Henri-Pierre MADERS Jean-Luc MASSELIN - acifr.org · Contrôle interne des risques Préface du Docteur Jean MADER ... l’audit des opérations de marché constitue une priorité

Henri-Pierre MADERS Jean-Luc MASSELIN

Contrôle interne des risques

Préface du Docteur Jean MADER

Délégué auprès de l’Organisation des Nations Uniespour le Développement Industriel

titreI-IV.fm Page III Lundi, 19. avril 2004 12:06 12

© Éditions d’Organisation, 2004ISBN : 2-7081-3116-8

Alliance des consultants industriels francophones - http://www.acifr.org

25

© É

dit

ion

s d

’Org

anis

atio

n

Identifier, évalueret classer les risques

Ni blanc, ni noir,Sinon, à quoi serviraient les couleurs

Si certains risques sont évidents, d’autres le sont moins. Il faut donccommencer par dresser un tableau de la situation qui permette de

percevoir les enjeux et les nuances parmi les menaces. Il estnécessaire de procéder à une revue systématique afin d’identifier,

évaluer et classer les risques les uns par rapport aux autres. Ceci estd’autant plus vrai qu’il n’est pas possible de tout contrôler et qu’il

faudra donc procéder à des choix, alors, autant faire les bons !

ÉTAPE 2

P1-Etape2.fm Page 25 Vendredi, 16. avril 2004 2:25 14


Identifier, évaluer et classer les risques

51

© É

dit

ion

s d

’Org

anis

atio

n

2.2. Évaluer les risques

Une fois les risques identifiés, il est nécessaire d’évaluer leur impact en cas desurvenance. Celle-ci est une combinaison de trois facteurs :

◆ Sa probabilité d’apparition ;◆ Sa gravité en cas de survenance ;◆ La durée pendant laquelle les conséquences de l’évènement ont un impact.

L’évaluation par l’estimation des pertes annualisées

Il est possible d’estimer les risques par l’évaluation de leurs préjudices en casde survenance, préjudices exprimés en euros. Quatre méthodes peuvent alorsêtre utilisées :

1. Mesure des pertes annualisées estimées.

2. Mesure des pertes annualisées constatées.

3. Mesure des pertes annualisées extrapolées.

4. Mesure des pertes moyennes annualisées constatées.




© É

dit

ion

s d

’Org

anis

atio

n

52

Présentation

Cette méthode consiste à multiplier la probabilité de survenance du risque par ladurée de l’évènement puis par la valeur de la conséquence de la survenance durisque.

EXEMPLE 6

L’estimation du coût de l’immobilisation annuelle d’un avion de ligne pour des raisonsmécaniques par la méthode des pertes annualisées estimées.

Risques Probabilité Durée Valeur Pertes

Train d’atterrissage 1 % 1 10 000 K€ 100 K€Moteur 0,1 % 2 10 000 K€ 20 K€Électronique embarquée 1 % 1 10 000 K€ 100 K€Gouvernes de direction 0,2 % 2 10 000 K€ 40 K€Instruments de navigation 2 % 1 10 000 K€ 200 K€Total 460 K€

OUTIL 21

LLLLeeeessss ppppeeeerrrrtttteeeessss aaaannnnnnnnuuuuaaaalllliiiissssééééeeeessss eeeessssttttiiiimmmmééééeeeessss



Identifier, évaluer et classer les risques©

Éd

itio

ns

d’O

rgan

isat

ion

53

Présentation

Cette méthode consiste à évaluer pour chaque risque le montant de la perteconstatée en se fondant sur l’expérience des incidents passés.

EXEMPLE 7

L’estimation du coût de l’immobilisation annuelle d’un avion de ligne pour des raisonsmécaniques par la méthode des pertes annualisées constatées.

Risques Pertes

Train d’atterrissage 100 K€Moteur 200 K€Électronique embarquée 100 K€Gouvernes de direction 120 K€Instruments de navigation 20 K€Total 540 K€

OUTIL 22

LLLLeeeessss ppppeeeerrrrtttteeeessss aaaannnnnnnnuuuuaaaalllliiiissssééééeeeessss ccccoooonnnnssssttttaaaattttééééeeeessss




© É

dit

ion

s d

’Org

anis

atio

n

54

Présentation

Cette méthode consiste à extrapoler chaque risque en fonction d’une valeur derisque globale.

EXEMPLE 8

L’estimation du coût de l’immobilisation annuelle d’un avion de ligne pour des raisonsmécaniques au sein d’une flotte composée de 50 appareils du même modèle par laméthode des pertes annualisées constatées et extrapolées.

Risques Valeur pour 50 avions

F-GGEI% de la flotte

F-GGEIPertes

Train d’atterrissage 20 000 K€ 2 % 400 K€Moteur 50 000 K€ 2 % 100 K€Électronique embarquée 10 000 K€ 2 % 200 K€Gouvernes de direction 5 000 K€ 2 % 100 K€Instruments de navigation 7 500 K€ 2 % 150 K€Total 950 K€

OUTIL 23

LLLLeeeessss ppppeeeerrrrtttteeeessss aaaannnnnnnnuuuuaaaalllliiiissssééééeeeessss eeeexxxxttttrrrraaaappppoooollllééééeeeessss




Éd

itio

ns

d’O

rgan

isat

ion

55

Présentation

Cette méthode consiste à extrapoler pour chaque risque la perte moyenne ense fondant sur un historique des pertes moyennes.

EXEMPLE 9

L’estimation de la probabilité moyenne d’immobilisation annuelle de trois avions deligne pour des raisons mécaniques par la méthode des pertes moyennes annualiséesconstatées.

Risques F-GGEI F-GGEO F-GKUM Etc.

