Audit Acg Pr Drissi Hicham

Introduction
Audit interne : Activité qui a connu beaucoup de changements courant les dernières années.
Fonction qui prend de plus en plus d’importance suite aux différents scandales financiers.
 Objectif : vérifier la conformité aux lois et normes, donner un avis indépendant sur le fonctionnement du contrôle
interne, la gestion des risques, la gouvernance, …
Est devenu au fil des ans un outil de management de la direction générale au service de l’organisation.
Métier normalisé et cadré.
 Normes de l’IIA pour l’exercice de cette activité
ENCG Casablanca - Hicham Drissi 1

A) L’audit interne
- Définition
- Rôles
- Conditions d’exercice (indépendance)

Audit Interne - Définition
« L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer
de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise,
et en faisant des propositions pour renforcer leur efficacité. »
Normes IIA

 L’ Indépendance :
Désigne le fait de se libérer des conditions qui menacent l’objectivité ou l’apparence de l’objectivité.
 l’objectivité :
Se définit comme une attitude impartiale grâce à laquelle les auditeurs internes exécutent leurs missions en
étant sincèrement convaincus de la légitimité du résultat de leur travail . Pour être objectifs, les auditeurs ne
doivent pas subordonner leur jugement à celui d’autrui sur des questions liées à l’audit.
 Activité d’assurance :
Examen objectif dont le but est de fournir une évaluation indépendante des processus de gouvernance,
gestion des risques et contrôle d’une organisation, exemples des missions portant sur les informations
financière, performances, la sécurité des systèmes…

 Activité de conseil :
Activités de conseil et de service client, dont la nature et le périmètre sont définis en accord avec le client et
qui sont destinées à offrir une valeur ajoutée et à améliorer la gouvernance d’une organisation, sans que
l’auditeur interne soit responsable de l’encadrement.
 Approche systématique et méthodique :

L’audit interne s’appui sur une démarche structurée pour dérouler son programme d’audit.
 Risque :
L’incertitude que se produise un événement qui pourrait avoir un impact sur la réalisation des objectifs d’une
entité.
 Processus de Contrôle :
Politiques, procédures et activités qui font partie d’un cadre de contrôle, conçues pour obtenir les risques dans
les limites de tolérance établies par le processus de gestion des risques. 5
Application 1
Un auditeur interne chargé de vérifier qu’un fournisseur respecte bien

les normes de qualité des produits se trouve être le cousin du contrôleur
qualité de ce fournisseur. Quelle attitude l’auditeur interne doit ‐il
adopter ?
A‐ Accepter la mission, mais éviter les contacts avec le contrôleur
qualité pendant le travail sur le terrain
B‐ Accepter la mission, mais faire part de son lien de parenté dans
les communications finales de la mission
C‐ Avertir le fournisseur qu’il y a un risque de conflit d’intérêt
D‐ Avertir le responsable de l’Audit interne qu’il y a un risque de
conflit d’intérêt

Application 2
Le responsable de l’audit interne examine les papiers de travail élaborés
par un auditeur interne lors d’une investigation sur une fraude. Parmi
les éléments que contiennent ces papiers de travail, figure la description
d’une information physique.
TAF:
Laquelle des propositions suivantes constitue l’origine la plus probable
de cette information ?
A‐ Observations physique des conditions
B‐ Entretiens individuels
Correction
La réponse (A) est juste. L’information physique résulte de la vérification
de l’existence de choses, d’activités ou d’individus par l’observation,
l’inspection ou le comptage. Elle peut entre autres revêtir la forme de
photographies, de cartes ou de graphiques.
b‐ La réponse (B) est fausse, car les entretiens produisent de l’information
reposant sur des témoignages.

Audit Interne – Rôles
Est dans son périmètre :
• Evaluation = Analyser et évaluer les processus de gouvernement d’entreprise, de management des risques et de contrôle ;
• Communication = Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés ;
• Conformité = Vérifier que les dispositifs mis en place assurent la conformité aux lois et réglementations ;
• Participer aux missions d’investigation dans le cadre de fusions/acquisitions ;
• Contribuer à la mise en place du processus de management des risques ;
• Animer, quand elle existe, une démarche d’auto-évaluation des risques et des contrôles.
• …
N’est pas dans son périmètre :
• Prendre des décisions stratégiques et/ou opérationnels,

• Assurer les activités de contrôle interne,
• Mettre en place les recommandations,
• ….ENCG Casablanca - Hicham Drissi 9
Audit Interne - Rôles
Type Activités d’assurance Activités de conseil
Définition Examen objectif dont le but est de fournir une évaluation Activités de conseil et de service client, dont la nature et le périmètre
indépendante des processus de gouvernance, gestion des risques sont définis en accord avec le client et qui sont destinées à offrir une
et contrôle d’une organisation. valeur ajoutée et à améliorer la gouvernance d’une organisation, ainsi
Les missions portant sur les informations financières, les que ses processus de contrôle et de gestion des risques, sans que
performances, la conformité, la sécurité des systèmes et le l’auditeur interne soit responsable de l’encadrement.
professionnalisme en sont quelques exemples.
Parties L’auditeur interne détermine la nature et le périmètre de la Les activités de conseil impliquent généralement deux parties.
concernées mission d’assurance. En général, 3 parties sont impliquées dans les - La personne ou le groupe dispensant des conseils (auditeur interne),
activités d’assurance. - La personne ou le groupe sollicitant et recevant les conseils (le client
- La personne ou le groupe directement impliqué dans le de la mission).
processus, le système ou tout autre objet d’évaluation :
audité,
- L’auditeur interne (personne réalisant l’évaluation).
- La personne ou le groupe utilisant l’évaluation : DG, Conseil.
Périmètre des L’auditeur interne détermine la nature et le périmètre de la Le client détermine la nature et le périmètre en accord avec l’auditeur.
activités mission.
Eléments Une évaluation, une opinion ou une conclusion du résultat de la Conseils et apport d’une valeur ajoutée aux processus de gouvernance,
livrables mission d’assurance est communiquée. gestion des risques et contrôle de l’organisation.

