Controle Interne - Coso Et Gouvernance D'entreprise

CESAG
MBA ACG
MODULE
CONTRÔLE INTERNE, COSO ET GOUVERNANCE

D’ENTREPRISE
Présenté par : Fatou SY

INTRODUCTION
INTRODUCTION
PRESENTONS NOUS
 Nom,
 occupation, expérience
professionnelle.
 Vos attentes pour ce cours.

INTRODUCTION
QUELQUES REGLES
 JE SUIS PONCTUEL
 J’ÉTEINS
MON TELEPHONE PORTABLE
QUAND JE SUIS EN SALLE
 JE NE DERANGE PAS LA CLASSE
 J’AIUN ORDINATEUR PORTABLE POUR

LES CAS PRATIQUES
INTRODUCTION
OBJECTIFS DU COURS
 Comprendre ce qu’est la Gouvernance d’Entreprise ;
 Comprendre le lien entre Gouvernance d’entreprise,

contrôle interne et management des risques ;
 Comprendre le rôle majeur d’un système de Gouvernance

d’Entreprise bien conçu pour la mise en place et le maintien
d’un système de management des risques efficace ;
 Comprendre la relation entre le COSO 1 et le COSO 2
 Acquérir les bases pour la mise en place d’un système de

management des risques.
CHAPITRE 1
GOUVERNANCE D’ENTREPRISE
1.1
DES DÉFIS MAJEURS AUXQUELS LES

ENTREPRISES DOIVENT FAIRE FACE
AU QUOTIDIEN…
1.1
Globalisation de la chaine Nouvelles technologies

d’approvisionnement
Actionnaires de plus
en plus exigeants
Environnement (COP,
cadre d’action de lutte
contre le réchauffement
climatique)
Nouveaux types de
consommateurs
Globalisation des marchés

Concurrence Démotivation du personnel
1.2
GOUVERNANCE
D’ENTREPRISE : DEFINITION
1.2
 Gouvernance : processus par lequel les

décisions sont prises et mises en œuvre
(ou non)
 Gouvernance d'entreprise :
 mécanismes pour
 diriger et contrôler une entreprise
 assurer la poursuite de l'objectif
stratégique
1.2
 La gouvernance d'entreprise peut être

considérée comme un environnement de
confiance, d'éthique, de valeurs morales et de
confiance où interagissent toutes les parties
prenantes (grand public, professionnels,
prestataires de services, entreprises. ..)
 Lagouvernance d'entreprise est axée sur la

prévention des effondrements d'entreprises.
1.2
Lorsque la gouvernance d'entreprise a échoué :
 Scandales comptables
 Crise financière mondiale
 Catastrophes écologiques
 2011 - TEPCO / FUKUSHIMA : accident nucléaire

 2010 - BRITISH PETROLUM : explosion d’une plateforme
pétrolière
 2008 - LEHMAN BROTHERS : fraude comptable
 2001 – ENRON/ ARTHUR ANDERSEN : fraude comptable
 1992 – SONACOS : explosion d’une citerne d’amoniac
 1986 – TCHERNOBYL : explosion nucléaire
 1984 - BHOPAL / UNION CARBIDE : empoisonnement
chimique
 1980 - EXXON MOBIL: divulgation de fausses informations
sur l’impact du dioxyde de carbone dans le
réchauffement climatique
1.3
BONNE GOUVERNANCE
D’ENTREPRISE
CARACTERISTIQUES, PILLIERS ET APPORTS
1.3
1.3.1 CARACTERISTIQUES D’UNE BONNE GOUVERNANCE

D’ENTREPRISE
 La définition et l’évaluation de la bonne

gouvernance d’entreprise est sujet à débat.
 Cependant une bonne gouvernance

d’entreprise doit prendre en compte les
éléments ci-après :
1.3

D’ENTREPRISE
 Créer de la valeur durablement ;

 Mettre en place des mécanismes d’atteinte des
objectifs des entreprises;
 Accroître la satisfaction des actionnaires;
 Assurer une gestion efficace et efficiente;
 Accroître la crédibilité de l’organisation;
 Assurer une gestion efficace des risques;
 Mettre en place un système de surveillance de
tous les risques;
 Créer une société responsable et à l’écoute;
1.3
D’ENTREPRISE
 Décrire le rôle des entités de l'entreprise;
 Développer le contrôle et l'audit interne;
 Maintenir un équilibre entre les avantages
économiques et sociaux;
 Assurer une utilisation efficace des ressources;
 Contrôler les performances;
 Etre équitable;
 Produire toutes les informations nécessaires pour
les parties prenantes;
 Garantir l’indépendance du Conseil
d’Administration vis-à-vis du Management;
 Faciliter une performance durable.
1.3
1.3.2 LES QUATRES (4) PILIERS DE LA BONNE
GOUVERNANCE
RESPONSABILITE EQUITE TRANSPARENCE INDEPENDANCE
 S'assurer que la  Protéger les  Assurer une  Une
direction est droits des communication organisation et
responsable actionnaires opportune et des procédures
devant le précise sur sont en place
conseil  Traiter tous les toutes les pour réduire ou
actionnaires, y questions éviter les
 S'assurer que le compris les importantes, y conflits
conseil minorités, compris la d'intérêts
d'administration équitablement situation  Les
est responsable financière, la administrateurs
devant les  Apporter les performance, et conseillers
actionnaires réponses le patrimoine et sont
adéquates aux la indépendants,
manquements Gouvernance et libres de
observés d'entreprise toute
l'influence.
1.3
1.3.3 APPORT DE LA BONNE GOUVERNANCE A LONG

TERME
 Augmenter la valeur marchande de l'entreprise;
 améliorer le rating de l'entreprise auprès des agences de notation;
 augmenter le pouvoir concurrentiel;
 copter de nouveaux investisseurs, actionnaires;
 gagner en crédibilité;
 améliorer les conditions et les facilités d'emprunt flexibles des
institutions financières;
 diminuer le taux d'intérêt du crédit et le coût du capital;
 nouvelles opportunités d'investissement;
 attirer de meilleurs compétences;
 atteindre de nouveaux marchés;
 Amélioration de l’image de l'entreprise;
 Motivation du personnel.
1.4
GOUVERNANCE D’ENTREPRISE ET
RESPONSABILITE SOCIETALE DES
ENTREPRISES (RSE)
1.4
 Le développement durable fait référence à une gestion des

ressources naturelles qui satisfait les besoins du présent sans
compromettre la chance des générations futures à pouvoir
utiliser ces mêmes ressources.
 Cette définition qui relève d’une perspective environnementale

recouvre aussi des variantes et des adaptations selon les
disciplines ou les contextes.
On parlera de :
 Durabilité écologique
 Durabilité sociale
 Durabilité technologique
 Durabilité économique,
 Durabilité financière, etc.
1.4
La Responsabilité Sociétale des Entreprises (RSE) est

le fait de tenir compte des impacts sociaux et
environnementaux des activités de l'entreprise pour
intégrer les enjeux du développement durable au
sein de l'organisation et dans leurs interactions avec
leurs parties prenantes.
La gouvernance d’entreprise est une des sept (7)

composantes de la RSE, définies par la norme ISO
26000.
1.4
LIGNES DIRECTRICES DE LA RSE (NORME ISO 26 000)

CHAPITRE 2
CAS PRATIQUE
CHAPITRE 2
LE COSO ET SES REFERENTIELS

2.1
Il était une fois, le

COSO…
2.1
2.1.1 LE COSO : REFERENTIEL OU NORME?
 Bonnes pratiques : ensemble de comportements qui font

consensus et qui sont considérés comme indispensables
par la plupart des professionnels du domaine.
 Référentiel : ensemble structuré de recommandations ou

de bonnes pratiques.
 Norme : Document établi par consensus et approuvé par

un organisme reconnu, qui fournit, pour des usages
communs et répétés, des règles, des lignes directrices ou
des caractéristiques, pour des activités ou leurs résultats
garantissant un niveau d'ordre optimal dans un contexte
donné.
2.1
2.1.2 DATES IMPORTANTES

 1985 : mise en place de la commission Treadway
 1992 : naissance du référentiel COSO 1, Committee of
Sponsoring Organizations, dédié au contrôle interne
 2002 : naissance de la loi Sarban-Oxley sur la réforme de la
comptabilité des sociétés cotées et la protection des
investisseurs
 2004 : naissance du référentiel COSO 2 dédié au
management des risques
 2013 : mise à jour du COSO 1afin de prendre en compte les
évolutions des environnements opérationnels et les
attentes concernant le contrôle interne.
 2017 : mise à jour du COSO 2 « Le management des risques
de l’entreprise — Une démarche intégrée à la stratégie et
à la performance » pour répondre aux exigences d’un
environnement économique mouvant
2.1
2.1.3 COMPOSITION DU COSO
Committee of Sponsoring Organizations of the

Treadway Commission (COSO)
 The Institute of Internal Auditors (IIA)

 Financial Executives International (FEI)
 American Institute of Certified Public
Accountants (AICPA)
 American Accounting Association (AAA)
 Institute of Management Accountants
(IMA)
2.2
1
2.2
2.2.1 COSO CUBE

CHAPITRE 2
2.2.2 DEFINITION
 Le Contrôle Interne est un processus qui donne

une assurance raisonnable quant à la réalisation
d’objectifs liés à :
 l’efficacité et l’efficience des opérations

 la fiabilité des informations financières et non
financières
 la conformité aux lois et règlements
2.2
2.2.3 STRUCTURE DU REFERENTIEL
Environnement Evaluation des Activités de Information et
de contrôle risques contrôle communication
Pilotage
Démontrer son
engagement en Définir des Sélectionner et Conduire des
Utiliser des
faveur de objectifs développer des évaluations
informations
l’intégrité et des appropriés activités de continues et/ou
pertinentes
valeurs éthiques contrôle ponctuelles
Réaliser une Sélectionner et

surveillance Identifier et
développer des
effective analyser les Communiquer Évaluer et
contrôles
risques en interne communiquer les
généraux
informatiques déficiences du
contrôle interne
Définir des
structures, des
pouvoirs et des Évaluer le Déployer les
responsabilités risque de activités de
Communiquer
fraude contrôle par le
en externe
biais de règles et
Démontrer son de procédures
engagement en
faveur du
développement Identifier et
des analyser les
 5 COMPOSANTES
compétences changements
significatifs
 17 PRINCIPES
Instaurer un
devoir de rendre
compte
2.2
2
2.3
2.3.1 DEFINITION
 Le management des risques est un processus mis

en place pour permettre :
 L’identification des évènements potentiels

pouvant affecter l'organisation
 La maîtrise des risques dans la limite de
l'appétence définie
 L’assurance raisonnable quant à la réalisation des
objectifs
2.3
COSO 2 2004
VS
COSO 2 2017
2.3
2.3.2 POURQUOI METTRE A JOUR LE COSO 2
 Evolution de la complexité des risques

 Emergence de nouveaux risques
 Demande d’un reporting de plus en plus
développé de la part des conseils et des
dirigeants.
2.3
2.3.3 CE QUE LE COSO 2 2017 PERMET