Train d’atterrissage 1 % 1 % 5 %Moteur 0,1 % 0,1 % 0,2 %Électronique embarquée 1 % 1 % 5 %Gouvernes de direction 0,2 % 0,2 0,2Instruments de navigation 2 % 2 % 4 %Total 4,3 % 4,3 % 14,4Moyenne des 5 types de risque 0,86 % 0,86 % 2,88 %

OUTIL 24

LLLLeeeessss ppppeeeerrrrtttteeeessss mmmmooooyyyyeeeennnnnnnneeeessss aaaannnnnnnnuuuuaaaalllliiiissssééééeeeessss ccccoooonnnnssssttttaaaattttééééeeeessss




© É

dit

ion

s d

’Org

anis

atio

n

56

Présentation

Les matrices permettent d’estimer les préjudices d’une façon relative les uns parrapport aux autres.

Pour ce faire, il est nécessaire :

1. D’estimer chaque critère d’après une cotation de 1 à 5 :– Enjeu financier : de « 5 » = enjeu financier très fort à « 1 » = enjeu financier

très faible ;– Niveau de vulnérabilité : de « 5 » = vulnérabilité très importante à « 1 »

= vulnérabilité très faible ;– Qualité du dispositif de contrôle interne en place : de « 5 » = très mauvais

dispositif à « 1 » = très bon dispositif.

2. De multiplier l’enjeu financier du domaine audité par son niveau de vulnérabi-lité puis par la qualité du dispositif de contrôle interne en place.

Dans cet exemple, bien que représentant un enjeu financier plus faible que lesengagements et les moyens de paiement, à cause d’une grande vulnérabilité(absence de procédures écrites, responsable back-office sur le départ…) etd’un système de contrôle interne défaillant (logiciel comptable non perfor-mant…), l’audit des opérations de marché constitue une priorité.

EXEMPLE 10

La matrice d’appréciation d’une banque commerciale.

Domaines Enjeu financier Vulnérabilité Qualité

du CI Total

Engagements 5 1 2 10Moyens de paiement 5 1 1 5Produits d’épargne 3 1 2 6Opérations internationales 1 2 1 2Cautions et garanties 2 1 2 4Marchés financiers 2 5 5 50Etc.

OUTIL 25

LLLLeeeessss mmmmaaaattttrrrriiiicccceeeessss dddd’’’’aaaapppppppprrrréééécccciiiiaaaattttiiiioooonnnn




Éd

itio

ns

d’O

rgan

isat

ion

57

Présentation

Les check-lists permettent de passer rapidement en revue les risques classi-ques d’un domaine ou d’un processus.

Deux principales méthodes sont utilisées :

◆ Les QCI (questionnaires de contrôle interne) présentés précédemment ;◆ Les fondamentaux de contrôle interne :

– Politique définie, connue et appliquée,– Séparation des fonctions,– Réalité des informations,– Pistes d’audit,– Habilitations, délégations, autorisations,– Codes d’accès informatiques,– Manuels de procédures…

OUTIL 26

LLLLeeeessss cccchhhheeeecccckkkk----lllliiiissssttttssss










PHASE 1 – L’évaluation du dispositif de contrôle interne existant

67

© É

dit

ion

s d

’Org

anis

atio

n

Q

UESTIONNAIRE

D

’

ÉVALUATION

DE

LA

PHASE

1

Ce premier questionnaire synthétise les questions clés permettant de faire unrapide état des lieux du dispositif de contrôle interne d’un domaine en respec-tant l’approche par les processus.

Une réponse « oui » à une question constitue une force apparente du dispositifde contrôle interne ; par contre, une réponse « non » constitue une faiblesseréelle ou potentielle.

Questions sur la culture Oui Non

La distance hiérarchique est faibleLe besoin de contrôle de l’incertitude est fortLa culture est plutôt collectiveLa culture est plutôt orientée vers les résultatsLes lois et règlements sont respectésLes sentiments sont exprimésLes barrières hiérarchiques sont oubliées en dehors de l’entrepriseLa capacité d’intégration de ce qui vient d’ailleurs est forteLe temps est linéaireLa structure est spontanément organiséeLa structure concilie l’atteinte de plusieurs objectifs en même tempsL’intégration du personnel est verticale

Question sur le management Oui Non

Le style de management est plutôt « synergique »

Questions sur le dispositif de contrôle interne Oui Non

Il existe une cartographie des risques de l’entrepriseIl existe un dispositif de contrôle interne formaliséCe dispositif couvre 100 % de l’entrepriseLes processus de pilotage sont « sous contrôle »Les processus opérationnels sont « sous contrôle »Les processus supports sont « sous contrôle »Les procédures sont documentéesLes risques métiers sont « sous contrôle »Les risques généraux sont sous contrôle

OUTIL 31

P1-Etape3.fm Page 67 Mardi, 20. avril 2004 2:29 14


CONTRÔLE INTERNE DES RISQUES

68

© É

dit

ion

s d

’Org

anis

atio

n

(Exemple de) Questions sur les risques généraux oui non. Le risque client/produit. Le risque de marché. Le risque d’image commerciale. Le risque accidentel. Le risque délictueux. Le risque de malversation. Le risque de traitement des opérations. Le risque sur le système d’information. Le risque sur les études informatiques. Le risque sur les traitements informatiques. Le risque lié aux télécommunications. Le risque réglementaire. Le risque déontologique. Le risque stratégique. Le risque d’insuffisance fonctionnelle. Le risque sur la gestion du personnel. Le risque ergonomique. Le risque d’externalisation. Le risque de dépendance technologique. Le risque de communicationLa probabilité d’apparition des risques est régulièrement évaluéeLa gravité des risques est régulièrement évaluéeDes actions sont régulièrement conduites pour réduirela probabilité et la gravité des risques réels ou potentiels

OUTIL 8



PHASE 1 – L’évaluation du dispositif de contrôle interne existant

69

© É

dit

ion

s d

’Org

anis

atio

n

I

LLUSTRATION

– L

ES

SOCIÉTÉS

DE

SERVICES

INFORMATIQUES

Les principaux risques à mettre sous contrôle dans le cadre des prestationssont articulés autour de quatre axes :

Le risque client

◆

Nature du projet (stratégique) ;

◆

Sensibilité de l’impact sur le business du client ;

◆

Évolution de l’organisation du client ;

◆

Dépendance directe ou indirecte du projet ;

◆

Visibilité du projet dans l’organisation du client ;

◆

Existence d’une obligation impérative « le sans faute » ;

◆

Conséquence d’un non-respect des obligations impératives ;

◆

Solution échappatoire ;

◆

Existence d’accord de confidentialité.

