Audit Des Risques

Faisons connaissance …
L’Audit des Risques
Casablanca, le 01 février 2019

Faisons connaissance …
Présentez- vous :
- Nom et prénom,
- Formation initiale,
- Stages et/ou expériences professionnelles,
- ….
Qu’est-ce que vous connaissez sur :

- le Risk Management ?
- L’Audit ?
- L’Audit des Risques ?
- La Conformité ?
L’Audit des risques 2

Agenda
1. Impératifs du contexte économique et financier de l’entreprise
2. Qu’est-ce que le Contrôle ?
3. Le couple Contrôle Interne & Gestion des Risques
4. Contrôle Interne : les référentiels
5. Qu’est-ce que l’Audit ?
6. Qu’est-ce que la gouvernance ?
7. Qu’est ce que la conformité ?

Impératifs du contexte économique et financier de
l’entreprise
Les évolutions que connait le paysage économique et financier exercent sur les
gouvernements, les économies et les entreprises de fortes pressions et impliquent des
impératifs majeurs. En effet :
Pour réussir, aucun gouvernement ou économie ne peut fonctionner aujourd’hui
sans inter-connectivité mondiale,
La transparence des marchés et des industries est de plus en plus évidente :
certaines entreprises mondiales exercent leurs activités 24 h / 24,
La croissance de cette connectivité a augmenté les demandes de disponibilité et
de fiabilité des informations financières,
cette demande à l’égard des données est alimentée par l’utilisation, sans cesse
croissante, de Systèmes de gestion financière faisant appel à la Technologie de
l’Information (TI) intégrée.
Audit des risques 4

Impératifs du contexte économique et financier de
l’entreprise
La globalisation de l’économie et l’inter-connectivité fait que la communication

des informations financières doit être pertinente, ponctuelle et uniforme dans
l’ensemble des secteurs,
Les données des sociétés doivent être instantanément accessibles et suffisantes
pour satisfaire aux exigences de toutes les parties prenantes:
 Citoyens
 Actionnaires
 Autorités de régulation.

Agenda
2. Qu’est ce que le Contrôle ?
7. Qu’est-ce que la conformité ?

Qu’est-ce que le Contrôle Interne
?
Avant de réponde à cette question, posons – nous une autre : qu’est-ce que le contrôle ?
Le Littré, dictionnaire du français classique jusqu’au 19ème siècle constitué par Émile
Littré, définit le contrôle comme étant: « registre double qu’on tient pour la vérification
d’un autre».
Contrôle = Vérification
L’AFNOR définit le contrôle comme étant: « la vérification de la conformité à des
données préétablies suivie d’un jugement ».
Contrôle = Vérification + Jugement
Plusieurs théoriciens du management, dont Henri Bouquin, ont développé une
perception plus large du contrôle. En effet, Bouquin définit le contrôle comme suit : «
contrôler c’est maîtriser, et pas seulement vérifier. La vérification n’est qu’une des conditions
de la maîtrise : pour que vérifier soit utile, il faut avoir réuni les conditions à priori d’une bonne
maîtrise ».
Contrôle = Maîtrise

?
À la différence de la notion de Contrôle, qui fût et est l’apanage des théoriciens

du management, la notion de Contrôle Interne est le fruit des réflexions menées par les
professionnels de la comptabilité dans le cadre de leurs travaux de fiabilisation des
états financiers.
Plusieurs définitions du Contrôle Interne ont vu le jour.
L’Ordre des Experts Comptables français définissait, en 1977, le Contrôle Interne
comme « l’ensemble des sécurités contribuant à la maîtrise de l’entreprise »
En juillet 2003, la norme 2-301 de la Compagnie Nationale des Commissaires aux
Comptes définissait le Contrôle Interne comme étant : « l’ensemble des politiques et
procédures (contrôles internes) mises en œuvre par la direction d’une entité en vue
d’assurer, dans la mesure du possible, la gestion rigoureuse et efficace de ses
activités. Ces procédures impliquent le respect des politiques de gestion, la sauvegarde
des actifs, la prévention et la détection des irrégularités et inexactitudes, l’exactitude et
l’exhaustivité des enregistrements comptables et l’établissement en temps voulu
d’informations financières …
?
Ou comptables fiables. Le système de contrôle interne s’entend au-delà des

domaines directement liés au système comptable ».
L’AMF, Autorité des Marchés Financiers, définissait, en 2007, le Contrôle Interne
comme étant : « un dispositif de la société, défini et mis en œuvre sous sa responsabilité
qui vise à assurer la conformité aux lois et règlements, l’application des instructions et des
orientations fixées par la direction générale ou le directoire, le bon fonctionnement des
processus internes de la société, notamment ceux concourant à la sauvegarde de ses
actifs, la fiabilité des informations financières, et, d’une façon générale, contribue à la
maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources.
En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est
fixée la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage
de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue
que les objectifs de la société seront atteints ».

