Академический Документы
Профессиональный Документы
Культура Документы
Organisation
Conseil
Audit interne
et rfrentiels
derisques
Vers la matrise des risques
et la performance de laudit
Pierre SCHICK
Jacques VERA
Olivier BOURROUILH-PARGE
Prface de
2e dition
Complments en ligne
III
Prface
l est des sujets qui semblent arides, ce qui peut conduire ne pas raliser
au premier abord toute la valeur que lon peut en extraire. Telle pourrait
tre la vision que certains ont du contrle interne en le rduisant au
respect de la conformit un texte de nature rglementaire. Nul doute
quabord sous cet angle le sujet a peu de chances de sduire le dirigeant
dentreprise qui, pourtant, devrait tre le principal soutien du dispositif de
contrle interne de son organisation.
En effet, il faut dpasser cette apprhension du contrle interne pour le
dcouvrir sous son vrai jour, car le sujet savre structurant. Le contrle
interne joue non seulement un rle important en ce sens quil permet de
rduire les risques derreurs, mais il contribue aussi une meilleure matrise
des processus et permet damliorer la capacit dune organisation raliser
les objectifs fixs par la Direction Gnrale.
La matrise et la gestion des risques sont devenues un vritable enjeu. Or, si
cet enjeu est essentiel dans le cadre de la conduite des oprations, car celle-ci
doit anticiper au mieux les risques dans un environnement plus large et plus
mouvant, il lest galement au titre de la communication. Cest notamment
le cas vis--vis des investisseurs, en capital ou en dette, vers qui les entreprises
se tournent de plus en plus frquemment pour trouver des financements. En
effet, le march est dsormais trs attentif la faon dont ces risques sont
matriss. Or, lapproche de la gestion des risques est sensiblement diffrente
dune entit une autre selon le niveau de sensibilisation de la Direction
Gnrale et dappropriation du sujet par les quipes oprationnelles. Aussi,
le dveloppement de cadres de rfrence, reconnus par les investisseurs, est
devenu important, car ceux-ci permettent dassurer une cohrence et une
homognit de mthodes de travail.
Cet ouvrage insiste juste titre sur le fait quun dispositif de contrle interne
ne doit jamais rester statique, car les organisations sont en perptuelle
volution et les systmes doivent en consquence tre constamment
adapts et modifis. Par ailleurs, le contrle interne dune organisation doit
se concentrer sur les domaines dimportance majeure afin de rpondre aux
proccupations fondamentales des instances dirigeantes. Dans ce contexte,
il est particulirement utile aux entreprises, et ceux au sein de celles-ci
V
Prface
1 Le contenu de cet ouvrage ne peut engager lAMF et reste le fruit de ses auteurs.
VI
Avant-propos
VII
Introduction
Partie 1
Lenvironnement de laudit
7
8
10
18
29
30
34
37
49
50
52
54
56
61
69
70
74
Partie 2
79
La mthodologie de laudit
63
81
86
88
90
92
94
96
99
100
102
109
117
119
121
124
157
158
159
161
163
165
166
166
167
168
169
175
176
178
181
125
130
138
140
143
148
151
Partie 3
185
187
188
190
191
195
200
203
206
209
211
213
214
219
243
244
258
Conclusion gnrale
Quiz
351
353
XI
220
223
224
239
240
Introduction
Introduction
Les auteurs
. Introduction
Partie I
Lenvironnement
de laudit
Chapitre 1
Le primtre
dintervention
de laudit
Executive summary
Le gouvernement dentreprise
Le Cadre de rfrence international des pratiques professionnelles de
lIIA (Institute of Internal Auditors www.theiia.org), traduit en franais
par lIFACI (Institut Franais de lAudit et du Contrle Internes www.
ifaci.com) voir sa prsentation au chapitre 2, paragraphe Une profession norme donne une dfinition du gouvernement dentreprise ou
gouvernance :
Dispositif comprenant les processus et les structures mis en place par
le Conseil afin dinformer, de diriger, de grer et de piloter les activits
de lorganisation en vue de raliser ses objectifs .
The European Corporate Governance Institute (www.ecgi.org) rcapitule les codes en matire de gouvernement dentreprise de diffrents
pays du monde. La prise de connaissance de ces textes atteste dune
large diversit dans la conception du gouvernement dentreprise.