Le risque contrat

◆

Nature du contact client ;

◆

Connaissance de l’organigramme et des responsables client ;

◆

Moyens mis en œuvre pour le contrat ;

◆

Bonne foi du client ;

◆

Cohérence des objectifs et des interprétations entre les contractants ;

◆

Solvabilité du client ;

◆

Satisfaction du client et moyen de gestion de la relation.

Le risque d’organisation

◆

Connaissance de la complexité des circuits et processus de décision ;

◆

Clarté des obligations du client ;

◆

Capacité du client à jouer son rôle de maîtrise d’ouvrage (MOA) ;

◆

Nature de la relation de coopération avec la MOA si autre que client (sociétéconcurrente, partenaire, etc.) ;

◆

Compétence et disponibilité de l’organisation client pour le projet ;

◆

Répartition, représentation et implication des diverses parties prenantes del’organisation client ;

◆

Collaboration des parties prenantes « risque tenaille au moment de lalivraison » ;

◆

Existence de procédure de résolution de litige ;

OUTIL 9




70

© É

dit

ion

s d

’Org

anis

atio

n

◆

Possibilité d’escalade du litige ;

◆

Impact du client sur l’organisation de la société de service.

Le risque technique

◆

Complexité des spécifications fonctionnelles illustrées par maquettage ou parprototypage ;

◆

Comité de décision mixte client-prestataire ;

◆

Recours à des moyens d’analyse poussés et à des revues desspécifications ;

◆

Compréhension des spécifications fonctionnelles (lisibilité, disponibilité) ;

◆

Adéquation des moyens de transfert au client et d’appropriation ;

◆

Traçabilité de la couverture fonctionnelle spécifiée avec les besoins exprimés(contrat, clauses techniques, cahiers des charges, etc.) ;

◆

Identification, documentation et validation avec le client des paramètres deconfiguration et limites du système ;

◆

Conformité avec les engagements contractuels ;

◆

Choix d’architecture ;

◆

Qualité de la documentation de l’architecture.

OUTIL 10











106

© É

dit

ion

s d

’Org

anis

atio

n

Q

UESTIONNAIRE

D

’

ÉVALUATION

DE

LA

PHASE

2

Ce deuxième questionnaire synthétise les questions clés permettant de faire unrapide état des lieux de la façon de concevoir le dispositif de contrôle interneciblé d’un domaine en respectant l’approche par les processus.

Comme pour le questionnaire de la partie 1, la réponse « oui » à une questionconstitue une force apparente du dispositif de contrôle interne ; par contre, uneréponse « non » constitue une faiblesse réelle ou potentielle.

Questions Oui Non

Il existe un plan de continuité des activités dans l’entreprise pour chaque ligne métier. Celui-ci permet de :. S’assurer de la continuité des activités. Répondre aux engagements pris à l’égard des partenaireset en particulier vis-à-vis des clients

. Limiter les pertes financières

. Assurer une continuité de service aux clients

. Garantir un niveau de qualité de service minimum

. Garantir la disponibilité des ressources vitales et des processus de pilotage et supports

. Capitaliser les bonnes pratiquesL’entreprise se comporte comme un acteur économique « responsable »L’entreprise possède des processus opérationnels « sous contrôle » lui permettant d’atteindre ses objectifs durablementTous les risques humains sont pris en considération : personnelsde l’entreprise, sous-traitants, clients, fournisseurs, visiteurs…L’organisation et le fonctionnement de l’entreprise respectent les lois et règlements en vigueurL’entreprise possède une fonction de « Compliance Officers »L’entreprise dispose d’un reporting et d’états financiers fiablesChaque transaction comptable respecte les 7 règlesd’enregistrement Les attentes des différents bénéficiaires du dispositif de contrôle interne sont identifiéesLe conseil d’administration joue un rôle actif dans le dispositifde contrôle interneIl existe un comité d’audit dans l’entrepriseLa direction générale est concernée par le contrôle interneL’encadrement est impliqué dans le dispositif de contrôle interne

OUTIL 33

P2-Etape3.fm Page 106 Lundi, 19. avril 2004 8:08 08

Noir Quadrichromie 45,0° 80,0 LPP


PHASE 2 – La conception du dispositif cible

107

© É

dit

ion

s d

’Org

anis

atio

n

Questions Oui Non

Il existe une équipe d’auditeurs internes dans l’entrepriseDes auditeurs externes réalisent régulièrement des auditsdu dispositif de contrôle interneLe dispositif donne une image fidèle de l’état des risquesà un moment donné et dans le tempsLe dispositif de contrôle interne permet d’avoir une vue globaleet des vues détailléesLe dispositif de contrôle interne donne des informations au niveau central (siège) et au niveau local (branches, filiales…)

Le dispositif de contrôle interne est à deux niveaux : 1

er

degréet 2

e

degréIl existe un plan systématique d’organisation (définition précise des tâches, définition des pouvoirs et des responsabilités,définition de la circulation de l’information)Le personnel est compétent et intègreIl existe une documentation satisfaisante qui recouvrela production des informations (qualitativementet quantitativement suffisant pour que la directiony trouve une base d’appréciation suffisant : manuelsde procédures, instructions écrites…) et leur conservationIl est réalisé régulièrement des contrôles d’exhaustivité(existence et respect de séquences numériques)Il est réalisé régulièrement des rapprochements des documents afférents à une même opérationIl existe des listes de classement mnémotechniqueIl est réalisé régulièrement des contrôles de réalité (contrôlesphysiques périodiques)Il est réalisé régulièrement des contrôles d’exactitude(comparaison globale des données ; contrôle arithmétique)Il existe des contrôles hiérarchiques (procédures d’autorisationet de supervision, politique d’embauche, réglementationde l’accès aux biens de l’entreprise, audit interne)Il existe un contrôle réciproque et de séparation des tâches

OUTIL 33





108

© É

dit

ion

s d

’Org

anis

atio

n

I

LLUSTRATION

– L

ES

COMPAGNIES

DE

TRANSPORT

AÉRIEN

Le transport aérien est un secteur très réglementé. Cette réglementation setraduit par des dispositifs de contrôle internes draconiens.