?
Le COSO, Committee of Sponsoring Organization of the Treadway Commission,

définissait le Contrôle Interne comme étant : « un processus mis en oeuvre par le
Conseil d'administration, les dirigeants et le personnel d'une organisation, destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs suivants:
 La réalisation et l'optimisation des opérations.
 La fiabilité des informations financières et de gestion.
 La conformité aux lois et aux réglementations en vigueur ».
Cette définition repose sur certains concepts fondamentaux à savoir :
Le Contrôle Interne est un processus. Il constitue un moyen d'arriver à ses fins et non pas
une fin en soi.
Le Contrôle Interne est mis en œuvre par des personnes. Ce n'est pas simplement un
ensemble de manuels de procédures et de documents; il est assuré par des personnes à tous
les niveaux de la hiérarchie.
…

?
Le management est et le Conseil d'administration ne peuvent attendre de Contrôle

Interne qu'une assurance raisonnable, et non une assurance absolue.
Le Contrôle Interne est axé sur la réalisation des objectifs dans un ou plusieurs domaines
(Ou catégories) qui sont distincts mais qui se recoupent.

Agenda

Le couple Contrôle Interne & Gestion des
Risques
Prenons le cas d’un projet de construction d’un complexe hôtelier et résidentiel

haut de gamme dans la zone touristique à la Marina de Casablanca ?
Quels seraient les risques liés à ce projet pour :
 L’ouvrier travaillant à la construction de ce complexe,
 Le financier ayant investi dans ce projet,
 Et l’ingénieur ayant conçu les plans de ce projet.

Risques
Pour l’ouvrier, le risque est principalement une question d’intégrité physique :

éviter tout accident de chantier. A ce niveau, on parle plus de sécurité que de
risque,
Pour le financier, le risque est avant tout exprimé en termes de rentabilité et
de volatilité,
Pour l’ingénieur, le risque est plutôt synonyme d’erreur de calcul.

Risques
Sur le plan pratique :
Selon les conclusions du COSO, constituent des risques « les événements probables ayant
un impact négatif pouvant freiner la création de valeur ou détruire la valeur existante. Le
risque est en général exprimé en multipliant sa probabilité d’occurrence et son impact ».
Risque = Probabilité x Impact
Selon le référentiel ISO, le risque se définit comme étant « l’effet de l’incertitude sur les
objectifs ».

Risques
Le risque en finance …
Pour les financiers, le risque est souvent synonyme de variation de valeur d’un titre
financier ou d’un actif que cette variation soit liée à des événements externes ou
internes. À ce niveau, quelques notions importantes sont à distinguer :
La notion de valeur: ou de rentabilité. Dans cette optique, une stratégie de gestion
de risque pertinente est celle qui permet d’accroître la rentabilité et donc les cash
flows futurs ou réduire le coût du capital,
Le risque est mesurable : de ce fait, son impact potentiel sur le patrimoine
de l’entreprise peut être évalué et provisionné,
Le risque peut être systémique ou spécifique : systémique, quand il s’agit d’un
risque lié à l’évolution générale des marchés (hausse générale des taux d’intérêt,
crise économique …) et spécifique quand ce risque est le fait de l’entreprise
(qualité du management, événement catastrophique, lancement d’un nouveau
produit …).

Risques
Et qu’en est-il de la gestion du risque ?

Comme pour le Contrôle Interne, la gestion des risques fait l’objet de plusieurs
définitions. La définition suivante, donnée par le COSO, illustre parfaitement ce concept :
« Le management des risques est un processus mis en œuvre par le conseil
d’administration, la direction générale, le management et l’ensemble des collaborateurs
de l’organisation. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans
toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels
susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son
appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des
objectifs de l’organisation ».

Risques
« Ma définition simplifiée de la gestion des risques : soyez intelligents lorsque

vous saisissiez une opportunité »
D. W. Hubbard
D. W. Hubbard, Consultant spécialisé dans le traitement de l’information et le risk management.

