent des effets secondaires non
negligeables tels que la repercussion d'une valorisation du personnel au
travers de la valorisation de son outil de travail et done de ses resultats et
de I' interet de son emploi. Si I' on sait profiter de ce contexte pour favoriser
la qualite des relations tant interpersonnelles qu'interservices, par rico-
chet cela entra'ine souvent aussi des ameliorations indirectes sur la motiva-
tion et ses manifestations habituelles telles que l'absenteisme (au sens
large, y compris de « presenteisme inefficace ») et done vient de surcro'it
renforcer Ie retour d'investissement par un nouveau moteur d'accroisse-
ment des performances. Or, toute entreprise a aussi besoin d'un ciment
social solide pour lui assurer la coherence de ses actions (il y a par exemple
en effet interactivite permanente entre les strategies individuelles et celles
d'entreprise, ou negociation permanente entre Ie pouvoir et les contre-
pouvoirs, etc.)
Nous pouvons donc presenter Ie Controle Interne comme un facteur de
changement a quatre spirales auto-retroactives : culture, qualite de l'orga-
nisation, comportement individuel et de groupe.

Qualite de
I'organisation

Comportement Comportement
individuel de groupe

On se rend compte, en fait, qu'on ne change pas une culture, car celle-ci
« est» ce qu'elle est. En revanche, celle-ci change d'elle-meme si l'on sait
intervenir sur au moins un de ses composants. Le comportement de groupe
etant lui-meme une resultante du comportement individuel, on voit bien
qu'il ne reste plus guere de choix que d'intervenir :
• sur la qualite technique de I' organisation pour « amorcer » Ie processus,
• sur la personnalite individuelle, pour trouver l'energie de fonctionne-
ment de cette nouvelle organisation.
II se produit alors un effet de retroactivite qui s'alimente de lui-meme.
Autre constat: il n'y a en fait guere d'etat d'equilibre, et on est obligatoi-
rement soit dans un systeme de spirales positives, soit dans un systeme
negatif. Le degre de liberte est donc, de ce fait, malheureusement faible,
mais suffisant.
V.2 LES CONSIDERATIONS PSYCHOLOGIQUES UTILES
POUR LE TRAVAIL SUR LE TERRAIN

Cornme nous l'avons evoque precedernment, l'analyse des risques a l'aide

de la methode « MIRIS » consiste a mener des entretiens et a realiser des
seances dites de creativite pour identifier et hierarchiser les risques. Lors
de ce travail avec les operationnels, certaines considerations psycholo-
giques sont a prendre en compte I. En effet, l'analyse des risques se base
sur l'existence de scenarios de menaces pouvant porter atteinte a l'organi-
sation. Or, l'imagination et l'examen systematique de menaces de toutes
sortes (accident, erreurs graves, malveillances diverses) sont des activites
qui non seulement n'engendrent pas de bien-etre, mais generent plutot des
sentiments desagreables pouvant conduire au rejet meme de l'idee de
realiser un tel effort.
Dans la vie courante, les expressions populaires traduisent abondamment
ce sentiment et les artifices souvent inconscients pour y echapper sont
nombreux.
Ainsi, trois grandes categories d'attitudes peuvent etre signalees :
• Ie deter minis me : on fait reference au hasard, « a quoi bon, de toute
fa90n on ne peut rien faire contre l'imprevu» ;
• Ie syllogisme dans son sens pejoratif de raisonnement fonde sur un
certain irrealisme qui engendre une grande difficulte a accepter l'idee
qu'il faille analyser les circonstances les plus dramatiques. Par exemple,
penser qu'il est vrai et logique qu'un pMnomene donne n'arrivera pas
pour refuser de penser aux consequences dramatiques si cela arrivait
tout de meme ;
• les difficultes techniques telles que : la difficulte a chiffrer des conse-
quences qui ne semblent au depart que d'ordre qualitatif ou bien l'inca-
pacite a cerner I' opportunite de mettre en place des actions de maitrise
(approche avantages/inconvenients).

1. Cette partie a ete redigee sur la base des travaux menes par Guy Robin, cabinet Parme
Conseil.
Le hasard joue un role dans la materialisation des menaces, mais 1'homme
a aussi sa part de responsabilite. Nous considerons en effet que la tache
d'un operationnel en la matiere est de prevoir, y compris ce qui pourrait
etre aleatoire grace a une analyse des risques bien menee avec identifica-
tion, prise de conscience, hierarchisation et choix du niveau de maitrise
voulu (allant du risque totalement assume au risque totalement maitrise).
Pour resumer, Ie concept est de passer, lorsque cela est possible d'un
risque COUTU, car meconnu a un risque pris en toute connaissance de cause.
De plus, pour lever au mieux les reticences, on s' attachera au role de
l'homme dans son sens positif de correcteur d'anomalies et non avec un
sens negatif de recherche de «faute». II est donc indispensable de
marteler constamment Ie message que ce sont les situations qui sont jugees
et non les hommes pour dectramatiser les sentiments de gene pouvant
naitre ici ou la.

Dans une situation de refus inconscient, notre subconscient utilise bien des
subterfuges et notamment ce que nous appeions Ies faux raisonnements.
L' experience montre que ces « faux» raisonnements sont nombreux et
courants lors de la mise en place d'une demarche Controle Interne. En
temoigne, Ie florilege suivant des tactiques de resistances que nous avons
entendues:
• jusqu'a maintenant on a fait comme ceia et il ne s'est jamais rien passe
de grave,
• c'est impossible, cela n'arrivera pas chez nous,
• nous ne pouvons pas faire cela Ie cout en serait exorbitant,
• pourquoi chercher les situations les pires, les plus dramatiques alors
qu' elles n' arriveront j amais ?
• vous etes tordus, votre projet c'est de la sinistrose,
• mais nous avons deja un programme de securite,
• oui, mais maintenant nous sommes trop occupes, la securite n'est pas
notre priorite,
• rien de mal ne peut nous arriver,j'ai confiance en mon equipe,
• est-ce que quelqu'un d'autre l'a deja fait?,
• on ne peut rien faire de mieux que ce qui est deja fait,
• prudence avant tout, je vais retlechir (il est urgent d' attendre),
• ce n'est pas realiste,
• vous allez nous monter une usine a gaz, nous n'avons pas Ie temps,
• ce n'est pas a moi de Ie faire, ce n'est pas mon probleme,
• c'est si peu probable, cela n'arrive qu'une fois tous les dix ans,
• de toute fa<;on si une chose doit aller de travers, elle ira de travers,
• pourquoi se preoccuper de situations eventuelles alors que les problemes
quotidiens ne sont pas encore resolus (sous entendu, que fait Ie siege I),
• pourquoi imaginer Ie cas Ie plus catastrophique ? (Ie cas moyen suffrra
sfuement),
• oui, mais il ne faut pas faire de la paranoIa de la securite,
• jusqu'ici jamais rien de semblable n' est arrive,

II faudra donc s'appliquer a dejouer ces techniques de resistance en appor-

tant les arguments appropries. Ce n'est qu'a ce prix que les operationnels
adhereront a la demarche de Contrale Interne.

V.2.3. Les difficultes techniques

Le but de la demarche est de ne faire porter ses efforts de securite que

sur ce qui represente un enjeu relatif important (approche avantages/
inconvenients ).
Pour juger de l'importance relative d'un enjeu, il faut pouvoir"classer tous
les enjeux de risques plausibles les uns par rapport aux autres. Deux diffi-
cultes pratiques sont alors generalement rencontrees :
• difficulte de chiffrer ce qui n'apparalt que de l'ordre du qualitatif :
comment, par exemple, calculer l'impact financier indirect lie a une
perte de clientele consecutive a la degradation de l' image de l' entreprise
(exemples : maree noire pour les petroliers, listeria pour l'agroalimen-
taire et la grande distribution ... ) ?
• difficulte de cerner I' opportunite de mettre en reuvre des actions de
maitrise : une technique, qui n' est pas la seule, consiste a retenir un ordre
de grandeur volontairement exagere puis de faire evoluer l'ampleur des
actions de controle selon les resultats obtenus. Par exemple, on controle
arbitrairement 50 % des dossiers traites sur une tache presentant un
risque majeur et, en fonction du taux d'erreur constate, on decide, pour
Ie futur, de renforcer ou d'alleger ce point de controle. On peut egale-
ment me surer la charge de travail inherente au controle pour la rappro-
cher des gains obtenus suite au controle.

V.3 LE ROLE ET L'IMPLICATION DE LA DIRECTION GENERALE

L'objectif de cette partie est de presenter ce que pourraient etre les
objectifs assignes par une Direction Generale a un projet de Controle
Interne et la fa<;on dont ceux-ci s'integrent a la culture de l'entreprise
concemee.
Tous les grands projets de l'entreprise (la securite, la qualite, l'image ... )
ne relevent pas que de seuls facteurs organisationnels ou techniques, mais
necessitent aussi une culture appropriee d'entreprise.
C'est dans ce cadre que la Direction Generale de l'entreprise souhaite
concentrer ses efforts sur Ie renforcement de quatre engagements de
progres, quatre «E », exposes ci-apres, sur lesquels elle fonde sa poli-
tique et pour lesquels elle demande une implication importante de son
personnel.
Cette volonte ne traduit pas un constat d'insuffisance sur ces axes de
progres (ils font deja partie des valeurs fondamentales de I' entreprise),
mais plus simplement la necessite d'accentuer encore les efforts du groupe
sur ces quatre points, pour rester au niveau de qualite que l'entreprise
connait actuellement.
Ces quatre « E » sont :
• I'Esprit de solidarite,
• I'Efficacite,
• I'Ecoute ,
• I'Ethique.
E comme « Esprit de solidarite » :
• ameliorer nos methodes,
• augmenter les performances de chacun par I'apport de celles des autres,
• construire un glossaire general commun a tous nos metiers.
E comme « Efficacite » :
• restons vigilants sur la pertinence de ce que nous faisons chaque jour,
• ne nous laissons pas aveugler trop facilement par la routine,
• en quoi nos actions quotidiennes, notamment de contrale, sont-elles
utiles pour Ie metier qu'on exerce soi-meme ?
• l'inforn1ation que nous emettons est-elle utile et necessaire ?
• les equipements materiels et immateriels que nous mettons a disposition
des collaborateurs sont-ils adequats ?
• la formation qui est dispensee est-elle appropriee aux besoins ?
E comme « Ecoute » :
• soyons attentifs aux besoins de nos clients et de nos partenaires internes,
• mieux repondre aux be soins de nos « clients» internes et externes,
• adherer aux principes de la demarche « qualite »,
• appliquer concretement et reellement ces principes.
E comme « Ethique » :
• developpons une culture de rigueur,
• ayons une conscience precise de nos responsabilites,
• mieux detinir et mieux chiffi'er nos objectifs,
• mieux deleguer dans Ie cadre des principes d'un management partici-
patifpar objectif,
• apprendre a savoir appliquer une sanction, positive comme negative,
• mieux defmir nos responsabilites respectives, notamment lors de coha-
bitation de plusieurs projets presentant entre eux des intersections de
domaine,
• creer et tenir a jour des procedures ecrites claires.
Ces axes de progres concernent l' ensemble des fonctions, des metiers, des
unites et des projets de l'organisme. Ils doivent desormais faire l'objet
d'une application systematique au sein de l'entreprise. Avant chaque
action menee par une entite, celle-ci doit alors toujours se demander si et
comment son action repond aces quatre engagements.
Chaque projet de l'entreprise doit alors se definir dans ce cadre et montrer
sa capacite d'adequation a ces engagements.
La Direction Generale fait de ces quatre engagements une action de
progres prioritaire. L'evolution de la societe dependra alors de la force
avec laquelle chacun des acteurs y adherera. Cette evolution est une
donnee fondamentale de Ia competitivite du groupe, dans un environne-
ment europeen qui deviendra de plus en plus concurrentiel et agressif.
Dans ce cadre, la Direction Generale met en reuvre une mission de
« Contrale Interne» pour:
• renforcer Ia legitimite de la societe par la valeur de son service grace a
une meilleure maitrise de son fonctionnement,
• promouvoir une meilleure gouvernance en renfon;ant l' adequation des
rales et responsabilites,
• renforcer Ie service aux filiales, par exemple en les accompagnant dans
leur propre recherche de Contrale Interne,
• maitriser les equilibres financiers, en maitrisant les flux internes et
externes,
• anticiper et accompagner Ie changement, en favorisant I' evolution des
competences en gestion du risque et en apportant des elements de
reflexion ai' evolution des structures et de la culture manageriale (deve-
Ioppement de Ia Supervision, etc.).
Le principe essentiel de la demarche repose sur l'appropriation des
mesures preconisees par les collaborateurs charges de les mettre en
ceuvre au quotidien dans Ie cadre du « Controle Interne permanent ».
La methode appliquee est la meme pour les acteurs du projet de lancement
que pour ceux du controle permanent « de croisiere » : l' autosuggestion. II
convient donc de proposer une demarche construite et operationnelle qui
sera soumise, avant toute exploitation dans l'entreprise, a une modelisa-
tion destinee a la rendre la plus adequat possible a la culture et au contexte
de la societe.
En outre, en dehors de cette recherche d'adequation au plus pres des besoins
de l'entreprise, la phase de modelisation a pour objectif psychologique de
faire en sorte qu'elle devienne aussi celIe de ses promoteurs internes, meme
si parfois cette appropriation ne se traduit en fait que par quelques change-
ments de vocabulaire, sans remettre quoi que ce soit en cause sur Ie fonds.
Entin, apres cette phase de modelisation de la demarche pour l'adapter exac-
tement a l'entreprise, il est indispensable de la tester avant d'envisager son
a
exploitation grande echelle. Le modele sera donc mis en ceuvre sur un site
pilote, en prevenant bien l' ensemble des collaborateurs associes a ce test
qu'il ne s'agit que d'une experience de validation. En revanche, pour ne pas
lui conferer un caractere restrictif, on mettra en exergue cette experience en
valorisant Ie choix de ceux qui auront ete reconnus les plus aptes ala realiser.
Ainsi, pour la reussite du projet, son responsable a decide pour Ie bon
fonctionnement de la mise en place du dispositif de controle permanent de
decouper Ie projet en differentes phases et de mettre en place des outils et
des structures de suivi ad hoc (Comite de pilotage et Groupe projet).
La mise en ceuvre d'un projet de ContrOle Interne doit donc etre geree
comme un veritable projet, en plusieurs phases qui peuvent etre differentes
d'une entreprise a l'autre mais qui suivent Ie modele suivanten trois etapes :
• la redaction d'un dossier de lancement qui recapitule l'ensemble des para-
metres du projet,
• la phase d' analyse de l' existant et de realisation des nouveaux outils
permettant aux responsables de maitriser leur fonctionnement,
• la phase de mise en ceuvre operationnelle du dispositif de Controle Interne.
V.4.1 La phase de lancement du projet de Controle Interne

Cette phase de lancement est importante car elle conditionne Ie positionne-

ment du projet dans l'entreprise. Le dossier de lancement du projet reprend
les elements suivants :
• Ie contexte, Ie champ et les objectifs assignes au projet,
• les modalites de fonctionnement : methode, intervenants, planning,
• les modalites de suivi du projet,
• les facteurs cles de succes.

Le contexte dans lequel s'inscrit Ie projet est fondamental car il indique it

l'ensemble des acteurs les raisons de la mise en place d'un tel projet. La
situation la plus ideale pour I' equipe projet est de faire integrer ce projet dans
un axe de developpement strategique pour I' entreprise. Cela peut notam-
ment etre Ie cas lorsque une strategie de developpement repose sur une
diversification des activites ou sur des contraintes dues it I'environnement.
En effet, ces deux parametres peuvent peser sur la necessite pour I' entreprise
de renforcer Ie niveau de maltrise de son activite.
Le champ du projet doit ensuite etre precise afin de clarifier les entites de
I'entreprise qui seront concemees par la mise en reuvre du projet. A notre
sens, la mise en place d'un dispositif de maltrise des risques doit in fine
concemer toute I' entreprise mais dans Ie cas de structures complexes, Ie
deploiement peut etre neanmoins graduel.
Les objectifs du projet sont bien evidemment Ie point central du dossier de
lancement. En ce qui conceme notre projet, ils ont ete recentres autour de
trois axes principaux :
• la phase d'analyse de I'existant qui a pour but de faire un diagnostic de la
situation lors du lancement du projet,
• la phase de realisation dont I' objectif est de construire les nouveaux outils
de maltrise des risques,
• la phase de mise en reuvre operationnelle du dispositif.
Dans un premier temps, il est indispensable de definir les membres du projet
ainsi que leurs missions respectives. Notre projet reposait sur une solution
relativement legere declinee a deux niveaux :
• une equipe projet permanente sous l'autorite d'un responsable intervenant
selon une methode de travail et un planning definis prealablement ;
• un coordinateur local dans chaque entite intervenant avant et pendant la
mission pour faciliter la tache de l'equipe projet et apres Ie projet pour
assurer la perennite du dispositif de Contr6le Interne.
La methode de travail retenue par l'equipe projet implique la realisation d'un
planning qu'il convient de suivre scrupuleusement afin d'eviter les dera-
pages facteurs de demotivation et de surcout. Ce planning a ete realise en
deux temps selon la methodologie decrite ci-apres.
Un premier macro planning a ete presente de la fa90n suivante (les lignes
remplies sont des extraits donnes a titre illustratif) :

Liste Quand
Qui est
Phases des taches seront
charge Resultat attendu
du projet de chaque realisees
des taches
phase les taches
Analyse Prise de Equipe projetl Semaine Collecte de toutes les informations
de connaissance responsables 40/41 disponibles sur les activites.
I'existant des activites a concemes Designation des coordinateurs locaux.
metlresous Definir les atlentes des responsables
contrale concemes.
Analyse Recensement Equipe projetl Semaine Collecte des procedures.
de des proce- responsables 41/42 Analyse critique.
I'existant dures concernes. Premieres analyses des risques
existantes associes aux activites concernees.

Dans un second temps mais en parallele, ce macro planning a ete recale par
rapport a la charge de travail de l'equipe projet et des autres intervenants
afin d'aboutir a
une presentation de ce type pour chaque phase:
 Taches Intervenants Semaine 40 Semaine 41 Semaine42 ...
Prise de connaissance Equipe projet A 2 jours 1 jour
des activites a mettre Equipe projet B 1 jour 1 jour
sous contrale Responsable C 0,5 jour 0,5 jour
Recensement des proce- Equipe projet A 1 jour 1 jour
dures existantes Equipe projet B 1 jour 1 jour
Responsable C 0,5 jour 1 jour
Total phase analyse 3,5 5 3
existant
...

Ce planning previsionnel a ete valide par l' ensemble des acteurs ce qui a
permis de delimiter dans Ie temps la mission et d'evaluer 1a charge de
travail de chacun.

Le projet a fait l'objet d'un suivi utilisant l'organisation classique dotee

d'un comite de projet et d'un comite de pilotage charges de statuer sur des
points cles selon les remontees du comite de projet.
De plus, afin de faciliter Ie travail du comite de pilotage, des fiches de suivi
de l'etat d'avancement du projet ont ete systematiquement elaborees dans
Ie but de suivre l'avancee des travaux et de pouvoir identifier et justifier
les eventuels derapages.

Etape du projet :
Date Point Difficultes Actions a
Taches Date prevue
realisation d'avancement rencontrees entre prendre
Le succes du projet repose tant sur la methode decrite precedemment que
sur la communication qui est faite autour du projet ceci dans Ie but de
gagner l'adhesion et la collaboration de tous les acteurs.
Ainsi, une strategie de communication interne a ete elaboree et declinee en
deux volets :
• une lettre de mission signee de la Direction Generale et adressee it
l'ensemble des responsables afin de rappeler les objectifs et de presenter
l'equipe projet. Cette note etait accompagnee d'un dossier de presenta-
tion du projet et de la demarche adoptee;
• une communication plus «pedagogique» it destination de l'ensemble
des salaries par Ie biais d'articles reguliers sur l'evolution du projet dans
Ie journal d'information interne.
Le fait d' avoir obtenu I' appui de la Direction Generale a ete certainement
un element determinant ayant contribue it obtenir l'adhesion de tous pour
une totale reussite de ce projet.

V.4.2 La phase d'analyse de I'existant et de realisation

des nouveaux outils

Cette phase comporte elle-meme plusieurs etapes qui sont decrites

ci-dessous. L'analyse des activites it partir des procedures et des entre-
tiens ainsi que l'utilisation de la methode MIRIS ont permis d'identifier
les risques des differentes activites et d'aboutir it une cartographie de
l'ensemble des risques et plus particulierement des risques majeurs. Ces
risques sont ensuite mis en adequation avec l' echelle des responsabilites
selon les principes memes de la methode MIRIS. L'objectif final etant
d'aboutir it la mise en place d'un plan d'action permettant une meilleure
maltrise des risques.
Lors de cette phase, deux outils principaux sont developpes :
• la cartographie des risques : identification des risques majeurs de
l'entreprise puis representation graphique de la vulnerabilite de l'entite
 analysee. La cartographie est obtenue a partir de la reponse des opera-
tionnels aux questionnaires d'analyse des risques ;
• Ie plan d'action : cadre general du plan destine a ameliorer la vulnera-
bilite aux risques ainsi identifies.

Phase d'analyse de I'existant et de realisation des outils 1

Cartographie
generale
des risques majeurs
Cartographie
des risques

D Analyse detaillee
des risques au niveau
operalionnel

D
Mise en adequation
de I'echelle des risques
avec I'echelle
des responsabilites

t1

Analyse
Cartographie
Realisation Mise en
des risques csuvre
Conduile
des projets Documentation
Objectif
techniques des nouveaux
correspond ant Mise en ceuvre
ou/i/s
au plan quo/idienne
~ d'action du nouveau
Plan d'aclion dispositif
de /ravail
~
~
Nouveaux
outils
Formation
du personnel
al'emploi
des nouveaux
outi/s
+
En/retien
regulier
de ce disposi/if

ulterieurement
V.4.3 La phase de mise en oouvre operationnelle du dispositif
de Contrale Interne

La phase de mise en reuvre operationnelle du dispositif necessite de docu-

menter les nouveaux outils en redigeant des modes d'emploi puis de
mettre en place pour les operationnels des sessions de formation a l'utili-
sation des outils. Le premier objectif a atteindre est donc la mise en reuvre
au quotidien de ce nouveau dispositif.
Nous allons nous focaliser maintenant sur l' organisation mise en place
pour assurer les sessions de formation des operationnels a partir de
l'exemple d'une mise en reuvre dans des unites operationnelles (appelees
egalement sections). Pour chaque section, un programme de travail stan-
dard d'une duree de cinq jours a ete elabore et se presente comme suit.
Ce programme de travail comprend quatre temps forts :
• la visite de la section et la presentation de la demarche a I' ensemble du
personnel par les deux intervenants du Siege. Ce dernier aspect est
fondamental pour faire adherer les salaries au projet. II consiste plus
precisement a rappeler des elements de contexte et les concepts de base
en matiere de Controle Interne (risque, probabilite ... ), a mentionner
l'etat d'avancement de la mise en reuvre ainsi que les differents outils
existants et, enfin, a evoquer Ie planning de travail de la semaine ;
• les deux jours suivants sont consacres a des exercices de creativite avec
Ie personnel en charge desdites activites (par exemples, liquidation,
cheques vacances ... ). Ces exercices ont pour objectif de faire decouvrir
par Ie personnelles risques majeurs inherents aces activites / ainsi que
les parades a mettre en place en utilisant la methodologie MIRIS.
L'objectif n'est donc pas ici de balayer tous les risques mais plutot de
sensibiliser Ie personnel a la necessaire maitrise des risques ;
• les trois demi-journees suivantes sont consacrees a l'examen des ques-
tionnaires de Controle Interne avec l' equipe de Direction afm de mettre
en lumiere l'ensemble des risques et de dresser la cartographie speci-
fique de la section;
 Mise en place
Participants Participants
du Objet
souhaites retenus
Controle Interne
Lundi
10 h 30 - 12 h 00 Visite de la Section et presenta- Toute la Section ....................
tion de la demarche au Equipe de Direction
personnel et salaries ....................
Exercices de creativite
13 h 30 - 15 h 30 Liquidation + Contrale Liquida- Equipe de Direction ....................
tion + + salarie(s)
15 h 30 - 17 h 00 Archivage et RCT charge(s) des acti- ........... ........
,

vites concernees.
Mardi Exercices de creativite (suite)
8 h 30 - 10 h 30 Cheques Vacances, Aide Idem ....................
Menagere
10 h 30 - 12 h 00 Fichier I Contrale Fichier
13 h 30 - 15 h 00 Comptabilite + Paie Idem ....................
15 h 00 - 17 h 00 Courrier + Accueil + Secretariat ....................
Mercredi Exercices de creativite
fin
8 h 30 - 10 h 30 Telecollecte + FSE + Noemie Idem ..... ,..............
10 h 30 - 12 h 00 Reclamations + Partenariats ....................
Analyse des questionnaires
de Controle Interne:
13 h 30 - 17 h 00 Questionnaires de Management Equipe de Direction ....................
Jeudi Analyse des questionnaires
de Controle Interne:
8 h 30 - 17 h 00 Questionnaires Metiers Equipe de Direction ....................
Vendredi Restitution et presentation ....................
Debut d'apres-midi des outils et des resultats Equipe de Direction
obtenus ....................

• la derniere journee sert Ie matin aux intervenants a fmaliser les docu-

ments laisses a la section (cartographie et plan d'actions) et l'apres-midi
a realiser un debriefing puis a presenter les outils qui permettront a la
section d'entretenir regulierement son dispositif de Contr6le Interne.