Intéressons-nous aux textes réglementaires régissant cette activité.

L’article R 133-1-1 (décret n° 95-444 du 21 avril 1995 art. 1

er

) soumet à desprocédures d’obtention de certificats

les entreprises assurant :

◆

La conception des aéronefs ou des équipements ;

◆

La production d’aéronefs ou la fabrication d’éléments d’aéronefs ;

◆

L’entretien et les réparations des aéronefs ;

◆

L’exploitation des aéronefs.

Les règles définies par le ministre chargé de l’aviation civile et relatives tant auxprocédures de certification de type et certification de navigabilité des aéronefsqu’aux conditions d’aptitude au vol ou d’utilisation des aéronefs, comportentl’obligation pour les entreprises concernées de détenir un certificat d’agré-ment de leurs aptitudes techniques dans les conditions ci-après :

Pour les entreprises assurant la conception des aéronefs ou des équipementspour lesquels un certificat de type est délivré, ainsi que des modifications à cesaéronefs ou équipements, l’agrément prévu par les règles relatives aux procé-dures de certification de type est délivré après enquête technique portant surles dispositions (organisation générale, moyens humains et matériels, procé-dures, documentation) prises par les entreprises de conception pour démontreret attester de la conformité du produit aux conditions techniques qui ont éténotifiées.

Il porte notamment sur :

◆

La connaissance des règlements de certification et de leurs interprétations ;

◆

La réalisation des études, analyses et essais nécessaires pour démontrer laconformité ;

◆

La vérification des conclusions de ces études, analyses ou essais avant dedéclarer la conformité.

Pour les entreprises assurant la production d’aéronefs ou la fabricationd’éléments d’aéronefs, l’agrément prévu par les règles relatives aux procéduresde certification de navigabilité est délivré après enquête technique portant surles dispositions (organisation générale, moyens humains et matériels, procé-dures, documentation) prises par l’entreprise pour démontrer la conformité desproduits au type certifié.

OUTIL 33




PHASE 2 – La conception du dispositif cible

109

© É

dit

ion

s d

’Org

anis

atio

n

Il porte notamment sur :

◆

Les liens avec l’organisme responsable de la conception ;

◆

La maîtrise de ses procédés de fabrication ;

◆

Les contrôles de conformité.

Pour les entreprises assurant l’entretien et les réparations des aéronefs, l’agré-ment prévu par les règles relatives à l’aptitude au vol des aéronefs est délivréaprès enquête technique portant sur les dispositions (organisation générale,moyens humains et matériels, procédures, documentation) prises par l’entreprisepour assurer le respect des exigences relatives à la maintenance des aéronefs.

Cet agrément porte notamment sur :

◆

Le respect des programmes et méthodes d’entretien ;

◆

Les vérifications des travaux effectués ;

◆

L’approbation des matériels pour remise en service.

Pour les entreprises assurant l’exploitation des aéronefs, l’agrément des apti-tudes techniques résulte, en ce qui concerne les entreprises de transport aérien,de la délivrance du certificat de transporteur aérien exigé par l’article 9 du règle-ment (C.E.E.) n° 2407/92 susvisé.

Le certificat de transporteur aérien ainsi que le certificat d’agrément prévu parles règles relatives à l’utilisation d’aéronefs par des entreprises autres que lesentreprises de transport aérien sont délivrés après enquête technique portantsur les dispositions (organisation générale, moyens humains et matériels,procédures, documentation) prises par l’entreprise pour se conformer auxrègles d’utilisation notamment en ce qui concerne :

◆

Le personnel navigant, la composition et les conditions techniques d’emploides équipages, la conduite des vols ;

◆

Le matériel volant, ses équipements, y compris ceux de secours et de sauve-tage, ses instruments de bord, leur entretien ;

◆

Les conditions d’emploi des aéronefs, les limitations liées à leurs perfor-mances, leur chargement (y compris le transport de marchandisesréglementées) ;

◆

L’application des règles de circulation aérienne dans tous les espacesutilisés.

OUTIL 33











PHASE 3 – La mise en œuvre du dispositif cible

129

© É

dit

ion

s d

’Org

anis

atio

n

Q

UESTIONNAIRE

D

’

ÉVALUATION

DE

LA

PHASE

3

Ce troisième questionnaire synthétise les questions clés permettant de faire unrapide état des lieux de la mise en œuvre du dispositif de contrôle interne d’undomaine en respectant l’approche par les processus.

Comme pour les questionnaires des parties 1 et 2, la réponse « oui » à unequestion constitue une force apparente du dispositif de contrôle interne ; parcontre, une réponse « non » constitue une faiblesse réelle ou potentielle.