Il a inventé l’AIE : Applied Information Economics une méthode qui permet
d’évaluer les risques quelques soient leurs natures.
www.hubbardresearch.com

Agenda

Contrôle Interne : les référentiels
Avant – goût …
Plusieurs référentiels dédiés à la gestion des risques et au contrôle interne coexistent. Ces
référentiels ont vu le jour durant les deux dernières décennies.
Ces référentiels différent par :
Leur périmètre : à la fois géographique et fonctionnel. En effet, certains de ces référentiels
visent le contrôle interne ou la gestion des risques ou ces deux domaines. Certains
sont adaptés à des catégories de risques donnée quand d’autres peuvent avoir une portée
locale ou internationale,
Ou leur portée juridique : plus ou moins contraignante. Certains référentiels ont acquis,
au cours du temps, une portée quasi-légale dans certains pays.
Très important à noter :
Les référentiels de contrôle interne ont une vocation pédagogique dans le sens où ils
permettent de dresser les contours, mêmes flous, d’une discipline, de créer un langage
commun, afin d’en faciliter la compréhension et la diffusion.

Quels sont les principaux référentiels du Contrôle Interne ?

Référentiel n° 1 : le COSO 1 (1/3)
Élaboré par le Comittee Of Sponsoring Organization, entité créée par la National Commission
on Fraudulent Financial Reporting (NCFFR), appelée également la Treadway Commission
du nom de son Président,
Selon ce comité, le Contrôle Interne est organisé autour de cinq composantes interconnectées:
L’environnement de contrôle,
L’identification et l’analyse des
risques,
La réalisation des activités de
contrôle,
La collecte et la communication de
l’information,
Et le pilotage.


Référentiel n° 2 : le COSO 2
Adopté en 2004 pour compléter le COSO 1, le COSO 2
traite le couple Contrôle Interne & Risk Management
Le COSO 2 décompose processus de gestion de risque
en huit composantes
Il permet d’identifier les événements potentiels
pouvant affecter l’organisation et gérer les risques en
fonction de l’appétence de celle – ci.
Le COSO 2 met en évidence deux notions majeures:
 La culture du risque,
 Et l’appétence pour le risque.

La culture du risque : notion capitale dans la gestion des risques, le COSO 2 définit la
culture du risque comme « un ensemble de croyances et d’attitudes partagées
caractéristiques de la façon dont l’entité appréhende les risques dans toutes ses activités
depuis l’élaboration d’une stratégie jusqu’à sa mise en œuvre au quotidien ».
Et l’appétence pour le risque : simple dans son principe mais complexe dans sa mise
en œuvre, cette notion est définie par le COSO 2 comme étant « le niveau de risque
global qu’une organisation accepte de prendre pour répondre à son objectif de création
de valeur ». En d’autres termes, il s’agit du seuil de risque que l’organisation ne doit pas
dépasser.

Référentiel n° 3 : le COSO 3
Le COSO 3 s’articule logiquement avec le COSO ERM – COSO 2, le contrôle interne étant
défini comme une partie intégrante de l’ERM.
Le COSO 3 décline 17 principes essentiels liés aux cinq composantes du contrôle interne.
Les 17 principes essentiels applicables à tout secteur, nature d’activité et taille d’entreprise.
Chaque principe à sa raison d’être. Ainsi, dans certains cas un principe peut avoir été établi
pour traiter d’un cas particulier.


Au-delà de la formalisation des attentes en matière de contrôle interne, le COSO 3 a
vocation à :
Renforcer les contrôles et gagner en confiance sur les opérations, le reporting et
les objectifs de conformité ;
Identifier les risques nouveaux et définir des dispositifs de maîtrise appropriés ;
Analyser comment les ressources, la technologie et les processus peuvent
potentiellement causer des défaillances de contrôle et comment les éviter ;
Cibler les contrôles pour mieux répondre aux évolutions de l’environnement.


Au-delà de la formalisation des attentes en matière de contrôle interne, le COSO 3 a
vocation à :
Renforcer les contrôles et gagner en confiance sur les opérations, le reporting et
les objectifs de conformité ;
Identifier les risques nouveaux et définir des dispositifs de maîtrise appropriés ;
Analyser comment les ressources, la technologie et les processus peuvent
potentiellement causer des défaillances de contrôle et comment les éviter ;
Cibler les contrôles pour mieux répondre aux évolutions de l’environnement.