Audit Interne - Outils
Code de déontologie
les
el
nn
Ch
sio
ar
e s
f
te
ro
d’a
s p
e
ud
r m
it
No
Cadre de référence international des pratiques
professionnelles de l’audit interne

Audit Interne – Conditions d’exercice (Indépendance)
L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière impartiale, leurs
responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses responsabilités, le
responsable de l’audit interne doit avoir un accès direct et non restreint à la direction générale et au Conseil. Cet objectif
peut être atteint grâce à un double rattachement.
L’indépendance de l’audit interne doit se traduire :

- Au niveau de l’auditeur interne : indépendance vis-vis des activités à auditer, conflit d’intérêt.
- Au niveau de la conduite de la mission : définition du périmètre, établissement du programme de travail, accès à
l’information, aux documents et aux personnes, et la communication des résultats,
- Au niveau de l’audit interne et de son positionnement dans l’organisation : accès au Conseil et au comité d’audit,
ressources nécessaires pour la bonne marche de l’activité, …

Exercice
Lors de la réunion d’ouverture d’un audit externe, le représentant de la direction vous

informe qu’un audit interne récent a permis de relever plusieurs non conformités
relatives au département achat interne.
L’action corrective a déjà été planifiée. Le représentant de la direction suggéré donc de
déprogrammer ce département du plan d’audit, étant que le faite de l’auditer à
nouveau n’aurait pas vraiment de valeur ajoutée, et, donc de passer plus de temps au
niveau de la production
TAF: citez 5 points que vous incluriez dans votre réponse à cette demande
correction
 Un audit externe doit couvrir tous les processus associés au
domaine d’application et au critère d’audit.
 L’achat ne peut être exclu que si l’exclusion est autorisé
 Si l’achat n’est pas inclus il ne sera pas possible de
recommander la certification.
 Un audit d’achat maintenant pourrait permettre d’identifier
d’autres constats qui pourrait nécessiter un traitement.
 L’audit peut inclure une revue des actions correctives planifiées.

Double rattachement de l’activité d’audit interne :
Conseil d’administration Attachement hiérarchique

Attachement fonctionnel
Direction Comité d’audit
Fonction de l’audit interne
Le RAI doit être rattaché :

- Au conseil et au comité d’audit sur le plan fonctionnel,
- A la direction générale de l’organisation sur le plan hiérarchique
Attachement fonctionnel
• Approuve la charte d’audit,
• Approuve le plan d’audit interne fondé sur l’approche par les risques,
• Soit tenu informé des résultats de l’activité d’audit,
• Approuve les résultats de l’évaluation de la performance, la nomination et la destitution du RAI,
Attachement hiérarchique
Donner les moyens nécessaires à l’accomplissement de sa mission,
Donner les moyens nécessaires pour la mise en place des recommandations,
Faciliter la communication interne et le flux d’information,

La charte d’audit annonce le cadre de l’exercice de l’activité d’audit interne au sein d’une entreprise,
Document signé par le Président du Comité d’audit, la Direction Générale et le Responsable d’audit interne et transmis à
l’ensemble du personnel,
Ce document spécifie la fonction, les pouvoirs et les responsabilités du service d’audit interne, y compris le rattachement au
comité d’audit, les accès nécessaires à l’exécution du travail d’audit, toutes les restrictions de périmètre et/ou de pouvoir, le
respect d’un code de déontologie et des normes d’audit interne, ainsi que les relations avec les auditeurs externes.
Ce document est revu périodiquement pour garantir son adéquation au fonctionnement de l’activité.

Le Comité d’audit est une émanation du Conseil d’administration. Il l’assiste sur le plan de la surveillance des règles de conformité des
rapports financiers, du respect des prescriptions juridiques et réglementaires, ainsi que de la qualification, de l’indépendance et de l’action,
des auditeurs externes.
Il donne avis, au Conseil d’administration, sur le dispositif de contrôle interne, la qualité des comptes, les performances ainsi que sur toute
question se rapportant au système d’information et de gestion de la Société.
 Il est constitué de 2 à 3 administrateurs, membres du Conseil. La bonne gouvernance stipule que l’un d’eux doit être un administrateur indépendant, et de
préférence ayant des connaissances en matière de gouvernance, gestion de risques ou encore en contrôle interne.
 Le secrétariat du Comité d’audit interne est généralement tenu par le Responsable d’audit interne.
 le Comité d’audit tient ses réunions selon un planning défini et avant la tenue du Conseil. L’ordre du jour de ses réunions est établi en collaboration avec le
Responsable de l’audit interne :
 La gouvernance de l’entreprise,
 La gestion des risques,
 Les arrêtés comptables,
 Les rapports d’audit interne,
 Les rapports du commissaires aux comptes, …
 Le comité d’audit va s’appuyer sur les avis des experts, et surtout celui du commissaire aux comptes , qui est systématiquement présent dans les réunions du
comité d’audit (pour alimenter le Comité mais aussi pour observer les travaux de ce dernier).
 Comme pour l’audit interne, le Comité d’audit se dote d’une charte de fonctionnement qui va préciser son périmètre, ses obligations, ses engagements, son
fonctionnement, …
B) Les champs d’évaluation de l’audit interne
- Contrôle interne- cadre de référence : le COSO I

- Management des risques- COSO II
- COSO III
- Rôle de l’audit interne

Définition du contrôle Interne
le contrôle interne est l’ensemble des sécurités contribuant
à la maîtrise de l’entreprise. Il a pour but d’assurer la
protection, la sauvegarde du patrimoine et la qualité de
l’information d’une part et de l’autre, l’application des
instructions de la direction, et de favoriser l’amélioration
des performances.

Historique du COSO
• de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses interrogations quant au
système comptable et de management, aussi bien au niveau des normes actuelles que de leur mise en œuvre et
leur contrôle.
•
COSO (Committee Of Sponsoring Organizations of the Treadway Commission) établit en 1992 une définition
standard du contrôle interne et crée un cadre pour évaluer son efficacité. Par extension ce standard s'appelle
aussi COSO.
• En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, …),
promulgue la loi Sarbanes–Oxley (the Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à
l’épargne publique à évaluer leur contrôle interne et à en publier leurs conclusions dans les états demandés par
la Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le SOX act a
favorisé l'adoption du COSO comme référentiel.
• En France, la loi de sécurité financière (dite loi LSF) promulguée peu après en 2003, a également contribué à sa
Historique du COSO
• En 2004, la commission élargit le périmètre de ses réflexions et élabore un
nouveau référentiel COSO 2 qui est axé davantage sur le processus de
management des risques en entreprise (notion d’opportunité, appétence
au risques, objectifs stratégiques, élargissement du périmètre aux
filiales, ..).
• En 2013, la commission met à jour le 1er référentiel COSO I axé sur le

contrôle interne afin d’adapter le référentiel aux évolutions de
l’environnement et de l’entreprise : nouveaux risques émergeants comme
la cybercriminalité, le rôle de la technologie, les problématiques
d’externalisation,
ENCG Casablanca - Hicham Drissi les nouveaux enjeux de la gouvernance, … 22
Historique du COSO
• 1992  Référentiel du contrôle interne  COSO I

• 2004  Référentiel du management du risques  COSO II
• 2013 Référentiel du contrôle interne (actualisation du référentiel de 1992)
COSO III