Cependant plusieurs principes de base apparaissent souvent et peuvent
constituer un socle commun de connaissance des bonnes pratiques de
gouvernance. LIIA en a tabli, dans son livre blanc, une liste dont nous
prsentons ici les principaux lments :
sappuyer sur une organisation qui garantit un bon fonctionnement du
conseil (nombre de membres adquats, existence dautres comits manant du conseil, procdures concernant lorganisation des runions) ;
prvoir que les membres du conseil possdent les qualifications et
lexprience appropries ainsi quune bonne connaissance du fonctionnement de lorganisation ;
mettre disposition du conseil, les ressources ncessaires pour des
demandes de renseignements complmentaires afin den garantir lindpendance ;
contribuer la dfinition de la stratgie de lorganisation, notamment
en dotant les acteurs de la gouvernance des informations ncessaires
pour se faire ;
8
1 Sources : Enqute ralise en septembre 2010, concernant les pratiques des comits daudit en
France et dans le monde. Pour la 5e dition de lenqute, 1 212 personnes membres de comits daudit
ont t interroges dans 38 pays diffrents.
10
vident ?
Non, puisque lon trouve dans la presse des dclarations du genre :
telle entreprise est tombe en faillite parce que ses clients ne la payaient
pas, ou telle autre a perdu des parts de march sur sa nouvelle activit
pourtant extrmement innovante au profit dun concurrent trs agressif. Est-ce la faute des clients si la premire entreprise est tombe en
faillite, ou dune part son systme de suivi des factures et de relance
des impays et dautre part son systme de gestion des clients qui
la laissait continuer vendre des mauvais payeurs ? Et la seconde
naurait-elle pas d protger son innovation par des brevets avant de
lancer cette activit qui a ncessit des budgets importants en matire
de Recherche & Dveloppement ? La pluie, le client mauvais payeur, le
concurrent agressif copieur de nouvelles ides , le comptable qui inscrit un montant erron ou limpute un compte erron ne sont pas des
facteurs de risque : ce sont des vnements (et mme des vnements
banals) que lentreprise doit pouvoir dtecter, voire anticiper, pour y
faire face.
11
combin
Un vnement
incertain :
la pluie
une cause :
labsence de
parapluie
Facteurs de risques /
Modes de
fonctionnement
alatoires
vnements incertains
/ Circonstances /
Incidents avrs ou
potentiels
Impact dommageable
Objectif compromis
Les facteurs de risque qui, combins la survenance de ces vnements, vont ou ne vont pas entraner de consquences dommageables,
sont tous rechercher dans lorganisation et le fonctionnement de lentit audite, cest le rle de lauditeur.
Prenons un exemple : nous redoutons que la salle informatique
prenne feu puis lensemble du btiment.
Pour pallier les risques, nous allons prendre des mesures qui constituent des lments du dispositif de contrle interne mettre en place :
prvention pour viter lincendie : panneaux dinterdiction de manipuler des matires inflammables proximit de la salle, sensibilisation/
formation du personnel concern au risque incendie ;
12
et trois types de mesures pour pallier les facteurs de risques : prvention, dtection, protection.
Prvention
Dtection
Facteurs de risques
Cause
organisationnelle
Manifestation
Fait
Circonstance / vnement
Impact
Consquence
Protection
13
1 Sources : 9e rapport annuel sur ltat de la profession daudit interne. Enqute ralise en 2013 par
le cabinet PricewaterhouseCoopers auprs de 1 100 directeurs daudit interne et 630 parties prenantes
(directeurs gnraux, prsidents de comit daudit, membres de conseil dadministration, directeurs
financiers et directeurs des risques) reprsentant 18 secteurs dactivit et 60 pays diffrents.