Référentiel n° 4 : le cadre de l’AMF
L’AMF a mis en place, en 2006, un cadre de contrôle interne adapté à la culture française. Ce
cadre repose sur cinq piliers à savoir :
Une organisation adaptée : qui se traduit par une définition claire des responsabilités,
des ressources et des compétences et s’appuie sur des procédures et des
systèmes d’information appropriés,
Une diffusion en interne d’informations pertinentes : dont la connaissance permet
à chacun d’exercer ses responsabilités,
Un système visant à recenser et analyser les principaux
risques,
Des activités de contrôle : proportionnées aux enjeux propres à chaque processus
et conçus pour réduire les risques,
Une surveillance permanente : du dispositif de contrôle interne et un examen régulier de
son fonctionnement


Référentiel n° 5 : le CoCo « Criteria of Control » ou « Recommandations sur le Contrôle
»
L’acteur accomplit une tâche en se fondant

sur la compréhension du but (objectif à
atteindre) et en s’appuyant sur sa capacité
(informations, ressources, fournitures et
compétences).
Pour bien exécuter sa tâche, l’acteur doit

faire preuve d’engagement.
L’acteur fait le suivi de sa performance

et surveille son environnement pour
apprendre à mieux accomplir ses missions


Référentiel n° 6 : l’ISO 31000
L’ISO a émis en 2009 le référentiel 31000 : 2009 « management du risque – principes et
lignes directrices ».
Ce référentiel établit clairement le lien entre gestion du risque et le processus de prise
de décision. En d’autres termes, la norme précise que « la mise en œuvre et le
maintien du management du risque permet à un organisme d’établir une base fiable
pour la prise de décision et la planification ».
La norme évoque l’importance des « facteurs humains et culturels » dans le processus de
gestion du risque.

Agenda
5. Qu’est ce que l’Audit ?

Qu’est ce que l’Audit
…
Origines du mot « Audit » …
Audit …
Anglicisme issu d'une locution latine proche des notions de contrôle,

vérification, expertise, évaluation,…
Vient du verbe latin audire qui signifie écouter,
Terme employait par les Romains pour désigner un contrôle au nom de l’empereur
sur la gestion des provinces,
Fut introduit par les Anglo-Saxons au début du xiiie siècle pour la gestion.

…
Issu du contrôle comptable et financier, l’audit interne recouvre, actuellement,

une conception à la fois large et riche.
L’audit est une activité indépendante et objective qui donne à une organisation, grâce
à ses constats et diagnostics, une assurance sur le degré de maitrise de ses opérations,
lui apporte ses conseils pour les améliorer, et contribue ainsi à une meilleure efficacité,
et à l’accroissement de la productivité.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de contrôle,
de gestion et de pilotage, et en faisant des propositions pour renfoncer leur efficacité.

…
L’audit est une activité professionnelle qui aide les organisations à atteindre leurs
objectifs déclarés:
En analysant les processus clés, les procédures et les opérations,
En déterminant les contrôles clés dans chacun de ces processus, procédures et opérations,
En évaluant l’adéquation de ces contrôles,
En vérifiant la conformité d’un échantillon d’opérations par rapport à ces contrôles,
En communiquant les résultats de l’évaluation des contrôles et de la vérification de
la conformité des opérations,
En recommandant un renforcement des contrôles chaque fois que cela est nécessaire,
En suggérant des méthodes pour améliorer la conformité avec les contrôles clés,
En suivant les mesures prises en application des recommandations formulées dans
de précédents rapports.

…
Quelques mots clefs …

Audit,…
Activité,
Indépendante et objective, Valeur ajoutée,
Assurance et conseils,
Aide à atteindre les objectifs,
Approche systématique et méthodique,
Évaluation et amélioration,
Processus de management des risques, de contrôle et de gouvernement d’entreprise.

Agenda
6. Qu’est ce que la gouvernance ?

Qu’est-ce que la Gouvernance
…
Avant - goût …
Pour bien comprendre l’ampleur du concept « Gouvernance », faisons l’exercice suivant :

 Quels sont les rôles dévolus à la gouvernante des
enfants ?
Plusieurs rôles dont notamment celui de surveiller et de définir les règles du jeu pour
les enfants et leur latitude,
À ce titre, la gouvernante accomplit deux fonctions majeures :
 Une fonction disciplinaire contraignante,
 Une fonction éducative « habilitante ».
Ces deux fonctions sont liées : la définition de l’aire et de la nature des activités,
tout en facilitant la surveillance, conditionne également l’apprentissage.

