Audit Interne Et Cartographie Des Risques p2

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 170

MINISTERE DE L’ENSEIGNEMENT SUPERIEURE ET DE LA RECHERCHE

SCIENTIFIQUE

ECOLE SUPERIEURE DE COMMERCE

Mémoire de fin d’études en vue de l’obtention du diplôme de Master en sciences Financières


et Commerciales.

Spécialité : comptabilité et finance

THEME :

Le rôle de la cartographie des risques dans l’orientation du


plan d’intervention de l’auditeur interne.

Elaboré par : Encadré par :

Boumadar Kouider Belhadj Pr. Bouhadida Mohamed

Lieu du stage : Sonatrach SPA/ Activité Commercialisation

Période du stage : Du 28 Février au 23 Mai 2023

Année universitaire : 2022 /2023


MINISTERE DE L’ENSEIGNEMENT SUPERIEURE ET DE LA RECHERCHE
SCIENTIFIQUE

ECOLE SUPERIEURE DE COMMERCE

Mémoire de fin d’études en vue de l’obtention du diplôme de Master en sciences Financières


et Commerciales.

Spécialité : comptabilité et finance

THEME :

Le rôle de la cartographie des risques dans l’orientation du


plan d’intervention de l’auditeur interne.

Elaboré par : Encadré par :

Boumadar Kouider Belhadj Pr. Bouhadida Mohamed

Lieu du stage : Sonatrach SPA/ Activité Commercialisation

Période du stage : Du 28 Février au 23 Mai 2023

Année universitaire : 2022 /2023


I

Remerciements

Je tiens à remercier en premier lieu « Allah »

le tout puissant de m’avoir donné le courage ainsi que la volonté pour

préparer ce mémoire.

Je souhaite exprimer ma gratitude envers ma famille, et plus


particulièrement envers mes parents, pour leur présence, leur
soutien et leur aide.

A mon encadrant Mr Bouhadida Mohamed, pour avoir accepté de


m’encadrer et pour l’ensemble de ses instructions et ses recommandations.

A Mr Zaibek El-hadi mon encadrant au sein de la SONATRACH – Activité


Commercialisation-, pour sa disponibilité et ses sages conseils.

A tous les membres du jury qui m’ont fait l’honneur de juger ce travail.

Merci à vous !
II

Dédicaces

Je dédie ce travail,

A mes chers parents pour leur soutien durant toute ma vie


estudiantine,

A mes soeurs, Roumaissa, Majda, et Douaa, et à mon petit frère


Mohamed Maab,

A ma femme Belabed Ghania,

A ma grand-mère,

A tous mes enseignants que j’ai connus durant mes différents


cursus,

In fine, je dédie ce travail à tous ceux qui me sont chers.


III

Sommaire

Remerciements ................................................................................................. I
Dédicaces.......................................................................................................... II
Sommaire ....................................................................................................... III
Liste des tableaux ........................................................................................... IV
Liste des figures ............................................................................................... V
Liste des abréviations ..................................................................................... VI
Liste des annexes .......................................................................................... VII
Résumé : ...................................................................................................... VIII

‫ملخص‬ .............................................................................................................. IX
Abstract: .......................................................................................................... X
Introduction Générale ..................................................................................... A
Chapitre I : Cadre de Référence de l’Audit Interne....................................... 1
Section 1 : Généralités sur l’Audit Interne .......................................................................................3
Section 2 : L’audit interne et ses fonctions voisines :...................................................................... 16
Section 3 : Les normes de l’audit interne de l’IIA............................................................................ 20
Section 4 : Généralités sur le contrôle interne ............................................................................... 25
Chapitre II : Le management des risques et la cartographie des risques. .. 37
Section1 : cadre conceptuel de management des risques .......................................................... 39
Section 2 : Méthodologie du management des risques ............................................................... 52
Section 3 : Généralités sur la Cartographie des risques .................................................................. 63
Section 04 : Méthodologie d’élaboration d’une cartographie des risques ...................................... 67
Chapitre III : Elaboration de la cartographie des risques de la Direction
COM - SONATRACH ................................................................................... 77
Section 1 : Présentation de l’organisme d’accueil. ......................................................................... 79
Section 2 : Elaboration de la cartographie des risques de COM...................................................... 88
Section 03 : Procédure de conduite d’une mission de contrôle interne au sein de l’Activité
Commercialisation de SONATRACH ............................................................................................. 113
Conclusion Générale .................................................................................... 119
BIBLIOGRAPHIE ....................................................................................... 122
ANNEXES .................................................................................................... 123
Table des matières ........................................................................................ 123
IV

Liste des tableaux

Tableau 1: Système du progrès de l’audit ...........................................................................................4


Tableau 2 : comparaison entre des régimes français et américain ...................................................... 34
Tableau 3: Analyse comparative des réglementations sur le corporate risk management .................. 52
Tableau 4 : Les Types des Processus de gestion des risques. ............................................................ 57
V

Liste des figures

Figure 1 : Schéma de la cartographie des processus d’un service d’audit interne ............................... 10
Figure 2: Pyramid COSO I ............................................................................................................... 27
Figure 3: gestion des risques ............................................................................................................ 55
Figure 4 : Risques intrinsèques et risques résiduels ........................................................................... 72
Figure 5: Représentation graphique de la cartographie des risques ................................................... 73
Figure 6: Organigramme de la Macrostructure de SONATRACH ..................................................... 84
VI

Liste des abréviations


IFACI Institut Français des Auditeurs et Contrôleurs Internes.
IFAC L’International Fédération of Accountants.
IIA Institue of Internal Auditor.
CA Conseil d’Administration.
DRH Direction de Ressources Humaines.
DSI Direction Des Systèmes d’Informations.
CAC Commissaire Aux Comptes.
ISA International Standards on Auditing.
ECIAA Confédération Européenne des Instituts d’Audit Interne.
UFAI L’Union Francophone de L’Audit Interne.
COM Direction Commercialisation de SONATRACH.
AACIA L’Association des Auditeurs Consultants Internes
Algériens.
NAA Normes d’Audit Algériennes.
DAS Domaine d’Activités Stratégiques.
VII

Liste des annexes

 Annexe 01 : Organigramme de COM


 Annexe 02 : Lettre de mission
 Annexe 03 : Tableau des risques
 Annexe 04 : Note d’orientation
 Annexe 05 : Programme de travail
 Annexe 06 : Compte Rendu de Réunion d’Ouverture
 Annexe 07 : Feuille de Couverture
 Annexe 08 : Feuille de Test
 Annexe 09 : Feuille d’Observation
 Annexe 10 : Compte Rendu d’Entretien
 Annexe 11 : Compte Rendu de Réunion de clôture
 Annexe 12 : Lettre d’envoi du projet de rapport
 Annexe 13 : Lettre d’envoi du rapport final
 Annexe 14 : Page de garde du Rapport
 Annexe 15 : Avertissement-type
 Annexe 16 : Sommaire-type du rapport final
 Annexe 17 : Synthèse-type
 Annexe 18 : Tableau des recommandations
 Annexe 19 : Index et Auto contrôle du dossier de mission
VIII

Résumé :
Crises économiques, conflits armés, épidémie mondiale, réchauffement
climatique, incertitudes politiques, cyberattaques, corruption,… : les entreprises
évoluent dans un monde de plus en plus instable. Dans ce contexte, la gestion des
risques – ou risk management en anglais – monte en puissance dans les
organisations. Mettre l’accent sur le management des risques, c’est pouvoir mieux les
anticiper et bâtir des stratégies de défense adaptées.
La cartographie des risques est l’outil central du risk management. Projet
transversal à l’entreprise, son élaboration peut être confiée, selon les contextes et les
organisations, au risk manager, à un membre du comité de gestion des risques, à un
consultant externe… Déclinée pour chaque processus, la cartographie des risques est
aussi un outil précieux de la panoplie des outils de l’audit interne.
La cartographie des risques est un outil d’identification, d’évaluation, de
hiérarchisation et de suivi des risques internes à l’entreprise (endogènes) et externes
(exogènes) à l’entreprise.
A travers notre étude, nous pouvons conclure que la mise en place d’un dispositif
de contrôle interne efficace est dû à une structure d’audit interne efficace, elle-même qui
utilise la gestion des risques (cartographie des risques) comme outils d’orientation dans
l’élaboration et l’orientation des missions d’audit, donc la refonte du contrôle interne de
Sonatrach est impérative et des mesures urgentes doivent être mises en place dans les
meilleurs délais, ce qui devrait conduire à une évolution stable et pérenne, qui ne pourra
être atteinte sans une meilleure gestion et maîtrise des risques.

Mots Clés : Audit Interne, Cartographie des risques, contrôle interne, Management
des risques.
‫‪IX‬‬

‫ملخص ‪‬‬
‫األزمات االقتصادية والنزاعات المسلحة واألوبئة العالمية واالحتباس الحراري وعدم اليقين السياسي والهجمات اإللكترونية‬
‫والفساد‪ :‬تعمل الشركات في عالم غير مستقر بشكل متزايد‪ .‬في هذا السياق‪ ،‬تكتسب إدارة المخاطر زخما في المنظمات‪ .‬التركيز على‬
‫إدارة المخاطر يعني القدرة على توقع المخاطر بشكل أفضل وبناء استراتيجيات دفاعية مناسبة‪.‬‬

‫انشاء خرائط المخاطر هو األداة المركزية إلدارة المخاطر‪ .‬مشروع مستعرض للشركة ‪ ،‬يمكن أن يعهد بتطويره ‪ ،‬اعتمادا‬
‫على السياق والتنظيم ‪ ،‬إلى مدير المخاطر ‪ ،‬وعضو في لجنة إدارة المخاطر ‪ ،‬ومستشار خارجي ‪ ،‬إلخ‪ .‬وبتطبيق رسم خرائط المخاطر‬
‫على كل عملية‪ ،‬يعد أيضا أداة قيمة في مجموعة أدوات التدقيق الداخلي‪.‬‬

‫رسم خرائط المخاطر هو أداة لتحديد وتقييم وتحديد األولويات ورصد المخاطر الداخلية والخارجية في المؤسسة‪.‬‬

‫من خالل دراستنا‪ ،‬يمكننا أن نستنتج أن إنشاء إطار فعال للرقابة الداخلية يرجع إلى هيكل تدقيق داخلي فعال‪ ،‬والذي يستخدم‬
‫في حد ذات ه إدارة المخاطر (رسم خرائط المخاطر) كأداة توجيهية في تطوير وتوجيه مهام التدقيق‪ ،.‬فإن إصالح الرقابة الداخلية‬
‫لسوناطراك أمر حتمي ويجب اتخاذ تدابير عاجلة في أقرب وقت ممكن‪ ،‬مما سيؤدي إلى تطور مستقر ومستدام‪ ،‬وهو ما ال يمكن‬
‫تحقيقه دون إدارة ومراقبة أفضل للمخاطر‪.‬‬

‫الكلمات المفتاحية‪ :‬التدقيق الداخلي‪ ،‬رسم خرائط المخاطر‪ ،‬الرقابة الداخلية‪ ،‬إدارة المخاطر‪.‬‬
X

Abstract:
Economic crises, armed conflicts, global epidemics, global warming, political
uncertainty, cyberattacks, corruption: companies operate in an increasingly unstable
world. In this context, risk management is gaining momentum in organizations.
Focusing on risk management means being able to better anticipate risks and build
appropriate defence strategies.

Risk mapping is the central tool of risk management. A transversal project for
the company, its development can be entrusted, depending on the context and
organization, to the risk manager, a member of the risk management committee, an
external consultant, etc. Applied to each process, risk mapping is also a valuable tool in
the internal audit toolbox.

Risk mapping is a tool for identifying, evaluating, prioritizing and monitoring


risks internal to the company (endogenous) and external (exogenous) to the company.

Through our study, we can conclude that the establishment of an effective


internal control framework is due to an effective internal audit structure, which itself
uses risk management (risk mapping) as a guiding tool in the development and
orientation of audit engagements, the overhaul of Sonatrach's internal control is
imperative and urgent measures must be put in place as soon as possible, which should
lead to a stable and sustainable evolution, which cannot be achieved without better risk
management and control.

Keywords: Internal Audit, Risk Mapping, Internal Control, Risk Management.


Introduction Générale
B
Introduction générale

Introduction Générale :

Avec l’avènement du phénomène de la mondialisation et l’instauration de nouveaux


paradigmes internationaux, le rôle de l’entreprise dans la vie économique et sociale est
devenu crucial et central à la fois. Dans la conception de ce nouveau modèle,
l’entreprise constitue le moteur de la croissance dans toute économie dans le monde où
beaucoup d’espoirs sont portés sur elle pour créer da la richesse, créer des postes
d’emploi et contribuer dans le financement de l’Etat à travers le paiement des impôts
tout en préservant l’environnement écologique et en garantissant le bien-être social.
Devant tous ces enjeux, l’entreprise a commencé petit à petit à prendre de la taille, à
avoir des dimensions très remarquables surtout avec l’accroissement des
investissements, le développement des marchés financiers au niveau mondial et la
suppression des délimitations géographiques entre les pays. Avec l’ouverture des
économies nationales à leurs environnements extérieurs, une mutation importante est
survenue dans la vie de l’entreprise où on a vécu de multiples implantations des
entreprises dans plusieurs pays au monde et la pénétration de nouveaux marchés à la
recherche de la profitabilité.
Ces rebondissements majeurs dans la vie des entreprises devaient être accompagnés par
une évolution de la même vitesse dans les techniques de management et de gestion des
entreprises. Dans ce sens, de nombreuses recherches ont été réalisées dans le but
d’aboutir à la conception de nouveaux instruments et méthodes permettant une
meilleure gouvernance des entreprises. Dans cette optique, des résultats positifs ont été
trouvés, ce qui a donné lieu à l’apparition de nouvelles formes organisationnelles
adaptées au contexte mondial, des outils de gestion très développés et des mécanismes
de contrôle qui répondent aux besoins des organisations en matière d’assurance par
rapport à la maitrise de leurs opérations et activités.
Malgré les performances considérables réalisées par les entreprises en utilisant ces
nouvelles techniques de gestion, beaucoup d’insuffisances demeurent existantes au
niveau de ces firmes. On retrouve ces insuffisances à tous les niveaux : aussi bien
interne qu’externe à l’entreprise. Elles sont dues à plusieurs facteurs tels que
l’incertitude qui caractérise l’environnement externe, la concurrence rude entre les
entreprises, l’évolution technologique, les comportements des employées au niveau
interne, le dysfonctionnement des systèmes internes, l’inadaptation des procédures
internes, le risque de déformation de l’information financière et non financière…etc.
C
Introduction générale

Tous ces risques auxquels les entreprises sont exposées ont accéléré l’émergence d’une
structure centrale et vitale au sein des entreprises en l’occurrence d’audit interne. Une
structure d’audit interne est devenue plus qu’indispensable maintenant dans la vie des
entreprises, car ces dernières révèlent toujours des défaillances dans leurs systèmes de
management en général et leurs processus en particulier, ce qui nous a permet à remettre
en cause la démarche de l’audit interne dans la détection des risques.

Les risques sont inhérents à la vie de toute entreprise. Cependant il est nécessaire, pour
pouvoir parer aux situations dangereuses, de les identifier, les quantifier, les hiérarchiser
et les traiter. C’est à partir de ces idées que nous allons essayer de répondre à la
problématique suivante : Comment la cartographie des Risques contribue-t-elle dans
l’orientation et la détermination du périmètre d’intervention de l’auditeur
interne ?

Afin de mener à bien notre étude la problématique est éclatée en deux questions :

1- Dans quelle mesure la cartographie des risques constitue-t-elle un instrument


efficace pour détecter les risques auxquelles l’entreprise est confrontée ?
2- Quelles sont les éléments clés que pourrait apporter la cartographie des risques pour
influencer et orienter la mission de l’auditeur interne ?

Pour mener à bien notre travail, nous essayerons de répondre à ces questions à travers
les hypothèses suivantes :

1. H1 : La cartographie des risques permet de redimensionner l’entreprise en termes :

- de gravité des risques : élevé, moyen et modéré

- de probabilité des risques : Peu probable, probable, presque certaine

afin de détecter tous les risques liés aux processus et structures de l’entreprise.
2. H2 : La cartographie des risques donne une meilleure visibilité aux auditeurs internes
quant à l’ensemble des risques existants au niveau de l’entreprise (Évaluation et
hiérarchisation).
D
Introduction générale

Objectif de la recherche :

L’objectif de notre recherche n’est pas de réaliser une cartographie des risques
opérationnels complète ou de proposer des stratégies de gestion des risques, car cela est
un travail de groupe nécessitant l’intervention d’experts de plusieurs activités du
groupe. Cependant, nous allons essayer d’élaborer une cartographie des risques
opérationnels liée au processus de l’activité de commercialisation au niveau de la
SONATRACH. Cette approche adoptée nous permettra en temps opportun, par
extrapolation, de dupliquer – sous certaines conditions - ladite cartographie aux autres
processus et activités de l’entreprise.

L’importance de l’étude :

L’étude du rôle de la cartographie des risques dans l’orientation du plan d’intervention


de l’auditeur interne revêt une importance vitale car elle s’agit d’un outil précieux parmi
plusieurs ; que manipulent l’auditeur interne pour mener sa mission. A travers cette
étude, nous voulons découvrir l’impact et l’influence de la cartographie des risques sur
les choix des processus, opérations et structures à auditer et de savoir à quel point cet
instrument contribue dans la réussite de la mission de l’auditeur et à l’efficacité de la
structure d’audit interne en générale au sein de l’entreprise.

La Démarche Méthodologique :

Pour mener à bien cette étude et afin de répondre à la Problématique posée et vérifier les
Hypothèses précédentes, nous estimons que l’approche qualitative sera la plus adéquate
pour réaliser ce travail. Nous désirons adopter une démarche méthodologique
descriptive et analytique en commençant premièrement par la revue de la littérature et
qui va porter sur les fondements de l’audit interne, le contrôle interne, le management
des risques et une présentation de la cartographie des risques avec les différents aspects
relatifs à cet instrument. La rédaction de cette dernière se basera essentiellement sur une
recherche documentaire à travers la lecture de plusieurs ouvrages, articles et thèses de
mémoire portant sur la même thématique.
Deuxièment, nous voudrons procéder à l’établissement d’une cartographie des risques
en passant par l’animation des entretiens avec les auditeurs de l’entreprise de notre cas
et suivant un guide d’entretien qui sera élaboré de façon très soignée et précise,
E
Introduction générale

justement pour pouvoir arriver à des résultats positifs qui répondront à notre principale
question.
D’autre part, nous avons structuré notre plan de travail comme suit :

 Chapitre I : Intitulé « Cadre de référence de l'Audit Interne » à travers lequel on va

présenter des généralités sur l’audit interne, le référentiel de l’audit interne et la


démarche méthodologique d’une mission d’audit interne.
Pour limiter le cadre de l’étude, un deuxième chapitre présentera le cadre conceptuel du
management et de la cartographie des risques, où l’on mettra l’accent sur le
management des risques et un aperçu sur la cartographie des risques, ainsi que les
étapes de son élaboration.

Le troisième et dernier chapitre, sera consacré au cas pratique et résultats de nos


travaux sur le l’audit interne, le contrôle interne, la cartographie des risques et le
management des risques au sein de la Sonatrach/ Activité Commercialisation.
Chapitre I : Cadre de Référence
de l’Audit Interne
2
Chapitre I : Cadre de référence de l’audit interne

Introduction :

De nos jours, la fonction d'audit interne revêt une importance capitale au sein
des entreprises. Elle s'est imposée comme un levier indispensable pour garantir la
fiabilité des procédures, détecter les risques et contribuer à la prise de décisions
stratégiques au niveau de la direction. A cet effet, Le premier chapitre a pour objectif
d'étudier le cadre de référence de l'audit interne, qui est une mission complexe et
essentielle au sein d'une entreprise. Ce chapitre, qui est principalement descriptif, se
compose de plusieurs sections distinctes :

La première section traite de l'audit interne et commence par un bref historique


de la fonction. Elle définit ensuite cette notion selon l'IIA et présente les objectifs, le
rôle et le but de la fonction d'audit interne. Cette section aborde également les différents
types d'audit interne, à savoir l'audit de régularité, l'audit d'efficacité, l'audit de
management et l'audit de stratégie.

La deuxième section est consacrée à l'étude des disciplines voisines de l'audit


interne, telles que l'audit externe, le contrôle interne, le contrôle de gestion et
l'inspection.

La troisième section expose brièvement les principes de déontologie de


l'auditeur interne, ainsi que les normes internationales pour la pratique professionnelle
de l'audit interne et leur mode d'application.

Enfin, la quatrième section traite le contrôle interne car c’est l’ensemble des
actions entreprises par le management et le personnel afin de garantir la détermination
des objectifs de la société, le traitement des risques et le suivi des performances.
Le premier chapitre a pour objectif d'étudier le cadre conceptuel de l'audit
interne, qui est une mission complexe et essentielle au sein d'une entreprise.
Le but de cette mission est de créer de la valeur ajoutée dans un
environnement en constante évolution. Ce chapitre, qui est principalement
descriptif, se compose de plusieurs sections distinctes.
3
Chapitre I : Cadre de référence de l’audit interne

Section 1 : Généralités sur l’Audit Interne

Notre recherche sur le rôle de l’audit interne, qui est au cœur de notre étude, remonte à
des temps très anciens pour démontrer que ce rôle s’est développé à travers des
siècles. Ainsi, il est important, avant de définir l’audit en général et l’audit interne en
particulier, ainsi que de décrire ses méthodes, de présenter un aperçu sur son
historique.

1 Historique et Définition :
1.1 Historique :
Dans l’histoire d’audit on fait souvent référence à l’ère sumérien où les premières traces
de contrôle se trouvaient dans la vérification du nombre des sacs de grains gérés, en
entrée et sortie, dans les magasins de stockage1.

Plus tard, dès le IIIe siècle avant J.C., les gouverneurs romains ont nommé des questeurs
chargés de contrôler les comptabilités de toutes les provinces. C’est de cette époque que
provient l’origine du terme « audit », dérivé du latin « audire » qui veut dire « écouter ».
Les questeurs rendaient en effet compte de leur mission devant une assemblée
constituée d’« auditeurs »2.

Dans la civilisation islamique le contrôle se réalisait à travers la pratique de l’institution


de Hisba. Dans ce mode de contrôle avait pour but la promotion de la vertu et la
prévention du mal. Le Muhtassib intervenait dans les domaines transactionnels
(inspecter les conditions de poids et les balances ainsi que les artisans qui produisent de
la nourriture, des vêtements et les machines,..)3.

Ce n'est qu'au XIXème siècle que les législateurs ont institués le contrôle des sociétés
par des agents externes en raison :

- Du développement de l'industrie, le commerce, les banques, des assurances...

1
Vlaminick H, « histoire de la comptabilité », édition pragmos, Paris, 1979,p17.
2
Herrbach. O, « le comportement au travail des collaborateurs de cabinets d’audit financier : une
approche par le contrat psychologique », Université des sciences sociales de Toulouse, Thèse de Doctorat,
08 décembre, p17.
3
Chekroun Meriem, Thèse de Doctorat LMD, « le rôle de l’audit interne dans le pilotage et la
performance du système de contrôle interne : cas d’un échantillon d’entreprises algériennes », Tlemcen,
2013, p16
4
Chapitre I : Cadre de référence de l’audit interne

- La charge qui pèse sur l'auditeur reconnu en tant que garant des détenteurs de
capitaux à l'égard des abus des gestionnaires, dès le début du XXème siècle et avec
la crise de 1929 due à une mauvaise divulgation de l'information fiable. En tant que
fonction dans une entreprise, l’audit interne est apparu aux États Unis après la crise
de 1929. La crise finie, les auditeurs ayant beaucoup d’expérience dans les domaines
comptables se sont imposés. C’est en ce moment que la fonction d’audit interne a
pris naissance. 1

Tableau 1: Système du progrès de l’audit

Périod Prescripte Auditeurs Objectifs de


e ur de l’audit
L’audit
2000 Rois, Clercs, Punir pour
avant empereurs, Ecrivains. les
J.C. à Eglises et états détournemen
1700 ts de fonds.
Protéger le
patrimoine.
1700 Etats, Comptables Réprimer et punir
à1850 tribunaux les fraudeurs.
commerciaux Protéger le
et patrimoine.
Actionnaires.
1850 à Etat et Professionne Eviter les fraudes
1900 actionnaires ls de la et attester la
comptabilité. fiabilité du bilan.

1900 à Etat et Professionnel Eviter les fraudes


1940 actionnaires s les erreurs
d’audit et de
comptabilité.

1
Fella TABBECH. (2017), Le rôle de l’audit interne dans le management des risques Cas Compagnie
Algérienne d’Assurance et de Réassurance, Mémoire de fin d’étude En vue de l’obtention du diplôme de
Magister en sciences commerciales et financières, Ecole Supérieur de Commerce, p2.
5
Chapitre I : Cadre de référence de l’audit interne

A Etats, tiers et Professionnel Attester l’image


partir Actionnaires s d’audit et fidèle des
de du conseil. comptes et
1990 à qualité du
ces contrôle interne
jours dans le respect
des normes.
Protection
contre la fraude
internationale.
Source : Collins L. et Vallin G.1992, Audit et contrôle interne, édition Dalloz,
4e édition, Paris, page 17.

Mais on associe souvent la genèse de l’audit interne moderne à la création de l’institut


de l’Audit Interne (IIA) 1 aux Etats-Unis, en 1941. A sa naissance, l’IIA était une
organisation nationale qui comptait 24 membres. En France, la création de l’IFACI 2
(Institut Français de l’audit et du Contrôle Internes) remonte à 19653.

Aujourd’hui, les Instituts comptent des membres dans près de 170 pays et territoires,
dont plus de 55% ne résident pas en Amérique du Nord. D’autres regroupements ont
été apparus dont le but de développer la fonction d’audit interne, l’exemple de la «
Confédération Européenne des Instituts d’audit interne » (ECIAA), « L’union
Francophone de L’audit interne » (UFAI), en Algérie on parle de l’association des
auditeurs consultants interne algériens (AACIA) qui a été créé en 1993 dont le but de

1
Créée en 1941, l’IIA (Institute of Internal Auditors) est le premier organisme d’auditeurs et le plus
célèbre, il regroupe aujourd’hui plus de 170000 membres répartis dans 165 pays), cette organisation à
pour rôle de : Définir les normes pour la pratique professionnelle de l’audit interne ; Effectuer des travaux
et recherches pour la promotion de la fonction ; Certifier les auditeurs par des examens, parmi eux le CIA
(Certified Internal Auditor).
2
Fondé en 1965 sous un statut associatif, l’IFACI (Institut Français de l’Audit et du Contrôle Internes)
fédère près de 3000 auditeurs issus de quelques 700 organismes de secteurs public et privé, en France et
dans les pays francophones. Affilié à l’IIA (The Institute of Internal Auditors), l’IFACI bénéficie d’un
réseau de 100 000 spécialistes de l’audit répartis dans plus de 160 pays.
3
Manuel d'audit interne (2011), Améliorer l'efficacité de la gouvernance, du contrôle interne et
du management des risques, Institut Français de l’Audit et du Contrôle Interne, Paris.
6
Chapitre I : Cadre de référence de l’audit interne

développer l’audit interne en Algérie1. Aujourd’hui les principales activités de


L’AACIA sont : formation, séminaires, conférences, rencontres débat et publication 1.

Plusieurs circonstances et événements imbriquées ont alimenté cette expansion


spectaculaire de la demande d’activités d’audit interne au cours des 30 dernières années.
Durant cette période, le monde de l’entreprise s’est transformé, notamment sous l’effet
de la mondialisation, de la complexification des structures des entreprises, du
développement du commerce électronique et d’autres avancées technologiques, ainsi
que d’une récession économique mondiale. Parallèlement, le monde de l’entreprise a vu
éclater une succession de scandales aux conséquences dévastatrices, qui ont rapidement
déclenché une vague de législation, de réglementation et de lignes directrices nouvelles
destinées aux professionnels. En conséquence, les auditeurs internes sont de plus en plus
sollicités pour aider les organisations à renforcer leurs processus de gouvernement
d’entreprise, de management des risques et de contrôle.

En ce qui concerne l’Algérie, il a fallu attendre l’année 1988 pour voir l’audit interne
consacré par un texte de lois à travers la loi 88-1 portant réformes économiques qui fait
obligation dans son article 40 à l’entreprise publique algérienne de mettre en place et de
renforcer l’audit interne. Cet article énonce ce qui suit : « les entreprises publiques
économiques sont tenues d’organiser et de renforcer les structures internes d’audit et
d’améliorer d’une manière constante leurs procédés de fonctionnement et de gestion » 2.
C’est à partir de cette date que l’audit interne a commencé à connaitre un essor dans les
entreprises algériennes même si le degré de développement est très différencié d’une
entreprise à une autre. On peut résumer la pratique et évolutions majeurs du cadre
normatif de l’audit interne en Algérie en ce qui suit 3 :

- Pratique embryonnaire 1988/2005 mais tendance actuelle marquée par une évolution
prometteuse élargie, sous l’emprise de l’Etat et l’action professionnelle de
l’Association des Auditeurs Consultants Internes Algérien1(AACIA), principalement au

1
http://algerieassociation.forumactif.com/t121-association-des-auditeurs-consultants internes-
algériens
2
Article 40, Journal official, 27iéme, N°2, Mercredi 13 Janvier 1988, p.22.
3
Meziani M. (24/25 novembre 2013), Audit Interne et Perception Managériale : l’Avis des
Professionnels, 20ème anniversaire de l’A.A.C.I.A, 3ème Colloque International, Constantine.
7
Chapitre I : Cadre de référence de l’audit interne

secteur public économique (entreprises industrielles) et autres opérateurs : banques


publiques, assurances, douanes, impôts) ;
- Convention intergouvernementale de formation algéro-française 1989-1997, initiée par
le MILD et au travers de laquelle 117 auditeurs internes algériens, ont été formés par
l’ESSEC et l’IFACI) ;
- Les conclusions de l’atelier national sur l’audit de l’Entreprise organisé par le MRIP les
21/22 mais 1995, ont influencé la décision prise par le législateur algérien, d’abroger
l’article 40 de la loi N° 88/01 du 12 Janvier 1988 (Ordonnance N° 95/25 du 25
Septembre 1995 portant gestion des capitaux marchands de l’Etat) ;
- Enquête AACIA-DELOITTE 2006 qui met en exergue les nouvelles perspectives de
l’EPE orientées vers le progrès et l’amélioration continue de ses performances du fait
entre autres de la contribution probante de l’audit interne, activité interpellée par de
nouveaux enjeux tels que : la formation et la professionnalisation des auditeurs internes
et la promotion du contrôle interne auprès des opérationnels ;
- Instruction du MIPI N°079/SG/07 du 30 janvier 2007 à l’intention des EPE, relayée
sous forme de résolutions par les Assemblées Générales des SGP, qui fait date et qui est
à inscrire comme une volonté affichée par les pouvoirs publics de renforcer la pratique
de l’audit interne et d’œuvrer à la professionnalisation des structures d’audit interne.

