Contribution de l audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

Transcription

1 Centre Africain d études Supérieures en Gestion Institut Supérieur de Comptabilité, de Banque et de Finance (ISCBF) Master Professionnel en Audit et Contrôle de Gestion (MPACG) Promotion 4 ( ) Mémoire de fin d étude THEME CONTRIBUTION DE L AUDIT INTERNE DANS LA MAITRISE DES RISQUES OPERATIONNELS : CAS DE LA SONAPOST Présenté par : Dirigé par : Mlle KAFANDO Tarwendpanga Sylvie M. BOUSSO Souleymane Contrôleur de gestion à la RTS Novembre 2011

2 DEDICACE Nous dédions ce travail à l Eternel Tout-Puissant qui nous a donné la force et le courage nécessaires pour être là où nous en sommes et à notre famille pour le soutien moral et la confiance portée à notre égard. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page i

3 REMERCIEMENTS Qu il nous soit permis avant toute chose d exprimer notre reconnaissance envers toutes les personnes qui nous ont encadré et qui ont contribué au bon déroulement et à l élaboration de ce mémoire. Nos remerciements s adressent à : Notre mère, pour les efforts consentis durant toutes ces années études. Monsieur BALIMA Paul, Directeur Général de la SONAPOST pour nous avoir acceptées au sein de son institution. Monsieur BOUSSO Souleymane, notre directeur de mémoire pour l encadrement reçu malgré ses multiples occupations. Monsieur Moussa YAZI, Directeur de l Institut Supérieur de Comptabilité, de Banque et de Finance, pour ses conseils méthodologiques qui nous ont guidés dans la rédaction de ce mémoire. Le corps professoral de l Institut Supérieur de Comptabilité, de Banque et de Finance (ISCBF) du CESAG pour la qualité de la formation reçue. Madame YAGO Honorine, chef du département audit interne et contrôle de gestion à la SONAPOST, pour son aide, ses conseils et sa disponibilité. Nous lui témoignons notre gratitude et notre reconnaissance. Monsieur PARE Moumouni, chef de la division contrôle de gestion à la SONAPOST pour ses conseils et son soutien. Madame SANKARA Edwige, bibliothécaire au CESAG, pour les documents mis à notre disposition. A nos amis et camarades pour leur soutien et leurs conseils. A tous ceux qui nous ont aidés, de près ou de loin, durant notre formation, qu ils trouvent en ce mémoire toute notre gratitude. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ii

4 LISTE DES ABBREVIATIONS AGSE : AMF : ASCE : CCB : CCM : CCP : Assemblée Générale des Sociétés d Etat Autorité des Marchés Financiers Autorité Supérieure du Contrôle d Etat Centre de Contrôle des Bureaux Centre de Contrôle des Mandats Centre des Chèques Postaux CESAG : CMS : CNCC : CNE : CNT: COCO: COSO: DFC DG : ECIIA: ENAPOST : EPIC : IFACI : IIA : IMCE : OFAOF : OFPT : ONATEL : ONP : OPT : Centre Africain d Etudes Supérieures en Gestion Centre Multi Service Compagnie Nationale des Commissaires aux Comptes Caisse Nationale d Epargne Centre National de Tri Criteria of Control Committee of Sponsoring Organizations of the Treadway Commission Direction Financière et Comptable Direction Générale European Confederation of Institutes of Internal Auditors Ecole Nationale de la Poste Etablissement Public à Caractère Industriel et Commercial Institut Français de l Audit et du Contrôle Interne Institute of Internal Auditors Institut Mondial des Caisses d Epargne Office Fédéral de l Afrique Occidentale Française Office Fédéral des Postes et Télécommunications Office Nationale des Télécommunications Office Nationale des Postes Office des Postes et Télécommunications T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iii

5 PACNE : PTT : QCI : Projet d Audit des Caisses Nationales d Epargne Postes, Télégraphes, Téléphones Questionnaire de Contrôle Interne SONAPOST : Société Nationale des Postes TFfA : TIC : UPU : Tableau des Forces et faiblesses apparentes Technologies de l Information et de la Communication Union Postale Universelle. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iv

6 LISTE DES TABLEAUX Tableau 1 : Tableau d analyse des risques Tableau 2 : Tableau de risques correspondant à la réception des marchandises Tableau 3 : Questionnaire relatif à la maîtrise des risques Tableau 4 : Evolution du chiffre d affaires Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques opérationnels Tableau 6 : Evaluation des dispositifs de maîtrise des risques Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels Tableau 8: Identification des risques opérationnels Tableau 9 : Echelle d évaluation des risques Tableau 10 : Probabilité d occurrence T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page v

7 LISTE DES FIGURES Figure 1 : La logique de la démarche globale de gestion des risques Figure 2 : Modèle d analyse Figure 3 : Rôle de l audit interne dans le dispositif de maîtrise LISTE DES ANNEXES Annexe 1 : Organigramme de la SONAPOST Annexe 2 : L entreprise comme un ensemble de risques Annexe 3 : Grille de séparation des tâches Annexe 4 : Questionnaire de contrôle interne T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vi