…
Gouvernance, une définition ou plusieurs définitions …

Le dictionnaire Larousse définit la gouvernance comme étant : « l’action de gouverner.
Une manière de gérer, d’administrer … »
Dans les sciences de gestion, plusieurs définitions du concept Gouvernance existent.
Ces définitions sont les reflets de plusieurs approches :
 Approche actionnariale : « Ensemble des mécanismes permettant de sécuriser
l’investissement financier »,
 Approche partenariale : « Ensemble des mécanismes permettant de pérenniser le
noeud de contrats et d’optimiser la latitude managériale »,
 Approche cognitive : « Ensemble des mécanismes permettant d’avoir le meilleur
potentiel de création de valeur par l’apprentissage et l’innovation »,
 Approche synthétique : « Ensemble des mécanismes agissant simultanément sur les
dimensions disciplinaires et cognitives du processus de création/répartition de la
valeur».

…
Un petit mot sur les différentes approches de gouvernance …
 Approche actionnariale est principalement constituée des théories positive et normative

de l’agence,
 Approche partenariale fait principalement référence aux théories positive et normative

de l’agence, étendues à plusieurs parties prenantes,
 Approche cognitive fait appel à trois principales théories : comportementale,

évolutionniste et des ressources et des compétences,
 Approche synthétique est constituée de tentatives de synthèse entre théories

disciplinaires et cognitives.

…
Si on se résume …
Gouvernance : est un dispositif qui donne aux parties prenantes d’une

organisation l’assurance que les acteurs de celle-ci (et en particulier son
gouvernement) poursuivent à travers leurs actes, les finalités de cette organisation.
L’enjeu de la gouvernance est maîtriser le pouvoir du gouvernement, de la direction
d’une organisation en le maintenant dans ses limites, l’empêchant de nuire et en le
faisant agir dans le sens des finalités de l’organisation à la tête de laquelle il a été
instituée.
« Si le thème de la gouvernance des entreprises s’est principalement développé au sein de la

littérature financière, une recherche bibliographique montrerait qu’il fait aujourd’hui l’objet
d’une forte attention de la part des juristes et des économistes, mais également des
politologues, des sociologues et des spécialistes des sciences de gestion ».
Gérard CHARREAUX - Professeur en sciences de gestion à l’Université de Bourgogne

Agenda
7. Qu’est ce que la conformité ?

Qu’est-ce que la Conformité
…
La Conformité c’est :
le respect de toutes les réglementations. Il s’agit, notamment, des dispositions législatives

et réglementaires, des normes professionnelles et déontologiques, des orientations
du Conseil d’Administration, des instructions de la Direction Générale et des procédures
et normes internes,
Et la protection de l’intérêt des clients et de la réputation de l’entreprise.
Dans le secteur bancaire, la Conformité est une obligation réglementaire qui trouve
son origine dans l’importance économique de ce secteur, la diversité et complexité
de ses opérations et les enjeux importants qui peuvent découler d’une situation de non-
conformité.

La cartographie des risques outil indispensable pour
l’audit …
8. La cartographie des risques : outil indispensable pour l’audit
9. La démarche de l’audit
10. Comment rédiger un rapport d’audit
11. Réussir la relation auditeur - audité

l’audit …
Qu’est-ce qu’une cartographie des risques ?
La science des risques s’est développée autour de trois principales approches qui
sont, souvent, mises en opposition dans les débats.
Chaque approche a développé sa propre culture des risques.
À ce titre :
• les scientifiques s’intéressent plus à l’évaluation des risques,
=> Où sont les risques ? Et quels sont-ils ?
• les décideurs sont préoccupés par la gestion des risques,
=> Que peut – on faire pour réduire ces risques ?
• et le public s’attachent à la communication des risques.
=> Devons – nous nous en préoccuper ?

l’audit …
Le schéma ci-dessous résume les interactions qui existent entre les trois cultures :
Modélisation et Espace Physique
La cartographie
cartographie des
des risques outil indispensable pour
Évaluation du risque
l’audit
risques… Scientifiques
Décideurs Public
Espace Décisionnel Espace du Perçu
Gestion du risque Communication du risque

Les trois approches, bien que différentes, se retrouvent dans la nécessité de cartographier et
de modéliser des risques.
La cartographie est une représentation concise d’une situation permettant une

compréhension rapide et efficace de données complexes sur un support réduit.
La cartographie permet de représenter de façon graphique la hiérarchie des risques dans

une institution donnée.

Objectifs de la cartographie des risques …
Construite à partir d’une approche globale, la cartographie constitue un outil d’aide à

la décision pour les responsables de l’entreprise ou de l’organisation.
La cartographie doit répondre à deux objectifs :
• Identifier et hiérarchiser les facteurs de risques => Référentiel
• Dresser un état des lieux, le plus complet possible, des vulnérabilités.
La cartographie des risques s’inscrit pleinement dans le dispositif de gouvernance de l’organisation, en

général, et de gouvernance de risque en particulier.