1.2 Définition :
« L’audit interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations ; lui apporte ses conseils pour
les améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à
atteindre ses objectifs en évaluant par une approche systématique et méthodique, ses
processus de management des risques ; de contrôle et gouvernement d’entreprise et en
faisant des propositions pour renforcer leur efficacité » 1.
De cette définition découle les points essentiels suivants :
 Audit est une activité indépendante et objective :
La fonction d’audit interne ne doit subir ni influence, ni pressions allant à l’encontre des
objectifs qui lui sont assignés. Pour atteindre ce but, la structure d’audit interne devrait
être rattachée au plus haut niveau hiérarchique de l’organisation.
L’auditeur interne doit être indépendant des responsables des différentes fonctions qu’il

1
Pierre Schich « Mémento d’audit interne méthode de conduite d’une mission », édition paris, 2007, p5.
8
Chapitre I : Cadre de référence de l’audit interne

est appelé à auditer.

 Activité d’assurance :
C’est un examen objectif d’éléments probants, effectué en vue de fournir à l’organisation
une évaluation indépendante des processus de management des risques, de contrôle ou de
gouvernement d’entreprise.

 Activité de conseil :
Cette activité de conseil a pour objectif de créer de la valeur ajoutée et d’améliorer le
fonctionnement de l’organisation. Exemple : conseil, conception de processus et
formation.

2 Les objectifs de l’audit interne :1


Des nombreux auteurs proposent de classer les objectifs de l’audit interne en trois
niveaux selon qu’ils intéressent la régularité et /ou la conformité aux règles et aux
procédures, l’efficacité des choix effectués dans l’entreprise ou la pertinence de la
politique générale de l’entreprise.

2.1 La régularité : A ce niveau, l’auditeur interne s’attache à vérifier que :


 Les instructions de la direction générale et les dispositions légales et
réglementaires sont régulières ;
 Les procédures et les structures de l’entreprise fonctionnent de façon normale et
qu’elles produisent des informations fiables ;
 Le système de contrôle interne remplie sa mission sans défaillance.
L’auditeur interne est appelé à se prononcer, sur le degré de régularité ou de conformité,
de l’entreprise et de ses entités opérationnelles aux instructions internes et aux
dispositions légales et réglementaires ; il informera les responsables de toute sorte de
déviations ou de distorsions. Il va analyser les causes, en évaluant les conséquences et
enfin, proposer des solutions pour réduire l’écart entre la règle et la réalité. Cette
démarche, toujours essentielle pour un auditeur interne.

1
Mme. BOUKHENNOUFA Rabea et Melle. TEZKRATT Malika (2016), Audit et Gestion des Risques
du Contrôle Interne au sein d’une Entreprise Cas : ORFEE du Groupe BCRBordj Menaiel, Mémoire de
fin d’étude En vue de l’obtention du diplôme de Magister en sciences de gestion, UNIVERSITE
MOULOUD MAMMERI DE TIZI-OUZOU.
9
Chapitre I : Cadre de référence de l’audit interne

2.2 L’efficacité :
A ce niveau, l’auditeur interne ne se contente pas uniquement de vérifier la
régularité et la conformité de l’entreprise aux référentiels internes et externes ; mais il se
prononce sur la qualité de ses réalisations en termes d’efficience et d’efficacité.

L’auditeur cherche un écart entre les résultats et les objectifs mais aussi « le
pourquoi » de cet écart et le « comment » réduire.

2.3 La pertinence :
La pertinence est une affaire de la direction générale, puisqu’elle est tenue de
vérifier la mesure dans laquelle les choix aboutiront effectivement aux effets recherchés.
L’auditeur interne s’intéresse, à ce niveau, à l’entreprise dans son ensemble afin de se
prononcer sur :

 La cohérence entre les structures, les moyens et les objectifs fixés par
l’entreprise ;

 La qualité des orientations de la direction générale. La pertinence va être


exprimée comme l’écart entre le résultat que l’on veut obtenir et la capacité des
moyens retenues à y parvenir.

3 Taches typiques du directeur d’audit interne :


Cangemi et Singleton (2003)1 présentent dans leur livre, les résultats d’un
sondage qu’ils ont mené, durant l’année 2002, auprès de plus de 1600 directeurs de
départements d’audit interne de sociétés américaines. L’échantillon couvre des
entreprises de différentes tailles (PME, grandes entreprises, multinationales) œuvrant
dans divers secteurs d’activités. Il ressort du sondage que les tâches typiques
qu’assument les directeurs d’audit interne américains sont les suivantes :

3.1 Organiser le département de l’audit interne :


 Proposer des procédures appropriées pour gérer la fonction de l’audit interne.
 Garantir que les objectifs stipulés dans la charte d’audit interne ou dans les

1
Cangemi M.P. et Singleton T. (2003), Managing the audit function: A corporate audit department
procedures guide, édition John Wiley and Sons, 3ème edition, New Jersey.
10
Chapitre I : Cadre de référence de l’audit interne

statuts de l’entreprise, la stratégie, les ressources de l’audit interne sont


compatibles avec les objectifs et la gouvernance de l’organisation.
 Proposer les programmes annuels, les plans des missions d’audit interne à
mener et les besoins en ressources de son département au comité d’audit.
 Superviser les missions d’audit interne au sein de l’entreprise.
 Coordonner les missions d’audit interne avec les autres contrôles internes
(contrôle de gestion, inspection, contrôle qualité) et externes (audit légal,
consultants), afin de minimiser la duplication des efforts.
 Garantir que les ressources de l’audit interne sont appropriées, suffisantes et
efficacement utilisées pour réaliser le plan d’audit approuvé par le comité
d’audit.

3.2 Assurer la qualité de l’audit interne :


 Evaluer l’efficacité de la gestion de risque et de la gouvernance d’entreprise.
 Garantir la bonne fin des missions d’audit interne, en temps et en qualité.
 S’assurer que les rapports d’audit interne sont rapidement communiqués.
 Garantir l’amélioration des compétences des auditeurs internes par la formation
continue.

 Garantir l’application des normes internationales d’audit interne par ses équipes.
 Proposer qu’un contrôle externe de l’audit interne soit effectué au moins tous 3 ans.

Figure 1 : Schéma de la cartographie des processus d’un service d’audit interne

Etablir les règles et les Gérer des ressources


procédures (2040) (2030)

Planifier le programme Réaliser des


d’audit (2010) Suivre les actions de
missions
progrès (2500)
(2200,2300) Valeur
Ajoutée
Communiquer le Communiquer les Rendre compte des
programme d’audit résultats de la résultats du
(2020) mission (2400) programme (2060)

Coordonner les activités d’assurance et de conseil (2050)


11
Chapitre I : Cadre de référence de l’audit interne

Processus support Processus Produit Processus client

Source : Fella Tabbech, (2017), op.cit , p9.

4 Les âges d’audit :


Les objectifs assignés à l’audit interne sont les plus concernés par l’essor extraordinaire
qu’a connu cette fonction. On est en effet passés des simples audits de régularité aux
audits de management et de stratégie, en passant par l’audit d’efficacité. D’où les quatre
âges de l’audit.1

4.1 Audit de conformité ou de régularité :


Le rôle de l’audit de conformité est d’aider l’organisation à gérer son risque de non-
conformité. Il permet de réaliser un état des lieux du processus audité vis-à-vis des
obligations applicables. En d’autres termes, l’audit de conformité, appelé également
audit de régularité, « va comparer la règle et la réalité, ce qui devrait être et ce qui est ».
Pour se faire, l’auditeur s’appuie, dans le cadre de son travail de conformité, sur un
référentiel préexistant constitué d’un ensemble de prescriptions, extérieures à l’auditeur,
s’imposant à l’entreprise à savoir : les législations, règlementations, normes, objectifs,
directives…etc.

C’est donc une démarche d’audit dans laquelle, l’auditeur interne apprécie l’existant
(méthodes, procédures, processus …etc.) par rapport à ce qu’il considère comme la
meilleure manière de fonctionnement possible et la plus efficiente. Autrement dit, dans
le cadre de sa mission d’audit d’efficacité, l’auditeur interne est tenu de concevoir un
référentiel idéal sur la base de ses connaissances de la fonction auditée ; ces
connaissances et savoir-faire permettent à l’auditeur d’exprimer une opinion sur la
qualité du processus audité.

4.2 Audit d’efficacité :


Dans ce type d’audit, il n’ya pas de référentiel, dans cette démarche, l’auditeur
use ses connaissances, son savoir-faire dans la fonction auditée. L’audit d’efficacité se
rapproche d’une mission du conseil dans la mesure où l’auditeur interne s’enquiert de la

1
Renard J. (2010), Théorie et pratique de l’audit interne, édition d’Organisation, 7ème édition, Paris, P
40-42
12
Chapitre I : Cadre de référence de l’audit interne

pertinence des procédures. Il tente de répondre aux questions : Telle procédure est-elle
utile ? Opportune ? Telle règle est-elle superflue ? Incomplète ? etc. Dans ce cas de
figure, apparaît un conflit d’intérêt dans la mesure où l’auditeur interne devient juge et
partie, s’il est appelé à faire un audit d’efficacité de procédures qu’il a lui-même
proposé. L’audit d’efficacité appelé aussi audit de performance, englobe à la fois deux
notions celle de l’efficacité et celle de l’efficience.
- L’efficacité, dont le critère est l’atteinte des objectifs fixés. C’est le « doing the right
things ».
- L’efficience, ce qui exige la meilleure des qualités quant aux comportements (le
savoir-être) et à la communication (le faire-savoir).

4.3 Audit de management :


L’audit de management n’a pas pour mission d’auditer la direction générale en
portant un quelque jugement sur ces options stratégiques et politiques, l’auditeur interne
va s’intéresser à la forme non au fond : L’audité explique la fonction dont il a la charge
à l’auditeur, qui consiste à rapprocher, sur le plan managérial, le point de vue du
responsable de la structure auditée à la stratégie arrêtée par les plus hautes instances de
l’entreprise ou avec les politiques qui en découlent. Selon mikol, « L’audit de la gestion
a pour objectif soit d’apporter les preuves d’une fraude, d’une malversation, soit de
porter un jugement critique sur une opération de gestion ou les performances d’une
personne ou d’un groupe de personne 1 ».

4.4 Audit Stratégique :


« L’audit stratégique (ou l’audit de stratégie) est conçu comme une
confrontation de l’ensemble des politiques et des stratégies de l’entreprise avec
le milieu dans lequel elles se situent pour en vérifier la cohérence globale » 2. Il
s’agit d’un audit de haut niveau qui exige une compétence sérieuse, le respect
des bons principes exige que l’auditeur ne porte pas de jugements sur la
performance atteinte ou à atteindre, en d’autres termes, il doit veiller à

1
Ziani Abdelhak. (2013), Rôle de l’audit interne dans la gouvernance d’entreprise : Cas Entreprises
Algériennes, Thèse pour l’obtention de doctorat en sciences économiques, Université Abou Bekr Belkaіd
de Tlemcen, p47.

2
Bertin E. (2007), audit interne : enjeux et pratiques à l’internationale, édition d’organisation, Paris,
P295.
13
Chapitre I : Cadre de référence de l’audit interne

l’existence : d’objectifs de performances, de moyens suffisants pour les


atteindre, et d’un système d’information pour les mesurer.
Au début, il est nécessaire de constituer un référentiel pour l’audit stratégique
qui permettra de positionner l’entreprise par rapport à son environnement et à ses
concurrents et d’évaluer la cohérence de ces décisions stratégiques. Ensuite, L’auditeur
stratégique établi un diagnostic complet de l’entreprise, l’entreprise doit départager les
éléments considérés comme prioritaires des éléments secondaires. Il est nécessaire de
hiérarchiser les points forts et les points faibles de l’entreprise au sein de son
environnement afin de permettre à l’auditeur de déterminer les indicateurs à suivre en
priorité. Ces indicateurs peuvent être quantitatifs (nombre de concurrent, parts de
marché, taux de croissance), mais aussi qualitatifs (élaborations d’une nouvelle loi, ou
directive gouvernementale comportement du consommateur). Enfin, l’auditeur de
souligner les principales incohérences s’avérant lors de l’application de la stratégie à
l’entreprise1.

5 L’organisation et le positionnement de l’Audit interne :


Le rattachement hiérarchique de la fonction d’audit interne dans l’entreprise a
connu une évolution successive liée aux préoccupations principales des missions d’audit
interne. Dans le passé, le rattachement de l’audit interne au chef comptable, et par la
suite à la direction financière reflétait généralement la préoccupation dominante du
contrôle et de la certification restreints au domaine financier. Aujourd’hui, le service
d’audit interne tend de plus en plus à se rattacher à l’instance hiérarchiquement la plus
élevée dans l’organisation, cette évolution traduisant l’extension du champ d’application
des missions d’audit interne et son rôle de conseil au management 2. BARBIER affirme
que « Le rattachement de la fonction d’audit interne peut paraître un facteur déterminant
pour le succès de sa mission. Il est logique et souhaitable d’apporter à l’audit tout le
poids que peut lui conférer un rattachement au niveau hiérarchique le plus élevé :
président ou directeur général. Cela contribue à assurer son indépendance vis-à-vis des
autres directions en même temps que son interdépendance avec elles, cela confirmera
son caractère pluridisciplinaire et cela donnera du poids à ses recommandations 3». En

1
Ziani Abdelhak. (2013), Op.cit, p 49.
2
Renard J. (2010), Op.cit, pp367-368
3
Barbier. E (1996), L’audit interne permanence et actualité », Edition d’organisation, France, p 53.
14
Chapitre I : Cadre de référence de l’audit interne

outre, Selon la norme n°1110. A1: l’audit interne ne doit subir aucune ingérence lors de
la définition de son champ d’interventions, de la réalisation du travail et de la
communication des résultats.

A cet effet, le rattachement de la fonction d'audit interne au plus haut niveau


hiérarchique de l'entreprise est la règle générale pour assurer, d’une part, son
indépendance et son autonomie à l’égard de la fonction auditée, et d’autre part, d’avoir
une liberté de son opinion.

La fonction d’audit interne ne saurait être conforme à cette norme que si elle est
rattachée à la direction générale ou une direction opérationnelle ou bien le conseil
d’administration ou le comité d’audit 2 :

5.1 Le rattachement à la direction générale :


Ce type de rattachement permet d’avoir une proximité relationnelle entre la fonction
d’audit interne et la direction générale, ce qui va faciliter la tâche principale de l’audit
interne d’apporter une assistance au management, dialogué avec la direction générale et
tous les échelons hiérarchiques. De plus, il a été constaté que les attentes de la haute
direction ont une influence significative sur l’audit interne et que l’audit interne, en
général, est en mesure de répondre à la plupart de ses attentes.
En effet, lorsque l’audit interne est rattaché à la direction générale, on peut constater une
atteinte à l’indépendance des intervenants de cette fonction, dans la mesure où il peut y
avoir une collusion entre l’audit interne et la direction générale au détriment de l’intérêt
des actionnaires.

5.2 Le rattachement à la direction opérationnelle :


Il s’agit de placer le service d’audit interne sous l’autorité d’une direction
opérationnelle généralement la direction administrative et financière. On peut constater
une atteinte à l’indépendance des intervenants de cette fonction dans la mesure où ils
seront amenés à se prononcer sur les états financiers émanant de service relevant de la
responsabilité de leur supérieur hiérarchique. Il est important de noter également qu’un
tel rattachement menace l’indépendance et l’objectivité de l’audit interne même si la

1
IIA, « Normes internationales pour la pratique professionnelles de l’audit interne », Florida
32701-4201, USA, 2004.
2
Chekroun Meriem. (2013), Op.cit, p37.
15
Chapitre I : Cadre de référence de l’audit interne

charte spécifie que l’audit interne intervient dans tous les domaines. Par contre, ce
rattachement présent un avantage d’un meilleur suivi technique de la direction
opérationnelle à laquelle est rattaché l’audit interne.

5.3 Le rattachement au conseil d’administration ou comité d’audit :


Les comités d’audit furent créés aux Etats-Unis à partir du 19e siècle pour
faciliter l’interface entre l’entreprise et les auditeurs externes car ces derniers ne
pouvaient siéger aux conseils d’administration1. Le rôle des comités s’est
progressivement étendu en parallèle à l’élargissement des préoccupations du contrôle
interne. On constate que ceux-ci sont de plus en plus utilisés par les organisations pour
montrer qu’elles assument de manière plus efficace leurs responsabilités en matière
d’intégrité et de qualité de leurs reportings financiers et des autres processus de contrôle
interne, de conformité aux lois, aux règlements et à l’éthique, et d’efficacité de leur
système portant sur la gestion des risques. Le rattachement direct du service d’audit
interne à un comité d’audit est encouragé par les bonnes pratiques et normes
internationales définies par les organismes professionnels en matière d’audit interne,
dans la mesure où ce rattachement est le meilleur moyen pour garantir l’indépendance
de la fonction d’audit interne par rapport au management de l’organisation.

Cette tendance relativement récente fait partie des nouveaux dispositifs visant à
améliorer la gouvernance de l’entreprise. En effet, Ce type de rattachement permet de
réduire l’asymétrie d’information pouvant exister ente l’agent (dirigeant) et le principal
(l’actionnaire) tout en assurant le conseil d’administration que les informations émanant
de la direction générale sont fiables.

Néanmoins, Louis VAURS, ardent promoteur de la cause des comités, n’a pas
manqué en son temps d’attirer l’attention sur le risque qu’il y aurait à rattacher
directement la Fonction d’audit au comité, risquant d’altérer par là même les relations
avec la direction générale. Et Xavier de PHILY ne dit pas autre chose lorsqu’il écrit «
l’auditeur interne travaille pour la direction générale tout en répondant aux questions
du comité d’audit, en informant cette dernière au préalable bien sûr, il lui faudra
démontrer une extrême rigueur dans son travail pour être apprécié des deux parties…

1
Renard J. (2010), Op.cit, P440-443.
16
Chapitre I : Cadre de référence de l’audit interne

»1. Il y a là, ce n’est pas douteux, un équilibre délicat à trouver pour les auditeurs
internes qui devront (doivent déjà) à la fois :

 Continuer à être les interlocuteurs de la direction, signalant forces et faiblesses, attirant


l’attention sur les défaillances réelles ou potentielles, et ce sans avoir ni à se cacher ni
à minimiser leurs constats ;
 Et dans le même temps, être à la disposition du comité pour fournir tous
renseignements et informations sans rétention ni déformation, et ce dans un climat de
transparence envers la direction générale. Le comité d’audit doit être destinataire des
rapports de l’audit interne ou de leur synthèse.

Section 2 : L’audit interne et ses fonctions voisines :

Il y a plusieurs fonctions et activités qui se rapprochent du domaine d'application


de l'audit interne, telles que le contrôle de gestion, l'inspection, le conseil externe et
l'audit légal (commissariat aux comptes). Cette section a pour objectif de distinguer la
fonction d'audit interne des autres fonctions en présentant les similitudes et les
différences entre elles.

1 L’Audit interne et le Contrôle de gestion :


L’audit interne et le contrôle de gestion sont des fonctions internes de conseil
dans l’entreprise, il y a encore peu de temps, nombreux sont ceux qui discernaient mal
la frontière entre les deux fonctions. Une des causes tient sans doute au fait qu'elles ont
suivi des évolutions comparables.
De même que l'audit interne est passé du simple contrôle comptable à
l'assistance au management dans la maîtrise des opérations, de même le contrôle de
gestion de la simple analyse des coûts au contrôle budgétaire puis à un véritable pilotage
de l'entreprise.
Le contrôle de gestion désigne « un ensemble de dispositifs utilisant les systèmes
d’information et qui visent à assurer la cohérence des actions des managers »2. Certains

1
Cherif M. et Madagh S. (06/07 Mai 2012), L’audit interne au cœur de la dynamique de la gouvernance
d’entreprise : Lectures théoriques et enjeux pratiques, Colloque national sur : ‫حوكمة الشركات كحد من الفساد المالي و‬
‫اإلداري‬, Laboratoire Finances, Banque et Management, Biskra.
2
Bouquin H. (2006), Le contrôle de gestion, édition PUF, Paris, p9.
17
Chapitre I : Cadre de référence de l’audit interne

égards les fonctions d’audit interne et de contrôle de gestion sont comparables. Les
principales ressemblances peuvent être résumées dans les points suivants 1 :
- Les deux fonctions « audit interne et de contrôle de gestion » s’intéressent à toutes
les fonctions de l’entreprise. A cet effet, elles sont généralement rattachées au plus haut
niveau hiérarchique (la direction générale voire le conseil d’administration).
- Comme l’auditeur interne, le contrôleur de gestion n’est pas opérationnel mais un
conseiller dont le travail consiste à formuler des recommandations, des conseils, des
orientations (il s’agit donc de consultants internes).
- Ces deux fonctions sont relativement récentes et ont suivi des évolutions
comparables, " progressivement l'audit interne et le contrôle de gestion dépassent l'état
de simples directions fonctionnelles au profit d'une aide à l'optimisation de l'entreprise"
Par ailleurs, les fonctions d’audit interne et de contrôle de gestion présentent
certaines différences, que l’on peut résumer à travers les points suivants :

- Alors que l’auditeur interne exerce des missions ponctuelles selon un programme
préétabli annuellement en général. Les interventions du contrôleur de gestion dépendent
des résultats de l’entreprise et de la périodicité du reporting.
- L’auditeur interne est mandaté par la direction générale (ou par le comité d’audit au
niveau du conseil d’administration), tandis que le contrôleur de gestion assure
l’interface entre la direction et les responsables opérationnels.

Le contrôleur de gestion s’intéresse essentiellement aux résultats, dans le cadre de


sa mission il compare les performances aux objectifs, et corrige les objectifs par rapport
aux moyens. La mission du contrôleur de gestion revient à : vérifier que les objectifs
fixés par les managers sont bien suivis, conseiller les responsables opérationnels, donner
son avis à la direction sur le choix des objectifs qui sous-tendent la stratégie.

 L’auditeur interne va au-delà de cette dimension en s’intéressant davantage aux


procédures, sa mission consiste en l’évaluation des procédures de contrôle interne. Il
n’est pas responsable des systèmes d’information et du pilotage permanent.
 L’auditeur interne et le contrôleur de gestion utilisent des méthodes de travail
différentes. Le contrôle de gestion propose, élabore et met en place des outils de gestion

1
Dayan A. (2004), Manuel de gestion, édition Ellipses, volume 2, Paris, p 823-825
18
Chapitre I : Cadre de référence de l’audit interne

(comptabilité de gestion, contrôle et gestion budgétaires, tableau de bord, reporting,


…etc.) dans le but de maîtriser, suivre et analyser les activités de l’entreprise.
 Le contrôleur de gestion s’intéresse plus à l’information chiffrée et chiffrable. L’audit
interne va au-delà de cette dimension et intègre les domaines de la sécurité, de la
qualité, des relations sociales…etc. L’auditeur interne se rend sur le lieu de travail pour
observer, écouter, faire des rapprochements, des sondages, …etc.
Il n’en reste pas moins que les fonctions d’audit interne et de contrôle de gestion
sont complémentaire. Le contrôleur de gestion aide l’auditeur interne à détecter les
dysfonctionnements et orienter en conséquence son programme de travail. Aussi, le
travail du contrôleur de gestion est d’autant plus efficace que les procédures, outils et
méthodes utilisés sont efficaces et que les directives et orientations de la direction sont
suivies et respectées.

2 Audit interne et l’Inspection :

Comme l’auditeur interne, l’inspecteur est membre à part entière du personnel de


l’entreprise. La différence entre les deux métiers réside dans la méthodologie de leur
travail. Prenons l’exemple d’un caissier qui a laissé un trou dans sa caisse. L’auditeur
interne et l’inspecteur interviennent tous les deux pour expliquer ce trou financier.

- L’inspecteur chargé de contrôler la bonne application des règles et directives par les
exécutants, effectue une analyse exhaustive des opérations du caissier permettant de
vérifier ou de justifier un solde sans les n’interpréter ni les remettre en cause. Cette
analyse exhaustive devrait déboucher sur la découverte d’une erreur ou d’une
malversation. L’auditeur interne lui intervient en phase finale d’exécution et évalue le
degré de maitrise.
- L’inspecteur va sanctionner ou donne son avis sur la sanction du comptable, tandis que
la mission d’audit interne débauche aux conseils et recommandations.
- L’inspecteur enquête pour retrouver l’argent disparu. Enfin, il procède aux écritures et
mesures de redressement (concordance entre les écritures comptables et les espèces en
caisse). Tandis que l’auditeur interne recommande les modifications à apporter au
dispositif de contrôle interne, pour améliorer son efficacité.
- L'inspecteur peut faire sa mission, soit de lui-même soit encore à la demande de la
hiérarchie, tandis qu'un auditeur interne doit recevoir le mandat de la direction générale.
19
Chapitre I : Cadre de référence de l’audit interne

3 L’Audit interne et Consultant externe :

Le consultant est un professionnel extérieur à l’entreprise qui fait appel à ses


compétences. En règle générale, l’entreprise sollicite le consultant afin d’obtenir un avis
qualifié sur un sujet particulier ou de l’aide pour résoudre un problème précis. Le
consultant est donc un prestataire de services en conseil. Le consultant externe dispose
souvent de connaissances sur d’autres entreprises semblables, ce qui lui sert de
référentiel pour enrichir ses analyses. Il fournit donc de la matière grise. Son champ
d’intervention englobe tous les besoins de l’entreprise (les études diagnostiques, la
planification stratégique, le conseil en organisation, la gestion des ressources humaines,
la gestion financières, la communication, le marketing, etc.). De cette description il
ressort que, par rapport à l’audit interne, la mission du consultant externe est limitée
dans le temps. Il est quémandé pour un problème particulier relatif à une compétence
technique spécifique. Par ailleurs, l’entreprise peut faire appel à un consultant externe
pour évaluer l’efficacité de son service d’audit interne.

4 L’audit interne et l’audit externe :

L’audit externe est un examen critique exercé en Algérie par un professionnel


indépendant appelé commissaire aux comptes dont la mission est de certifier la
régularité, la sincérité et l’image fidèle des comptes et états financiers. La profession
d’audit légal est encadrée par un ensemble de lois, règlements et normes
professionnelles qui régissent l’accès à la profession, les conditions d’exercice de la
mission, son comportement et sa déontologie et les vérifications spécifiques. L’audit des
états financiers a pour objectif de permettre à l’auditeur légal d’exprimer une opinion
selon laquelle les états financiers ont été établis, dans tous leurs aspects significatifs,
conformément au référentiel comptable. Suivant Jaques Renard, les point ci-après
résument la différence entre l’audit interne et l’audit légal :

Statut de l’auditeur : l’auditeur interne est défini par la charte d’audit. Il s’agit
d’un document interne à l’entreprise qui définit la mission de l’auditeur interne, ses
pouvoirs et ses responsabilités. La charte précise la position hiérarchique de l’audit
interne et donne l’autorisation pour l’accès aux documents, aux biens et aux personnes
nécessaires à la bonne réalisation des missions. La charte d’audit interne est approuvée
par la direction générale ou le comité d’audit (conseil d’administration). Celui de
20
Chapitre I : Cadre de référence de l’audit interne

l’auditeur légal est défini dans un cadre réglementaire. Il est un prestataire de services
juridiquement et statutairement indépendant. Il s’agit d’un professionnel libéral.

Les objectifs d’audit : L’auditeur légal s’enquiert de la régularité, la sincérité et


l’image fidèle des états financiers. A cet effet, il s’intéresse davantage aux procédures
de contrôle interne de la fonction finance et comptabilité. L’objectif de l’auditeur
interne est plus large, il s’enquiert de la bonne maîtrise des activités de l’entreprise. A
cet effet, il examine tous les dispositifs de contrôle interne. Aussi, la nature de la
mission de l’auditeur légal fait qu’il intervient de façon intermittente pour la
certification des comptes. Contrairement à l’auditeur interne qui travaille de manière
permanente au sein de son entreprise.

Le bénéficiaire d’audit : les rapports de l’auditeur légal sont rendus publiques,


particulièrement lorsque l’entreprise est cotée en bourse. Dans ce sens, l’audit légal
répond aux besoins en informations des actionnaires de l’entreprise, des autorités de
surveillance boursière, des banquiers et autres créanciers et des investisseurs potentiels.
Quant aux rapports d’audit interne, ils sont destinés à un usage interne.