8 TABLE DES MATIERES DEDICACE... i REMERCIEMENTS... ii LISTE DES ABBREVIATIONS... iii LISTE DES TABLEAUX... v LISTE DES FIGURES... vi LISTE DES ANNEXES... vi TABLE DES MATIERES... vii INTRODUCTION GENERALE... 1 PREMIERE PARTIE : CADRE THEORIQUE DE L ETUDE... 6 Introduction de la première partie... 7 CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS Les risques dans les entreprises Le concept de risque La typologie des risques Les risques opérationnels Définition Les composantes du risque opérationnel La gestion des risques opérationnels Le processus de gestion des risques L identification L analyse et l évaluation des risques opérationnels Le suivi des risques opérationnels Le dispositif de gestion des risques opérationnels Les objectifs du dispositif de gestion des risques opérationnels La cartographie des risques opérationnels L audit interne et la gestion des risques opérationnels La présentation de l audit interne Le concept d audit interne Les missions de l audit interne T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vii

9 L organisation du travail d audit interne Le rôle de l audit interne dans la gestion des risques opérationnels Les mesures de contrôle des risques opérationnels Les indicateurs de risques Le tableau de bord des risques opérationnels CHAPITRE 2: L AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS Les démarches de l audit interne L approche par les systèmes La présentation de la démarche Les limites de l approche par les systèmes L approche par les risques La description de la démarche Les différentes phases de la démarche La maîtrise des risques opérationnels Les dispositifs de maîtrise des risques opérationnels Le système de contrôle interne Définition Les objectifs du contrôle interne Les éléments du dispositif de contrôle interne L apport de l audit interne dans le dispositif de maîtrise des risques opérationnels L appréciation du dispositif de contrôle interne Le découpage en cycles d activités L évaluation du contrôle interne L évaluation de la cartographie des risques opérationnels CHAPITRE 3: METODOLOGIE DE L ETUDE Le modèle d analyse Les outils de collecte et d analyse des données Le questionnaire de contrôle interne L analyse documentaire T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page viii

10 L interview L observation physique Le tableau d identification des risques Le Tableau des Forces et faiblesses Apparentes (TFfA) La grille de séparation des tâches Le test de conformité et de permanence Conclusion de la première partie DEUXIEME PARTIE : CADRE PRATIQUE DE L ETUDE Introduction de la deuxième partie CHAPITRE 4: PRESENTATION DE LA SONAPOST Historique Les missions et les objectifs de la Sonapost Le statut et l objet social de la Sonapost Les missions et les objectifs La Sonapost dans l économie burkinabé L organisation et le fonctionnement de la SONAPOST L administration centrale Les directions techniques Les directions régionales Les centres spécialisés Les projets et programme La filiale EMS-Chronopost International Burkina CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST Le dispositif de contrôle interne de la Sonapost La description synthétique du dispositif de contrôle interne La comptabilité journalière et mensuelle Le centre de contrôle des bureaux Le Conseil d Administration L Assemblée Générale des Sociétés d Etats (AGSE) Les objectifs du contrôle interne T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ix

11 5.2. L état du dispositif de contrôle interne de la Sonapost L audit interne CHAPITRE 6 : LA CONTRIBUTION DE L AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS L appréciation du dispositif de maîtrise des risques opérationnels Le dispositif de maîtrise des risques opérationnels L analyse du dispositif de maîtrise des risques opérationnels L évaluation du dispositif de maîtrise des risques opérationnels Le rôle de l audit interne dans le dispositif de maîtrise L identification des risques L évaluation des risques L évaluation du dispositif de contrôle interne Recommandations A l endroit du service d audit interne A l endroit de la direction générale Conclusion de la deuxième partie CONCLUSION GENERALE ANNEXES BIBLIOGRAPHIE T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page x

12 INTRODUCTION GENERALE

13 La poste est l un des plus anciens réseaux de communication au monde. Ce fût à Rome qu apparut le premier service de courrier public au service des correspondances de l Etat. En Afrique, il n existait pas de système postal organisé avant l arrivée des colonisateurs européens. De nos jours, celle-ci demeure le moyen de communication le plus accessible et le plus répandu dans le monde. L activité postale traditionnelle inclut la collecte des objets de correspondance, de communication, de messagerie, de presse, des boîtes à lettres publiques ou des bureaux de poste, leur transport, leur tri et leur distribution. Ces services requièrent des savoir-faire et des compétences très spécifiques et peuvent être fournis par des entreprises nationales ou d autres organismes privés de nos jours. Les services postaux ont évolué à travers les âges en fonction des progrès, des techniques et du développement de la société car communiquer est devenue une fonction économique essentielle et est considérée comme un facteur de cohésion nationale par les gouvernements qui y interviennent. L organisation du secteur postal au Burkina Faso avec la Société Nationale des Postes (SONAPOST) est passée en quelques années, d une logique de coordination entre les différents monopoles nationaux, à celle plus concurrentielle. La globalisation de l économie et les bouleversements que le secteur des communications rencontrent l ont conduit à investir dans de nouvelles activités. Aujourd'hui, à l'instar de toutes les autres postes du monde, elle ne peut ignorer l'avènement de ce qu'il est convenu d'appeler la société de l'information avec les bouleversements technologiques qu'elle entraîne. Celle-ci est chargée de la mise en place et de l exploitation du service public de la poste et des services financiers. Elle dispose d'un réseau d'épargne, la Caisse Nationale d'épargne (CNE), permettant aux plus modestes de placer leurs économies. Avec la création de la CNE, ces services financiers ont apporté à l'etat burkinabè une ressource financière abondante. La Sonapost a pour missions la collecte, l acheminement, la distribution des objets par correspondance (lettre, colis, journaux) et la facilitation des échanges monétaires (système de transfert d argent). Dans ses efforts d amélioration de ses produits et d adaptation de son offre aux attentes du marché, elle a entrepris la mise en place dans les localités, T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 2