Contrôle interne – cadre de référence COSO I
Définition
Selon le COSO I :
« le contrôle interne est un processus mis en œuvre par le Conseil
d’administration, les dirigeants et le personnel d’une organisation,
destiné à fournir une assurance raisonnable quant à la réalisation des
objectifs suivants :
- La réalisation et l’optimisation des opérations,
- La fiabilité des informations financières,
- La conformité aux lois et aux réglementations en vigueur. »
Les 5 composants du contrôle interne.
Eléments composants le contrôle interne
L’environnement de contrôle constitue le milieu dans lequel les personnes

accomplissent leurs tâches et assument leurs responsabilités en matière de
contrôle. Il sert de base pour les autres éléments du contrôle interne. Dans cet
environnement, les dirigeants évaluent les risques susceptibles de mettre en cause
la réalisation des objectifs spécifiques. Les activités de contrôle sont mises en place
pour permettre à la direction de s’assurer que ses directives visant à traiter ces
risques ont été exécutées. Entre temps, les informations pertinentes sont
recueillies et communiquées à l’ensemble de l’organisation.
Le processus complet fait l’objet d’un pilotage et de modifications le cas échéant.
 Pour répondre aux 3 objectifs du contrôle interne.
COSO I

L’environnement de contrôle
L’intégrité et éthique Culture de l’entreprise, état d’esprit des dirigeants  code de conduite,
Incitations : pressions pour atteindre des objectifs irréalisables, à court terme, formules de rémunération
basée fortement sur les performances, …
Tentations : contrôles inexistants ou inefficaces (mauvaise séparation des tâches par ex), forte
décentralisation des responsabilités, …
Les compétences Le niveau de compétences et de connaissance requis,
Critères de recrutement,
Formation et évaluation objective des performances,
Compétences Vs coût.
Conseil d’administration s’assurer du bon fonctionnement du système de contrôle interne :
et Comité d’audit + compétences appropriées,
+ administrateurs indépendants, …
Philosophie et style de Niveau de risques accepté par les dirigeants,
management des Modèle de gestion adopté (conventionnel, informel),
dirigeants Niveau de délégation ou de centralisation des pouvoirs et les outils de contrôle mis en place.

L’environnement de contrôle
Structure de l’entreprise - Organigramme détaillé,
- Descriptifs des activités, Fiches de postes et descriptifs de l’organisation (hiérarchie pyramidale,
Délégation de pouvoirs et structure matricielle, …),
domaine de responsabilité - Système clair de délégation des pouvoirs et des responsabilités,
- Définition des périmètres et les limites de prises de décisions, et de remontée d’information,
- Respect du principe de séparation des tâches (autorisation, engagement et règlements) doit être
respecté.
Politique en matière de - Traduire les exigences en matière d’intégrité, d’éthique et de compétences.

ressources humaines - Doit englober : le recrutement, la gestion des carrières, la formation, les évaluations
individuelles, les promotions et rémunération, …
Les différences et leurs - Tenir compte des différences de cultures et des environnements dans les cas de sociétés à
conséquences répartition géographique importante (société mère et filiales installées dans différents pays
par ex).

L’évaluation des risques
Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.
Identifier les risques par process critique liés aux objectifs de l’entreprises,
Facteurs Interne / externe
Organisation, techniques, réglementaire, …
Evaluer les risques : Son importance, Sa probabilité
Elaboration de la cartographie des risques :

permettre une vision synthétique des risques
pris par l’entreprise sur ses métiers
Les activités de contrôle
L’application des normes et procédures destinées à assurer l’exécution des directives émises par le management en vue de
maitriser les risques.
Couvrent :
- Le domaine opérationnel : réalisation et optimisation des opérations,
- La fiabilité de l’information comptable et financière,
- Le respect des règlements et lois en vigueur.

L’information et communication
L’information pertinente doit être identifiée, recueillie et diffusée dans les meilleures conditions de forme et de délai :
 Production de rapports de performance répondant aux critères définis par l'entreprise,

 Alignement des systèmes d'information et de communication avec la stratégie de l'entreprise,
 Engagement de l'entreprise pour développer, tester et superviser les systèmes d'informations,
 Plan de secours et plan de continuité informatique.

Le pilotage
 Évaluation périodique des contrôles internes,

 Mise en place de recommandations pour amélioration,
 Fonction d'audit interne structurée pour superviser les activités de contrôle.

Contrôle interne – cadre de référence COSO II
Définition
• Le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la
préservation de la valeur. Il se définit comme suit :
– « Un processus mis en œuvre par le conseil d administration, la direction générale, le management et l'ensemble
des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans
toutes les activités de l'organisation.
– Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’ organisation et pour gérer les
risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à
l'atteinte des objectifs de l'organisation. »
– Source : COSO II

Objectifs du Management de risques :
• Stratégique objectifs stratégiques servant la mission de l’organisation,

• Opérationnel objectifs visant l utilisation efficace et efficiente des
ressources,
• Reporting objectifs liés à la fiabilité du reporting,
• Conformité objectifs de conformité aux lois et aux réglementations en
vigueur.

Le dispositif de management des risques comprend huit éléments. Ces éléments résultent de la façon dont l’organisation est
gérée et sont intégrés au processus de management :
Environnement interne L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les
risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception
du management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel
l’organisation opère.
Fixation des objectifs Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les
événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction
a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec
son appétence pour le risque.
Identification des événements Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une
organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en
compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs.
Evaluation des risques Les risques sont analysés, tant en fonction de leur probabilité que de leur impact, cette analyse servant
de base pour déterminer la façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués.
Traitement des risques Le management définit des solutions permettant de faire face aux risques évitement, acceptation,
réduction ou partage. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le
niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation.
Activités de contrôle Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l application
effective des mesures de traitement des risques.
Information et communication Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans
des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler
verticalement et transversalement au sein de l organisation de façon efficace.
Pilotage Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s
effectue au travers des activités permanentes de management ou par le biais d évaluations indépendantes ou encore par une
combinaison de ces deux modalités.
Contrôle interne – cadre de référence COSO
COSO III
En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le but de cette mise à jour est de
prendre en compte les évolutions des environnements opérationnels et les attentes accrues concernant le contrôle interne. Tout
en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés significatives
permettant la mise en œuvre d’un dispositif plus agile s’alignant en permanence aux objectifs de l’organisation.
• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cyber-criminalité, le
cloudcomputing, etc.) ;
• En matière de gouvernance (notamment les rôles des comités au niveau du conseil mais aussi de la direction générale sur
des enjeux importants comme les risques, la conformité, etc.) ;
• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation (le « tone in
the middle » et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;
• La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;
• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions support, et
l’audit interne) ; et
• Les exigences de reporting au-delà de la communication financière (développement durable, environnement, qualité, etc.).

COSO III
Le COSO III :
« le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs, et qui est
destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au reporting et à la
conformité. »
Mise en œuvre à partir du 16 décembre 2014.

COSO III
Objectifs de contrôle interne :
1992 2013
Réalisation et optimisation des opérations Les opérations : réalisation de la mission de l’entité,
comprennent la protection du patrimoine, …
Fiabilité des informations financières Le Reporting : externe et interne, financier et non financier
Conformité aux lois et règlements en vigueur La conformité : lois, règlements, procédures, notes
internes, …
17 Principes de contrôle interne et 81 points d’attention pour la mise

en œuvre des 5 composantes du contrôle interne.