Questions Oui Non

Les travaux de mise en œuvre du projet sont inventoriésLes politiques d’entreprises sont rédigées (responsabilité sociale, sécurité des biens et des personnes, transparence financière…)Les politiques d’entreprises ont été présentées au personnelLes politiques d’entreprises ont été déclinées en charteset procéduresUn dispositif de reportings a été mis en place à tous les niveaux sensibles de l’entrepriseDes contrôles des contrôles ont été mis en place pour s’assurerde leur efficacitéLa mise en œuvre du dispositif est pilotée par une structure projetL’équipe projet utilise des outils de gestion de projettels que des plannings et des tableaux des sollicités Les risques liés au projet sont inventoriés régulièrementet donnent lieu à des actions de prévention et de régulationUn comité de pilotage suit l’avancement des travauxet arbitre entre les objectifs, les ressources et les planningsLes étapes de mises en œuvre du projet sont actéespar le comité de pilotageLes forces en présence sont identifiées : forces allantdans le sens du projet et forces allant à l’encontre du projetLes forces en présence sont prises en compte : . Les personnes passives sont mises en situation de bouger

malgré elles. Les personnes intéressées reçoivent l’information répondant

à leurs attentes. Les personnes souhaitant participer ont l’occasion de le faire. Les personnes fortement convaincues par le projet peuvent

y jouer un rôle de moteur. Les personnes conciliantes sont aidées

OUTIL 46




130

© É

dit

ion

s d

’Org

anis

atio

n

Questions Oui Non

. Les personnes critiques ont l’occasion de s’exprimeret de faire des propositions

. Les personnes en opposition sont prises en compteet des solutions de compromis sont recherchées

. Les personnes hostiles au projet sont isolées afin de réduireleur influence négative

Un plan de communication a été défini et accompagne la miseen œuvre du projetLe plan de communication est composé de diffusion d’informations générales et d’informations plus ciblées vers des cibles précisesLes actions de communication valorisent l’objectif, les travauxréalisés et les personnes qui y contribuentLes actions de communication sont nombreuses et pas seulement dans le sens TOP / DOWN




131

© É

dit

ion

s d

’Org

anis

atio

n

I

LLUSTRATION

– L

ES

ENTREPRISES

INDUSTRIELLES

Les risques industriels peuvent être appréhendés par un QCI suivant le processmétier en 4 phases : conception, réalisation, installation et S.A.V.

Questions Oui Non

Phase de conception

Risques sur l’avant-projet et définition du produit

. Le produit peut être fabriqué à un coût correct

. La solution est acceptable pour le client

. La solution n’est pas déjà brevetée

. Etc.

Risques sur la documentation associée

. Le document est exhaustif

. La traduction est exacte

. Etc.

Risques sur l’industrialisation

. Le produit est réalisable

. Le produit est peu coûteux à produire

. Le produit n’est pas dangereux à fabriquer

. Le délai d’industrialisation est tenable

. Etc.

Risques sur les revues

. Un système qualité est en place

. Etc.

Phase de réalisation

Risques sur les achats, approvisionnements et magasin

. Les fournisseurs sont fiables (fournitures conformes, livraisonsà l’heure, solidité financière)

. Aucune commande n’est défaillante

. Il n’y a pas de pertes de fournitures constatées

. La GPAO est fiable

. Le traitement des non-conformités est rapide

. Il n’y a pas de défaillances de transport

. Les inventaires sont fiables

. Les fournisseurs sont réactifs

. Il existe un contrôle suffisant des matières

. Il n’y a pas de conflits ou de contentieux avec les fournisseurs

. La politique d’achats est adaptée

. La réactivité des achats est suffisante en terme de délaide commande

. Les coûts des achats sont maîtrisés

. Etc.




132

© É

dit

ion

s d

’Org

anis

atio

n

Risques de fabrication

. Les machines et les équipes sont disponibles

. Les produits fabriqués sont conformes aux spécifications

. Le traitement des produits non conformes est satisfaisant

. Etc.

Risques sur le montage et l’intégration

. Le montage est possible

. Les sous-traitants respectent les délais et la qualité

. Les retouches sont réalisées rapidement

. La procédure d’intégration des composants est performante

. Le montage n’est pas dangereux pour les ouvriers

. Les composants fournis sont conformes

. Le bureau d’études est disponible

. Le client n’a pas d’exigences supplémentaires se traduisantpar plus d’essais

. Les matériels et infrastructures ne sont pas dangereux

. Les infrastructures de manutention et de levage sont suffisantes

. Etc.

Risques sur contrôle et essais

. Le matériel d’intégration et de contrôle est performant

. La procédure d’intégration est efficace

. Il n’y a pas d’accidents constatés auprès du personnel

. Les sous-traitants sont disponibles

. Il est possible de mesurer la performance des produits fabriqués

. Etc.

Risques sur la recette usine

. Les appareils de mesure sont bien étalonnés

. Le client est disponible

. La recette peut être tracée

. La documentation contractuelle est complète

. Les organismes de surveillance sont informés

. Les rapports de vérification sont complets, à la bonne date et exacts

. L’équipe d’assurance qualité est disponible

. La procédure d’assurance qualité est validée par le client

. Etc.

Risques sur les revues

. Les anomalies sont détectées

. Il n’y a pas de défaillances humaines ou d’outillage de productionà l’état de prototype

. Etc.

Risques sur le conditionnement et les expéditions

. Le conditionnement est suffisamment solide

. Il n’y a pas d’accidents et/ou de retards de transport constatés

. Il n’y a pas de frais exceptionnels de transport ou du transitaire

. Aucun vol de matériels n’est constaté

. Etc.




133

© É

dit

ion

s d

’Org

anis

atio

n

Phase d’installation

Installation sur site

. La disponibilité de l’équipe et/ou des moyens de chantier est suffisante

. Le personnel est adapté au contexte culturel

. Le personnel a les qualifications officielles requises

. Il n’y a pas d’obstructions réglementaires

. Les contextes social, politique et météo sont favorables

. Les sous-traitants ne sont pas défaillants

. Le chantier a été bien préparé

. Les matériels sont en bon état

. Le client est suffisamment présent

. Les moyens de communication sont adaptés

. Les procédés ne sont pas dangereux et adaptés au site

. Etc.