Une fois que Ie premier objectif de mise en reuvre au quotidien du

dispositif a ete atteint, l'objectif suivant est de creer les conditions
d'un entretien regulier de celui-ci par la mise en place d'un observa-
toire des risques - ef. Proposition d'un modele d'organisation du
Contrale Interne IV.I.
D'une fac;on generale, eet observatoire servira a alimenter la base de
eonnaissanee « Contrale Interne» pour faire passer Ie niveau de maltrise
du ContrOle Interne du statut de « quotidien » au statut de « permanent»
dans Ie sens ou Ie Contra Ie Interne suit effeetivement l'evolution des aeti-
vites et done, des risques assoeies (ehangement d' organisation par
exemple). L'observatoire est done charge de gerer et de faire evoluer la
base de eonnaissanee « Contrale Interne» des risques de I' entreprise, en
eoneertation avec tous les aeteurs.

Facteurs cles de succes dans la mise en muvre

d'un projet de Controle Interne

Pour vraiment apprecier I'interet de cette demarche, rien ne vaut une experience reussie dans
un domaine d'activite pilote. En effet, rien ne remplace une mesure en grandeur reelle, meme
limitee, qui est toujours plus parlante qu'un long discours, meme parfaitement bien construit.
La demarche de Contr61e Interne appliquee dans I'entreprise a permis de :

• Comprendre I'expression Contr61e Interne permanent au sens de maltrise ou pilotage

permanent de I'entreprise. II ne s'agit pas seulement d'un projet d'entreprise, aux effets
limites dans Ie temps, mais d'un retour d'investissement permanent pour une mise de fonds
unique;
• Reconnaitre qu'une demarche methodologique est plus efficace qu'une approche heuristique :

- se mefier des subtilites du metier et eviter les pieges traditionnels (exemple : confondre
l'Audit Interne et Ie Contr61e Interne, ou encore penser avoir resolu Ie probleme par la
designation d'un responsable) ;

- ne pas se contenter d'une accumulation de moyens sur les risques les plus apparents ;

- ne pas croire aux solutions qui « resolvent une fois pour toutes les problemes » ;

- se mefier des automatismes, car ils ont un effet pervers de « deresponsabilisation » (ils
ont facilement tendance a abuser de notre « non-mefiance » et leur fonctionnement peut
deriver, sans qu'on s'en aperyoive, par erreur, maladresse ou accident, voire par
malveillance).

• Admettre qu'il faut a tout prix constamment deculpabiliser pour pouvoir changer, car on ne
s'interesse qu'a « ce qui va mal» (cela ne sert a rien de changer ce « qui marche bien »).
II faut donc veiller attentivement aux susceptibilites qui viendraient polluer Ie benefice des
efforts.
• Reconnaitre qu'un changement de culture accompagne toujours inevitablement un change-
ment d'organisation touchant aux systemes de valeurs (ici la conscience des risques).
• Faire admettre qu'une nouvelle repartition des responsabilites entre les acteurs du metier
de I'entreprise et les techniciens de la logistique (en general) est indispensable et ne porte
au contraire aucun prejudice au vrai pouvoir des uns ou des autres (attention a ne pas
inquieter les strategies personnelles : elles doivent etre gerees, mais aussi elles constituent
un reservoir d'energie pour conserver Ie dynamisme de I'entreprise).

• Ne plus chercher a perfectionner les outils, mais plutot leur usage (tout serait tellement si
simple, s'il n'y avait que des problemes techniques).
• Savoir qu'un simple transfert (Ie caractere autopropageable du changemenl est Quant a lui
plus discutable) d'un nouveau savoir-faire ala portee de chacun des acteurs est beaucoup
plus profitable qu'une operation de grande envergure (souvent reservee a I'elile de I'enca-
drement, ou au moins souvent Ires diluee lorsqu'elle parvient jusqu'aux couches terminales
a
de I'organisation). Bien qu'i1 s'agisse d'un projet I'echelle de I'enlreprise, par Ie volume
de personnel concerne, iI s'agit bien de faire la difference entre « une grande action de
reforme », et ce qui est propose ici sous la forme d'une penetration lente mais totale condui-
sanl a une accumulalion de petits gains a I'echelle individuelle (mais dont finalement la
somme est souvent plus riche qu'un vaste projet habituel).

• Profiter de la force d'adhesion de I'autosuggestion et d'une reelle participation (consolidee

par la hierarchie) : savoir profiter de I'intelligence operationnelle de I'entreprise en la valori-
sant et en sachant exploiler ce qu'elle apporte d'homogene et de compatible avec la stra-
tegie globale.

• Savoir s'appuyer sur une structure a

la fois fonctionnelle (comites de pilotage et de mise en
CBuvre = legislatif + executiD et operationnelle (coordinaleur central et relais locaux) : un
moteur sans courroie de transmission ne sert rien.a
• Apprendre a transformer les coOts de securite (au sens large), souvent desordonnes, en
investissements calcules apportant un retour quantitatif, lie directement aux performances
de I'entreprise dans son propre metier (et par ailleurs : ne pas confondre les moyens, qui
sont sou vent des objectifs intermediaires, mais dont on oublie facilement leur caractere
Iransitoire, et les vrais objectifs).

• Savoir aborder ses collaborateurs dans une me me communication a

la fois rationnelle et
emotionnelle formant un tout indissociable, amalgamant en me me temps leur personnalite
propre, la culture de leur metier et celie de leur entreprise : savoir conduire du meme coup
« un seul et me me changement » dans les moyens elles methodes de travail et dans les
esprits, I'un par I'autre de fac;;on totalement interactive (donc surtout ne pas agir en disso-
ciant les actions de « sensibilisation}) el celles « d'organisation}) ou celles
« d'equipement }»).

• Profiler de la modularite de cette demarche pour limiter au strict minimum les· risques de
decision a la fois financiers et de crMibilite.
V.5 IllUSTRATION DE lA MISE EN CEUVRE
DU CONTROlE INTERNE AU FACTEUR MANAGEMENT
Nous avons vu dans Ie chapitre II consacre a la presentation de la methode
d'analyse des risques dites Miris que la maitrise du facteur Management
repose en grande partie sur la formalisation de la gestion des responsabi-
lites des acteurs operationnels et hierarchiques au sein de l'organisation.
Nous allons done illustrer notre propos theorique en deerivant deux outils
pratiques pennettant d'y parvenir : I'organigramme et la fiche de poste. Pour
completer cette illustration, nous terminerons par la presentation de fiches de
mesures des temps pouvant etre utili sees pour optimiser une organisation.

V.5.1 la construction d'un organigramme

~ Rappels des concepts methodo/ogiques

• par definition Ie professionnalisme, dans un domaine donne, se

distingue de I' amateurisme par la valeur d' expert du professionnel.
C'est ainsi qu'en general on ne confie pas d'activite professionnelle a un
monde d' amateurs;
• l' expertise suppose la specialisation (on ne peut pas etre expert en tout:
Ie «specialiste en tout» est une utopie) et represente donc ce qu'on
pourrait appeler une certaine forme de monovalence dans Ie ou les
domaines ou on est expert ;
• la polyvalence exprime la capacite d'expertise en differents domaines.
On ne peut donc etre polyvalent en tout (ce serait de la multi polyva-
lence : « 1'oiseau rare », « 1'homme-orchestre »).
Nous rappelons egalement l'analyse de base des activites d'un hierarchique
issue de la methode MIRIS qui opere une separation a deux niveaux:
• ce qu'il fait lui-meme en tant que manager : concept ODEFIACA
(Organiser, Deleguer, Equiper, Former, Informer, Animer, Controler et
Assumer) 1 ;
• et ce qu'il fait lui-meme comme acteur operationnel : concept RICA
(Realiser, Informer, Controler, Assumer).
Le concept d'ODEFIACA s'applique au role du manager sur les activites
qu'il a deleguees et se traduit plus precisement par les actes suivants :

Les activites d'un Manager

(ODEFIACA - Organiser, Deleguer, Equiper, Former,
Informer, Animer, Controler et Assumer)

,
, ,,
,, ,,
,, ,

Ce qu'il fait lui-meme

:, ,--------, '
\
Ce qu'il fait lui-meme ! Ce qu'i1 fait faire \
en tant que manager en tant qu'acteur : (qu'i1 ne fait pas lui·m~mej \
(sur les activit~s qu'il a deleguees) (expert, ou participant I
, L- --'
,
,
aux taches op6rationnelles) , :
:, Activites ,:
Activites de Activites ~, deltaguees ,:
Management operationnelles \ (sur lesquelles porte :
(propres) (specifiquesj " son ODEFIACA) "
,, ' '
,, ''
,, '
, ,, ''
''
...•• ... ....•
••.•.. _--_ ..

Activites propres = Prevenir, detecler,

SUPERVISER : reduire, relablir, etc.
Tableaux de bord + ... (cf. plus loin)
Audit hierarchique

Le concept RICA s'applique lui aux activites operationnelles du

Manager.

Actions Commentaires
R Realiser « Faire }) ce qu'on lui demande de faire (activites deleguees).
I Informer Rendre compte de ce qu'il a fait (comment, combien, etc.) et de ce qu'il n'a pas
fait (combien, pourquoi, etc.) et aviser systematiquement sa hierarchie de tout
cas douteux.
C Controler Auto-contrale par I'operationnel des taches deleguees (verifier que ce qu'il a
fait, est bien fait tel qu'ille devait Ie faire conformement aux procedures).
A Assumer Savoir assumer « ses }) responsabilites en signant ses propres actes.
 Cas pratique

Cet exemple fictif est presente en deux parties:

• La representation des responsabilites hierarchiques au sein d'une entite (concept
ODEFIACA).
• Le tableau de repartition des taches au sein d'une entite. Exemple d'application de repre-
sentation des responsabilites hierarchiques au sein d'une entite.

Exemple d'application de representation

des responsabilites hierarchiques au sein d'une entite

IConventionnemenl II Partenanats ~ __ ~IITELECOLLECTE

IpCI
!Paie
IIRCT
========11
~---IINOEMIE
FSE- sv
=====:
I I Courrier
=====:
ILiquidation II Archivage
IContr61eLiquidationI :=1
R=eci=am==ati='on===:
I GDRI URCAM II PlateformeSante

Ce premier tableau presente la repartition des responsabilites de Manager

(c'esH\-dire l'ODEFIACA) entre les deux managers de cette structure que
sont Ie Directeur et son adjoint. On peut egalement constater que Ie Direc-
teur est operationnel (RICA) sur trois activites (Conventionnement, PCI et
paie) et que son adjoint est operationnel sur l'activite « budget global».
Le second tableau ci-apres propose la repartition des taches operation-
nelles entre tous les acteurs :
• Le R pour la responsabilite hierarchique.
• Le T pour indiquer les salaries titulaires des postes au quotidien.
• Le P pour indiquer les salaries qui interviennent en polyvalence.
 SALARltS

Tlichc$ DirccteurX AdjointY Salarie I Salarie2 Salarie3 Salari64 Salarie S Salarie6 Salaric7

St:erelarisl .)1,.•. T P
Accueil R T T T
eoum" R T T T T T T T

Fichier R T T P
Liquidation R T T

Telecollectc R T T
PSE-SV R T T
Notmic R T T
C.'mes R T
Budget global R T
Conlr6lc liquidalion R p
Contr61c lichicr R
Cheques·vacmccs R T P
Aide.m61agere R T P

Parrenarials R T
Reclamations .;)1" T T T T T 'r
RCX. )I, T

C.omptabilile R P T

Paie R I p T
Archivage R P
Action FCdCrdle R
Conventionnemcnt RI p T
GDRtURCAM j(
PCI R''1 P T
Plate·fomlC :R T
Centre de SCfVice5 R T
Ugeodc

Rpowlrodiqv<r /.~. d< rD<IiviN~"""""Q

I
hICr=Ioiqv<

T pour indiquer res sa/arir.s liluloirrs ties pcnln (f'mploi'"," (lJI quoliJkn)
P JJf.lfIr indiqucr /cs SQlaric.fpolywJent.f (activUe exerccc (}(.'(:asionnellcm/.'1ItclInUflpfacemcnt au tllulairc)

Ce tableau a double entree presente I'avantage d'une double lecture: en lignes, Ie qui fait
quoi pour chaque tache (par exemples, secretariat, accueil. ..) et en colonnes, les attributions
precises de chaque salarie.
Remarques : ces deux tableaux doivent bien entendu etre remis a jour a chaque changement
d'organisation. Les abreviations suivantes specifiques au domaine de I'Assurance Maladie ont
ete utilisees : FSE-SV : Feuilles de soins electroniques ; RCT : recours contre tiers; GDRI
URCAM : gestion du risque, relations avec les URCAM ; PCI : plan de Contra Ie Interne.

La necessite d'une formalisation des postes est une preconisation recur-

rente en matiere de Contrale Interne car il est difficile d'analyser
les risques d'une organisation et d'apprehender la qualite de son
fonctionnement au travers de pratiques relevant d'usages transmis orale-
ment et qui n' ont pas ete formalises par ecrit.
Ce manque de referentiel opposable et l'imprecision des instructions favo-
risent les interpretations personnelles et peuvent conduire, Ie cas echeant,
a des actions tres differentes et non homogenes de la part d' operationnels
charges de realiser des taches a priori identiques.
De ce point de vue, cette situation presente donc des risques incompatibles
avec l'objectif de conformite aux procedures internes assigne au dispositif
de ContrOle Interne.
En termes methodologiques, il ne faut pas confondre deux elements:
• la fiche de poste centree sur les activites reellement exercees par chaque
salarie et qui donc evolue au meme rythme que l' organisation adoptee;
• la fiche metier dont l' objectif est de decrire d'un point de vue globalles
taches du metier concerne et qui a vocation a etre stable dans Ie temps.

Dans ce premier exemple, la fiche de poste est decomposee en trois parties :

• L'identification du poste : operationnel concerne, nature de l'emploi
principal (tenu au quotidien) et nature de l'activite ou du metier exerce
dans Ie cadre de la polyvalence (activite exercee occasionnellement en
remplacement de l'agent titulaire de cette activite).
• Le descriptif de l'activite correspondante it l'emploi principal: nature
de l'activite, etapes principales et description des taches realisees.
Lorsque l'agent est responsable de plusieurs activites au quotidien, Ie
tableau comportera plusieurs paragraphes separes.
• L'analyse des missions pratiquees dans Ie cadre de la polyvalence occa-
sionnelle : nature de l' activite, etapes principales et description des
taches pour l'activite ou pour les activites realisees en polyvalence.
Cela donne par exemple Ie resultat suivant pour un salarie dont l'emploi
principal est liquidateur et qui exerce une activite de courrier dans Ie cadre
d'une polyvalence:
AJ IDENTIFICATION DU POSTE
Nom et prenom de I'agent : X

Nature de I'emploi principal (tenu au quotidien) : Liquidateur

Activite(s) supplementaire(s) exercee(s) dans Ie cadre de la polyvalence (precisez ici

uniquement Ie metier ou I'activite) : Courrier

BI DESCRIPTION DES MISSIONS EXERCEES POUR L'EMPLOI PRINCIPAL

Activite ou metier 1 : Etapes principales Description des taches realisees :
de I'activite :
Liquidation Reception des >- Cachet courrier arrive avec folioteur
dossiers eventuel.
>- Agrafage de I'ensemble du dossier.
Liquidation Etude de recevabilite >- Verification conformite feuille de soins.
et saisie des dossiers >- Verification zones obligatoires.
>- Verification signature assure.
>- Verification signatures executant de I'acte
(execution et paiement).
>- Preparation des correspondances.
>- Saisie des elements figurant sur les docu-
ments (OPTIMUT 2).
CI DESCRIPTION DES MISSIONS EXERCEES DANS LE CADRE DE LA POLYVALENCE
Activite ou metier 1 : Etapes principales Description des taches realisees :
de I'activite :
Courrier Courrier Arrivee >- Ouverture du sac postal, des recommandes,
du courrier arrivee a I'accueil y compris Ie Chro-
nopost du mercredi.
>- Compostage et verification.
>- Tri et ventilation par activites et services.
>- Comptage.
>- Enregistrement des cheques et recom-
mandes.

Cette fiche doit faire I'objet d'une signature conjointe du responsable hierarchique et du salarie.
On trouvera ci-dessous une variante de presentation de la fiche de poste. Deux concepts de clas-
sement des activites ont ete utilises :
• la polyvalence de metier pour les deux activites exercees au quotidien en polyvalence (aide-
menagere et fichier),
• la polyvalence dite « de circonstance» pour les remplacements occasionnels (Courrier,
cheques vacances et teletransmission).

NOM:X
--
PRENOM: Y
SERVICE:

Polyvalence de metier: fonction Aide-menagere :

• ENREGISTRER les demandes.
• INSTRUIRE les demandes.
• SAISIR les demandes dans I'outil.
• RECEPTIONNER, TRIER, ENVOYER, CLASSER les notifications.
• SAISIR les bordereaux de facturation dans I'outil.
• CLASSER, ARCHIVER les bordereaux de facturation.
Polyvalence de metier: fonction fichier :
• TRIER, COMPTER, CLASSER les pieces re~ues.
• SAISIR dans I'outil toutes les pieces re~ues.
• ETUDIER les dossiers.
• RENVOYER par Ie biais de nombreux courriers les dossiers.
• REPONDRE au courrier, au telephone aux assures.
• CONSULTER les procedures pour les cas particulier~ ou difficiles.
Polyvalence de circonstance :
Fonction Courrier :
• OUVRIR, TRIER, REPARTIR par services.
Fonction Cheques Vacances :
• REPARTIR les cheques vacances a I'arrivee par dossier.
• POINTER Ie bordereau.
• CLASSER les dossiers.
• SAISIR des dossiers deja instruits.
Fonction teletransmission :
• CONSULTER, VALIDER, dans « Reflets » les lots degrades.
• CLASSER les lots degrades.
Le titulaire du poste, nom et signature
Le responsable hierarchique, nom et signature
Les definitions du Contrale Interne qu' elles soient proposees par I'IF ACI
ou par Ie COSO mentionnent l'atteinte d'objectifs en matiere d'efficacite
et d'optimisation des operations. Un des moyens d'y parvenir, et notam-
ment dans des activites administratives de production, est d'instituer des
mesures de temps de realisation.
La mesure des temps est cependant un outil deli cat a mettre en ceuvre
(pour des raisons psychologiques il peut etre assimile a «du flicage»)
mais qui presente generalement d'indeniables avantages :
• il permet de mesurer de maniere precise et objective la charge de travail
d'une entite, soit de maniere ponctuelle, pour en mesurer l'evolution,
soit de fayon permanente, si ce1a s'avere indispensable (calculer des
factures clients par exemple) ;
• il favorise l'evaluation precise des couts de fonctionnements des entites
et/ou taches mesurees ;
• il sert d'auto-diagnostic pour l'operationnel et pour Ie manager (projet
de reorganisation par exemple).
Le modele de fiche de mesures se decompose en deux parties:
• Ie document intitule « mesure des temps ... » est a utiliser par chaque agent.
Les heures de debut et de fin sont a mentionner pour chaque operation en
indiquant une croix dans la colonne concernee. Par exemple, pour une mise
a jour de carte Vitale : renseigner 08 h 00 et 08 h 05 dans les colonnes
heure debut et heure fm et mettre un X dans la colonne mises a jour de carte
Vitale. L' operation sera repetee sur une nouvelle ligne pour une autre mise
a jour. Afin de simplifier Ie temps cons acre a la mesure, il est aussi possible
de regrouper des taches recurrentes en notant dans la colonne concernee Ie
volume correspondant au temps passe (par exemple en creant une colonne :
paquet de 30 feuilles en liquidation). Par ailleurs, une colonne «divers»
est prevue pour renseigner des taches vraiment exceptionnelles qui devront
faire l'objet d'une explication complementaire ;
• Ie second document intitule« statistiques generales mensuelles ... »sert de
synthese a I' equipe de Direction. Cette synthese peut etre construite, en
fonction de l'objectifrecherche, soit agent par agent soit pour l'ensemble
des employes. Le but est de recapituler sur une periode donnee et pour
 chaque tache d'une activite Ie nombre et Ie temps passe. La case temps
passe en Supervision permet d'identifier Ie temps passe par Ia hierarchie
sur Ie traitement et l'analyse de la mesure ainsi que sur Ia Supervision de
terrain.

Nom de I'agent : Mesure des temps de I'activite FICHIER Date:

Mettre une croix et/ou volume dans la
colonne concernee
Heure Heure CAR: BUD: An: PEC: CUR: Divers
de debut de fin Mise ajour budget atlesta- prise en prise en avec
de carte global tion carte charge charge commen-
vitale vitale cures taire
EXEMPLES
8 hOD 8 h 05 X:1
8 h 05 8 h 20 X: 10
Etc.

Modele de fiche de mesures des temps de I'activite fichier (seconde partie)

Synthese men sue lie des mesures de temps operationnels de I'activite

FICHIER
CAR BUD An PEC CUR
Mise a jour carte viI. Budget global Attestations Prises en charge Prises en charge de cures
nambre temps nombre temps nombre temps nombre temps nombre temps
II II II II II

IDIVERS
I

Statistiques generales men sue lies des mesures portant sur I'activite
FICHIER
Date de debut Date de fin Temps passe Temps passe en mise a Temps passe en infonnation
de periode de periode en supervision jour de la documentation des agents de fichier
 QUESTIONNAIRES, REFERENTIELS
DE RISQUES ET BONNES PRATIQUES,
MODES OPERATOIRES

Un rHerentiel de Contr6le Interne est l'ensemble des informations qui

va permettre d'encadrer la demarche de ContrOle Interne. Ce referen-
tiel est generalement alimente par :

• l'ensemble des procedures et notes relative a une organisation,

• la definition des objectifs de I' organisation, les risques y afferent, les
consequences associees et les points de contr6le destines a prevenir
etlou a circonscrire ces risques.

Theoriquement, Ie referentiel est tenu a jour par les « operationnels ».

Afin de vous assister dans la redaction d'un referentiel de Contr6le

Interne, plusieurs exemples, developpes soit par CBA management, soit
par les auteurs, sont presentes ci-dessous dans les domaines suivants :

• Ie processus Achats avec ses risques et ses bonnes pratiques,

• Ie processus Management avec ses points de contr6le,

• Ie processus Tresorerie avec des exemples de points de contr6le, risques

et bonnes pratiques,

• Ie processus Publication et Remontees des Informations Comptables et

Financieres avec des exemples de points de contr6le, risques et bonnes
pratiques,

• Ie processus Ressources Humaines avec des exemples de points de

contr6le, risques et bonnes pratiques,
• Ie processus Systemes d'Information avec des exemples de points de
contr6le, risques et bonnes pratiques,
• Ie processus Hygiene & Securite au travail : procedure / modes
operatoires.
Un referentiel d'audit de la fraude est egalement propose.

a Des delegations d'autorisations d'engagements de depenses sont-

eUes mises en place au sein de la societe?
a Des delegations de pouvoirs en place pour engager des depenses
sont-eUes mises en place au sein de la societe?

Risques : processus d'autorisation et de contr6le non mis en place dans la

societe.
Les depenses de la societe sont effectuees par des personnes non autorisees.

Les depenses ne peuvent etre contr6lees dli point de vue financier.

Bonnes Pratiques suggerees : une autorisation d'engagements de depenses
est emise avec une delegation interne de pouvoirs autorisant les delegataires
a emettre un besoin et a proposer I'achat de biens ou de services.
La proposition d'engagement des depenses doit etre incorporee dans Ie
cadre du budget autorise.

L'engagement des depenses eSt effectue par delegations externes de

pouvoir autorisant ceux qui en beneficient a engager des fonds au nom de
la societe, a signer les bons de commandes et les contrats.
Les delegations de pouvoirs doivent fixer des limites de montants, neces-
sitant une autorisation d'un responsable hierarchique : plus Ie montant est
important, plus Ie niveau d'autorisation hierarchique doit etre eleve.
Les delegations des pouvoirs doivent etre revues, re-confmnees, validees
et actualisees regulierement et notamment apres chaque embauche afin de
deleguer Ie niveau adequat de pouvoirs.

D Existe-t-il un formulaire specifique d'autorisation d'engagement

de depenses au sein de la societe?
Risques : les processus d'approbation et de contrcle de la societe ne sont
pas dument formalises et documentes.
Bonnes pratiques suggerees : la preparation d'un formulaire d'autorisa-
tion d'engagement de depenses (AED) permet d'evaluer la pertinence
d'une depense, budgetee ou non.
Afin de suivre Ie processus d'approbation et de contrcler l'engagement de
chaque depense, un formulaire d' AED doit etre formalise et approuve.
Le formulaire d' AED doit notamment respecter Ie processus suivant :
• Ie demandeur formalise l' AED (definition des besoins),
• Ie Contr61eur Financier revoit l' AED afin de contrcler les depenses
engagees,
• approbation par un employe autorise en ligne avec ses delegations de
pOUVOlrs.
Ce formulaire doit etre mis en place pOUJtoute depense au dela d'un seuil
financier a definir et formalise avant l' engagement.
Un seuil d'autorisation additionnel doit etre definit dans Ie cas ou l'enga-
gement actuel depasse l'autorisation initiale (generalement depassement
superieur de 15 %).
L' AED doit definir la periode de validite, necessitant une nouvelle appro-
bation (en particulier d'une peri ode budgetaire a l'autre) et etre archivee
avec les AED, les bons de receptions et les factures.
D Le principe de separation des taches est-il respecte ?
Risques : conflit d'interets lorsqu'un employe participe a plusieurs phases
du processus d'achats : creation d'un fournisseur, engagement, passation
d'une ecriture, paiement.
Bonnes pratiques suggerees : sauf en cas d'impossibilite, les taches
suivantes doivent etre realisees par des employes differents :
• creation d'un fournisseur dans Ie systeme,
• creation d'une autorisation d'engagement de depenses (AED),

• autoriser I' engagement de depenses,

• approuver les factures,
• enregistrer des ecritures comptables,

• autoriser Ie dec1enchement d'un paiement,

• autoriser Ie paiement.
Les incompatibilites ci-dessous citees imposent la separation des 5 taches
suivantes:

• engagement,
• autorisation de paiement (approbation de la facture),

• saisie de l'ecriture comptable.