COSO III
Le COSO 2013 comprend :
• Un résumé ;
• Le référentiel et ses annexes qui définissent le contrôle interne, le positionnent par rapport à trois catégories d’objectifs,
présentent les cinq composantes du contrôle interne, déclinées en 17 principes structurants, et décrivent les exigences en
matière d’efficacité ;
• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour faciliter l’évaluation des 17
principes qui constituent un dispositif de contrôle interne efficace ; et
• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe (Internal Control over External
Financial Reporting, « ICEFR ») qui propose des exemples de mise en pratique des 17 principes dans le cadre de la réalisation
des états financiers.

COSO III
Les principales évolutions concernent :
1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité sociale et environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et l’alignement avec le business model) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la direction générale) ;
4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support, et l’audit interne) ;
5. La relation entre risque, performance et rémunération (notamment le principe portant sur la responsabilisation) ;
6. L’articulation du « tone at the top » avec les comportements à travers l’organisation (« tone in the middle ») ;
7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au code de conduite, au respect des
contrôles au-delà du reporting financier) ; et
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée par exemple à la mise en place de
nouveaux processus, rôles, structures, systèmes d’information, centres de services partagés, périmètre d’activité, etc.
Le périmètre du contrôle interne n’élargit pas aux objectifs stratégiques, à l’appétence pour le risque ou autres sujets du ressort de l’Enterprise
Risk Management et du référentiel de 2004 (COSOII). Le COSO 2013 s’articule logiquement avec le COSO ERM, le contrôle interne étant défini
comme une partie intégrante de l’ERM.

COSO III
Composantes Principes
Environnement de 1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.
contrôle 2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle
interne.
3. Le management, agissant sous la surveillance du Conseil, défi nit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités
appropriés pour atteindre les objectifs.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux objectifs.
5. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle
interne.
Evaluation des 6. L’organisation défi nit des objectifs de façon suffisamment claire
risques pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur analyse de façon à
déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
Activités de contrôle 10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des niveaux acceptables les risques associés à la
réalisation des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui mettent en
œuvre ces règles.
Information et 13. L’organisation obtient ou génère, et utilise, des informations pertinentes et fi ables pour faciliter le fonctionnement des autres composantes du
communication contrôle interne.
14. L’organisation communique en interne les informations nécessaires
au bon fonctionnement des autres composantes du contrôle interne, notamment en matière d’objectifs et de responsabilités associés au contrôle
interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle interne.
Activités de pilotage 16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du contrôle
interne sont mise en place et fonctionnent.
17. L’organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties chargées de prendre des mesures
ENCG Casablanca - Hicham Drissi correctives, notamment à la direction générale et au Conseil, selon le cas. 41
COSO III
Définition des responsabilités  3 lignes de maitrise :
1. ce sont les opérationnels (par exemple les chargés de production, des ventes, etc.) qui doivent s’assurer de la
bonne conception et du bon fonctionnement du dispositif de contrôle interne ;
2. les fonctions support (par exemple les chargés de conformité, sécurité, gestion des risques) apportent expertise
et conseil par rapport aux objectifs de performance et de contrôle ; et
3. l’audit interne permet un regard indépendant et des revues variées dans un but, notamment, d’améliorer le
contrôle interne de l’organisation.
La direction générale demeure le responsable en dernier ressort du respect du dispositif.

Les commissaires aux comptes, régulateurs, ne font pas partie du système de contrôle interne.
Le rôle du Middle management « tone in the middle » dans la mise en œuvre et dans l’efficacité du
contrôle interne
L’importance du respect du dispositif de contrôle interne pour les activités externalisées : importance
du choix des prestataires.
L’importance d’une bonne conduite des changements organisationnels et le respect des principes de
contrôle interne : projets de transformation (SI, organisationnel, …)  de l’accompagnement à la mise
en œuvre.
Rôle de l’audit interne
Les auditeurs internes procèdent à un examen direct du système de contrôle interne et recommandent des améliorations :
- Examiner la fiabilité et l’intégrité des informations financières et d’exploitation, ainsi que les moyens utilisés pour identifier,
mesurer, classer et diffuser ces informations,
- Examiner les systèmes mis en place afin de vérifier la conformité aux normes, plans, procédures lois et réglementations sur
les activités

Cas d’application – mise en place de gestion des risques
et du contrôle interne dans une compagnie d’assurance

ENCG Casablanca - 2015
DEMARCHE DE GESTION DES RISQUES

Définir les objectifs A
C
Répertorier les processus T
U
Identifier les risques A
L
Evaluer les risques I
S
A
Identifier les contrôles T
I
Tester les contrôles O
N
Etablir des recommandations

FIXATION DES OBJECTIFS

Liés à l’activités ( Opérations)
( rendement, positionnement, opportunités etc…)
Objectifs généraux Liés aux informations financières ( IF)

(produire en temps voulu des états financiers conformes
aux référentiels comptables)
Liés au respect de la réglementation ( Conformité)

( appliquer rigoureusement l’ensemble des lois
et réglementations)
Objectifs fixés à l’échelle de l’activité
- Découlent des objectifs généraux

- La notion d’activité est lié au découpage adoptée par la compagnie
- BU, Process, Branches, Produits

IDENTIFICATION DES RISQUES
• Il s’agit d’identifier et de prendre en compte les conséquences des risques significatifs.
• Ce processus est interne et peut se faire avec l’accompagnement de professionnels externes .
• Positionnement des opérationnels au cœur du dispositif .
• Chaque opérationnel, chaque manager est propriétaire de ses risques.
• La nomenclature se fait selon le découpage adopté par l’entreprise et sont systématiquement liés à des objectifs.

IDENTIFICATION DES RISQUES

La granularité est le niveau de détail sur lequel peut se construire une cartographie.
Il existe cinq niveaux complémentaires de granularité, du plus large au plus particulier :
Le métier Le domaine Le processus L’opération La tâche
IARD Auto Sinistres Règlement Envoi d’un

chèque
Vie
Réass

Vue 1
Vue 2

Vue 3

Vue 4
Début
Réception de la déclaration
Etape 0 de sinistre
Etape 1 Ouverture du dossier

Identification du Courrier Arrivée
Evaluation initiale du sinistre

Non
Etape 2 Traitement du dossier Transaction ? Gestion Contentieux
Oui
Etape 3 Règlement
Règlement financier
Règlement judiciaire
Ecriture comptable
Traitement : sous Etape

Etape 4 Inventaire du dossier Clôture du dossier
Inventaire Physique Processus : autre processus

Inventaire Permanent
Enregistrement de la Nœud : nœud de décision

Etape 5 provision réglementaire
Tâche : tâche du processus
Fin
EXEMPLE DE RISQUES (Processus de gestion des primes)