Démarche de construction de la cartographie des risques …
Étape 1 Étape 2 Étape 3 Etape 4 Etape 5
Identification Analyse
Évaluation
des des situations Cartographie Préconisations
événements des risques à risques
Cartographie des Probabilité & Risques critiques Modélisation Plan de maîtrise

processus Occurrence des risques
& résiduels Représentation
Événements Impacts & Dispositif de
internes & externes Conséquences Interdépendances
prévention et de
protection
Des approches opérationnelles adaptées : Stratégie de
continuité
Enquête auprès des collaborateurs, collecte de données externes,
Gouvernance
entretiens individuels, groupes de travail, séminaires …
Un appareillage méthodologique éprouvé :
Base d’incidents, questionnaires, matrice de cotation des risques,
outils de représentation des risques, …

Cartographie des risques : Etape 1 …
Constitution d’un référentiel d’incidents / événements …
C ou Externes : grèves, terrorisme, pénurie énergétiques,
extern économique, cyber attaques, évolution réglementaire,
la es) politique, …
s sociétal,
s Internes : incendie, dégâts, pannes,
technologique,
e réglementaire, défaillances, réclamations, perte
naturel, ‘
s
industriel … H
d Évén o
e eme Internes : m
ri nts infrastructure, m
s sanitaire, RH, e
q produits, s
clients,
u fournisseurs, C
e S.I, l
s organisation, é
( Conséq gouvernance, ’
I uences management, …
n pilotage, …
Spécifiques: industrie, banque,
t finance, télécom, énergie …
e Extern
r es :
n inflati Destruction/dégradation des bâtiments, arrêt des
e on, activités, indisponibilité de ressources critiques,
s crises, indisponibilité des compétences, perte
e émeut d’exploitation, diminution brutale de productivité,
t es, de rentabilité
/
Recensement des processus …

Les processus et ressources métiers (Distribution, production
Les processus et ressources support (Finance, RH, IT, …)
Les processus de pilotage

Mesurer la probabilité …
À travers :
De données statistiques internes
De la perception des responsables et des collaborateurs
D’informations externes (Experts, observatoires, …)

Apprécier les impacts sur l’organisation …

Et ce eu égard aux caractéristiques et aux objectifs de l’entreprise et dans les
différents compartiments de cette dernière : clients, RH, finance, infrastructures, ressources,
stocks, …

l’audit …
Cartographie des risques : Etapes 3 & 4 …
Identifier et approfondir les risques critiques …

À travers :
Un focus sur les risques les plus critiques nécessitant des actions spécifiques de maîtrise
en raison d'une occurrence ou d'impacts potentiellement élevés.
L’approfondissement des scénarios de risques :
• Causes / conséquences
• Interdépendance
• Parades

l’audit …
Cartographie des risques : Etapes 3 & 4 …
Construire une représentation graphique adaptée …
En mettant en évidence les critères d’évaluation suivants :

Gravité (impact et conséquences)
Fréquence / probabilité

l’audit …
Cartographie des risques : Etapes 5 …
Etablir des préconisations …
À travers :
Mise en place d'un dispositif de vigilance et de pilotage des évènements (référentiel)
• Indicateurs clefs,
• Tableau de bord risque,
• Mise à jour de la cartographie.
Définition et déploiement d'un plan de maîtrise des risques
• Durcissement des mesures de prévention,
• Gouvernance des risques,
Définition d'une ou plusieurs stratégies de continuité des activités
• Orientation du PCA,
• Dispositif de gestion de crise.

Agenda
9. La démarche de l’audit des risques : Risk Based Audit (RBA)
5.
6.
7.

Démarche de l’Audit des Risques (RBA)
…
Définition et raison d’être de l’Audit des Risques (RBA) ?
 L’Audit des risques (Risk Based Audit – RBA) est une méthodologie qui permet de
lier l'audit au cadre global de management des risques au sein d'une organisation.
 A ce titre, le RBA permet de fournir au conseil d’administration et au Management
l'assurance que les processus de risk management permettent une gestion efficace des
risques auxquels une organisation est exposée et ce conformément à l’appétence au
risque de cette dernière.
 La diversité des schémas organisationnels et des modes opératoires des organisation fait
que chacune ait des attitudes spécifiques face aux risques. L’auditeur se doit donc de
s’adapter à l’environnement de l’entité qu’il audite afin que sa démarche RBA puisse
être porteuse de valeur ajoutée.
 La mise en place d’une démarche RBA nécessite l’existence d’un dispositif
de management des risques au sein de l’organisation. De manière plus générale,
l’inexistence d’un dispositif de risk management signifie que le Contrôle Interne de
l’organisation est faible.