Risques sur la formation du client

. L’équipe formation est compétente

. Les supports de formation sont adaptés et disponibles

. Le niveau des élèves est homogène, suffisant et adapté aux objectifs de la formation

. Aucun endommagement du matériel n’est constaté

. Aucune fuite de savoir-faire n’est déplorée

. Aucune difficulté de maintenance n’est constatée

. Le client n’a pas d’exigences non prévues et/ou exagérées

. Le chantier est bien managé

. Les moyens client sont disponibles au bon moment

. Etc.

Risques sur la recette sur site

. La recette sur site est représentative

. Le client ne fait pas d’obstructions

. Le personnel du client est compétent et disponible

. Les appareils de mesure sont correctement étalonnés

. La recette est tracée

. La documentation contractuelle est complète

. Aucune non-atteinte des performances n’a pour causeun dysfonctionnement en cours de recette

. Les notifications ou convocation du client et des organismesde surveillance sont faites

. Les rapports des organismes de vérification sont complets et exacts

. L’équipe d’assurance qualité est disponible

. Le matériel client n’est pas défaillant et est disponible

. Etc.




134

© É

dit

ion

s d

’Org

anis

atio

n

Phase d’assistance et de S.A.V.

Risques d’interventions et assistance

. La communication est adaptée (moyens et hommes)

. Les procédures sont précises

. Les diagnostics peuvent être opérés à distance

. Les experts sont rapidement disponibles

. Les matériels et pièces de rechange sont disponibles

. Les moyens et personnels client sont disponibles

. Aucune perte de compétences et d’informations n’est constatée

. Les limites de responsabilité (garantie) sont bien définies

. Les clients n’exercent pas de pressions abusives

. Les limites d’intervention du SAV sont précises

. Le profil de l’équipe SAV est adapté au contexte

. Le matériel s’avère fiable

. Les conditions d’usage sont conformes aux spécifications

. Etc.

Risques sur production de pièces de rechange

. Le financement des pièces de rechange est suffisant

. Le stockage des pièces de rechange est adapté

. La gestion des évolutions est complète

. Aucune obsolescence du matériel n’est constatée

. Aucune disparition de fournisseurs n’est constatée

. Aucune insuffisance ou défaut de maintenance et de maintienen condition des moyens de production n’est constaté

. Etc.










PHASE 4 – Le management du dispositif

171

© É

dit

ion

s d

’Org

anis

atio

n

QUESTIONNAIRE D’ÉVALUATION DE LA PHASE 4Ce quatrième questionnaire synthétise les questions clés permettant de faire unrapide état des lieux du management du dispositif de contrôle interne d’undomaine en respectant l’approche par les processus.

Comme pour les questionnaires des parties 1, 2 et 3, la réponse « oui » à unequestion constitue une force apparente du dispositif de contrôle interne ; parcontre, une réponse « non » constitue une faiblesse réelle ou potentielle.

Questions Oui Non

Le conseil d’administration est moteur dans le dispositif de contrôle interneIl existe un comité d’auditLes dirigeants sont très sensibles au contrôle interne et l’intègrent dans leur prise de décision au quotidienDes gestionnaires de risques sont en charge de la surveillancede certains risques spécifiquesDes comités spécialisés sur les grand thèmes de risquesde l’entreprise se réunissent régulièrementL’encadrement a à cœur de réaliser au quotidien la supervisiondu travail de leurs collaborateursLes collaborateurs rendent compte spontanément des risquesqu’ils découvrent ou dont ils sont à l’origineLes processus sont organisés dans une logique de work-flowUn reporting est réalisé à tous les niveaux de l’entrepriseLe comité d’audit et le service d’audit interne travaillenten bonne intelligenceLe comité d’audit et la personne en charge de la déontologietravaillent en bonne intelligenceLe service d’audit interne possède des moyens et ressources humaines suffisantsLe service d’audit peut intervenir sur tous les sujets, et parfoisde sa propre initiativeLe service audit réalise des missions spécifiquement sur la qualité des dispositifs de contrôle interneLa diffusion des rapports de l’audit interne est largeet suivie d’actions par le managementLe suivi des recommandations de l’audit interne est réalisépar l’encadrement des domaines concernésLes avis des commissaires aux comptes en matière de dispositifde contrôle interne sont pris en considération et suivis d’actions





172

© É

dit

ion

s d

’Org

anis

atio

n

ILLUSTRATION – LES ENTREPRISES DE DISTRIBUTION

L’organisation de la fonction contrôle interne dans la distribution repose sur unestructure pyramidale.

1er niveau : le siège social

Sont mis sous contrôle au siège social :Le respect de la réglementation concernant le contrôle interne, matérialisépar l’existence du dossier permanent thématique.

Le contrôle de l’organisation.L’organisation de la fonction contrôle interne est spécifique selon le degréd’autonomie des unités de ventes. Ainsi, trois types d’organisation peuventcohabiter :

◆ Magasins dépendant de l’autorité du siège pour les achats et approvisionne-ments, pour les prix de vente à appliquer et pour les horaires d’ouverture ;

◆ Points de vente partiellement autonomes, dont la gestion doit s’inscrire àl’intérieur de budgets fixés ;

◆ Points de vente à très large autonomie de gestion dont les résultats ne sontsaisis dans les comptes de l’entreprise qu’en fin d’exercice.

On y rencontre les spécificités suivantes :◆ Une grande diversité des liens entre l’entreprise et les centrales d’achats ;◆ Plusieurs modes de calcul concernant la TVA. En effet, l’administration tolère

que l’assiette soit constituée par les sorties d’entrepôts vers les magasins,chiffrées aux prix de vente ou sur les recettes ventilées en fonction de seslivraisons.

Exemples d’opérations suivies par l’informatique :◆ Suivi des mouvements de marchandises en amont des magasins ;◆ Facturation et livraison aux magasins avec la particularité de la

préfacturation ;◆ Saisie des encaisses ;◆ Ventilation du chiffre d’affaires au travers des achats et des livraisons, par

rayon, famille d’articles, etc. ;◆ Rotation des stocks ;◆ Suivi de la marge ;◆ Analyse des frais.