N° Risques
R1 Retard dans l'émission des primes
R2 Prise de garanties méconnue par la compagnie
R3 Déséquilibre technique dans les contrats d'assurance
R4 Sous-tarification des polices (autres que les tarifs réglementés)
R6 Renouvellement d'une police présentant des impayées
R7 Double codification d'un assuré
R9 Erreur d'imputation des numéros des tryptiques
R10 Absence de données de gestion
R11 Double remboursement
R12 Délivrance de quittance sans paiement de cotisation
R13 Risque d'incident de paiement des cotisations
R14 Risque de non-conformité juridique des polices

EXEMPLES DE RISQUES (Gestion Sinistres)
N° Risques
RS1 Risque d'une évaluation erronée de la PSAP
RS2 Risque de règlement erroné
RS3 Estimation erronée des provisions réglementaires
RS4 Risque de traitement tardif du dossier sinistre
RS5 Risque de perte ou de traitement tardif du courrier
RS6 Risque d'erreur dans l'identification des éléments du sinistre
RS7 Risque de double règlement
RS8 Risque de perte, disparition ou destruction de dossiers physiques de sinistres ou d'éléments de dossiers
RS9 Sous effectif du service Sinistres Corporels et Matériels
RS10 Défaillance au niveau de la sécurisation du lieu de travail

EVALUATION DES RISQUES

• L’objectif est de cerner les risques majeurs susceptibles d’avoir un impact significatif sur la réalisation des
objectifs de l’entreprise.
• L’évaluation des risques suppose la prise en compte des contrôles existants .
• Seuls les risques résiduels sont pris en compte .
• Deux aspects importants :
• L’importance du risque
• La probabilité de réalisation ( occurrence)
Mesure des impacts : impact financiers, impact image et réputation, impact réglementaire et légal, …


Objectif : parvenir à placer les risques sur une échelle de criticité. Identifier les causes et les conséquences
de chaque risque.
Outil indicatif : Matrices Fréquence / Impact
Risque brut = Impact prévisible x Fréquence
Proposition d’échelles :
ECHELLES DE PROBABILITE
ECHELLES D’IMPACT
Autres critères d’impact : impact sur l’image de la compagnie, réglementaire, juridique…


La détermination de l’occurrence et de l’impact de chaque risque permettra de déterminer la gravité globale du risque :
Probabilité
4- Probable
3- Assez probable
2- Peu propable
1- Improbable
1- Faible 2- Moyen 3- Fort 4- Critique

Impact
Echelle Gravité
4 Majeure
3 Importante
2 Moyenne
1 Faible

Risque Définition/ Précisions Imp Mait.
Respect des règles de souscription - ► Non respect des règles de souscription par le réseau Bancassurance
Bancassurance 2,8 2,2
Respect des règles de souscription - Agents ► Non respect des règles de souscription par le réseau des agents (tarification, risques exclus, risques
non délégués) 2,6 2,4
Fiabilité des données pour l’appréciation / ► Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou
tarification du risque frauduleuses - -
Concentration / souscription - Entreprises ► Dépassement des engagements acceptables sur un même site, un même client ou un même risque
d’assurance 3,5 1,8
Dépassements des pleins – identification ► Dépassement des pleins ou non identification des risques devant faire l'objet d'une assurance
des risques / réassurance facultative facultative :
► Dépassement de plein lors de la souscription d’un contrat
► Non identification des polices reconduites tacitement devant faire l’objet de réassurance
facultative 4,0 2,0
► Non respect des conditions du réassureur (délais de règlement de la prime,…) impliquant la
non couverture des sinistres cédés en réassurance facultative
Risques non réassurés ► Acceptation d'un risque exclu par la réassurance 3,0 3,7

Risque Définition/ Précisions Imp Maît
Emission de polices et triptyques Emission de polices et triptyques frauduleux : non autorisés, non déclarés à la Compagnie,
3,7 1,0
frauduleux antidatés..
Formulaires, contrats, documents Utilisation de formulaires, contrats et autres documents contractuels qui ne sont plus en vigueur
périmés - Bancassurance par le réseau bancassurance 3,3 1,3
Approbation du contrat par le client Contrats d’assurance en cours d’exécution non signés par le client (essentiellement pour l’AT) 3,0 3,3
Qualité des clauses contractuelles Absence ou manque de précisions de certaines clauses dans le contrat (exclusions,…) 3,0 1,2
Gestion des stocks de triptyques Gestion des triptyques inefficiente : suivi du stock de la Compagnie et des intermédiaires, sécurité
du stockage, détournement des triptyques par des employés / intermédiaires, … 3,2 1,6
Fiabilité des données clients pour la Les données utilisées pour la cotation des affaires en AT sont inexactes, incomplètes ou 2,5 1,8
tarification AT frauduleuses
Base clients bancassurance / Ecarts entre la base clients bancassurance (banque et filiales) et la Compagnie:
Exhaustivité du chiffre d’affaires Nombre de têtes
3,8 2,0
Données clients (âge,…)
Cotisations
Annulation des primes Annulation de prime erronée, non exhaustive ou non autorisée 3,2 2,0
IDENTIFICATION DES CONTRÔLES
• La gestion des risques majeurs consiste en :
• Elle se situent dans le cadre de la réduction des risques. Elles

L’évitement
comprennent un large éventail de politiques et de procédures
qui permettent de s’assurer de la mise en œuvre des directives
de la Direction.
L’acceptation
• Contrôles Préventifs /Défectifs
La réduction • Contrôles de pilotage/d’application
• Exemples de contrôle d’application

• Vérification de l’existence de toutes les pièces
Le transfert justificatives avant l’émission d’une prime
• Impossibilité d’émettre une même prime plus d’une fois
au niveau de l’application qui gère la production
• Etc...
• Contrôles de pilotage/d’application
– Exemples de contrôles de pilotage

• Le suivi du taux de S/P par branche
• Le suivi du taux de commissions
• Le suivi des émissions par branche
• Etat du volume des annulations et des résiliations par rapport aux émissions par branche
• Ect...
• Contrôles manuels/Informatiques
• Les contrôles doivent être matérialisés et testés.