 Renforcement du dialogue entre le conseil et les
parties prenantes afin que le Management des risques
soit perçu comme un avantage compétitif;
 Déploiement des capacités de management des
risques au cœur de la sélection d’une stratégie et de
son élaboration;
 Démontrer comment la prise en compte explicite des
risques peut avoir un impact sur le choix de la
stratégie;
 Démonstration de la manière dont une stratégie
s’inscrit dans la mission et la vision de l’organisation.
 Examen des stratégies alternatives;
 Prise en compte de l’avis des personnes dans
l’organisation, qui mettront en œuvre la stratégie
sélectionnée.
2.3
 Une fois la stratégie définie, le management des risques

de l’entreprise permet à la direction de remplir
efficacement son rôle en sachant que les risques qui
peuvent avoir un impact sur la stratégie de
l’organisation sont connus et maîtrisés.
 Il contribue également à inspirer confiance aux parties

prenantes et à leur donner une assurance dans le
contexte actuel où une évaluation minutieuse de la
manière dont le management envisage et gère ces
risques est plus que jamais demandée.
 Il permet de renforcer le rôle de surveillance des risques

du Conseil via la mise en place de comités spécialisés
(comité d’audit, risque, stratégique, rémunération,
éthique…)
2.3
2.3.4 BENEFICES D’UN MANAGEMENT DES RISQUES
EFFICACE
 Accroître la gamme des opportunités
 Identifier et gérer les risques à l’échelle de l’entité
 Augmenter les résultats positifs et les bénéfices en

réduisant les mauvaises surprises
 Réduire la volatilité de la performance
 Améliorer le déploiement des ressources
 Accroître la résilience de l’organisation

2.3
2.3.5 STRUCTURE DU REFERENTIEL
 5 COMPOSANTES
 20 PRINCIPES
CHAPITRE 2
CAS PRATIQUE
CHAPITRE 2
FIN JOUR 1
CESAG
Fatou SY
mafkasy@gmail.com
00 221 77 639 95 42
CESAG
CESAG EXECUTIVE
MBA ACG
MODULE

D’ENTREPRISE

CHAPITRE 3
MANAGEMENT DES RISQUES ET

CONTRÔLE INTERNE
SYNERGIES, DIVERGENCES ET MISE EN APPLICATION
3.1
COMPOSANTE N°1
GOUVERNANCE ET CULTURE
3.1
COSO COSO
2 1
GOUVERNANCE ET ENVIRONNEMENT DE
CULTURE CONTRÔLE
1. Démontrer son engagement

1. Exercer une surveillance des
en faveur de l’intégrité et des
risques par le conseil
valeurs éthiques
2. Définir les structures 2. Réaliser une surveillance

organisationnelles effective
3. Définir des structures, des

3. Définir la culture souhaitée
pouvoirs et des responsabilités
4. Démontrer l’engagement en 4. Démontrer son engagement

faveur de valeurs en faveur du développement
fondamentales des compétences
5. Attirer, former et fidéliser des 5. Instaurer un devoir de rendre

personnes compétentes compte
3.1
GOUVERNANCE ET CULTURE
 La gouvernance donne le ton dans

l’organisation, en insistant sur l’importance du
management des risques de l’entreprise et en
définissant les responsabilités de surveillance de
cette démarche. La culture correspond aux
valeurs éthiques, aux comportements souhaités
et à la compréhension des risques dans l’entité.
3.1
PRINCIPE 1
SURVEILLANCE DES RISQUES PAR LE
CONSEIL
PRINCIPE 1
P1 : SURVEILLANCE DES RISQUES PAR LE CONSEIL
 De manière générale, il s’agit essentiellement :
 D’établir les attentes en matière d’intégrité et de valeurs
éthiques, d’instances de surveillance, de pouvoirs et de
responsabilités, ainsi que les attentes concernant les
compétences et le devoir de rendre compte au conseil;
 De surveiller l’évaluation faite par le management des risques
susceptibles d’affecter la réalisation des objectifs, notamment
l’impact potentiel de changements significatifs, de fraudes et du
contournement par le management des principes de contrôle
interne;
 De surveiller les actions de la direction générale pour s’assurer de
la mise en place et du bon fonctionnement des activités de
contrôle,
 D’analyser et de discuter des informations sur la réalisation des

objectifs de l’entité,
 D’apprécier et de surveiller la nature et le périmètre des activités

de pilotage, ainsi que de l’évaluation par le management des
déficiences et les mesures prises pour y remédier.
PRINCIPE 1
 Quelques exemples :
 Etablir les rôles, les responsabilités et la délégation de
pouvoirs du conseil d'administration
 Elaborer des politiques et des procédures pour les
rencontres entre le conseil d'administration et la direction
 Examiner les dossiers de candidature des nouveaux
administrateurs
 Examiner les hypothèses et les actions de la direction
 Evaluation indépendante de l’activité
 Prise en compte des informations en provenance des
lanceurs d’alerte et du processus anti fraude
PRINCIPE 1
 Etablir les rôles, les responsabilités et la délégation de
pouvoirs du conseil d'administration
 Défini dans les statuts de l’entreprise ou dans les
chartes des différents comités mis en place
 Mise en place d’un comité d’audit dont le rôle
principal est :
• Surveillance du processus d’élaboration de l’information
financière ;
• Surveillance de l’efficacité des systèmes de contrôle
interne et de gestion des risques ;
• La surveillance du contrôle légal des comptes par le
commissaire aux comptes (revue des rapports, sélection
et rémunération du commissaire aux comptes)
PRINCIPE 1
 Elaborer des politiques et des procédures pour les
rencontres entre le conseil d'administration et la direction
 Mise en place d’une charte intégrant :
• La définition d’un calendrier de rencontre périodique

entre la direction et le comité d’audit ;
• Les modalités d’information à l’attention du conseil
d’administration des changements en termes de
pratiques comptables et financières pouvant avoir un
impact sur les états financiers de l’entreprise;
• Des rencontres périodiques avec le responsable de
l’audit interne, le commissaire aux comptes, les auditeurs
externes en dehors de la présence de la direction;
• Les règles de convocation de réunions d’urgence;
• La possibilité de faire appel à des consultants externes
pour des sujet spécifiques.
PRINCIPE 1
 Examiner les dossiers de candidature des nouveaux
administrateurs
 Mise en place d’un comité de sélection des nouveaux
administrateurs indépendants de la direction et de
l’entreprise.
 Elément entrant dans la sélection des nouveaux
membres :
• Proportion d’administrateurs indépendant dans la
composition du conseil d’administration;
• Compétence des différents administrateurs au regard de
l’activité de l’entreprise;
• Indépendance vis-à-vis de la direction et de l’entreprise;
• Expertise en matière de reporting financier ou dans le
domaine d’intervention de l’organisation (comité
d’audit).
PRINCIPE 1
 Examiner les hypothèses et les actions de la direction
 Mis en œuvre par le comité d’audit

 Clarification et justification des points suivants :
• processus de sélection et de mise en œuvre des règles

comptables;
• Processus d’élaboration budgétaire;
• Hypothèses d’élaboration des états financiers;
• Processus d’évaluation de tous autres risques auxquels
l’entreprise doit faire face et l’impact potentiel sur les
états financiers.
PRINCIPE 1
 Evaluation indépendante de l’activité

 Rencontre avec les auditeurs internes et externes pour
échanger sur les points suivants :
• risques majeurs ;
• Périmètre d’audit et programmes d’intervention ;
• Changement dans les règles comptables;
• Ressources humaines, financières et matérielles
• Organisation et culture (du risque notamment);
• Principaux points d’amélioration relevés lors des audits;
• Qualité et fiabilité des états financiers et du reporting;
• La prise en compte du contrôle interne lors de
l’élaboration des états financiers.
PRINCIPE 1
 Prise en compte des informations en provenance des

lanceurs d’alerte et du processus anti fraude

 Surveillance du risque d’erreur au niveau des états
financiers (fraude, malversation, comportement inapproprié
du personnel…)
• Revue des allégations des lanceurs d’alertes;

• Revue de l’analyse effectuée par le managements
relativement à ces allégations;
• Revue de l’impact potentiel sur les états financiers ;
• Revue des actions correctives mises en œuvre.
3.1
PRINCIPE 2
DEFINIR LES STRUCTURES ORGANISATIONNELLES
PRINCIPE 2
P2 : DEFINIR LES STRUCTURES ORGANISATIONNELLES
 La structure organisationnelle d’une entité représente

l’infrastructure permettant de planifier, d’exécuter, de
contrôler et de faire un suivi de ses activités. Le
caractère approprié de la structure organisationnelle
d’une entité dépend en partie de sa taille et la nature
de ses activités.
 Une organisation très structurée, composée de niveaux

hiérarchiques et de responsabilités rigoureusement
établies, conviendra à une entité de taille importante
comportant de nombreuses divisions, ainsi que des
filiales à l’étranger, alors qu’elle pourrait entraver les
flux d’information au sein d’une petite organisation.
PRINCIPE 2
 instaurer un devoir de rendre compte à travers les

structures, les pouvoirs et les responsabilités : le
management et le conseil déterminent les mécanismes de
communication des responsabilités individuelles en matière
de contrôle interne et de devoir de rendre compte, et
prennent, si nécessaire, les mesures correctives ;
 établir des indicateurs de performance, des mesures
d’incitation et des gratifications : le management et le
conseil établissent des indicateurs de performance, des
mesures d’incitation et des gratifications adaptés aux
responsabilités à tous les échelons de l’entité, en tenant
compte du niveau approprié de performance et des
normes de conduite attendues, ainsi que de la réalisation
des objectifs à court et à long terme ;
PRINCIPE 2
 évaluer en continu la pertinence des indicateurs de
performance, des mesures d’incitation et des gratifications :
le management et le conseil alignent les mesures
d’incitation et les gratifications sur la réalisation des
responsabilités liées au contrôle interne en vue de la
réalisation des objectifs ;
 Tenir compte des pressions excessives : le management et
le conseil évaluent et limitent les pressions associées à la
réalisation des objectifs lorsqu’ils assignent les
responsabilités, définissent les indicateurs de performance
et évaluent les performances ;
 Evaluer les performances individuelles et récompenser ou
sanctionner les personnes : le management et le conseil
évaluent l’exercice des responsabilités liées au contrôle
interne, notamment le respect des normes de conduite et
les niveaux de compétence attendus et récompensent ou
sanctionnent selon le cas ;
PRINCIPE 2
 Qu’elle que soit sa structure, une entité doit