Section 3 : Les normes de l’audit interne de l’IIA

Les normes internationales pour la pratique professionnelle de l'audit interne, approuvées


officiellement par l'IIA en 1978, sont devenues un référentiel crucial et incontournable pour
aider les auditeurs internes à s'acquitter de leur responsabilité, quel que soit le contexte
juridique et culturel dans lequel ils exercent.

1 Le Code de déontologie :
Compte tenu de la confiance placée en l’audit interne pour donner une assurance objective sur
les processus de gouvernance, de management des risques, et de contrôle, il était nécessaire
que la profession se dote d’un tel code. Le Code de déontologie1 va au-delà de la Définition
de l’audit interne et inclut deux composantes essentielles :

 Des principes pertinents pour la profession et pour la pratique de l’audit interne ;

1
Il a été publié en 1968 sous l’autorité du conseil d’administration de l’IIA et à été révisé en 1988 et 2000.
21
Chapitre I : Cadre de référence de l’audit interne

 Des règles de conduite décrivant les normes de comportement attendues des auditeurs
internes.

Ces règles sont une aide à la mise en œuvre pratique des principes et ont pour but de guider la conduite
éthique des auditeurs internes. On désigne par « auditeurs internes » les membres de l’Institut, les
titulaires de certification professionnelles de l’IIA ou les candidats à celles-ci, ainsi que les personnes
proposant des services entrant dans le cadre de la Définition de l’audit interne.

Il est attendu des auditeurs internes qu’ils respectent et appliquent les principes fondamentaux
suivants:

 L’intégrité : les règles de conduite associées au principe d’intégrité énoncent que les
auditeurs internes :
- Doivent accomplir leur mission avec honnêteté, diligence et responsabilité ;
- Doivent respecter la loi et faire des révélations requises par les lois et
les règles de la profession ;
- Ne doivent pas sciemment prendre part à des activités illégales ou
s’engager dans des actes déshonorants pour la profession d’audit interne ou
leur organisation ;
- Respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.
 La compétence : les règles de conduite associées au principe de
compétence énoncent que les auditeurs internes :
- Ne doivent s’engager uniquement dans des travaux pour lesquels
ils ont les connaissances, le savoir-faire et l’expérience nécessaires ;
- Doivent réaliser leurs travaux d’audit interne dans le respect
des normes internationales de l’audit interne ;
- Ne doivent s’efforcer d’améliorer continuellement leur compétence,
l’efficacité et la qualité de leurs travaux.
 L’objectivité : les règles de conduite associées au principe d’objectivité énoncent que
les auditeurs internes :
- Ne doivent pas prendre part à des activités ou établir des relations
qui pourraient compromettre ou risquer de compromettre le caractère
impartial de son jugement ;
- Ne doit rien accepter qui pourrait compromettre ou risquer de
compromettre son jugement professionnel ;
- Doivent révéler tous les faits matériels dont il a connaissance et qui, s’ils
22
Chapitre I : Cadre de référence de l’audit interne

n’étaient pas révélés, auraient pour conséquence de fausser le rapport


sur les activités examinées.
 La confidentialité : les règles de conduite associées au principe de
confidentialité énoncent que les auditeurs internes doivent :

- Utiliser avec prudence et protéger les informations recueillies dans le cadre


de leurs activités ;
- Ne pas utiliser ces informations pour en retirer un bénéfice personnel, ou
d’une manière qui contreviendrait aux dispositions légales, ou porterait
préjudice aux objectifs éthiques et légitimes de leur organisation.

2 Les normes internationales pour la pratique professionnelle de l’audit


interne :
L’élaboration des normes est un processus continu mené par l’IASB (The
Internal Auditing Standards Board).1 Ce dernier mène une large consultation à
l’échelle internationale, avant la publication des normes, des avant-projets sont
soumis au plan international pour commentaires publics. Les Normes sont des
principes obligatoires constituées : de déclarations sur les conditions
fondamentales pour la pratique professionnelle de l’audit interne et pour
l’évaluation de sa performance. Elles sont internationales et applicables tant au
niveau du service qu’au niveau individuel ; et d’interprétations clarifiant les
termes et les concepts utilisés dans les déclarations. Lorsque la législation ou la
réglementation empêchent les auditeurs internes ou l’audit interne de respecter
certaines dispositions des Normes, il est nécessaire d’en respecter les autres
dispositions et de procéder à une communication appropriée.

Les normes se composent de trois familles de normes : les normes de


qualification, les normes de fonctionnement et les normes de mise en œuvre.
Selon la traduction de L’IFACI (2009) les normes ont pour objet de2 :

1
L’IASB (The Internal Auditing Standards Board) est un organe de l’IIA (Institute of Internal Auditors)
dont le travail est d’élaborer et de diffuser (après consultation internationale) les normes internationales
de l’audit interne.
2
IFACI (2009), Normes internationales pour la pratique professionnelle de l’audit interne,
Institut Français de l’Audit et du Contrôle Internes, Paris.
23
Chapitre I : Cadre de référence de l’audit interne

- Définir les principes fondamentaux de la pratique de l’audit interne ;

- Fournir un cadre de référence pour la réalisation et la promotion


d’un large champ d’intervention d’audit interne à valeur ajoutée ;
- Etablir les critères d’appréciation du fonctionnement de l’audit interne ;
- Favoriser l’amélioration des processus organisationnels et des opérations.

Il existe trois types de Normes1 :

- Les Normes de qualification, qui énoncent les caractéristiques que


doivent présenter les organisations et les personnes accomplissant des
missions d’audit interne ;
- Les Normes de fonctionnement, qui décrivent la nature des missions
d’audit interne et définissent des critères de qualité permettant de
mesurer la performance des services fournis ;
- Les Normes de mise en œuvre, qui précisent les Normes de
qualification et les normes de fonctionnement en indiquant les exigences
applicables dans les activités d’assurance ou de conseil.

3 Les modalités pratiques d’application :


Il s’agit des orientations concises quant à la manière d’appliquer les
Normes. Elles traitent des approches, méthodologies et facteurs que l’audit
interne doit prendre en compte, mais n’ont pas pour objet de détailler les
processus et procédures que l’audit interne devrait suivre. Elles peuvent
concerner des missions spécifiques ou préciser des pratiques propres à certaines
régions géographiques ou à certains secteurs. Chaque modalité pratique
d’application est mise en relation, au moyen de son numéro, avec une Norme, et
renvoie également, le cas échéant, au Code de déontologie.

les missions menées par l’audit interne sont planifiées et exécutées, ainsi que la
manière dont leurs résultats sont communiqués.

1
NORMES INTERNATIONALES POUR LA PRATIQUE PROFESSIONNELLE DE L’AUDIT
INTERNE (LES NORMES), Edition 2017.
24
Chapitre I : Cadre de référence de l’audit interne

4 Le cadre conceptuel des normes d’Audit algérienne NAA :1


Les pouvoirs publics se sont attelés depuis mi- 2011, à rédiger les normes algériennes
d’Audit, les NAA, en s’inspirant fortement du référentiel international ISA,
algérianisant certaines dispositions tout en gardant l’essentiel pour garder leur ancrage à
l’international sous forme de décisions du ministère des Finances :
 La décision n°150 du 12 janvier 2014 a pour objet la mise en œuvre des quatre (04)
Normes Algériennes d’Audit ci-après :
1- Normes Algériennes d’Audit (300) : « planification d’un audit d’états
financiers » ;
2- Normes Algériennes d’Audit (500) : « Eléments Probants » ;
3- Normes Algériennes d’Audit (510) : « Missions d’audit initiales -soldes
d’ouverture » ;
4- Normes Algériennes d’Audit (700) : « Fondement de l’opinion et rapport d’audit
sur des états financiers ».
 La décision n°002 du 04 février 2016 a pour objet la mise en œuvre des quatre (04)
Normes Algériennes d’Audit ci-après :
1- Normes Algériennes d’Audit (210) : « Accord sur les termes des missions d’audit » ;
2- Normes Algériennes d’Audit (505) : « confirmations externes » ;

3- Normes Algériennes d’Audit (560) : « évènements postérieurs à la clôture » ;


4- Normes Algériennes d’Audit (580) : « Déclarations écrites ».
 La décision n°23 du 15 Mars 2017 a pour objet la mise en œuvre des quatre (04)
Normes Algériennes d’Audit ci-après :
1- Normes Algériennes d’Audit (520) : « Procédures Analytiques » ;
2- Normes Algériennes d’Audit (570) : « Continuité de l’Exploitation » ;
3- Normes Algériennes d’Audit (610) : « Utilisation des travaux des auditeurs
internes » ;
4- Normes Algériennes d’Audit (620) : « Utilisation des travaux d’un expert désigné
par l’auditeur ».

1
http://www.cn-onec.dz/index.php/component/jdownloads/category/15-les-normes-
algeriennes-d-audit, visité le 06/05/2023 à 09 :34.
25
Chapitre I : Cadre de référence de l’audit interne

 La décision n°70 du 24 Septembre 2018 a pour objet la mise en œuvre des quatre (04)
Normes Algériennes d’Audit ci-après :
1- Normes Algériennes d’Audit (230) : « Documentation d’audit » ;
2- Normes Algériennes d’Audit (501) : « Eléments Probants -caractéristiques
spécifiques » ;
3- Normes Algériennes d’Audit (530) : « Sondages en audit » ;
4- Normes Algériennes d’Audit (540) : « Audit des estimations comptables, y
compris des estimations comptables en juste valeur et des informations fournies les
concernant ».

Section 4 : Généralités sur le contrôle interne

Il est crucial pour une entreprise d'assurer sa pérennité et de poursuivre son


amélioration continue en mettant en place des mesures de sécurité permanentes. C'est la
raison pour laquelle il est important pour toute entreprise de renforcer constamment son
système de contrôle interne, qui sert de rempart contre les éventuelles pratiques non
conformes.

Dans cette section, notre objectif est de présenter les principales définitions du
contrôle interne retenues par la profession, ainsi que ses objectifs, ses différents niveaux
et les parties prenantes impliquées dans sa mise en place.

1 Définition du contrôle interne :


Diverses définitions ont été proposées par les experts en la matière, et nous
souhaitons ici en présenter quelques-unes qui ont obtenu l'adhésion de la plupart des
professionnels du contrôle interne dans le monde.

1.1 Définition de la CNCC (la Compagnie Nationale des Commissaires aux


Comptes) :
« Le contrôle interne est l’ensemble des politiques et procédures mises en œuvre par la
direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse
et efficace des activités. Ces procédures impliquent le respect des politiques de gestion,
la sauvegarde des actifs, la prévention et la détection des fraudes et les erreurs,
26
Chapitre I : Cadre de référence de l’audit interne

l’exhaustivité et l’exactitude des enregistrements comptables et l’établissement en


temps voulu des informations comptables et financières fiables ». 1

1.2 Définition du « Conseil de l’Ordre des Experts Comptables Français » :


« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre, l’application des instructions de la
Direction et de favoriser l’amélioration des performances. Il se manifeste par
l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise,
pour maintenir la pérennité de celle-ci ».2

1.3 Définition de l’IFACI (l’Institut Français de l’Audit et du Contrôle Interne) :


« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures
et d’actions adaptés aux caractéristiques propres de chaque société qui : Contribue à la
maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de
ses ressources, et Doit lui permettre de prendre en compte de manière appropriée les
risques significatifs, qu’ils soient opérationnels, financier ou de conformité». 3

1.4 Definition du COSO1 (Committee Of Sponsoring Organizations of the treadway


commission):
« Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants : (1) la réalisation et
l’optimisation des opérations, (2) la fiabilité des informations financières et (3) la
conformité aux lois et réglementations en vigueur »4

1
Peltier F. (2004), La Corporate Governance au secours des conseils d’administration, Edition Dunod,
Paris, p89.
2
Résultat des travaux du groupe de place établi sous l’égide de l’AMF (Autorité des Marchés
Financier), « ledispositif du contrôle interne : cadre de référence », Janvier 2007, page 3.
3
IFACI, « L’urbanisation du contrôle interne », paris, octobre 2008, page 5.
4
IFACI et PWC (2002), La pratique du contrôle interne : COSO II report, édition d’Organisation,
Institut Français de l’Audit et du Contrôle Interne et Price Waterhouse Cooper, Paris, p32.
27
Chapitre I : Cadre de référence de l’audit interne

Selon Siruguet et Koessler (1998), 1 la traduction littérale du terme anglais « Internal


Control » par « contrôle interne » prête à confusion. En effet, « To control » signifie en
anglais : conserver la maîtrise de quelque chose. Alors qu’en français « contrôler »
signifie : pouvoir d’exercer une action de surveillance sur quelque chose pour la juger
(surveiller et vérifier). Le contrôle interne recouvre la notion large de maîtrise des
activités de l’entreprise Ainsi, le contrôle interne est plutôt préventif que répressif.
L’objet du contrôle interne n’est pas de sanctionner, mais de créer les conditions
optimales et dissuasives aux fraudes, aux gaspillages, aux négligences, aux erreurs et
aux omissions. Le système de contrôle interne doit être désormais conçu comme « un
actif immatériel qui contribue à l’efficacité de l’organisation et protège la capacité de
création de valeur de l’entreprise »2

La figure suivante présente les éléments de base qui constituent le model COSO dont
l’environnement de contrôle qui présente la culture de l’organisation, une évaluation des
risques qui permet de les connaître afin de bien les maitriser, des activités de contrôle
comprend les dispositifs spécifiques, une information et une communication
satisfaisantes, et en fin un pilotage par chaque responsable à son niveau (ce que signifie
que chaque responsable de l’entité assume sa responsabilité).

Figure 2: Pyramid COSO I

Source : http://www.institut-numerique.org/chapitre-2-objectifs-de-laudit-
interne-51a98084edeca Consulté le 06/04/2023 à 12 :45.

1
Siruguet J-L. et Koessler (1998), Le contrôle comptable bancaire, tome 1, édition Banque Editeur, Paris,
p.26.
2
KPMG Americas (2007), the evolving role of the internal auditor: Value, creation andpreservation from
an internal audit perspective, édition KPMG, New York, p85.
28
Chapitre I : Cadre de référence de l’audit interne

2 Les objectifs du contrôle interne :


Le contrôle interne concourt à l’atteinte d’un objectif général qu’est la
réalisation des buts poursuivis par l’entreprise et donc contribuer à sa pérennité.
Pour atteindre cet objectif général, des objectifs permanents sont assignés au
contrôle interne à s’avoir :

- La sécurité des actifs ;


- La qualité et la fiabilité des informations ;
- Le respect des directives ;
- L’optimisation des ressources.

2.1 La sécurité des actifs :


La préservation des actifs et du patrimoine de l’entreprise constitue l’un des
éléments fondamentaux qui conditionnent l’efficacité du système du contrôle
interne. Celui-ci englobe non seulement les immobilisations corporelles de
l’organisation, ses stocks et ses actifs matériels, mais aussi :

Le personnel de l’entreprise qui représente l’acteur fondamental dans le


processus de fonctionnement de toute organisation ;

Les immobilisations incorporelles de l’entreprise telles que l’image de l’entité


qui peut être remise en cause suite à une mauvaise exécution des opérations ;
ainsi que la technologie adoptée par l’organisation et donc ses informations
confidentielles à travers la protection de l’accès aux systèmes d’information et
la prévoyance des moyens de secours en cas d’interruption des services.

2.2 La fiabilité des informations :


Selon le comité de Bâle « un système de contrôle interne efficace nécessite l’existence
de données internes adéquates et exhaustives – d’ordre financier, opérationnel ou ayant
trait au respect de la conformité – ainsi que d’informations de marché extérieures sur les
événements et conditions intéressant la prise de décision. Ces données et informations
devraient être fiables, récentes, accessibles et présentées sous une forme cohérente »1.

1
Comité de Bâle sur le contrôle bancaire, cadre pour les systèmes de contrôle dans les organisations bancaires,
Bâle, septembre 1998, principes pour l’évaluation du contrôle interne, principe N° 7, P17.
29
Chapitre I : Cadre de référence de l’audit interne

Ce principe met l’accent sur quatre notions fondamentales à savoir : la fiabilité,


l’exhaustivité, la disponibilité et la pertinence :

- La fiabilité des informations : selon le comité de Bâle « les données reçues


par la Direction, le conseil d’administration, les actionnaires et les autorités
de contrôle devraient être d’une qualité et d’une intégrité suffisante pour
que leurs bénéficiaires puissent s’y fonder leurs décisions » 1
- L’exhaustivité : les informations dont dispose l’entreprise, doivent être
complètes, exactes et mises à jour afin de permettre aux utilisateurs
d’avoir une vision claire sur les affaires de la société, sur sa situation et
sur les risques auxquels elle s’expose ; La disponibilité : l’information
conditionne les choix stratégiques et la prise de décision dans
l’organisation, d’où l’importance de disposer, immédiatement et en
permanence, de l’information nécessaire ;
- La pertinence : les informations fournies, à l’intérieure ou à l’extérieure de
l’organisation, doivent être valables à tous les niveaux, pour rendre plus
efficace la gestion et le contrôle de toutes leurs activités.

2.3 Le respect des directives :


Cette tâche se traduit par la conformité des opérations réalisées par
l’organisation aux directives internes et externes, il s’agit notamment des lois,
des règlementations, des instructions, des procédures, des politiques …etc.

Pour ce faire, l’entreprise doit prendre connaissance des diverses règles qui lui
sont applicables et des modifications qui leurs sont apportées, mais aussi, elle
doit transcrire ces règles dans ses propres procédures internes.

2.4 L’optimisation des ressources :


Il s’agit de l’utilisation efficace et efficiente des ressources dont dispose
l’entreprise (humaines, techniques, matérielles…etc.) qui lui permettra de
prospérer.

1
Comité de Bâle sur le contrôle bancaire, op.cit., point 6, p8.
30
Chapitre I : Cadre de référence de l’audit interne

3 Cadre de référence du contrôle interne1 :


Le contrôle interne est devenu un point de passage obligé, incontournable face aux
exigences réglementaires croissantes et à la pression des contrôleurs externes
(certificateurs, auditsexterne, cours des comptes…).
Introduit dans les années 80, le contrôle interne à véritablement pris un essor dans les
années 2000 à la suite des nombreux scandales financiers et comptables. De nouvelles
lois et réglementations ont été instaurées (Loi de la Sécurité Financière (LSF),
Sarbanes-Oxley Act (SOX), 4e, 7e et 8e Directives européennes…), imposant aux
organisations une nouvelle gouvernance et une meilleure communication en matière de
gestion des risques et contrôle interne. Ces textes imposent l’utilisation d’un cadre
conceptuel mais ne citent aucun référentiel. Des standards français ont été développés
en France (ordre des experts comptables en 1977 et l’autorité des marchés financiers en
2006). Cependant, le COSO reste, en matière de contrôle interne et de management des
risques, le référentiel le plus couramment utilisé. Il propose un cadre conceptuel et un
guide méthodologique.
Selon Sarbanes-Oxley, votée aux Etats Unis en 2002, a exigé que l’auditeur rende son
avis quant à l’efficacité du système de contrôle interne des entreprises2.De plus, l’article
404 de cette loi exige que le directeur général et le directeur financier s’engagent à la
mise en œuvre d’une structure adéquate de contrôle interne et de procédures de
reporting financier, et procéder à une évaluation de son efficacité au regard d’un modèle
de contrôle interne reconnu.
Pour la mise en œuvre de cette section 404, la Securities and Exchange Commission
(SEC) et le Public Company Accounting Oversight Board (PCAOB) ont fortement
recommandé aux entreprises américaines et étrangères cotées à New York d’adopter un
référentiel de contrôle interne, intitulé « Internal Control-Integrated Framwark », plus
connu sous l’appellation de COSO, acronyme de « Committee of Sponsoring
Organisations of the Treadway Commission
» et publié en 1992. De ce fait, le COSO s’est étendu aux entreprises étrangères
notamment françaises cotées à New York.

Il est toutefois admis que l’on peut utiliser tout autre cadre s’il a été établi par un corps
d’experts, a été débattu publiquement et s’il intègre des éléments qui englobent tous les

1
Chekroun Meriem. (2013), Op.cit, p115-117.
31
Chapitre I : Cadre de référence de l’audit interne

thèmes du COSO. Les recommandations sur le contrôle interne publiées en 1995 par
l’institut canadien des comptables agréés (ICCA) et connu sous le nom de COCO, et
l’Internal Control Guidance for Directors on the Combined Code, développé en 1999
par l’Institut des Experts- Comptables d’Angleterre et du pays de Galle, communément
appelé le Turnbull Guidance ou Turnbull, semblent répondre aux exigences du PCAOB
et de la SEC. Le COBIT, cadre de contrôle interne des systèmes d’information (SI), est
spécifiquement conçu pour donner des orientations sur l’élaboration et l’évaluation de la
bonne gouvernance relative aux technologies de l’information. Il complète le COSO, le
COCO et le rapport Turnbull concernant les contrôles des SI, mais ne constitue pas en
tant que tel un cadre complet de contrôle interne. Malgré l’émergence de deux
référentiels (COCO et Turnbull), la plupart des entreprises anglaises et canadiennes
soumises au SOX, ont choisi le SOX comme un cadre de référence.

Ainsi la France, comme d’autres pays européens, s’est dotée- le 1er août 2003- d’un
cadre législatif comparable avec la loi Sarbanes Oxley qui, selon les autorités françaises,
était « une réponse, à la fois politique et technique, à la crise de confiance dans les
mécanismes du marché et aux insuffisances de régulation dont le monde économique et
financier a pris connaissance depuis deux ans ». Son article 117 crée l’obligation pour le
président du conseil d’administration ou du conseil de surveillance de rendre compte
des procédures de contrôle interne mises en place par la société.

En avril 2005, un groupe de Place a été créé en France, à l'initiative de l'Autorité des
Marchés Financiers (AMF), pour élaborer un cadre de référence de Contrôle Interne
pour les sociétés faisant appel public à l'épargne. Basé sur des principes généraux, ce
cadre de référence est compatible avec le référentiel américain COSO.

Pour ce qui est du cadre de référence (CDR) de l’AMF, il a été rédigé par les
représentants des entreprises (MEDEF, AFEP, Middlenext) et des institutions
comptables (CNCC et CSOEC) et par des personnalités qualifiées appartenant
notamment à l’IFA, l’IFACI, l’AMRAE et aux « big four ».

En ce qui concerne les lois SOX et LSF, nous avons jugé opportun de mettre en
évidence la différence et la similitude entre la loi SOX et LSF pour mieux éclaircir les
choses et montrer leurs répercussions sur le système de contrôle interne.
32
Chapitre I : Cadre de référence de l’audit interne

4 Les types de contrôle interne :


Les nombreux types de contrôles sont souvent distingués selon leur finalité. Selon K H
Spencer Pickett, les principaux contrôles revêtent quatre formes qui se représentent
comme suit 1 : directif, préventif, détectif, correctif

4.1 Un contrôle préventif :


est un contrôle préalable destiné à empêcher la survenance d’un événement non
voulu tout en s’appuyant sur un environnement de contrôle favorable. Parmi les
exemples de contrôles préventifs, on peut citer les contrôles de l’accès physique et
logique, comme : les portes fermées à clés et les identifiants utilisateurs assortis de mots
de passe spécifiques (un personnel compétent, la séparation des fonctions.

4.2 Un contrôle détectif :


Ce contrôle est conçu pour mettre en évidence des événements indésirables qui
n’ont pas été empêchées par le contrôle préventif. Pour être jugé efficace, ce contrôle
doit être mis en œuvre rapidement (avant que l’événement indésirable ait un effet
négatif inacceptable sur l’organisation). On peut citer les caméras de sécurité qui
permettent de repérer les accès physiques non autorisés ou l’examen des journaux
informatiques qui dressent la liste des tentatives d’intrusion.

Etant donné la nature dynamique et la complexité des opérations de l’entreprise au


jour le jour, il est plus difficile de concevoir un contrôle préventif économique et
efficient. C’est pourquoi la plupart des organisations combinent contrôles préventifs et
contrôles détectifs pour établir un système de contrôle interne qui soit à la fois efficace
et efficient.

4.3 Un contrôle correctif (ou a postériori) :


remédie à des omissions ou à des erreurs décelées. Cette catégorie de contrôle
consiste à identifier des mesures de rectification pour faire face aux problèmes déjà
identifiés. En d’autres termes, il s’agit de corriger les erreurs découvertes par les
contrôles détectifs et de modifier le déroulement opérationnel afin de réduire le nombre
d'occurrences futures d'un problème et l’impact de la menace, on cite à titre d’exemple

1
Spencer Pickett KH, « The internal auditing Handbook”, Third Edition Wiley, British, 2010, p 275.
33
Chapitre I : Cadre de référence de l’audit interne

le rapport d’audit interne1, Le rejet de paiement en double mis en évidence par le


système de décaissements constitue un exemple de contrôle correctif.

4.4 Un contrôle directif :


donne une orientation explicite quant aux mesures à prendre pour provoquer ou
encourager la survenance d’un événement souhaitable. Ainsi, Ce type de contrôle
permet de s’assurer que la gestion de l’entreprise est bonne et qu’elle va conduire à la
réalisation des objectifs. Ce contrôle englobe des mécanismes positifs qui motivent et
orientent le personnel de l’entreprise pour faire de bons progrès, à titre d’exemple des
formations de sensibilisation du personnel. Par exemple, les instructions d’assemblage
d’un produit donnent des orientations aux personnes chargées du processus de
production. Tout d’abord la loi LSF est une loi française, alors que SOX est une loi
américaine, En outre, la loi LSF est apparue le 1 aout 2003, alors que la loi SOX est
apparue le 30 juillet 2002. Le tableau qui figure ci-après ajoute d’autres informations
sur la différence entre les deux lois.

1
Chekroun Meriem (2013), Op.cit, p 136.
34
Chapitre I : Cadre de référence de l’audit interne

Tableau 2 : comparaison entre des régimes français et américain

Source : Le Maux. J, Alloul. A (2005), « L’obligation de communication sur le


contrôle interne : étude de cas français », p 77.
35
Chapitre I : Cadre de référence de l’audit interne

5 Les niveaux du système de contrôle interne :


L’efficacité du contrôle interne est tributaire de la manière avec laquelle les
opérationnels, à tous niveaux, exécutent leur travail avec conscience, implication, sens
de la qualité et de l’intérêt de l’organisation, éthique et discipline ainsi que de la qualité
des procédures et les méthodes mises à la disposition de l’entreprise. Pour mieux
assimiler le système de contrôle interne, il est nécessaire de le structurer selon trois
niveaux1 :

 Niveau 1 : le contrôle du premier niveau se manifeste par l’organisation, les méthodes


et les procédures. Ce premier niveau constitue le référentiel sur lequel va s’appuyer
l’auditeur interne afin de faciliter la détection des risques d’erreur ou de fraude, ce qui
permet également de découvrir et de corriger promptement les situations anormales.
Le contrôle du premier niveau est réalisé par les membres du personnel car ils sont
bien placés pour identifier au cours de leurs activités quotidiennes des problèmes qui
appellent des réponses qui sont de l’ordre du contrôle interne.

 Niveau 2 : le contrôle du deuxième niveau est effectué par les responsables aux
échelons élevés, c'est-à-dire par ceux qui n’ayant pas exercé eux-mêmes les opérations
dans le but de renforcer la transparence. A cet effet, chaque responsable a pour mission
dans le cadre de ses responsabilités de management d’effectuer des contrôles réguliers
qui doivent être formalisés pour ne pas laisser place à aucune ambiguïté. Lors du
contrôle de second niveau, les responsables utilisent un ensemble de techniques qui
facilitent leurs missions à titre d’exemple : l’enquête, le questionnaire ainsi que la
communication.
 Niveau 3 : le contrôle de troisième niveau est effectué par les auditeurs internes en vue
de s’assurer de l’efficacité du premier et deuxième niveau et d’apporter plus
d’éclairage sur l’ensemble de l’entreprise. Ce troisième niveau de contrôle est
complété par des audits externes qui collaborent notamment avec l’audit interne afin
d’optimiser les missions d’audit et de promouvoir la transparence car la proximité des
auditeurs internes au personnel et leur ancienneté permettent d’interdire parfois la
critique motivée par la crainte ou par la sympathie.

1
A. Sardi (2002), « Audit et contrôle interne bancaire », édition AFGEE, Paris, P 60.
36
Chapitre I : Cadre de référence de l’audit interne

Conclusion

Ce premier chapitre a permis de comprendre les notions fondamentales de l'audit interne.


Nous retenons de la définition de l'IIA (Institute of Internal Auditors) que l'audit interne est
une activité indépendante au sein des organisations, visant à assister le management de
l'entreprise en mettant en place les dispositifs nécessaires à son bon fonctionnement. Ainsi,
l'objectif principal de l'audit interne est de fournir une évaluation continue du dispositif de
contrôle interne de l'entreprise.
Le code de conduite développé par l'IIA énonce les principes éthiques et les règles de
conduite applicables à la pratique de l'audit interne. Les normes de qualification définissent
les caractéristiques que doivent posséder le service d'audit interne et les auditeurs internes.
Les normes de fonctionnement fournissent des directives de référence sur la gestion de l'audit
interne. Les normes de mise en œuvre détaillent les normes de qualification et les normes de
fonctionnement en fournissant des orientations spécifiques.