14
tr
gi
at
Op
ns
tio
a
r
s
ion
at res
m
r
ci
fo
In finan
it
rm
fo
on
Environnement de contrle
FILIALE
DIVISION
ENTREPRISE
UNIT DE GESTION
Activits de contrle
Information et Communication
Pilotage
un environnement interne de contrle qui constitue le fondement structurel du systme de management des risques et qui intgre des aspects
trs divers tels que la culture du risque et lapptence pour le risque,
lintgrit et les valeurs thiques, lengagement de comptence, la
structure organisationnelle, les dlgations de pouvoirs et de responsabilits, la politique de ressources humaines, la fixation des objectifs ;
une identification des vnements susceptibles daffecter latteinte des
objectifs de lorganisation. Il sagit aussi bien dvnements pouvant
avoir un impact ngatif que dvnements pouvant avoir un impact
15
un modle dans le cadre des normes ISO 31000 : 2009 sur le management des risques. En 2010, un groupe de travail, sous lgide de lAMF,
a propos un cadre de rfrence concernant les dispositifs de gestion
des risques et de contrle interne . Ce document, disponible sur le site
de lAMF, actualise le cadre de rfrence de contrle interne publi en
janvier 2007 (que nous prsenterons au chapitre suivant) et dveloppe
une approche de la gestion des risques dans une vision commune des
deux dimensions.
Mais quen est-il de la prise en charge de cette dimension management des risques dans les organisations ?
De nombreux acteurs, principalement internes, interviennent dans
ce processus. Parmi les principaux on citera :
le conseil dadministration et ses manations (comit des risques, comit
daudit) qui exercent une surveillance (examen du portefeuille
de risques au regard de lapptence de lorganisation pour ceux-ci,
contrle de la qualit du processus de management des risques pour
les risques connus) ;
le management : au niveau de la direction gnrale en tant quultime
responsable de lefficacit du management des risques. Au niveau des
diffrentes directions en tant que responsables de la mise en uvre
des dispositifs concerns sur le terrain ;
la direction des risques (fonction risk management) qui assure une coordination centralise du management des risques ;
la direction financire, plus particulirement sur les volets Reporting des informations financires et Conformit aux lois et rglements ;
les auditeurs internes dont le rle est dapprcier lefficacit du processus de management des risques ;
les auditeurs externes dans le cadre de leur mission lgale notamment
au niveau de la fiabilit des informations financires.
Concernant la rpartition des rles en matire de prise en charge du
management des risques, nous nous devons galement de souligner les
travaux mens conjointement par FERMA et lECIIA (European Confederation of Institutes of Internal Auditing). Cette rflexion a donn lieu la
publication, en septembre 2010, de recommandations : Monitoring the
effectiveness of internal control, internal audit and risk management systems.
Lide matresse de cette tude repose sur le concept des trois lignes de
dfense en matire de matrise des risques : les managers et oprationnels responsables des processus, les fonctions support et laudit interne.
17
Le contrle interne
Il est usuel de dire que le contrle interne est un procd, mis en uvre par
les dirigeants et le personnel dune organisation, quelque niveau que ce
soit, destin leur donner en permanence une assurance raisonnable que :
Les oprations sont ralises, scurises, optimises et permettent
ainsi lorganisation datteindre ses objectifs de base, de performance,
de rentabilit et de protection du patrimoine ;
Les informations financires et oprationnelles sont fiables, et les lois,
les rglementations et les directives de lorganisation sont respectes.
Le contrle interne est un tat atteindre et maintenir, cest un
moyen et non un but. La mise en place du contrle interne fait partie
intgrante des attributions de tout responsable. Dans cette mission lorganisation peut se doter par ailleurs dun service ad hoc charg de dfinir
et de coordonner la mise en uvre des dispositifs composant le systme
et den assurer la maintenance. Dans ces conditions on veillera ce que
lexistence dun tel service ne conduise pas la dsappropriation ou au
dsintrt du concept de contrle par les responsables fonctionnels ou
oprationnels.
En toutes circonstances, tout responsable doit se poser la question
suivante :
Dans quelle mesure mon organisation, mes mthodes de travail,
mes dispositifs de mesure et de contrle, mon implication personnelle
me donnent-ils une assurance raisonnable quant :
la pertinence de mes objectifs : cohrence avec les finalits de lorganisation ?
ladquation moyens/objectifs : efficience de lorganisation, adaptation des structures, coordinations des tches ?
la bonne mise en uvre des moyens : efficacit du pilotage, existence
dobjectifs, animation et suivi ?
la qualit et la fiabilit des informations pour prise de bonnes dcisions ?
le respect des principes, politiques, lois, rglements dorigine
interne et externe ?
la protection et la sauvegarde du patrimoine humain, financier, matriel, immatriel (image, savoir faire, informations) ?
Pour la mise en uvre dun bon contrle interne nous disposons
dun certain nombre de modles conceptuels ou rfrentiels. Parmi les
plus connus et usits nous citerons :
18