être organisée de manière à permettre la
mise en place d’un dispositif efficace de
management des risques et à conduire ses
activités dans l’optique d’atteindre ses
objectifs.
3.1
PRINCIPE 3
DEFINIR LA CULTURE SOUHAITEE
PRINCIPE 3
P3 : DEFINIR LA CULTURE SOUHAITEE
 La culture du risque se définit :
 Un ensemble de croyances et d’attitudes partagées

caractéristiques de la façon dont l’entité appréhende
les risques dans toutes ses activités;
 qui reflète les valeurs de l’organisation;
 et qui influence la culture d’entreprise et son approche

opérationnelle.
Exemple : Lettre introductive du management à la

politique de management des risques
3.1
PRINCIPE 4
DEMONTRER L’ENGAGEMENT EN FAVEUR DE VALEURS
FONDAMENTALES
PRINCIPE 4
P4 DÉMONTRER L’ENGAGEMENT EN FAVEUR DE VALEURS
FONDAMENTALES
 Les valeurs fondamentales sont les principes qui sous-tendent
la stratégie d’une organisation et définissent de quelle
manière elle devrait agir. Mises en place dans une charte ou
code de conduite elles peuvent être d’ordre :
 Professionnelles : innovation, qualité, satisfaction client, savoir-faire,
formation
 relationnelles : esprit d'équipe, respect…
 de conduite : intégrité, tradition, ouverture …
morales : justice, loyauté…
 sociétales : responsabilité sociale, santé, environnement
 Les valeurs fondamentales agissent sur l’image de l'entreprise

et donnent un sens à sa démarche, permettent de motiver les
collaborateurs, renforce la culture de l'entreprise et aident à
la décision.
PRINCIPE 4
P4 DÉMONTRER L’ENGAGEMENT EN FAVEUR DE VALEURS
FONDAMENTALES
 Le processus de management des risques mis en place

doit permettre :
 D’évaluer l’adhésion aux normes de conduite : les

processus sont en place pour évaluer la
performance individuelle et collective au regard
des normes de conduite définies.
 De gérer les écarts par rapport aux normes de

conduite de l’entité. Ces écart sont identifiés et
résolus en temps voulu et de façon cohérente.
3.1
PRINCIPE 5
ATTIRER , FORMER ET FIDELISER DES PERSONNES
COMPETENTES
PRINCIPE 5
P5 ATTIRER , FORMER ET FIDELISER DES PERSONNES
COMPETENTES
 L’organisation prévoit le mentorat et la formation nécessaires
pour attirer, former et fidéliser suffisamment de salariés
compétents et de prestataires externes pour réaliser ses objectifs
 Attirer : rechercher les candidats qui correspondent à la culture, au

style de management et aux besoins organisationnels de l’entreprise
et disposant des compétences requises.
 Former : il s’agit de permettre au personnel de développer les

compétences nécessaires à la prise en charge de sa fonction. Cette
formation doit inclure un mix de formation externe, interne et
personnel.
 Mantorat : il permet de s’assurer que l’employé est conforme aux

règles de conduite de l’entreprise, que le savoir faire et le savoir être
de l’employé correspondent aux objectifs de l’entreprise. Il lui permet
également de s’adapter rapidement à l’entreprise.
PRINCIPE 5
P5 ATTIRER , FORMER ET FIDELISER DES PERSONNES
COMPETENTES
 Evaluer : mesure la performance de l’employé en relation avec

l’atteinte de ses objectifs.
 Fidéliser : fourni des éléments de motivation et renforce le niveau de

performance et comportement attendu .
PRINCIPE 5
P5 ATTIRER , FORMER ET FIDELISER DES PERSONNES COMPETENTES
 Mettre en place des politiques, procédures et modes opératoires. Ils

représentent les compétences attendues, nécessaires à la
réalisation des objectifs. Ces procédures permettent de définir les
niveaux de responsabilité en termes de performance pour les
fonctions ou entités clé.
 Le conseil et le management évaluent les compétences disponibles

dans l’ensemble de l’organisation et chez les prestataires externes
au regard de politiques et de modalités pratiques établies, et le cas
échéant, prennent des mesures pour remédier aux insuffisances. Des
lacunes qualitatives et quantitatives de compétences au sein de
l’organisation sont de nature à la fragiliser et à générer du risque
(tâches non accomplies, tâches mal accomplies, instruction mal
mises en œuvre, mise en œuvre inappropriée des politiques,…).
 Planifier et préparer la succession : la direction générale et le conseil

élaborent des plans pour assurer la continuité des responsabilités
clés en matière de contrôle interne.
3.2
CAS PRATIQUE
3.2
COMPOSANTE N°2
STRATEGIE ET DEFINITION DES
OBJECTIFS
3.1
STRATEGIE ET DEFINITION DES

OBJECTIFS
 Le management des risques de l’entreprise, la

stratégie et la définition des objectifs contribuent
conjointement au processus de planification
stratégique. L’appétence pour le risque est
définie et ajustée à la stratégie ; les objectifs
opérationnels permettent de mettre en œuvre la
stratégie tout en servant de base pour
l’identification, l’évaluation et le traitement des
risques.
3.2
COSO COSO
2 1
STRATEGIE ET DEFINITION EVALUATION DES
DES OBJECTIFS RISQUES
6. Analyser le contexte 6. Définir des objectifs

de l’organisation appropriés
7. Définir l’appétence
7. N/A
pour le risque
8. Évaluer les stratégies

8. N/A
alternatives
9. Définir les objectifs

9. N/A
opérationnels
PRINCIPE 6
PRINCIPE 6
ANALYSER LE CONTEXTE DE L’ORGANISATION
PRINCIPE 6
P6 ANALYSER LE CONTEXTE DE L’ORGANISATION
 La taille d’une entité, sa complexité, son

secteur d’activité, son style de
management ainsi qu’un certain nombre
d’autres aspects sont à prendre en compte
dans le choix de l’approche pour une
application efficace des concepts et des
principes.
PRINCIPE 7
PRINCIPE 7
DEFINIR L’APPETENCE POUR LE RISQUE
PRINCIPE 7
P7 DEFINIR L’APPETENCE POUR LE RISQUE

 L’appétence pour le risque est le niveau de risque global et
les types de risque qu’une organisation accepte de prendre
pour répondre à son objectif de création de valeur.
 Il reflète la culture de l’organisation en matière de risque.
 L’appétence pour le risque est pris en compte dans la

définition de la stratégie, les résultats de la stratégie devant
être en ligne avec l’appétence de l’organisation pour le
risque.
 Le management des risques aide l’organisation à définir une

stratégie en ligne avec son appétence pour le risque.
PRINCIPE 7

 De manière plus pratique:
 La définition de l’appétence pour le risque passe par une série

de questionnements de la part du Management. Par exemple :
 Quels risques la société est elle prête à accepter?
 Quel niveau de capital la société est prête à investir pour un niveau
de rendement donné?
 La société est elle prête à privilégier l’atteinte d’un objectif par
rapport à un autre?
 Quel niveau de risque l’entreprise est elle prête à prendre pour passer
de concurrent suiveur à concurrent prescripteur ?
 Dans quelle mesure la société est elle prête à investir dans des projets
à réussite incertaine mais hautement rentable?
 La réponse à ces questionnements permet de définir

l’appétence pour le risque de l’organisation.
PRINCIPE 7
Niveau d’appétence
OBJECTIFS
PERIMETRE QUANTITATIF
STRATEGIQUES QUALITATIF
ASSERTION/ RISQUES (LIMITES)
Sanctions règlementaires, Si inférieur à 50

Se conformer aux Acceptable
pénalités, amendes millions de FCFA
exigences règlementaires
Régulateur
majeures pour éviter des
sanctions et des pénalités. Lettre d’avertissement du Acceptable
Régulateur
Dégradation de l’image de
Non acceptable
Développer une forte marque et de réputation
perception de notre
Media Press Institution au sein de la Développement d’activités
population et dans les proscrites ou non éthiques au
milieu d’affaires regard des obligations Non acceptable
environnementales ou du droit
du travail
si part de marché
Perte de part de marché Acceptable supérieur ou égale à
Développer notre 35%
Clients
portefeuille client)
Perte de clients majeurs Non acceptable
Forte rotation du personnel et

Maintenir et fidéliser notre Non acceptable
ruptures de compétences
Employés personnel hautement
qualifié sur le long terme Perte d’attractivité de l’institution Non acceptable
PRINCIPE 7
Niveau d’appétence
OBJECTIFS
PERIMETRE QUANTITATIF
STRATEGIQUES QUALITATIF
ASSERTION/ RISQUES (LIMITES)
Maintenir le prix de l’action
Chute du cours de l’action Non acceptable
à un niveau élevé pour
Investisseurs nous assurer de conserver
un niveau d’attractivité Retrait du capital de certains
Non acceptable
élevé actionnaires
Si grèves &
Revendications sociales / mouvements sociaux
Acceptable
Grèves ne dépassent pas 5j /
Maintenir un climat social an
Syndicats
stable Si dédommagements
Sanctions légales pour non
cumulés dans l'année
conformité à la loi Travail (en Acceptable
ne dépassent pas 30
matière de licenciement abusif)
millions FCFA
Perte d’une partenaire Trade Si les business
Finance (Opérations partners représentant
Développer un portefeuille internationales) et baisse de la Acceptable 80% du volume
de business partner dans qualité de notre réseau de d'activités sont
Partenariat
les pays africains pour correspondants maintenues
commercial
permettre et développer les
transactions commerciales Perte de confiance de nos
Non acceptable
partenaires commerciaux
Entretenir des relations de Déficit d’approvisionnement /

Non acceptable
qualité avec nos Rupture de matières
Fournisseurs fournisseurs majeurs pour
maintenir la cadence Perte de confiance des
Non acceptable
normale de nos activités fournisseurs
PRINCIPE 7

 Détermination de la tolérance pour le risque
 La tolérance pour le risque est le niveau de

variation acceptable dans l’atteinte d’un objectif.
C’est une fourchette de variation qui permet une
meilleure garantie quant à l’atteinte des objectifs
de l’organisation.
PRINCIPE 8
PRINCIPE 8
EVALUER LES STRATEGIES ALTERNATIVES
PRINCIPE 8
P8 EVALUER LES STRATEGIES ALTERNATIVES
 Lastratégie sélectionnée doit soutenir la mission et

la vision de l’organisation.
 Une stratégie en déphasage augmente la

possibilité que l’organisation ne réalise ni sa mission
ni sa vision, ou peut compromettre ses valeurs,
même si la stratégie est exécutée avec succès.
 Par conséquent, le management des risques de

l’entreprise prend en compte la possibilité que la
stratégie ne soit pas alignée avec la mission et la
vision d’une organisation.
PRINCIPE 8
P8 EVALUER LES STRATEGIES ALTERNATIVES

 Quand la direction élabore une stratégie et analyse les
alternatives avec le conseil, elle prend des décisions sur les
arbitrages inhérents à la stratégie.
 Chaque stratégie alternative a son propre profil de risque

correspondant aux conséquences qui découlent de cette
stratégie.
 Le conseil et la direction générale doivent déterminer si la

stratégie est ajustée à l’appétence pour le risque de
l’organisation, et comment elle orientera l’organisation dans
la fixation des objectifs pour in fine allouer de manière
efficiente ses ressources.
PRINCIPE 9
PRINCIPE 9
DEFINIR LES OBJECTIFS OPERATIONNELS
PRINCIPE 9
P9 DEFINIR LES OBJECTIFS OPERATIONNELS
 La fixation des objectifs est une condition préalable à

l’identification des événements, l’évaluation des risques et le
traitement des risques.
 La définition d’objectifs appropriés soutenant et correspondant