L'audit interne est devenu indispensable dans les organisations, en raison de son rôle crucial
dans la gestion des opérations et des risques encourus. Afin de remplir ses missions de
manière efficace, l'auditeur interne doit adopter une méthodologie rigoureuse pour identifier
les problèmes et les anomalies liés aux processus opérationnels, de gestion des risques, de
contrôle et de gouvernance d'entreprise. Il doit également mesurer leur impact et formuler des
recommandations pour améliorer leur fonctionnement.
Chapitre II : Le management des
risques et la cartographie des
risques.
Chapitre II : Le management des risques cartographie des risques 38

Introduction :

La cartographie des risques est une approche qui vise à repérer, évaluer, classer
et gérer les risques associés aux activités d'une entreprise. Elle est essentielle pour la
supervision des risques et constitue la base de la stratégie de gestion des risques. Les
organisations ont recours à la cartographie des risques pour appréhender les facteurs qui
peuvent impacter leurs activités et leur performance, dans le but de se prémunir contre
les conséquences juridiques, humaines, économiques et financières d'une vigilance
insuffisante. Cette pratique leur permet de mieux connaître et donc de mieux maîtriser
leurs risques. Elle contribue également à la sécurité des écosystèmes et des modèles
économiques, car elle nécessite de comprendre l'ensemble des processus managériaux,
opérationnels et support que les activités requièrent, ainsi que d'identifierles rôles et
responsabilités de chaque acteur à chaque étape des processus.

Ce chapitre sera donc consacré dans une première section à la présentation du


cadre conceptuel de management des risques, la deuxième section présentera la
méthodologie de management des risques, la troisième section se déroulera sur des
généralités sur la cartographie des risques, et met en avant ses objectifs, ses
intervenants, ses typologies et les différentes approches d’élaboration, et enfin, il y a
lieu de présenter la méthodologie d’élaboration d’une cartographie des risques , qui va
nous donner une idée sur l’objectif et les différents intervenants dans la démarche.
Chapitre II : Le management des risques cartographie des risques 39

Section1 : cadre conceptuel de management des risques

De nombreux facteurs peuvent, qu’ils soient internes ou externes à l’entreprise, menacer la


pérennité d’une organisation. Afin d’anticiper et de réduire l’impact de ces différents aléas, il
existe une stratégie : le management des risques 1.

1 Notion du risque :
Le risque aujourd’hui est le maitre mot des managers, qu’ils agissent dans la
sphère commerciales, financière, sociale ou de production. Les décideurs ont
appris à incorporer le risque dans leurs décisions. Ils ont inventé des modèles
d’analyses faisant du risque une variable essentielle.

1.1 Historique2 :
Le risque n’est pas un phénomène récent, ni un axe inédit pour aborder la gestion
d’une entreprise. Historiquement, dès les IIIe et II siècles avant J.C., les
négociants chinois et babyloniens recouraient à des pratiques de transfert et de
répartition des risques. Ce sont les Grecs et les Romains qui ont introduit les
premières formes d’assurance-maladie et d’assurance-vie. Tout comme
l’assurance, les banques et autres établissements financiers ont toujours été
confrontés au risque dans tous les aspects de leurs activités. On trouve mention de
prêts au XVIIIe siècle avant J.C. à Babylone, concédés par des prêtres des
temples à des marchands. Quant aux empires grec et romain, ils ont contribué à
faire évoluer les pratiques bancaires des prêts, des dépôts et du change. Les
banques utilisent le concept de risque pour déterminer les taux qu’ils peuvent
appliquer aux prêts en fonction de leur propre cout de financement et de la
probabilité de défaut.

Le terme « risque » trouvait tout d’abord son origine dans le mot latin « resecare
», qui a donné l’italien « rischiare », verbe qui signifie « oser » ; il s’agit de faire
des choix dans des conditions incertaines, plutôt que de s’en remettre au destin.

1
Management du risque : définition et mise en place (wayden.fr), consulté le 06/04/2023 à 18 :54.
2
Manuel d'audit interne (2011), Améliorer l'efficacité de la gouvernance, du contrôle interne et du
management des risques, Institut Français de l’Audit et du Contrôle Interne, Paris, p4-2.
Chapitre II : Le management des risques cartographie des risques 40

1.2 Définitions :
Le risque est un danger éventuel, plus ou moins prévisible, inhérent à une situation ou à
une activité. Le risque est aussi l'effet de l'incertitude sur un résultat escompté, qui peut
être un écart, positif ou négatif, par rapport à une attente ou aux objectifs fixés. Le
risque est enfin une éventualité d'un événement futur, incertain ou d'un terme
indéterminé, qui peut causer la perte d'un objet ou tout autre dommage. Le risque peut
être avéré, émergent ou futur, et mesuré par la probabilité qu'il se réalise. Le risque peut
être subi ou exploré, et faire l'objet d'une assurance ou d'une prévention 1.

Cependant, alors que, littéralement, le « risque » reste indissociable du concept


danger ou fait dommageable – pouvant compter aussi des aspects non quantifiables
(humains, émotionnels, psychologiques, …etc.) 2.
Pour qu’il ait risque, doivent être présent conjointement, un danger et une
incertitude. Parler de risque c’est faire référence à la confrontation à un danger
incertain, susceptible de se produire. L’IIA et l’IFACI, dans le glossaire des normes
définissent le risque comme «la possibilité qu’un événement se produise et ait une
incidence défavorable sur la réalisation des objectifs ». De cette définition du risque
proposée par le COSO, on peut dégager un certain nombre de points clés
fondamentaux3 :

- Le risque commence avec la formulation de la stratégie et la définition des


objectifs. Une organisation mène ses activités dans le but d’exécuter des stratégies
et d’atteindre des objectifs précis, et les risques correspondent aux obstacles à la
réalisation de ces objectifs. En conséquence, puisque chaque organisation a des
stratégies et des objectifs différents, chacune sera confrontée à des risques propres.
- Le risque ne représente pas une estimation à un moment précis (par exemple
l’issue la plus probable), mais plutôt un éventail d’issues possibles. Parceque de
nombreuses issues différentes sont possible, l’idée d’éventail est ce qui crée
l’incertitude lorsque l’on cherche à comprendre et à évaluer les risques.

- La notion du risque peut renvoyer à la volonté d’empêcher que des événements


négatifs ne surviennent (réduction des risques). Ou la capacité de faire en sorte que

1
Comment définir le risque ? www.Ineris.fr, consulté le 06/04/2023 à 19 :08.
2
Fella TABBECH, (2017), Op.cit, p40
3
Idem, p40-41.
Chapitre II : Le management des risques cartographie des risques 41

des choses positives se produisent (c'est-à-dire exploiter des opportunités ou en tirer


parti). La plupart des gens se concentrent sur la première de ces deux idées, par
exemple sur un danger qui doit être écarté ou éliminé. Certes, de nombreux risques
présentent effectivement une menace pour une organisation, mais ne pas aboutir à
une issue positive peur également générer un obstacle à la réalisation d’un objectif,
et consiste donc aussi un risque.
- Les risques sont inhérents à tous les aspects de la vie : partout où il y a de
l’incertitude, il existe un ou plusieurs risques. Les exemples présentés plus haut
dans la section historique montrent comment à évolué la compréhension du risque.
Les risques spécifiquement associés à une organisation selon sa structure ou son
activité commerciale sont généralement appelés risques d’entreprise. Pour le
formuler plus simplement, les incertitudes relatives aux menaces pesant sur la
réalisation des objectifs de l’entreprise sont considérées comme des risques
commerciaux.

1.3 Classification des risques :


Le préalable à toute politique de management des risques dans l’entreprise est
l’identification de ceux-ci. Cette première phase demande l’élaboration d’une
typologie des risques qui peuvent être notamment classés de différentes façons1 :

- Par leur nature : on distingue ainsi les risques purs et les risques spéculatifs ;

- Par leur origine : ils peuvent provenir de l’entreprise elle-même ou


de sonenvironnement ;
- Par leurs conséquences, soit pour l’entreprise soit pour les tiers.

1.3.1 La distinction entre « risques purs » et « risques spéculatifs :


 Les risques spéculatifs : Le risque spéculatif est celui qui provient de la volonté
du chef d’entreprise de réaliser ses objectifs, qui seront souvent l’augmentation de
la richesse ou de la puissance de l’entreprise. Les caractéristiques de ces risques
sont les suivantes :
Ils résultent de l’action du chef d’entreprise. Ils proviennent d’un choix raisonné
s’intégrant dans un projet. La décision face au risque peut être fort différente

1
Marmuse C et Montaigne.X. (1989), Management des risques, edition Vuibert, paris, p 45-56
Chapitre II : Le management des risques cartographie des risques 42

suivant les entreprises, pouvant aller du goût du risque jusqu'à l’aversion totale, en
passant parla neutralité ;
Ils sont mesurables dans leurs effets. L’entreprise peut calculer les résultats
prévisionnels fastes ou néfastes qu’ils provoqueront ;

Ils sont contrôlables et leur traitement résulte de l’application de techniques de


gestion tel le management, la gestion financière, le contrôle de gestion, le
marketing, le droit des affaires…
 Les risques Purs : les risques purs sont la conséquence d’événements accidentels
ou fortuits. Il s’agit de l’action subite de forces extérieures tels les événements de
forces majeure (ouragans, tempêtes, tremblements de terre, inondations…) ou le
comportement « anormal » d’autrui (guerres, attentats, vandalisme…). Etant par
nature un événement indépendant de la volonté de l’entrepreneur, il ne sera pas
facile de le contrôler. C’est la raison pour laquelle son traitement a été
principalement confié aux compagnies d’assurances et à l’Etat dés lors que son
degré de gravité ou sa variabilité serait hors portée de l’assurance.

1.3.2 La distinction des risques selon leur origine :


Risques purs et risques spéculatifs peuvent provenir non seulement du
fonctionnement de l’entreprise mais aussi de son environnement, comme le montre
la Figure ci-dessous :

 L’environnement : source de risque pour l’entreprise :


Si l’origine du risque spéculatif provient la plupart du temps du fonctionnement de
l’entreprise à travers les choix stratégiques effectués, ce type de risque peut
également être généré par l’environnement : concurrence, contrefaçon de brevet,
disparition d’un client important, arrêt d’activité du principal fournisseur,
confiscation des actifs à l’étranger du fait d’une décision des pouvoirs publics,
modification de la réglementation…

Il en est de même pour les risques purs. Certains proviennent de l’extérieur :


Incendies, l’explosion ou dégâts des eaux se communiquant de bâtiments voisins
;les actes de vandalisme, sabotage, vol ; tempête, tremblement de terre…

 L’entreprise : source de risque pour elle-même :


La réalisation des risques purs provient également des différents « centre de risque
Chapitre II : Le management des risques cartographie des risques 43

», qu’ils soient la conséquence du fonctionnement normal ou anormal de


l’entreprise, tels que : les pertes d’informations informatiques, le détournement, les
fraudes et abus de confiance, les erreurs dans la conception, les dommages
électriques…

On peut citer pour les risques spéculatifs l’absence de protection d’un brevet
(fonction

« Études »), le mauvais placement financier, investissement non productif, les


grèves, les conditions d’achat et de recours contre les fournisseurs (fonction achat)

1.3.3 La classification des risques en fonction de leurs conséquences :


Il a été indiqué précédemment que le risque, dans une première définition,
constituait une possibilité de perte. Cette définition amène une typologie basée sur
les conséquences de sa réalisation :

 Les risques affectant les personnes :


Les dommages corporels peuvent affecter les personnes travaillant dans l’entreprise
et constituer ainsi des accidents de travail, mais aussi les tiers et engager ainsi la
responsabilité civile de l’entreprise. Ils peuvent en outre représenter une perte
importante pour l’entreprise du fait de la disparition d’hommes clefs. Ces risques
peuvent provenir du fonctionnement de l’entreprise ou de l’environnement et
résultent soit d’accidents causés par des tiers, soit de l’action des forces de la nature.

 Le risque affectant les biens de l’entreprise :


La réalisation du risque pur est le principal fait générateur de ce type de dommages,
qu’il provienne de l’entreprise elle-même ou de son environnement. Les biens de
l’entreprise soumis au risque sont les bâtiments, le matériel d’exploitation, le
mobilier de bureau, les marchandises mais aussi les archives et supports
d’information, notamment informatiques….

 Le risque touchant la sécurité financière de l’entreprise :


La réalisation des risques spéculatifs se constate directement par une perte
financière pour l’entreprise. La conséquence en est l’accroissement du risque quant
à la pérennité de l’entreprise en cas d’aggravation des pertes par accumulation.
Chapitre II : Le management des risques cartographie des risques 44

Ainsi, la manifestation des risques purs n’entraine pas seulement des dommages
corporels ou matériels. La réussite d’une action de responsabilité civile contre
l’entreprise se traduit par une perte pécuniaire.

2 Définition du management des risques :


Le management des risques de l’entreprise est un processus structuré, cohérent et
continu, opérant dans toute l’organisation qui permet d’identifier et d’évaluer les
risques, de décider des mesures à prendre et de rendre compte des opportunités et
des menaces qui affectent la réalisation des objectifs de l’organisation.
Selon le Committee of Sponsoring organization of the treadway commission
(COSOII report, 2004) prolongement du COSO Report (1992), « The entreprise
Risk Management-Integrated Framework » traduit en français par : « le
management des risques de l’entreprise »1 est défini comme étant « Un processus
mis en œuvre par le Conseil d’administration, la direction générale, le management
et l’ensemble des collaborateurs de l’organisation. Il est pris en compte dans
l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il
est conçu pour identifier les événements potentiels susceptibles d’affecter
l’organisation et pour gérer les risques dans les limites de son appétence au risque.
Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de
l’organisation »2. Il s’agit donc d’une approche rigoureuse de l’évaluation et du
repérage de tous les risques menaçants l’atteinte des objectifs stratégiques3 d’une
organisation et implique tous les membres de l’organisation et ce, à tous les niveaux.
Le COSO II inclut les éléments du COSO I au travers du troisième point et le
complète sur le concept de gestion des risques. Le COSO 2 est basé sur une vision
orientée risque de l’entreprise.
Cette définition contient certains concepts fondamentaux. Le management des risques :

- Est un processus permanent qui irrigue toute l’organisation ;

1
IFACI et PWC (2005), Le management des risques de l’entreprise – cadre de référence – techniques
d’application : COSO II report, édition d’Organisation, Institut Français de l’Audit et du Contrôle Interne
et Price Waterhouse Coopers, Paris, p5

2
IFACI et PWC (2005) , Op.cit, p3
3
Le COSO II report se distingue du COSOI report au niveau des objectifs par la prise en compte dans le
COSO II, des objectifs stratégiques.
Chapitre II : Le management des risques cartographie des risques 45

- Est mis en œuvre par l’ensemble des collaborateurs, à tous les


niveaux del’organisation ;
- Est pris en compte dans l’élaboration de la stratégie ;

- Est mis en œuvre à chaque niveau et dans chaque entité de l’organisation ;

- Permet d’obtenir une vision globale de l’exposition aux risques de l’organisation ;

- Est destiné à identifier les événements potentiel susceptibles d’affecter


l’organisation ;

- Permet de gérer les risques en fonction de l’appétence aux risques de l’organisation :

- Donne à la direction et aux instances de gouvernance une assurance


raisonnable quant à la réalisation des objectifs ;
- Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs
catégories indépendantes susceptible de se recouper.

La notion de « Risk Appetite » désigne la prise de risque acceptée par l’entreprise dans
le but d’accroître sa valeur. L’organisation doit avoir une vision globale des risques
encourus, d’où la notion de « portefeuille de risque ». Celui-ci additionne les risques
supportés par chaque unité opérationnelle et permet de voir si leur addition respecte le
plafond toléré par l’organisation. Le management des risques comprend les éléments
suivants : aligner l’appétence pour le risque avec la stratégie de l’organisation,
développer les modalités de traitement des risques, diminuer les déconvenues et les
pertes opérationnelles, identifier et gérer les multiples et transverses, saisir les
opportunités, améliorer l’utilisation du capital.

3 Pourquoi un management des risques d’entreprise ?


Au début, le système de management des risques consiste à se protéger contre
certains risques notamment opérationnels. Cette approche a montré ses limites au
niveau de la performance des entreprises. En effet, pendant longtemps les études sur
la gouvernance de l’entreprise ont toujours privilégié l’approche financière ou
actionnariale qui privilégie la relation entre les actionnaires et le dirigeant dans le
cadre d’une relation d’agence. Mais face à la complexification de l’environnement
des entreprises et l’irruption de plusieurs acteurs dans la sphère de l‘entreprise,
l’entreprise doit faire face à une diversité des risques qui dépassent le strict cadre
Chapitre II : Le management des risques cartographie des risques 46

financier. D’où la nécessité de recourir à une autre approche partenariale de


l’entreprise. Cette approche partenariale intégrée, est celle qui est aussi privilégiée
par le management des risques. Ainsi, une nouvelle approche du management des
risques a été développée. Elle s’appelle le Management des risques d’entreprise qui
prône une approche intégrée et rigoureuse des risques en évaluant et en localisant
les risques dans toutes les zones qui pourraient avoir un impact sur la stratégie de
l’organisation et ses différents objectifs.

4 Les objectifs du management des risques :


Dans le cadre de la mission de l’organisation ainsi que de sa vision, la
direction fixe divers objectifs qui favorisent la réalisation de la mission,
sont cohérents et se déploient dans toute l’organisation.
Le cadre de référence du management des risques d’entreprise les objectifs d’une
organisationen quatre catégories1 :

- Objectifs stratégiques : objectifs de haut niveau (liés à la stratégie


de l’organisation).Ils sont en lignes avec sa mission et la supportent ;
- Objectifs opérationnels : objectifs vastes visant à l’utilisation
efficace et efficientedes ressources ;
- Objectifs de conformité : objectifs relatifs à la conformité aux
lois et à laréglementation en vigueur ;
- Objectifs de reporting : liés à la fiabilité du reporting.
Ce rattachement des objectifs à différentes catégories permet ainsi au management
de se concentrer sur différents risques organisationnels et non plus sur une seule
catégorie des risques comme dans l’approche traditionnelle. Tout en étant
distinctes, ces catégories se recoupent - un objectif donné peut relever de plusieurs
d’entre elles - et répondent aux divers besoins de l’entreprise. Elles peuvent relever
de la responsabilité directe de différents dirigeants. Ce classement permet
également de définir de façon plus précise les apports possibles pour chaque
catégorie d’objectifs auxquelles certaines entités ajoutent la protection des actifs,
également abordée dans cet ouvrage.

1
IFACI et PWC (2005) , Op.cit, p30.
Chapitre II : Le management des risques cartographie des risques 47

L’organisation ayant le contrôle sur les objectifs relatifs à la fiabilité du reporting et


à la conformité aux lois et aux règlements, il est légitime d’attendre du processus de
management des risques une assurance raisonnable quant à l’atteinte de ces
objectifs. En revanche, l’atteinte des objectifs stratégiques et opérationnels dépend
parfois d’événements extérieurs qui peuvent échapper au contrôle de l’entreprise.
Par conséquent, dans ce cas, le management des risques ne peut donner qu’une
assurance raisonnable que la direction et le conseil d’administration, dans son rôle
de supervision, sont informés en temps utile de l’état de progression de
l’organisation vers l’atteinte de ses objectifs.

5 Les avantages du management des risques de l’entreprise


Le management des risques peut aider de manière décisive l’organisation à gérer
ses risques et à atteindre ses objectifs. En bref, grâce au déploiement d’un tel
dispositif, une société est mieux armée pour atteindre ses objectifs et éviter les
écueils et les impondérables. Aux nombres de nombreux avantages qu’elle présente,
nous pouvons citer1 :

- Meilleures chances d’atteindre ses objectifs ;

- Communication consolidée de risques disparates au niveau du Conseil ;

- Meilleure compréhension des principaux risques et de toutes leurs


conséquences ;

- Identification et communication des risques transversaux au sein de


l’entreprise ;

- Recentrage de l’attention sur les aspects qui comptent vraiment ;

- Moins de surprises ou de crises ;

- Plus grande volonté de faire ce qu’il faut comme il faut ;

- Meilleures chances de faire aboutir les changements ;

- Capacité d’accepter des risques supérieurs, pour des avantages supérieurs ;

- Prise de risque et de décision plus éclairée.

1
Fella Tabbech, Op.cit, p46-47.
Chapitre II : Le management des risques cartographie des risques 48

6 Rôles et Responsabilités dans le cadre du dispositif de management


des risques de l’entreprise 1 :
Chaque individu au sein de l’organisation a son rôle à jouer pour que la gestion du
risque soit un succès à l’échelle de l’organisation, des organes de gouvernance à
l’ensemble des collaborateurs de la société :

6.1 L’organe délibérant (conseil d’administration, conseil de surveillance) :


C’est le conseil qui est en général responsable de la gestion des risques, mais c’est à
la direction que revient la responsabilité première d’identifier les risques et de les
gérer. De même, en conservant la responsabilité de certaines décisions, le conseil
peut jouer un rôle dans la définition de la stratégie, la formulation des objectifs de
haut niveau et procède à l’affectation globale des ressources et la création de
l’environnement éthique Il exerce un rôle de supervision en étant informé des
principaux risques et des mesures prises par la direction pour les traiter et en sachant
quelles sont les limites de l’efficacité du dispositif de management des risques mis
en place par le management au sein de l’organisation. Ainsi, le conseil doit
examiner le portefeuille de risques auquel l’organisation est soumise et en l’étudiant
au regard de l’appétence de l’organisation pour ceux-ci. Le conseil exerce ses
responsabilités via différents comités, tels que le comité d’audit, le comité de
nomination et lecomité de gouvernance.

6.2 Le management :
Dans la pratique, le Conseil délègue le fonctionnement du cadre de la gestion du
risque à l’équipe dirigeante, qui sera chargée de mener à bien les activités énumérées
ci-après :

- Le Directeur Général : La responsabilité ultime du management des risques


revient au

directeur générale. L’un des aspects les plus importants est d’assurer
l’existence d’un environnement interne favorable. Le DG donne le ton et fait
preuve d’exemplarité, définit des orientations à ses managers et pilote
l’ensemble des activités de l’organisation liées aux risques, en fonction de
l’appétence au risque. L’un des aspects les plus importants est d’assurer

1
Fella Tabbech, Op.cit, p47-51.
Chapitre II : Le management des risques cartographie des risques 49

l’existence d’un environnement interne favorable


- Les directeurs en charge des différentes unités sont responsables. Les
directeurs en charge des différentes unités sont responsables du management
des risques de l’entité liés aux objectifs de celle-ci. Ils traduisent la stratégie
globale de l’organisation en activités relatives aux opérations courantes,
identifient les événements présentant un risque potentiel, évaluent ce risque
et y apportent un traitement afin de le gérer.
- Les fonctions transverses : Les fonctions transverses telles que les
ressources humaines, la comptabilité, la gestion de la conformité ou les
services juridiques jouent également un rôle de soutien important dans la
conception et l’exécution des pratiques de management des risques efficaces.
Ces fonctions peuvent concevoir et aider à la mise en œuvre de programmes
permettant de gérer certains risques importants dans toute l’organisation.

6.3 Le directeur des risques :


Le champ d’action d’un responsable des risques doit consister à :
- Définir des politiques de management des risques, y compris les rôles et les
responsabilités, et participer à la fixation des objectifs de mise en œuvre ;
- Définir, au sein des différentes unités de l’organisation, les personnes
responsables dumanagement des risques ;
- Promouvoir le management des risques dans toute l’entité, en facilitant le
développement d’un savoir-faire technique et en aidant les responsables à
mettre en œuvre des traitements du risque en fonction des tolérances aux
risques de l’organisation;
- Aider à intégrer le management des risques dans les activités de planification
et de management ;
- Etablir un langage commun de management des risques qui intègre des
indicateurs homogènes relatifs à leur probabilité et à leur impact et qui
définissent des catégories communes de risques ;
- Faciliter le développement par les managers de tableau de bord qui tiennent
compte deseuils quantitatifs et qualitatifs et superviser le processus reporting ;

- Rendre compte au directeur général des progrès et amélioration et


recommander les actions nécessaires.
Chapitre II : Le management des risques cartographie des risques 50

6.4 La direction financière :


La direction financière (comptabilité, contrôle de gestion, etc…) intervient plus
particulièrement sur le volet « reporting des informations financières » et «
conformité aux lois et règlements »1. Ses cadres ainsi que leurs équipes participent
souvent à l’établissement des budgets et des plans de l’organisation et ils suivent et
analysent leur exécution sous l’angle de l’exploitation, de la conformité et du
reporting. Ils jouent un rôle majeur dans la prévention et la détection des reporting
erronés. Ils participent à la conception, la mise en œuvre et le pilotage du système
de contrôle interne sur le reporting financier de l’organisation ainsi que les systèmes
annexes.

6.5 Les auditeurs internes :


Les auditeurs internes occupent une place importante dans l’évaluation de
l’efficacité du dispositif de management des risques et dans la formulation des
recommandations sur les améliorations à y apporter. Les Normes internationales
pour la pratique professionnelle de l’audit interne précisent que le périmètre des
activités de l’audit interne doit englober la gouvernance, les systèmes de
management des risques et de contrôle. Cela comprend l’évaluation de la fiabilité
du reporting comptable et financier, de l’efficacité et de l’efficiencedes opérations et
de la conformité aux lois et aux règlements. Dans l’exercice de leurs
responsabilités, les auditeurs internes assistent le management et le conseil par
l’examen, l’évaluation, le reporting et les recommandations d’amélioration portant
sur l’adéquation et sur l’efficacité du dispositif de management des risques de
l’organisation.

6.6 Les autres collaborateurs :


Le dispositif de management des risques de l’organisation relève de la
responsabilité de l’ensemble des collaborateurs et doit donc, à ce titre,
faire partie intégrante du descriptif de chaque poste, de façon explicite
(fiche de poste) ou implicite. Cet aspect est important pour au moins deux
raisons :

- si tous les collaborateurs ne peuvent pas être considérés

1
Schick P. (2007), Op.cit, P16.
Chapitre II : Le management des risques cartographie des risques 51

intrinsèquement comme des propriétaires de risques, presque tous


jouent un rôle dans le management des risques, depuis la production
des informations nécessaires à l’identification ou l’évaluation des
risques à la mise en œuvre des stratégies et des actions nécessaires à
la gestion de ces risques.
- Tous les individus sont responsables des flux d’informations et de
communication inhérents au dispositif de management des risques et
font partie intégrante de ce dispositif.

6.7 Les auditeurs externes :


Les auditeurs externes indépendants d’une organisation peuvent fournir au
management et à l’organe délibérant un point de vue éclairé, indépendant et objectif
sur le management des risques qui peut contribuer, entre autres, à la réalisation, par
l’organisation, de ses objectifs de communication financière externe. Les constats
issus de leurs audits peuvent porter sur les déficiences du management des risques,
les informations analytiques et autres recommandations d’amélioration qui peuvent
apporter au management des informations précieuses pour le renforcement de son
programme de management des risques.

6.8 Le législateur et le régulateur :


Ils exercent une influence sir le dispositif de management des risques de
nombreuses organisations, soit en les obligeant à mettre en place des mécanismes de
management des risques ou de contrôle interne. C’est par exemple le cas du
Sarbanes-Oxley acte voté en 2002 aux Etats-Unis ou de la loi de Sécurité Financière
de juillet 2003 en France. Soit en contrôlant directement certaines d’entre elles. Les
législateurs et les régulateurs établissent des règles qui obligent la direction à
s’assurer que son système de management des risques et de contrôle interne répond
aux exigences statuaires et légales minimales.

6.9 Autres tiers externes :


Les clients, fournisseurs, partenaires et autre tiers qui ont une relation d’affaire avec
l’organisation constituent une source importante d’information à utiliser dans le
cadre du dispositif de management des risques.
Chapitre II : Le management des risques cartographie des risques 52

Section 2 : Méthodologie du management des risques

1 Cadre réglementaire de management des risques 1 :


Les réglementations américaines ou européennes concernant le corporate risk
management visent à s’assurer de la mise sous contrôle effective des risques purs
pouvant affecter la surface financière des groupes cotés et créer des dommages
environnementaux substantiels.
On peut résumer les préconisations des réglementations européenne et américaine en
termes de corporate risk management dans le tableau suivant :
Tableau 3: Analyse comparative des réglementations sur le corporate risk management

Points communs Points spécifiques


entre 8e directive
Sarbanes-Oxley LSF
Réglementations européenne
Objectifs :
Prévenir la
Prévenir la
Sécuriser reconduction
reconduction
l’actionnaire d’un
d’un
et scandale
scandale
financier
l’investisseur
quant à la
type
sincérité des financier type Enron
Parmalat
états
financiers
S’engager sur
la protection
des cash-flows
et de la
rémunération
de

1
Pascal KEREBEL, « Management des risques », éd-organisation, Paris, 2009, p11-p13.
Chapitre II : Le management des risques cartographie des risques 53

l’actionnaire

Définition du contrôle interne et des risques :


Orientation révision
comptable et
prévention
Concept Absence de
de la criminalité de risk definition
Management spécifique
Pas de
definition interne
commune
Champ ou types de risques pris en compte, purs ou
spéculatifs :
Risques affectant la
sincérité des
comptes
Risques liés aux
processus générant
l’écriture comptable
(malveillance,
négligence,
Pas de
Pas de
définition
définition
spécifique
commune
pannes des SI…) Directive
tournée vers
la révision
comptable
Pas de
définition
spécifique
des risques
Chapitre II : Le management des risques cartographie des risques 54

Méthodologie de référence :
AMF
Pas de préconisant
Mise en exergue de
Aucune méthodologie la
l’environnement du
méthodologie Commune méthodologie
contrôle interne et
commune à ce Groupe de de l’IFACI,
du comportement
jour travail en de l’IIA, du
risk assessment
place Medef, de
Convergence
potentielle à
l’Afep
terme vers le
COSO

Source : Bazga Nawel et Belguet Meriem, « ROLE ET PLACE DU MANAGEMENT


DES RISQUES DANS LE SYSTEME DE CONTROLE INTERNE D’UNE
ENTREPRISE », Mémoire de master 2 en sciences financières et comptabilité, Ecole
Supérieure de Commerce Kolea, 2015, p40.