D Vne procedure d'achats a-t-elle ete mise en place?

Risques : non-application des bonnes pratiques d'achat dans la societe.

Bonnes pratiques suggerees : une procedure d'achats devrait Stre forma-
lisee, autorisee par un expert du service d'achats et expliquee it tous les
utilisateurs participants au processus.

La procedure doit atteindre Ies objectifs suivants afin de s'assurer que:

• seulement Ies achats autorises sont engages,

• Ies achats sont effectues au meilleur ratio qualitelprix possible,

• les engagements sont maitrises,

• Ies achats payes sont prealablement autorises et receptionnes.

D L'efficacite de la procedure d'engagements et de commandes
d'achats est-elle mesuree ?
Risques:
• procedure d' engagement de depenses inefficace / inefficiente,
• demotivation des employes/utilisateurs si la procedure ne remplit pas les
objectifs attendus,

• absence de contr6le des depenses.

Bonnes pratiques suggerees : il est souhaitable :

• d'etablir un ratio d'accomplissement pour chaque responsable budge-

taire (numero de depenses dGment autorisees et engagees, dilment
livrees et facturees sur Ie total de depenses) et de Ie suivre ;
• de suivre Ie taux d'accomplissement (factures sans numero de
commande, factures non re<;ues au Service Comptabilite) et d'en
communiquer Ie ratio aux responsables budgetaires et Comite de Direc-
tion pour etablissement d'un plan d'action.

D L'ensemble des achats au sein de la societe est-il centralise et gere

par des employes specialises (i.e. les ach~teurs) ?

Risques : achats dupliques et/ou responsables achats n'ayant pas les

memes procedures operationnelles et pratiques standardisees pour Ie
processus d'achats.
Bonnes pratiques suggerees : tout achat devrait etre gere par des
employes places sous l'autorite du responsable des achats, partageant les
memes pratiques communes et approches d'achat par l'intermediaire
d'acheteurs professionnels travaillant au quotidien pour plusieurs
departements.
Un service ou departement d'achats, selon la taille de la societe, doit etre
capable de promouvoir les pratiques d'achat et de se focaliser sur la qualite
des foumisseurs, Ie referencement, la negociation et I' optimisation du
pnx.
Une personne specifique intervenant comme acheteur, differente des
demandeurs minimise Ie risque de collusion.

Une approche en bin6me, demandeur / acheteur, permet de mieux nego-

cier avec des fournisseurs.

Neanmoins, l'absence d'un Service Achats pourrait etre justifiee par:

• la taille de la societe,

• Ie volume d'achats,

• la nature des achats (achats intra-groupe par exemple).

aLes depenses sont-elles bien suivies ?

Risques:
• les achats ne sont pas effectues au meilleur ratio prix/qualite/valeur,

• les employes en charge des achats ne sont pas au courant des pratiques
d'achat et n'obtiennent pas Ie meilleur ratio prix/qualite/valeur grace
aux negociations,

• processus non formalise / non documente entralnant une plus forte expo-
sition au risque de collusion.

Bonnes pratiques suggerees : dans Ie cas ou un service/departement

Achats n'est pas en place au sein de la societe, il est souhaitable que toutes
les commandes d'achat soient centralisees aupres d'un employe, archivees
de fa90n adequate pour pem1ettre la tra9abilite. Cet employe doit etre initie
aux pratiques d'achat via des formations et avec l'appui de la direction.

a La Direction Generale donne-t-elle son appui au Service Achats ou

aux personnes responsables des achats pour sensibiliser et orienter les
employes vers des bonnes pratiques d'achats ?
Risques : les responsables achats ou employes charges des achats n'ont
pas assez de pouvoirs pour realiser pleinement leurs taches.

Les responsables achats ou employes charges des achats peuvent etre

contoumes s' ils sont sous la meme responsabilite que les demandeurs.
Bonnes pratiques suggerees : Ie Departement Achats doit rendre compte
directement a la Direction Generale afin de permettre sa tot ale indepen-
dance et de renforcer sa fonction dans la societe.

Le Departement Achats doit etre independant d'autres departements afin

d'eviter tout conflit d'interets.

D Les responsables achats ou employes charges des achats ont-ils

une vision claire et globale des differents types de depenses au sein de
la societe (elements stockes, non stockes, achats immobilises, etc.) ?

Risques:

• les responsables achats ou employes charges des achats n'ont pas une
vision globale des depenses de la societe,

• les responsables achats ou employes charges des achats sont contournes sur
certains achats pour lesquels certaines depenses pourraient etre optimisees.

Bonnes pratiques suggerees : les responsables achats ou employes charges

des achats devraient analyser au moins une fois par an les depenses de la
societe et determiner Ie niveau de couverture du departement achats.

Le ratio de couverture doit etre elargi a toute sorte d'achat negociable.

L'extension du ratio de couverture pourrait etre fixee comme objectif a
atteindre pour les responsables achats ou e1?Ployes charges des achats.

D La societe a-t-elle defini des objectifs quantifiables pour Ie service

achats ou les employes charges des achats ?

D Ces objectifs sont-ils realistes ?

D Les responsables achats ou les employes charges des achats sont-ils

motives avec des bonus sur des objectifs it atteindre ?

Risques : les responsables achats ou employes charges des achats ne sont

ni motives par des bonus ni challenges par des objectifs quantifiables.

Bonnes pratiques suggerees : les responsables achats ou employes

charges des achats doivent etre suivis et avoir des objectifs pour les chal-
lenger, de la meme fayon que des commerciaux.
a Le Departement Achats ou les employes charges des achats ont-ils
des outils de suivi performants pour quantifier la realisation des
objectifs?
Risques : les objectifs fixes aux responsables achats ou employes charges
des achats ne sont pas suffisamment mesurables par des criteres quanti-
fiables, ce qui est propice a un service d'achats inefficace.
Bonnes pratiques suggerees : Ie departement achats et ses employes
doivent avoir des outils de mesures afin d'evaluer ses realisations dans la
societe et notamment :
• evolution dans Ie temps de l'index de prix unitaire pour des elements
cles selectionnes,
• evolution du ratio de couverture,

a La definition des besoins d'achat est-elle basee sur des informa-

tions fiables ?
a La definition des besoins est-elle effectuee avec la participation du
Departement Planning ou du service effectuant Ie planning?
a La quantite minimum a commander a-t-elle ete prise en compte
lors de la definition des besoins ?
a Le temps de transport ou lead-time a-t-il ete pris en compte lors de
la definition des be so ins ?
a Le principe de « stock de securite » a-t-il ete pris en compte lors de
la definition des besoins ?
Risques : les besoins ne sont pas clairement de finis et peuvent conduire a
des achats non adaptes etJou un exces ou manque de stock. .

Bonnes pratiques suggerees : les achats stockes devraient etre effectues

en collaboration avec les Departements Planning, Production et Ventes
afin d'integrer les previsions de ventes, la charge de production et Ie delai
de livraison (delais foumisseur et/ou production) et se rapporter egalement
aux problematiques de gestion d'inventaires.

a La definition des besoins a-t-elle ete effectuee en s'appuyant sur un

cahier des charges clair et detaille ?
Risques:
• une definition tloue des besoins ne permet pas de faire des appels d'offre
foumisseurs sur une base pragmatique et comparable;
• les utilisateurs ont tendance a eviter les acheteurs en justifiant que la
specificite des achats de leur fonction n'est pas assujettie a la
negociation.
Bonnes pratiques suggerees : les utilisateurs doivent travailler en concer-
tation etroite avec les acheteurs pour pouvoir obtenir des elements
tangibles dans Ie but de faire des appels d'offres et pouvoir negocier avec
des fournisseurs.
Des projets trop vastes et non focalises en matiere de definition des
besoins doivent etre evites.
Les acheteurs doivent participer aussi en amont que possible a la rationali-
sation lors de la definition des besoins avec les utilisateurs/demandeurs.
aLes acheteurs ou employes responsables des achats travaillent-ils
en concertation etroite avec les utilisateurs/demandeurs tout au long
du processus achat ?
Risques:

• les acheteurs ou employes responsables des achats ne sont pas consultes

systematiquement et ne sont pas capables d'optimiser les achats
effectues par la societe ;
• les acheteurs ou employes responsables des achats ne participent pas
suffisamment en amont pour apporter de la valeur ajoutee aux achats a
effectuer;
• les acheteurs ou employes responsables des achats sont consideres
comme des adrninistratifs en gerant uniquement la documentation liee
au processus d' achat.
Bonnes pratiques suggerees : les acheteurs ou employes responsables
des achats doivent participer en amont du processus, accompagnant les
utilisateurs tout au long du processus des la definition des besoins jusqu'au
reglement des achats. Vne approche en biname doit etre favorisee lors de
la negociation avec Ie fournisseur, avec des echanges reguliers permettant
d'optimiser l'achat et de l'effectuer au meilleur prix possible.
Les acheteurs ou employes responsables des achats doivent suivre aussi
la livraison des achats (specialement quant il s'agit des services) afin de
contraler la qualite des achats tout au long du processus et de prendre, si
necessaire, des mesures correctrices vis-a-vis des fournisseurs.

D Des mises en concurrence sont-elles effectuees regulierement pour

des achats significatifs (au-dela d'un certain montant) ?
Risques:
• absence de mise en concurrence pour certains achats et manque de selec-
tion des fournisseurs ne permettant pas d'obtenir Ie meilleur ratio
qualite/prix ;
• des fournisseurs recurrents ne sont pas challenges et ne font pas un effort
suffisant pour fournir des ameliorations continues de leurs produits ou
servIces;
• risques de collusion avec des fournisseurs recurrents.
Bonnes pratiques suggerees : des mises en concurrence doivent etre
effectuees pour chaque achat (au-dela d'un certain montant a definir).
Des accords « cadre» avec des cornrnandes recurrentes doivent etre revus
au moins une fois par an. Ces accords doivent faire mention de renegocia-
tions annuelles des conditions comrnerciales et des remises de fin d'annee
sur la base des volumes atteints.
Si un foumisseur Groupe existe sur la base d'un contrat cadre, la societe
doit favoriser son emploi. Si des foumisseurs locaux sont utilises, la
societe doit les mettre en concurrence avec Ie foumisseur Groupe afin
d'evaluer leur competitivite.
Les conditions generales d'achat (CGA) de la societe (si elles existent)
doivent etre prioritairement utilisees. Toute derogation aux CGA de la
societe doit etre approuvee par un responsable financier dfiment autorise.
Les conditions contractuelles avec Ie fournisseur doivent etre competitives
selon les conditions du marche en termes de prix, qualite, delai de paie-
ment et service apres vente.
Le foumisseur doit accepter formellement la charte Ethique de la societe
(eviter d'employer des enfants, ne pas pratiquer la discrimination - poli-
tique, religion ... - des employes ni Ie travail force ... ).

D Des nouveaux fournisseurs sont-ils regulierement indus dans les

appels d'offre ?

Risques:
• ne pas selectionner les fournisseurs offrant Ie meilleur ratio qualite/prix,

• ne pas challenger les fournisseurs existants avec des nouveaux fournis-

seurs pouvant apporter des nouvelles solutions et des nouvelles condi-
tions tarifaires.

Bonnes pratiques suggerees : des mises en concurrence doivent inclure

au moins un nouveau foumisseur afin de pennettre l'acces it des nouvelles
technologies et d'evaluer Ie marche de temps en temps.

D En cas d'achats recurrents, des negociations annuelles sont-elles

realisees?
Risques : des achats recurrents ne sont pas realises au meilleur ratio
qualite/prix dans une demarche continue d'amelioration.
Bonnes pratiques suggerees : pour des achats recurrents - fournitures de
bureau, depenses de voyage, achats promotionnels ... - une renegociation
a minima annuelle doit etre realisee en reference au volume aunuel
d'achats attendu.
C Les acheteurs ou employes responsables des achats sont ils suffi-
samment formes pour realiser la phase de negociation avec succes ?
Risques : les achats ne sont pas effectues au meilleur ratio qualite/prix.
Bonnes pratiques suggerees : les acheteurs doivent presenter tous les
capacites requises pour les negociations et donc recevoir une formation
adequate.
L'ethique des acheteurs doit etre rappelee (i.e. pas d'acceptation d'un
cadeau ou de faveurs de la part du fournisseur) afin d'eviter toute
collusion.
C Les fournisseurs sont-ils evalues a minima annuellement aftn
d'incorporer Ie resultat de l'evaluation lors des futurs appels d'offres ?
Risques : ne pas selectionner les fournisseurs offrant Ie meilleur ratio
qualite/prix.
Bonnes pratiques suggerees : les fournisseurs doivent etre evalues regu-
W~rement selon les criteres suivants : qualite, delais de livraisdn, prix et
conditions commerciales, services apres-vente ... et l'evaluation reguliere-
ment revisee pour des futurs appels d'offres.

C La selection d'un fournisseur prend-elle en consideration les prix

et les conditions commerciales (conditions de paiement) ?

C La selection d'un fournisseur prend-elle en consideration les delais

de livraison ?
Risques : ne pas integrer tous les parametres lors de la selection des
fournisseurs.
Bonnes pratiques suggerees : les acheteurs doivent integrer tous les para-
metres lors de la selection des fournisseurs (conditions commerciales,
delais de livraison, criteres de qualite, etc.) et pas uniquement les prix.
C La societe fait-elle une visite annuelle de ses principaux fournis-
seurs (i.e. ceux representant au moins 50 % du volume annuel
d'achats) ?
Risques: absence de connaissance des foumisseurs cles (i.e. equipements,
nouveaux services fournis...).

Bonnes pratiques suggerees : il est souhaitable d' etablir un suivi regulier

des fournisseurs en incluant des comptes rendus des reunions annuelles avec
les principaux fournisseurs et les conclusions de la reunion.
a La selection d'un fournisseur prend-elle en compte sa sante
financiere ?
Risques : la societe a des relations commerciales avec des fournisseurs non
solides, mettant en danger la chaine d'approvisionnement des produits
critiques en cas de probleme.
Bonnes pratiques suggerees : il est souhaitable de prendre en consideration
la dependance du foumisseur vis-a-vis de la societe et Ie potentiel de crois-
sance a long terme des foumisseurs.
Des foumisseurs altematifs doivent etre recherches (au moins 3 pour des
categories de biens / services strategiques).
a Le choix d'un fournisseur prend-il en consideration Ie niveau de
dependance du fournisseur avec la societe cliente ?
Risques : la societe cliente peut etre consideree comme proprietaire de facto
du fournisseur etant donnee la dependance de celui-ci vis-a-vis d'elle.

Bonnes pratiques suggerees : les relations commerciales doivent etre

refusees avec des foumisseurs competitifs mais de tres petite taille dans
lesquelles la societe serait responsable d'une grande partie du chiffre
d'affaires (i.e. > 30 %).
a Lorsqu'il s'agit de contrats tres importants (au-dela d'un seuil finan-
cier a definir), une clause d'audit aux frais du fournisseur est-elle
prevue?
Risques : absence de mesure de la performance foumisseurs.
Bonnes pratiques suggerees : les principaux contrats doivent etre revus par
Ie Service Juridique et une clause d'audit prevue pour les fournisseurs
maJeurs.
a Existe-t-il un processus specifique pour la gestion des reclamations?
D Existe-t-il un outil specifique pour la gestion des reclamations, speciale-
ment en ce qui concerne la qualite des produits re9us ?
D Le Departement Achats ou les employes participant aux achats partici-
pent-ils ala gestion des reclamations fournisseurs ?
Risques : la performance du fournisseur et la qualite du service ne sont pas
suivies une fois Ie fournisseur selectionne.
Bonnes pratiques suggerees : Ie Departement Achats ou les employes parti-
cipant aux achats doivent s'occuper de la gestion des reclamations et de
l'analyse des causes des defauts et erreurs des fournisseurs.
Le Departement Achats ou les employes participant aux achats doivent tracer
les reclamations afin de permettre d'obtenir des preuves lorsqu'il s'agit de
reevaluations periodiques des fournisseurs defaillants.
D Des actions sont-elles prises immediatement vis-a-vis des fournisseurs
defaillants ou mauvaises prestations ?
D Existe-t-il une liste formalisee de fournisseurs interdits ?
Risques : continuer a travailler avec des fournisseurs interdits.
Bonnes pratiques suggerees : les reclamations doivent etre strictement
suivies et Ie Service Achats doit participer systematiquement a I'evaluation
des fournisseurs (possibilite d'interdire des fournisseurs des prochains appels
d'offres) et formaliser une liste de fournisseurs interdits.

D Vne demande d'achat est-elle systematiquement utilisee pour tous Ies

achats a effectuer ?
D Existe-t-il une procedure formalisee pour gerer Ie processus de
demande d'achats ?
Risques:
• un achat est engage sans autorisation formelle d'un Departement ou
employe dument autorise,
• les depenses de la societe sont engagees par des employes non dfunent
autorises,

• les depenses de la societe ne sont pas suivies dans un cadre budgetaire.

Bonnes pratiques suggerees : une demande d'achat doit etre systemati-

quement emise, detaillant la justification des besoins et les specifications.
La demande d' achats doit etre dfunent autorisee par des employes ayant la
delegation appropriee pour engager les depenses.
D La demande d'achat fait-elle reference it des elements c1airement
identifies dans Ie budget de la societe (lignes budgetaires) ?

Risques : les engagements de depenses ne sont pas en ligne avec Ie budget

de la societe.

Bonnes pratiques suggerees : une demande d'achat doit se rUerer syste-

matiquement au budget de la societe afin de suivre les depenses globales.
En cas de depenses non budgetees, une demande d'achat doit permettre
qu 'un employe ou departement autorise evalue la pertinence de la
demande.

D La demande d'achat est-elle systematiquement approuvee par un

employe I departement dument autorise ?

Risques:

• un achat est engage sans approbation formelle d'un departement ou

employe dument autorise,

• les depenses de la societe sont engagees par des employes non dument
autorises,

• les depenses de la societe ne sont pas suivies dans un cadre budgetaire.

Bonnes pratiques suggerees : la demande d'achat devrait etre autorisee

par des employes ayant la delegation de pouvoirs appropriee pour engager
des depenses.

Les delegations pour engager des depenses devraient etre etablies avec des
seuils financiers demandant une autorisation hierarchique superieure pour
la validation des depenses selon Ie montant.
a Existe-il une date effective de la requisition indiquee dans la
demande?
Risques:
• une date de requisition souhaitee irrealiste pour une demande d'achat
(tres proche de la date d'autorisation) ne laissant pas Ie temps suffisant
au Service d' Achat pour realiser des appels d' offres necessaires et
d' optimiser les achats ;
• une date de requisition souhaitee irrealiste ne permettant pas I' evalua-
tion de la performance reelle des fournisseurs.
Bonnes pratiques suggerees : la periode entre la date d'autorisation et la
date de requisition souhaitee doit etre suffisant pour permettre au Service
Achats d'avoir une approche d'optimisation des achats.
En cas d'achat d'elements stockes avec des fournisseurs prealablement
retenus (short-list), un temps minimum doit etre defini lors de la prise en
compte de la demande d'achats.
a Sauf pour les achats recurrents, les demandes d'achats sont-elles
systematiquement transmises a l'acheteur en charge (responsable
administratif effectuant les achats dans Ie cas de petites
organisations) ?
Risques : les responsables achats sont depasses ou non consultes dans une
approche d' optimisation des achats.
Bonnes pratiques suggerees : une procedure de demande d'achats do it
mentionner les responsables Achats a consulter systematiquement afin de
considerer si necessaire un processus d'appel d'offres.

a Le bon de commande est-il emis par Ie responsable achats ou les

employes charges des achats ?
Risques : la commande d'achats est un engagement vis-a-vis des tiers; il
existe un risque de collusion avec des fournisseurs si les demandeurs/utili-
sateurs negocient directement avec les foumisseurs.
Bonnes pratiques suggerees : les responsables achats doivent etre les seuls
employes autorises a engager la societe vis-a-vis des tiers afin de respecter
efficacement Ie principe de separation des taches entre demandeurs/utilisa-
teurs et responsables des achats en contact avec des foumisseurs.
a Le bon de commande est-il formellement approuve par des
employes diiment auto rises a en gager la societe?
Risques : des employes engagent la societe sans delegations formalisees
de pouvoirs.
Bonnes pratiques suggerees : les foumisseurs doivent etre informes de
la liste de personnes dfunent autorisees a engager la societe. Des accords
cadre en place doivent mentionner clairement la liste de personnes diiment
autorisees a engager des depenses au nom de la societe.
a Le bon de commande a-t-il un numero sequentiel ?
a Le bon de commande fait-il mention de la quantite, prix unitaire et
valeur?
Risques : malentendus avec des foumisseurs lors que des commandes
d'achats sont emises sans des details specifiques.
Bonnes pratiques suggerees : afin d'eviter des litiges avec des foumis-
seurs, les bons de commandes transmis aux foumisseurs devraient
mentionner les termes et les conditions commerciales tels que prealable-
ment negocies. .

aLes bons de com man des sont-ils archives physiquement et

incluent-ils entre autres : bon de commande, information sur l'appel
d'offres, criteres pour la selection du fournisseur, etc. ?
Risques : absence de documents disponibles pour tracer I' exhaustivite des
achats en cas de litige avec un foumisseur.

Bonnes pratiques suggerees : les bons de commande doivent etre centra-

lises et archives par Ie service d' Achats.
L'archivage centralise favorise les meilleures pratiques telle que l'optimi-
sation de la demarche d'achats.
a Une copie du bon de commande est-elle transmise au Service
Comptable?
Risques:
• absence d'information suffisante du Service Comptable pour qu'il
effectue Ie rapprochement des factures,
• absence d'information suffisante du Service Comptable pour faire la
dotation des provisions a chaque cloture comptable en cas de systemes
d'information non integres (ERP) et/ou en cas de comptabilisation par
engagements.
Bonnes pratiques suggerees : une copie du bon de commande doit etre
systematiquement transmise au Service Comptable en charge de la saisie
du paiement et de la dotation des provisions.
Les bons de commande sont les documents justificatifs pour calculer des
provisions dans Ie cas ou la societe aurait adopte Ie principe comptable
d'enregistrement par engagements.

a Les biens re~us sont-ils systematiquement rapproches du bon de

commande?
Risques:
• accepter des biens ou services qui n'ont pas ete commandes ou qui ne
sont pas conformes a la commande,

• payer des produits qui n'ont pas ete rer;us.

Bonnes pratiques suggerees : pour les achats stockes, la reconciliation
des biens rer;us doit etre realisee avec une ecriture des stocks de la quantite
reellement rer;ue par rapprochement avec Ie bon de commande.
Pour les achats non stockes, un accuse de reception doit etre obtenu des
employes dfunent autorises, generalement les utilisateurs du produit et/ou
du service, afin de valider l'accuse de reception.
a La Iivraison partielle est-elle possible (et si c'est Ie cas, est-elle suivie) ?
Risques:

• accepter des biens ou services qui n' ont pas ete commandes ou non
conformes a la commande,
• payer des produits qui n'ont pas ete re<;us (suivi incorrect des livraisons
partielles ).
Bonnes pratiques suggerees : pour les achats stockes, la reception des biens
devrait etre effectuee par rapprochement avec Ie bon de commande lorsque
l'ecriture d'inventaire est passee.
Pour les achats non-stockes, l'accuse de reception doit mentionner systemati-
quement la reference (numero) du bon de commande d'achat et specifier la
reception partielle lorsqu'elle a lieu (exemple dans Ie cas d'un grand projet
identifie dans la commande d'achat).

a En cas d'ecart entre Ie bon de cornrnande d'achat et Ia Iivraison

existe-il une procedure specifique pour gerer une telle situation?

Risques:
• accepter des biens ou services qui n'ont pas ete commandes ou qui ne sont
pas conformes a la commande ;

• payer des produits qui n'ont pas ere re<;us.

Bonnes pratiques suggerees : tout ecart entre la livraison et Ie bon de
commande doit etre mentionne au Responsable Achats en relation avec les
foumisseurs afm d'assurer un suivi performant et une prise d'action correc-
trice appropriee.

a Les biens re~us sont-ils assujettis it des contrOies qualites forrnalises ?

Risques: accepter des biens non conformes a des standards qualites.

Bonnes pratiques suggerees : des controles techniques doivent etre

realises par des employes/services appropries et autorises selon des dele-
gations de pouvoirs internes afin de fournir une validation technique.
La validation technique de la reception des biens devrait etre clairement
specifiee dans une procedure operationnelle interne.
a Une copie des documents de reception (bon de livraison) avec la vali-
dation technique/qualite est-elle transmise au Service Comptable ?
Risques : absence d'information suffisante disponible aupres du Service
Comptable pour realiser les provisions a chaque cloture comptable en cas
de systeme d'information non integre (ERP).
Bonnes pratiques suggerees : une copie du bon de livraison avec les vali-
dations techniques/qualite doit etre systematiquement transmise au
Service Comptable responsable de la saisie du paiement et de la passation
des provisions.

a Les factures sont-elles transmises au Service Comptable des leur

reception?
Risques : retard dans I' enregistrement des factures conduisant a des
problemes de cut-off (separation des exercices comptables avec des
depenses appartenant a une annee comptable comptabilisees dans une
autre annee) et un resultat sur/sous-evalue.

Bonnes pratiques suggerees : toutes les factures foumisseurs doivent etre

envoyees au Service Comptable des leur reception et dfunent
comptabilisees.

Sur la base des informations concernant la reception des biens, Ie Service

Comptable doit calculer et comptabiliser les provisions afin de respecter Ie
principe de separation d'exercices/principe du cut-off
a Un cachet avec la date de reception est-il systematiquement appose
sur la facture apres leur reception ?
a Une facture originale est-elle identifiee comme telle avec la
mention « facture originale ou similaire » des sa reception ?
Risques : paiements non justifies (paiements dupliques, biens non re<;:us,
avances non dedui tes ... ).