à la stratégie retenue, pour toutes les activités de l’organisation
est un facteur essentiel à la réussite.
 Les objectifs doivent être aisément compréhensibles et

mesurables. Selon les principes d’un dispositif de management
des risques efficace, tous les collaborateurs, quel que soit leur
niveau, doivent acquérir une bonne connaissance des objectifs
de l’organisation qui se rapportent à leur périmètre d’activité.
PRINCIPE 9
 Objectifs liés aux opérations
Ils concernent l’efficacité et l’efficience des activités d’une

organisation notamment les objectifs de rentabilité et de
performance et la protection des actifs contre les pertes.
Les objectifs liés aux opérations reflètent les choix du
Management concernant la structure, le secteur d’activité
et la performance de l’entité. Le management prend en
compte les écarts acceptables par rapport à l’atteinte des
objectifs liés aux opérations en tenant compte du seuil de
tolérance.
PRINCIPE 9
 Objectifs liés aux reporting
Ils concernent la fiabilité du reporting interne comme

externe et se rapportent à des informations financières et
non financières.
Les objectifs liés au reporting financier doivent être

cohérents avec les principes comptables adéquats et
applicables à l’entité. Les principes comptables retenus
sont appropriés aux circonstances. Pour cette catégorie
d’objectifs, le management tient compte de l’importance
relative dans la présentation des états financiers.
PRINCIPE 9
 Objectifs liés aux reporting
 Le reporting interne fournit au management des informations

exactes et exhaustives sur ses choix, et celles dont il a besoin
pour gérer l’entité.
 Les objectifs associés doivent tenir compte du niveau de

précision et d’exactitude requis pour les besoins des utilisateurs
dans le cadre des objectifs liés au reporting extra-financier, et
l’importance relative dans le cadre des objectifs liés au reporting
financier.
PRINCIPE 9
 Les objectifs liés au reporting externe reflètent les transactions et

les événements sous-jacents, dans le respect des critères de
qualité communément admis ;
 Objectifs liés au reporting extra-financier externe : le

management définit des objectifs conformes aux lois et aux
règlements, ou aux normes et aux référentiels.
PRINCIPE 9
 Objectifs liés à la conformité
Ils concernent le respect des lois et règlements,

fixent des normes minimales de conduite que
l’entité intègre dans ses objectifs liés à la
conformité.
3.2
CAS PRATIQUE
FIN JOUR 2
CESAG
Fatou SY
mafkasy@gmail.com
00 221 77 639 95 42
CESAG
EXECUTIVE MBA
MODULE

D’ENTREPRISE

3.3
COMPOSANTE N°3
PERFORMANCE
3.3
COSO COSO COSO
2 1 1
EVALUATION DES ACTIVITES DE

PERFORMANCE
RISQUES CONTRÔLE
10. Sélectionner et
10. Identifier les risques 6. N/A développer des activités
de contrôle
11. Sélectionner et
11. Évaluer la criticité des 7.Identifier et analyser les
développer des contrôles
risques risques
généraux informatiques
12. Déployer les activités

8. Évaluer le risque de
12. Prioriser les risques de contrôle par le biais de
fraude
règles et de procédures
13. Mettre en œuvre les

modalités de traitement 9. N/A
des risques
14. Développer une vision

globale du portefeuille de
risques
CESAG
PRINCIPE 10
IDENTIFIER LES RISQUES
PRINCIPE 10
P10 IDENTIFIER LES RISQUES

 DEFINITIONS
 Risque : Evénement susceptible de compromettre,

remettre en cause la réalisation d’un objectif. Un risque
décrit l’incertitude de réalisation d’un objectif et se
caractérise par une cause, une probabilité de
survenance et ses conséquences.
 Risque potentiel : il s’agit d’un risque dont le caractère

avéré n’est pas confirmé et qui n’est jamais survenu. Des
facteurs observés au niveau de l’environnement interne
ou externe confirment des possibilités de survenance.
 Risque majeur : risque dont les conséquences et la

probabilité de réalisation sont très importantes pour
l’organisation.
PRINCIPE 10
 LES FACTEURS DE RISQUES
 Les causes de risques sont rattachées à des

facteurs de risques, eux-mêmes rattachés à des
familles de cause.
 Lors de leur identification, les risques doivent

faire l’objet d’une analyse et la cause de risque
doit être clairement identifiée et définie. La
cause de risque est ensuite rattachée à un
facteur de risque issu du référentiel de facteurs
de risque de l’entreprise.
PRINCIPE 10
 EXEMPLES DE FACTEURS DE RISQUE
FAMILLES DE CAUSE FACTEURS DE RISQUE EXEMPLES
Catastrophe naturelle ,
Environnementaux émissions et déchets…
Crise politique, changement de
Politiques gouvernement,
règlementation…
Externe Concurrence, marchés
Economiques financiers…
Technologiques Cybercriminalité…
Terrorisme, comportement des
Sociaux consommateurs…
disponibilité des actifs,
Infrastructure capacité des actifs…
Compétence du personnel,
Ressources humaines activités frauduleuses…
Dysfonctionnement issu d'un
Interne
Processus fournisseur, organisation,
méthodes et procédés
Intégrité des données,
Technologie indisponibilité du système, choix
des systèmes …
PRINCIPE 10
 LES TECHNIQUES D’IDENTIFICATION
 Inventaire des risques : retour d’expérience interne

(rapports d’audit, commissaires aux comptes,
enquêtes…) et externe (risques inhérents à un
secteur d’activité, texte de loi, revue et analyse
de la règlementation…)
 Ateliers d’identification
 Entretiens
 Questionnaires et enquêtes
 Analyse dysfonctionnelle des processus (revue de
processus, analyse des non-conformité)
 Analyse de la base des incidents
 Brainstorming
PRINCIPE 10
 QUELLE DEMARCHE POUR IDENTIFIER LES RISQUES?
 Approche Top-down
L’approche top-down apporte la vision de la

« gouvernance » en parcourant la base de risques
afin de présélectionner les risques majeurs au
cours d’entretiens. Elle permet de construire la
cartographie des risques majeurs.
PRINCIPE 10
 Approche Bottom-up
L’approche Bottom-Up permet d’identifier des risques

lors de la revue des processus et des activités de
l’entreprise.
La revue des processus requiert l’analyse de

l’ensemble des moyens organisationnels et techniques
concourant à la réalisation des activités. Ces revues
de processus constituent des moments privilégiés pour
analyser les risques inhérents aux tâches et modes
opératoires.
PRINCIPE 10
 Approche Bottom-up
Cette approche permet la détection des risques
issus de processus via :
 La revue de la documentation du processus et de
l’ensemble des analyses existantes (points de conformité,
rapport d’audit …) avant l’atelier de validation de
processus.
 La participation aux ateliers de revue des processus afin
d’identifier et formaliser les événements de risques, les
dispositifs de maîtrise existant et les contrôles de supervision.
 L’évaluation des risques identifiés lors des ateliers de revue
de processus ainsi que le recensement des dispositifs de
maîtrise et des contrôles de supervision existants.
PRINCIPE 10
 EXEMPLES
Code Code Code
Processus Actvité Propriétaire Libellé risque Description risque Cause
processus actvité risque
P01 Achats biens et P01.01 Gérer les stocks Service achats R01.01.01 Rupture de stocks critiques Absence d'outils (logiciel par exemple) pour la gestion Absence de
services du stock. Aucun indicateur n'a été mis en place pour la contrôle régulier du
détermination du stock de sécurité. La société ne niveau de stock
dispose pas de lieu de stockage pour éviter la
fragmentation des commandes.
P02 Moyens P02.01 Sécurité physique des Service R02.01.01 Vol ou destruction de matériel Matériel volé suite à une défaillance du système de Défaut du système
généraux personnes et des biens informatique informatique contrôle d'accès et destruction de matériel informatique de surveillance
par défaut d'entretien du matériel.
Conséquence:
-pertes de données
-Divulgation d'informations classées confidentielles
-dégradation des équipements
P02 Moyens P02.01 Sécurité physique des Service R02.01.02 Destruction partielle ou totale des La destruction partielle ou total du bâtiment peut être Incendie
généraux personnes et des biens informatique bâtiments causée par l'incendie ou le dégâts des eaux.
Conséquence:
-Indisponibilité partielle ou totale des services
-Affaiblissement du bâtiment
-Pertes financières
P02 Moyens P02.01 Sécurité physique des Service R02.01.03 Destruction partielle ou totale des La destruction partielle ou total du bâtiment peut être Dégât des eaux
généraux personnes et des biens informatique bâtiments causée par l'incendie ou le dégâts des eaux.
Conséquence:
-Indisponibilité partielle ou totale des services
-Affaiblissement du bâtiment
-Pertes financières
P03 Maitrise SI et P03.01 Gestion des Service R03.01.01 Indisponibilité des accès indisponibilité du réseau téléphonique du fait : Défaillance de
continuité infrastructures et réseaux informatique téléphoniques - d'une défaillance de matériels ou de logiciels matériel ou de
d'activité - du non respect des procédures d'usage du système logiciel
de téléphonie
Les conséquences peuvent être :
- la perturbation des échanges avec les clients
- la baisse de productivité du personnel
CESAG
PRINCIPE 11
EVALUER LA CRITICITE DES RISQUES
PRINCIPE 11
P11 EVALUER LA CRITICITE DES RISQUES
 DU RISQUE BRUT AU RISQUE RESIDUEL
 Risque brut ou risque inhérent : Risque avant prise en

compte des mesures de prévention et de protection.
L’analyse des risques opérationnels se fait généralement
en risque brut, de façon à identifier, évaluer et tester
quels modes de traitement ont été mis en place pour
maîtriser le risque.
 Risque résiduel ou risque net : Risque subsistant après le

traitement du risque
PRINCIPE 11
 Le risque est évalué par son propriétaire

selon une méthodologie tenant compte de
:
 sa probabilité de survenance et
 de son impact global (financier et non
financier).
PRINCIPE 11
 Unrisque peut se réaliser de différentes manières,

avec des situations et des impacts très différents,
ce sont les différents scénarios de réalisation.
 Ces scénarios peuvent être identifiés par l’étude

des incidents déjà connus, au sein de
l’entreprise, ou grâce à des benchmark de
sinistres, ou simplement par l’imagination
d’incidents non encore apparus mais possibles.
PRINCIPE 11