Le contrôle des immobilisations.◆ Le nombre important de matériels ou d’agencements de faible valeur unitaire,

parfois répartis en de nombreux points de vente géographiques ;





173

© É

dit

ion

s d

’Org

anis

atio

n

◆ Les prêts consentis aux gérants ;◆ Le nombre et l’importance des loyers ou des crédits-bails.

Le contrôle des fournisseurs et notamment des achats lors de la réception etdu règlement des fournisseurs.

On distingue cependant divers mouvements :◆ Les livraisons directes par les fournisseurs aux points de vente imposées par

le siège ;◆ La gestion autonome et l’exécution des opérations en hypermarchés ;◆ Les achats directs (principalement pour les denrées périssables) par des

procédures locales.

Le contrôle du personnel.

Le contrôle des stocks.

2e niveau : l’entrepôt

Le contrôle de la gestion des stocks.

Le contrôle des modes d’encaissement particuliers selon la nature (bons deréductions, bons cadeaux, timbres ristournes…).

3e niveau : le magasin

Supérette

◆ La réception marchandise ;◆ Le contrôle des factures ;◆ Le contrôle des recettes ;◆ L’inventaire.

À ce niveau et pour les magasins donnés en gérance, les principaux documentsde contrôle utilisés sont :◆ Les comptes de gérance où chaque écriture est appuyée d’une pièce comp-

table (relevé de livraison, changements de prix, retours d’emballage, etc.) ;◆ Les feuilles de caisse, hebdomadaires, décadaires, de quinzaines ou

mensuelles accompagnées de pièces justificatives de paiement ;◆ Les relevés d’inventaire marchandises établis soit systématiquement (inven-

taire de contrôle), soit à l’occasion de cessions, c’est-à-dire de changementde gérance pour arrêter la situation du gérant sortant.





174

© É

dit

ion

s d

’Org

anis

atio

n

Supermarchés

◆ Le contrôle marchandise : la réception des marchandises fait l’objet d’uncontrôle quantitatif et qualitatif dans certains cas. Compte tenu du volume, lesbons de livraison sont remplacés par un cahier des entrées ;

◆ Le contrôle des factures : les factures arrivent souvent avec quelquessemaines de retard, c’est pourquoi les bons de livraison et de transport sontclassés. Apparaissent donc des différences entre les quantités livrées et lesquantités facturées, et entre les prix annoncés et ceux figurant sur la facture(dues aux ristournes sur factures ou aux ristournes versées par trimestre,etc.) ;

◆ Le contrôle des recettes : les ventes donnent lieu à des paiements comp-tant. Espèces, chèques, bons de réduction, bons de collectivité (mairie,comité d’entreprise), etc. L’informatique permet donc de ventiler chacun desarticles enregistrés par rayon et par famille. La feuille de caisse indique parcatégories de valeur les espèces reçues ainsi que les montants des chèqueset autres modes de paiement. Ces informations sont confirmées par un ticketrécapitulatif édité par les caisses enregistreuses ;

◆ Le contrôle des stocks (inventaire). Les spécificités des inventaires dansce type de magasins sont : le nombre important de références (marchan-dises, et emballages), la participation du personnel aux opérations d’inven-taire, le chiffrage de l’inventaire, qui peut être fait en partie ou en totalité auprix d’achat. Les moyens de contrôle sont : les calendriers remis par lacentrale ou les fournisseurs pour faciliter le chiffrage de la valeur par l’inter-médiaire du prix d’achat, des documents préétablis portant la liste desproduits à inventorier, des systèmes de saisies directes interprétés à distancepar un ordinateur qui édite l’état des stocks ;

◆ Le contrôle des budgets.

Hypermarchés

◆ Achats / Fournisseurs : avec une grande autonomie, ces établissementscumulent des fonctions de siège et de magasins de vente ;

◆ Réception marchandise : les procédures sont semblables à celles desentrepôts ;

◆ Contrôle des factures : les procédures sont semblables à celles des entre-pôts.

◆ Contrôle des recettes : le contrôle des recettes s’effectue selon les mêmesprincipes que pour les supermarchés ;

◆ Inventaire : le contrôle des inventaires s’effectue selon les mêmes principesque pour les supermarchés ;





175

© É

dit

ion

s d

’Org

anis

atio

n

◆ Ventes et prestations : la vente à crédit de la Hi-Fi, de l’électroménager, fontl’objet de procédures particulières (grille d’acceptation de crédit, respect desréglementations et contrat numéroté). La vente à paiement différé pour leshôpitaux, l’armée, etc. fait également l’objet de procédures particulières. Lesservices après vente, la location de distributeurs automatiques, la locationd’espace, etc., doivent être soumis à autorisation du siège et font l’objetd’encaissements séparés avec les autres recettes caisses ;

◆ Gestion du personnel : l’embauche, la discipline et le règlement des salairessont sous la responsabilité d’un service qui détient un pouvoir de décisionlimité par un cadre (organigramme et grille de salaire arrêtés par le siège quise réserve le choix des cadres) ;

◆ Le contrôle des comptes. Les comptes soumis à contrôle sont :– Les provisions ; les comptes de provision sont contrôlés pour les cas de

dépréciation de stocks, de hausse de prix ou pour les litiges (révision debaux, indemnité d’éviction, etc.) ;

– Les immobilisations incorporelles : les comptes d’immobilisation incorpo-relles sont contrôlés pour les frais d’établissement, frais d’études demarché, frais des procédures administratives de création, frais mobilier etimmobilier, frais d’emprunts, etc.

– Les immobilisations corporelles : les comptes d’immobilisations corporellessont contrôlés pour les frais liés aux installations techniques, matériels etd’outillages (caractérisés par le nombre, la répartition géographique, lavaleur unitaire), pour les agencements et aménagements pour les maté-riels de transport, etc.