Bonnes pratiques suggerees : un cachet avec la date de reception et la

mention « facture originale » devrait etre appose sur chaque facture re<;:ue.
D Les factures de depenses sont-elles comptabilisees en utilisant
systematiquement des comptes de tiers?
Risques:
- Impossibilite de suivre les paiements effectues a des tiers.
- Absence de vision glob ale des depenses effectuees avec des tiers.
Bonnes pratiques suggerees : L'enregistrement comptable des depenses
doit etre effectue systematiquement en utilisant des comptes de tiers afin
d'assurer leur suivi et d'obtenir une vision globale des depenses par
foumisseur.
Le paiement des factures devrait etre effectue separement par un autre
service financier/administratif.
La comptabilisation des factures directement a des comptes de banque doit
etre proscrite.
Eviter dans la mesure du possible 1'utilisation du compte foumisseurs
divers afin de mieux tracer les operations foumisseurs.
L'auxiliaire foumisseurs doit cadrer avec Ie compte general fournisseurs.
D La facture origin ale est-elle systematiquement utilisee lors de
l'enregistrement comptable ?
Risques : enregistrement comptable insuffisamment justifie et risque de
paiement duplique.
Bonnes pratiques suggerees : seules les factures avec cachet « original»
doivent etre comptabilisees afin d'eviter des doublons d'enregistrement.

D L'autorisation formelle de la facture est-elle en phase avec les

documents suivants : commande d'achat, accuse de reception des
biens/services et facture originale ?
Risques : paiements non justifies : reglement dupliques, biens non re<;us,
avances non deduites ...
Bonnes pratiques suggerees : les documents concernant la facture
d'achats doivent etre rapprocMs apres reception de la commande d'achats
et de l' accuse de reception des biens par Ie Service Comptable.
Ces contr6les doivent etre formalises afin de proceder au reglement des
factures.
D L'employe charge du controle et de I'approbation des factures
est-il diiment auto rise selon des delegations de pouvoir internes
formalisees ?
Risques : paiement des factures effectue sans autorisation formalisee et
dfunent validee.
Bonnes pratiques suggerees : Ie Service Comptable (Comptabilite Four-
nisseurs) devrait etre Ie seul service charge de contr6ler et traiter Ie paie-
ment des factures en s'appuyant sur les informations ci-dessus
mentionnees. L'employe charge du contr6le et de l'approbation des
factures devrait etre clairement autorise selon une dek~gation de pouvoir
interne formalisee.

• une autorisation hierarchique superieure pour valider les depenses

devrait etre consideree si Ie montant des factures depasse un certain seuil
a definir,
• I' approbation hierarchique devrait suivre les delegations des pouvoirs
internes formalisees prealablement etablies.

D Lorsque c'est Ie cas, les ecarts entre la facture, Ie bon de

commande et Ie bon de livraison (quantite, valeur) sont-ils systemati-
quement analyses?
Risques : des paiements non justifies : paiements dupliques, biens non
re<;us, avances non deduites ...
Bonnes pratiques suggerees : les ecarts entre Ie bon de commande, Ie
bon de livraison / accuse de reception et la facture doivent etre transmis
au Service Achats pour une prise d'actions correctrices appropriees
(investiguer avec les utilisateurs/demandeurs et fournisseurs pour resoudre
les ecarts).
Dne fois Ie probleme identifie, l'information et instructions du Service
Achats (avec autorisation additionnelle selon une procedure interne selon
Ie cas) devrait etre transmise au Service Comptable pour traitement
administratif.
aLes con trOles et approbations formalises des factures sont-ils des
etapes necessaires pour Ie traitement administratif du paiement au
sein de Ia societe ?

Risques : des paiements non justifies : paiements dupliques, erreurs,

detournements, biens non rec;us, avances non deduites ...
Bonnes pratiques suggerees : Ie bon a payer doit etre realise par Ie
Service Comptable en s'appuyant sur les informations ci-dessus
mentionnees en suivant les actions correctrices dictees par Ie Service des
Achats si necessaire (en cas de litige/ecart).
Le bon a payer des factures est l'autorisation formalisee de pro ceder au
reglement pour Ie Service Tresorerie.
L'utilisation d'un auxiliaire fournisseurs par anciennete peut etre utile
pour tracer les erreurs telles que des factures non reglees.

a Les avances payees aux fournisseurs, Ie cas echeant, sont-elles

suivies et prises en compte par Ie Service Comptable (Service Compta-
bilite Fournisseurs) Iors du traitement administratif du paiement de Ia
facture?
Risques : des paiements non justifies : paiements dupliques, paiements
effectues pour des biens non rec;us, avances non deduites ...
Bonnes pratiques suggerees : les avances devraient etre isolees en un
compte specifique tiers pour permettre leur suivi.
Des avances devraient etre accordees seulement si c' est la pratique du
marche pour Ie bien/service commande (i.e. interim) et uniquement apres
autorisation formalisee d'un responsable financier. En cas de doute sur son
remboursement une provision doit etre passee. Toute ecriture liee a une
avance non recuperable doit etre validee par un responsable financier.
Lors de la reception de la facture definitive du fournisseur, Ie Service
Comptable devrait contraler et verifier que les avances sont dfunent
deduites du montant global avant de demander au Service Tresorerie
d'effectuer Ie reglement.
aLes reglements sont-ils traites administrativement sur la base des
factures origin ales ?
Risques : paiements non justifies et/ou reglements dupliques.
Bonnes pratiques suggerees : Ie reglement des factures doit etre realise
uniquement sur la base des documents originaux.
a Les factures payees sont-elles clairement identifiees ?
Risques : des reglements non justifies et/ou dupliques.
Bonnes pratiques suggerees : les factures payees doivent etre marquees
avec Ie tampon« PAYE ».
aLes fournisseurs debiteurs sont-i1s regulierement identifies et
analyses?
Risques : paiements dupliques ou anomalies du compte fournisseur.
Bonnes pratiques suggerees : Ie Service Comptable (Comptabilite Four-
nisseurs) devrait identifier et analyser regulierement la liste des fournis-
seurs debiteurs pour detecter les doubles paiements et autres anomalies.

a A chaque cloture comptable, la societe passe-t-elle des ecritures de

provisions pour les factures non parvenues sur la base des accuses de
reception des biens/services et/ou bons de livraison ?

Risques:
• les depenses ne sont pas comptabilisees sur la periode ou elles sont
realisees,
• me sure inexacte de la rentabilite de la societe,
• principe du cut-off non respecte.
Bonnes pratiques suggerees : a chaque cloture comptable, Ie Service
comptable (Comptabilite Fournisseurs) devrait controler toutes les
livraisons des biensl accuses de reception des services pour lesqueis les
factures n' ont toujours pas ete rec;ues et passer les ecritures comptables
adequates.
a A chaque cloture comptable, la societe enregistre-t-elle des provi-
sions pour factures prepayees (charges constatees d'avance) ?
Risques:
• Ies depenses ne sont pas comptabilisees sur la periode ou elles sont
realisees, mesure inexacte de la rentabilite de Ia societe,
• principe du cut-off non respecte.
Bonnes pratiques suggerees : a chaque cloture comptable, Ie Service
Comptable (Comptabilite Fournisseurs) devrait revoir toutes les factures
comptabilisees pour lesquelles Ia livraison des biens I accuse de reception
des services n'a pas encore ete effectuee.
Des charges constatees d'avance devraient aussi etre prises en compte
pour des factures globales reparties sur plusieurs periodes d'activite.
Les provisions emegistrees en fm d'annee devraient etre suivies et actua-
lisees apres la cloture (i.e. premier trimestre apres cloture) afin de verifier
l'exactitude de la provision pour charges constatees d'avance et ainsi
ameliorer Ie prochain calcul. Dans certains cas, des charges constatees
d'avance (CCA) peuvent fausser Ies etats financiers et la rentabilite (CCA
non justifiees).

a La creation et/ou modification des comptes/donnees fournisseurs

sont-elles systematiquement approuvees par un responsable financier
dfiment autorise (notamment ses conditions de paiement) ?
Risques:
• modifications incontr6lees des donnees fournisseurs (derogation des
conditions generales de paiement),
• achats aupres d'un foumisseur ayant une situation financiere non
perenne ou ayant une grande dependance aupres de la societe,
• achats realises aupres d'un foumisseur non performant.
Bonnes pratiques suggerees : il est souhaitable de s'assurer que Ie
nombre de foumisseurs est en adequation avec Ie type d'achat (un exces de
fournisseurs ou un nombre trop faible pour des besoins strategiques pour-
rait presenter une non optimisation du processus achat).
La creation et/ou modification des donnees foumisseurs doit etre systema-
tiquement approuvee par un responsable financier apres verification des
coordonnees bancaires du foumisseur et des conditions de paiement.
Les donnees financieres des societes de rating (i.e. Dun & Bradstreet,
Moody's ... ) et la composition de l'actionnariat peuvent etre obtenues pour
verifier la sante financiere du foumisseur et I' absence de collusion avec les
interets des employes de la societe (un certificat d'independance peut-etre
aussi demande).
D Existe-il un responsable clairement identifie de l'integrite de la
base fournisseurs ?
Risques:

• manipulation incontr6lee des coordonnees bancaires,

• foumisseur fictif.

Bonnes pratiques suggerees : il est souhaitable d'identifier et de limiter

Ie nombre d'employes ayant acces aux modules de creation et modifica-
tion de la base foumisseurs.
• Existe-t-il un organigramme ajour precisant les liens hierarchiques exis-
tants entre chacun des postes ?
• Cet organigramme est-il bien distinct de tout autre organigramme (par
exemple a vocation plus descriptive « statutaire », ou plus descriptif des
effectifs) ?
• Cet organigramme comporte-t-il une cotation des risques ?
• L'organigramme est-il publie et facilement accessible?
• Existe-t-il une fonction de coordinateur local de gestion des risques, et
cette fonction est-elle reellement assumee ?

• Existe-t-il une liste descriptive a jour des activites (et eventuellement

des sous activites) ?
• Pour chaque activite ou sous activite sensible existe-t-il un seul et
unique responsable qui a Ie contr6le sur toutes ces activites et qui ales
moyens d'assumer ses responsabilites ?

• A chaque poste de l'organigramme hierarchique correspond-il un docu-

ment ecrit a jour des fonctions deleguees ?
• Chaque lettre de mission est-elle cosignee contractuellement en deux
exemplaires par Ie donneur d'ordre et Ie deIegue ?

• Chaque poste de l'organigramme comporte-t-il dans la lettre de mission

un enonce quantitatif a jour des objectifs annuels (ou de productivite
joumaliere, etc.) ?
• Chaque poste de l'organigramme comporte-t-il dans la lettre de mission
la designation a jour des consequences du non respect des objectifs ?
• La liste des personnes autorisees a signer est-elle explicitement consti-
tuee et disponible ?
• Les personnes non autorisees a signer sont-elles explicitement avisees
de leur responsabilite en cas de non respect des droits (usurpation de
droit) ?
• Tous les collaborateurs autorises a pratiquer des actes sensibles tels que
les recrutements, les achats, etc. sont-ils explicitement avises et sont-ils
systematiquement amenes a emarger les delegations de pouvoirs des
modifications les concernant?
• La procedure de changement de fonctions d'un collaborateur prevoit-
elle un contrale systematique du retrait effectif et immediat de ses
anciens droits ?
• Les travaux reclamant une habilitation informatique (un mot de passe)
sont-ils recenses ?
• Y a-t-il des applications informatiques ne necessitant aucune habilita-
tion, mais pour lesquelles une analyse des risques a conclu a la necessite
de mise en place d'habilitations ?

• La liste des personnes autorisees est-elle explicitement constituee (tenue

confidentiellement et conservee en securite) ?
• Le gestionnaire detenteur du pouvoir d'attribuer ces droits d'acces est-il
parfaitement identifie (par action et par collaborateur autorise) et est-il
unique?
• Les travaux traditionnels (non informatises) reclamant une autorisation
particuliere sont-ils recenses ?
• Cette liste s' appuie-t-elle sur une analyse methodologique des risques ?

• Existe-t-il un suivi de la satisfaction, en delai et en qualite, des besoins

de formation ayant re9u une reponse favorable?
• Lors de formation individuelle d'un collaborateur a un nouveau savoir-
faire, ou une nouvelle connaissance, organise-t-on a son retour une
seance de retransmission pour ses collegues de travail ?

• Les besoins d'information generale ont-ils ete recenses avec les

interesses ?
• Les besoins de «veille» technologique ou methodologique sont-ils
recenses de la meme falton ?
• Existe-t-il un suivi de la satisfaction des demandeurs concernant les
reponses apportees aux besoins d'information satisfaits ?

• A-t-on Ie sentiment que Ie climat social est satisfaisant ?

• Les collaborateurs sont ils incites regulierement a communiquer a la hierar-
chie toutes les anomalies ou presomptions d'anomalies rencontrees ?
• Pratique-t-on reguW:rement (par exemple au cours de l'entretien annuel)
un test de verification de la perception des responsabilites par Ie collabo-
rateur (par exemple en lui demandant de re-decrire sa fiche de poste en
ce sens pour verifier sa perception) ?
• Attire-t-on regulierement l'attention (par exemple lors de l'entretien
annuel) sur les regles elementaires de securite (confidentialite, devoir de
,
reserve, etc. ) ?.
• Apporte-t-on systematiquement une attention particuliere ala sensibili-
sation des nouveaux collaborateurs (mutation ou recrutement) sur les
themes de la securite et du Contrale Interne?

• Chaque hierarchique connait-il avec precision la hauteur de risques de

chacun de ces actes et de chacune des activites qu'il a deleguees ?
• En consequence, Ie suivi de chacun de ces risques (indicateurs et
tableaux de bord specifiques) est-il assure jusqu'au plus haut niveau
adequat avec la hauteur de chacun de ces risques ?
• Chaque hierarchique, a quel que niveau que ce soit, a-t-il une connais-
sance technique precise et complete des procedures de Controle
Interne?
• Applique-t-on systematiquement pour toute activite sensible Ie principe
de la separation des taches?
• Les controles informatises font-ils l'objet de verification periodique de
la qualite de ces controles ?

• Existe-t-il une documentation explicite a jour des procedures?

• La documentation terminologique (glossaires, lexiques, etc.) des termes
employes dans Ie metier existe-t-elle, est-elle a jour et repond-elle aux
besoins des agents ?

• Les questionnaires d'analyse de risques existent-ils ?

• S'assure-t-on de l'adequation entre les besoins theoriques et l'equipe-
ment reel?
• Dispose-t-on de methodes appropriees pour analyser et maitriser les
risques localement ?
• La fonction de coordination locale des risques a-t-elle les moyens (docu-
mentation, communication, etc.) de repondre aux besoins de prevention
des risques dans son domaine et les moyens de communication avec la
cellule de coordination centrale?
• Dispose-t-on d'un catalogue complet des grands scenarios de sinistres
(en general) transversaux (incendie des Iocaux, indisponibilite longue et
grave du systeme d'information, greve longue des transports
publics, etc.) ?
• Chacun de ces risques a-t-il fait l'objet d'etudes specifiques de
recherche de modes de fonctionnement de substitution?
• Pour chacun de ces risques a-t-on clairement identifie les partages de
responsabilites entre les entites operationnelles et Ie Siege?
• Existe-t-il une documentation explicite ajour des procedures de produc-
tion dans Ie cadre d'un fonctionnement degrade en cas de sinistre
grave?
• Existe-t-il une documentation explicite ajour des procedures de retour it
la situation normale a la suite d'un passage en fonctionnement degrade
apres reparation d 'un sinistre grave?

• Y a-t-il une revision systematique des differents types de risques iden-

tifies apres chaque modification importante des processus de travail
(organisationnels ou informatiques) ?
• Cette revision entraine-t-elle aussi la mise ajour des mesures prises pour
maitriser les risques ?
• Y a-t-il une reunion ou Ie sujet du Contr6le Interne est systematiquement
inscrit a I' ordre du jour au moins une fois par semestre ?

• Les travaux ou objets de gestion reclamant un acces particulier a un

endroit sensible sont-ils recenses ?
• Cette liste s'appuie-t-elie sur une analyse methodologique des risques ?
• La liste des personnes autorisees est-elle explicitement constituee (tenue
confidentiellement et conservee en securite) ?
• Les personnes autorisees sont-elles explicitement aVlsees de leur
responsabilite en cas de non respect des droits (distribution des des ou
badges, etc.) ?
• Existe-t-il un reglement ecrit precisant les procedures de securite et les
regles de confidentialite de conservation des documents situes dans les
bureaux (quel que soit Ie support) en dehors des heures ouvrees ?
• Existe-t-il un reglement ecrit precisant les procedures de securite et les
regles de confidentialite de conservation des documents situes dans les
bureaux (quel que soit Ie support) pendant les heures ouvrees (absences
momentanees, heure du dejeuner. .. ) ?
• Les moyens techniques permettant de satisfaire aces regles sont-its
adequats?

• Les dossiers ou documents reclamant une autorisation particuliere

d'acces sont-its recenses ?
• Cette liste s'appuie-t-elle sur une analyse methodologique des risques
du domaine?

• Existe-t-il un reglement ecrit precis ant, en fonction des degres de confi-

dentialite, les procedures de securite physique et les regles de confiden-
tialite de transmission des documents sensibles ?
• Existe-t-il un reglement ecrit precisant, en fonction des degres de confi-
dentialite, les procedures de securite physique et les regles de confiden-
tialite d'archivage et de destruction des documents sensibles ?

VI.3 PROCESSUS TRESORERIE : EXEMPlES DE POINTS

DE CONTROlE, RISQUES ET BONNES PRATIQUES

Cette partie presente uniquement des exemples de points de contrale,

risques et bonnes pratiques afin d'eviter d'etre trop detaillee au sein de ce
livre.
Nous avons selectionne certains themes qui nous semblent particuliere-
ment importants dans ce processus tels que l'environnement general et
organisation, les reconciliations bancaires, les transferts bancaires electro-
nique, les besoins de financement et les expositions au risque de change.
Afin de traiter l'exhaustivite des risques lies au processus Tresorerie,
d'autres points de contr6les devraient egalement etre detailles et notam-
ment associes aux sous processus suivants : la gestion des banques, les
encaissements, les decaissements, les paiements manuels, les campagnes
de reglements, Ie processus EDI, la gestion de la caisse, les flux de treso-
rerie (services web et Ie processus de gestion des flux de tresorerie), la
gestion des excedents de tresorerie et placements et les etats de reporting
de tresorerie.

a Vne analyse de l'environnement bancaire est-elle effectuee regulie-

rement (niveaux d'inflation, des taux d'interet, contrOle des changes) ?
Risques:
L'environnement bancaire est suffisamment instable pour que l'activite et
les performances de la societe puissent etre penalisees tant au niveau local
qu'au niveau Siege:
• stabilite des banques,
• haut niveau d'inflation,
• taux d'interet eleves,
• forte exposition au risque de change,
• fort contr6le des changes.
Bonnes pratiques suggerees :
• Ie departement Tresorerie en local doit s'assurer que les risques de son
environnement bancaire sont bien identifies et sous contr6le,

• une reguliere revue de la couverture de ses risques est requise,

• la Direction Corporate Tresorerie doit etre regulierement tenue informee

de la situation locale,
• la mise en reuvre de ces suivis et contrales permet d'optimiser l'exposi-
tion aux risques de tresorerie.

a Des delegations de pouvoirs specifiques ont-elles ete formalisees

pour les personnes impliquees dans les operations de tresorerie ?
a Toutes les transactions de tresorerie realisees sont elles systemati-
quement recensees et formellement encadrees par des delegations de
pouvoirs?
Risques:
• Pas de processus d'approbation etlou de contrale mis en place au sein de
la societe.
• Realisation des transactions de tresorerie de la societe par des personnes
non autorisees.
• Cadre de fonctionnement de la Tresorerie mal detini.
• Contrale des engagements de la societe vis-a-vis de tiers mal detini etlou
pas encadre par des autorisations formelles.
Bonnes pratiques suggerees : toutes les personnes impliquees dans la
conduite des operations financieres quotidiennes engage ant la societe vis-
a-vis de tiers doivent etre identifiees et recensees au sein de delegations
de pouvoirs internes et externes. Des delegations de pouvoirs organisees et
formalisees permettent de renforcer la sensibilisation et la responsabilisa-
tion des personnes habilitees a operer pour la societe.
Le processus de reglements doit, par exemple, etre encadre par des delega-
tions de pouvoirs externes autorisant un/des delegue!s a proceder aux
reglements fournisseurs pour Ie compte de la societe, et ainsi a signer des
moyens de paiement.
Toute delegation de pouvoirs consentie, qu'elle soit interne ou externe,
doit tenir compte de limites financieres impliquant une hierarchie supe-
rieure autorisee en cas de depassement et doit etre organisee en respectant
Ie principe de separation des fonctions.
Les delegations de pouvoirs internes et externes doivent faire l' objet de
revues, de confirmations et de mises ajour validees regulierement, specifi-
quement lors de nouvelles nominations impliquant la mise en place d'un
niveau approprie de delegations.

a Les transactions realisees suite aux montants mis en rapproche-

ment sont elles individualisees, datees et analysees ?
Risques : impossibilite/difficulte de justifier les soldes en comptabilite et
les soldes en banque.
Bonnes pratiques suggerees : plusieurs principes regissent Ie suivi des
rapprochements bancaires :

• Ne jamais laisser en suspens et non documentes des ecarts inexpliques,

notamment s'il s'agit de faibles montants resultant d'ecarts de
decimales.

• Les decaissements non comptabilises en rapprochement doivent etre

saisis sur la base de documents support obtenus de la banque ou du
departement tresorerie.
• Aucune prevision de decaissement et/ou d'encaissement ne doit figurer
dans les comptes comptables de banque.
a Les reconciliations bancaires sont elles controlees ?
a Les reconciliations bancaires sont elles formellement approuvees ?
a Le principe de separation des fonctions est-il pris en compte dans
l'organisation du processus de reconciliation bancaire : realisation,
contrOie et approbation ?
Risques : risque de fraude et/ou de detournement pas suffisamment
circonscrit.

Bonnes pratiques suggerees : afin d'assurer un contrale effectif des flux

financiers et de respecter une separation appropriee des fonctions, au
moins deux personnes doivent etre impliquees dans Ie processus de recon-
ciliation ban caire :
• au mieux, les reconciliations bancaires ne doivent pas etre effectuees par
une personne impliquee dans les processus de suivi/enregistrement des
encaissements et des decaissements ;
• les reconciliations bancaires doivent etre systematiquement controlees
par une personne differente de celle qui les effectue. Les controles
effectues sur les reconciliations bancaires doivent etre formalises ;
• au mieux, les reconciliations bancaires doivent etre approuvees par Ie
Directeur Financier.

D Dans Ie cas oil la societe utilise les transferts bancaires comme

moyen de reglement des fournisseurs, existe-t-il une procedure enca-
drant ce mode de fonctionnement ?
D Existe-t-il une procedure permettant de tracer, d'identifier et de
gerer les virements bancaires electroniques rejetes par Ie systeme ou
logiciel utilise ?
D Vne solution/application logicielle specifique a-t-elle ete mise en
place pour proceder aux virements bancaires electroniques ?
D Si une telle solution a ete implementee, est-elle installee sur un
poste informatique specifique ?
D Le poste informatique utilise pour proceder aux virements
bancaires electroniques est-il garde eteint quand il n'est pas utilise ?
D L'acces it ce poste informatique est-il restreint aux seules
personnes dument autorisees it proceder aux reglements fournisseurs
par virements bancaires eIectroniques ?
D L'acces it ce poste informatique est-il securise par des mots de
passe individuels et changes regulierement ?
aLes personnes habilitees a proceder aux reglements fournisseurs
par virements bancaires electroniques, sont-elles sensibilisees a
l'importance de garder ce mot de passe confidentiel et de maniere
securisee?
Risques:

• politique de reglements eIectroniques encadree par une procedure peu

securisante et des principes de securite mal etablis ;
• risques de fraude et de detournements (acces, donnees, ... non securises).
Bonnes pratiques suggerees : si les reglements fournisseurs par vire-
ments electroniques sont autorises en pratique, un contrat doit formelle-
ment etre passe avec la banque afin d'autoriser de telles pratiques.
Un tel contrat doit necessairement prevoir des clauses sur la securite, la
confidentialite et la traQabilite des informations echangees et des transac-
tions realisees.

Afin de s' assurer du correct encadrement des transactions realisees et des

donnees transmises par virement bancaire electronique, une procedure sur
les contrOles a effectuer doit etre formalisee, communiquee et appliquees.
Cette procedure doit notamment prevoir :
• nomination de personnes autorisees a saisir des coordonnees bancaires
fournisseurs, a realiser des transactions par virement ban caire electro-
nique et dediees au contrale des transactions et donnees transmises, en
tenant compte du principe de separation des fonctions ;

• acces a la solution logicielle utilisee limite aux profils prealablement

definis et gestion de mots de passe securises ;
• typologie des transactions autorisees par virement bancaire electronique ;

• description du mode opera toire ;

• liste des contrales permettant de s'assurer que les transmissions de
donnees sont securisees et conformes aux factures approuvees pour
paiement et programmees ;

• liste des documents support requis permettant de s' assurer que les tran-
sactions sont correctement realisees et en toute securite ; ces documents
 doivent etre gardes avec les factures originales au Departement
Foumisseurs ;
• afin de prevenir tout risque d'erreur et de perte d'information, une
procedure doit permettre de recenser la liste des erreurs possibles
d'operations, des rapports d'incident existants et doit decrire Ie mode
operatoire a suivre pour la recuperation des donnees eventuellement
egarees.