 Les approches d’évaluation des risques sont
généralement constituées d’une combinaison
de techniques qualitatives et quantitatives.
 L’utilisation des techniques qualitatives est

indiquées lorsque les données nécessaires à une
évaluation quantitative ne sont pas disponibles,
la collecte de ces données n’est pas rentable ou
que les risques ne se prêtent pas à la
quantification.
 Parcontre les techniques quantitatives donnent

généralement des résultats plus précis.
PRINCIPE 11

 TECHNIQUES QUALITATIVES
La cotation des risques est réalisée suivant deux

échelles :
 l’une de gravité potentielle sur une échelle de 1 à n
 l’autre de probabilité d’occurrence sur une échelle
de 1 à n également
Le produit des deux évaluations correspond à la

notion de criticité.
PRINCIPE 11
 TECHNIQUES QUALITATIVES PROBABILITE D’OCCURRENCE
et GRAVITE DES CONSEQUENCES
Échelle #1 Échelle #2 Échelle #3 Échelle #4
1 1 1 1
2 2 2 2
3 3 3 3
 Exemples d’échelles 4 4 4 4
de cotation qualitative
5 5 5
6 6 6
par hiérarchisation : 7 7
avantages et 8 8
inconvénients
9
10
 Avantage : facilite l’évaluation  Avantage : donne un degré de

grâce à un nombre réduit de finesse important à la cartographie
niveaux des risques
 Inconvénient : manque de finesse  Inconvénient : complexifie
dans l’évaluation et réduit l’intérêt l’évaluation à cause d’un grand
de la cartographie des risques nombre de niveaux
PRINCIPE 11
 L’utilisation de la méthode des métriques permet une
évaluation objective des risques. Les métriques doivent être
définies et mises en place en relation avec chaque
propriétaire de risques concerné.
La métrique est un ensemble d'éléments permettant de fournir

une évaluation qualitative ou quantitative représentative d'une
situation (risque).
 Cette méthode consiste à produire pour chaque catégorie

de risques, une grille d'appréciation regroupant des
indicateurs quantitatifs : taux de turnover, CA, nombre
d'opérations, … et qualitatifs : image, par exemple.
 Ils englobent à la fois les critères qui gouvernent la probabilité

et l'impact potentiel d'un risque.
PRINCIPE 11
 Exemple : échelle d’évaluation de la probabilité du
risque selon la méthode des métriques
La vraisemblance du risque est notée de 1 à 4 par déduction
du type de fréquence de l’activité porteuse du risque.
L’échelle distingue ainsi les activités :
NIVEAU PROBABILITE QUOTIDIENNES MENSUELLES ANNUELLES
1 Très peu probable Tous les 3 mois ou plus Tous les 12 mois ou plus Tous les 25 ans ou plus
2 Moyennement probable Tous les mois Tous les 6 mois Tous les 10 ans
3 Très probable Toute les semaines Tous les 3 mois Tous les 3 ans
4 Extrêmement probable Tous les jours Tous les mois Tous les ans
PRINCIPE 11
 Exemple : échelle d’évaluation de l’impact du risque
selon la méthode des métriques
La gravité du risque représente la somme des différents niveaux d’impact à
travers un score de 1à 4 évalué au moyen d’échelles de cotation factuelles.
CRITERE IMPACT MINEURE MODERE SIGNIFICATIVE MAJEURE
COTATION 1 2 3 4
Perte de chiffre Perte de chiffre
25 millions < P< 75 75 millions < P <
FINANCIER d'affaire < 25 d'affaires > 150
millions 150 millions
millions millions
RESSOURCES HUMAINES Absentéisme <2% 2% < A< 5% A > 5% Grève
Perte de parts de Perte de parts

COMMERCIAL 3% < M< 5% 5% < P <10%
marché < 3% de marché > 10%
Sanction non Sanction

JURIDIQUE ET REGLEMENTAIRE Avertissement Mise en demeure
publique publique
Résiliation de Résiliation de
Multiples
IMAGE Réclamation isolée quelques plus de 10
réclamations
contrats contrats
PRINCIPE 11
 TECHNIQUES QUANTITATIVES
 Les méthodes quantitatives d’évaluation des

risques intègrent des techniques statistiques, non
statistiques et de benchmarking.
La mise en œuvre de ces méthodes nécessite la

disponibilité de données fiables.
PRINCIPE 11
 Modèles statistiques
Les modèles statistiques (ou probabilistes) associent une

probabilité d’occurrence à un certain nombre
d’événements et à leur impact, sur la base de certaines
hypothèses.
La probabilité d’occurrence et l’impact résultant d’un

événement sont évalués sur la base de données historiques
ou de simulations fondées sur des hypothèses de
comportement futurs.
PRINCIPE 11
Les modèles probabilistes peuvent être utilisés pour

différents horizons temporels, pour fournir des mesures telles
que, par exemple, des fourchettes de valorisations
d’instruments financiers dans le temps. Ils peuvent
également servir à évaluer les résultats attendus ou les
résultats moyens par comparaison avec des impacts
inattendus ou extrêmes.
Parmi les modèles probabilistes, citons la « valeur en risque »

(« Value at Risk », VaR), les « résultats en risques » (« earning
at risk »), les « flux de trésorerie en risque » (« cash flow at
risk »).
PRINCIPE 11
• La VaR représente la perte potentielle maximale, à

l’intérieur d’un intervalle de confiance donné, sur un
portefeuille, sur un horizon déterminé.
• L'earnings at risk (EaR) représente l'impact sur le

résultat comptable en cas de variation du taux
d’intérêt à l’intérieur d’un intervalle de confiance
donné, sur un horizon déterminé.
• Le cash flow at risk (CaR) représente l'impact sur la

trésorerie en cas de variation du taux d’intérêt à
l’intérieur d’un intervalle de confiance donné, sur un
horizon déterminé.
PRINCIPE 11
 Modèles non statistiques
Les modèles non probabilistes utilisent des

hypothèses subjectives afin d’estimer l’impact
d’événements, sans en quantifier la probabilité
d’occurrence. L’évaluation de l’impact se fonde
alors sur des données historiques ou sur des
simulations construites à partir d’hypothèses de
comportements futurs. Parmi les modèles non
probabilistes, citons les mesures de la sensibilité, la
simulation du stress (ou Stress Test) et l’analyse du
scénarii.
PRINCIPE 11
 Modèles non statistiques
Parmi les modèles non probabilistes, citons les

mesures de la sensibilité, la simulation du stress (ou
Stress Test) et l’analyse du scénarii.
PRINCIPE 11
 Benchmarking
Il s’agit d’un processus d’échange d’informations au sein
d’un groupe d’entités qui repose sur des critères communs. Il
porte sur des événements, des processus spécifiques ou sur
la comparaison de mesures et de résultats et permet
d’identifier des opportunités d’amélioration.
Les données collectées sur les événements, les processus et

les indicateurs de mesure sont utilisées pour comparer la
performance des entités. Certaines entités ont recours au
benchmarking pour évaluer la probabilité de survenance et
l’impact de certains événements dans leur secteur
d’activité.
PRINCIPE 11
 EVALUER LE RISQUE DE FRAUDE (COSO 1)
L’évaluation du risque de fraude est une activité
critique dans l'établissement des bases de la
conception et de la mise en œuvre de programmes
anti-fraude et d'activités de contrôle des risques.
Trois conditions doivent exister pour que la fraude ait
lieu :
 le motif
 l'opportunité
 la rationalisation
Lorsque ces conditions sont réunies on parle du «

triangle de fraude ».
PRINCIPE 11

 MOTIF
La pression ou l'incitation représente un besoin qu'une personne
tente de satisfaire en commettant une fraude. Souvent, la
pression vient d'un problème ou d'un besoin financier urgent.
Cela peut être le besoin de conserver son travail ou de gagner
une prime. Dans les entreprises cotées en bourse, il peut y avoir
la pression de réaliser ou de renverser les prévisions des
analystes. Ainsi, il est possible de gagner une grosse prime ou
autre récompense financière en fonction de la réalisation de
certains objectifs de performance. Le fraudeur a un désir de
conserver sa position dans l'organisation et de garder un certain
niveau de vie pour rivaliser avec ses pairs tels qu'il les perçoit.
PRINCIPE 11
 OPPORTUNITÉ
L'opportunité est la capacité de commettre une fraude sans
être repéré. L'opportunité est créée par la faiblesse des
contrôles internes, la médiocrité de la gestion ou l'absence de
supervision de la part du conseil et/ou par l'utilisation de
l'autorité et de la position d'une personne pour contourner les
contrôles. L'incapacité à établir des procédures adéquates
pour la détection d'activités frauduleuses augmente également
les possibilités qu'une fraude soit commise. Un processus peut
être conçu comme il le faut pour des conditions classiques ;
toutefois, une occasion peut se présenter, créant des
circonstances qui entraînent l'échec du contrôle. Il est possible
que des personnes occupant des positions d'autorité puissent
créer des occasions de contourner les contrôles existants car
des subordonnés ou des contrôles faibles leur permettent de
contourner les contrôles.
PRINCIPE 11

 RATIONALISATION
La rationalisation est la capacité d'une personne à justifier une
fraude, une composante cruciale dans la plupart des fraudes.
Elle implique une personne conciliant son comportement (p. ex.
le vol) avec les notions communément admises de décence et
de confiance. Par exemple, le fraudeur fait passer son bien-être
en priorité (égocentrisme) par rapport au bien-être de
l'organisation ou de la société dans son ensemble. La personne
peut penser que commettre la fraude est justifié quand il s'agit
de sauver un membre de sa famille ou un être cher pour payer
des soins médicaux onéreux. Parfois, la personne qualifie
simplement le vol « d'emprunt » et a l'intention de rembourser
ultérieurement l'argent volé.
PRINCIPE 11

 Il existe plusieurs typologies de fraude. Cependant le COSO
en relève quatre(4) principalement :
 Le reporting frauduleux
 La fraude impactant la sauvegarde du patrimoine
 La corruption
 Le contournement des procédures par le Management
CESAG
PRINCIPE 12
PRIORISER LES RISQUES
PRINCIPE 12
P12 PRIORISER LES RISQUES

 La priorisation des risques permet de se focaliser
en priorité sur les risques jugés inacceptables. Les
risques sont classés par ordre d’importance. Il est
particulièrement important de représenter les
risques de manière claire et concise.
 La représentation de l’évaluation des risques

peut prendre la forme graphique (cartographie
des risques) ou numérique.
 Cette priorisation permet une meilleure

allocation des ressources en vue de circonscrire
les risques dans les limites d’appétence définie
par l’entreprise.
PRINCIPE 12

 MODALITES DE HIERARCHISATION DES RISQUES
 Numérique : selon le contexte de l’activité, les mesures

quantitatives du risque peuvent être exprimées en termes
monétaires ou en pourcentage, en mentionnant l’intervalle
de confiance. Exemple chiffre d’affaires par client exprimé
en pourcentage du chiffre d’affaires global lié au risque de
concentration de la clientèle.
 Graphique : cette modalité correspond à la méthode des

vagues de traitement. Elle se construit à partir de la matrice
d’appétence. La matrice d’appétence se fait sur la base
du choix d’un critère, la criticité en général (Probabilité x
Gravité). Un classement par ordre décroissant est ensuite
réalisé afin de mettre en évidence les risques à plus forte
criticité.
PRINCIPE 12

 Cette méthode se matérialise sous forme de top 5, 10 ou

15, et consiste à classer les risques en plusieurs groupes
homogènes correspondant à des vagues de traitement. Les
priorités de traitement sont par conséquent accordées aux
vagues prioritaires.
PRINCIPE 12