Risque Fiabilité des données pour l’appréciation / tarification du risque
Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou frauduleuses
Ø Fraude de l’intermédiaire ou descriptif erroné du risque par l’intermédiaire
Ø Fausse déclaration de l’assuré,
Ø Manque de précisions sur l’activité du client.
Contrôle Fréquence Document support Livrable / Acteurs Deadline
Formalisation
1. ► Mettre en place et formaliser les habilitations pour la mensuel ► État des police ► État des anomalies Directeur du Pôle Assurances des
souscription des risques entreprises souscrites Entreprises
► Contrôles des habilitations d’acceptation, de signature et
de contrôle pour la souscription
► Contrôle pour l’exhaustivité des polices souscrites du
respect des habilitations en matière de souscription (contrôle
des signatures des contrats et des avenants).
2. ► Vérifier sur la base des dossiers physiques la réception Dossiers physiques des Directeur du Pôle Assurances des
des données nécessaires et suffisantes à l'appréciation du polices Entreprises
risque et à la tarification.
3. ► Contrôle pour l’ensemble des polices souscrites de mensuel ► État des polices ► état des anomalies Directeur du Pôle Assurances des
l’existence d’un rapport de risque renseigné par souscrites Entreprises
l’intermédiaire.
4. ► Récupérer la liste des risques à visiter (établie par le trimestriel ► État des polices ► État des polices sans Directeur du Pôle Assurances des
préventeur sur la base d'un nombre de critère) : visites faites à souscrites visite de risque Entreprises
la souscription ou au changement de capitaux ou de garanties. ► Rapports de
► Contrôler que la visite de risque pour ces polices a été risque
effectuée
5. ► Vérifier que les demandes de modification (pour hebdomadaire ► État des ► État des anomalies Directeur Souscription
aggravation du risque) sont traitées dans les délais (10j délai demandes de (modifications
légal) : modification demandées non traitées)
► Vérification de l’existence de l’avenant de régularisation
établi et classé dans le dossier.

Risque Concentration / souscription – Entreprises (cumul)
Dépassement des engagements acceptables sur un même site, un même client ou un même risque d’assurance.
Ø Dépassement des cumuls couverts par les traités de réassurance en cas de catastrophe naturelle.
Contrôle Fréquence Documen Livrable / Acteur Deadline
t support Formalisation
► Préalable Directeur du Pôle

► Formaliser les limites de concentration par garantie Assurances des Entreprises;
► Reconstituer le fichier des risques entreprises assurés
(capitaux assurés, adresse des différents sites et dépôts,…)
1. ► Effectuer une cartographie des risques assurés par Semestriel. ► État ► Cartographie des Responsable Prévention.
garantie (risques divers) : des risques assurés.
► Relevé des points GPS pour l’ensemble du portefeuille, polices. ► Cumuls des capitaux
et mettre les capitaux garantis, dépassant la politique de
► Mise à jour semestrielle (nouvelles souscriptions / concentration de la Cnie.
modifications)
2. - Vérifier la correcte saisie des données sur le système

: rapprochement entre les adresses figurant sur le
contrat avec les adresses saisies sur le système
- sur la base de la cartographie, vérifier le non
dépassement des capitaux assurés par zone

ENCG Casablanca - Hicham Drissi

Risque Mise à jour des réserves – Non Vie
Les réserves ne sont pas mises à jour dans le système en fonction des éléments reçus et des règlements effectués
Contrôle Fréquence Document support Livrable / Acteur Deadline
Formalisation
1. ► Inventaire tournant en partant du physique vers le ► Tournant avec ► État des dossiers ► État des Responsable Indemnisations
système comme critère que physiques (source anomalies
► Contrôle de l’exactitude de la réserve système par l’ensemble des archivage)
rapport au dossier physique dossiers doivent être
► Contrôle de l’exactitude des règlements effectués revus au moins une
fois par trimestre
2. ► Inventaire tournant en partant du système vers le ► idem ► État des réserves ► État des Responsable Indemnisations
physique système anomalies
► Contrôle de l’exactitude de la réserve système par
rapport au dossier physique
► Contrôle de l’exactitude des règlements effectués
3. ► Contrôle de la mise à jour de la réserve par rapport ► Trimestrielle ► Inventaire des ► État des Responsable Indemnisations
aux dossiers physiques pour certains critères dossiers système anomalies
► Réserves nulles,
► Réserves non mouvementées,
► Modifications importantes de réserves,
► Dossiers en police universelle.
4. ► Mesure du délai de traitement du courrier : ► Trimestrielle ► Backlog traité et état ► Reporting sur les Directeur du Pôle Assurances des
► Mesure du délai de traitement du courrier, des documents traités délais de traitement Entreprises
► Mesure des délais de traitement sur la base des ► État des dossiers du courrier par
dossiers mouvementés (date de réception du courrier, date mouvementés branche
de mise à jour de la réserve). ► Dossiers sinistres
physiques
63
LES LIMITES DU CONTROLE INTERNE
– Jugements erronés
– Dysfonctionnements dus à des erreurs ou défaillances humaines
– Collusion entre deux ou plusieurs personnes
– Dirigeants qui outrepassent le système de contrôle interne
– Rapport coût/bénéfice

CLES DE SUCCES D’UN PROJET DE CONTRÔLE INTERNE
• Un support affirmé de la Direction Générale, responsable de la qualité du contrôle interne devant le Conseil
d’Administration
• Une analyse coût / bénéfice du projet : le dispositif de contrôle doit être simple et adapté à la taille de la
compagnie, à son exposition aux différentes natures de risque, à la complexité de ses produits ou structures
• Une organisation de projet performante, sous la responsabilité d’une structure dédiée : vision des rôles et
responsabilités des acteurs, définition des objectifs et de la trajectoire projet, fixation des livrables attendus,
définition du cadencement du projet (comités de pilotage,…)
• Un socle méthodologique robuste : Analyse fondée sur une modélisation claire des processus et des risques,
utilisation de bonnes pratiques et référentiels de place (COSO 2, IFACI,…), pérennisation du contrôle interne au
sein de l’organisation de la compagnie (gouvernance, positionnement, pilotage…).

C) Les processus clefs de l’audit interne
Planification du programme d’audit,

Conduite de la mission : planification, accomplissement, communication des résultats, suivi des
actions de progrès

Audit Interne – Planification du programme d’audit
« Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir des priorités
cohérentes avec les objectifs de l’organisation.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties prenantes) lorsqu’il fournit
une assurance objective et pertinente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus de gouvernement
d’entreprise, de management des risques et de contrôle interne. »
Interprétations de l’IFACI à la Norme 2000 – Gestion de l’audit interne

Audit Interne – Planification du programme d’audit
Le responsable de l’audit interne doit tenir compte lors de la planification des missions d’audit des inputs :
- Le découpage des activités et des entités de l’entreprise, en domaines auditables,
- Les travaux et résultats issus du Système de management des risques,
- Le niveau d’appétence aux risques tel que défini par la Direction,
- La planification et les Résultats des missions d’audit précédentes (y compris les travaux des CAC),
- Les demandes de la Direction Générale, du comité d’audit et des autres organes de direction (y compris pour les missions de conseil),
- Les changements importants intervenus (ou envisagés) : organisationnel, systèmes d’information, environnement, ...
Une fois établi, le plan d’audit doit être communiqué à la Direction générale et au Comité d’audit pour examen et approbation.
Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit interne soient :
- Adéquates : connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit,
- Suffisantes : quantité (JH) nécessaires à la réalisation du plan d’audit.
L’état d’avancement de la réalisation du plan d’audit doit être périodiquement communiqué à la Direction générale et au Comité d’audit.
Tout changement dans le plan d’audit approuvé doit être également présenté et expliqué à la Direction générale et au Comité d’audit.