Démarche de l’audit des risques (RBA)
…
Composantes de l’Audit des Risques (RBA) …
L’Audit des risques (Risk Based Audit – RBA) repose sur trois principaux piliers:
 Un Risk Assesment (R.A) : il s’agit d’un exercice permettant d’obtenir une vue
d’ensemble des méthodes utilisées par le Management pour identifier, évaluer, gérer et
surveiller les risques. Cette étape est importante dans la mesure où elle permet
d’orienter les interventions des auditeurs en fonction de l’importance des risques relevés.
 Un plan d’audit périodique : le RBA permet de définir un plan d’audit périodique,
généralement annuel, qui a pour vocation de viser les processus englobant des risques
majeurs. De plus, ce plan doit également porter sur la revue des processus de gestion des
risques, de déclaration des incidents, d’enregistrement des risques et de reporting.
 Des missions d’audit thématiques : il s’agit ici de conduire des mission d’audit
spécifiques qui permettront d’évaluer les risques, auxquels est confrontée l’organisation,
ainsi que les procédures et mécanismes de gestion des risques mis en place.

…
Composantes de l’Audit des Risques (RBA) …

…

…
Au-delà de l’audit des risques et du process de leur management, l’Audit des risques
(Risk Based Audit – RBA) est focalisé, également, sur les actions mises en œuvre
par le Management pour répondre aux risques.
A ce titre, plusieurs d’étapes doivent être respectées dans la démarche
RBA.
 Etape 1 : Définir le scope de la
mission
Il s’agit, dans cette première étape, de définir le scope de la mission en se basant sur
le résultat du risk assesment réalisé. De manière générale, l’auditeur se base sur la
cartographie des risques mise en place par l’entreprise et définit, entre-autres, les éléments
suivants :
• Les objectifs majeurs à atteindre,
• Les process / entités concernés par l’audit et les personnes clefs à contacter,
• Les principaux contrôles à réaliser,
• Le budget temps de la mission,
• …
…
Démarche de l’Audit des Risques (RBA) …
 Etape 2 : Réaliser un risk assesment de l’unité auditée

L’objectif de cette étape est de réaliser une évaluation détaillée des risques. Il ne s’agit pas
de refaire la cartographie des risques de l’entité mais de mettre à jour ce document en :
• Identifiant de nouveaux risques et en mesurant leurs impacts,
• Réalisant une nouvelle évaluation des risques déjà
identifiés. L’auditeur peut relever, à ce niveau, deux constats :
• L’évaluation des risques actuelle est similaire ou meilleure que celle attendue :
l’audit sera réalisé comme prévu,
• L’évaluation des risques est inférieure à celle attendue : l’auditeur remonte
au Management son constat. Dans certains cas, la mission d’audit pourrait
être suspendue.

…

…
 Etape 3 : Confirmer le scope de la mission

La confirmation du scope de la mission se fait sur la base des résultats de l’étape
2.
A ce niveau, il est à noter que, compte tenu du caractère relativement spécial du RBA,
l’auditeur se doit de veiller à ce que le Management soit, suffisamment impliqué dans
la mission.
 Etape 4 : Revue des contrôles mis en place pour la surveillance des

risques
Le but de cette étape est double :
• Vérifier que les contrôles utilisés par le Management sont suffisants pour veiller à ce que
le cadre de gestion des risques fonctionne efficacement.
• S’assurer que ces contrôles fonctionnent comme
prévu.
…
 Etape 5 : Réalisation des tests et examen des preuves

Il s’agit de vérifier la réalité des contrôles de risques à travers des tests et de recueillir toutes
les preuves qui permettent de conclure que le contrôle est réalisé et est efficace.
 Etape 6 : Documenter les résultats de l’audit

Le but de cette étape est de formaliser les constats relevés. Chaque observation doit
être écrite et appuyée par une ou plusieurs preuves.
 Etape 7 : Conclusion & reporting

Les observations doivent être regroupées dans un rapport de mission qui doit
également contenir les recommandations de l’audit.
Toutes les observations doivent être discutées avec les audités. Les
recommandations doivent, également, être validées avec ces derniers.