 EXEMPLE DE HIERARCHISATION GRAPHIQUE : LA CARTOGRAPHIE DES
RISQUES
La cartographie des risques est un outil de pilotage qui

a pour objectif de consolider l’ensemble des risques
répertoriés et de leurs attribuer un score de criticité.
Les risques identifiés et évalués sont positionnés dans

une zone de la cartographie suivant la valeur du
couple de donnée probabilité / Impact.
La zone sur laquelle ils se positionnent définit alors leur

criticité au travers d’un chiffre allant de un à n, selon
l’échelle retenue.
PRINCIPE 12

 EXEMPLE DE REPRESENTATION GRAPHIQUE : NUAGE DE POINTS ET BULLES
RISQUES
Probabilité d’occurrence
10 PROCESSUS
+
9
Probabilité
Probabilité d’occurrence
d’occurrence
+ 10
8
+ 9
PO9.01
7
8 P09.12
P09.05
P09.02
6 7
P09.03
P09.04
5 6
P09.11
4 5
Gravité des conséquences
P09.06
des conséquences
4
3
P09.07
P09.10
3
des conséquences
2
2
1
Gravité
P09.08
- --
1
Gravité
0
0 1 2 3 4 5 6 7 8 9 10
0
- +
0
-
1
-
2 3 4 5 6 7 8 9
+
10
+
CESAG
PRINCIPE 13
METTRE EN ŒUVRE LES MODALITES DE
TRAITEMENT DES RISQUES
PRINCIPE 13
P13 METTRE EN ŒUVRE LES MODALITES DE TRAITEMENT DES
RISQUES
Une fois les risques identifiés et évalués, il s’agit pour le

management de décider de leur traitement. Cela implique
une analyse basée sur le niveau actuel de criticité du risque, le
coût engendré par la réduction du niveau de criticité du risque
à un niveau résiduel ne dépassant pas les limites d’appétence
et de tolérance acceptées.
Points qui seront vu pour ce principe :

 Réponses aux risques
 Plan de traitement des risques
 Sélectionner et développer des activités de contrôle
 Sélectionner et développer des contrôles généraux
informatiques
 Déployer les activités de contrôle par le biais de règles et
procédures
PRINCIPE 13
RISQUES
 REPONSE AUX RISQUES
 Acceptation : le Management accepte le risque tel quel
et ne juge pas nécessaire d’engager des moyens pour
contenir le risque en réduisant sa probabilité de
survenance ou son impact.
 Evitement : le Management n’accepte pas le risque tel
quel et décide de stopper l’activité porteuse du risque.
 Réduction : le Management n’accepte pas le risque tel
quel et juge nécessaire d’engager des moyens pour le
contenir, en réduisant sa probabilité de survenance ou
son impact, ou les deux.
 Partage : le Management réduit la probabilité de
survenance ou l’impact du risque en transférant le risque
ou en partageant une partie du risque.
PRINCIPE 13
RISQUES
 REPONSES AUX RISQUES : QUELQUES EXEMPLES
PRINCIPE 13
RISQUES
 LE PLAN DE TRAITEMENT DES RISQUES
 Une fois la stratégie de réponse au risque
sélectionnée, le management met en place un
plan de traitement des risques.
 Ce plan de traitement des risques est l’état
consolidé des traitements à mettre en œuvre
pour ramener l’ensemble des risques à un
niveau acceptable, en adéquation avec le
niveau de risque résiduel souhaité.
 Le plan de traitement doit être conçus et mis en
œuvre dans une logique d’efficience, c’est à
dire à un coût qui n’excède pas le coût du
risque.
PRINCIPE 13
RISQUES
 SELECTIONNER ET DEVELOPPER DES ACTIVITES DE CONTRÔLE (coso 1)
Par CONTRÔLE il faut entendre :

 Ensemble de moyens, de comportements, de procédures et
d’actions adaptés aux caractéristiques propres de chaque
société qui :
• contribue à la maîtrise des activités, à l’efficacité de ses
opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière
appropriée les risques significatifs, qu’ils soient
opérationnels, financiers ou de conformité".
le « contrôle interne » ne se limite donc pas à l’ensemble des
procédures ni aux seuls processus comptables et financiers.
Définition IFACI
PRINCIPE 13
RISQUES
Par CONTRÔLE il faut entendre (suite) :
 Toute mesure prise par le management, le Conseil et

d'autres parties afin de gérer les risques et d'accroître la
probabilité que les buts et objectifs fixés seront atteints.
Les managers planifient, organisent et dirigent la mise en

œuvre de mesures suffisantes pour donner une assurance
raisonnable que les buts et objectifs seront atteints.
Définition IFACI
PRINCIPE 13
P13 METTRE EN ŒUVRE LES MODALITES DE TRAITEMENT DES RISQUES

Les activités de contrôle sont définies et mises en œuvre à
l’échelle de l’entité, du processus et de la transaction.
 Les contrôles à l’échelle de l’entité sont de deux (2)
ordres :
• Les contrôles de gouvernance instaure une culture
du contrôle, clarifient les attentes de l’organisation,
et incluent les politiques et procédures à l’échelle de
l’organisation (ex: supervision des contrôles par le
comité d’audit, code de déontologie, politique de
conformité, politique de gestion des risques…)
• Les contrôles de supervision de la direction sont mis
en œuvre par le management. Il s’agit par exemple
de revue de direction, revues analytiques,
rapprochement budget/ réalisation, analyse des
besoins en financement, comité risque…
PRINCIPE 13
RISQUES
 Les contrôles de processus sont établis par un

responsable de processus pour s’assurer que
les objectifs au niveau du processus sont
atteints.
 Les contrôles de transaction sont mis en place

pour s’assurer que les objectifs de la
transaction sont atteints et que les risques
propres à la transaction sont pris en compte.
PRINCIPE 13
RISQUES
Types de contrôle de transaction
• approbation/autorisation,
• vérifications,
• sécurité physique des biens
• Intégrité des données (exhaustivité, exactitude,
évaluation et validité ),
• rapprochements,
• supervision
PRINCIPE 13
RISQUES
Quelques exemples de contrôles sur le processus achat
 Vérification que les demandes d’achat portent les signatures

prévues par la procédure.
 Vérification que le montant d’une demande d’achat est dans les

limites autorisées pour l’émetteur.
 Contrôle qu’une commande ne peut être émise qu’à l’attention

d’un fournisseur agréé.
 Un acheteur qui a ajouté un fournisseur à la liste des fournisseurs

agréés ne peut émettre de commandes vers ce fournisseur.
 Vérification de la qualité des informations portées sur les demandes

d’achat.
PRINCIPE 13

RISQUES
Ces contrôles peuvent être :
 Manuels :
Ils concernent la très large majorité des contrôles et
couvrent l’ensemble des contrôles réalisés par le
personnel de l’organisation. Il en est également ainsi des
contrôles opérés à l’appui des systèmes d’informations :
contrôles généraux ou applicatifs (contrôles sur les
sources et autorisation des données, sur les entrés, sur les
traitements, sur les sorties)
CHAPITRE 5
RISQUES
Quelques exemples de contrôles applicatifs
 Vérification du caractère autorisé du document

 Vérification de la validité des documents
 Vérification des droits

 Vérification de l'exhaustivité, de la validité et de
l'exactitude des données
 Maintien de l'intégrité
 Traitement des anomalies
 Conservation et manipulation des sorties

 Analyse des sorties
 Traitement des anomalies
PRINCIPE 13
RISQUES
 Automatiques :
Ce sont tous les contrôles qui sont embarqués dans les

systèmes d’informations, y compris ceux qui permettent
de protéger leur accès.
Ces contrôles sont transparents pour l’utilisateur et

reposent sur des routines et sous-programmes qui résident
dans les couches de base des applications.
PRINCIPE 13
RISQUES
Les activités de contrôle peuvent être définies selon leur

fonction : préventifs ou de détection. Généralement
l’entreprise met en place une combinaison de ces deux
catégories d’activité de contrôle.
 Contrôles préventifs : ce sont des contrôles proactifs qui

permettent d’éviter qu’un évènement indésirable se
produise
 Contrôle de détection : ils sont réactifs et détectent les
évènements indésirables qui sont déjà survenus.
Dans un cas comme dans l’autre, le plus important est de

déterminer les actions correctives permettant de de corriger
ou d’éviter le risque.
PRINCIPE 13
RISQUES
 En identifiant et développant les activités de contrôle, le
management doit s’assurer d’une séparation des tâches
incompatibles afin de réduire le risque d’erreur ou de
fraude.
Les tâches suivantes sont incompatibles :
• Enregistrement
• Autorisation
• Approbation
• Conservation
Dans les organisations de petite taille où la séparation de ces

tâches n’est pas toujours possible (pour des raisons de coût ou
d’efficacité), des contrôles alternatifs doivent être mis en place
(contrôle de détection par exemple).
PRINCIPE 13
RISQUES
 SELECTIONNER ET DEVELOPPER DES CONTRÔLES GENERAUX INFORMATIQUES
(coso 1)
Le fonctionnement d’une organisation et le respect de ses
objectifs de reporting et de conformité reposent fortement sur
les systèmes d’information. Il est donc nécessaire que les
principaux systèmes d’information soient soumis à des
contrôles.
Le périmètre des contrôles généraux informatiques couvre :
 Les contrôles liés à l’infrastructure informatique;

 Les contrôles au sein des processus de gestion de la
sécurité;
 Les contrôles liés aux processus d’acquisition, de
développement et de maintenance des systèmes
d’information.
PRINCIPE 13
RISQUES
(coso 1)
 Les contrôles liés à l’infrastructure informatique : ces

contrôles s’appliquent à la spécification des systèmes,
leur acquisition, leur installation, leur configuration, leur
intégration et leur maintenance. Ils peuvent inclure les
aspects relatifs aux contrats de service qui régissent et
renforcent la performance des systèmes, les plans de
continuité d’exploitation qui en préservent la
disponibilité, le suivi des pannes réseau et la planification
des opérations informatiques. La composante logicielle
de l’infrastructure technique peut inclure des contrôles
tels que des revues par la direction ou un comité de
pilotage et des validations de nouvelles acquisitions
majeures;
PRINCIPE 13
RISQUES
(coso 1)

 Les contrôles au sein des processus de gestion de la
sécurité : les contrôles d’accès logiques tels que
l’authentification permettent de restreindre l’accès au
réseau, aux bases de données et aux applications.
 Les contrôles des comptes utilisateurs ainsi que ceux
des comptes privilèges contribuent à assurer que seuls
les utilisateurs dûment autorisés accèdent aux ressources
applicatives ou aux fonctions nécessaires à
l’accomplissement de leur travail.
 Les pare-feu et les réseaux privés virtuels permettent de
protéger les données contre les accès externes non
autorisés.
PRINCIPE 13
RISQUES
(coso 1)