Audit Interne - Déroulement d’une mission d’audit interne
La phase de La phase de La phase de

préparation réalisation conclusion
L’ordre de mission, La réunion d’ouverture, Le projet de rapport d’audit

L’étape de familiarisation, Le programme d’audit, interne,
L’identification des risques, Le questionnaire de contrôle La réunion de clôture,
La définition des objectifs. interne, Le rapport d’audit,.
Le travail sur terrain,
La preuve en audit interne,
Cohérences et validations.

La phase de préparation
L’ordre de mission :
L’ordre de mission formalise le mandat donné par la Direction Générale à l’audit Interne et répond à deux fonctions
essentielles :
- Une fonction de mandat,

- Une fonction d’information.

L’étape de familiarisation :
Etape d’étude et d’apprentissage du domaine et de la culture de l’entreprise :

- Avoir une idée sur l’ensemble des procédures de gestion et le contrôle interne,
- Aider à identifier les objectifs de la mission,
- Identifier les problèmes essentiels de la fonction auditée,
- Organisation des opérations d’audit.
 Outils :
-- Questionnaire de prise de connaissance

Phase d’identifcation des risques :
Identifier les zones ou les risques sont susceptibles de se produire, cette étape va permettre à l’auditeur de
construire son programme et le construire de façon modulée.
La défintion des objectifs :
C’est un contrat passé avec l’audité et qui va préciser objectifs et champ d’action de la mission d’audit. A ce stade,
le contenu du contrat est élaboré par l’audit interne et porté à la connaissance de l’autre partie et soumis à son
approbation lors de la réunion d’ouverture.

La phase de réalisation
La réunion d’ouverture :
Cette réunion marque non pas le début de la mission mais plutôt le commencement des opérations de réalisation
et on ne peut la tenir tant qu’il y’a pas un « programme » à présenter à l’audité.
Le programme d’audit :
Planning du travail
Appelé aussi « programme de vérification », il s’agit du document
interne au service et dans lequel on va procéder à la détermination et
à la répartition des tâches. Son contenu est essentiellement technique:
Objectifs
Fil Suivi des

conducteur travaux
Le questionnaire du contrôle interne :
C’est un guide pour l’auditeur pour réaliser son programme, il inclut toutes les bonnes questions à se poser pour
réaliser une observation complète .
Le travail sur terrain :

Rappel de la démarche logique;
Programme de Vérification
• Définition des travail • Questionnement terrain • Chaque anomalie
objectifs • Planning des sur chaque point • Vérification sur le va donner lieu à
du programme une FRAP
tâches terrain des points
fort théorique via
des tests.
Rapport
Q.C.I FRAP*
d’orientation
ENCG Casablanca - Hicham Drissi *FRAP: Feuille de révélation et d’analyse des 74
problèmes
La preuve en audit interne :

Tout élément permettant d’affirmer un constat d’audit :
Preuves
Preuve Preuve Preuve

Preuve physique
testimoniale documentaire analytique
Ce qu’on voit, ce Témoignage : preuve Pièce comptable, PV, Calcul, comparaison,

qu’on constate. la plus faible. procédure… déduction..
Cohérences et validations:
L’auditeur
ENCG Casablanca -s’assure par un travail de synthèse de la cohérence de ses observations.
Hicham Drissi 75
La phase de conclusion
Projet de rapport d’audit :

1- Les observations qu’il contient n’ont pas encore fait l’objet d’une validation générale,
2- ce document, s’il comporte déjà les recommandations des auditeurs, ne comprend pas les réponses des audités.
C’est donc un document incomplet.
La réunion de clôture: les 5 principes :

Le principe du « livre ouvert »: C’est l’affirmation que rien ne saurait être écrit dans le rapport d’audit qui n’ait
été au préalable présenté aux audités,
Le principe de la « fil d’attente »: Le premier servi en matière d’information est l’audité et le responsable direct.
Le principe de « ranking »: les recommandations sont présentées en fonction de leur importance (classement
par conséquence du FRAP),
Le principe de l’action immédiate: dès que l’audité est informé, on doit l’encourager à prendre les mesures
correctives sans attendre la publication officielle du rapport,
La connaissance commune: la participation de l’auditeur/audité à cette validation générale permet de créer une
synergie de groupe.
La phase de conclusion
Le rapport d’audit :
• Pas d’audit interne sans rapport d’audit interne,
• Document final,
• Présentation préalable aux audités,
• Droit de réponse de l’audité,
• La forme : page de garde et lettre d’envoi, introduction et synthèse, le corps du rapport, conclusion et plan d’action.
• Annexes.

Audit Interne – Suivi des recommandations
• L’audit interne doit mettre en place un processus de suivi de la

mise en place des recommandations :
• Fixer des délais de réponse du Management,
• Mettre en place une évaluation de ces réponses : questionnaires,
vérification sur le terrain, planification de mission de suivi, …
• Etablir un rapport de suivi des recommandations,
• Informer le Comité d’audit de l’état d’avancement.

D) Les normes : leur finalité, leur rôle, leur évolution

Les normes : leur finalité, leur rôle, leur évolution
Référence indispensable pour tout connaître sur l’audit interne, elles permettent de :
 Définir les principes de base de la pratique idéale de l’audit interne,
 Fournir un cadre pour l’exécution et la promotion d’un large éventail d’activités d’audit interne apportant une valeur ajoutée,
 Etablir une base pour évaluer la performance de l’audit interne,
 Favoriser des opérations et processus organisationnels améliorés.
Définissent les caractéristiques des structures et parties

Qualification réalisant des activités d’audit interne
Normes Décrivent la nature des activités d’audit interne et

déterminent les critères en fonction desquels la réalisation
Fonctionnement de ces services peut être évaluée.

Les normes : leur finalité, leur rôle, leur évolution
Normes
Fonctionnement
Qualification
1000 Mission, pouvoirs et responsabilités 2000 Gestion de l’audit interne

1100 Indépendance et objectivité 2100 Nature du travail
1200 Compétence et conscience professionnelle 2200 Planification de la mission
1300 Programme d’assurance et d’amélioration qualité 2300 Accomplissement de la mission
2400 Communication des résultats
2500 Surveillance des actions de progrès
2600 Acceptation des risques par la direction générale

E) Déontologie et objectivité de l’auditeur interne

Déontologie et l’objectivité de l’auditeur interne
Pourquoi ?
– Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte particulier
qui est le leur.
– Expliciter et illustrer les notions d’indépendance et d’objectivité,
– Témoigner du niveau élevé d’intégrité de l’audit interne,
– Contribuer à la qualité des résultats en rappelant l’exigence de confidentialité et de compétence.
De quoi il s’agit ?
– Intégrité : Confiance, crédibilité des auditeurs internes,

– Objectivité : le plus haut degré d’objectivité par une démarche professionnelle,
– Confidentialité : Respect de la valeur et la propriété des informations reçues,
– Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et
expériences requis pour la réalisation de leurs travaux.