D Si la situation nette de tresorerie de la societe est en position exce-

dentaire, la tresorerie a-t-elle re~u des instructions ecrites approuvees
par la Direction pour l'utilisation de ces excedents ?
D Si la situation nette de tresorerie de fa societe est en position exce-
dentaire, des regles d'utilisation des excedents ont elles ete definies et
formalisees au sein d'une procedure: type d'investissements auto-
rises, seuils et limites d'utilisation ... ?
Risques : risque de manque d'encadrement des operations d'investisse-
ments financiers: pas de delegation de pouvoir formelIe accordee au treso-
rier pour engager la societe, pas de proc6dure en vigueur pour encadrer
les operations, potentiel manque d'implication de la Direction de la societe
sur ce type d'operations.
Dans Ie cas ou la societe appartient a un Groupe, potentiel manque de
coordination entre Ie management local et la Direction Corporate Treso-
rerie pour l'optimisation de la tresorerie du Groupe.
Bonnes pratiques suggerees : encadrer les operations de placement de
tresorerie et anticiper tout risque de manque de contrcle des operations
realisees par :
• sensibilisation et responsabilisation du tresorier par des deU:gationsde
pouvoirs et des procedures formalisees (typologie des operations, seuils
et limites d' engagement ... ) ;
• definition des regles et obligation d'un suivi formalise et regulier des
performances pour impliquer efficacement la Direction locale, en vue
egalement de I' optimisation des performances ;
• definition des outils de placement et des institutions financieres auto-
risees pour ce type d'operation a engager la societe;
• dans Ie cas ou la societe appartient a un Groupe, s'assurer au prealable
que la Direction Corporate Tresorerie autorise ce type de pratique et lui
en rendre compte regulierement pour une bonne coordination des opera-
tions et une meilleure utilisation possible des synergies;
• un tel cadre de fonctionnement doit surtout permettre de limiter tout
debordement et empecher tout tresorier de travailler pour son propre
compte.

C La politique de change est-elle formalisee au sein d'une

procedure?
C Cette procedure decrit-elle la politique eventuelle de couverture
du risque de change?
C Dans Ie cas oil la societe appartient a un Groupe, cette procedure
autorise-t-elle toute filiale a couvrir ses transactions import et export?
C Dans Ie cas oil la societe appartient a un Groupe, cette procedure
requiert-elle, au-dela d'un certain seuil, l'approbation par la Direc-
tion Corporate Tresorerie de toute couverture de transaction import
et export?
Risques : etre expose a un fort risque de change (surtout dans Ie cas ou la
monnaie de transaction courante de la societe est flottante) :
• pas de politique precise sur la couverture des expositions au risque de
change,
• existence d'une politique et de procedures mais mal comprises et pas
suivies,
• utilisation d'outils/de produits de couverture mal maitrises ou non auto-
rises dans Ie cas ou la societe appartient a un Groupe.
Bonnes pratiques suggerees : l'exposition au risque de change doit etre
suivie et anticipee :
• definir une politique de couverture du change et des regles de fonction-
nement et de controle du correct encadrement des operations de change,
• definir des outils de couverture du risque de change,
• dans Ie cas ou la societe appartient a un Groupe, s' assurer au prealable
que la Direction Corporate Tresorerie a defini une politique de couver-
ture Groupe et la suivre.

VI.4 PROCESSUS PUBLICATION ET REMONTEES

DES INFORMATIONS COMPTABlES ET FINANCIERES:
EXEMPlES DE POINTS DE CONTROlE, RISQUES
ET BONNES PRATIQUES

Comme pour Ie processus Tresorerie, certe partie presente uniquement des

exemples de points de controle, risques et bonnes pratiques afm d'eviter
d'etre trop detaillee au sein de ce livre.
Nous avons selectionne certains themes qui nous semblent particuliere-
ment importants dans ce processus tels queles Comites de comptes, la
Direction de l' Audit Interne, la segregation des fonctions, l'ajustement et
Ie passage des comptes statutaires locaux aux comptes retraites Groupe et
les etats de reporting au niveau corporate.
Afin de traiter l'exhaustivite des risques lies au processus Publication et
Remontees des Informations Comptables et Financieres, d' autres points de
controles devraient egalement etre detailles et notamment associes aux
sous processus suivants : Sarbanes-Oxley Act, Ie Comite d' Audit, Ie
systeme comptable et plan de comptes, les enregistrements comptables, Ie
processus de cloture mensuelle des comptes, les transactions interentre-
prises, Ie sous-processus de cloture annuelle des comptes ...
D Existe-t-il un Comite des Comptes au sein du Groupe?
D Le Comite des Comptes a-t-il participe it la mise en place de proce-
dures et des revues relatives it la production et it la publication des
etats financiers du Groupe?
D Le Comite des Comptes est-il implique dans les revues et con trOles
pour s'assurer de la fiabilite et de I'integrite des etats financiers
produits et publies ?
Risques : pas d'organe central ayant une supervision globale du processus
de production des etats financiers consolides.
>- Pas de procedures et contr61es formalises pour s'assurer de l'homoge-
neite des etats financiers.
>- Non-conformite aux nouvelles reglementations financieres, notam-
ment avec Ie Sarbanes-Oxley Act, pouvant entrainer des sanctions finan-
cieres Gusqu'a 5 Millions de dollars US) et penales Gusqu'a 20 ans
d'emprisonnement), telles que decrites dans Ie Section 906 du Sarbanes-
Oxley Act.

Bonnes pratiques suggerees : Ie Comiie des Comptes doit assister les

responsables operationnels de la Direction Financiere en charge de la defi-
nition des processus et des procedures pour s' assurer de 1'homogeneite, de
l'exhaustivite et les delais impartis pour la production et la remontee des
etats financiers aux bomes du Groupe.
>- Le Comite des Comptes doit s'assurer que l'ensemble des informa-
tions requises pour la publication des etats financiers aux autorites bour-
sieres competentes soit enregistrees selon les normes comptables en
vigueur dans Ie Groupe, dument justifiees, formalisees, repertoriees et
transmises au Corporate dans les delais impartis pour revue et traitements
appropries s'il y a lieu.
>- Le Cornite des Comptes doit etre egalement implique dans la revue et
la Supervision des communiques de presse a caractere financier, de
l'information a destination des actionnaires pour s'assurer de l'integrite et
de la coherence des informations publiees a destination du public.
> Dans Ie cadre du Sarbanes-Oxley Act, Ie Comite des Comptes doit
initier une revue et une evaluation de I' efficacite des procedures relatives a
la production et a la publication des etats financiers, dans Ie 90 jours prece-
dant la publication des documents de references 10-K, 20F, ou 10-Q pour
les documents references des societes publiant leurs comptes sur une
frequence trimestrielle.
> Dans Ie cadre de la Loi de Securite Financiere, Ie Comite des Comptes
(ou organe equivalent) est amene a evaluer et a apprecier I'efficacite des
procedures relatives a la production et a la publication des etats finan-
ciers. Cette appreciation sera formalisee dans un rapport du President ou
du President Conseil de Surveillance; rapport qui sera revu et commente
par les commissaires aux comptes s'il y a lieu.

a Existe-t-i1 une Direction de I'Audit Interne au sein du Groupe?

a Le rOle de la Direction de I'Audit Interne est-i1 soutenu et encou-
rage par la Direction Generale ?
aLes membres du Comite Executif rec;oivent-ils regulierement les
rapports et conclusions des travaux d'audit concernant les sujets
importants ou it risques, ainsi que Ie rapport de suivi de mise en reuvre
des actions correctrices ?
aLes recommandations d'audit sont-elles exprimees avec une
proposition de plan d'actions discutes et acceptes des audites ?
aLes recommandations sont-elles suivies pour s'assurer de leur
bonne application dans les delais impartis ?
a Existe-t-il au sein de la Direction de l' Audit Interne un processus
de mises it jour des informations concernant Ie fonctionnement,
I'organisation et Ie business des activites du Groupe, tels que nomina-
tions, programmes d'investissements, plans marketing, changement
de perimHres de responsabilites et d'organisation ?
a Existe-t-il un programme de formation specifique et approprie au
sein de la Direction de l' Audit Interne?

a Le programme de formation comprend-il des besoins en forma-

tion tant sur les techniques d'audit que sur des sujets business et
operationnels du Groupe?

Risques:

> non-conformite avec les reglementations du NYSE, pour les societes

qui y sont cotees ;

> mauvaise adaptation des ressources et moyens mis a la disposition des

auditeurs pour effectuer leur revue de maniere efficace et constructive au
sein du Groupe ;

>- les revues d'audit ne collent pas assez aux preoccupations des opera-
tionnels et ne participent pas a promouvoir Ie role participatif de creation
de valeur au sein du Groupe.

Bonnes pratiques suggerees : les Groupes d'envergure internationale

doivent disposer d'un organe assurant la fonction d' Audit Interne, soit par
une Direction existante, soit par la sous-traitance a une societe autre que
son commissaire aux comptes, afin de respecter les bonnes pratiques de
Corporate Gouvernance.

> La Direction de I' Audit Interne devrait etre rattachee a la Presidence

du Groupe afin d'assurer son independance d'action vis-a.-vis des opera-
tionnels du Groupe.

>- Les reglementations americaines du NYSE ont formalise les disposi-

tions relatives a la mission et au fonctionnement d'une Direction d' Audit
Interne au sein des Groupes cotes.

> La Direction de l' Audit Interne doit s' assurer notamment :

- de la qualite et de la bonne formation de ses equipes,

- de l'independance du role de l' Audit Interne, avec la suggestion de

reporter a.la Presidence,
- de l'implication des principaux responsables operationnels dans Ie mise
en place des recommandations d'audit formulees dans leur domaine de
competence et de responsabilites,
- de la bonne et reguliere information des sujets importants et critiques
issus des revues d' Audit aux membres du Comite Executif.

a Existe-t-i1 une liste formalisee et mise it jour des delegations de

fonctions octroyees au sein de la societe, mentionnant notamment les
postes, Ie champ de responsabilites et les limitations pour exercer les
differentes operations comptables ?
aLes principales fonctions comptables sont-elle correctement segre-
guees (comptabilite fournisseurs, comptabilite clients, gestion des
banques et tresorerie, comptabilite generale) ?
a Existe-t-i1 une definition de fonction et description de poste
detaillees pour chaque personne au sein de la direction comptabilite ?
aLes fonctions de maintien de la comptabilite generale sont-elles
bien distinctes et separees des comptabilites auxiliaires ?
a Existe-t-i1 des procedures formalisees pour chaque fonction et
chaque tache it effectuer lors des clotures mensuelles et clotures
annuelIes?
a Les procedures concernant les clotures mensuelles ou annuelles
sont-elles specifiquement detaillees pour Ie respect des regles de ratta-
chement des charges it I'exercice (cut-off) ?
a Les documents comptables sont-i1s correctement classes et
archives dans de bonnes conditions de conservation et de
confidentialite ?
a L'acces aux documents et informations financieres et comptables
est-i1limite uniquement aux personnes dument autorisees ?
Risques : les delegations de fonctions ne sont pas en vigueur au sein du
departement comptabilite, pouvant entrainer des risques de manipulations
dans I' enregistrement des operations comptables et affecter I' ensemble de
l'integrite des etats financiers produits.
Bonnes pratiques suggerees : les n~gles de segregation de fonctions
doivent permettre de reduire Ie nombre d'erreurs (intentionnelle ou non
intentionnelle) dans la saisie des operations comptables, contribuant a la
production des etats financiers fiables et exhaustifs.
>- Les regles de segregation de fonctions doivent etre mises en place,
notamment:
- pour favoriser une organisation claire et un fonctionnement efficace des
departements comptabilite et finance,
- pour responsabiliser les personnes en charge, avec des descriptions de
postes et une limitation des responsabilites,
- pour eviter Ie cumul de fonctions ayant re9us des delegations de
pouvoirs internes et externes.

>- Bien que des delegations de pouvoirs internes n'aient pas de valeur
legale, e1les peuvent cependant limiter l'exposition du President (manda-
taire social) en cas de litiges.

~ Etats financiers & reporting

• Ajustement et passage des comptes statutaires focaux

aux comptes retraites Groupe

C Existe-t-il un systeme de reporting specifique et deploye au sein du

Groupe?
C Existe-t-i1 une procedure specifique concernant les informations it
saisir et it reporter dans Ie systeme de reporting?
C Le systeme de reporting est-i1 fourni avec la documentation appro-
priee aux operationnels en charge de son utilisation?
a La documentation est-elle largement diffuse au sein du departe-
ment comptabilite, notamment aux personnes impliquees dans Ie
processus de reporting ?
a Le deploiement du systeme de reporting a-t-il Cte accompagne
d'une formation appropriee au sein des filiales ?
a Le Groupe a-t-il defini des procedures et des contrOlestypes appli-
cables pour Ie processus de reporting?
a Existe-t-il des procedures specifiques detaillant la nature des ajus-
tements comptables it operer pour retraiter des comptes statutaires
locaux au format de comptes consolides Groupe?
aLes retraitements comptables operes sont-ils dument formalises,
documentes et justifies (regles d'amortissements, regles de
. . )?.
proVIsIOns...
a Les procedures et documentations relatives aux retraitements
comptables prevoient-elles la formalisation d'une table de passage
pour materialiser et justifier les retraitements entre les comptes statu-
taires et les comptes consolides ?
a Un etat de synthese des retraitements est-il systematique fourni
dans les liasses de reporting?
aLes ecritures de retraitement sont-elle identifiables dans Ie
systeme de reporting et effectivement tracees ?
aLes retraitements sont-ils revus et approuves de maniere forma-
lisee par Ie responsable du departement comptabilite ?
Risques:
> les ajustements ne sont pas traces, analysees pour s'assurer de la perti-
nence des comptes retraites ;

> les ajustements ne sont pas justifies; risques de manipulation des etats
financiers ayant impact que l'integrite des comptes publies ;

> des irregularites sur les comptes ayant un impact materiel peut
entrainer les penalites financieres et penales dans la cadre du Sarbanes
Oxley Act (Section 906).
Bonnes pratiques suggerees : tout retraitement des comptes doit etre
systematiquement documente, justifie et trace.
>- Un etat de synthese des retraitements entre comptes statutaires et
comptes consolides doit etre formalise et transmis lors du processus de
reporting, afin de permettre l'analyse et l'appreciation de l'impact sur les
comptes.
>- Les comptes locaux doivent etre rapproches des etats comptables exis-
tants (balance generale, balances auxiliaires ... ).
>- Les procedures Groupe doivent specifier les informations requises
dans Ie processus de reporting mensuel des comptes, ainsi que la proce-
dure d'utilisation du systeme de reporting.
>- Les procedures Groupe relatives aux processus de reporting doivent
egalement assurer la correcte segregation des fonctions dans Ie processus
de production des comptes, de retraitement, de remontee des comptes
retraitees.

• flats de reporting au niveau corporate

a Dans l'hypothese de retraitement ayant un impact materiel, Ie

Corporate informe-t-illes entites des ajustements it operer ?
aLes ajustements et ecritures comptables sont-ils systematiquement
effectues par les entites responsables de l'integrite et de l'exhaustivite
de leurs Hats financiers?
Risques:
>- les etats financiers reportes et pub lies ne sont pas fiables et ne refletent
pas la realite de la situation economique ;
>- les retraitements sont effectues par Ie Corporate, sans consultation et
validation prealable des entites, ayant la responsabilite de l'integrite des
comptes dans leur perimetre ;
>- les ajustements ne sont pas justifies: risques de manipulation des etats
financiers ayant impact que l'integrite des comptes pub lies ;
> l'application du Sarbanes-Oxley Act implique des risques de sanctions
financieres et penales (Section 906) en cas de processus de remontee et de
publication des etats fmanciers faible, entrain ant la production de comptes
non fiables.
Bonnes pratiques suggerees : les procedures et processus de remontee
des etats financiers doivent prevoir les retraitements des comptes a effec-
tuer, documenter, formaliser et a reporter au Corporate.
> En cas de besoins de retraitement complementaires exprimes par Ie
Corporate, des instructions specifiques doivent etre transmises aux entites,
avec justification et explication, pour que celles-ci ajustent les comptes en
consequence. Les entites sont responsables de l'integrite et de l'exhausti-
vite des comptes dans leurs perimetres de competences.

VI.5 PROCESSUS RESSOURCES HUMAINES :

EXEMPlES DE POINTS DE CONTROlE, RISQUES
ET BONNES PRATIQUES

Comme pour les processus precedents, cette partie presente uniquement

des exemples de points de controle, risques et bonnes pratiques afin
d' eviter d' etre trop detaillee au sein de ce livre.

Nous avons selectionne certains themes qui nous semblent particuliere-

ment importants dans ce processus tels que l'organisation, Ie processus de
recrutement, la preparation de la paie, I' emission emission de la paie, la
comptabilisation de la paie et Ie paiement de la paie.
Afin de traiter l' exhaustivite des risques lies au processus Ressources
Humaines, d'autres points de controles devraient egalement etre examines
et notamment associes aux sous processus suivants : Ie budget, les dossiers
du personnel, Ie processus de sortie, Ie systeme de paie, les autres elements
lies aux employes tels que les conges payes, les avantages aux employes,
fonds de pension, prets aux employes, avantages en nature, notes de frais,
gestion des avances, dettes sociales et fiscales liees aux employes ...
D Existe-t-il des organigrammes formalises au sein de la societe?
D Sont-ils regulierement mis a jour et diffuses a l'ensemble du
personnel?
Risques:
> les equipes n'ont pas une vision claire de leurs differents liens hierar-
chiques et de leur perimetre de responsabilite ;
> les organisations et les liens hierarchiques ne sont pas clairement
detinis au sein des differentes structures, les processus de decision sont
ralentis.
Bonnes pratiques suggerees : lorsque les organisations evoluent et/ou
des personnes sont nouvellement nommees, l'information doit etre large-
ment diffusee au sein des structures concernees favorisant ainsi l'effi-
cience des chaInes de responsabilite et des processus de decision.

DAvant d'initier Ie processus de recrutement, les demandes de

recrutement font-elIes l'objet d'un format d'approbation specifique ?
D Les directions Ressources Humaines, Finance et Operations sont-
elIes impliquees dans Ie processus de validation des demandes de
recrutement ?
D Afin de favoriser la promotion et la motivation des salaries, les
postes a pourvoir sont-ils largement diffuses et proposes prioritaire-
ment en interne ?
D Des objectifs de promotion interne sont-ils clairement definis, fixes
a la Direction des Ressources Humaines et integres au sein de la proce-
dure de recrutement ?
> la Direction des Ressources Humaines n' est pas systematiquement
impliquee, Ie processus de recrutement n'est pas optimise,
> les competences et les qualites des candidats ne sont pas bien evaluees,
> les promotions internes sont moins favorisees que les recrutements
externes.
Bonnes pratiques suggerees : la procedure de recrutement doit etre
elaboree et formalisee en accord avec les delegations de pouvoirs en
vigueur au sein de la societe en associant les Directions des Ressources
Humaines, Finance et Operations, diffusee a I' ensemble des personnes
concernees et integrer les points suivants :
> demande de recrutement mentionnant si Ie recrutement etait budgete
ounon;
> type de contrat, caracteristiques du poste (fonction, classification, Ie
salaire annuel, autres formes de remuneration, date de recrutement
souhaitee ... ) ;
> raison de Ia demande (creation, remplacement : depart, transfert,
I'absence, conges de maternite ... ) ;
> formulaire de signature indiquant Ie demandeur, Ie responsable fman-
cier, Ie responsable des ressources humaines et Ie responsable operationnel.
La Direction des Ressources Humaines doit gerer Ie processus de recrute-
ment apres identification des besoins en accord avec Ies operationnels et
evaluer:
> la qualite de Ia description de poste,
> la necessite d'une demande de recrutement interne et/ou externe,

> les besoins lies aux recrutements : annonces, cabinet de recrutement ...

La procedure de recrutement doit egalement mentionner les principes de gestion de

promotion interne et ses objectifs associes.
D Les parties variables de la paie sont-elles systematiquement inte-
grees lors de la preparation de la paie ?
Risques : les employes sont payes sur la base d'informations incompletes
et/ou erronees.
Bonnes pratiques suggerees : les parties variables de la paie doivent etre
elaborees a partir des elements suivants :
> heures travaillees,
> heures supplementaires,
> primes etlou bonus recurrents ou non,
> bonus des commerciaux ...
Ces elements doivent etre fournis a la Direction des Ressources Humaines
par les Directions Operationnelles avec l'ensemble des documents
supports, et doivent prealablement avoir ete approuves en fonction des
delegations de pouvoirs en vigueur. Les elements variables de la paie
doivent etre egalement classes et archives.
Des contr6les sur la gestion des parties variables doivent etre realises tout
au long du processus de paie afin d'en assurer sa coherence et sa
conformite.

D L'etat recapitulatif de la paie est-il edite une seule fois ?

Risques : absence de confidentialite sur la remuneration des employes.
Bonnes pratiques suggerees :
> afin d'assurer la confidentialite et la conformite des remunerations
allouees, un seul etat recapitulatif de la paie doit etre edite et formellement
approuve en accord avec les delegations de pouvoir en vigueur ;
> les bulletins de salaires des employes doivent etre imprimes au sein
de Ia Direction des Ressources Humaines et uniquement en presence
d'employes habilites ;
> pour des raisons de tra<;:abilite et de confidentialite, les bulletins de
salaires doivent etre conserves, archives dans un lieu securise au sein de la
Direction des Ressources Humaines.

C La procedure de comptabilisation de la paie est-elle formalisee ?

C Des controles sont-ils regulierement realises sur les saisies comp-
tables automatiquement generees par Ie systeme de paie ?
Risques : la comptabilisation de la paie n'est pas satisfaisante etlou
erronee.
Bonnes pratiques suggerees : les elements de la paie issus du systeme
de paie doivent etre prepares par la Direction des Ressources Humaines, et
seuis les montants globaux doivent etre diffuses a la Comptabilite pour des
raisons de confidentialite des remunerations.
> Les elements de la paie pour comptabilisation doivent mentionner les
points suivants :
- Ie salaire brut,
- les parts sociales (employees et patronales),
- Ie salaire net a payer.
C Afin de respecter Ie principe de separation des fonctions, les
elements de la paie comptabilises manuellement (en cas d'absence
d'interface automatique entre Ie systeme de paie et Ie systeme comp-
table) doivent ctre transmis ala Comptabilite pour controle.
C Lorsque les entrees comptables sont generees automatiquement,
les reconciliations entre les donnees issues du systeme de paie et les
elements prepares et transmis par la Direction des Ressources
Humaines doivent ctre realisees par la Comptabilite.
D Les virements bancaires relatifs a la paie des employes sont-i1s
realises par la Direction des Ressources Humaines ?
Risques : absence de confidentialite de la remuneration.
Bonnes pratiques suggerees : les virements bancaires relatifs a la paie
des employes doivent etre realises par la Direction des Ressources
Humaines, en accord avec les regles etablies par la Direction Tresorerie,
tout en respectant Ie principe de separation des taches :
>- les virements bancaires, prepares par la personne en charge de la paie
au sein de la Direction des Ressources Humaines, doivent etre soumis a
une validation electronique. Seules les personnes habilitees a signer au
sein de la Direction des Ressources Humaines et de la Direction Finance
doivent detenir les codes et effectuer l'operation ;
>- lors de la validation electronique et de I'execution, I'etat recapitulatif
de la paie approuve doit etre present et permettre ainsi aux signataires de
realiser des tests de coherence ;
>- un certificat de reception doit etre emis par la banque, reconcilie en
mouvement et en global avec l'etat recapitulatif de la paie et archive pour
des raisons de tra9abilite par la Direction des Ressources Humaines.
D Les cheques individuels emis aux employes sont-i1s emis au sein de
la Direction des Ressources Humaines ?
Risques : absence de confidentialite des remunerations.
Bonnes pratiques suggerees : afin d'assurer la confidentialite, l'emis-
sion de cheques individuels aux employes doit etre effectuee au sein de la
Direction des Ressources Humaines et respecter les points suivants :
>- les cheques, prepares par la personne responsable de cette tache au sein
de la Direction des Ressources Humaines, devraient etre signes par deux
personnes afin de respecter Ie principe de double signature;
>- les personnes habilitees, en accord avec les delegations de pouvoir en
vigueur, doivent etre, de preference, de la Direction des Ressources
Humaines et de la Direction Finance.
Lors de la signature de cheques, I' etat recapitulatif de la paie approuve doit
etre present et permettre ainsi aux signataires de realiser des tests de
coherence.