 Les contrôles liés aux processus d’acquisition, de
développement et de maintenance des systèmes
d’information sont intégrés à un processus existant de
management du changement, incluant notamment les
obligations en matière de documentation, de contrôles
d’acceptation des utilisateurs (conformité aux besoins
exprimés), de tests de stress et d’évaluation des risques
projet.
PRINCIPE 13
RISQUES
 DEPLOYER LES ACTIVITES DE CONTRÔLE PAR LE BIAIS DE REGLES ET PROCEDURES
(coso 1)
Les activités de contrôles incluent souvent deux éléments :

 une politique exposant ce qui doit être mis en place, et
 des procédures précisant l’application de cette politique.
Le management établit, grâce à des règles fixant ce qui est

attendu et à des procédures précisant les mesures associées,
les contrôles qui seront intégrés au cœur des processus métier
et des activités quotidiennes des collaborateurs.
PRINCIPE 13
RISQUES
(coso 1)
 le management assigne la responsabilité et le devoir de

rendre compte des activités de contrôle au personnel
d’encadrement (ou à d’autres collaborateurs) de l’unité
opérationnelle ou de la fonction concernée par le risque
;
 le collaborateur à qui la responsabilité des contrôles a

été assignée les exécute dans les délais définis par les
règles et les procédures ;
 le collaborateur à qui la responsabilité des contrôles a

été assignée effectue des vérifications et prend des
mesures pour traiter les points identifiés dans le cadre
des activités de contrôle ;
PRINCIPE 13
RISQUES
(coso 1)
 des collaborateurs compétents, dotés de l’autorité

adéquate, exécutent les activités de contrôle avec la
diligence et l’attention qui s’imposent.
 le management revoit périodiquement les contrôles afin

de s’assurer qu’ils restent pertinents, et si nécessaire les
actualise.
CESAG
PRINCIPE 14
DEVELOPPER UNE VISION GLOBALE DU
PORTEFEUILLE DE RISQUE
PRINCIPE 14
P14 DEVELOPPER UNE VISION GLOBALE DU

PORTEFEUILLE DE RISQUE
 Adopter une vision globale du portefeuille risque

permet au management d’avoir une vue
d’ensemble sur la contribution de chaque
évènement ou entité dans le profil du risque
résiduel et de déterminer si ce profil est
proportionnel à l’appétence global pour le risque
de l’organisation.
3.3
CAS PRATIQUE
CESAG
FIN JOUR 3
CESAG
Fatou SY
mafkasy@gmail.com
00 221 77 639 95 42
CESAG
EXECUTIVE MBA
MODULE

D’ENTREPRISE

3.4
COMPOSANTE N°4
REVUE ET AMENDEMENT
3.4
COSO COSO COSO

2 1 1
REVUE ET EVALUATION DES

PILOTAGE
AMENDEMENT RISQUES
15. Évaluer les changements 16. Conduire des évaluations

6. N/A
substantiels continues et/ou ponctuelles
16. Réexaminer les risques et la

7. N/A 17. N/A
performance
17. Poursuivre l’amélioration du

management des risques de 8. N/A
l’entreprise
9. Identifier et analyser les

changements significatifs
REVUE ET AMENDEMENT
En examinant la performance de l’entité, une

organisation peut prendre en considération la
manière dont les composantes du management
des risques fonctionnent au fil du temps, en fonction
de changements substantiels, ainsi que les éventuels
amendements nécessaires.
PRINCIPE 15
PRINCIPE 15
EVALUER LES CHANGEMENTS
SUBSTANTIELS
PRINCIPE 15
P15 : EVALUER LES CHANGEMENTS SUBSTANTIELS
 IDENTIFIER ET ANALYSER LES CHANGEMENTS SIGNIFICATIFS (COSO 1)
 Le processus d’identification des risques tient compte des
évolutions de l’environnement réglementaire,
économique et physique dans lequel l’entité exerce ses
activités.
 L’organisation tient compte de :
• l’impact potentiel sur le système de contrôle interne et de
management des risques de nouvelles lignes d’activité, des
changements en profondeur affectant les lignes existantes,
et des activités acquises ou cédées, d’une croissance
rapide, de l’évolution de la dépendance vis-à-vis d’autres
zones géographiques, et des nouvelles technologies ;
• l’effet sur le système de contrôle interne et de management
des risques des changements de management et des
évolutions du comportement et de la philosophie de
management.
PRINCIPE 16
PRINCIPE 16
REEXAMINER LES RISQUES ET LA
PERFORMANCE
PRINCIPE 16
P16 : REEXAMINER LES RISQUES ET LA PERFORMANCE
 L'organisation examine la performance de l'entité et prend en

compte le risque.
 Une grande partie de l'accent mis sur la gestion des risques de

l'entreprise porte, soit sur la réduction à des niveaux acceptables du
niveau de criticité, soit sur la recherche de nouvelles opportunités
lorsqu'elles apparaissent.
 Au fil du temps, une entité peut ne pas mener ses activités aussi
efficacement que prévu, ce qui fait que le risque se manifeste et
affecte la performance.
 En examinant la performance, les organisations cherchent des

réponses à des questions telles que :
PRINCIPE 16
 L'entité s'est-elle comportée comme prévu et a-t-elle atteint

son objectif?
 Quels sont les risques qui peuvent affecter la performance?
 L'entité a-t-elle pris suffisamment de risques pour atteindre sa

cible?
 L'estimation du risque était-elle exacte?

PRINCIPE 16
 Si une organisation détermine que la performance ne

correspond pas à sa variation acceptable, ou que la
performance cible entraîne un profil de risque différent de
ce qui était attendu, elle peut devoir:
 Réviser les objectifs

 Réviser la stratégie
 Revoir la culture
 Réviser la performance
 Réévaluer la gravité des résultats du risque
 Examiner la hiérarchisation des risques
 Réviser les réponses aux risques
 Réviser l’appétence pour le risque
PRINCIPE 16
 L'étendue des mesures correctives doit correspondre à l'ampleur de
l'écart de performance, à l'importance de l'objectif commercial et
aux coûts et avantages associés à la modification des réponses aux
risques.
 Lorsque l'examen des performances identifie de nouveaux risques

non identifiés par les pratiques d'identification des risques de
l'organisation ou lorsque le risque réel est incompatible avec les
évaluations, la direction détermine si un examen des pratiques de
gestion des risques de l'entreprise est justifié (principe 17: poursuivre
l’amélioration du management des risques)
 Une partie de l'examen des performances tient compte des

capacités de l'organisation et de leurs effets sur la performance.
 Les mesures correctives peuvent inclure la réaffectation de

ressources, la révision d'objectifs commerciaux ou l'exploration de
stratégies alternatives.
PRINCIPE 16
 MODALITES DE MISE EN ŒUVRE : LES 3 LIGNES DE MAITRISSE

PRINCIPE 16
 MODALITES DE MISE EN ŒUVRE
 Surveillance permanente
• Instaurer une structure dédiée à la surveillance permanente.
• Mettre en place un dispositif d’auto-évaluation du contrôle
interne et des risques par les managers opérationnels et leurs
équipes.
 Surveillance périodique
• L’étendue et la fréquence des évaluations périodiques
dépendent essentiellement du niveau des risques et de
l’efficacité du processus de surveillance permanente. Le
développement des outils et des pratiques d’auto-évaluation
du contrôle interne devront être pris en considération.
• Les auditeurs internes effectuent des évaluations périodiques
du dispositif de contrôle interne, soit dans le cadre de leur
programme courant, soit à la demande du Conseil
d’Administration, de la Direction Générale ou du
management.
PRINCIPE 17
PRINCIPE 17
POURSUIVRE L’AMELIORATION DU
MANAGEMENT DES RISQUES DE
L’ENTREPRISE
PRINCIPE 17
P17 : POURSUIVRE L’AMELIORATION DU MANAGEMENT DES
RISQUES DE L’ENTREPRISE
 La direction recherche une amélioration continue au sein de

l'entité (fonctions, unités opérationnelles, divisions) afin d'améliorer
l'efficacité et l'utilité de la gestion des risques de l'entreprise à tous
les niveaux.
 Des occasions de réexaminer et d'améliorer l'efficacité du dispositif
de management des risques peuvent survenir dans l'un ou l'autre
des cas suivants:
 Nouvelle technologie : outil d’automatisation du traitement des
risques ou de collecte de données
 Insuffisances du dispositif de management des risques :
passage de la méthode qualitative à la méthode quantitative
pour l’évaluation des risques
 Changement organisationnel : rattachement de la fonction
risques soit au niveau de la direction générale, soit au niveau
groupe
 Appétence pour le risque: stabilité politique dans une zone
géographique à fort potentiel commercial
PRINCIPE 17
P17 : POURSUIVRE L’AMELIORATION DU MANAGEMENT DES
RISQUES DE L’ENTREPRISE
 Catégories de risque: prise en compte du risque de fraude via

internet pour une société qui propose désormais un service de
vente en ligne.
 Communications : utilisation des réseaux sociaux, plus efficaces

désormais, que le mailing, en raison du profil des destinataires
des informations.
 Comparaison avec d’autres intervenant du secteur :

l’entreprise A moins performante que l’entreprise B, ce qui
nécessite éventuellement une révision de la stratégie.
 Taux de variation: secteur informatique et technologique vs

secteur artisanal.
3.5
COMPOSANTE N°5
INFORMATION, COMMUNICATION ET
REPORTING
3.5
COSO COSO COSO

2 1 1
INFORMATION,
INFORMATION ET
COMMUNICATION ET PILOTAGE
COMMUNICATION
REPORTING
18. Tirer parti des données et 13. Utiliser des informations

16. N/A
des technologies pertinentes
19. Communiquer les

17. Évaluer et communiquer les
informations relatives aux 14. Communiquer en interne
déficiences du contrôle interne
risques
20. Rendre compte des risques,

de la culture et de la 15. Communiquer en externe
performance
3.5
INFORMATION, COMMUNICATION ET
REPORTING
 Lemanagement des risques de l’entreprise exige

un processus permanent d’obtention et de
partage des informations nécessaires, provenant
de sources internes et externes, qui sont transmises
de façon ascendante, descendante ou
transversale dans l’organisation.
3.5
 Information : fait référence à une transmission de données qui peut

se faire dans les deux sens. Elle concerne le contenu véhiculé par
le message.
 Communication : La communication suppose une relation, un
échange entre individus.
 Reporting : expression anglophone de la communication de

données. Il consiste en la présentation de rapports sur les activités
et les résultats d'une entreprise ou de toute autre organisation.
PRINCIPE 18
PRINCIPE 18
TIRER PARTI DES DONNEES ET DES
TECHNOLOGIES
PRINCIPE 18
P18 : TIRER PARTI DES DONNEES ET DES TECHNOLOGIES
 Pour garantir la bonne marche de l’organisation, les

collaborateurs doivent avoir suffisamment
d’informations. Ces informations peuvent provenir de
l’intérieur ou de l’extérieur.
 Le recensement de l’information permet de

déterminer les destinataires appropriés. Les supports
de communication doivent être examinés avec
attention pour adapter le contenu et la rédaction à
chaque catégorie de destinataires.
PRINCIPE 18