La 8e directive européenne sur l’audit légal, émise le 17 mai 2006, rend obligatoire la mise en
place d’un comité d’audit pour les entités d’intérêt public en charge du suivi de l’efficacité
des systèmes de contrôle interne, d’audit interne et de gestion des risques de la société. Même
si la 8e directive européenne prévoit explicitement d’évaluer l’efficacité du dispositif de
contrôle interne et de management des risques, elle ne se prononce pas à ce jour sur une
communication externe officielle portant sur les résultats du suivi de l’efficacité des
dispositifs de contrôle interne et de management des risques.
Concernant les risques hautement protégés, les autorités de tutelle et les gouvernements ont
pris conscience depuis plus d’une décennie de la nécessité de mettre sous contrôle les risques
d’atteinte à l’environnement, tant du point de vue écologique que du point de vue de la
protection de la rémunération de l’actionnaire et de l’atteinte des objectifs stratégiques en cas
de sinistre majeur.

2 Méthodes de management des risques :


Gérer un risque consiste après l’avoir identifié et mesuré, à prendre des
dispositions permettant :
Chapitre II : Le management des risques cartographie des risques 55

 D’abord de limiter l’incertitude, en réduisant sa probabilité d’occurrence ou ses


conséquences,
 Ensuite, de financer les conséquences résiduelles du risque.
La réduction du risque – qui est du ressort de l’entreprise – intervient naturellement
avant le financement des conséquences résiduelles, qui dépend de l’entreprise
lorsqu’elle choisit de supporter seule ces conséquences, mais aussi de son partenaire
financier (assureur ou banquier), lorsqu’elle décide de transférer cette charge.
Figure 3: gestion des risques

Source : B. BARTH2LEMY & P. COURREGES, Gestion des risques, 2ème édition, Ed.
D’organisation, 2004 (Page 46).
Les outils à mettre en œuvre correspondent aux trois étapes illustrées ci-dessus1:
 Des méthodes d’identification et de quantification des risques,
 Des outils de prévention et de protection, qui agissent sur la matérialité du risque,
 Des techniques de financement des gravités résiduelles, qui visent à
compenser les pertes subies ou donner les moyens financiers d’un
rétablissement rapide.

3 Identification et quantification des risques :


Il n’existe pas de méthode infaillible d’identification des incertitudes.

1
B. BARTHELEMY & P. COURREGES, « Gestion des risques », 2ème édition, Ed-d’organisation,
2004, p46-p53.
Chapitre II : Le management des risques cartographie des risques 56

L’humilité est la règle et toute prétention à l’exhaustivité est vaine.

L’expérience montre cependant que des méthodes existent. Elles se classent en trois
grandes catégories :
 Risques associés aux fonctions,
 Risques associés aux processus,
 Risques associés aux ressources.
Les méthodes qui identifient les risques par fonctions ou par processus sont assez
voisines. L’entité est analysée selon son organisation (direction, commercial,
ressources humaines, finances, systèmes d’information, production...) ou
décomposée en processus principaux associés aux métiers et à la stratégie, puis en
sous-processus suffisamment fins pour être analysés.
A titre d’exemple, le processus de production se compose des achats, des stocks, de
la logistique, des méthodes, de la maintenance, de la production elle-même, etc.
Les risques sont alors identifiés en termes de dysfonctionnement des sous-
processus, selon des méthodes inductives qui consistent à identifier des sous-
ensembles matériels, fonctionnels, géographiques, organisationnels, etc.
On distinguera les processus contribuant directement (processus productifs) ou
indirectement (processus fonctionnels) aux objectifs fondamentaux, en distinguant
par ailleurs les processus continus et les processus discrets.
Du point de vue du gestionnaire de risques, ces deux types de processus sont très
différents :
Chapitre II : Le management des risques cartographie des risques 57

Tableau 4 : Les Types des Processus de gestion des risques.

Ressources Ressources
Organisation
Techniques Humaines
Matériel spécifique, Personnel peu Procédurale à
Processus intégration nombreux et qualifié, cognitive.
continu complexe, valeur comportement
élevée. cognitif.
Matériels Personnel Machinale à
standardisés, nombreux, procédurale
Processus
intégration faible, qualification faible,
discret
valeur unitaire peu comportement
élevée. machinal.
Source : Bazga Nawel et Belguet Meriem, (2015), Op.cit, p43.

Dans les processus discrets, on recensera surtout des risques d’indisponibilité de


matériels élémentaires, assez fréquents mais de conséquences assez faibles. A l’inverse,
les processus continus sont victimes d’accidents peu fréquents mais dont les
conséquences peuvent être graves. Autrement dit, le gestionnaire de risques travaille
surtout sur les risques de fréquence dans les processus discrets et principalement sur les
risques de gravité dans les processus continus.

4 Réduction, prévention et protection :


Réduire un risque, c’est soit réduire sa probabilité d’occurrence (prévention), soit
réduire ses conséquences (protection).Pour cela, on peut utiliser, seuls ou en
combinaison :
⮩ Des instruments techniques

 De prévention, tels que des détecteurs, des équipements de sécurité, des contrôles
d’accès,
 De protection, tels que des murs coupe-feu, des stockages cloisonnés, des équipements
de protection individuels, des sauvegardes informatiques, des stocks de pièces détachées
ou de produits finis, la partition des moyens, voire leur duplication (exemple
: back-up informatique),
Chapitre II : Le management des risques cartographie des risques 58

⮩ Des instruments d’organisation

 De prévention, par exemple des procédures opératoires, des consignes de sécurité,


l’externalisation de certaines fonctions, la formation redondante,
 De protection, tels que des plans de sauvegarde ou de survie, des fournisseurs
redondants.
⮩ Des instruments juridiques

Tels que des clauses contractuelles de limitation de responsabilités, des contrats de


travail. Ces instruments se classent en sept catégories :
 La Suppression

Traitement radical, la suppression (ou évitement) élimine le risque par renoncement à


une activité à laquelle ce risque est associé.
La suppression agit donc sur la fréquence, qu’elle annule. Cet instrument n’est pas aussi
absurde qu’il peut paraître de prime abord. En effet, l’analyse des risques pesant sur une
activité, en particulier une activité nouvelle, peut conduire à son abandon, s’il apparaît
que les pertes potentielles sont supérieures aux gains escomptés. Combien de projets
n’auraient-ils pas été abandonnés si une telle analyse avait été faite ! Il est en effet rare
qu’une décision – même vitale pour l’entreprise – soit prise après une étude objective
du caractère aléatoire des paramètres qui conditionnent sa réussite.
La suppression peut ne concerner qu’une partie d’un processus. On peut par exemple
abandonner un procédé au profit d’un autre, déplacer une activité sur un autre site,
renoncer à la commercialisation d’un produit sur un marché où la contrefaçon est trop à
craindre, etc.
 La Prévention

Comme nous l’avons dit précédemment, la prévention agit sur la probabilité


d’occurrence d’un événement dommageable.
En général, ces mesures sont prises pour des événements ayant une fréquence assez
importante. Elles agissent sur l’un au moins des événements de la chaîne conduisant à
l’événement dommageable.
 La Protection

La protection vise à limiter les conséquences d’un sinistre. On distingue deux types
d’instruments de protection :
 Ceux qui sont mis en place et actifs avant le sinistre ;
Chapitre II : Le management des risques cartographie des risques 59

 Ceux qui sont mis en place mais ne sont activés qu’au moment du sinistre.
Un mur coupe-feu appartient à la première catégorie ; un réseau d’extinction
automatique appartient à la seconde. En fait la première catégorie contient
principalement des instruments de séparation des risques ou de duplication des
ressources.

 La ségrégation par partition


Cet instrument de réduction des risques consiste à ne pas « mettre tous ses œufs dans le
mêmepanier ». Par exemple :
 Couper un stockage en deux parties distinctes séparées par un mur coupe-feu, voire
dans deux bâtiments différents,
 Produire avec deux machines de plus faible capacité plutôt qu’avec une seule de
capacité double,
 Fabriquer un même produit sur différents ateliers, voire différentes usines,
 Ne pas s’approvisionner auprès d’un seul fournisseur,
 Ne pas mettre les sauvegardes informatiques à côté des ordinateurs,
 Ne pas faire voyager toute une équipe dans le même avion.
Bien entendu, un sinistre affectera néanmoins l’entreprise, puisque la totalité des
ressources est nécessaire, mais la perte sera moindre. Par ailleurs, la ségrégation par
partition a un coût, par perte d’économie d’échelle, et par des frais de fonctionnement
généralement plus élevés. Il importe donc de bien peser les avantages et les
inconvénients de cet instrument avant de le mettre en œuvre.

 La ségrégation par duplication


Au contraire de la ségrégation par partition, la ségrégation par duplication permet
d’annuler totalement les conséquences d’un sinistre, puisque le « double » n’entre en
service que lorsque la ressource dupliquée est hors d’usage. Le cas le plus fréquent de
ségrégation par duplication se trouve dans le domaine informatique, où l’on n’hésite pas
à maintenir inactif un
« Miroir » du système informatique en service, compte tenu des conséquences estimées
d’une interruption du traitement de l’information, mais aussi du coût sans cesse
décroissant des matériels informatiques.
Chapitre II : Le management des risques cartographie des risques 60

Cette technique de réduction des risques est utilisable dans bien d’autres
domaines. Parexemple :
 Ne pas concentrer le savoir-faire entre les mains d’une seule personne, mais imposer
sa documentation et sa diffusion.
 Avoir des pièces de rechange d’avance, voire dupliquer l’outil de production

 Avoir plus de véhicules que nécessaire.


 Qualifier plus de fournisseurs que nécessaires.
Compte tenu de son coût d’immobilisation de ressources non productives, la
ségrégation par duplication se justifie particulièrement dans le cas de risques de forte
gravité.

 Le transfert contractuel pour réduction


Instrument qui peut apparaître machiavélique, le transfert contractuel pour réduction
consiste à faire prendre le risque par une autre entité juridique qui exécute une prestation
ou fournit un produit en lieu et place de l’entité ayant ainsi transféré le risque. Le risque
est réduit lorsque le prestataire est plus compétent dans le domaine concerné que
l’entreprise elle-même. On peut alors espérer que sa gestion des risques spécifiques à
son métier sera meilleure et que les sinistres seront moins importants ou moins
nombreux, et en tous cas totalement supportés par le prestataire.
Les risques ne sont cependant pas éliminés. En effet, certains risques sont transférés sur
le prestataire, mais ils existent toujours. Ils peuvent même parfois revenir frapper
l’entité qui croyait s’en être débarrassée, en particulier lorsque cette entité est plus
importante, et donc plus responsable et plus solvable que le prestataire, et que des
dommages aux personnes ou aubien public ont été causés par ce dernier.

 Les stratégies de crise


Les stratégies de crise sont évidemment des instruments de réduction des risques.
Elles sont sans effet sur la fréquence et n’agissent que sur la gravité. Ce sont des
instruments très puissants, mais malheureusement peu souvent envisagés avant le
sinistre. Ce n’est que lorsque l’entreprise est en situation de crise qu’elle essaye –
dans la panique – de trouver les moyens d’en limiter les effets induits et qu’elle
n’avait pas envisagés. Les stratégies de crise doivent être élaborées à froid, sur des
scénarios recensés et hiérarchisés, en donnant bien entendu priorité aux sinistres de
Chapitre II : Le management des risques cartographie des risques 61

gravité pour lesquels la réduction des conséquences prend tout son sens, et sans
prendre en compte les assurances, dont les effets – exclusivement financiers – ne se
feront généralement sentir que bien après que la crise soit calmée.
Elles comportent quatre volets complémentaires :
⮩ Le Plan de Secours : Il s’agit de l’ensemble des dispositions devant
immédiatement être prises pour limiter les impacts du sinistre. Selon la
nature de ce dernier, ce pourra être des mesures de lutte contre le feu, un
rappel des produits défectueux, la mise en place d’une cellule de gestion de
crise, la recherche rapide des causes du sinistre, etc.

⮩ Le Plan de Redéploiement Temporaire : Souvent oublié, il consiste à


définir les objectifs immédiats de l’entreprise, affaiblie par le sinistre, et ne
pouvant de ce fait remplir tous ses objectifs antérieurs. Ce sera en particulier
l’abandon temporaire de certaines activités ou de certains clients au profit
d’activités ou de clients jugés plus importants. Dans certains cas, ce plan
peut déboucher sur une décision stratégique durable.

⮩ Le Plan de Redémarrage : Il rassemble l’ensemble des moyens humains et


techniques, et les dispositions d’organisation devant permettre de satisfaire
le Plan de Redéploiement Temporaire.

⮩ Le Plan de Communication : Pour être efficace et crédible, l’ensemble des


mesures prises doit être expliqué en interne (salariés) comme en externe
(autorités, médias, clients, fournisseurs).

5 Financement :
De même qu’il existe sept instruments de réduction des risques, on peut distinguer sept
moyens de financer leurs impacts résiduels. Par définition, ces instruments n’agissent
que sur la gravité finale du risque, en permettant d’en financer tout ou partie. Ces
instruments sont :
Chapitre II : Le management des risques cartographie des risques 62

 Rétention sur trésorerie,

 Rétention par provision non affectée,


 Rétention par provision affectée,
 Rétention par emprunt bancaire,
 Rétention par assurance captive,
 Transfert à l’assurance,
 Clauses contractuelles.
On distingue deux grandes catégories de financement : la rétention (instruments 1 à 5) et
le transfert (instruments 6 et 7).

Dans le premier cas, c’est l’entité sinistrée qui compense sa perte grâce à sa propre
trésorerie, une assurance captive ou le recours à un emprunt bancaire.
Dans le second cas, c’est un tiers qui supporte tout ou partie de la charge financière du
sinistre. Les techniques d’assurance sont évidemment les plus traditionnelles, mais il est
aussi possible de transférer les conséquences financières du risque au partenaire, par le
biais de clauses contractuelles par lesquelles il fera son affaire du financement de ces
conséquences. Il s’agit là d’un contrat d’assurance entre deux parties, qui n’est valable
que dans les termes et conditions du contrat et que si le cocontractant est solvable.
Cependant, la finalité de ces instruments est toujours de lisser les résultats dans le
temps, de réduire les fluctuations des bénéfices, voire de croissance.

6 Limites du processus de management des risques :


Si le dispositif de management des risques offre des avantages importants, il
comporte néanmoins certaines limites. Outre les facteurs exposés ci-dessus, ces
limites résultent 1:

 D’une erreur de jugement dans la prise de décision,


 De la nécessaire prise en compte du rapport coûts / bénéfices dans le choix
dutraitement des risques, et de la mise en place des contrôles,

1
IFACI, «Le management des risques d’entreprise » : cadre de référence- techniques
d’application, COSO II- report, éditions d’organisation- 2005, p 10.
Chapitre II : Le management des risques cartographie des risques 63

 De faiblesses potentielles dans le dispositif, susceptibles de survenir en


raison dedéfaillances humaines (erreurs),
 De contrôles susceptibles d’être déjoués par collusion entre deux ou
plusieurs individus,
 De la possibilité qu’a le management de passer outre les décisions prises en
matière degestion des risques.
En raison de ces limites un Conseil d’administration ou une direction ne peuvent
obtenir la certitude absolue que les objectifs de l’organisation seront atteints.

Section 3 : Généralités sur la Cartographie des risques

Dans le dispositif de gestion des risques, la cartographie des risques constitue une pièce
maitresse. Elle permet de disposer d’une vision globale et hiérarchisée des risques auxquels
une organisation est exposée et autour de laquelle s’organise tout le management des risques.
Cela explique le regain d’intérêt des auteurs et organisations professionnelles qui ont
longuement écrit sur la cartographie des risques. « Cartographier les risques, c’est porter un
regard nouveau sur les phénomènes étudiés. C’est non seulement prendre en compte leur
dimension spatiale, mais aussi appréhender les interactions du sujet d’étude avec un territoire,
un milieu.» 1

1 Définition et objectifs d’une cartographie des risques :


1.1 Définition d’une cartographie des risques :2
La cartographie des risques est un outil clé du PMR qui permet de répondre aux
trois premières phases du PMR, à savoir :

- Identifier et évaluer les risques ;

- Traiter les risques ;

- Suivre leur évolution.

1
Cornélis B. & Billen R,«La cartographie des risques et les risques de la cartographie
»,http://orbi.ulg.ac.be/bitstream/2268/22150/1/Liv%20Hupet.pdf.
2
IFACI et Groupe Professionnel Industrie et Commerce : Etude du processus de management et de la
cartographie des risques, les cahiers de la recherche, Paris 2003, p24.
Chapitre II : Le management des risques cartographie des risques 64

Après avoir proposé une définition de la cartographie des risques, de ses principaux
objectifs et une liste indicative de risques majeurs en milieu industriel et commercial,
cette partie est consacrée à deux approches différentes d’élaboration d’une cartographie
une approche bottom-up et une approche top-down par partie prenante. Ces deux
approches ne prétendent pas offrir une méthode d’identification des risques exhaustive
et infaillible mais un certain nombre de pistes pour construire sa propre cartographie.
Il est important de souligner que, dans un grand groupe, il peut y avoir plusieurs
cartographies des risques, indépendantes les unes des autres et qui, de ce fait, ne
sont pas obligatoirement consolidables. Un groupe qui a des activités ou des
implantations géographiques très différentes n’établira pas une cartographie mais
plusieurs. En revanche, dans le cas où les activités et entités opérationnelles sont
proches ou semblables, il est certain que des risques de même nature seront identifiés et
alors agrégés au niveau de la direction générale, avec l’enrichissement apporté par la
vision plus large de celle-ci. La vision des risques de la direction générale est souvent
différente de celle des opérationnels. Il appartient à la direction générale d’établir la
cartographie des risques majeurs en se basant, certes sur les informations qui lui
remontent des opérationnels, via les reporting traditionnels, mais également sur des
informations en provenance de l’environnement extérieur. Bien entendu, il est essentiel
que ces risques majeurs soient ensuite déclinés en plans d’actions par les opérationnels,
à tous niveaux, et qu’ils donnent lieu à des reporting réguliers. Un acteur dans
l’entreprise, qu’il s’agisse du risk manager ou de l’auditeur interne, doit s’assurer
de la cohérence de ces cartographies. Ceci est une condition préalable à une bonne
cohérence entre la stratégie, les objectifs et les plans d’actions dans l’entreprise.
« Une Cartographie des risques est un positionnement des risques majeurs selon les
différents axes, tels que l’impact potentiel, la probabilité de survenance ou le niveau
actuel de maîtrise des risques »

1.2 Objectifs d’une cartographie des risques :1


L’établissement d’une cartographie des risques peut être motivé par deux natures de
facteurs :
– des facteurs internes :
 mettre en place un contrôle interne ou un processus de maîtrise des risques adéquat ;

1
Idem, pp 24-25.
Chapitre II : Le management des risques cartographie des risques 65

 aider le management dans l’élaboration de son plan stratégique et sa prise de décisions ;


il s’agit alors d’un outil de pilotage interne ;
 apporter les informations sur la maîtrise des risques au comité d’audit ; l’examen des
risques significatifs et de leur couverture par le comité d’audit est en effet l’une des
recommandations du Rapport Bouton ;
 orienter le plan d’audit interne en mettant en lumière les processus/activités où se
concentrent les risques majeurs ;
 ajuster les programmes d’assurances fondés sur les risques majeurs identifiés dans la
cartographie des risques (risk management) ;
 améliorer ou développer une culture de management des risques dans une entreprise
grâce à l’établissement, notamment, d’outils d’auto-évaluation ;
 prévenir la destruction de valeur ou accroître la valeur en utilisant le couple
risques/opportunités.
– des facteurs externes :
 respecter les lois ou les bonnes pratiques en matière de gouvernement d’entreprise
(Sarbanes-Oxley Act, Combined Code anglais et Rapport Bouton par exemple) ;
 répondre à l’attente des marchés et fournir des informations aux actionnaires (dans le
rapport annuel, document de référence en France) ;
 s’adapter à un environnement de plus en plus concurrentiel, nécessitant une bonne
maîtrise de ses risques/opportunités. Cet objectif relève plus généralement du
processus de management des risques, la cartographie des risques étant un des moyens
de l’atteindre ;
 veiller à la bonne image de l’entreprise.

2 Exemples de risques majeurs en environnement industriel et


commercial :1
Ces quelques exemples n’incluent pas, volontairement, les risques financiers pour
lesquels une documentation importante existe déjà. Il ne s’agit pas, bien entendu,
d’une liste exhaustive.

1
Idem, pp 25-27
Chapitre II : Le management des risques cartographie des risques 66

 Le risque de perte d'image :


 Défaut de conception d’un produit menant au décès d’un utilisateur ou à un accident;
 Empoisonnement par la vente de produits alimentaires contaminés ou impropres à la
consommation ;
 Mauvaise gestion des rappels de produits et de la communication l’entourant ;
 Atteinte à l’environnement.

 Le risque de rupture des approvisionnements :


 Dysfonctionnement de la chaîne d’approvisionnement entraînant un arrêt de
production, des retards de livraisons et ruptures en rayon ;
 Liquidation ou difficultés d’un fournisseur qui est la seule source
d’approvisionnement, d’une matière première ou de prestation de services pour
l’entreprise dans un marché très concentré.

 Les risques liés au Système d'information :


 Dysfonctionnement majeur du système d'information (panne…) ;
 Perte de fiabilité du système d'information (non d'exhaustivité, perte d'intégrité des
données…) ;
 Inexistence ou défaillance de plans de reprise d’activité pour les applications
informatiques majeures (gestion des commandes provenant des clients, facturation…) ;

 Mauvaise protection des informations.


 Le risque de positionnement :
 Usure sur le long terme liée à un positionnement (offre produit, politique de prix…)
incohérent ou peu lisible par le client ;
 Portefeuille de produits qui ne répond pas à la demande des clients (par exemple, du fait
d’une mauvaise évaluation des besoins des clients, d’une mise sur le marché du produit
trop prolongée, d’efforts de recherche insuffisants, …) ;
 Monoproduit.

 Le risque d'expansion :
 Ouverture de surfaces de ventes dans des zones à potentiel insuffisant ou dans
des pays à risques.
Chapitre II : Le management des risques cartographie des risques 67

Section 04 : Méthodologie d’élaboration d’une cartographie des


risques

« L’élaboration d’une cartographie des risques n’est pas une science exacte : impressions,
expériences, faits, évènements récents, analyse et chiffrage, tout ceci a un impact sur
l’élaboration de la cartographie des risques dans une entreprise. Le directeur d’audit est bien
placé pour prendre l’initiative et, en dialoguant avec les dirigeants, les auditeurs internes, le
risk managers, les contrôleurs de gestion, et les auditeurs externes, il devra arriver à classifier
les risques majeurs en fonction de leur impact, de leur probabilité d’occurrence si elle est
pertinente ou de leur niveau de maitrise »1

1 L’élaboration d’une cartographie des risques :2


Dans cette élaboration, il a été convenu de respecter trois étapes principales : Préparation,
Conception et Action :
 L’étape de préparation :
Etape de prise de connaissance de l’entreprise et son environnement. Elle permet
de comprendre le périmètre d’activité de l’entreprise, l’évolution de l’entité et une
connaissance approfondie de l’organisation, elle nous permet aussi de savoir où
trouver l’information et à qui la demander.3
 L’étape de conception et de réalisation :
Elle-même est constituée de trois sous étapes. Il s’agit de l’identification,
l’évaluation et la hiérarchisation ;
1. Identification des risques :
Elle consiste à répertorier tous les événements générateurs de risques. C’est un
passage obligé dans la construction d’une structure rationnelle et globale de
gestion des risques.4
Pour cette finalité, plusieurs techniques, souvent utilisés par les auditeurs
internes et externes, permettent d’identifier les risques.

1
Groupe professionnel industrie et commerce, « Guide d’Audit : Etude du processus de management
et de cartographie des risques », IFACI, Paris, 2003, p 33.
2
BOUHADIDA MOHAMED, LA PRATIQUE DE L’AUDIT INTERNE : Aspects théorique et
pratiques. Editions pages bleues, Alger,2017, p57
3
Bouhadida Mohamed Op.cit., p 57
4
Idem 57
Chapitre II : Le management des risques cartographie des risques 68

Toutefois, le choix de la technique dépendra des objectifs poursuivis par


l’entreprise. Elles peuvent être utilisées en combinaison les unes avec les
autres selon le modèle de préférence de l’entité. Parmi les plus manipulées
d’entre elles on trouve :
 Identification à base d’analyse historique :
Elle consiste à remonter dans le temps pour relater les risques qui ont menacé
l’entreprise dans son passé et d’en tenir compte lors de la mise à jour ou de la
conception de la cartographie des risques.
 Identification à base d’atteinte des objectifs :
Cette technique exige une bonne connaissance des activités et des objectifs de
l’organisation au préalable, ensuite repérer tous les événements ou risques
potentiels qui, s’ils se produisent, pourront affecter l’organisation en nuisant
sérieusement à sa capacité de mettre en œuvre avec succès sa stratégie et atteindre
ces objectifs. 1
 Identification par les taches élémentaires :
Il s’agit de se poser la question de savoir « Que se passerait-il si une tache est mal
effectuée ou n’était pas effectuée du tout ? », Elle ressemble beaucoup à la
technique d’identification des zones à risques dans l’élaboration du Questionnaire
de Contrôle Interne (QCI).
 Identification à base des check-lists :
Elle consiste à lister l’ensemble des risques possibles en se basant sur les activités et les
fonctions. Elle permet de s’assurer qu’aucun risque n’a été omis et vient en complément
des autres techniques. Elle permet de passer rapidement en revue des risques classiques
d’un domaine ou d’un processus.2
 Identification à base des actifs créateurs de valeur :
Cette technique consiste à déterminer en premier lieu les actifs créateurs de valeur dans
l’entreprise (liquidités, chèques, stocks, etc.), pour identifier les risques pouvant les
affecter ou bien qui constituent un obstacle à les avoir par exemple le recouvrement des
créances clients.

1
IFACI, Le management des risques de l’entreprise, édition d’organisation, Paris, 2003, p63
2
Henri-Pierre Maders, Jean-Luc Masselin, contrôle interne des risques, édition EYROLLES, Collection
Finance, 20 février 2014, p50.
Chapitre II : Le management des risques cartographie des risques 69

 Identification à base d’analyse de l’environnement :


Dans cette technique on prend en compte les risques possibles par anticipations de
l’évolution future de l’environnement externe ou interne de l’entreprise,
 Identification à base de scénarios :
Cette approche consiste à décrire au préalable chacune des taches qui composent l’activité
et ensuite imaginer collectivement les menaces qui vont permettre de détecter les risques
qui pèsent sur ces taches. 1

2 Démarche d’élaboration d’une cartographie des risques :


La démarche de réalisation d’une cartographie des risques préconisée par les
principaux référentiels en matière de contrôle interne se déroule suivant les étapes
ci-après :
-Identification et évaluation des risques intrinsèques.

- Description et évaluation du niveau de contrôle et maitrise des risques.

- Evaluation des risques résiduels.

2.1 Identification et évaluation des risques intrinsèques :


2.1.1 Identification :

L’identification des risques se fait selon deux approches possibles :

2.1.1.1 L’approche top down « descendante »


L’identification des risques dans cette approche se fait du haut vers le bas, c'est-à-dire qu’au
sein de l’organisation, le Risk Manager ou l’audit recense les risques majeurs, procède au
rattachement de ces risques avec les processus clés et établit la cartographie à l’aide de
questionnaires. Les auditeurs ou les managers vont donc, descendre chercher l’information, à
la source.
L’avantage de cette approche est qu’elle peut être élaborée en un temps minimum mais elle
présente une faible valeur ajoutée car elle ne permet pas la prévention. Cette approche peut
être assimilée à la méthode de l’indicateur de base.

1
Bernard Fréderic, Gayraud Rémy et Rousseau Laurent (2006) : contrôle interne méthodologie et
pilotage, édition Maxima, Paris, 2006, pp75-76.
Chapitre II : Le management des risques cartographie des risques 70

2.1.1.2 L’approche bottom-up « ascendante »


Cette approche est la plus utilisée pour la mise en œuvre d’une cartographie. La
méthodologie consiste en un recensement des risques qui sont inhérents au
fonctionnement de l’organisation. Pour ce faire, l’utilisation d’interviews est
préconisée. Son appellation « bottom-up » revient au fait que la démarche
d’identification des risques est effectuée par les opérationnels proches de l’activité et
remonte vers les responsables du management desrisques.

2.1.2 Evaluation :
Suite à leur identification, l’exposition aux risques intrinsèques est évaluée à travers
deux critères qui sont la fréquence et l’impact.
 La fréquence :

représente la probabilité d’occurrence de l’événement c'est-à-dire le nombre de fois où le


risque pourrait se produire sur une période donnée. Elle peut être mesurée selon une échelle
qualitative ou quantitative :

Echelle qualitative : Fréquence forte, moyenne ou sur une échelle de 1 à 4 par exemple.
Echelle qualitative : il s’agit généralement de la probabilité effective pour une période
donnée (entre 0 et 1) ou la fréquence par jour, par mois, par an…
Cela suppose l’existence d’informations actualisées permettant d’estimer la probabilité
d’occurrence.
 L’impact :
Représente les conséquences financières (perte), juridiques (non respect de la
règlementation en vigueur) ou les effets sur l’image de l’établissement qui surviennent
suite à la réalisation du risque.

Comme pour la fréquence, l’impact peut être quantifié de deux manières possibles :

 Par des critères qualitatifs : Impact faible, moyen et fort ; Ces critères seront
convertisensuite en notes, sur une échelle de 1 à 4 par exemple.

 Par critères quantitatifs : données de pertes financières ou d’exploitation.