VI.6 PROCESSUS SYSTEMES D'INFORMATION :

EXEMPlES DE POINTS DE CONTROlE, RISQUES
ET BONNES PRATIQUES

Comme pour les processus precedents, cette partie presente uniquement

des exemples de points de controle, risques et bonnes pratiques afin
d'eviter d'etre trop detaillee au sein de ce livre.
Nous avons selectionne certains themes qui nous semblent particuliere-
ment importants dans ce processus tels que I' environnement des systemes
d'information, Ie management des res sources informatiques, Ie plan de
continuite.
Afin de traiter l'exhaustivite des risques lies au processus Systemes
d'Information, d'autres points de contrOles devraient egalement etre
detailles et notamment associes aux sous processus suivants : Acquisi-
tion, Developpements, Implementation (DeveIoppements - Project Mana-
gement, Implementation, Revue post-implementation, Maintenance &
support), Exploitation (Documentation, Pilotage de I' activite, sauve-
gardes, Services et sous-traitance, Reglementations (licences, CNIL) ,
Securite des Systemes d'Information (Securite logique et Securite
physique).

a Au sein de votre organisation, une procedure / mode operatoire

relative au processus Systemes d'lnformation (81) est-il formalise ?
a La procedure / mode operatoire comporte-t-il un volet « securite »
(charte securite, objectifs et principes generaux de securite, politiques
de securite, securite et protection des donnees, directives, normes de
'r'
re.erences... ) ?
.
a Des tests et contrOies sont-ils effectues par la Direction Informa-
tique (DI) et/ou la Direction de l' Audit Interne pour s'assurer que ces
procedure / modes operatoires sont appliques?
Risques : les sr presentent des risques majeurs en terme de securite des
donnees, de confidentialites et d'utilisation.
Bonnes pratiques proposees : afm de s'assurer de la mise en place des
bonnes pratiques en matiere de sr, il est souhaitable de mettre en place
un referentiel decrivant I' ensemble des procedures, modes operatoires et
normes. Ce referentiel permettra d' etre « la reference» en sr et devrait
notamment couvrir les themes suivants :
• environnement des sr (missions, politique generale SI. .. ),
• acquisition, developpement, implementation (investissement, develop-
pements - project management, implementation, revue post-implemen-
tation, maintenance & support ... ),
• exploitation (documentation, pilotage de l' activite, sauvegardes,
services et sous-traitance ... ),
• securite des sr (securite logique, physique, protection anti-virus, conti-
nuite de service ... ).
Ce « referentiel » devrait etre formalise, diffuse et surtout explique aupres
des operationnels afin de s'assurer de leur comprehension et de leur adhe-
sion et decline localement en fonction des pratiques deja appliquees. Sur
cette base, il est souhaitable d'effectuer des tests reguliers afin de s'assurer
de la bonne application.

a Vne planification des ressources informatiques au sein de votre

entite est-elle realisee ?
a Le mode « gestion de projet» est-il applique pour l'ensemble des
projets supervises et/ou geres par votre equipe informatique ?
a Vne formation adaptee est-elle effectuee pour chaque personne en
charge de I'informatique ? .
Risques : votre organisation des competences n' est pas optimale.
Bonnes pratiques proposees : votre politi que SI de gestion des
ressources do it etre proactive en termes de recrutement et de formation.
Vne planification des ressources sur une vision court moyen et long terme
est necessaire afin de s'assurer que vos equipes SI sont en phase avec les
evolutions de la societe non seulement en terme de perimetre d'activite
mais egalement en termes de techniques informatiques et de competences.
Cette planification des ressources doit etre egalement accompagnee d'un
programme de formation en adequation avec les besoins et les compe-
tences requises (competences techniques, comportementales - accompa-
gnement aux changements -, de gestion de projets ... ).
D Dans Ie cadre des transactions inter-entreprises et de la gestion des
donnees sensibies (virements, remises en banque, paiement des
salaires... ), existe-t-il un protocole formalise et contrOle?
Risques : confidentialite des donnees.
Bonnes pratiques proposees : dans Ie cadre de la mise en place
d'echanges interentreprises une etude sur la securite devrait etre systema-
tiquement effectuee.
II faudrait notamment s' assurer que pour les donnees strategiques
telles que les remises en banque, paiement des salaires, virements ... les
correspondants sont correctement identifies, l'integrite des messages secu-
rises et la confidentialite assuree. La preuve des echanges devrait etre
archivee.
II est souhaitable de proteger les informations tout au long de la chaine des
echanges inter-entreprise.
D Les salles/batiments contenant des equipements informatiques
sensibies (serveurs, peripheriques, routeurs, etc.) disposent-ils d'une
alimentation electrique regulee (onduleurs) permettant d'assurer Ia
continuite de service (electricite, climatisation... ) en cas d'incidents
graves?
Risques : arret de materiellors de micro-coupures.
Bonnes pratiques proposees : l'installation electrique au sein des salles
contenant des equipements informatiques sensibles devrait comprendre
onduleur et des batteries en etat de marche. Des tests de basculement
devraient etre realises sur une base annuelle en s' assurant que les alertes
fonctionnent correctement.

a Un Plan de Secours Informatique (PSI) existe t-il et est-il docu-

mente et teste?
a Le PSI est-il valide par la Direction Generale ?
a Les processus post-reprises (commande de materiels informa-
tiques, necessites urgentes) ; sont-ils egalement integres dans Ie PSI?
Risques : plan de Secours inoperant.
Bonnes pratiques proposees : votre perimetre du PSI (couvertures appli-
catives et fonctionnelles) devrait etre formalise et valide par la Direction
Generale. Votre PSI devrait inclure notamment :
• la liste des informations et documents a proteger et a emporter en cas de
sinistre,
• les procedures de reprises manuelles dans les services utilisateurs, la
gestion des ressources humaines, la restauration du systeme d'exp!oita-
tion, du reseau et des fichiers, les processus post-reprise (commande
materiel, reconstitution du SL .. ),
• les processus et les plannings de retour a la normale ...
Votre PSI devrait inclure egalement des scenarii en fonctions des types
d'incapacite applicative (ponctuelle, temporaire, definitive, destructions
physique de site, serveurs, virus ... ).
VI.7 PROCESSUS HYGIENE ET SECURITE AU TRAVAIL:
EXEMPLES DE PROCEDURES I MODES OPERATOIRES

Ce processus traite des aspects du Contrale Interne relatifs aux principes

fondamentaux de la protection des travailleurs. Apres quelques rappels sur
la reglementation, les aspects techniques sont abordes les uns apres les
autres comme ils pourraient l' etre dans une procedure recensant les
«bonnes pratiques », les conduites a tenir en cas de materialisation du
risque et fournissant des modeles d'imprimes a utiliser.

VI.7.1 Quelques rappels sur la reglementation et sur la notion

de responsabilites

La directive nO89/391/CEE du Conseil des Communautes europeennes du

12 juin 1989, dite « directive - cadre », definit les principes fondamen-
taux de la protection des travailleurs. Elle a place I' evaluation des risques
professionnels au sommet de la hierarchie des principes generaux de
prevention, des lors que les risques n' ont pas pu etre evites a la source.
Depuis 1991, tout chef d'entreprise est tenu de pro ceder a une evaluation
des risques pour la sante et la securite des travailleurs. Les bases reglemen-
taires sont :
La loi n° 91-1414 du 31 decembre 1991 a permis de transposer, pour
l'essentiel, les dispositions que la directive cadre ajoutait au droit fran<;ais.
S'agissant de l'evaluation des risques, c'est l' article L. 230-2 du Code du
travail (Principes generaux de prevention en hygiene, securite et condi-
tions de travail) qui traduit Ie droit communautaire (article 6 de la directive
- cadre), au regard de trois exigences d'ordre general:
• obligation pour I'employeur d'assurer la sante et la securite des travail-
leurs (art L. 230-2),
• mise en reuvre des principes generaux de prevention des risques profes-
sionnels (art L. 230-2),
• obligation de proceder a l'evaluation des risques (III art. L. 230-2).
Le decret n° 92-1261 du 3 decembre 1992 relatif a la prevention du risque
chimique.
Le decret n° 2001-1016 du 5 novembre 2001, portant sur la creation d'un
document relatif a I' evaluation des risques pour la sante et la securite des
travailleurs, introduit deux dispositions reglementaires dans Ie Code du
travail : Le Code du travail et Ie Code de la Securite sociale.

La responsabilite en matiere pen ale est engagee en cas de non-respect

des differents articles concemes, dans Ie Code du travail et Ie code penal.
Les articles du Code du travail edictant des sanctions penales debutent
souvent par la formule « toute infraction ... », sans comporter d'imputation
specifique. Les dispositions repressives les plus recentes sont redigees de
fa<;onplus rigoureuse.
La plupart des infractions a la reglementation du travail sont des infrac-
tions d' omission: la simple abstention est punissable, des lors que Ie texte
applicable impose une obligation de faire.
II n' est pas possible de prendre une assurance personnelle pour la respon-
sabilite penale.
S'agissant d'une infraction au Code du travail, c'est l'inspecteur du travail
qui la constate puis en informe Ie ministere public en vue de poursuites
devant Ie tribunal de police ou Ie tribunal correctionnel.
S'agissant d'une infraction au code penal, c'est Ie procureur de la repu-
blique qui met en reuvre Ie tribunal correctionnel.
La responsabilite civile consiste pour l'auteur d'un dommage a devoir en
reparer les consequences.
En entreprise, il s'agit de la responsabilite delictuelle ou quasi-delictuelle
enoncee dans les articles 1382, 1383, et 1384. La sanction est purement
pecuniaire sous la forme de dommages et interets.
Vne assurance en responsabilite civile est possible. La juridiction compe-
tente est Ie tribunal de grande instance.
Pour Ie chef d'entreprise et ses collaborateurs, les risques font l'objet
d'une mise en garde permanente : I a 5 ans de prison, 15 a 75 000 €
d'amende en cas de« mise en danger de la vie d'autrui »- une centaine de
cas de prison prononces chaque annee.
Les couts lies a la securite qui representent annuellement un pourcentage
significatif de la masse salariale, ne sont que rarement evalues par les
entreprises qui les ont classes, dans les charges fixes.
Les couts directs resultent des cotisations CRAM et de l' absenteisme ; les
couts indirects environ 4 fois les couts directs.
L'experience montre que l'enjeu c'est, tous les ans, 4 a 8 % de la masse
salariale qui peuvent etre economises tout en ameliorant Ie c1imat social
dans un processus qui impliquera la totalite de I' entreprise.

Incrimination Penalite
Homicide involontaire = causer la mort d'autrui par maladresse, impru- 3 ans et 45 000 €
dence, inattention, negligence ou manquement a une obligation de secu-
rite ou de prudence imposee par la loi ou les reglements.
En cas de circonstance aggravante (manquement delibere a une obligation
de securite ou de prudence imposee par les textes). 5 ans et 75 000 €
Causer a autrui une In (Incapacite Temporaire de Travail) < 3 mois, par 1 an et 15 000 €
manquement delibere a une obligation de securite imposee par la loi ou les
reglements. 3 ans et 45 000 €
En cas de circonstances aggravantes.
Mise en danger d'autrui= exposer directement autrui a un risque immediat 1anet15000€
de mort ou de blessures de nature a entrainer une mutilation ou une infir-
mite permanente par la violation manifestement deliberee d'une obligation
particuliere de securite ou de prudence imposee par la loi ou Ie reglement.

VI.7.2 L'accueil des nouveaux arrivants (COI, COD ... )

Un accueil efficace doit donner au nouvel arrivant les moyens de :

• se familiariser avec I' entreprise et son mode de fonctionnement,
• se reperer dans les locaux,
• realiser un travail de qualite en toute securite.
La loi prevo it une information sur :
• les consignes generales et specifiques de securite,
• les risques lies a la circulation sur les lieux de travail,
• les acces aux equipements de travail et locaux collectifs,
• les instructions d'evacuation (issues, degagements, type d'alarme en cas
d' evacuation),
• les risques lies au travail, la conduite a tenir en cas d'accident ou
d'incident.
Dne formation pratique et appropriee en matiere de securite doit etre
dispensee par I' employeur aux :
• salaries qu'il embauche ou aux salaries reprenant leur activite apres un
arret de plus de 21 jours a la deman de du medecin du travail,
• salaries changeant de postes de travail ou de techniques,
• aux travailleurs temporaires.
Les salaries sous contrat a duree determinee (CDD) et les interirnaires
doivent recevoir une formation a la securite renforcee.
Dne visite medicale est egalement obligatoire avant l'embauche ou au plus
tard avant l'expiration de la periode d'essai.
L'information elle-meme ne suffit pas. II faut montrer :
• les vestiaires, la cantine, les sanitaires ...
• les cheminements habitueis pour atteindre Ie poste de travail,
• les extincteurs, les postes de secours,
• Ie telephone.
 Liste des documents remis au salarie lors de son arrivee :
dossier DRH d'embauche

Un original du contrat de travail

Une plaquette de presentation de I'entreprise
Une carte de pointage de I'entreprise
L'organigramme du siege de I'entreprise (ref. 001)
Le reglement interieur de I'entreprise (ref. 002)
La charte deontologique Intemet / Intranet (ref. 003)
Les dispositions conventionnelles applicables (ref. 004)
Les panneaux d'affichage (ref. 005)
La convocation a la visite medicale obligatoire (ref. 006)
Les consignes de securite generales Incendie et evacuation de I'entreprise (ref. 007)
Les consignes de securite specifiques (ecran de visualisation, manutention manuelle .. .) sont
a completer suivant Ie document unique.

Liste des documents a remplir par Ie salarie

lors de son arrivee dans I'entreprise

La fiche individuelle d'embauche (ref. 008)

La demande de remboursement de frais de transport (ref. 009)
Le choix de restauration (ref. 010)
Le choix de la formule RTT (ref. 011)
Le cas ecMant, la declaration des travailleurs handicapes ou assimiles (ref. 012)
Une autorisation de transmission d'informations au Comite d'Entreprise (ref. 013)

Presentation de I'activite (Plaquette)

Visite des locaux de travail
Utilisation de la carte de pointage
Suivi de la gestion du temps
Information des emplacements des plans d'evacuation des locaux et des extincteurs
Consigne specifique de securite au poste
Les vetements de travail et protection individuelles associees au poste de travail. (si besoin).
Procedures de travail.
Consignes diverses (essais...)

l2B" Attaquez immediatement Ie feu a la base des f1ammes sans prendre de risque
• Feu papier, cartons, bois, tissus : extincteurs type A.
• Feu electrique, liquides inflammables : extincteurs type B.
• Feu de gaz : extincteurs type C.
• Feux de metaux : extincteurs type D.
Le materiel regulierement verifie doit etre maintenu accessible et en bon etat de
fonctionnement.

En cas d'incendie : que faire ?

w Prevenez aussitot la brigade des sapeurs pompiers : ® 18 ou 112 pour les tele-
phones portables
Faites evacuer et donnez les informations suivantes :

o Adresse
• Au : x rue de France
• En face de : ---
• Telephone : 01-xxx

o Nature de I'accident (exemple: explosion, feu ...)

• S'i1Ya des blesses (exemple : Ie blesse est sur Ie toit, dans une fosse, dans un escalier ...)
• Et s'il y a necessite de degagement
A I'arrivee des pompiers presentez les endroits des coupures generales sur les plans
deslocaux
• Electricite?
• Gaz?
• Eau?
En cas d'evacuation : que faire ?
t?if" Declenchez I'alarme d'evacuation :
• en cas d'incendie, de risque d'effondrement, de risque d'emanations toxiques, d'alerte a la
bombe,
• respecter les consignes d'evacuation des I'alerte.
t?if" Avant de quitter les Heux :
• interrompre les communications telephoniques,
• fermer les portes et les fenetres pour maitriser les fumees (ne jamais fermer a clef pour
laisser I'acces aux pompiers),
• arreter les machines et les debrancher a la prise de courant,
• evacuer les locaux (suivre votre guide d'evacuation).
t?if" Pendant I'evacuation :
• rejoindre Ie point de rassemblement,
• utiliser uniquement les escaliers et en aucun cas Ie personnel ne doit passer par les
vestiaires,
• suivez les indications du responsable de I'evacuation,
• aider les personnes a mobilite reduire,
• s'assurer qu'il ne reste personne dans les locaux par Ie serre-file,
• ne revenez jamais en arriere, sans y etre invite,
• dans la fumee marchez courbe.
tF Exercices d'evacuation
Evacuer, c'est mettre les occupants d'un batiment en securite en les regroupant vers une
zone plus sOre (interieure et exterieure).
On evacue : en cas d'incendie, de risque d'effondrement, de risque d'emanations toxiques,
d'alerte a la bombe, etc.
Evacuer c'est : alerter les occupants, les guider grace a une signalisation normalisee claire,
les encadrer, s'assurer qu'i1sont bien quitte les lieux, les recenser au point de rassemblement.
L'exercice d'evacuation permet de verifier les elements suivants :
• I'ensemble du personnel connait Ie declenchement du signal d'evacuation,
• nommer Ie personnel charge d'evacuation,
• Ie serre-file s'assure qu'il ne reste personne dans les locaux,
• definition d'une zone de rassemblement securise.
Le responsable doit tenir a jour et presenter lors des contr6les un certain
nombre de registres concernant l'emploi du personnel et les regles en
hygiene et securite du travail.
Ces registres doivent etre conserves 5 ans sauf dispositions particulieres.

Reference
Registres obligatoires Localisation
Code du travail
Registre du personnel et de I'inspection du travail
Registre de !'inspection du travail Etablissement L. 620-4
Registre des chantiers temporaires et lieux de travail a Etablissement R.620-4
caractere temporaire
Registre unique du personnel Etablissement L. 620-3
Registre des delegues du personnel Etablissement L. 424-5
Registre special du CHSCT ou sont consignes les avis Etablissement R.236-9
de danger grave et imminent
a la disposition des travailleurs
Registre d'observation Bureau - Chantier 0.08/01/65
Document unique (mis a jour une fois Ian) Etablissement 0.2001-1016
Registre des exam ens et verifications periodiques
Registre unique de securite susceptible de reunir diffe- Etablissement L. 620-6
rents documents relatifs aux controles et verifications
techniques et a titre indicatif :
Registre des controles des installations d'aeration et Etablissement Arrete 8/10/87
d'assainissement (1 fois/an)
Camet de maintenance des appareils de levages Atelier Arrete 02103/04
(2 fois/an)
Camet de maintenance des portes automatiques Etablissement
(2 fois/an)
Registre de verification des ascenseurs et monte- Etablissement Oecret 2004-964
charges (plusieurs fois par an)
Registre de verification des installations electriques Etablissement Arrete 10/10100
(1 fois/an)
Dossier de verification des appareils sous pression Etablissement Arrete 13/10100
(eau, gaz) Cir. 11/04/52
Registre de verification cuve, reservoir
Registre verification materiel incendie (2 fois/an) Etablissement R. 232-12-21
 Reference
Registres obligatoires Localisation
Code du travail
Registre des etablissements recevant du public (exer- Etablissement
cices d'{wacuation)
Registres medicaux
Registre medical susceptible de reunir les registres Etablissement Decrets speciaux
speciaux prevus par la reglementation pour les risques
particulier tels que les travaux a risques
Fiches d'aptitudes etablies par Ie medecin du travail Etablissement R. 241-57
pour chaque examen medical

VI.7.S Les affichages obligatoires

La reglementation rend certaines consignes obligatoires et demande

souvent leur affichage comme celui d'autres informations a porter a la
connaissance du personnel.

Reference
Objet Affichage obligatoire
Code du travail
Inspecteur du travail Nom, adresse et telephone L. 620-5
Medecin du travail Nom, adresse et telephone L. 620-5
Reglement interieur Sur les lieux de travail et dans les locaux R. 122-12
d'embauche
Consignes en cas Adresse et telephone des secours d'urgence L. 620-5
d'accident D. 08/01/65
Consignes en cas Dans les locaux de travail R.232-12-20
d'incendie
Horaires de travail Heures de debut et de fin de travail et repos L. 620-2
CHSCT eUou DP Liste nominative des membres dans les locaux R. 236-7
de travail
Mration assainissement Consignes d'utilisation des installations de R. 232-5-9
ventilations
Appareils de levage Consignes pour la conduite Decret 2/12/98
Ascenseurs et Instructions de manreuvre Decret 10107/13
monte-charges
Electricite Conditions d'acces dans les locaux reserves D. 14/11/88 art. 26
Consignes en cas d'accident electrique Arrete 14/02/92
 Reference
Objet Affichage obligatoire
Code du travail
Machines Conditions d'utilisation R. 233-2
Meuleuse Mesures d'utilisation et securite Arrete 28/07/61
Risques d'incendie ou Interdiction de furner R. 232-12-14
d'explosion
Substances et prepara- Fiche de donnees de securite fournies par Ie R. 231-53
tions dangereuses fabricant
Bruit Port obligatoire des equipernents de protection R.232-8-5
individuelle et signalisation des locaux de
niveau sonore superieur a 85 dB(A)

La securite physique vise it favoriser l'exploitation des biens dans des

conditions fonctionnelles optimales de maniere it en retirer Ie maximum de
performances durant la plus longue periode possible.
Les mesures de prevention et de protection de crites dans ce document
n'ont pas l'ambition d'etre exhaustives, ni d'etre obligato ires dans tous les
cas de figure. Le choix d'application des mesures de prevention et de
protection doit resulter d'une etude inc1uant une analyse de risques,
confrontee it une evaluation budgetaire des parades adaptees.
Differents types d'incidents peuvent engendrer des de gats tels que: les
degats des eaux, les de gats du feu, les degats lies it I' eIectricite, les defauts
de climatisation, les incidents de telecommunication, les intrusions
physiques, l'inaccessibilite du centre informatique ...

• choisir judicieusement la localisation des locaux informatiques, en

evitant les risques d'inondation (evitez les sous-sols, evitez Ie demier
etage ... ),
• limiter la circulation d'eau dans la salle informatique (placez Ie groupe
de conditionnement d' air en dehors de la salle informatique ... ),
• choisir les chemins de tuyauterie, en evitant de traverser ou de
surplomber la salle informatique.
Protection :
• mettre en place des systemes de detection de fuites,
• surelever les equipements informatiques, archives papiers ou autres,
• utiliser des tubes hermetiques pour Ie cablage d'alimentation (220V),
ainsi que pour Ie cablage reseaux,
• compartimenter Ie plancher de maniere a contenir et diriger I' eau vers
des systemes d'evacuation.

• prendre en compte Ie voisinage des biitiments,

• eviter Ie stockage de produits intlammables dans, ou a proximite des
salles informatiques, ou armoires electriques,
• verifier regulierement les circuits electriques,
• eviter les chapelets de blocs « multiprises »,
• mettre en place de mecanismes de detection de fumee,
• etudier les chemins de propagation du feu et mettez en place des equipe-
ments de compartimentage (sas, parois anti-feu ... ),
• ne pas stocker les archives papiers jusqu'au plan du local pour limiter la
propagation du feu.
Protection :
• mettre en place de mecanismes d'extinction de feu sur base de produits
ne portant pas prejudice au materiel informatique ou autres et ne portant
pas atteinte au personnel (se renseigner aupres du service des pompiers
de la localite, choisir les bons extincteurs),
• choisir judicieusement les sorties de secourS,
• faites respecter l'interdiction de furner,
• etablir et mettre a I' epreuve un plan de secours, incluant un repli de
l'informatique vers un centre specifique,
• utiliser des armoires ignifugees pour Ie stockage des supports informa-
tiques ou des dossiers «sensibles» (veiller a garder ces armoires
fermees).

• veiller a doubler les circuits d'alimentation au niveau du cablage

electrique,
• veiller a une conception adequate de l'alimentation electrique (tableaux,
puissance ... )
• equiper les elements critiques de l'informatique d'une double alimentation,
• mettre en place des mesures visant a eviter les blocs «multiprises»
contre les surchauffes,
• equiper Ie ba.timent d'un mecanisme evitant les remontees de « foudre »,
• installer des paratonnerres.
Protection:
• mettre en place des circuits de secours en cas de rupture (groupe
electrogene ),
• utiliser des solutions avec logiciel d'alarme dans les salles ne pouvant
fournir de circuit de secours.

Prevention:
• mettre en place des mecanismes veillant a limiter Ie rayonnement solaire
direct,
• installer un systeme de ventilation redondant, dimensionne correctement
a pouvoir suffire aux besoins actuels et futurs,
• mettre en place une solution de contra Ie de la temperature equipee d'un
module d'alerte.
Protection :
• installer un mecanisme de contrale d'acces physique des locaux
informatiques,
• mettre en place une procedure de sauvegarde (pour un usage en mode
restreint), permettant d'arreter les elements non critiques de votre infras-
tructure informatique.

~ Les contre-mesures pour les incidents de telecommunication

peuvent etre

Prevention:
• proteger judicieusement les locaux de telecommunication,
• appliquer des gaines blindees aux liaisons exterieures (blindage, avertis-
sement, bomes ... ),
• separer les gainages de courant fort, courant faible et les conduits de
c1imatisation,
• proteger les equipements de communication (antennes ... ) contre la
foudre.
Protection :
• doubler tous les equipements critiques et mettez en place des systemes
de repartition des charges,
• mettre en place des liaisons de secours quand c' est possible,
• ayez recours a plusieurs operateurs capables d'assurer Ie passage, en cas
de rupture de service.

• mettre en place une protection generale du batiment (porte blindee ... )

avec limitation du nombre d'ouvertures (fenetres, portes ... ),
• utiliser un service de detection de deplacements et d'intrusions relie a
une centrale de contr6le 24 h/24 h,
• mettre en place un contr6le d' acces (badge ... ) pem1ettant de contr6ler et
de tracer les acces aux locaux critiques,
• mettre en place une politique d'identification des visiteurs.
Protection :
• utiliser de mecanismes anti vol pour les peripheriques et les ordinateurs
personnels ou portables,
• veiller au respect d'une politique du bureau en ordre (clean desk), qui
demeure une me sure limitant au maximum Ie risque de vol de donnees
ou de materiels,
• mettre en place un mecanisme de surveillance video.

~ Les contre-mesures pour I'inaccessibilite des locaux informatiques

peuvent etre

• installer vos sites la ou les risques de catastrophes naturelles sont reduits,

• mettre en reuvre des protections contre les intrusions.
Protection:
• mettre en place une solution de prise de contr6le a distance securisee,
• prevoir la possibilite de passage sur un site de secours.

Les mesures de prevention et de protection des biens impacts fortement sur

la securite des personnes.
Le principe de base est que toutes les mesures necessaires doivent etre
prises pour assurer la securite et proteger la sante des travailleurs, y
compris les travailleurs temporaires contre les risques auxquels ils sont
exposes durant ou a l' occasion de leur travail.
Ce principe s' applique tant en ce qui conceme I' amenagement des locaux
que I' organisation du travail, Ie choix des equipements et des procedes, la
formation du personnel, la prise en compte de l'evolution des
techniques ...
Des precisions sont apportees sur certains points particuliers comme :
• la prevention des risques chimique, biologique,
• la manutention des charges,
• la signalisation des zones dangereuses, les regles de circulation,
• l'aeration, l'eclairage, la prevention des risques dus aux bruits,
• la prevention des incendies, l'evacuation,
• 1'utilisation des equipements de travail et des equipements de protection
individuelle,
• l'intervention d'entreprises exterieures,
• les operations de batiment ou de genie civil,

L'elaboration du « document unique» relatif a l'evaluation des risques

professionnels et prevu a I' article R. 230-1 du Code du travail.