 TIRER PARTI DES DONNEES
 Une information peut être qualifiée de qualité lorsqu’elle

est :
• Accessible : facile à obtenir
• Fiable et vérifiable : authentifiable (source de l’information)
• Précise et exhaustive
• Disponible en temps opportun
• Utile et pertinente : permet de satisfaire les besoins des utilisateurs
• Valide : issue de sources autorisées, collectée conformément
aux procédures en vigueur et relatif à des évènements actuels
• Suffisante : information suffisante au niveau de détail adéquat
nécessaire aux besoins des utilisateurs
• Archivée durant une période adéquate (10 ans pour les
données comptable)
• Protégée : information uniquement accessibles aux personnes
autorisées
• Actuelle : l’information collecté de sources actuelles et à la
fréquence adéquate
PRINCIPE 18

 SYSTÈMES STRATÉGIQUES INTÉGRÉS
 La conception de l’architecture des systèmes

d’information et l’acquisition des technologies sont des
aspects importants de la stratégie d’une organisation et les
choix réalisés en matière de technologie peuvent être un
facteur déterminant pour la réalisation des objectifs.
 Les décisions sur le choix et le déploiement de la

technologie reposent sur de nombreux facteurs,
notamment sur des choix organisationnels, sur les besoins
du marché, sur les besoins du marché et sur les exigences
de compétitivité.
 Si les systèmes d’information sont essentiels au

management des risques, les techniques de management
des risques peuvent aider à prendre des décisions
concernant la technologie.
PRINCIPE 18

 INTÉGRATION DES ACTIVITÉS
 Les systèmes d’information sont souvent totalement

intégrés à la plupart des activités. Internet et les systèmes
basés sur Internet sont largement présents dans les sociétés
disposant de systèmes d’information couvrant l’ensemble
de l’organisation, comme les ERP.
 Pour renforcer l’efficacité de son dispositif de

management des risques, une organisation recueille et
utilise des données historiques et actuelles. Les données
historiques permettent à l’organisation d’effectuer un suivi
des performances par rapport aux objectifs, aux plans et
aux prévisions.
 Elles fournissent des éclairages sur les performances de

l’organisation placée dans différentes conditions, ce qui
permet au management d’établir des corrélations, de
dégager des tendances et de prévoir la performance
future.
PRINCIPE 18

 Les évolutions des systèmes d’information ont amélioré la
capacité de nombreuses organisations à mesurer et à
suivre la performance et à présenter des informations
analytiques à l’échelle de l’organisation. La complexité et
l’intégration des systèmes se poursuivent et les
organisations utilisent les nouvelles capacités
technologiques au fur et à mesure de leur apparition.
 Toutefois, la dépendance accrue, sur le plan stratégique et

opérationnel, envers les systèmes d’information donne
naissance à de nouveaux risques, comme la violation de la
sécurité des informations ou les cyber-crimes, qui doivent
être pris en compte dans le dispositif de management des
risques.
PRINCIPE 19
PRINCIPE 19
COMMUNIQUER LES INFORMATIONS
RELATIVES AUX RISQUES
PRINCIPE 19
P19 : COMMUNIQUER LES INFORMATIONS RELATIVES AUX
RISQUES
 COMMUNIQUER AVEC LE CONSEIL
 Il s’agit de la communication entre le management et le conseil

d’administration sur les problématiques liées aux risques et cela
commence par une définition claire des responsabilités.
 La communication entre le management et le conseil

d’administration doit permettre au conseil de comprendre les
évaluations permanentes du dispositif de contrôle interne effectué
par le management ainsi que les résultats de ces évaluations sur
l’atteinte des objectifs.
 La communication directe du conseil d’administration à l’endroit du

personnel (avec les représentants du personnel par exemple), en
dehors de la présence du personnel d’encadrement permettrait
également au conseil d’aborder en toute indépendance des sujets
que le personnel ne serait pas disposé à aborder en d’autres
circonstances (adhésion au code de conduite, compétence du
personnel, contournement par le management des règles er
procédures…).
PRINCIPE 19
RISQUES
 COMMUNICATION AVEC LES AUTRES PARTIES PRENANTES
 La communication doit être appropriée non seulement au

sein de l’organisation, mais également avec le monde
extérieur. Grâce à des voies de communication externe
ouvertes, les clients et les fournisseurs peuvent fournir des
indications utiles sur la conception ou la qualité des produits
ou des services permettant ainsi à l’organisation d’évoluer en
fonction des demandes ou des préférences des clients.
 La communication à destination des partenaires, des

régulateurs, des analystes financiers et des autres parties
externes fournit des informations qui répondent à leurs
besoins et leur permet de comprendre aisément les
circonstances et les risques auxquels l’organisation est
confrontée. Cette communication doit être utile, pertinente,
transmise en temps utile et conforme aux obligations légales
et réglementaires.
PRINCIPE 19
RISQUES
 Plusieurs moyens de communication possible
 Tableau de bord
 E mail
 Formation en présentiel ou en ligne
 Mémorandum
 Discussions en bilatéral
 Entretiens d’évaluation
 Politique et procédures
 Présentations
 Média sociaux
 Texto
 Films et courts métrages
 Site internet
PRINCIPE 19
RISQUES
 Plusieurs moyens de communication possible
 Le choix par le management du moyen de communications
doit tenir compte de plusieurs facteurs, notamment :
 La cible
 Le contenu de la communication
 L’importance de la communication
 Le coût
 Les contraintes réglementaires
 Lorsqu’une forme de communication est sélectionnée, le

management doit également prendre en considération le
référentiel culturel et éthique, la génération de la cible, la
sensibilité de l’information à communiquer…
PRINCIPE 20
PRINCIPE 20
RENDRE COMPTE DES RISQUES, DE LA
CULTURE ET DE LA PERFORMANCE
PRINCIPE 20
P20 : RENDRE COMPTE DES RISQUES, DE LA CULTURE ET DE LA
PERFORMANCE
 L'organisation rend compte des risques, de la

culture et de la performance à plusieurs niveaux et
dans l'ensemble de l'entité.
 Le reporting sur les risques aide le personnel à tous

les niveaux à comprendre les relations entre le
risque, la culture et le rendement et à améliorer la
prise de décision en matière de stratégie et
d'établissement d'objectifs, de gouvernance et
d'opérations quotidiennes.
PRINCIPE 20
PERFORMANCE
 Les destinataires du reporting sur les risques, la

culture et la performance sont essentiellement :
 La direction générale et le conseil d'administration,

responsables de la gouvernance et du contrôle de l'entité.
 Les propriétaires de risques, responsables de la gestion
efficace des risques identifiés.
 Les fournisseurs d'assurance qui recherchent un aperçu de
la performance de l'entité et de l'efficacité des réponses
aux risques.
 Les intervenants externes (organismes de réglementation,
agences de notation, groupes communautaires et autres).
PRINCIPE 20
PERFORMANCE
 Le contenu et la forme du reporting doivent être

adaptés au niveau de besoins en information du
destinataire.
 EXEMPLE
 les rapports au conseil soutiennent les décisions sur
l’appétence pour le risque et la stratégie de l'entreprise.
 Les rapports à la haute direction présentent un niveau plus
détaillé et soutiennent les décisions sur l'établissement de
stratégies et la budgétisation, ainsi que sur les décisions au
niveau divisionnaire et / ou fonctionnel.
 Le niveau de reporting suivant est encore plus détaillé et
concerne les responsables d’entités et les responsables
fonctionnels, notamment dans la planification, la
budgétisation et les opérations au jour le jour.
COHERENCE D’ENSEMBLE
BIBLIOGRAPHIE
 COSO, référentiel intégré de contrôle interne
 COSO, référentiel intégré de contrôle interne : outil d’évaluation du contrôle

interne
 Trois lignes de Maîtrise pour une meilleure Performance, publication IFACI
 Cahier de recherche IFACI : Des clés pour la mise en œuvre et l'optimisation

du contrôle interne : Du bon usage du cadre de référence de contrôle
interne de l’AMF
 COSO, Enterprise Risk Management, Integrating with strategy and

performance, june 2017
FIN JOUR 4
CESAG
Fatou SY
mafkasy@gmail.com
00 221 77 639 95 42

Controle Interne - Coso Et Gouvernance D'entreprise

Transféré par

Droits d'auteur :

Formats disponibles

Controle Interne - Coso Et Gouvernance D'entreprise

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Controle Interne - Coso Et Gouvernance D'entreprise

Transféré par

Droits d'auteur :

Formats disponibles

CESAG

CONTRÔLE INTERNE, COSO ET GOUVERNANCE

Présenté par : Fatou SY

 Vos attentes pour ce cours.

 JE NE DERANGE PAS LA CLASSE

 J’AIUN ORDINATEUR PORTABLE POUR

 Comprendre ce qu’est la Gouvernance d’Entreprise ;

 Comprendre le lien entre Gouvernance d’entreprise,

 Comprendre le rôle majeur d’un système de Gouvernance

 Comprendre la relation entre le COSO 1 et le COSO 2

 Acquérir les bases pour la mise en place d’un système de

DES DÉFIS MAJEURS AUXQUELS LES

Globalisation de la chaine Nouvelles technologies

Globalisation des marchés

 Gouvernance : processus par lequel les

 La gouvernance d'entreprise peut être

 Lagouvernance d'entreprise est axée sur la

 2011 - TEPCO / FUKUSHIMA : accident nucléaire

1.3.1 CARACTERISTIQUES D’UNE BONNE GOUVERNANCE

 La définition et l’évaluation de la bonne

 Cependant une bonne gouvernance

1.3.1 CARACTERISTIQUES D’UNE BONNE GOUVERNANCE

 Créer de la valeur durablement ;

1.3.3 APPORT DE LA BONNE GOUVERNANCE A LONG

 Le développement durable fait référence à une gestion des

 Cette définition qui relève d’une perspective environnementale

La Responsabilité Sociétale des Entreprises (RSE) est

La gouvernance d’entreprise est une des sept (7)

LIGNES DIRECTRICES DE LA RSE (NORME ISO 26 000)

LE COSO ET SES REFERENTIELS

Il était une fois, le

2.1.1 LE COSO : REFERENTIEL OU NORME?

 Bonnes pratiques : ensemble de comportements qui font

 Référentiel : ensemble structuré de recommandations ou

 Norme : Document établi par consensus et approuvé par

2.1.2 DATES IMPORTANTES

2.1.3 COMPOSITION DU COSO

Committee of Sponsoring Organizations of the

 The Institute of Internal Auditors (IIA)

2.2.1 COSO CUBE

 Le Contrôle Interne est un processus qui donne

 l’efficacité et l’efficience des opérations

Réaliser une Sélectionner et

 Le management des risques est un processus mis

 L’identification des évènements potentiels

2.3.2 POURQUOI METTRE A JOUR LE COSO 2

 Evolution de la complexité des risques

2.3.3 CE QUE LE COSO 2 2017 PERMET

 Une fois la stratégie définie, le management des risques

 Il contribue également à inspirer confiance aux parties

 Il permet de renforcer le rôle de surveillance des risques

 Identifier et gérer les risques à l’échelle de l’entité

 Augmenter les résultats positifs et les bénéfices en

 Réduire la volatilité de la performance

 Améliorer le déploiement des ressources

 Accroître la résilience de l’organisation

CONTRÔLE INTERNE, COSO ET GOUVERNANCE

Présenté par : Fatou SY

MANAGEMENT DES RISQUES ET