14 des cyber-postes qui offrent des services de navigation internet à un grand nombre de population. De par ses nombreuses activités, celle-ci doit faire face à de nombreux risques surtout opérationnels qui peuvent être un handicap à la réalisation efficace de ses activités et compromettre de ce fait l atteinte de ses objectifs de croissance. La maîtrise des risques opérationnels par la Sonapost nécessite la mise en place et l optimisation d un service d audit interne et de gestion des risques opérationnels. Ainsi le problème qui se dégage de notre étude concerne l efficacité du dispositif mis en place pour assurer la maîtrise des risques opérationnels. Le problème ainsi mis en exergue n est que la résultante de divers facteurs qui sont : - les insuffisances des procédures documentées et actualisées; - l absence d implication de l audit interne dans le dispositif de maîtrise des risques opérationnels ; - la non-détection des erreurs, ou manquement. Les conséquences du problème peuvent être de diverses natures dont : - les erreurs ; - le retard dans l exécution des opérations (livraison des colis) ; - la fraude interne ou externe ; - les vols ; - la violation du secret professionnel (ouverture des courriers). Les solutions possibles pour y remédier sont: - l évaluation des dispositifs de maîtrise des risques opérationnels ; - l évaluation et la mise à jour de la cartographie des risques opérationnels ; - la mise en place d un dispositif de gestion des risques opérationnels; - la mise à jour du manuel de procédures. Au vu de ces solutions possibles énumérées, nous retiendront celles qui s avèrent pertinentes à savoir : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 3

15 - l évaluation des dispositifs de maîtrise des risques opérationnels ; - l assurance de l efficacité du dispositif de gestion des risques opérationnels ; - l évaluation et la mise à jour la cartographie des risques opérationnels. L identification et la gestion des risques opérationnels doivent découler de la mise en œuvre d une politique de gestion efficiente par la Sonapost en vue de maîtriser les risques auxquels elle est confrontée. Cette analyse nous amène à nous interroger sur un certain nombre de questions qui sans doute seront d une aide capitale pour mener à bien cette étude. Il s agit de la question principale de laquelle découle des questions spécifiques. En ce qui concerne la question principale elle s énonce comme suit : comment l audit interne contribue il à la maîtrise des risques opérationnels? Les questions spécifiques qui en résultent sont : - Quel est l état du dispositif actuel de maîtrise des risques opérationnels, ses forces et ses faiblesses? - Quel est l état des risques opérationnels de la Sonapost? - Quels sont les outils mis en œuvre pour y faire face? Telles sont les questions auxquelles nous essayerons d apporter des réponses à travers l étude du thème : «contribution de l audit interne dans la maîtrise des risques opérationnels». Ce mémoire consistera à analyser l apport de l audit interne à la Sonapost dans la maîtrise de ses risques opérationnels. Pour pouvoir mener à bien notre étude, il est primordial de se fixer certains objectifs qui sont d ordre général et spécifique. L objectif général consistera à faire face aux contraintes qui peuvent affectés le bon fonctionnement de la Sonapost ainsi que l atteinte de ses objectifs à travers les dispositifs qu elle met en œuvre pour les maîtriser. Pour ce faire nous nous intéresserons à l apport de l audit interne dans la maîtrise des risques opérationnels. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 4

16 Afin d atteindre celui-ci, il est primordial de mettre en évidence les objectifs spécifiques qui en résultent. De ce fait nous avons : - l identification des dispositifs de maîtrise des risques opérationnels; - l évaluation du dispositif de contrôle interne mis en place pour assurer leur maîtriser; - l efficacité du dispositif de maîtrise des risques opérationnels. Ce présent mémoire sera focalisé sur la contribution de l audit interne dans la maîtrise des risques opérationnels. Pour cela deux (02) grandes parties seront développées ; la première partie est consacrée d une part à la revue de littérature qui abordera les aspects théoriques de la gestion, des dispositifs de maîtrise des risques opérationnels pour ainsi mettre en exergue la démarche de l audit interne dans le processus de maîtrise et d autre part à l approche méthodologique de l étude. La deuxième partie consacrée au cadre pratique de l étude consistera à présenter la structure et à analyser son dispositif de maîtrise des risques opérationnels afin d y cerner l apport de l audit interne. La maîtrise des risques opérationnels pour les organisations est primordiale en vue d assurer une optimisation de leurs activités et l atteinte des objectifs. Cette étude permettra à la Sonapost d une part de mieux cerner ses risques opérationnels, de disposer d une revue des bonnes pratiques en termes de maîtrise des risques opérationnels, de connaître les dispositifs adéquats pour les réduire et d autre part d assurer l efficacité de leur gestion. En outre, elle permettra d éveiller la conscience des dirigeants sur l importance de la maîtrise de leurs risques opérationnels et sur l apport de l audit interne à l organisation. Aussi pour nous mêmes, elle sera une aubaine pour confronter nos acquis intellectuels et théoriques appris au CESAG et de les adapter aux réalités du monde professionnel et par conséquent de développer les connaissances acquises et d expérimenter le fonctionnement quotidien d une entreprise notamment de son service d audit interne. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 5