L'article L. 230-2 du Code du travail enonce Ie principe general d'une

evaluation des risques professionnels dans chaque unite de travail - au
sens large - afin d'etudier, si besoin, les actions preventives.
Le Chef d'entreprise do it prendre les mesures necessaires en vue d'assurer
la securite et de proteger la sante des salaries dans tous les aspects lies au
travail et dans tous les lieux de travail.
Ces mesures comprennent des actions de prevention des risques profes-
sionnels, d'information et de formation ainsi que la mise en place d'une
organisation et de moyens adaptes.
Le document unique concerne exclusivement les donnees relatives it la
sante et la securite au travail. Par consequent, il ne couvre pas Ie champ
de la securite des procedes ou des produits ni celui de la sante environne-
mentale. Mais, dans tous les cas, c'est it l'employeur qu'il appartient d'en
valider les resultats. C'est pourquoi il lui est recommande de signer et
dater Ie document unique. II doit etre mis it jour chaque annee.

En matiere de sante et de securite au travail, c' est I' employeur qui est
responsable dans l'entreprise. C'est done l'employeur qui conserve la
responsabilite pleine et entiere de la demarche d'evaluation et qui est seul
competant pour en retranscrire les resultats dans Ie document unique.
En pratique, l' evaluation des risques requiert une concertation entre Ie
Chef d'entreprise, l'encadrement intermediaire, les salaries dont l'expe-
rience sur la question sera jugee utile, les representants du personnel
(deIegues du personnel, CHSCT).
Le medecin du travail sera egalement associe it cette analyse en tant que
conseiller du Chef d'entreprise et des salaries. Rappelons que dans Ie cadre
de sa mission, Ie medecin du travail a I' obligation de rediger une « fiche
d'entreprise» synthetisant l'analyse des risques et Ie nombre de salaries
concernes.

Outre la responsabilite penale de I' employeur prevue par Ie Code du

travail et Ie Code penal (delits non intentionnels), aggravee en cas de
conscience du danger, Ie decret du 5 novembre 2001 prevoit des sanctions
specifiques.
Celles-ci concernent Ie defaut de transcription ou de mise it jour des
resultats de I' evaluation des risques professionnels dans les conditions
prevues it l'article R. 230-1 du Code du travail nouvellement cree, qui
prevoit une peine d'amende de I 500 € et 3 000 € en cas de recidive.
Vous trouverez ci-apres annexes quatre modeles de documents:
> Modele 1 : Attestation d'accueil
> Modele 2 : Permis feu
> Modele 3 : Plan de prevention
> Modele 4: Bilan general d'un exercice d'evacuation
NOUVEL EMBAUCHE
Nom: : Prenom : .
Emploi exerce : .
Cacher
ACCUEIL
>- Presentation du site 0
>- Presentation des operations a effectuer 0
>- Presentation du reglement interieur et du tableau d'affichage 0
>- Information sur l'intranet 0

CONSIGNES DE SECURITE
>- Conduite a tenir en cas d'incident (N d'urgence, Point de rassemblement,
Plan d'evacuation, Positionnement des extincteurs,
signal et emplacement de I'alarme d'evacuation) 0
>- Conditions de circulation (ou sont situees les issues de secours, les vestiaires,
la salle de repos, les sanitaires, I'accessibilite des parking ) 0
>- Rappel des clauses de confidentialite 0

FORMATION AU POSTE DE TRAVAIL

>- Des materiels a utiliser 0
>- Des risques encourus (machines a ouvrir Ie courrier,
machine a detruire Ie courrier, ou autres) 0
>- Moyens de protection collective 0
>- Protection individuelle (protection auditive, chaussures de securite ) 0

POSTE NECESSITANT UNE HABILITATION au UNE INFORMATION PROFONDIE

(electrique, canduite engins ... )
>- Des risques encourus (machines a ouvrir Ie courrier,
machine a detruire Ie courrier, ou autres) 0

NOM, FONCTION ET SIGNATURE

DATE NOM, FONCTION ET SIGNATURE DU SALARIE
DE L'ACCUEILLANT

................................................................. ......................................................

.............................................. " ................. ......................................................

................................................................. ......................................................
......................... , ....................................... ......................................................
La delivrance de ce document sous-entend que Ie signataire (chef d'etablissement ou son
representant legal qualifie) s'est informe prealablement de la configuration des locaux
concernes par les travaux par points chauds et de ceux situes a proximite, des substances qui
y sont utilisees ou entreposees, des activites effectuees (risques particuliers) et de I'etat du
materiel devant etre utilise pour les travaux.

Date de debut :
Date de fin (ou duree maximale) :
a
Description du travail effectuer :

Types de travaux par points chauds

o Soudage 0 Arc electrique
o Tronconnage 0 Chalumeau
o Decoupe 0 Laser

OUI NON FAIT OUI NON FAIT

- Evacuation des substances - Protection du voisinage

inflammables • ecrans, panneaux
- Delimitation et separation de la zone • bache inifugee
dangereuse • eau
- Separation des sources d'energie - Ventilation torcee
- Vidange - nettoyage - ContrOle atmosphere
- Degazage (tuyauterie, cuve, citeme) • explositmetre
- Isolation des tuyauteries • teneur en oxygene
- Demontage de tuyauteries • detecteur de gaz
- Fermeture (appareils, caniveaux, - Moyens de lutte contre l'incendie
tosses ...) • extincteur
- Colmatage interstices • sable
• lance a incendie

- Surveillant de securite
- Moyen d'alerte
Tel.:
Personnes ou services concernes Nom Qualite Signature
Demandeur
Securite (s'i1existe)
Entretien (au chef d'equipe entreprise exterieure)
Surveillant de securite
Executant
Permis de teu delivre Ie :
Signature du chef d'etablissement au
de son representant qualifie :
 MODELE 3 : PLAN DE PREVENTION (1/6)
(art. R. 237-1 a R. 237-28 du Code du travail)

Entreprise utilisatrice (client) Entreprise exterieure

Raison sociale .......................................... Raison sociale . .........................................
.................................................................... ....................................................................
Representee par ... ...................................
" Representee par . .......................................
.................................................................... ....................................................................
.................................................................... ....................................................................
.................................................................... . ...................................................................
Coordonnees ............................................ Coordonnees ............................................
.................................................................... . ....................................................................
.................................................................... . ...................................................................
.................................................................... . ...................................................................
Telephone ................................................ Telephone . ...............................................
.................................................................... ....................................................................

Signature des intervenants (entreprise utilisatrice et entreprise exterieure, pour prise en

compte du present plan de prevention). .
 ORGANISATION DES SECOURS (2/6)
Qualifications requises par les salaries
Moyens mis it disposition

Numeros Personnes it prevenir Comment?

1
2
3
Exemple: 15 Secours Portable

Organisation des premiers secours

Materiels (Iocalisations et consignes d'utilisation), competences, acces secours exterieurs,
evacuation, etc.) .

Formation, qualifications, autorisation, habilitations et aptitudes medicales requises

pour I'intervention .

Moyens materiels mis a disposition de I'entreprise

(Iocaux, produits ou materiels de I'entreprise utilisatrice) .
Dans un premier temps, identifier les families de risques concernees par la co-activite des
deux entreprises. Pour ces demieres, detailler chaque risque en indiquant leur nature, locali-
sation, frequence de survenance. Les risques serant inscrits par ordre decraissant d'impor-
tance. Pour vous aider dans cette analyse, vous trauverez quelques reperes sous chaque
famille de risques.

Presence d'elements contenant de I'amiante sur ou a proximite

des Iieux d'intervention
OUI D NON D (I'entreprise utilisatrice remettra Ie diagnostic amiante a I'entreprise
exterieure)

• Acces aux abords de I'entreprise utilisatrice : zone de parking des vehicules (proximite du
lieu de dechargement), consignes particulieres de circulation rouliere dans I'enceinte de
I'entreprise utilisatrice.
• Acces au lieu de prestation ou sa realisation s'effectue dans une zone de niveau ou avec
denivellation. Dans les deux cas:
- etat des sols et des revetements, encombrement d'objets ou de petite hauteur suscep-
tibles d'etre enjambes, objets presentant une arete susceptible d'accrochage ou de
lesion;
- nature des chaussures utilisees, conditions d'adherence avant, pendant et apres la
prestation ;
- conformite des equipements des escaliers, etat des marches, main courante, porte
(Iocaux ou ascenseurs) : fermeture a rappel, visibilite de part et d'autre jusqu'a sens
d'ouverture.

Facteurs augmentant Ie risque : ports de charges et manutentions manuelles, mauvais

eclairage, insuffisance de ventilation ou espace exigu, meconnaissance des lieux, etc.
Dans son acces ou sa realisation :
• La prestation s'effectue dans u milieu ou dans des conditions amenant Ie salarie a utiliser
un moyen quelconque d'elevation mobile;
• La prestation s'effectue de plein pied mais a proximite d'un vide non protege;
• La prestation s'effectue dans une zone ou dans des conditions telles qu'un objet puisse
tomber sur Ie salarie ;

Facteurs determinants dans la gravite de la lesion ou dans la survenance : hauteur,

port de charge, eclairage, exigu'ile du lieu, insuffisance de ventilation ou espace confine,
caracteristiques propres au salarie (etat de sante, sujet au vertige, etc.).

• Produits amenes par I'entreprise exterieure : toxicite par inhalation ou exposition cutanee
(risque incendie explosion) : estimer la probabilite de survenance et la gravite.
• Produits en usage dans I'entreprise utilisatrice par son processus ou ses uti/ires: toxicite
par inhalation ou exposition cutanee (risque incendie explosion) : estimer la probabilite de
survenance et la gravite. .
• ComptabiJite ou stockage, en utilisation et en elimination des produits cites aux deux
points precedents (y compris par exemple : chiffons imbiMs). Produit acide « eau de
javel » degagement de chlore.
• Risques lies a la combinaison d'un produit neutre pris isolement et susceptible de toxicite
en presence d'un autre produit.

Facteurs determinants: temperature ou proximite d'une source de chaleur permanente

ou occasion nelle, ventilation insuffisante, meconnaissance des voies de penetration des
produits, contenant inapproprie (poids, dispositif de deversement. ..) sous-contenant
inadapte (non etiquete, de fortune ... ), transfert du produit depuis Ie contenant (bidon) vers
son point d'utilisation (flacon, chiffon ... ), etc.
Composant du risque: caracteristiques de !'installation (mise a la terre, protection differen-
tielle, etat des connecteurs, cables ... )
Caracteristiques de I'environnement (milieu humide ou contacts potentiels humides (Ies
mains)), nettoyage du materiel.
Facteurs determinants potentiels : travail isole, meconnaissance des risques.

Composant du risque: nature des mouvements, repetitivite, effort engendres, ex. : manuten-
tion de charges: masse, prehension, mouvements.
Facteurs determinants: infrastructures de I'entreprise utilisatrice (escalier, bennes, etc.),
ambiance de travail, circulation interne.

En general, au moins les risques auxquels sont exposes les salaries de I'entreprise utilisa-
trice. Milieu medicaux et de la recherche: risques infectieux lies au sang (AES), au tissus, au
recipients et tous equipements de travail au contact de substances.
Risques particuliers : legionella, acariens (allergie, asthme).

Composants : carburant, comburant, source de chaleur ou apport d'energie ?

• apport d'energie : flamme, etincelles, frottement (issus de I'electricite statique, fermentation,
chocs, cigarettes)
• carburants : toute matiere combustible, bois, papier, produits chimiques, stockes ou
repandus, empoussierement
• comburant: I'air en general, mais parfois des substances chimiques actives stockees dans
I'entreprise utilisatrice.
Risques lies a la co-activite (entreprise utilisatrice-entreprise exterieure)
OUID NON0

Identifier dans cette rubrique si la prestation prevue par I'entreprise exterieure augmente des
risques existants ou genere des risques supplementaires pour I'entreprise utilisatrice et reci-
proquement. Ne pas omettre tout ce qui concerne la circulation d'engins ou de vehicules.
Risques generes par les nuisances rencontrees (5/6) OUI 0 NON 0
(bruits, temperature, espace confine, eclairage, rayonnements, poussieres, etc.)

En general, risques aggravants et concourants surtouts en combinaison entre eux. L'element

essentiel d'appreciation du risque est la nature de I'activite (physique ou intellectuelle : amplifi-
cation des effets du risque ou non), la duree d'exposition et les niveaux s'i1ssont pertinents.
La capacite de se soustraire aux risques lies a I'ambiance est un element important de
I'analyse. Exemple : local frais si ambiance chaude, etc.
Quand I'ambiance presente des facteurs aleatoires ou imprevisibles, envisager les condi-
tions extremes. Exemple : meteo au travers de tous ces parametres; vent, temperature, pluie,
neige, verglas, exposition au soleil, etc.
• Humidite, temperature
• Espace confine, ou travail en volume a faible renouvellement d'air ou en pollution acceleree.
L'appreciation se fait en fonction de I'activite, de la nature de la pollution: risque d'anoxie,
pollution de I'air liee aux travaux (cf. risques chimiques et biologiques, etc.)
• Eclairage: appreciation en general de l'insuffisance ou de I'exces, de la position du ou des
points de commande, jusqu'a I'adequation de sa conception avec la tache a effectuer (ex:
alimentation TBTS pour des taches avec risques d'electrisation), appreciation de I'incidence
de I'eclairage naturel ou artificiel par rapport a la tache.
• Rayonnements : travaux a proximite de generateur d'ondes electromagnetiques (radio,
infrarouge, UV, micro-ondes, etc.), ex : proximite d'une antenne relais de radiotelephonie,
d'un transformateur, d'une source radioactive (domaine medical par exemple), tirs de radio-
graphie de soudure.

Autres risques non mentionnes par ailleurs

(agression, travailleurs isolas, etc.)

Partir des risques identifies dans I'entreprise utilisatrice et dans les activites de I'entreprise
exterieure (cf. support stable d'evaluation des risques conformament au dacret du
5 novembre 2001).
Mesures de prevention (6/6)
(it caractere permanent ou non permanent)

En commen~nt par les plus importants, arreter les mesures de protections collectives (orga-
nisation, equipement, etc.) a detaut de protection individuelle. Traiter Ie risque residuel par
la formation (consignes) permet de diminuer sa probabilite de survenance et sa gravite ou
d'augmenter sa capacite d'evitement.

Moyens mis en place pour Ie suivi du plan de prevention,

sa reactualisation et son application effective sur Ie terrain

(cahier de liaison employes/entreprise utilisatrice ou compte rendu employes/entreprise

exterieure signalement situation dangereuse, etc.)
1Nom de I, section. . ···1
Adresse : .
Tel.: .

Jour et date: Heure: .

Nombre total de personnes evacuees: Adultes : Adherent(es): .
Personne a mobilite reduite: .
Autres (visiteurs occasionnels, etc.) : .

L'exercice etait programme de jour:

Les personnes suivantes etaient prevenues de I'exercice : .

- les « charges d'evacuation » etaient prevenus : Iejour D I'heure D ni I'un ni I'autre D

- les personnels etaient prevenus de I'exercice: Iejour D I'heure D ni I'un ni I'autre D

Une sequence de formation a I'evacuation a ete faite dans toute la section:

OUI D NON D

SiOUI
D quelques jours avant I'exercice
D quelques annees avant
Avant de quitter les locaux a evacuer :

A partir de quel endroit I'alarme a-t-elle ete declenchee ? .

Le declenchement du signal d'alarme a ete fait sans difficulte 0 OUI 0 NON
Le signal d'alarme a ete entendu de maniere evidente dans les tous les locaux
OUI o 0 NON

Les portes ont toutes ete fermees avec toutes les serrures deverrouillees
o OUI 0 NON

o OUI 0 NON
Si OUI dans quels locaux .

Les affaires des personnes evacuees sont toutes restees dans les locaux
o OUI 0 NON

Combien de personnes sont retournees en arriere pendant I'evacuation : .

II n'y avait plus personne dans les locaux evacues 0 OUI 0 NON
Qu'avez-vous mis en reuvre pour avoir la certitude que plus personne n'etait present dans
I'ensemble des locaux de la section .

Au cours du trajet compris entre les locaux evacues et la « zone de rassemblement»,

I'evacuation s'est faite sans bousculade 0 OUI 0 NON
Si non, la cause de cette bousculade vous a semble etre due a une ou plusieurs des causes
suivantes:
o un sol encombre 0 du mobilier genant 0 un comportement agite
Dune voie de circulation de largeur insuffisante, a I'endroit suivant
: .
Dune autre cause: .
La « zone de rassemblement » est connue des charges d'evacuation 0 OUI o NON
Un appel individuel et nominatif a ete fait 0 OUI o NON
Le personnel eta it au complet 0 OUI o NON
Les listes des personnes manquant a I'appel ant ete remises immediatemenl au
o OUI
 Le signal particulier de fin d'exercice pour regagner les locaux a ete bien entendu
o OUI 0 NON
Le retour dans les locaux s'est passe de maniere satisfaisante 0 OUI 0 NON
s'il avait fallu se rendre ensuite a la « zone de rassemblement securisee » dans Ie cas d'un
danger grave necessitant de s'eloigner davantage des batiments : .
• cet endroit a deja ete identifie par la section 0 OUI 0 NON
• les personnels charges d'evacuation connaissent cet endroit 0 OUI 0 NON
• les procedures a adopter dans ce cas sont etablies et connues 0 OUI 0 NON

Une equipe de 1r. intervention capable d'intervenir sur feu naissant a ete formee
o OUI 0 NON

Nom, premom, fonction et signature de la personne qui a etabli ce bilan general Signature du
Directeur de section

VI.8 REFERENTIEL D'AUDIT DE LA FRAUDE

Les indicateurs de fraude reposent sur des descriptions de comportements

humains et organisationnels qui n'induisent pas forcement des fraudes
internes, mais qui peuvent alerter I' Audit Interne sur des points sensibles
et l'existence de zones a risque.
Les indicateurs peuvent reveler des comportements anormaux.
Les indicateurs permettent a l'audit de detecter que quelque chose peut
etre inquietant. Pour savoir si une erreur est accidentelle ou volontaire, et
connaitre son impact, il est necessaire de contraler les indicateurs suspects.
On denombre 7 indicateurs qui ont trait a I' organisation generale de
l' entreprise. Ces indicateurs sont reveles par Ie questionnaire de Contrale
Interne presente ci-apres.
 Points de controle Indicateurs I tests iI mettre en ceuvre
• La Direction generale adopte t-elle une atti- ~ Entretien avec Ie comite d'audit pour
tude de lutte active contre la fraude ? connaitre I'implication de la DG a ce sujet.
~ Se faire communiquer tous les documents
• Existe-t-il des comites d'audit reunissant
circulant a I'interieur de I'entreprise, et discu-
toutes les directions, et au cours desquels
tant du probleme de la fraude interne.
I'accent est mis sur la prevention contre les
risques de fraude ?
• Sa position sur Ie sujet est-elle ciairement ~ Elaborer un questionnaire (anonyme) pour
exposee et connue au sein de I'entreprise ? savoir si les salaries sentent qu'il existe un reel
effort de communication sur la fraude au sein
de I'entreprise.
~ Essayer d'obtenir la meme appreciation sur
• Tout Ie personnel de I'entreprise est-il sensi-
ce sujet en faisant des reunions de groupe.
bilise au probleme de la fraude ?
• En ce qui concerne Ie respect des lois et des
reglements, la politique afficMe par la Direction
generale est-elle claire?
• Des pratiques frauduleuses dans la conduite ~ S'entretenir avec differents responsables
des affaires sont-elles connues dans hierarchiques.
I'entreprise ?
~ S'entretenir avec les responsables de la
• Existe-t-il une interpretation abusive de
comptabilite.
certaines regles notamment comptables et
fiscales, ou I'entreprise essaierait de tirer profit
d'un enonce ambigu ?
• Quelles actions de communication sont ~ S'adresser au service Communication
prevues pour sensibiliser Ie personnel au interne.
risque de fraude ? ~ Analyser les comptes rendus (si ils existent)
des manifestations organisees pour sensibiliser
les salaries sur Ie theme de la fraude interne.
~ Analyser les documents mis a la disposition
des salaries (notamment, Ie journal interne).
• La Direction communique t-elle les cas de ~ Si oui, analyser les documents diffuses en
fraude decouverts dans son etablissement, s'adressant au service Communication.
ainsi que les sanctions prises contre les
fraudeurs?

NB : Ces questions doivent permettre a

l'audit d'apprecier, dans un
premier temps, Ie climat general dans lequel evoluent les salaries de
l'entreprise et de decouvrir les moyens deja existants a l'interieur de
I' entreprise pour sensibiliser les salaries et I' ensemble des membres de
l'entreprise au probleme de la fraude.
Les lacunes de l'organisation sur ce sujet devront etre relevees par l'audit
qui proposera les recommandations qui s' imposent et que nous avons
decrites en premiere partie sous l'intitule : « Comment prevenir les fraudes
internes ? ».
 Points de controle Indicateurs I tests iI mettre en ceuvre
• L'action de I'entreprise a moyen et long ~ S'adresser au service Contrale de gestion,
terme est-elle guidee par I'elaboration de et s'entretenir avec Ie responsable charge de
budgets? I'elaboration des budgets.
• Qui participe a I'elaboration de ces budgets?
• De quelie maniere est interesse Ie personnel
de I'entreprise a la realisation de ce budget?
• Ces budgets font-ils I'objet d'un suivi trimes- ~ Analyser les bUdgets, et faire une etude
triel, mensuel, annuel ? comparative de I'evolution des postes budge-
taires sur les 3 derniers exercices (par
exemple).
• Sur quelle base sont elabores ces budgets
(BBZ, base annee precedente ...) ?
• La strategie de I'entreprise est-elle coherente
avec sa politique generale ?
• L'entreprise atteint-elle ses objectifs ?
• Les ecarts sont-i1sregulierement analyses?

NB: Ces questions ayant trait it la strategie suivie par l'entreprise, doivent
permettre it l'audit de juger de la coherence dans Ie suivi et la maltrise de
la gestion de l'entreprise, et notamment d'etudier l'evolution de l'activite
par rapport it une evolution « normale » par poste budgetaire.
 Points de controle Indicateurs I tests a mettre en ceuvre
• Existe-t-i1un manuel de procedures, clair et it ~ Proceder par sondage et analyser Ie manuel
portee de main? de procedures des services selectionnes.

• Ce manuel represente-t-il un support interes-

sant auquel peuvent se reporter les salaries?
Les salaries connaissent-ils les pratiques et les ~ S'adresser au service Formation pour
normes propres au secteur d'activite dans connaitre les seminaires de formation existants
lequel exerce I'entreprise ? it I'interieur de I'entreprise. Analyser Ie contenu
de ces seminaires.
• Existe-t-il un organigramme bien precis et ~ Analyser I'organigramme general de
regulierement remis it jour? I'entreprise.
~ Proceder par sondage et analyser I'organi-
gramme plus detaille des services selectionnes
(notamment ceux des services juges it risques
en terme de fraude interne).
• Cet organigramme donne-t-il par poste, Ie
nom exact des personnes ainsi que l'intitule de
la fonction ?
• Les structures hierarchiques sont-elles bien
definies?
• Les salaries savent-i1sprecisement de qui i1s
dependent, et qui est leur responsable ?
 Points de contr61e Indicateurs I tests il mettre en reuvre
• Existe-t-il pour chaque poste une definition ~ Proceder par sondage, et analyser les
a
des taches accomplir ? fiches de definition de postes selectionnes.

• Les fiches de definition de poste sont-elles

regulierement-mises a
jour?
• Cette definition est-elle bien conforme au ~ S'entretenir avec des operationnels
travail effectivement realise par les salaries? (toujours pour les services selectionner pour Ie
sondage, il s'agira de preference des « fonc-
tions de I'entreprise les plus risquees »).
~ Faire circuler un questionnaire de satisfac-
tion aupres des salaries.
La separation des fonctions est-elle bien ~ Consulter les organigrammes existants et
respectee? les confronter aux fiches de definition de poste.
• La separation des hierarchies est-elle bien
respectee?
• L'intitule des postes est-il bien clair et logique
a
par rapport la tache accomplie ?
• Existe-t-il un tableau de suivi de I'activite de ~ L'auditeur devra se placer dans une optique
chaque employe? de fonctionnement et d'activite normaux pour
relever les eventuels signes d'anormalite.
~ Comparer I'activite des employes les uns
• Ces tableaux sont-ils analyses par rapport a a
par rapport aux autres fonction egale.
une activite normale ?
~ Si une telle comparaison n'est pas possible,
analyser I'evolution de I'activite des salaries
dans Ie temps.
• Existe-t-il un tableau de suivi des erreurs ? ~ Les auditeurs internes devront accorder une
attention particuliere aux erreurs realisees par
les salaries. En effet, celles-ci peuvent reveler
qu'un salarie est en train de tester Ie systeme
et faiblesse du systeme.

NB : Ces indicateurs doivent permettre a l' Audit

Interne de juger de la
coherence dans l' organisation generale de l' entreprise, notamment en
terme de separation de fonctions et de hierarchie, de s'assurer de l'exis-
tence des controles realises par l' encadrernent.
 Points de controle Indicateurs I tests i:I mettre en reuvre
• Existe-t-il une procedure d'embauche bien ~ Entretien avec Ie Directeur des Ressources
rigoureuse ? Humaines pour se faire expliquer la procedure
d'embauche.
• Quels sont les tests realises sur chaque ~ Analyser par sondage, des dossiers de
candidature? recrutements en cours.