…
 Etape 8 : Suivi des recommandations …
 Etape 9 : Répéter la démarche …

L’intervalle entre les missions dépend de la nature des organisations. Le comité d’audit
doit être en mesure de définir cette fréquence.

Agenda
5.
6.
7.

Comment rédiger un rapport
d’audit
Utilité et étendue du rapport de la mission d’audit :
 Le Rapport d’audit est le couronnement de la mission. A ce titre, il représente la synthèse

de la mission, des différents constats et des différentes conclusions.
 Le rapport de mission doit :
 mettre l’accent sur les conclusions de l’audit
 être écrit, signé et présenté sous forme de projet aux audités
 être structuré en partie détaillée et une synthèse
 comprendre les recommandations ayant l’adhésion préalable des audités
 associer à chacune des recommandations un plan d’action
 spécifier le délai de réalisation de chaque recommandation.

d’audit
Comment rédiger un bon rapport d’audit ?
 Trois principes majeurs garantissent la qualité du rapport d’audit :
 La clarté :
 utiliser un style de rédaction ne prêtant à aucune confusion,
 utiliser des phrases courtes qui illustrent parfaitement le constat, les risques, les
conséquences et les plans d’action,
…
 La précision :
 chaque constat doit être documenté et associé à une preuve,
 chaque risque doit être évalué,
 les plans d’actions doivent être échéancés,
…
 La concision : pas de rapport fleuve …

d’audit
Astuce : Toujours se faire aider par une FRAP …
FEUILLE DE REVELATION ET D’ANALYSE DE PROBLEME
Cycle ………..
d’audit
FRAP
Problème :
Faits :
Causes :
Conséquences :
Solution proposée :
Etablie par : Approuvée par : Validé ave

Le : Le : Le :

Agenda
5.
6.
7.

Réussir la relation Auditeur -
Audité
Rôles et missions de l’auditeur :

L’auditeur est
:
 Garant du bon fonctionnement des systèmes de contrôle interne présents au sein de
l’entreprise. Son rôle est de veiller à ce que l’ensemble des risques soient maîtrisés par les
opérationnels.
 Un acteur majeur du dispositif de maîtrise des risques, du contrôle interne et de la bonne
gouvernance,
 Responsable de contribuer à l’identification et à l’évaluation des risques auxquels
l’entreprise est exposée, accompagner la mise en place d’un dispositif global de gestion des
risques et évaluer l’efficacité et la pertinence de ce dispositif.

Audité
La coopération entre auditeur et opérationnels :
 Ce qu’est l’auditeur 
 un professionnel du traitement de l’information qui aide les managers à mieux
maîtriser leurs risques, à fonctionner plus efficacement, afin d ’atteindre les objectifs
qui leur sont assignés.
 un conseiller dont la mission est de sécuriser le développement de l’entreprise.

Audité
La coopération entre auditeur et opérationnels :
 Ce que n’est pas l’auditeur : 
 un inspecteur, un certificateur, un policier, un juge.
 L’instauration d’un climat de confiance est indispensable pour mettre en place une
réelle coopération avec les opérationnels. L’audit doit toujours faire preuve d’intégrité,
objectivité, capacité d’écoute, indépendance, compétence, esprit d’équipe…
 La culture d’entreprise doit nécessairement comporter une culture d’audit
commune matérialisée par une charte d’audit assimilée, appropriée et respectée
par tous. Les opérationnels doivent non pas subir l’audit et sa charte mais faire de la
culture d’audit commune un guide d’entreprise et une doctrine vitale pour
l’accomplissement des taches de chacun en toute sérénité et quiétude personnel et
professionnel.
 Pour ce faire, l’auditeur doit être un fédérateur en communicant sans ambigüité
sur les missions, les dysfonctionnements, les actions correctrices en amont, pendant et

Audité
en aval de la mission avec le professionnalisme et confidentialité requise pour
chaque situation.

Audit Des Risques

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Des Risques

Uploaded by

Copyright:

Available Formats

Faisons connaissance …

L’Audit des Risques

Casablanca, le 01 février 2019

Qu’est-ce que vous connaissez sur :

L’Audit des risques 2

1. Impératifs du contexte économique et financier de l’entreprise

2. Qu’est-ce que le Contrôle ?

3. Le couple Contrôle Interne & Gestion des Risques

4. Contrôle Interne : les référentiels

5. Qu’est-ce que l’Audit ?

6. Qu’est-ce que la gouvernance ?

7. Qu’est ce que la conformité ?

L’Audit des risques 3