17 PREMIERE PARTIE : CADRE THEORIQUE DE L ETUDE

18 Introduction de la première partie Selon MOREAU (2002: 1-2), le risque est au cœur de l entreprise car celle-ci évolue dans un environnement de risques, le plus souvent complexe, dynamique et hostile. L efficacité de l entreprise à gérer ses risques n est pas de les nier ou de les transférer à d autres, mais «d apprivoiser» ses risques en les reconnaissant et en choisissant à la fois une approche stratégique et une organisation adaptée à leur existence. Nombreux sont les types de risques qui peuvent être rencontrés dans les entreprises notamment ceux liés à la multitude des opérations. Les risques opérationnels comportent des enjeux pour les entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise. Le risque opérationnel devient alors une préoccupation majeure mais ne constitue pas un nouveau risque. La gestion des risques opérationnels a été longtemps traitée marginalement voire ignorée par la plupart des dirigeants du fait d un éventail d outils et d options limités. Le risque étant inhérent à l activité humaine, toute la question est de savoir comment le découvrir, l appréhender, l anticiper, le quantifier, et prendre les décisions correspondantes afin, non pas de l éliminer mais d en assurer sa maîtrise. La maîtrise des risques est une aspiration fondamentale, constitutive de l organisation de nos sociétés. Les dirigeants doivent être en mesure d apporter des réponses relatives à la manière de gérer les risques. Pour ce faire il est essentiel de bien connaître les différents concepts, outils et méthodes disponibles pour les identifier, analyser et traiter. Dans cette première partie, consacrée essentiellement à la revue de littérature nous aborderons la gestion des risques et l audit interne, ensuite les dispositifs de maîtrise des risques opérationnels seront présentés pour y déceler le rôle de l audit interne et après élaborer le modèle d analyse qui montrera comment nous allons procéder pour apprécier le rôle de l audit interne dans la maîtrise des risques opérationnels à la Sonapost. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 7

19 CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS Pour MOREAU (2002 :2), les dirigeants d entreprise sont confrontés à des situations différentes dues à la multitude des risques de nature, d ampleur et d incidence diverses. De par l essor du gouvernement d entreprise, la responsabilité de l entreprise et des dirigeants envers les salariés, les clients, les actionnaires est de plus en plus engagée. Cette diversité des risques entraine une pluralité de solutions et l entreprise n a pas toujours les réponses adéquates ou innovantes pour y faire face. La gestion des risques est définie comme un «processus régulier, continu, coordonné et intégré à l ensemble d une organisation, qui permet l identification, l analyse, le contrôle et l évaluation des risques et des situations à risque qui ont causé ou auraient pu causer des dommages à une personne ou à des biens». (ISO 9000, version 2000 in POULLAIN ; LESPY, 2002 :41). Coopers & Lybrand (2000 :49), ajoute que toute entreprise est confrontée à un ensemble de risques externes et internes qui doivent être évalués. Avant de procéder à une telle évaluation, il est nécessaire de définir les objectifs compatibles et répondant à des règles de cohérence interne. Leur évaluation consiste en l identification et l analyse des facteurs susceptibles d affecter la réalisation des objectifs ; il s agit d un processus qui permet de déterminer comment ils devraient être gérés Les risques dans les entreprises Avant d aborder les risques et notamment ceux opérationnels dans les entreprises, il semble nécessaire de définir la notion de risque ainsi que les différents types de risques pouvant exister dans toute organisation Le concept de risque Toutes les entités, quel que soit leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques, et ce à tous les niveaux. D après MOREAU (2002 :3), le risque d entreprise peut être défini comme la menace qu un évènement, une action ou une inaction affecte la capacité de l entreprise à atteindre T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 8