• A quel niveau de la procedure de recrute-

ment ces tests sont-ils effectues ?
Existe-t-il une procedure d'enquete aupres des
anciens employeurs ?
• Au moment de I'embauche, les salaries ~ Analyser les clauses d'un contrat de travail
doivent-ils signer un contrat de travail dans type.
lequel sont stipulees ses obligations legales
ainsi que sa responsabilite ?
• De quelle maniere sont suivis les salaries de ~ L'Audit Interne devra notamment s'attacher
I'entreprise? a analyser les changements de fonction au sein
de I'entreprise.
• Le service ressources humaines contrale-t-il
Ie turn over?
• Existe-t-i1un bilan social?
• Comment sont suivies les vacances, et les ~ Etudier Ie tableau reportant ce suivi, et
absences? accorder une attention particuliere aux salaries
qui ne partent jamais en vacances.
Le service ressources humaines est-il un inter- ~ Analyser les demandes de prets ou
locuteur privilegie pour connailre les soucis d'avances sur salaires demandes par les
financiers des salaries? salaries.
~ Accorder une attention particuliere aux
salaries qui avaient des difficultes econo-
miques et qui du jour au lendemain n'ont plus
de souci.

NB: Si quelqu'un n'a pas encore fraude, cela ne signifie pas qu'il ne frau-
dera jamais, mais Ie passe des salaries ainsi que leur evolution dans la vie
privee ou professionnelle peuvent etre des facteurs de motivation pour
passer a l'acte. L'audit do it donc s'assurer que l'entreprise prend des
precautions avant l'embauche et qu'elle suit ses salaries tout au long de
leur carriere a I' interieur de I' entreprise.
 Points de controle Indicateurs I tests a mettre en muvre
• Existe-t-il un code d'ethique a I'interieur de ~ Si oui, se Ie faire communiquer, et analyser
I'entreprise ? son contenu.
• Ce document est-il diffuse a tout Ie personnel ~ Si I'audit choisit la possibilite de faire circuler
de I'entreprise ? un questionnaire aupres des salaries de I'entre-
prise pour obtenir leur sentiment general face
au probleme de la fraude inteme, une ques-
tion ayant trait a I'existence et a I'importance
des codes d'ethique pourra etre posee.
~ Sinon, au hasard des entretiens que tiendra
I'audit, demander si les salaries ont connais-
sance d'un code d'ethique elabore par
I'entreprise.
• Est-i1regulierement mis a jour? ~ Demander qui a la responsabilite de ce
code d'ethique, et interroger Ie service
concerne sur son elaboration et sa diffusion.
• Est-il signe par tous les personnels?
• Edicte-t-il precisement ce qu'i1faut faire et ce
qu'i1ne faut pas faire ?
• QueUe attitude adopter face aux pressions
exterieures ?
• Notamment face aux fournisseurs, existe-t-il
des regles d'acceptation des cadeaux ?
• Aborde-t-i1 clairement Ie probleme de la
fraude interne?
• Les salaries savent-ils queUeattitude adopter
en cas de suspicion de fraude ?

NB : Nous avons vu dans la presentation du domaine l'importance des

codes d'ethique en terme de prevention face ala fraude interne, l'audit doit
done accorder une attention particuliere cette question.a
 Points de controle Indicateurs I tests il mettre en muvre
• Quelles sont les mesures de protection => Entretien avec les service Maintenance et
d'entree et sortie dans les locaux de Securite.
I'entreprise ?
=> Analyser les dispositifs existants : sas de
securite, badge d'entree...
• Quelles sont les mesures de protection
d'entree dans les bureaux?
• Quelles sont les mesures d'entree et sortie
dans les entrep6ts de I'entreprise (s'i1y en a) ?
• Les salaries ferment-ils systematiquement la => Au cours des entretiens avec les opera-
porte de leur bureau a cle ? tionnels et chefs de service, se faire expliquer
les regles de securite exigeaient de chacun.
=> (Faire des contr61esinopines : aller dans les
bureaux aux heures de dejeuner par exemple,
et verifier si les bureaux sont fermes a c1e.
=> Si les bureaux restent ouverts en cas
d'absence prolongee, essayer de se connecter
sur les ordinateurs.
• Les tiroirs egalement sont-i1sfermes ?
• Les documents confidentiels sont-i1s laisses => De la meme fa90n, faire des contr61es
sur Ie bureau Ie soir ? inopines, et essayer de rentrer dans les
bureaux lorsque les salaries en sont absents.
• Les salaries qui desirent travailler en dehors => Demander s'il existe une procedure regie-
des heures et des jours habituels doivent-i1sen mentant Ie travail en dehors des horaires
demander I'autorisation expresse ? administratifs.

NB : Ces regles touch ant les mesures elementaires de securite doivent

permettre a l' Audit Interne, d'apprecier les moyens mis en place pour
proteger tous les actifs (y compris I'information propre l'entreprise). a
La question centrale a l'origine de l'ecriture de ce livre etait la suivante :
quel est I'interet pour I'entreprise de mettre en place une demarche de
Controle Interne?
Nous y avons apporte de multiples reponses, theoriques et pratiques,
permettant de comprendre, au-dela de l' analyse reductrice de simples
couts supplementaires que cela ne manquera pas d'entrainer pour certains,
les objectifs et les benefices d'une telle demarche ala fois pour les entre-
prises et pour l'ensemble des acteurs economiques.
Tout d'abord, Ie premier facteur obligeant les entreprises a insuffler une
demarche de Contra Ie Interne est exogene puisqu'il provient d'une
contrainte exterieure. En effet, les actionnaires demandent de plus en plus
de transparence, de garanties et de securite au niveau de la gestion des
entreprises sous peine de sanctions immediates. De meme, l'etat entend
etre Ie porte-parole de ces actionnaires en renforc;ant Ie cadre reglemen-
taire par la mise en place de nouvelles lois plus contraignantes as sorties
de sanctions: la loi Sarbanes-Oxley (dite SOX) aux Etats-Unis et la loi
de Securite Financiere en France, notamment a l'aide des articles 302
et 404 respectivement sur les procedures de publication des etats fman-
ciers et sur l'evaluation du niveau de Contrale Interne. L'objectif etant de
limiter les risques (faillite, fraudes ... ) en analysant et evaluant reguliere-
ment les processus ayant un impact direct sur les comptes et la situation
financiere des entreprises.
Le second facteur est endogene aux entreprises qui, poussees par une
mondialisation croissante avec, pour corollaire des organisations et des
activites qui sont de plus en plus complexes, doivent pour demeurer
perennes modeler leur organisation de maniere encore plus flexible et
decentralisee. Cela implique la superposition de multiples strates au
niveau des processus de decision engendrant, de facto, un accioissement
des delegations de pouvoirs et donc un besoin systematique de renforce-
ment des mesures et dispositifs de contrale mis en place pour s'assurer que
tout fonctionne dans Ie cadre qui a ete prealablement determine et que les
responsabilites octroyees sont done bien maitrisees.
De ce point de vue, on ne peut done plus considerer Ie Contrale Interne
comme une demarche isolee mais comme un processus transversal mis en
ceuvre par Ie conseil d'administration, les dirigeants, l'ensemble du
personnel et notamment les «process owners ». En effet, Ie Contrale
Interne devient un ensemble d'actions/decisions qui se doit d'etre integre
dans toutes les activites de l'organisation et par voie de consequence dans
les procedures. Par ailleurs, il doit egalement, comme nous l'avons
indique, trouver sa place au cate des autres fonctions de contrale : audit,
qualite, contrale de gestion ...
De plus, l'entreprise soumise a la concurrence n'est evidemment jamais
en etat « stable» et se doit done de reperer les evolutions qui constituent
pour elle une opportunite alors que, dans Ie meme temps, elle a besoin de
rechercher les moyens d'ameliorer sa performance tout en reduisant ses
charges, c' est-a-dire en comprimant notamment effectifs et budgets.
Toutefois, les entreprises ont a leur disposition un autre axe d'economie,
souvent meconnu, et d'autant plus rentable qu'il n'affaiblit en rien leurs
ressources. II s'agit des economies realisees a moyens constants, d'une
part, en reduisant Ie manque a gagner dil aux pertes, tant par accidents,
qu'erreurs ou meme malveillance externe ou interne, et, d'autre part, en
reduisant les pertes dues, par les memes facteurs, a des defauts d'organi-
sation. Contrairement aux risques aleatoires, les problemes d' organisation
sont directement de la responsabilite de la gestion et non du hasard. C'est
pourquoi, l'analyse de leurs risques d'activites et la gestion de ces risques,
independamment de toute contrainte de toutes sortes, est tout a fait suscep-
tible d'apporter aux entreprises des gains non negligeables.
Comment egalement ne pas parler du risque de fraude interne ou externe
comme argument majeur militant en faveur de l'adoption d'une demarche
de Contrale Interne au sein des entreprises. Sans rappeler ici I'ampleur du
phenomene car nous I' avons deja abondamment developpe chiffres a
l'appui, nous considerons que Ie Contrale Interne ne garantit pas entiere-
ment Ie risque de fraude, soit en raison du coilt eleve des mesures qu'il
serait necessaire d'instituer, soit par les deviations constatees dans son
application. Neanmoins, la recherche de mesures suffisantes peut apporter
une garantie raisonnable contre la malveillance a condition de juger
periodiquement de la qualite du Contrcle Interne sur cet axe. En effet, la
constatation des fraudes revele que Ie plus souvent, celles-ci n'auraient pu
se produire si les regles fondamentales du contrcle avaient ete respectees.
Quoi qu'il en soit, force est de cons tater que les enquetes menees par des
cabinets specialises, les renseignements generaux ou la repression des
fraudes arrivent toutes a la meme conclusion: les entreprises ne semblent
pas avoir pris la me sure du risque de fraude ou de malveillance dans leur
organisation. En effet, il est tres rare que les leviers classiques comme
I' assurance, les audits ou les inspections soient utilises a bon escient par
les societes alors qu'ils constituent un gage d'efficacite dans la lutte contre
les manipulations frauduleuses. De surcroit, les solutions de type
« monsieur anti-fraude »ont bien ete experimentees dans certaines organi-
sations mais se revelent peu adaptees a notre culture « latine ». Par conse-
quent, la prevention contre Ie risque de fraude doit etre une combinaison
« intelligente » d'un management present, d'un Contr6le Interne perf or-
mant, et de I'honnetete des salaries. Le plus important de ces trois facteurs
repose sur un management de qualite favorisant l'exemplarite de la Direc-
tion et des responsables hierarchiques. Cela est d'autant plus vrai, que
toutes les etudes concluent que Ie probleme de la securite informatique est
de plus en plus un probleme de comportement humain et d'organisation
allant bien au-dela des seules considerations purement techniques
(systeme anti-intrusion, codes secrets ... ). Ces dernieres ont essentielle-
ment un aspect dissuasif mais limitent cependant les risques de maniere
substantielle. Par ailleurs, les prises de position de I,ECIIA (European
Confederation ofInstitutes ofInternal Auditing) militent pour un renforce-
ment du rcle de l' Audit Interne afm de contribuer plus efficacement a la
prevention et a la detection de la fraude par une evaluation reguliere et
rigoureuse de ce parametre au meme titre que les autres risques. Les audi-
teurs disposent en effet d' outils et de techniques d' audit pour mettre au
jour la fraude. Enfin, pour repondre aux nouveaux enjeux inherents a
l' augmentation manifeste des cas de fraudes et a la professionnalisation
des fraudeurs, nous signalons I' existence de solutions informatiques
completes qui permettent de piloter encore mieux Ie risque de fraude en
favorisant une demarche proactive. Ces solutions utilisent des methodes
statistiques simples ou plus complexes (arbre de decision, regression ... )
pour rechercher des comportements frauduleux dans un ensemble de
donnees afin de proposer des systemes d'alertes efficaces.
Aborde sous un autre prisme, Ie Controle Interne induit egalement une
demarche de changement amen ant I' entreprise a se positionner a la fois sur
l'adequation de ses structures aux missions poursuivies, sur les partages
de responsabilites et leurs frontieres precises entre les differents acteurs
ainsi que sur la construction des systemes de contrOle (procedures opera-
tionnelles, hierarchiques, d'audit). Pour accompagner ce changement,
nous avons mis en place une methodologie dite MIRIS (Maitrise Interne
des RIsques et Securite) basee essentiellement sur la technique de l'auto-
suggestion, sur l'acquisition d'une meilleure connaissance des risques lies
aux activites exercees grace a 1'imagination de scenarios de risque, a leur
hierarchisation puis a la recherche en commun de solutions adaptees. Les
solutions sont ensuite traduites dans des plans d' actions dont la realisation
sera suivie regulierement. En effet, nous pen sons qu'un des facteurs de de
reussite lors de la mise en place d'un projet de Controle Interne permanent
reside dans l'appropriation de la methodologie et des outils par les acteurs
de terrain qui seront egalement charges d'entretenir au quotidien Ie dispo-
sitifmis en place c'est-a-dire de manager leurs risques et leur responsabi-
lite. A cet egard, une telle demarche est donc necessairement delocalisee.
Cela suppose donc precisement tout Ie contraire d'une « intellectualisa-
tion » outranciere des outils mis en place, mais, bien entendu, par sa delo-
calisation, la demarche demande egalement un consensus entre les
collaborateurs pour garantir la coherence d'ensemble.

D'autre part, certaines considerations psychologiques sont a prendre en

compte lors du travail avec les operationnels. En effet, l'analyse des
risques se base sur I' existence de scenarios de menaces pouvant porter
atteinte a l'organisation. Or, l'imagination et l'examen systematique de
menaces de toutes sortes (accident, erreurs graves, malveillances diverses)
est une activite qui genere plutOt des sentiments desagreables pouvant
conduire au rejet meme de l'idee de realiser un tel effort. Le resultat a
atteindre est d'amener chacun a changer de comportement face au risque:
jusqu'ici passif, Ie comportement doit evoluer de la prise de conscience a
la vigilance et a I' action. Gerer les risques est donc par definition une
action de changement qui modifie Ie management d'entreprise. Or, la
premiere action de changement a realiser est celle de la gestion du projet
de mise en place du dispositif.
En consequence, la mise en place d'un dispositif de Contrale Interne est un
veritable projet a conduire comme tel et avec la plus grande rigueur pour
accroitre ses chances de reussite. II faut tout d'abord cerner Ie contexte et
les objectifs precis a atteindre avant d'en detinir les etapes incontour-
nables puis les moyens associes et, enfin, les modalites de suivi. Par
ailleurs, il convient d'apporter une demarche construite et operationnelle
mais de la soumettre, avant toute exploitation a grande echelle dans
l' entreprise, a une modelisation destinee a la rendre la plus adequate
possible a la culture et au contexte de la societe. Dans l' exemple de I' entre-
prise de service, Ie nouveau modele a ainsi ete mis en reuvre sur un site
choisi comme site pilote avant generalisation a tous les sites realisant des
activites de meme nature. La premiere phase dite d'analyse de l'existant
et de realisation des outils (scenarios, questionnaires, cartographie des
risques, referentiels de risques et bonnes pratiques) a ainsi precede la
phase de mise en reuvre du dispositif durant laquelle les outils ont ete
elabores et les operationnels sensibilises et fonnes a la demarche lors
d'intenses et de nombreuses sessions de formation.
Lorsque Ie dispositif de Contrale Interne est installe, tout n' est pas termine
pour autant. En effet, nous avons vu que les nouvelles reglementations
imposent de proceder a une evaluation reguliere du dispositif de gestion
des risques et du Contrale Interne allant en ce sens bien au-dela du recen-
sement initial et des actions entreprises. Pour ce faire, un pilotage adequat
doit etre impulse. D 'un point de vue intellectuel, il ne saurait en etre autre-
ment car une analyse des risques non reactualisee dans un environnement
en perpetuelle evolution ne presenterait qu'un interet faible pour ne pas
dire nul. II est donc indispensable de mettre en place un modele d'organi-
sation et de pilotage de la fonction Contrale Interne comme nous Ie
decrivons en definissant explicitement les rOles et objectifs des acteurs
ainsi que les modes de reporting associes. Ce modele s'appuiera sur un
outil de pilotage de type IC-quest ainsi que sur une fonction que nous
avons appelee «observatoire des risques» chargee principalement de
collecter les evenements survenus ici et la dans l'organisation, de les
analyser pour renvoyer en retour ces enseignements dans Ie reseau des
acteurs de l' organisme.
La finalite du Contrale Interne est d'assurer un pilotage performant favo-
risant Ie developpement du cycle vertueux suivant :

Revision des processus -> Identification des risques -> Quantification des risques -> Identi-
fication des controles -> Comparaison risques I controles -> Mise en place des controles ->
Evaluation des controles.

Ce n'est selon nous qu'a cette condition que l'on pourra atteindre la notion
de maltrise permanente des risques maintes fois evoquee dans Ie livre.
Bien entendu, la reussite du projet reposera sur les qualites humaines de
l' ensemble des acteurs ainsi que sur la capacite de la Direction a faire
adherer les operationnels et a valoriser les actions correctrices menees.
Enfin, et pour elargir la discussion, Ie champ legal d'application du
Contrale Interne est en perpetuelle evolution comme Ie prouve, par
exemple, la publication du decret N° 2006-287 du 13 mars 2006 venant
d'officialiser et de rendre obligatoire la mise en place du Contrale Interne
dans les entreprises d'assurances de part la modification de l'article
R. 336-1 du code des assurances. En substance, «Toute entreprise
mentionnee a 1'article L. 310-1 est tenue de mettre en place un dispositif
permanent de ContrOle Interne ». Le conseil d'administration ou Ie conseil
de surveillance approuve, au moins annuellement, un rapport sur Ie
Contrale Interne, qui est transmis aI' Autorite de contra Ie des assurances et
des mutuelles ».
Activite:
Vne activite est un ensemble de taches elementaires d'une fonction. Vne
fonction est la description ideale d'un groupe coherent et homogene
d'activites. A une description de fonction, correspond une (ou des)
mission qu'effectue Ie collaborateur au sein d'un poste (selon une lettre de
mission). Le Controle Interne met l'accent sur Ie role fondamental de la
hierarchie (activites de management) au niveau des actions de Supervision
en particulier.

AMF (Autorite des Marches Financiers) :

Creee par la Loi de Securite Financiere du 1/8/03, I' Autorite des marches
financiers est issue de la fusion de la COB, du CMF et du CDGF, Inau-
guree Ie 24 novembre par Ministre de I' economie & des finances.
Son objectif est de renforcer l'efficacite & la visibilite de la regulation de
la place financiere fran<;aise.
AAI : Autorite administrative independante, dotee de la personnalite
morale et disposant d'une autonomie financiere.
L' AMF participe a la regulation des marches fmanciers aux echelons euro-
peen et international et a pour missions de veiller :
• a la protectionde l'epargne,
• a l'information des investisseurs,
• au bon fonctionnement des marches.

Assumer:
L' acte d' assumer consiste a signer ce que I' on fait soi -meme afin d' assurer
la tra<;abilite des operations. II permet de mettre en evidence les responsa-
bilites : «je signe et j' ai done veri fie que ce j' ai fait est bien fait».
Assurance:
L'assurance ne doit donc etre envisagee qu'en dernier lieu pour se garantir
contre les risques «residuels » apres avoir applique toutes les solutions
possibles d'auto-securite. Les risques qui ne trouvent pas de solution (ni
securite, ni assurance) sont dits « assumes ».

Audit Interne :
« L' Audit Interne est une activite independante et objective qui donne a-
une organisation une assurance sur Ie degre de maitrise de ses operations,
lui apporte ses conseils pour les ameliorer, et contribue a- creer de la valeur
ajoutee.
II aide cette organisation a- atteindre ses objectifs en evaluant, par une
approche systematique et methodique, ses processus de management des
risques, de controle, et de gouvernement d' entreprise, et en faisant des
propositions pour renforcer leur efficacite ».
Definition approuvee Ie 21 mars 2000 par Ie Conseil d'Administration de
l'IFACI.
Traduction de la definition internationale approuvee par I'IIA Ie 29 juin
1999.

Bareme de probabilite :
Le bareme de probabilite est une echelle de 5 graduations cotees de 0 a 4
donnant un niveau de plausibilite de la realisation du risque reconnu
consensuellement par I' entreprise.

Bareme de gravite :
Le bareme de gravite est une echelle de 5 graduations cotees de 0 a 4
donnant un niveau de gravite du risque reconnu de fa90n consensuelle par
I' entreprise.

4 VULNERABITE TRES GRANDE a faire d'urgence.

Action prioritaire,
3 GRANDE VULNERABILITE Des actions correctives sont a mettre en place a moyen terme.
2 VULNERABILITE MOYENNE Les actions a mettre en CEuvre ne sont pas prioritaires, elles
peuvent etre envisagees a plus long terme.
1 VULNERABILITE FAIBLE Aucune action nouvelle a mettre en place, les dispositifs actuels
doivent etre suivis et entretenus.
0 VULNERABILITE NULLE Rien a ajouter.

Cartographie des risques :

Une cartographie des risques enclenche une retlexion sur Ie processus de
Management des Risques : il s'agit d'identifier et d'evaluer ces risques, de
les traiter et de suivre leur evolution.
Cette cartographie doit permettre de s' assurer du respect des lois et des
bonnes pratiques.
L'elaboration d'une cartographie peut etre motivee pour des raisons
internes telles que mettre en place Ie plan strategique, apporter des infor-
mations sur Ie controle des risques, ajuster Ie programme d' assurance ou
pour des raisons externes telles que repondre a une attente du marche ou
des actionnaires.
Generalement on sequence une cartographie des risques en 5 phases:
- lancement de la demarche
- identification des processus des et des risques associes
- validation et modelisation
hierarchisation et analyse des risques
- resultats des risques.

Consequence d'un risque:

Un risque est un element susceptible d'affecter ou de contrarier la realisa-
tion d'un objectif.

ContrOle:
«to control» signifie conserver la maitrise de la situation alors qu'en
fran<;ais Ie mot « controle » est davantage compris comme Ie fait d' exercer
une action de surveillance sur quelque chose pour l'evaluer (inspection,
pointage, verification).

ContrOle Interne:
II n'existe pas une definition mais des definitions:
Definition classique :
« Le Controle Interne est un ensemble de dispositifs ayant pour but, d'un
cote d'assurer la protection, la sauvegarde du patrimoine et Ia qualite de
I' information, de l'autre d'assurer l'application des instructions de la
Direction et de favoriser l'amelioration des performances. »
Definition du CNCC :
« Les procedures de Controle Interne impliquent Ie respect des politiques
de gestion, la sauvegarde des actifs, Ia prevention et la detection des
fraudes, I' exactitude et I' exhaustivite des enregistrements comptables,
l'etablissement en temps voulu d'informations comptables et financieres
stables»
Norme CNCC 2-301
« Evaluation du risque et Controle Interne », para 08, Referentiel normatif
CNCC, juillet 2003.
Definition du COSO:
Le Controle Interne est un processus mis en reuvre par Ie conseil d'admi-
nistration, les dirigeants et Ie personnel d'une organisation, destine a
fournir une assurance raisonnable quant a la realisation des objectifs
suivants:
- Ia realisation et l' optimisation des operations,
- Ia fiabilite des informations financieres,
- Ia conformite aux Iois et aux reglementations en vigueur.
Definition du groupe « de Place » d~fini par I 'AMF :
« Le controle interne est un dispositif de la societe, defini et mis en reuvre
sous sa responsabilite, qui vise a assurer:
• Ia conformite aux lois et reglements ;
• I'application des instructions et des orientations fixees par la Direction
Generale ou Ie Directoire ;
• Ie bon fonctionnement des processus internes de la societe, notamment
ceux concourant a la sauvegarde de ses actifs ;
• la fiabilite des informations financieres.
D'une fac;on generale, Ie controle interne contribue a la maitrise des acti-
vites de I' entreprise, a I' efficacite de se.s operations et a l'utilisation effi-
ciente de ses ressources.
En contribuant it prevenir et maitriser les risques de ne pas atteindre les
objectifs que s'est fixee la societe, Ie dispositif de controle interne joue un
role de dans la conduite et Ie pilotage de ses differentes activites.
Toutefois, Ie controle interne ne peut fournir une garantie absolue que les
objectifs de la societe seront atteints. »
Definition du MEDEF :
« Les procedures de Controle Interne veillent it ce que les actes de gestion
ou de realisation des operations ainsi que les comportements des
personnels s'inscrivent dans Ie cadre defmi par les orientations donnees
aux activites de I' entreprise par les organes sociaux, par les lois et les
reglements applicables, et par les valeurs, normes et regles internes de
I' entreprise.
Par ailleurs, e1Ies permettent de verifier que les informations comptables,
fmancieres et de gestion communiquees aux organes sociaux de la societe
refletent avec sincerite l'activite et Ia situation de l'entreprise. »

COSO:
En 1991, la societe de conseil en affaires Coopers & Lybrand aux
Etats-Unis a elabore, sous les auspices de Ia Tradeway Commission, un
cadre conceptuel de reflexion sur Ie Controle Interne: Committee of Spon-
soring Organization of the Treadway Commission. C'est actuellement Ie
referentiel de Controle Interne Ie plus utilise, notamment dans Ie cadre de
I'application du SOX.

«COSO 2»:
Etude realisee aux Etats-Unis dans la foulee de SOX. II ne propose pas un
referentie1 de Controle Interne (au contraire du COSO) mais un modele
de gestion des risques. II s'appuie sur Ie COSO comme referentiel de
Controle Interne.

Echelle des responsabilites :

L'un des buts fondamentaux d'une demarche de Controle Interne est de
retablir une connaissance tres precise des responsabilites. Leur connais-
sance existe Ie plus souvent mais de far;on plus ou moins informel1e'engen-
a
drant ainsi des situations risque. Le but est de ne faire maitriser que ce
qui doit I' etre par celui qui doit Ie faire.