Chapitre II : Le management des risques cartographie des risques 71

2.2 Description et évaluation du niveau de contrôle et maitrise des risques :


Dans une démarche de cartographie des risques, il y a lieu d’identifier les contrôles qui
contribuent à la maitrise de l’activité.
D’après Jacques Renard, ces contrôles sont classés comme suit :
1. Les contrôles internes spécifiques/préventifs (la séparation de tâches, les mots de
passe, les
dispositifs de sécurité…)
2. Les contrôles internes détectifs (les actes de vérification, les comptes rendus, les
rapprochements, le contrôle de cohérence…)

3. Les contrôles internes directifs (les procédures, la formation, le visa pour


autorisation…).
Il s’agit d’un classement d’après la fonction que le contrôle doit remplir.
Dans le cadre de l’établissement de la cartographie des risques, l’évaluation des
contrôles passe par l’identification de l’existant ainsi que l’appréciation de leur
efficacité. A et effet, deux éléments sont évalués :
1) Couvre-t-il le risque intrinsèque ?

2) Si oui à quelle hauteur ?


Le contrôle est évalué sur le plan de son efficacité dans la réduction de la probabilité
d’occurrence, de l’impact éventuel, ou les deux.

2.3 Evaluation des risques résiduels :


Le risque résiduel est celui qui résulte du risque brut, en tenant compte des protections
et descontrôles mis en place.
Après avoir identifié les différents contrôles, les risques résiduels pourront être déduits.
Les risques sous contrôle ne doivent pas disparaitre de la cartographie et seront juste évalués
comme étant faibles. Le schéma cible est le suivant :
Chapitre II : Le management des risques cartographie des risques 72

Figure 4 : Risques intrinsèques et risques résiduels

Source : C. Jimenez, P. Merlier, D. Chelly, « Risques opérationnels », Revue banque,


2008, P238.

3 Représentation graphique de la cartographie des risques :


La représentation graphique offre une vision sur les risques majeurs et permet
d’identifier les zones à traiter prioritairement. Il existe plusieurs manières de
représenter une cartographie notamment :

3.1 Le diagramme à deux axes :


Les risques sont représentés à l’aide des caractéristiques « fréquence » et « impact
». La fréquence correspond à l’axe des ordonnés « Y » et l’impact à celui des
abscisses « X ».
Chapitre II : Le management des risques cartographie des risques 73

Figure 5: Représentation graphique de la cartographie des risques

Source : Jacques RENARD, op.cit. , p155.

4 Stratégie en matière de mangement des risques :


La stratégie a pour objet de fixer les objectifs fondamentaux de l’entreprise, en
rapprochant les opportunités réelles ou prévisibles et les aptitudes de l’entreprise à
saisir avec succès ces opportunités. Cette définition étant posée, combien d’entreprises
peuvent honnêtement prétendre avoir une stratégie ?

Le risque est ici double :


 Ne pas avoir de réflexion stratégique et, donc, de ne pas savoir où l’on
veut mener le bateau ;
 Confondre stratégie et tactique ; cette dernière ne doit que regrouper les
décisions opérationnelles à court terme permettant de maintenir le capital.

La valeur de l’organisation est maximisée d’une part lorsque la direction élabore


une stratégie et fixe des objectifs afin de parvenir à un équilibre optimal entre les
objectifs de croissance et de rendement et les risques associés, et d’autre part
lorsqu’elle déploie les ressources adaptées permettant d’atteindre ces objectifs.
Chapitre II : Le management des risques cartographie des risques 74

Le management des risques comprend les éléments suivants1 :

⮩ Aligner l’appétence pour le risque avec la stratégie de l’organisation :


L’appétencepour le risque est une donnée que la direction prend en considération
lorsqu’elle évalue les différentes options stratégiques, détermine les objectifs
associés et développe le dispositif Pour gérer les risques correspondants.

⮩ Développer les modalités de traitement des risques : Le dispositif de


management des risques apporte une méthode permettant de choisir de façon
rigoureuse parmi les différentes options de traitement des risques que sont :
l’évitement, la réduction, le partage ou l’acceptation du risque.
⮩ Diminuer les déconvenues et les pertes opérationnelles : Les organisations
améliorent leur capacité à identifier et traiter les événements potentiels, ce qui leur
permet d’atténuer les impondérables et de diminuer les coûts ou pertes associés.

⮩ Identifier et gérer les risques multiples et transverses : Chaque entité est


confrontée à une multitude de risques affectant différents niveaux de l’organisation.
Le dispositif de management des risques renforce l’efficacité du traitement des
impacts en cascade et apporte des solutions intégrées pour les risques à
conséquences multiples.
⮩ Saisir les opportunités : C’est en prenant en compte un large éventail
d’événements potentiels que la direction est le mieux à même d’identifier et de tirer
parti des opportunités defaçon proactive.
⮩ Améliorer l’utilisation du capital : C’est en ayant une vision claire des risques
de l’organisation que la direction peut évaluer efficacement les besoins en capitaux
et en améliorer l’allocation.

5 Management des risques et la performance de l’entreprise :


Le terme performance est couramment utilisé dans les appréciations portées sur les
entreprises, et plus particulièrement en contrôle de gestion et chacun s'interroge sur
ce qu'est une entreprise ou une organisation performante :

1
COSO « le management des risques de l’entreprise : cadre de référence », op.cit, p2.
Chapitre II : Le management des risques cartographie des risques 75

 Est-ce celle qui réalise de bons profits ?


 Ou celle qui résiste aux changements de son environnement ?
 Ou encore celle qui préserve l'emploi, qui épargne son environnement ?

Cet ensemble d'interrogations montre que la notion de performance est


multidimensionnelle, ce qui pose la question de sa définition et celles de quelques
notions voisines, puis des différentes performances qui peuvent être mises en évidence
dans une entreprise.
Les éléments du dispositif de management des risques contribuent à la réalisation des
objectifs de performance et de rentabilité de l’organisation et à la minimisation des
pertes. Le dispositif de management des risques contribue aussi à la mise en place
d’un reporting efficace et au respect de la conformité aux lois et réglementations. Ce
faisant, il protège l’image de l’entité et lui épargne les conséquences néfastes d’une
perte de réputation. En bref, grâce au déploiement d’un tel dispositif, une société est
mieux armée pour atteindre ses objectifs et éviter les écueils et les impondérables. La
gestion du risque permet de recenser les risques de façon claire et structurée. Une
organisation qui comprend clairement tous les risques auxquels elle est exposée peut
les jauger et les classer en ordre de priorité et prendre les mesures appropriées pour
réduire les pertes.
La gestion du risque comporte d’autres avantages pour l’entreprise/organisme,
notamment:
 Économiser les ressources : le temps, l’actif, le revenu, les biens et les
personnes sont toutes d’importantes ressources que l’on peut économiser
en réduisant au minimumles sinistres.
 Protéger la réputation et l’image publique de l’entreprise.
 Protéger l’environnement.
 Améliorer la capacité de l’entreprise/ organisme à se préparer à diverses situations.
 Réduire la responsabilité civile et professionnelle.

 Contribuer à définir clairement les besoins d’assurance.


Une gestion efficace du risque n’élimine pas complètement le risque. Cependant,
elle montre à l’assureur que votre entreprise/organisme se soucie de la réduction et
de la prévention des sinistres, de sorte qu’elle représente un meilleur risque à
assurer.
Chapitre II : Le management des risques cartographie des risques 76

Conclusion
Le management des risques est un dispositif qui a pour objectif d'identifier et
d'analyser les risques majeurs auxquels une entreprise est exposée. Les risques qui
dépassent les limites acceptables fixées par l'entreprise sont pris en charge par
l'élaboration d'une cartographie des risques, qui est un outil de gestion des risques
permettant la mise en place de plans d'actions appropriés. Ces plans peuvent
comprendre la mise en place de contrôles, le transfert des conséquences financières
grâce à un mécanisme d'assurance ou équivalent, ou encore une adaptation de
l'organisation.
Le management des risques a pour objectif d'identifier les dangers susceptibles
de compromettre la réalisation des objectifs, tandis que le contrôle interne permet de
réduire ces risques à un niveau acceptable pour l'entreprise. Ensemble, le management
des risques et le contrôle interne permettent de prévenir ou de corriger les dérives. Par
conséquent, ils sont des outils de pilotage essentiels pour l'entreprise et pour atteindre
ses objectifs.

La gestion des risques des entités doit être un processus continu pour être
efficace, prenant en compte la stratégie et déployé à chaque niveau et dans chaque unité
de l'organisation. Son objectif est d'identifier les événements potentiels qui pourraient
avoir un impact sur la capacité de l'organisation à atteindre ses objectifs.
Chapitre III : Elaboration de la
cartographie des risques de la
Direction COM - SONATRACH
Chapitre III : Elaboration de la cartographie des risques de la 78
direction COM-SONATRACH

Introduction :
La « SONATRACH » est une entreprise qui possède une histoire et une
orientation nationale forte, ainsi qu'un poids économique considérable. Cependant, elle
est également présente sur la scène internationale grâce à son activité dans l'industrie
pétrolière et gazière.
Après avoir exposé les concepts théoriques du système d'audit interne, du
contrôle interne, du management des risques, ainsi que l'importance de la cartographie
des risques dans l'efficacité de l'entreprise, ce chapitre présentera une étude pratique qui
permettra de mettre en application les connaissances acquises jusqu'à présent. Plus
spécifiquement, l'étude portera sur la mise en place de la cartographie des risques pour
le Département Contrôle Interne de l'Activité Commercialisation (COM Alger).
Chapitre III : Elaboration de la cartographie des risques de la 79
direction COM-SONATRACH

Section 1 : Présentation de l’organisme d’accueil.

1 Historique :
Pour l’Algérie, qui sortait de la guerre d’indépendance, une telle situation ne
pouvait nullement convenir à sa stratégie de développement. Pour cela, l’Etat algérien se
dota d’un instrument permettant la mise en œuvre d’une politique énergétique en créant
le 31-12-1963 par décret n° 63 /491 la Société Nationale de Transport et
Commercialisation des Hydrocarbures, plus connue par son abréviation « SONATRACH
».

La Sonatrach est la plus importante compagnie d’hydrocarbures en Algérie et en Afrique.


Elle intervient dans l’exploration, la production, le transport par canalisations, la
transformation et la commercialisation des hydrocarbures et de leurs dérivés. Adoptant
une stratégie de diversification, Sonatrach se développe dans les activités de génération
électrique, d’énergies nouvelles et renouvelables, de dessalement d’eau de mer, de
recherche et d’exploitationminière.

Poursuivant sa stratégie d’internationalisation, Sonatrach opère en Algérie et dans


plusieurs régions du monde : en Afrique (Mali, Niger, Libye, Egypte), en Europe
(Espagne, Italie, Portugal, Grande Bretagne), en Amérique Latine (Pérou) et aux USA.

2 Missions de la SONATRACH :
La SONATRACH a la charge de gérer le patrimoine et de réaliser les objectifs
déterminants pour l’avenir de l’Algérie. Aujourd’hui SONATRACH assume les
missions stratégiques, depuis notamment la promulgation des deux lois 1986 et 1991
qui ont permis à celle-ci la facilité d’accès et d’attirer des partenaires et des
compagnies étrangères pour l’exploration et l’exploitation de gisements de Gaz et de
Pétrole brut, voir même la construction et l’exploitation de canalisations.
Elle a pour objet :
 La prospection, la recherche et l’exploitation des hydrocarbures.
 Le développement, l’exploitation et la gestion des réseaux de transport, de stockage
et dechargement des hydrocarbures.
 La liquéfaction du gaz naturel, le traitement et la valorisation des hydrocarbures
Chapitre III : Elaboration de la cartographie des risques de la 80
direction COM-SONATRACH

gazeux.
 La transformation et le raffinage des hydrocarbures.
 La commercialisation des hydrocarbures.
 Le développement de toute forme d’activités conjointes en Algérie et hors d’Algérie,
avec des sociétés algériennes ou étrangères, la prise et la détention de tout
portefeuille d’actions, les prises de participations et d’autres valeurs mobilières dans
toute société existante en Algérie ou à l’étranger.
 L’approvisionnement du pays en hydrocarbures à moyen et long terme.
 L’étude, la promotion et la valorisation de toute autre forme et source d’énergie.
 Le développement par tous les moyens de toute activité ayant un lien direct ou indirect
avec l’industrie des hydrocarbures et de toute activité pouvant engendrer un intérêt
pour Sonatrach, et généralement toute opération de toute nature qu’elle soit, pouvant
se rattacher directement ou indirectement à son objet social.

3 Organisation et organes de la SONATRACH :

L’organisation de SONATRACH Spa s’articule autour :


 De la Direction Générale :
Le Président Directeur Général est assisté dans l’exercice de ses fonctions :
 D’un Comité Exécutif conformément à l’article 11.3 des statuts de
SONATRACH.
 D’un Secrétariat Général, placé sous l’autorité d’un secrétaire Général, chargé :
 De la gestion du courrier et des archives de la Direction Générale et du suivi des
instructions du PDG ;
 D’assurer la gestion mutualisée des structures suivantes :
- Institut Algérien du Pétrole ;
- SONATRACH Management Academy ;
- Affaires sociales ;
- Relations publiques ;
- Pilotage des Holdings ;
- Gestion du patrimoine siège.
 D’un Cabinet, placé sous la responsabilité d’un Directeur de Cabinet chargé :
Chapitre III : Elaboration de la cartographie des risques de la 81
direction COM-SONATRACH

 De fournir conseil et appui technique au PDG, sur des dossiers particuliers ;


 De définir et de mettre en œuvre une politique de sponsoring et d’investissement
social ;
 De la veille informationnelle.
Et assure la coordination :
- De la Direction Audit et risques ;
- De la Directions des Relations Internationales et Institutionnelles ;
- Du Service Sureté Interne d’Etablissement ;
- Des conseillers.
 D’une Direction Corporate Affairs (CRA), placé sous l’autorité d’un
Directeur Corporate, chargée :
 Du secrétariat du Comité Exécutif ;
 Du secrétariat du Conseil d’Administration (CA) ;
 De l’appui au secrétariat de l’Assemblée Générale (AG)
Est rattaché à la Direction Générale (DG) le comité suivant :
- Un Comité d’Ethique, chargé de veiller au respect des dispositions du Code d’Ethique
et au renforcement des pratiques éthiques au sein de la société.
Sont rattachés à la Direction Générale, également :
- La Direction Transformation SH2030 (TRF) chargée de la coordination et du suivi de
la mise en œuvre du plan de transformation de SONATRACH SH2030.
- La Direction Audit et Risques (ADR) chargée de la gestion et de la conduite des audits
et de l’évaluation de l’application de la réglementation et des procédures en vigueur. Elle
assure l’animation de la politique de contrôle interne de la société, pilote et coordonne le
processus de management des risques.
- La Direction Communication (CMN) chargée de l’élaboration et de la mise en œuvre
de la stratégie de communication de SONATRACH.
- Le Service Sureté Interne d’Etablissement (SIE) chargé de veiller à la sureté interne
de la société, conformément à la réglementation en vigueur, notamment pour le siège de
la société.
- Les Conseillers.

 Des Structures Fonctionnelles Centrales :


Chapitre III : Elaboration de la cartographie des risques de la 82
direction COM-SONATRACH

Les Structures Fonctionnelles Centrales ont pour rôle de :

- Elaborer et veiller à l’application des politiques et stratégies de la Société ;

- Planifier, fournir et coordonner la mise à disposition de l’expertise et de l’appui aux structures


Opérationnelles de la Société ;

- S’affirmer et contribuer, en qualité de centre d’excellence et d’expertise dans leurs domaines


respectifs ;

- Se constituer en sources d’information et contribuer au processus de reporting ;

- Assurer l’appui aux projets de la Société ;

- Assurer l’information et le reporting.

 La Direction Corporate Stratégie, Planification et Economie (SPE)

 La Direction Corporate Finance (FIN)

 La Direction Corporate Business Development et Marketing (BDM)

 La Direction Corporate Ressources Humaines (RHU)

 La Direction Centrale Procurement & Loogistique (P&L)

 La Directions Centrale Ressources Nouvelles (REN)

 La Direction Centrale Engineering & Project Management (EPM)

 La Direction Centrale Juridique (JUR)

 La Direction Centrale Digitalisation et Système d’Information (DSI)

 La Direction Centrale Santé, Sécurité et Environnement (HSE)

 La Direction Centrale Recherche et Développement (R&D)


 Des Structures Opérationnelles :
Les Structures Opérationnelles sont organisées autour des Activités ci-après :
- Exploration-Production (E&P) ;
- Transport par Canalisations (TRC) ;
- Liquéfaction et Séparation (LQS) ;
Chapitre III : Elaboration de la cartographie des risques de la 83
direction COM-SONATRACH

- Raffinage et Pétrochimie (RPC) ;


- Commercialisation (COM).
Chaque activité exerce ses métiers, développe son portefeuille d’affaires et contribue, dans
son domaine de compétences, au développement des activités internationales de la société.
 L’Activité Exploration-Production, placée sous l’autorité d’un Vice-Président,
est chargée de l’élaboration et de l’application des politiques et stratégies
d’exploration, de développement et d’exploitation de l’amont pétrolier et gazier,
dans le cadre des objectifs stratégiques de la Société.
 L’Activité Transport par Canalisations, placée sous l’autorité d’un Vice-
Président, est chargée de l’élaboration et de l’application des politiques et
stratégies en matière de transport des hydrocarbures par canalisations, dans le
cadre des objectifs stratégiques de la Société.
 L’Activité Liquéfaction et Séparation, placée sous l’autorité d’un Vice-
Président, est chargée de l’élaboration et de l’application des politiques et
stratégies d’exploitation, de gestion et de développement des activités de
liquéfaction et de séparation des gaz, dans le cadre des objectifs stratégiques de la
Société.
 L’Activité Raffinage et Pétrochimie, placée sous l’autorité d’un Vice-Président,
est chargée de l’élaboration et de l’application des politiques et stratégies
d’exploitation, de gestion et de développement de raffinage et de la pétrochimie,
dans le cadre des objectifs stratégiques de la Société.
 L’Activité Commercialisation, placée sous l’autorité d’un Vice-Président, est
chargée de l’élaboration et de l’application des politiques et stratégies de
commercialisation des hydrocarbures à l’extérieur et sur le marché national, dans
le cadre des objectifs stratégiques de la Société.

Actuellement Sonatrach est organisée selon le schéma ci- après :


Chapitre III : Elaboration de la cartographie des risques de la 84
direction COM-SONATRACH

Figure 6: Organigramme de la Macrostructure de SONATRACH

Source : documents interne de la SONATRACH

4 Présentation de l’Activité Commercialisation (COM) :


4.1 Organisation et organes de l’Activité COM :
L’Activité Commercialisation est organisée autour des structures opérationnelles et des
structures fonctionnelles suivantes :
 Les Structures Opérationnelles :
- Une Division Commercialisation Pétrole Brut et Produits Pétroliers composée de :
 Une Direction Commercialisation Pétrole Brut et Condensat ;
 Une Direction Opérations Hydrocarbures Liquides ;
 Un Département Analyse et Reporting Hydrocarbures Liquides.
- Une Division Commercialisation Gaz composée de :
 Une Direction Commercialisation GN/GNL ;
 Une Direction Commercialisation GPL ;
 Une Direction Opérations Hydrocarbures Gazeux ;
Chapitre III : Elaboration de la cartographie des risques de la 85
direction COM-SONATRACH

 Un Département Analyse et Reporting Hydrocarbures Gazeux.


- Une Division Ventes Marché National composée de :
 Une Direction Ventes Produits Pétroliers et Dérivés Marché National ;
 Une Direction Ventes Gaz Marché National ;
 Un Département Analyse et Reporting Marché National.
- Une Coordination Unités Portuaires composée de :
 Une Unité Portuaire EST (Skikda) ;
 Une Unité Portuaire Centre (Alger/Bejaia) ;
 Une Unité Portuaire Ouest (Arzew) ;
 Un Département Qualité.
- Une Direction Transport Maritime composée de :
 Un Département Transport Maritime Hydrocarbures Liquides ;
 Un Département Transport Maritime GNL ;
 Un Département Transport Maritime GPL.
 Les Structures Fonctionnelles :
- Une Direction Etudes, Planification et Performances composée de :
 Un Département Veille et Analyse Marchés ;
 Un Département Etudes Energétiques ;
 Un Département Planification, Performance et Reporting ;
 Un Département Organisation.
- Une Direction Finances composée de :
 Un Département Comptabilité ;
 Un Département Trésorerie ;
 Un Département Budget et Contrôle de Gestion.
- Une Direction Ressources Humaines composée de :
 Un Département Formation et Gestion des carrières ;
 Un Département Gestion du Personnel et Relations de Travail.
- Une Direction Technologies de l’Information composée de :
 Un Département Solutions Métiers ;
 Un Département Réseaux et Systèmes ;
 Un Département Sécurité des Systèmes d’Information.
- Une Direction Juridique composée de :
Chapitre III : Elaboration de la cartographie des risques de la 86
direction COM-SONATRACH

 Un Département Contrats ;
 Un Département Conseil et Veille Réglementaire.
- Une Direction Moyens Généraux composée de :
 Un Département Logistique ;
 Un Département Technique ;
 Une Cellule Relations Extérieures.
- Un Département Contrôle Interne ;
- Un Assistant Sureté Interne d’Etablissement ;
- Une Cellule HSE ;
- Deux Conseillers.

4.2 Missions de l’Activité Commercialisation :


L’Activité Commercialisation a pour missions essentielles :
 La définition, l’élaboration et la mise en œuvre de la politique et des stratégies de
commercialisation et de valorisation des hydrocarbures primaires et transformés,
à l’international et sur le marché national, dans le cadre des objectifs stratégiques
de SONATRACH ;
 La définition des stratégies de maitrise des risques de marché, de contreparties et
des risques opérationnels (réglementaires, environnementaux, etc.) ;
 L’approvisionnement du marché national en produits pétroliers et gazeux ;
 La sécurisation des marchés traditionnels de la société et la consolidation de sa
position dans son rôle d’exportateur capable de fournir la flexibilité requise à des
conditions compétitives ;
 La recherche continue de nouveaux débouchés en vue de la diversification et/ou
la promotion des exportations et la recherche de la meilleure valorisation des
produits exportés y compris les quantités additionnelles ;
 La conduite des négociations avec les clients étrangers et nationaux ;
 La participation aux négociations commerciales avec les partenaires ;
 La gestion des contrats de vente et d’achat ainsi que les contrats d’importation
des hydrocarbures ;
 La participation à la génération d’une plus-value sur les segments internationaux
de valorisation industrielle des ressources en hydrocarbures de SONATRACH ;
 La coordination avec les Activités de la société afin d’optimiser la
Chapitre III : Elaboration de la cartographie des risques de la 87
direction COM-SONATRACH

commercialisation et la valorisation des produits ;


 La gestion des contrats de Processing du Pétrole Brut à l’international ;
 La contribution et le support en expertise nécessaire au développement des
Activités de la Société, ainsi que des filiales du groupe à l’échelle nationale et
internationale ;
 Le reporting auprès de la Direction Générale de SONATRACH et des instances
de tutelle.

4.3 Organigramme de l’Activité Commercialisation (COM) : voir Annexe 01

5 Présentation du Département contrôle interne au niveau de COM :


Le département Contrôle Interne (DCI), où j’ai passé mon stage, figure parmi les dix
structures fonctionnelles et l’une des plus importantes structures de l’activité
Commercialisation, il se constitue d’un Chef de Département CI, des chefs de missions CI
et des contrôleurs internes.
 Missions du Département Contrôle Interne :
Le Département Contrôle Interne, rattaché au Vice-Président COM, a pour missions :
- La participation à la mise en œuvre de la politique de contrôle interne de SONATRACH,
au niveau de l’activité ;
- La promotion et la sensibilisation à la culture de contrôle interne, au sein de l’activité ;
- La contrôle de conformité aux textes législatifs et réglementaires ainsi que de l’application
de la réglementation et des procédures de la société ;
- L’identification des axes d’amélioration et la proposition de mesures correctives ;
- La conduite des missions de contrôle interne, commandées par le Vice-Président de
l’Activité ;
- L’élaboration et la mise en œuvre d’un plan d’intervention annuel, en matière de contrôle
interne ;
- La formulation d’avis et de conseils, demandés par le Vice-Président ;
- L’assistance aux structures de l’Activité à l’élaboration et à la mise en application des
procédures ayant trait aux dispositifs de contrôle interne (financier, opérationnel,
investissement, RH, …) ;
- Le suivi de la mise en œuvre des recommandations d’audit et des mesures correctives,
formulées à l’issue des missions de contrôle interne ;
Chapitre III : Elaboration de la cartographie des risques de la 88
direction COM-SONATRACH

- La contribution à l’élaboration et à la mise à jour de la cartographie des risques des


structures de l’Activité ;
- La mise en place d’une banque de données, relative aux missions de contrôle interne et
son actualisation ;
- Le reporting du plan annuel de contrôle interne, à la direction Audit et Risques ;
- Le reporting annuel des rapports de missions, à la direction Audit et risques ;
- L’élaboration d’un reporting d’activité périodique des travaux du Département, à la
hiérarchie.

Organisation de département contrôle interne :

Chef de
Département CI

Chef de
Mission CI

contrôleurs
Internes
Source : document interne de SONATRACH

Section 2 : Elaboration de la cartographie des risques de COM

Notre objectif général est d’élaborer la cartographie des risques et avoir une vision
globale des risques encourus. Pour identifier ceux liés à toutes les structures
fonctionnelles et opérationnelles de l’Activité Commercialisation, une démarche
composée de quatre étapes a été arrêté il s’agit de :
 Utilisation de l’outil (registre des risques) ;
 Identification des risques liés à chaque structure ;
 Elaboration de la cartographie des risques ;
Chapitre III : Elaboration de la cartographie des risques de la 89
direction COM-SONATRACH

 Traitement des risques.

1 Utilisation de l’outil (Registre des risques) :


1.1 Définition du Registre des risques :
Le registre des risques est un outil présenté sous forme de tableaux à utiliser pour
identifier, analyser, évaluer, hiérarchiser, traiter, actualiser et surveiller les risques des
unités opérationnelles et structures fonctionnelles de l’Entreprise. Ce registre peut être
utilisé pour prendre en charge un processus de gestion des risques conforme aux
meilleures pratiques recommandées par la norme ISO 31000 et le Référentiel Américain
du COSO. Il reflète les principales étapes de gestion des risques, notamment
l’identification, l’analyse, l’évaluation et la gestion ou traitement des risques.
L’utilisateur ne doit entrer que des informations dans les colonnes déverrouillées,
notamment dans les feuilles Identification (description détaillée des risques identifiés),
évaluation (mentionner le degré d’impact du risque et la fréquence de sa survenance),
traitement (l’option de traitement retenue, la description des actions engagées avec les
nouveaux degrés d’impact et de fréquence).

1.2 Elaboration de la cartographie des risques :


1.2.1 Définition du risque :
Possibilité que se produise un évènement qui aura un impact sur la réalisation des objectifs.
Le risque se mesure en termes d’impact et de probabilité (Référentiel COSO). Toute
incertitude ou aléa que la structure doit anticiper, comprendre et gérer pour protéger son
personnel, ses actifs corporels et incorporels, et atteindre les objectifs qui lui sont fixés.

1.2.2 Identification des risques :


- Exercice consistant à rechercher les risques qui pourraient affecter l’atteinte des objectifs
de l’organisation et documenter leurs caractéristiques (recherche, reconnaissance et
description des risques).
- L’identification des risques comprend l’identification des sources de risques ou
d’évènements de leurs causes et de leurs conséquences potentielles.
- Elle fait appel à des données historiques, des analyses théoriques, des avis d’experts et
d’autres personnes compétentes et tenir compte des besoins des parties prenantes.
Chapitre III : Elaboration de la cartographie des risques de la 90
direction COM-SONATRACH

1.2.3 Règles de base d’identification des risques :


il faut rester factuel, éviter le catastrophisme et les scénarios des sciences fiction tout
en acceptant de sortir du cadre (out-of the box). Il est ensuite important d’intégrer les
évènements rares et les risques très peu vraisemblables (par de censure).

1.2.4 Description détaillée du risque identifié :


Chaque risque doit avoir sa propre description détaillée, c’est-à-dire : définition de
l’évènement, ses origines, ses causes, sa probabilité de survenance et son impact. La
description doit être concis mais complet dont la forme de description la plus répandue est
« Si un <EVENEMENT NON-DESIRE> se produit, alors une ou
plusieurs<CONSEQUENCE> arrivera à <QUI>, provoquant un <IMPACT> sur
<RESULTAT ATTENDU>. »

1.2.5 Analyse des risques identifiés :


vérifier que chaque risque a sa propre description et que cette description définit
clairement l’évènement et ses conséquences éventuelles. S’assurer que cette description soit
concise mais complète.

1.2.6 Evaluation des risques analysés :


Il s’agit de déterminer, pour chaque risque, la criticité du risque à travers la combinaison
entre le degré de son impact et de sa probabilité de survenance.

1.2.7 Hiérarchisation et obtention de la cartographie des risques :


ces deux étapes se font automatiquement grâce aux formules intégrées dans l’outil (en
calculant la criticité du risque par la combinaison de son impact avec sa probabilité de
survenance et en les classant sur la cartographie, en fonction du score attribué à chaque risque
« degré de criticité ».