20 ses objectifs et compromettre ainsi la création de valeur. Cette définition est complétée par celle de DESROCHES & al (2005 :44) ; pour eux, le risque est une grandeur à deux dimensions. Une probabilité qui donne une mesure de l incertitude que l on a sur une gravité des conséquences, en termes de quantité de dommages, consécutifs à l occurrence d un événement redouté. Par conséquent, nous pouvons conclure que le risque est l éventualité d événements futurs pouvant entrainer des conséquences préjudiciables et agir ainsi sur la performance de l entreprise. Aussi, toutes ces définitions mettent en évidence les composantes du risque à savoir la probabilité qu un ou plusieurs événements se produisent et leurs conséquences. On peut, de ce fait, définir le risque comme un concept par lequel l entreprise tient compte des événements possibles qui pourraient survenir dans un univers incertain et pouvant entraîner des impacts significatifs sur l entité et sur ses objectifs. De par ces définitions, plusieurs types de risques peuvent être mis en évidence La typologie des risques Différents risques sont susceptibles d être rencontrés dans toute organisation. RENARD (2009 :157) énumère une liste de risques susceptibles de se produire dans l entreprise. On distingue: - les risques sociaux ; - les risques financiers ; - les risques informatiques ; - les risques technologiques ; - les risques de transports ; - les risques commerciaux ; - les risques juridiques ; - les risques politiques ; - etc. NGUYEN (1999 : 156) quant à lui, vient compléter cette distinction en identifiant trois (03) types de risques à savoir: T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 9

21 - ceux liés aux activités ; - ceux qui sont internes ou externes ; - ceux qui sont anciens ou nouveaux. DESROCHES & al (2005 : 44) quant à eux, font une classification des risques selon (02) deux critères : - en fonction de leur évolution : les risques à effets convergents dont la gravité diminue avec le temps ou à effets divergents dont la gravité augmente avec le temps ; - en fonction de leur impact : les risques à effets directs et indirects ou en cascades induisant un enchainement de différentes natures. Par ailleurs, AHOUANGANSI (2010 : 37-38) classe les risques en deux catégories : - les risques spéculatifs : ce sont des risques pris par l entrepreneur dans son activité pour atteindre les objectifs de l entreprise; - les risques purs aléatoires ou accidentels : la protection contre ces risques s établit à plusieurs niveaux dont la prévention préalable adaptée (équipements spécifiques, organisation de contrôle interne) Les risques opérationnels Les risques opérationnels sont présents dans toutes les organisations. Les incidents montrent que des événements inattendus peuvent se produire et porter sérieusement atteinte aux organisations de divers secteurs. D après SARDI (2002 :309), le risque opérationnel n est pas un concept bien défini et ne fait pas l objet d un consensus car il diffère suivant les organismes et les auteurs Définition Les risques opérationnels sont des risques auxquels toutes les sociétés sont confrontées. En général, ils proviennent de l exécution des objectifs de l entreprise. Ils recouvrent un certain nombre de risques, parmi lesquels la fraude, le risque juridique, physique ou environnemental. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 10

22 Bâle II le défini comme «le risque de pertes résultant d une inadéquation ou d une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris ceux de faible probabilité d occurrence, mais à risque de perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique mais exclut les risques stratégiques et de réputation». CAMARA (2006 : 130) ajoute que le risque opérationnel est la probabilité des pertes subséquentes à une défaillance des procédures administratives, machines et outils de travail. Il peut être ainsi défini comme le risque de perte ou d incident résultant de processus, d individus ou de systèmes insuffisants ou défaillants, ou d événements externes. Les risques opérationnels sont difficiles à identifier car présents à tous les niveaux avec une imbrication des événements et des conséquences, à mesurer due à la conjugaison des pertes directes et indirectes et à gérer car s appliquant transversalement sur l ensemble des métiers, avec des causes (internes et externes) et des conséquences (financières) diverses Les composantes du risque opérationnel NGUYEN (1999 : 210) identifie divers types de risques opérationnels à savoir : les risques de dysfonctionnement qui comprennent: - le manque de compétence du personnel en cas de remplacement pour congés ou départs définitifs ; - les erreurs, oublis, manque d attention ; - les perturbations consécutives aux changements d hommes de la hiérarchie sans information préalable. les risques de manipulation frauduleuse qui se caractérisent par: - la collusion entre plusieurs personnes; - le non respect des procédures. Bâle II complète cette initiale classification en faisant une répartition des risques opérationnels en sept (07) catégories : - la fraude interne : elle concerne les pertes liées à des actes commis à l intérieur de l entreprise visant à commettre une fraude ou un détournement d actif ou à enfreindre une disposition législative ou règlementaire, ou des règles de l entreprise ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 11