– Les immobilisations financières : stocks et en-cours, compte tiers, circuit detrésorerie, compte spécial.











XI

© É

dit

ion

s d

’Org

anis

atio

n

Sommaire

Préface

.............................................................................................. IX

Introduction

........................................................................................ 1

Les spécificités de notre approche

......................................................... 3

PHASE 1

L’évaluation du dispositif de contrôle interne existant

ÉTAPE 1 –

Comprendre la culture et le style de management

................. 9

1.1. Comprendre la culture

.............................................................. 10

1.2. Comprendre le style de management

.......................................... 18

ÉTAPE 2 –


................................ 25

2.1.

Identifier les risques

.................................................................. 26

2.1.1. Les risques métier

................................................................. 45

2.1.2. Les risques communs à toutes les entreprises

............................. 45

2.2. Évaluer les risques

.................................................................... 51

2.3. Classer les risques

.................................................................... 58

ÉTAPE 3 –

Mettre en avant les objectifs du dispositif cible

..................... 65

Questionnaire d’évaluation de la phase 1

............................................. 67

Illustration – Les sociétés de services informatiques

................................ 69

PHASE 2

La conception du dispositif cible

ÉTAPE 1 –

Choisir les risques à mettre sous contrôle

............................. 73

RisquesTDMXI-XIV.fm Page XI Vendredi, 16. avril 2004 2:14 14



XII

© É

dit

ion

s d

’Org

anis

atio

n

ÉTAPE 2 –

Définir le dispositif général et le rôle des acteurs

................... 85

2.1. Les bénéficiaires

....................................................................... 86

2.2. Les acteurs

.............................................................................. 89

2.3. Le dispositif

.............................................................................. 91

2.3.1. L’approche intuitive

............................................................... 91

2.3.2. L’approche technique : le contrôle interne

................................. 92

ÉTAPE 3

–

Définir les modalités de management du dispositif

................. 101


.............................................. 106

Illustration – Les compagnies de transport aérien

................................... 108

PHASE 3La mise en œuvre du dispositif cible

ÉTAPE 1 –

Définir les travaux à réaliser

............................................... 113

1.1 Inventorier les travaux à réaliser

.................................................. 114

1.2 Intégrer dans le planning les contraintes de ressources

.................. 116

ÉTAPE 2 –

Coordonner les travaux à réaliser

....................................... 119

ÉTAPE 3 –

Accompagner le changement aux niveaux central et local

...... 125


.............................................. 129

Illustration – Les entreprises industrielles

............................................... 131

PHASE 4

Le management du dispositif

ÉTAPE 1 –

Gérer le dispositif au quotidien

........................................... 137

1.1 Définir les responsabilités

........................................................... 139

1.2 Définir les outils et l’approche

..................................................... 141

1.3 Tenir compte du cadre renforcé par des lois récentes

..................... 142

1.3.1 La loi sur les Nouvelles Régulations Économiques (N.R.E.)

............. 142

1.3.2 La loi sur la Sécurité Financière (L.S.F.)

....................................... 142

RisquesTDMXI-XIV.fm Page XII Vendredi, 16. avril 2004 2:14 14


Sommaire

XIII

© É

dit

ion

s d

’Org

anis

atio

n

ÉTAPE 2 –

Surveiller le dispositif à bon niveau : audit et gouvernance

.... 149

2.1. Les bonnes pratiques du comité d’audit

....................................... 150

2.2. Composition et fonctionnement du comité d’audit

......................... 153

ÉTAPE 3 –

Mettre en perspective

........................................................ 157

3.1. Le rôle des intervenants externes

................................................ 158

3.2. Les commissaires aux comptes

................................................... 162

3.3. La gestion et le suivi des recommandations

................................. 165


............................................. 171

Illustration – Les entreprises de distribution

........................................... 172

PHASE 5L’audit du dispositif

ÉTAPE 1 –

Définir le programme d’audit

............................................. 179

ÉTAPE 2 –

Conduire des missions d’audits .......................................... 183

2.1. Préparer la mission .................................................................. 1852.1.1. Diffuser la lettre de mission ..................................................... 1852.1.2. Collecter les informations ....................................................... 1852.1.3. Rédiger la note d’approche .................................................... 185

2.2. Réaliser la mission ................................................................... 1872.2.1. Organiser la réunion de lancement .......................................... 1872.2.2. Décrire ce qui ne l’est pas ....................................................... 1872.2.3. Réaliser les tests nécessaires .................................................... 187

2.3. Restituer les résultats ................................................................. 1952.3.1. Rédiger le projet de rapport .................................................... 1952.3.2. Faire valider le projet de rapport ............................................. 2052.3.3. Rédiger le rapport définitif ...................................................... 205

2.4. Suivre la mise en œuvre des plans d’actions ................................ 2062.4.1. Analyser les rapports d’avancement ......................................... 2062.4.2. Assurer une assistance ........................................................... 2062.4.3. Réaliser une mission de suivi ................................................... 206

RisquesTDMXI-XIV.fm Page XIII Vendredi, 16. avril 2004 2:14 14



XIV

© É

dit

ion

s d

’Org

anis

atio

n

ÉTAPE 3 – Faire le bilan annuel ......................................................... 209

Questionnaire d’évaluation de la phase 5 .............................................. 211

Illustration – Le secteur bancaire ........................................................... 212

Conclusion ......................................................................................... 215

Glossaire ........................................................................................... 217

Liste des outils ..................................................................................... 219

Liste des schémas et tableaux ................................................................ 221

Liste des exemples ............................................................................... 223

Utilisation du CD-Rom .......................................................................... 225

RisquesTDMXI-XIV.fm Page XIV Vendredi, 16. avril 2004 2:14 14


Documents

Henri-Pierre MADERS Jean-Luc MASSELIN - acifr.org · Contrôle interne des risques Préface du Docteur Jean MADER ... l’audit des opérations de marché constitue une priorité