1.2.8 Traitement du risque (réponse au risque) :


Processus destiné à agir sur le risque en utilisant plusieurs options :

Mettre fin au risque ;

Tolérer le risque ;

Transférer le risque ou le traiter (diminution du degré d’impact et/ou de la probabilité de


sa survenance).
Chapitre III : Elaboration de la cartographie des risques de la 91
direction COM-SONATRACH

1.2.9 Evaluation du risque résiduel :


L’évaluation du risque en prenant en considération l’effet des actions engagées, ce qui
donne une valeur quantitative ou qualitative basée sur de nouveaux paramètres de probabilité
et d’impact dont la criticité dépend de l’efficacité du traitement opéré et de la nature des
options de réponse adoptées.

2 Traitement des risques :


 Planning de traitement des risques : planifier les activités de gestion en
analysant les options de réponse aux risques (acceptation, évitement,
atténuation ou transfert) et décider comment les aborder.
 Traitement du risque (réponse au risque) : Processus destiné à agir sur le
risque en utilisant plusieurs options :
 Traiter le risque : Si un traitement est possible et que ses bénéfices
l’emportent sur ses couts, l’organisation pourrait décider d’agir par des
mesures d’atténuation (contrôle interne).
 Transférer le risque : Cette option de réponse au risque cherche à transférer
l’impact d’un risque à un tiers sans se dessaisir de l’activité (Prestataire, client,
fournisseur, assurance, …).
 Tolérer le risque : Accepter le risque et assurer une surveillance et un
traitement régulier du risque. Les raisons typiques de la sélection de cette
option de réponse sont peut-être que le risque d’occurrence est peu probable,
que l’impact du risque est faible ou que le risque échappe au contrôle de
l’organisation (le seuil de tolérance doit être arrêté par la Direction Générale).
 Eliminer le risque (évitement) : Une option de réponse permettant de mettre
fin au risque en arrêtant une pratique ou en éliminant la source du risque.
 Evaluation du risque après son traitement : Aussi appelé risque résiduel
(une valeur quantitative ou qualitative basée sur la probabilité et le niveau
d’impact, après prise en compte d’une option de réponse au risque).

3 Quelques Définitions :
3.1 Chaine de valeur :
La chaine de valeur c’est l’ensemble des étapes déterminant la capacité d’un
Chapitre III : Elaboration de la cartographie des risques de la 92
direction COM-SONATRACH

domaine d’activité stratégique (DAS), d’une entreprise ou d’une organisation à


obtenir un avantage concurrentiel. La chaine de valeur peut se définir comme
l’étude précise des activités de l’entreprise afin de mettre en évidence ses activités
clés, c’est-à-dire celles qui ont un impact réel en termes de cout ou de qualité et qui
lui donneront un avantage concurrentiel.

3.2 Cout de la dette :


le cout de la dette nette se calcule en multipliant le montant de la dette nette, qui fait
partie des capitaux permanents, par le taux d’intérêt net d’impôts demandé par les institutions
financières prêteuses.

3.3 Risque de contrôle :


Possibilité que les activités de contrôle échouent à atténuer le risque jusqu’à un niveau
acceptable.

3.4 Pourquoi un processus de gestion des risques ?


Connaitre d’une manière systématique et formelle ses risques et leurs niveaux de
criticité ;
Développer une culture commune de gestion des risques ;
Prendre en compte la dimension risque dans le processus de prise de décisions
(pilotage par les risques) ;
Doter l’entreprise de plans et politiques de maitrise des risques ;
Chapitre III : Elaboration de la cartographie des risques de la 93
direction COM-SONATRACH

Aider l’entreprise à atteindre ses objectifs opérationnels, de conformité et de


reporting ;
Renforcer l’image de marque de l’entreprise (valeurs éthiques, exemplarité, fiabilité,
…) ;
Aider à l’élaboration d’un plan d’audit basé sur les risques ;
S’adapter à un environnement en perpétuel changement et porteur de nouveaux
risques.

3.5 Facteurs Clés de Succès :


- La cartographie des risques n’est pas un audit : l’entité est propriétaire du processus et
du résultat qui en découlent.
- Le succès dépend fortement de sa motivation pour mener les actions de traitement des
risques « en aval » et assurer leur suivi permanent.

3.6 Couple Objectifs/Risques :


La connaissance approfondie des objectifs fixés par l’organisation est un préalable
nécessaire à l’identification des risques qui peuvent qui peuvent avoir une influence
négative sur leur réalisation. En effet, la gestion des risques identifiés sur la base des
objectifs fixés permet de donner une assurance raisonnable que ces objectifs ne
soient pas affectés par des évènements indésirables non prévues. En général trois
catégories d’objectifs sont concernées par l’identification des risques, à savoir :

3.6.1 Objectifs Opérationnels :


(liés à l’efficacité et à l’efficience de l’utilisation des moyens de l’organisation) ;

3.6.2 Objectifs de Reporting :


(liés à la fiabilité de des informations produites et communiquées) ;

3.6.3 Objectifs de Conformité :


(liés au respect des lois et règlements internes et externes applicables).

Dans la pratique, les risques liés aux objectifs de reporting et de conformité peuvent être
maitrisées par la mise en place et l’exécution efficace des contrôles qui y sont associées et
qui font partie du champ de contrôle de l’organisation :
 Procédures d’autorisation et d’approbation ;
 Séparation des tâches (autorisation, traitement, enregistrement, analyse) ;
Chapitre III : Elaboration de la cartographie des risques de la 94
direction COM-SONATRACH

 Contrôle de l’accès aux ressources et aux documents ;


 Vérifications ;
 Réconciliations ;
 Analyse de performance opérationnelle ;
 Analyse des opérations, des processus et des activités ;
 Supervision (affectation, analyse, et approbation, lignes directrices et formation) ;
 Veille juridique, élaboration et mise à jour continuelle des procédures et des
règles de gestion ;
Par contre les risques liés aux objectifs opérationnels nécessitent plus de vigilance et
de précautions, à cause de, entre autres, de la diversité des évènements et la
complexité des processus opérationnels.

3.7 Risques de gestion des projets :


Le Chef de Projet doit dresser la liste la plus exhaustive possible de tous les évènements
générateurs de risques. On peut citer les différents types risques suivants :

- Financiers : coût supérieur à l’estimation, budget insuffisant, etc.


- Humains : manque de compétences, absentéisme, démission au cours du projet, conflits
au sein de l’équipe, etc.
- Temporels : retards des sous-traitants ou des fournisseurs, mauvaise estimation des
délais, etc.
- Techniques : logiciel inadapté, pannes, matériel obsolète, etc.
- Juridiques : nouvelles réglementations et lois à respecter, faillite d’un fournisseur, etc.
- Organisationnels : changement dans la politique de l’entreprise, changements
économiques, etc.

3.8 Contrôle :
toute mesure prise afin de gérer les risques et d’accroitre la probabilité que les buts et
objectifs fixés seront atteints.

3.9 Conflit d’intérêt :


Relation qui est ou parait préjudiciable aux intérêts de l’organisation ; situation
pouvant affecter la capacité d’un individu à remplir sa fonction et d’assumer ses
responsabilités de manière objective. A titre d’exemple lorsqu’une personne d’une
organisation a un intérêt économique personnel, gardé secret dans une transaction et
Chapitre III : Elaboration de la cartographie des risques de la 95
direction COM-SONATRACH

que celui-ci compromet les intérêts de l’organisation.

3.10 Fraude :
La fraude est une action volontaire, c’est tout acte illégal caractérisé par
l’escroquerie, le recel ou l’abus de confiance. La non correction d’une erreur connue
constitue une fraude.

3.11 Domaines concernés par la Fraude :


Du simple vol de fournitures de bureau peu onéreuses au bas de l’échelle au
détournement de fonds, vol d’équipements onéreux, utilisation non autorisé des moyens de
l’organisation, à des fins personnels, jusqu’à la corruption.

3.11.1 Supports de Fraude :


 Faux documents ;
 Faux contrats ;
 Fausses factures ;
 Fausses sociétés ;
 Fausses prestations.

3.11.2 Exemples de Fraude : nous pouvons citer :


 Vol d'argent ou d'actifs (fournitures, stock, équipement, informations) ;
 Détournement de fonds avant d'être enregistré dans les livres comptables de
l'organisation ;
 Décaissements frauduleux (Produits ou services fictifs, factures exagérées, ou
factures pour des achats personnels) ;
 Remboursement de frais fictifs ou exagérés (notes de frais de déplacements
personnel, des repas inexistants, des kilomètres supplémentaires, etc.) ;
 Fraude sur salaire (heures supplémentaires non travaillées, ou rajout des employés
fictifs à la liste du personnel) ;
 Un conflit d’intérêts (intérêt économique personnel gardé secret dans une transaction
et que celui-ci compromet les intérêts de l’organisation ou des actionnaires) ;
 Un détournement (détourner une transaction pour le compte d’un employé ou d’un
tiers) ;
 Accepter des pots-de-vin ou des commissions occultes ;
Chapitre III : Elaboration de la cartographie des risques de la 96
direction COM-SONATRACH

 Non-divulgation intentionnelle ou la fausse déclaration d’évènements, transactions


ou données ;
 Absence intentionnelle de réaction dans des circonstances où l’entreprise ou la loi
exige de prendre des mesures ;
 Utilisation non autorisée ou illégale d’informations confidentielles ;
 Manipulation non autorisée ou illégale des réseaux informatiques ou des systèmes
d’exploitation.

4 Identification des risques liés à chaque structure :


4.1 Base d’évaluation :
(Paramètres arrêtés et utilisés par le Cabinet BCG dans l’évaluation des risques de
SONATRACH)

Niveau de probabilité de survenance


Improbable Rare Occasionnel Fréquent
> 10 ans 5-10 ans 2-4 ans < 1 an

Critique
Modéré (1*7) Elevé (2*7) Critique (3*7)
(4*7)

Critique
Modéré (1*5) Elevé (2*5) Elevé (3*5)
(4*5)

Modéré
Faible (1*3) Modéré (3*3) Elevé (4*3)
(2*3)

Modéré
Faible (1*1) Faible (2*1) Faible (3*1)
(4*1)
Chapitre III : Elaboration de la cartographie des risques de la 97
direction COM-SONATRACH

4.2 Domaines de risques

Ressources
Finance Opérationnels Juridiques Immatériels Stratégiques
Humaines

Services Description Impact Description


critiques of Impact critique of Impact
>
Critique

durablement (User- (couverture (User-


Décès 3.5bn€
perturbés Generated) internationale) Generated)
7

Services Description Description


~500m€
critiques en of Impact Impact élevé of Impact
<
Accidents rétablissement (User- (couverture (User-
3.5bn€
Elevé

graves (<1 semaine) Generated) nationale) Generated)


5

Augmentation Services Description Impact Description


~50m€
significative critiques of Impact modéré of Impact
<
Modéré

& durable de temporairement (User- (couverture (User-


~500m€
l'absentéisme perturbés Generated) locale) Generated)
3

Description Description
Augmentation Services non
< of Impact of Impact
locale de critiques Impact limité
~50m€
Faible

(User- (User-
l'absentéisme perturbés
Generated) Generated)
1

- Actions à engager pour le traitement des risques

Risques intolérables : nécessitant des actions impératives, à mettre en


Critique
œuvre sans délai même si les moyens à consacrer sont importants.
Risques sérieux : actions à engager le plus rapidement possible, dans la
limite des possibilités financières de l’organisme. Orienter l'utilisation des
Elevé
budgets disponibles pour rendre rapidement possibles les actions sur les
plus urgents de ces risques.

Modéré Risques moyens : actions à engager dans le cadre des budgets disponibles.

Risques supportables : gérés avec les pratiques et procédures actuelles et


Faible
actions à engager si elles sont simples et consomment peu de ressources.

4.3 Phase d’identification des risques :


Chapitre III : Elaboration de la cartographie des risques de la 98
direction COM-SONATRACH

PHASE IDENTIFICATION DES RISQUES


Partie à renseigner par le
Partie renseignée par la Direction ADR
Groupe de travail de l'Unité
Description Applica-
Intitulés des Sous
Code Catégorie de sommaire des ble ou Description détaillée
risques Catégorie de
Risque risques risques non des risques Identifiés
(SH/BCG) risques
(SH/BCG) applicable
Objectif:
Recouvrement des
créances dans les
délais contractuels.
Menace : Défaut de
recouvrement des
créances et de
paiement d'un ou
plusieurs clients
Causes:
- Absence d'une veille
sur l'état des clients et
d'arsenal juridique;
- Insuffisance de
défaut de clauses contractuelles
Chaine de paiement d'un préventives
SH_03 Défaut client Finance OUI
valeur client / d'une protégeant les
contrepartie interrêts de
l'entreprise;
Conséquences:
- Difficulté dans
l'assainissement des
comptes;
- Contraintes dans la
prise en charge des
constats et des
recommandations du
CAC;
- Perte financières liée
aux créances
irrécouvrables;
- Litiges /contentieux
Chapitre III : Elaboration de la cartographie des risques de la 99
direction COM-SONATRACH

avec les clients.

Objectif : Assurer le
bon fonctionnement
du processus
d'approvisionnement
(délais, coûts et
qualité).
Menace: Contrats
non honorés ou
indisponibilité des
fournisseurs
(infructuosité des
marchés).
Causes :
- Situation
monopolistique;
non respect
- Lenteur dans le
des
processus de
Défaillance engagements
Chaine de passation des
SH_10 d'un contrat Opérationnels ou OUI
valeur marchés;
d'Appro. indisponibilité
- Insuffisance dans la
des
rédaction des contrats;
fournisseurs
- Retard dans
l'obtention des
autorisations
d'importation
(annulation de la
transaction);
Conséquences :
- Résiliation de
contrat;
- Contéstation de la
population;
- Atteinte à l'image de
marque de
l'Entreprise;
- Litiges/contentieux.
Chapitre III : Elaboration de la cartographie des risques de la 100
direction COM-SONATRACH

Objectif : Assurer le
bon fonctionnement
de la chaîne logistique
(disponibilité
permanente des
produits).
Menace :
Dysfonctionnement
dans le système de
gestion des ventes
et/ou
d'approvisionnement.
Causes :
- Retard de livraison
(problème de qualité
et/ou Contamination
des produits,
consignation des
Défaillance rupture de la ports, indisponibilité
Chaine de
SH_11 de la chaîne Opérationnels chaîne OUI et vétusté des
valeur
logistique logistique installations
portuaires,
indisponibilité du
navire, défaillance
dans la livraison par
canalisation...);
- Défaillance dans les
procédures de gestion
des Achats/ventes ou
dans leurs
applications;
- Insuffisance des
capacités de stockage,
Conséquences :
- Glissement sur les
délais de livraison
et/ou expédition;
- Manque à gagner,
- Surcoût/pertes
Chapitre III : Elaboration de la cartographie des risques de la 101
direction COM-SONATRACH

financières;
- Litiges/contentieux.
- Atteinte à l'image de
marque.
Objectif: Exiger aux
structures de
Sonatrach le respect
des exigences des
clients et trouver avec
ces derniers un
consensus optimal en
cas d'incident qualité
Menace: Ecart en
qualité des produits
disponibles.
Causes :
- Non respect des
Incident Chaine de non respect exigences des clients
SH_14 Opérationnels OUI
qualité valeur des qualités par les raffineries
- Qualité des produits
influencée par la
mauvaise gestion des
infrastructures
portuaires.
Conséquences :
- Perte d'argent
- Perte du client
- Mauvaise image de
la compagnie à
l'international
- Possibilité d'être
ester en justice
Objectif: Assurer une
veille juridique et
changement réglementaire.
Changement
SH_20 Juridiques Règlement sur les lois et OUI Menace: Non prise
réglementaire
règlements en considération des
changements
réglementaires
Chapitre III : Elaboration de la cartographie des risques de la 102
direction COM-SONATRACH

(national et
international).
Causes:
- Absence de mise à
jour de GTC's
(General terms
Conditions)
uniformisé.
- Manque d'effectif
spécialisé et/ou de sa
formation;
- Absence de veille
juridique et
réglementaire.
Conséquences:
- Pénalités et
amendes;
- Contentieux;
- Atteinte à l'mage de
marque.
Objectif : Préserver
l’intérêt de
l’Entreprise par
l'insertion des clauses
contractuelles
optimales.
non-respect Menace : Absence de
des conditions clauses contractuelles
contractuelles optimales (GTC's)
Risque
SH_22 Juridiques Contrats ou absence de OUI Causes :
contractuel
conditions - Absence de mise à
contractuelles jour de GTC's
optimales (General terms
Conditions)
uniformisé.
- Manque de
supervision lors de
l'exécution des
contrats;
Chapitre III : Elaboration de la cartographie des risques de la 103
direction COM-SONATRACH

- Manque de
formation.
Conséquences :
- Perturbation des
opérations de vente et
d'approvisionnement
(retards, surcoûts,
résiliation, ...);
- Litige/contentieux;
- Dépassement des
délais sans couverture
contractuelle
appropriée;

Objectif : Protéger la
santé et la sécurité du
personnel
(accidents/incidents,
intoxication, maladies
professionnelles,
contagieuses et/ou
pandémiques).
Menace : Atteinte à la
santé et/ou à la
accident sécurité du personnel .
Atteinte à la
impliquant un Causes :
santé et la Ressources
SH_25 Indisponibilité employé dans OUI - Non-respect des
sécurité des Humaines
l'exercice de règles et consignes de
travailleurs
son activité santé et de sécurité
(limitation de vitesse,
exigence du
mouchard, ...) ;
- Insuffisance
d'information et de
sensibilisation;
- Insuffisances et/ou
défections du
dispositif de contrôle
interne mis en place (
Chapitre III : Elaboration de la cartographie des risques de la 104
direction COM-SONATRACH

visites périodiques,
inspection de la
cantine et lieux de
travail, test de
dépistage, prise de
température, ...) ;
- Attitudes et
comportement
inadéquat sur les lieux
de travail et à
l'extérieur (Inaptitude
médicale non
déclarée);
Conséquences :
- Pertes humaines;
- Pertes financiéres
(coûts liés à
l’absentéisme, frais de
prise en charge
médicale, manque à
gagner, ...).
- Perturabation de
l'activité;
- Baisse de la
rentabilité;
- Augmentation du
taux des congés de
maladie et
absentéisme;
- Objectif non atteint.
Chapitre III : Elaboration de la cartographie des risques de la 105
direction COM-SONATRACH

Objectif: Assurer le
recrutement, la
formation, la gestion
de carrière et la relève
des compétences
nécessaires à un
fonctionnement
optimal de la
direction.
Menace:
- Déperdition des
compétences ou du
personnel clés
conjugué;
- L’inadéquation des
profils de base sur le
manque
marché de travail par
d'employés
rapport au besoin de
avec les
l'entreprise;
Défaut de Ressources compétences
SH_26 Indisponibilité OUI - Manque de
compétence Humaines nécessaires
prestataires
pour les
spécialisés et
différents
compétents;
métiers
Causes:
- Insuffisanes dans la
gestion des ressources
humaines, notamment
en matière de
recrutement, gestion
de carrière et de
préparation de la
relève.
- Salaires non
attractifs par rapport
aux concurrents
Conséquences:
- Indisponibilité des
compétences pour
assurer le bon
Chapitre III : Elaboration de la cartographie des risques de la 106
direction COM-SONATRACH

fonctionnement des
processus des métiers
opérationnels au
niveau des structures
ventes et operations.
Ce qui influe sur les
performances des
processus des
différents métiers et
par voie de
conséquence sur
l’atteinte des objectifs
fixés à ces processus.
Objectif : Définir une
organisation adaptée
aux besoins en
assignant clairement
les missions et les
responsabilités.
Menace :
Organisation ne
répondant pas aux
besoins de
changements
fonctionnement de la
d'organisation
Direction.
Organisation non adaptés
Ressources Causes :
SH_28 non adaptée Relations RH aux besoins de OUI
Humaines - Mauvais diagnostic;
ou instable l'entreprise
- Insuffisance dans la
ou trop
détermination des
fréquents
besoins en personnel;
Conséquences :
- Conflits de
responsabilités;
- Rendement limité;
- Chevauchement des
tâches;
- Dilution des
responsabilités;
- Démotivation du
Chapitre III : Elaboration de la cartographie des risques de la 107
direction COM-SONATRACH

personnel;
- Mauvaise
coordination des
équipes,
- Objectifs non
atteints.
Objectif: Fidéliser les
clients de la société et
rechercher d'autres
clients potentiels.
Menace: Pertes de
clients clés
Causes:
- Bouleverssement de
l'équilibre du marché;
- Ayant trouver une
autre source
perte d'un d'approvissionnement;
client - Insatisfaction des
représentant clients (problemes de
Perte de
SH_38 Stratégiques Demande une part OUI qualité, délai, prix,
client clé
importante du ...);
portefeuille de - Arrêt de l'activité
la société par le client
- Réclamations non
satisfaites;
Conséquences:
- Hausse des
disponibilités à
l'exportation
- Réduction du
portefeuille client.
- Atteinte a l'image de
marque;
- Manque à gagner,
Chapitre III : Elaboration de la cartographie des risques de la 108
direction COM-SONATRACH

Objectif: Améliorer
sa compétitivité
(Qualité de la
prestation et prix)
Menace: Arrivée d'un
nouveau concurrent
sur le marché de la
arrivée d'un
société.
Nouveau nouvel acteur
SH_39 Stratégiques Marché OUI Causes:
concurrent sur le marché
- Mauvaise préstation;
de la société
- Prix non compétitif.
- Changement
réglementaire,
Conséquences:
- Perte de part de
marché;
- Manque à gagner.
Objectif: Assurer un
approvisionnement
utile et efficace.
Menace: Rupture
d'approvisionnement.
Causes:
- Infructuosité des
appels d'offres;
manque ou - Congestion des ports
mauvaise et fermeture des ports
Rupture qualité des pour mauvais temps;
SH_41 Stratégiques Marché OUI
d'appro. produits - Problème logistique;
achetés par la - Insuffisance dans
société l'expression des
besoins (spécification,
quantité, qualité,
délai, ...);
Conséquence:
- Impact social et
économique.
- Manque à gagner;
- Pertes financières.
Chapitre III : Elaboration de la cartographie des risques de la 109
direction COM-SONATRACH

4.4 Analyse et évaluation des risques :


Code Description du Catégorie de
Risque risque risque Impact Probabilité Criticité
du risque
SH_03 Défaut client Finance Faible Improbable Faible
SH_10 Défaillance Opérationnels Faible Improbable Faible
d’un contrat
d’appro.
SH_11 Défaillance de Opérationnels Elevé Fréquent Critique
la chaine
logistique
SH_14 Incidents Opérationnels Faible Occasionnel Faible
qualité
SH_20 Changement Juridique Modéré Rare Modéré
réglementaire
SH_22 Risque Juridique Elevé Rare Elevé
contractuel
SH_25 Atteinte à la Ressources Faible Improbable Faible
santé et à la Humaines
sécurité des
travailleurs
SH_26 Défaut de Ressources Elevé Occasionnel Elevé
compétences Humaines
SH_28 Organisation Ressources Modéré Fréquent Elevé
non adaptée ou Humaines
instable

SH_38 Perte de client Stratégiques


clé Faible Rare Faible

SH_39 Nouveau Stratégiques Faible Rare Faible


Chapitre III : Elaboration de la cartographie des risques de la 110
direction COM-SONATRACH

concurrent
SH_41 Rupture Stratégiques Modéré Rare Modéré
d’appro.

5 Cartographie des risques de DCPPD-Activité COM :


5.1 Cartographie des risques avant traitement :

7 Critique

5 Elevé 1 1 1

3 Modéré 2 1
Impact

1 Faible 3 2 1

Improbable Rare Occasionnel Fréquent

1 2 3 4
Probabilité

Totaux

Risques critiques 8% 1

Risques élevés 25% 3

Risques Modérés 17% 2

Risques Faibles 50% 6


Totaux 100% 12
Chapitre III : Elaboration de la cartographie des risques de la 111
direction COM-SONATRACH

5.2 Cartographie des risques après traitement :

7 Critique

5 Elevé

3 Modéré
Impact

1 Faible

Improbable Rare Occasionnel Fréquent

1 2 3 4

Probabilité

Totaux

Risques critiques 0% 0

Risques élevés 0% 0

Risques Modérés 0% 0

Risques Faibles 0% 0
Totaux 100% 0
Chapitre III : Elaboration de la cartographie des risques de la 112
direction COM-SONATRACH

5.3 Cartographie des risques par codes :

Criticité Taux Nombre Code des risques évalués et hiérarchisés


Risques 8% 1 SH_11
Critiques
Risques 25% 3 SH_22 SH_26 SH_28
Elevés
Risques 17% 2 SH_20 SH_41
Modérés
Risques 50% 6 SH_03 SH_10 SH_14 SH_25 SH_38 SH_39
faibles
Chapitre III : Elaboration de la cartographie des risques de la 113
direction COM-SONATRACH

Section 03 : Procédure de conduite d’une mission de contrôle


interne au sein de l’Activité Commercialisation de SONATRACH

La présente procédure décrit les différentes étapes d’exécution d’une mission de


contrôle interne et de validation des constats. Elle définit aussi les modalités
d’organisation et de classement de tous les documents relatifs à une mission.

1 Description de la procédure de conduite d’une mission de contrôle


interne :
1.1 Champ d’application :
Cette procédure s’applique aux missions de contrôle interne planifiées conduites au
sein de l’Activité Commercialisation.

1.2 Responsabilités :
La stricte application de la présente procédure incombe au chef de département
contrôle interne et de son équipe (chef de mission CI et contrôleurs internes), chacun
en ce qui le concerne.

1.3 Documents de référence :


- Le Manuel Interne d’Organisation ;
- Les normes professionnelles (IIA, IFACI) et les Modalités Pratiques d’Application
(MPA).

1.4 Description de la procédure :


La mission de contrôle interne se déroule en trois phases :
- La phase de préparation ;
- La phase de réalisation ;
- La phase de conclusion.

1.4.1 La phase de préparation :


Annonce de la mission :
La lettre de mission constitue la matérialisation du mandat donné par le premier
Responsable de l’Activité à la structure contrôle interne, qui informe les principaux
responsables concernés par le contrôle, de l’intervention des contrôleurs internes.
La lettre de mission est établie par le chef de Département Contrôle interne, est adressée
Chapitre III : Elaboration de la cartographie des risques de la 114
direction COM-SONATRACH

au plus tard une semaine avant le démarrage de la mission de contrôle au (x)


responsable(s) concerné(s) sous forme de courrier (électronique, fax ou papier) pour les
informer du contrôle qui va être réalisé.
Une copie de la lettre de mission est conservée dans la section « Préparation de la
mission » du dossier de contrôle.
Etude Préliminaire :
Préalablement à la réalisation de la mission (la vérification sur le terrain), les
contrôleurs internes collectent et étudient toutes les informations liées à la structure
et/ou aux activités à contrôler.
Ces travaux vont contribuer à la constitution d’un référentiel du domaine à contrôler, à
mener une analyse des processus et à l’identification des risques permettant de préciser
les objectifs de contrôle.
Les documents collectés sont conservés dans la section « préparation de la mission » du
dossier de mission.
A l’issue de cette étape, le chef de Département Contrôle interne peut décider de
réorienter la mission en fonction des risques identifiés sur le terrain, de redimensionner
l’équipe ou carrément de surseoir, voire abandonner la mission. Les motivations ayant
conduit à mettre fin a une mission sont consignées dans un rapport ou une note
explicative qui est conservée dans le dossier de la mission avec les papiers de travail et
les documents constitués ou collectés lors de l’étude préliminaire.
Analyse des processus :
La phase analyse des processus s’effectue essentiellement par le biais d’entretiens
permettant de comprendre l’organisation et le fonctionnement de la structure et/ou les
domaines d’activité à contrôler.
Cette phase est matérialisée par un tableau des risques ayant pour objectif de faire un
état des lieux estimatif des forces et des faiblesses réelles ou potentielles de l’entité ou
du domaine d’activité contrôlé ainsi que de définir les objectifs spécifiques de la
mission.
Cette phase d’analyse des processus par l’approche des risques définira la nature et les
contrôles à effectuer.
Le Chef de mission CI et son équipe identifient les risques en collaboration avec la
structure concernée.
Chapitre III : Elaboration de la cartographie des risques de la 115
direction COM-SONATRACH

Sur la base des risques identifiés, le Chef de mission CI et son équipe élaborent le
tableau des risques, qui est conservé dans la section « Préparation de la mission » du
dossier de mission.
Orientation de la mission :
A la fin de la phase de préparation de la mission et juste avant le démarrage de la phase
de réalisation, le Chef de mission CI rédige la note d’orientation et la transmet à son
responsable, pour avis. Il s’agit d’un document synthétique, reprenant les objectifs du
contrôle à effectuer en corrélation avec les risques préalablement identifiés dans le
tableau des risques et le champ d’intervention des contrôleurs internes.
La note d’orientation est conservée dans la section « Préparation de la mission » du
dossier de mission.
Préparation du programme de travail :
Toute mission de contrôle interne doit faire l’objet d’un programme de travail élaboré
au moment de la préparation de la mission.
Le chef de mission CI établit le programme de travail sur la base de la note d’orientation
en collaboration avec les contrôleurs internes.
Le programme de travail est approuvé par le responsable de la structure CI avant sa
mise en œuvre et le démarrage des travaux.
Toute modification du programme de travail en cours de mission doit être motivée et
documentée par le chef de mission CI et approuvée par le responsable de la structure CI.
Le programme de travail est conservé dans la section « Préparation de la mission » du
dossier de mission.