23 - la fraude externe : il s agit des pertes liées à des actes extérieurs visant à commettre une fraude ou un détournement d actif ou à enfreindre une disposition législative ou règlementaire ; - l insuffisance des pratiques internes concernant les ressources humaines et la sécurité du lieu de travail : pertes liées à des actes contraires aux dispositions législatives ou règlementaires, ou aux conventions en matière d emploi, de santé ou de sécurité, à la réparation de préjudices personnels ou à des pratiques discriminatoires ou contraires aux règles en matière d égalité professionnelle ; - les clients, produits et pratiques commerciales : qui entrainent des pertes dues à un manquement délibéré ou non, à une obligation professionnelle envers un client, à la nature ou aux caractéristiques d un produit ; - les dommages aux actifs physiques : sont causées par l endommagement des actifs physiques résultant d une catastrophe naturelle ou d autres événements ; - l interruption d activité et dysfonctionnement des systèmes : sont des pertes résultant de dysfonctionnement ou des systèmes ; - le dysfonctionnement des processus de traitement (exécution, passation d ordre, livraison, gestion des processus) : concerne les pertes liées aux lacunes du traitement des transactions ou de la gestion des processus et aux relations avec les contreparties commerciales et fournisseurs. Aussi CAMARA (2006 :130) identifie différents types de risques opérationnels qui sont : - le risque de fraude : il peut se définir comme l acte illégal par lequel une personne ou un groupe de personnes soutirent des fonds à l entreprise; - le risque administratif : c est tout événement ou fait lié à une mauvaise définition des procédures de travail ; - le risque juridique : on entend par risque juridique les pertes que peut subir l entreprise du fait d une mauvaise maîtrise de la loi et de son application ; - le risque de sécurité physique : c est la probabilité d atteinte à l intégrité physique des actifs, employés de l organisation; - le risque de sécurité informatique : c est le risque de panne des ordinateurs. Par risques opérationnels, il faut entendre les risques que l organisation, ses acteurs et l environnement externe font courir aux entreprises. De ce fait ils peuvent se décomposer en quatre (04) sous-ensembles selon Bâle II : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 12

24 - le risque lié au système d information: défaillance matérielle, obsolescence des technologies (matériel, langages de programmation, ) ; - le risque lié aux processus (saisies erronées, non respect des procédures, ) ; - le risque lié aux personnes (absentéisme, fraude, mouvements sociaux, mais aussi la capacité de l'entreprise à assurer la relève sur les postes clés) ; - le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire, ). La diversité des risques auxquels est confrontée l entreprise rend nécessaire une analyse centralisée de manière à garantir une vue globale, avec une implication de tous les spécialistes afin de mieux appréhender l exposition aux risques. 1.2 La gestion des risques opérationnels La gestion des risques dans le but de les réduire est une pièce essentielle du management de l entreprise et de maîtrise des risques Le processus de gestion des risques Pour SARDI (2002 :183), le processus de management des risques comporte un certain nombre d étapes (l identification, l évaluation des risques, l analyse et la planification des mesures, la gestion opérationnelle des risques ainsi que la surveillance des risques et leur reporting) L identification Le dispositif de maîtrise des risques opérationnels consiste à agir sur les différents éléments identifiés et quantifiés afin de modifier le profil de risques de la société ou tout du moins sa sensibilité en cas de survenance d événements non souhaités La définition du périmètre à analyser D après JIMENEZ & al (2008: 55), le périmètre à analyser comprend l ensemble des activités de l établissement. Cela nécessite toutefois de comprendre et de modéliser les activités pour permettre une identification de l ensemble des risques opérationnels associés. Celle-ci consiste à découper les activités de l entreprise en métiers et processus auxquels seront rattachés les événements à risques. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 13

25 Les risques sont alors analysés à un niveau de détail moindre et rattaché à un processus générique qui sera complété par des informations spécifiques et pertinentes pour l identification des risques (déroulement d activité particulier, risque spécifique ou au contexte, etc.) Les événements à risques Pour JIMENEZ & al (2008 : 61-62), les événements à risques vont être associés à chaque processus opérationnel identifié dans la nomenclature des processus. On cherche dans cette étape à identifier tous les événements à risques qui peuvent se produire lors d un processus et qui pourraient avoir des conséquences sur son déroulement. Certains événements types, par ailleurs, peuvent se retrouver comme événement à risque dans un grand nombre de processus, par exemple l erreur humaine ou l interruption du système d information. Bâle II (in Jimenez & al, 2008 :61-63) préconise la démarche d identification des événements à risques comme suite : - l établissement d une liste type d événements de risques: qui consiste à énumérer les divers risques génériques (interruption des systèmes d information, erreur humaine, fraude). Cette liste va permettre d éviter de refaire un travail complet d analyse des risques avec les opérationnels métiers pour se concentrer sur les risques spécifiques à leur activité; - l établissement de la liste des risques spécifiques : effectuer un listing des risques spécifiques (absence de contrôle, valorisation erronée) de l activité et des métiers que l on retrouve quel que soit l activité. Cette étape est construite avec les représentants des métiers et se déroule par entretiens ou réunions avec les opérationnels responsables des processus qui pourront définir à quels types de risques ils sont sensibles ; - la validation interne de la nomenclature des risques : celle-ci doit être adaptée au fonctionnement de l entreprise. Sa validation doit permettre de s assurer qu un même risque dans deux (02) entités ou activités différentes aura la même définition et le même sens afin de conserver un dispositif cohérent; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 14