F) Les qualités relationnelles de l’auditeur interne

Les qualités relationnelles d’un auditeur interne
• La personnalité de l’auditeur interne est fondamentale, compte tenu de la nature de son travail qui consiste à observer,
analyser, évaluer et recommander. Pour cela, il doit gagner le respect, l’estime et la collaboration de l’ensemble du personnel.
• L’esprit positif : encourager la critique constructive et éviter le négativisme. Éviter les jugements de valeur.
• L’esprit d’équipe : Un bon auditeur interne doit être affable et capable de travailler en équipe.
• L’imagination et le sens pratique : L’auditeur interne doit avoir la perspicacité nécessaire pour distinguer les faits importants
des banalités. Il doit faire preuve d’imagination et de sens pratique pour que ses recommandations soient utiles et applicables.
• Le sens des relations humaines et l’écoute : L’auditeur interne doit savoir écouter. Il doit avoir l’aptitude à communiquer
efficacement verbalement ou par écrit. Il doit maintenir de bonnes relations avec les personnes verifiees. Il doit savoir non
seulement expliquer et convaincre, mais aussi transcender pour mieux avancer.
• Le soin professionnel et la discipline : être sans cesse à la recherche d’informations probantes, suffisantes et adéquates pour
appuyer ses conclusions et ses recommandations. Mettre le soin professionnel nécessaire pour analyser et présenter les
informations.
• Le jugement professionnel : ne pas confondre jugement personnel et jugement professionnel. Accepter que ses points de vue
soient questionnés et trouver des arguments objectifs pour défendre ses points de vue ou pour convaincre ses interlocuteurs.
LeENCG
jugement
Casablancaest professionnel
- Hicham Drissi lorsqu’il est émis sur la base de connaissances et principes établis et pour autant qu’il 85
puisse
Les qualités relationnelles d’un auditeur interne
Etude menée aux USA par The Korn/Ferry Institute et The Institute of Internal Auditors – 2010, que le poste de responsable d’audit interne
peut être occupé par d’autres profils que les profils standards : expert comptable, auditeur interne de formation et de carrière. Ex : contrôle
de gestion, finance, risque et conformité ou encore opérationnel.
Les Sept qualités indispensable à un responsible d’audit interne :

1. Un sens aigu de l’activité de l’organisation : comprendre les aspects liés à l’activité de l’entreprise et pouvoir les intégrer dans la démarche
d’audit. Environnement, marché, organisation de l’entreprise, … pour pouvoir être une force de proposition efficace en matière de gestion
des risques et optimisation des ressources affectées aux activités de contrôle et de pilotage, …
2. De réelles qualités de communicant : être en mesure de transmettre un message clair, concis et pertinent. Savoir transmettre les
messages clairement. Entretenir des relations fortes avec le Conseil, la direction générale, les auditeurs externes. Savoir encadrer ses
équipes.
3. Une intégrité et une déontologie sans faille : donner l’exemple.
4. Une expérience variée : disposer de compétences techniques de niveau, d’une solide connaissance des risques et du contrôle. Disposer
des certifications (CIA ou CPA, notamment). Mise en place de système de rotation interne et externe au service.
5. Une excellente connaissance des risques de l’entreprise : S’appuyer sur des techniques d’identification et d’appréciation des risques.
Prendre conscience des limites des ressources de l’entreprise. Possibilité de s’appuyer sur l’audit interne dans les projets stratégiques de
l’entreprise.
6. Un ENCG
don Casablanca - Hicham Drissi
pour développer les talents : pépinière pour les futurs managers de l’entreprise 86

Audit Acg Pr Drissi Hicham

Transféré par

Droits d'auteur :

Formats disponibles

Audit Acg Pr Drissi Hicham

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Acg Pr Drissi Hicham

Transféré par

Droits d'auteur :

Formats disponibles

Introduction

 Normes de l’IIA pour l’exercice de cette activité

ENCG Casablanca - Hicham Drissi 1

ENCG Casablanca - Hicham Drissi 2

ENCG Casablanca - Hicham Drissi 3

ENCG Casablanca - Hicham Drissi 4

 Approche systématique et méthodique :

Un auditeur interne chargé de vérifier qu’un fournisseur respecte bien

ENCG Casablanca - Hicham Drissi 6

ENCG Casablanca - Hicham Drissi 8

N’est pas dans son périmètre :

• Prendre des décisions stratégiques et/ou opérationnels,

ENCG Casablanca - Hicham Drissi 10

ENCG Casablanca - Hicham Drissi 11

L’indépendance de l’audit interne doit se traduire :

ENCG Casablanca - Hicham Drissi 12

Lors de la réunion d’ouverture d’un audit externe, le représentant de la direction vous

ENCG Casablanca - Hicham Drissi 14

Conseil d’administration Attachement hiérarchique

Direction Comité d’audit

Fonction de l’audit interne

Le RAI doit être rattaché :

ENCG Casablanca - Hicham Drissi 16

ENCG Casablanca - Hicham Drissi 17

- Contrôle interne- cadre de référence : le COSO I

ENCG Casablanca - Hicham Drissi 19

ENCG Casablanca - Hicham Drissi 20

• En 2013, la commission met à jour le 1er référentiel COSO I axé sur le

• 1992  Référentiel du contrôle interne  COSO I

ENCG Casablanca - Hicham Drissi 23

L’environnement de contrôle constitue le milieu dans lequel les personnes

Le processus complet fait l’objet d’un pilotage et de modifications le cas échéant.

 Pour répondre aux 3 objectifs du contrôle interne.

ENCG Casablanca - Hicham Drissi 25

ENCG Casablanca - Hicham Drissi 26

Politique en matière de - Traduire les exigences en matière d’intégrité, d’éthique et de compétences.

ENCG Casablanca - Hicham Drissi 27

Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.

Evaluer les risques : Son importance, Sa probabilité

Elaboration de la cartographie des risques :

ENCG Casablanca - Hicham Drissi 29

 Production de rapports de performance répondant aux critères définis par l'entreprise,

ENCG Casablanca - Hicham Drissi 30

 Évaluation périodique des contrôles internes,

ENCG Casablanca - Hicham Drissi 31

ENCG Casablanca - Hicham Drissi 32

Objectifs du Management de risques :

• Stratégique objectifs stratégiques servant la mission de l’organisation,

ENCG Casablanca - Hicham Drissi 33

ENCG Casablanca - Hicham Drissi 36

Mise en œuvre à partir du 16 décembre 2014.

ENCG Casablanca - Hicham Drissi 37

17 Principes de contrôle interne et 81 points d’attention pour la mise

ENCG Casablanca - Hicham Drissi 38

ENCG Casablanca - Hicham Drissi 39

ENCG Casablanca - Hicham Drissi 40

Définition des responsabilités  3 lignes de maitrise :

La direction générale demeure le responsable en dernier ressort du respect du dispositif.

ENCG Casablanca - Hicham Drissi 43

ENCG Casablanca - Hicham Drissi 44