1.4.2 La phase de réalisation :


Réunion d’ouverture :
La réalisation de la mission de contrôle sur le terrain débute par la tenue d’une réunion
d’ouverture chez la structure contrôlée en présence des responsables contrôlés
(Directeur, Chef de département, Chef de Service…) et de l’équipe de contrôle interne.
L’objet de la réunion est principalement de décrire le déroulement de la mission, de
discuter de la note d’orientation et de fixer les dates des premiers rendez-vous.
Les conclusions de cette réunion sont consignées dans le « compte-rendu de réunion
d’ouverture » et conservées dans la section « Réalisation de la mission » du dossier de
mission.
Chapitre III : Elaboration de la cartographie des risques de la 116
direction COM-SONATRACH

Tests de contrôle :
Le Chef de mission CI et son équipe vérifient les informations recueillies, permettant de
répondre aux objectifs de la mission.
Ils doivent s’assurer que ces informations sont insuffisantes, fiables, pertinentes et utiles
pour fournir une base saine et sûre aux constatations et recommandations.
Le travail sur le terrain consiste à conduire les contrôles prévus dans le programme de
travail en utilisant les outils de contrôle adéquats : mener des entretiens, élaborer des
diagrammes, réaliser des observations physiques, effectuer des rapprochements et des
reconstitutions et consulter des fichiers informatiques. Ces travaux sont formalisés par
les contrôleurs internes sur des « Feuille de Test (FT) » regroupées par thème sur des
« Feuille de Couverture (FC) ».
Les synthèses des entretiens sont rédigées dans « Compte Rendu d’Entretien (CRE) ».
Les documents de travail format papiers doivent faire référence aux documents de
travail électroniques lorsque ces derniers ne sont pas imprimés.
Les documents inhérents aux tests de contrôle sont classés dans la section « Réalisation
de la mission » du dossier de mission.
Formalisation des constats :
A la fin de la vérification, le contrôleur rédige la « Feuille d’Observation (F.O) » à partir
des conclusions tirées des feuilles de test faisant état de déficiences.
La forme des fiches (F.O) doit comporter les problèmes, les faits, les causes, les
conséquences et les recommandations.
Ces fiches sont représentées aux responsables des tâches contrôlées pour validations
individuelles après recueil de leurs réactions et discussion des principales
recommandations qui vont être consignées dans le rapport de contrôle.
Ces validations individuelles sont confortées par une validation générale en fin de
mission lors de la réunion de clôture.
Les Feuilles d’Observations sont conservées dans la section « Réalisation de la
mission » du dossier de mission.
Réunion de clôture :
A la fin de la phase de réalisation, une réunion de clôture est tenue entre les
responsables contrôlés et l’équipe de contrôle interne.
Les points devant être abordés lors de cette réunion sont principalement les suivants :
Chapitre III : Elaboration de la cartographie des risques de la 117
direction COM-SONATRACH

- Présenter les constats validés avec les responsables contrôlés ;


- Discuter des recommandations et des plans d’action et recueillir les commentaires ;
- Décrire le déroulement des étapes qui suivent la clôture de la mission.
Les conclusions de cette réunion sont consignées dans le « Compte-rendu de réunion de
clôture » et conservé dans la section « Réalisation de la mission » du dossier de mission.

1.4.3 La phase de conclusion :


Réalisation du projet de rapport :
L’essentiel du projet de rapport est rédigé en cours de la mission avant la tenue de la
réunion de clôture.
Le Chef de mission CI rédige un « Projet de Rapport » formalisant les constats et les
recommandations dès la fin de la phase de réalisation.
Le projet de rapport est constitué des fiches (F.O) et d’un tableau des recommandations.
Le tableau des recommandations regroupe les recommandations du rapport de contrôle
et les actions correspondantes à mettre en œuvre par la structure contrôlée.
Le projet de rapport, revu par le responsable de la structure Contrôle Interne, est diffusé
aux responsables concernés pour d’éventuels commentaires.
Elaboration du rapport final :
Le « Rapport Final » est constitué d’une synthèse et d’un projet de rapport mus à jour
suite aux commentaires des contrôlés.
L’appréciation globale du contrôleur est portée sur la page de garde, elle définit le
niveau de contrôle interne identifié au cours de la mission.
L’appréciation est illustrée sous forme de « code couleur » rouge, orange, bleu et vert.
Vert « Très satisfaisant » : les contrôles clés correspondent aux meilleures pratiques,
sont adéquats et fonctionnent conformément à nos attentes (les objectifs des processus
contrôlés sont atteints).
Bleu « Satisfaisant » : les contrôles clés sont adéquats et fonctionnent conformément à
nos attentes (les objectifs des processus sont atteints).
Orange « Insatisfaisant » : un ou plusieurs contrôles clés manquent, ne sont pas
adéquats ou ne fonctionnent pas correctement. Ces faiblesses peuvent avoir un impact
négatif qui nécessite une action rapide.
Rouge « Critique » : plusieurs contrôles clés sont inexistants, ne sont pas adéquats ou ne
fonctionnent pas correctement. Les objectifs des processus en question risquent de ne
Chapitre III : Elaboration de la cartographie des risques de la 118
direction COM-SONATRACH

pas être atteints. Une action doit être entreprise immédiatement.


Le responsable de la structure Contrôle Interne signe la synthèse faisant partie
intégrante du rapport de contrôle et transmet le rapport au premier responsable de
l’Activité, au plus tôt après la réception du projet de rapport commenté et au plus tard
un mois après l’envoi du projet de rapport au contrôlé.
Une copie du rapport signé est archivée après diffusion, par code de mission, dans un
lieu dédié à cet effet. Une autre copie est conservée dans la section « Conclusion de la
mission » du dossier de mission.
Conclusion :
En résumé, ce stage pratique nous a permis de découvrir la nature du contrôle
interne au sein de la Direction COM de SONATRACH. En confrontant nos
connaissances théoriques à la réalité du terrain, nous avons pu approfondir notre
compréhension du sujet et constater l'importance cruciale d'un système de contrôle
interne performant au sein de l'entreprise.
Cette étude a confirmé que la mise en place d'un système de contrôle interne
efficace et d'un processus de gestion des risques solide au sein de nos entreprises peut
conduire à une évolution stable et durable, une meilleure maîtrise des risques liés à leurs
activités ainsi qu'à une amélioration de la qualité des informations financières et
comptables. Ces mesures ont pour effet d'augmenter l'efficience organisationnelle.
Conclusion Générale
Conclusion générale 120

Conclusion Générale :
Ce travail nous a fait comprendre que l'audit interne est un outil incontournable pour
toute organisation. Il permet une organisation optimale, un fonctionnement efficace des
services et une mise en œuvre rigoureuse des procédures édictées par la direction
générale. Par conséquent, il est essentiel que les organisations désireuses de
performance et d'efficacité ne négligent pas cette pratique.
L’objectif de notre travail était de répondre à la problématique suivante : « Comment la
cartographie des Risques contribue-t-elle dans l’orientation et la détermination du
périmètre d’intervention de l’auditeur interne ? »

Dans le cadre de notre travail, nous avons adopté deux approches distinctes. La
première, théorique, a pris la forme de deux chapitres destinés à approfondir les notions
fondamentales liées à notre recherche. La seconde, analytique, a consisté à appliquer les
conclusions théoriques à la partie pratique de notre étude, menée au sein de la Direction
COM de SONATRACH.

Dans le deuxième chapitre, nous avons conclu que le dispositif de management des
risques a pour objectif d'identifier et d'analyser les risques majeurs auxquels la société
est exposée. Les risques qui dépassent les limites acceptables fixées par l'entreprise sont
traités, et des plans d'action sont élaborés en conséquence. Ces plans peuvent
comprendre la mise en place de contrôles, le transfert des conséquences financières à
travers un mécanisme d'assurance ou tout autre dispositif équivalent, ou encore une
adaptation de l'organisation.

L'harmonisation et l'équilibre entre les deux dispositifs - le contrôle interne et la gestion


des risques - dépendent de leur environnement de contrôle, qui en constitue le
fondement commun. Cet environnement repose sur la culture du risque et du contrôle
propre à l'entreprise ainsi que sur ses valeurs éthiques. Les dispositifs de gestion des
risques et de contrôle interne jouent un rôle crucial dans la conduite et la supervision
des activités de l'entreprise.

Le stage que nous avons effectué au sein de la Direction COM de SONATRACH nous a
offert une opportunité unique d'explorer et d'analyser le contrôle interne mis en place
par cette entreprise. Grâce à cette expérience, nous avons pu confronter nos
connaissances théoriques avec la pratique sur le terrain, ce qui nous a permis
d'approfondir d’avantage nos compétences et nos connaissances.
Conclusion générale 121

Le thème que nous avons choisi poursuit plusieurs objectifs. D'une part, il nous a permis
d'approfondir nos connaissances sur deux notions fondamentales : l'audit interne et la
gestion des risques à travers l’élaboration d’une cartographie des risques, et de maîtriser
la démarche d'une mission d'audit. D'autre part, grâce à cette expérience appliquée au
sein d'une grande entreprise telle que SONATRACH, nous avons pu établir une
corrélation entre l'audit interne et la cartographie des risques. Nous avons ainsi exploré
le rôle de l'audit interne lors d'une mission menée au niveau de la direction
Commercialisation (COM) de SONATRACH.

Notre travail pour la direction COM de SONATRACH a permis de mieux comprendre


les risques des toutes les structures opérationnels et fonctionnelles de COM, en évaluant
leur impact et leur probabilité d'occurrence. Cette évaluation a permis d'améliorer la
performance de l'entreprise, d'optimiser ses procédures et de prévenir les risques
potentiels et leurs impacts éventuels.

Nous avons adopté une méthodologie qui nous a permis d'atteindre les objectifs de notre
recherche en :

Élaborer une représentation théorique de toutes les notions fondamentales liées à


notre thème.
Identifier et évaluer tous les risques potentiels liés aux structures opérationnelles et
fonctionnelles de la Direction COM de SONATRACH au cours d’une mission
d’audit interne dans un cas pratique.
Classer les risques identifiés afin de traiter en priorité les plus importants.
Cette étude a démontré l'importance de la cartographie des risques au sein de
l'entreprise, ainsi que le rôle crucial joué par l'auditeur interne dans l'évaluation de ces
risques et l'amélioration des dispositifs de gestion. Pour ce faire, une démarche
d'évaluation a été entreprise afin de classer les risques par ordre de priorité et d'identifier
les actions à mettre en place en conséquence.
BIBLIOGRAPHIE
Les ouvrages :

 Vlaminick H, « histoire de la comptabilité », édition pragmos, Paris, 1979.


 BOUHADIDA MOHAMED, LA PRATIQUE DE L’AUDIT INTERNE : Aspects
théorique et pratique. Editions pages bleues Alger 2017.
 Renard J. (2010), Théorie et pratique de l’audit interne, édition d’Organisation, 7ème
édition, Paris.
 Pierre Schich « Mémento d’audit interne méthode de conduite d’une mission »,
édition paris, 2007.
 Collins L. et Vallin G.1992, Audit et contrôle interne, édition Dalloz, 4e édition, Paris
 Manuel d'audit interne (2011), Améliorer l'efficacité de la gouvernance, du contrôle
interne et du management des risques, Institut Français de l’Audit et du Contrôle
Interne, Paris.
 Cangemi M.P. et Singleton T. (2003), Managing the audit function: A corporate audit
department procedures guide, édition John Wiley and Sons, 3ème edition, New Jersey.
 Bertin E. (2007), audit interne : enjeux et pratiques à l’internationale, édition
d’organisation, Paris.
 Barbier. E (1996), L’audit interne permanence et actualité », Edition d’organisation,
France.
 Cherif M. et Madagh S. (06/07 Mai 2012), L’audit interne au cœur de la dynamique
de la gouvernance d’entreprise : Lectures théoriques et enjeux pratiques, Colloque
national sur : ‫اإلداري حوكمة الشركات كحد من الفساد المالي و‬, Laboratoire Finances, Banque et
Management, Biskra.
 Bouquin H. (2006), Le contrôle de gestion, édition PUF, Paris.
 Dayan A. (2004), Manuel de gestion, édition Ellipses, volume 2, Paris.
 Peltier F. (2004), La Corporate Governance au secours des conseils
d’administration, Edition Dunod, Paris.
 Siruguet J-L. et Koessler (1998), Le contrôle comptable bancaire, tome 1, édition
Banque Editeur, Paris.
 Spencer Pickett KH, « The internal auditing Handbook”, Third Edition Wiley, British,
2010.
 A. Sardi (2002), « Audit et contrôle interne bancaire », édition AFGEE, Paris.
 Marmuse C et Montaigne.X. (1989), Management des risques, edition Vuibert, paris.
 Pascal KEREBEL, « Management des risques », éd-organisation, Paris, 2009.

 B. BARTH2LEMY & P. COURREGES, Gestion des risques, 2ème édition, Edition


D’organisation, 2004.
 Henri-Pierre Maders, Jean-Luc Masselin, contrôle interne des risques, édition
EYROLLES, Collection Finance, 20 février 2014.
 Bernard Fréderic, Gayraud Rémy et Rousseau Laurent (2006) : contrôle interne
méthodologie et pilotage, édition Maxima, Paris, 2006.
Thèses et mémoires :

 Herrbach. O, « le comportement au travail des collaborateurs de cabinets d’audit


financier : une approche par le contrat psychologique », Université des sciences
sociales de Toulouse, Thèse de Doctorat, 08 décembre.
 Chekroun Meriem, « le rôle de l’audit interne dans le pilotage et la performance du
système de contrôle interne », Thèse de doctorat en science de gestion, l’université
Abou Bekr Belkaid, Tlemcen, 2013.
 Ziani Abdelhak, Thèse de doctorat en sciences économiques, « le rôle de l’audit
interne dans l’amélioration de la gouvernance d’entreprise », l’université Abou Bekr
Belkaid, Tlemcen, 2013.
 Fella TABBECH. (2017), Le rôle de l’audit interne dans le management des risques
Cas Compagnie Algérienne d’Assurance et de Réassurance, Mémoire de fin d’étude
En vue de l’obtention du diplôme de Magister en sciences commerciales et
financières, Ecole Supérieur de Commerce.
 Mme. BOUKHENNOUFA Rabea et Melle. TEZKRATT Malika (2016), Audit et
Gestion des Risques du Contrôle Interne au sein d’une Entreprise Cas : ORFEE du
Groupe BCRBordj Menaiel, Mémoire de fin d’étude En vue de l’obtention du
diplôme de Magister en sciences de gestion, UNIVERSITE MOULOUD MAMMERI
DE TIZI-OUZOU.
 Bazga Nawel et Belguet Meriem, « ROLE ET PLACE DU MANAGEMENT DES
RISQUES DANS LE SYSTEME DE CONTROLE INTERNE D’UNE ENTREPRISE »,
Mémoire de master 2 en sciences financières et comptabilité, Ecole Supérieure de
Commerce Kolea, 2015.
WEBOGRAPHIES :

 http://algerieassociation.forumactif.com/t121-association-des-auditeurs-consultants
internes-algériens.
 Management du risque : définition et mise en place (wayden.fr)
 Comment définir le risque ? www.Ineris.fr
 Cornélis B. & Billen R,«La cartographie des risques et les risques de la cartographie
»,http://orbi.ulg.ac.be/bitstream/2268/22150/1/Liv%20Hupet.pdf.
 http://www.cn-onec.dz/index.php/component/jdownloads/category/15-les-
normes-algeriennes-d-audit

Revue et Article :

 Article 40, Journal official, 27iéme, N°2, Mercredi 13 Janvier 1988.


 Meziani M. (24/25 novembre 2013), Audit Interne et Perception Managériale :
l’Avis des Professionnels, 20ème anniversaire de l’A.A.C.I.A, 3ème Colloque
International, Constantine.
 IIA, « Normes internationales pour la pratique professionnelles de l’audit
interne », Florida 32701-4201, USA, 2004.
 Cadre de référence internationale des pratiques professionnelles - Edition 2017.
 IFACI (2009), Normes internationales pour la pratique professionnelle de l’audit
interne, Institut Français de l’Audit et du Contrôle Internes, Paris.
 NORMES INTERNATIONALES POUR LA PRATIQUE PROFESSIONNELLE DE
L’AUDIT INTERNE (LES NORMES), Edition 2017.
 Résultat des travaux du groupe de place établi sous l’égide de l’AMF (Autorité des
Marchés Financier), « le dispositif du contrôle interne : cadre de référence », Janvier
2007.
 IFACI, « L’urbanisation du contrôle interne », paris, octobre 2008.
 IFACI et PWC (2002), La pratique du contrôle interne : COSO II report, édition
d’Organisation, Institut Français de l’Audit et du Contrôle Interne et Price
Waterhouse Cooper, Paris.
 IFACI et PWC (2005), Le management des risques de l’entreprise – cadre de
référence – techniques d’application : COSO II report, édition d’Organisation,
Institut Français de l’Audit et du Contrôle Interne et Price Waterhouse Coopers, Paris.
 KPMG Americas (2007), the evolving role of the internal auditor: Value, creation
andpreservation from an internal audit perspective, édition KPMG, New York.
 Comité de Bâle sur le contrôle bancaire, cadre pour les systèmes de contrôle dans les
organisations bancaires, Bâle, septembre 1998, principes pour l’évaluation du
contrôle interne, principe N° 7.
 Manuel d'audit interne (2011), Améliorer l'efficacité de la gouvernance, du contrôle
interne et du management des risques, Institut Français de l’Audit et du Contrôle
Interne, Paris.
 Le Maux. J, Alloul. A (2005), « L’obligation de communication sur le contrôle interne
: étude de cas français ».
 IFACI, «Le management des risques d’entreprise » : cadre de référence-
techniques d’application, COSO II- report, éditions d’organisation- 2005.
 IFACI et Groupe Professionnel Industrie et Commerce : Etude du processus de
management et de la cartographie des risques, les cahiers de la recherche, Paris
2003.
 Groupe professionnel industrie et commerce, « Guide d’Audit : Etude du processus
de management et de cartographie des risques », IFACI, Paris, 2003.
 IFACI, Le management des risques de l’entreprise, édition d’organisation, Paris,
2003.
 C. Jimenez, P. Merlier, D. Chelly, « Risques opérationnels », Revue banque, 2008.
ANNEXES
Annexes

Annexe 01 : Organigramme de COM


Annexes

Annexe 02 : Lettre de mission


Annexes

Annexe 03 : Tableau des risques.


Annexes

Annexe 04 : Note d’orientation.


Annexes

Annexe 05 : Programme de travail.


Annexes

Annexe 06 : Compte Rendu de Réunion d’Ouverture.


Annexes

Annexe 07 : Feuille de Couverture.


Annexes

Annexe 08 : Feuille de Test.


Annexes

Annexe 09 : Feuille d’Observation.


Annexes

Annexe 10 : Compte Rendu d’Entretien.


Annexes

Annexe 11 : Compte Rendu de Réunion de clôture.


Annexes

Annexe 12 : Lettre d’envoi du projet de rapport.


Annexes

Annexe 13 : Lettre d’envoi du rapport final.


Annexes

Annexe 14 : Page de garde du Rapport.


Annexes

Annexe 15 : Avertissement-type.
Annexes

Annexe 16 : Sommaire-type du rapport final.


Annexes

Annexe 17 : Synthèse-type.
Annexes

Annexe 18 : Tableau des recommandations.


Annexes

Annexe 19 : Index et Auto contrôle du dossier de mission.


Table des matières
Table des matières :
Remerciements ................................................................................................. I
Dédicaces.......................................................................................................... II
Sommaire ....................................................................................................... III
Liste des tableaux ........................................................................................... IV
Liste des figures ............................................................................................... V
Liste des abréviations ..................................................................................... VI
Liste des annexes .......................................................................................... VII
Résumé : ...................................................................................................... VIII

‫ملخص‬ .............................................................................................................. IX
Abstract: .......................................................................................................... X
Introduction Générale ..................................................................................... A
Chapitre I : Cadre de Référence de l’Audit Interne....................................... 1
Section 1 : Généralités sur l’Audit Interne ...................................................................................... 3
1 Historique et Définition : .................................................................................................... 3
1.1 Historique : .................................................................................................................... 3
1.2 Définition : ..................................................................................................................... 7
2 Les objectifs de l’audit interne : .......................................................................................... 8
2.1 La régularité : A ce niveau, l’auditeur interne s’attache à vérifier que : ........................... 8
2.2 L’efficacité : ................................................................................................................... 9
2.3 La pertinence : ............................................................................................................... 9
3 Taches typiques du directeur d’audit interne :..................................................................... 9
3.1 Organiser le département de l’audit interne : ................................................................ 9
3.2 Assurer la qualité de l’audit interne : ............................................................................10
4 Les âges d’audit : ...............................................................................................................11
4.1 Audit de conformité ou de régularité :...........................................................................11
4.2 Audit d’efficacité : .........................................................................................................11
4.3 Audit de management : ................................................................................................12
4.4 Audit Stratégique : ........................................................................................................12
5 L’organisation et le positionnement de l’Audit interne : .....................................................13
5.1 Le rattachement à la direction générale : ......................................................................14
5.2 Le rattachement à la direction opérationnelle : .............................................................14
5.3 Le rattachement au conseil d’administration ou comité d’audit :...................................15
Section 2 : L’audit interne et ses fonctions voisines :......................................................................16
1 L’Audit interne et le Contrôle de gestion : ..........................................................................16
2 Audit interne et l’Inspection : ............................................................................................18
3 L’Audit interne et Consultant externe : ..............................................................................19
4 L’audit interne et l’audit externe : ......................................................................................19
Section 3 : Les normes de l’audit interne de l’IIA............................................................................20
1 Le Code de déontologie : ...................................................................................................20
2 Les normes internationales pour la pratique professionnelle de l’audit interne : ................22
3 Les modalités pratiques d’application : ..............................................................................23
4 Le cadre conceptuel des normes d’Audit algérienne NAA :.................................................24
Section 4 : Généralités sur le contrôle interne ...............................................................................25
1 Définition du contrôle interne : ..........................................................................................25
1.1 Définition de la CNCC (la Compagnie Nationale des Commissaires aux Comptes) : ........25
1.2 Définition du « Conseil de l’Ordre des Experts Comptables Français » : .........................26
1.3 Définition de l’IFACI (l’Institut Français de l’Audit et du Contrôle Interne) :....................26
1.4 Definition du COSO1 (Committee Of Sponsoring Organizations of the treadway
commission): .........................................................................................................................26
2 Les objectifs du contrôle interne : ......................................................................................28
2.1 La sécurité des actifs : ...................................................................................................28
2.2 La fiabilité des informations : ........................................................................................28
2.3 Le respect des directives : .............................................................................................29
2.4 L’optimisation des ressources : .....................................................................................29
3 Cadre de référence du contrôle interne : ...........................................................................30
4 Les types de contrôle interne : ...........................................................................................32
4.1 Un contrôle préventif : ..................................................................................................32
4.2 Un contrôle détectif : ....................................................................................................32
4.3 Un contrôle correctif (ou a postériori) : .........................................................................32
4.4 Un contrôle directif : .....................................................................................................33
5 Les niveaux du système de contrôle interne : .....................................................................35
Chapitre II : Le management des risques et la cartographie des risques. .. 37
Section1 : cadre conceptuel de management des risques ..........................................................39
1 Notion du risque : ..............................................................................................................39
1.1 Historique : ...................................................................................................................39
1.2 Définitions : ..................................................................................................................40
1.3 Classification des risques :.............................................................................................41
1.3.1 La distinction entre « risques purs » et « risques spéculatifs :..........................41
1.3.2 La distinction des risques selon leur origine : ...................................................42
1.3.3 La classification des risques en fonction de leurs conséquences : ....................43
2 Définition du management des risques : ............................................................................44
3 Pourquoi un management des risques d’entreprise ? .....................................................45
4 Les objectifs du management des risques :......................................................................46
5 Les avantages du management des risques de l’entreprise .............................................47
6 Rôles et Responsabilités dans le cadre du dispositif de management des risques de
l’entreprise :.............................................................................................................................48
6.1 L’organe délibérant (conseil d’administration, conseil de surveillance) : ...................48
6.2 Le management : .........................................................................................................48
6.3 Le directeur des risques :.............................................................................................49
6.4 La direction financière : ...............................................................................................50
6.5 Les auditeurs internes : ...............................................................................................50
6.6 Les autres collaborateurs :...........................................................................................50
6.7 Les auditeurs externes : ...............................................................................................51
6.8 Le législateur et le régulateur : ....................................................................................51
6.9 Autres tiers externes : .................................................................................................51
Section 2 : Méthodologie du management des risques ...............................................................52
1 Cadre réglementaire de management des risques :............................................................52
2 Méthodes de management des risques :............................................................................54
3 Identification et quantification des risques : ......................................................................55
4 Réduction, prévention et protection : ................................................................................57
 La ségrégation par partition .......................................................................................59
 La ségrégation par duplication ...................................................................................59
 Le transfert contractuel pour réduction......................................................................60
 Les stratégies de crise ................................................................................................60
5 Financement : ....................................................................................................................61
6 Limites du processus de management des risques : ...........................................................62
Section 3 : Généralités sur la Cartographie des risques ..................................................................63
1 Définition et objectifs d’une cartographie des risques : ......................................................63
1.1 Définition d’une cartographie des risques : ...................................................................63
1.2 Objectifs d’une cartographie des risques : .....................................................................64
2 Exemples de risques majeurs en environnement industriel et commercial : .......................65
Section 04 : Méthodologie d’élaboration d’une cartographie des risques ......................................67
1 L’élaboration d’une cartographie des risques : ...................................................................67
2 Démarche d’élaboration d’une cartographie des risques : ..................................................69
2.1 Identification et évaluation des risques intrinsèques : ...................................................69
2.1.1 Identification : ....................................................................................................69
2.1.2 Evaluation : ........................................................................................................70
2.2 Description et évaluation du niveau de contrôle et maitrise des risques : ......................71
2.3 Evaluation des risques résiduels : ..................................................................................71
3 Représentation graphique de la cartographie des risques : ................................................72
3.1 Le diagramme à deux axes : ..........................................................................................72
4 Stratégie en matière de mangement des risques :..............................................................73
5 Management des risques et la performance de l’entreprise : .............................................74
Chapitre III : Elaboration de la cartographie des risques de la Direction
COM - SONATRACH ................................................................................... 77
Section 1 : Présentation de l’organisme d’accueil. .........................................................................79
1 Historique : ........................................................................................................................79
2 Missions de la SONATRACH : ..............................................................................................79
3 Organisation et organes de la SONATRACH : ......................................................................80
4 Présentation de l’Activité Commercialisation (COM) : ........................................................84
4.1 Organisation et organes de l’Activité COM : ..................................................................84
4.2 Missions de l’Activité Commercialisation :.....................................................................86
4.3 Organigramme de l’Activité Commercialisation (COM) : voir Annexe 01........................87
5 Présentation du Département contrôle interne au niveau de COM : ..................................87
Section 2 : Elaboration de la cartographie des risques de COM......................................................88
1 Utilisation de l’outil (Registre des risques) : .......................................................................89
1.1 Définition du Registre des risques : ...............................................................................89
1.2 Elaboration de la cartographie des risques : ..................................................................89
1.2.1 Définition du risque : ..........................................................................................89
1.2.2 Identification des risques :..................................................................................89
1.2.3 Règles de base d’identification des risques : .......................................................90
1.2.4 Description détaillée du risque identifié : ...........................................................90
1.2.5 Analyse des risques identifiés : ...........................................................................90
1.2.6 Evaluation des risques analysés : ........................................................................90
1.2.7 Hiérarchisation et obtention de la cartographie des risques : .............................90
1.2.8 Traitement du risque (réponse au risque) : .........................................................90
1.2.9 Evaluation du risque résiduel :............................................................................91
2 Traitement des risques : ....................................................................................................91
3 Quelques Définitions : .......................................................................................................91
3.1 Chaine de valeur : .........................................................................................................91
3.2 Cout de la dette : ..........................................................................................................92
3.3 Risque de contrôle : ......................................................................................................92
3.4 Pourquoi un processus de gestion des risques ? ............................................................92
3.5 Facteurs Clés de Succès : ...............................................................................................93
3.6 Couple Objectifs/Risques : ............................................................................................93
3.6.1 Objectifs Opérationnels : ....................................................................................93
3.6.2 Objectifs de Reporting : ......................................................................................93
3.6.3 Objectifs de Conformité : ...................................................................................93
3.7 Risques de gestion des projets : ....................................................................................94
3.8 Contrôle :......................................................................................................................94
3.9 Conflit d’intérêt : ..........................................................................................................94
3.10 Fraude : .....................................................................................................................95
3.11 Domaines concernés par la Fraude : ...........................................................................95
3.11.1 Supports de Fraude : ..........................................................................................95
3.11.2 Exemples de Fraude : nous pouvons citer : .........................................................95
4 Identification des risques liés à chaque structure : .............................................................96
4.1 Base d’évaluation :........................................................................................................96
4.2 Domaines de risques .....................................................................................................97
4.3 Phase d’identification des risques : ...............................................................................97
4.4 Analyse et évaluation des risques :..............................................................................109
5 Cartographie des risques de DCPPD-Activité COM : .........................................................110
5.1 Cartographie des risques avant traitement : ...............................................................110
5.2 Cartographie des risques après traitement :................................................................111
5.3 Cartographie des risques par codes : ...........................................................................112
Section 03 : Procédure de conduite d’une mission de contrôle interne au sein de l’Activité
Commercialisation de SONATRACH .............................................................................................113
1 Description de la procédure de conduite d’une mission de contrôle interne : ..................113
1.1 Champ d’application : .................................................................................................113
1.2 Responsabilités : .........................................................................................................113
1.3 Documents de référence : ...........................................................................................113
1.4 Description de la procédure : ......................................................................................113
1.4.1 La phase de préparation : .................................................................................113
1.4.2 La phase de réalisation : ...................................................................................115
1.4.3 La phase de conclusion : ...................................................................................117
Conclusion Générale .................................................................................... 119
BIBLIOGRAPHIE ....................................................................................... 122
ANNEXES .................................................................................................... 123
Table des matières ........................................................................................ 123

Vous aimerez peut-être aussi