26 - la validation de la cohérence: le dispositif mis en place doit répondre aux besoins règlementaires. Selon Coopers & Lybrand (2000 :58-61), l identification des risques est un processus itératif qui est souvent intégré à celui de la planification. Il est par ailleurs utile d étudier les risques d un «œil neuf», plutôt que d examiner leur évolution depuis une précédente étude. Les risques à l échelle de l entreprise peuvent être la conséquence de facteurs externes ou internes. L identification de ces risques est essentielle pour procéder à leur évaluation L analyse et l évaluation des risques opérationnels Gérer les risques au niveau des activités permet d axer l évaluation sur les principales divisions ou fonctions. Parvenir à les évaluer par activité contribue également à leur maintien à un niveau acceptable. L analyse des risques et leur gestion sont intrinsèquement liées. Selon l IFACI, l analyse comprend les éléments suivants : - la définition du contexte et la mise en perspective ; - l identification et la documentation des risques ; - l évaluation, la quantification et la classification des risques ; - l évaluation et la modélisation du risque ; - la mise au point de stratégies de réduction du risque et de contrôle ; - l obtention de ressources et l attribution des responsabilités ; - la réduction, le transfert ou l élimination du risque ; - le pilotage et le suivi du risque. Selon le COCO (in Bertin, 2007 : 75), pour évaluer les risques il convient d estimer leurs probabilités de survenance ainsi que l importance de l impact afin que des processus appropriés puissent être mis au point pour les contrôler. Par ailleurs, pour Coopers & Lybrand (2000 : 61-62) il est nécessaire de procéder à une analyse des risques une fois que ceux-ci ont été identifiés au niveau de l entreprise et de chaque activité. Il existe de ce fait différentes manières de procéder à cette analyse, dans la T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 15

27 mesure où ils sont difficiles à quantifier. Néanmoins, le processus plus ou moins formel se décompose généralement comme suit : - l évaluation de l importance des risques ; - l évaluation de la probabilité (ou fréquence) de survenance; - la prise en compte de la manière dont le risque doit être géré, c est-à-dire évaluation des mesures qu il convient d adopter. Généralement, un risque qui n a pas d impact significatif et dont la probabilité de survenance est faible, ne nécessite pas une analyse approfondie. En revanche, un risque majeur qui selon toute vraisemblance se concrétisera doit être sérieusement analysé. Entre ces deux extrêmes, l analyse du risque s avère difficile et elle doit être faite avec rationalité et minutie. Une fois évaluées l importance et la probabilité de survenance du risque, le manager doit étudier la façon dont il doit être géré et mettre en place des dispositifs de surveillance de ces risques. Tableau 1 : Tableau d analyse des risques Actions de Facteur maitrise des N /date de risque Ou situation Conséquences Gravité initiale Criticité initiale risques et d identification de l autorité de Criticité résiduelle Gestion du risque résiduel à risque décision et leur application Source : DESROCHES & al (2005 :158) Le suivi des risques opérationnels Pour SARDI (2002 : 186), en fonction du résultat de l analyse des risques, certaines mesures peuvent être prises notamment le renforcement du contrôle interne, la mise en œuvre de nouvelles procédures de contrôle. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 16

28 «La surveillance des risques est une fonction permanente qui s imbrique dans les procédures formalisées mises en place par l établissement. Elle implique l ensemble des acteurs du contrôle interne : comité d audit, auditeurs internes, comités des risques et cellules de management des risques, contrôleurs de premier et deuxième niveau» (SARDI, 2002 :63) SARDI (2002 : 187) ajoute que le risque opérationnel est difficilement attribuable à une unité spécifique dans la mesure où il est présent partout. Selon SARDI (2002 : 187), le suivi des risques est une composante essentielle du management des risques. Les politiques et les limites fixées doivent être surveillées sur une base constante pour s assurer de leur respect. Cette surveillance est dévolue aux contrôles dits «de premier et deuxième niveaux» et le troisième niveau concerne l audit interne qui doit éviter d être impliqué dans la surveillance permanente car son rôle est de s assurer de l efficacité du dispositif Le dispositif de gestion des risques opérationnels Il est tout à fait possible d identifier dans chaque entreprise les zones à risques afin de déterminer les priorités des programmes de contrôle. Cette identification est réalisée avec l encadrement de la direction. Il est important que le dispositif mis en œuvre par l entreprise afin de maîtriser les risques soit évalué de façon périodique pour s assurer que celui-ci est adapté et proportionné au profil de risques Les objectifs du dispositif de gestion des risques opérationnels Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et la fraude. Ils visent à réduire la probabilité et la gravité d événements défavorables ou non désirés. Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont incomplets dans la mesure où ils se concentrent sur l atténuation des risques sans permettre aux gestionnaires de profiter des occasions positives pour mieux réaliser la mission et les objectifs de l organisation. Selon JIMENEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de l entreprise car les risques se retrouvent à tous les niveaux et dans toutes les fonctions de l entreprise. On citera entre autre : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 17

29 - la direction générale : elle a un rôle primordial car assurant l efficacité du dispositif par son implication et les moyens à allouer ; - le comité d audit : il doit être tenu au courant des modifications du profil de risques et les décisions prises à leur égard doivent lui être présentées ; - les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place des mesures correctives et leur application ; - l audit interne: il a pour mission d auditer les dispositifs de gestion des risques opérationnels et dans le cadre de l élaboration des plans annuels d audit. Pour une meilleure gestion des risques opérationnels il est nécessaire d élaborer une cartographie des risques. Selon JIMENEZ & al (2008: 116), la cartographie des risques opérationnels a pour objectif d identifier, d évaluer, de classer, de comparer et de hiérarchiser les risques susceptibles d impacter une ligne de métier La cartographie des risques opérationnels D après JIMENEZ & al (2008 :63), la cartographie des risques consiste donc à associer aux processus modélisés les événements de risques qui peuvent entraîner une perte en donnant pour chaque couple ainsi recensé une vision des impacts possibles et le degré de maîtrise estimé. Elle permet à l entreprise d avoir une bonne vision des risques auxquels elle est soumise et, par conséquent, de sa capacité à y faire face. En outre pour AHOUANGANSI (2010 : 40-41), c est un véritable inventaire des risques de l organisation. Cette cartographie permet d atteindre trois objectifs : - inventorier, évaluer et classer les risques de l organisation ; - informer les responsables afin que chacun soit en mesure d y adapter le management de ses activités ; - permettre à la Direction Générale, et au Risk Manager, d élaborer une politique de risque qui va s imposer à tous Définition La cartographie des risques est un document permettant de recenser les principaux risques d une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour assurer une démarche globale d évaluation des risques. Elle n est toutefois qu une Commentaire [k1]: Elle est plutôt une démarche et non un document. Et cette démarche abouti à la réalisation d un document T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 18

30 photographie des risques à un instant donné. Selon la typologie des risques, les informations disponibles pour corroborer l évaluation, aideront les analyses, en particulier en matière de fréquence et d impact. Pour les risques «rares», la cartographie sera basée le plus souvent sur une identification et une évaluation qualitative des risques par les opérationnels de l entreprise au travers des questionnaires ou d atelier de travail. Figure 1 : La logique de la démarche globale de gestion des risques IDENTIFIER HIERARCHISER Risques résiduels inacceptables AGIR risques résiduels acceptables GESTION DES RISQUES DEMARCHE QUALITE EVALUER Source : POULAIN &al (2002 :41) Les étapes de la cartographie des risques JIMENEZ & al (2008 : 64) préconisent les différentes étapes de la cartographie des risques : - définir les couples processus/risque à évaluer ; - identifier et évaluer les risques nets (prise en compte de l existant) ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 19

31 - apprécier le dispositif de maîtrise des risques ; - assurer un contrôle de cohérence avec les risques bruts ; - classifier et hiérarchiser les risques selon les différents angles d analyse possibles (risque net, risque brut, impact, image ). Ces démarches de réduction des risques sont, comme les risques eux-mêmes, strictement de la responsabilité des acteurs opérationnels chargés de ces activités. Mais l audit interne a pour vocation d apporter aux opérationnels une assistance technique dans la réduction des risques, en veillant au bon fonctionnement du contrôle interne et en s assurant du respect des principes. 1.3 L audit interne et la gestion des risques opérationnels Selon RENARD (2006 : 23), l audit interne est une fonction permanente dans l entreprise, mais c est une fonction périodique pour les audités car ceux-ci peuvent la rencontrer selon une certaine fréquence qui dépend de l importance du risque dans l activité auditée La présentation de l audit interne Le champ d intervention de l audit interne est beaucoup plus vaste car il prend en compte toutes les fonctions de l entreprise et dans toute leur dimension. Celui-ci n a cessé de s étendre contribuant ainsi à la complexité de la définition de ce concept. Un signe de cette complexité est la pluralité des définitions proposées par les auteurs Le concept d audit interne «L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.» (SCHICK, 2007 :5). Ces objectifs s articulent autour de quatre (04) points: - s assurer de l existence d un bon système de contrôle interne qui permet de maitriser les risques ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 20

32 - veiller de manière permanente à l efficacité de son fonctionnement ; - apporter des recommandations pour en améliorer l efficacité ; - informer régulièrement, de manière indépendante, la direction générale, l organe délibérant et le comité d audit de l état du contrôle interne. Pour atteindre ces objectifs l audit interne effectue différentes missions Les missions de l audit interne Selon LEMANT (1995 :19), l essentiel d une mission d audit consiste à examiner les composants de l organisation et les conditions de fonctionnement d une activité déterminée, pour les comprendre et identifier les risques et opportunités qu ils recèlent. RENARD (2009 : 208) ajoute que les responsables des services d audit interne témoignent de plus en plus du caractère pédagogique de leur mission et de la nécessité de toujours chercher à communiquer, non seulement autour des résultats mais aussi de la méthode mise en œuvre. Le déroulement de la mission et l utilisation de certains outils ne sont que des illustrations de cette double recherche de simplicité et de transparence qui doit caractériser l approche de l auditeur. La signification d'une mission d'audit est qu'elle se découpe en périodes précises et identifiables, et qui sont toujours les mêmes. Le mot mission vient du Latin «Mittere» qui signifie envoyer, nous indique le Petit Larousse (in RENARD : 193) qui précise que la mission est une fonction temporaire et déterminée dont un gouvernement charge un agent spécial L organisation du travail d audit interne Le travail des auditeurs est organisé suivant une certaine logique et se présente ainsi: la charte d audit : Selon RENARD (2009 :397), c est le document constitutif de la fonction d audit interne et destiné à la présenter et à la faire connaître aux autres acteurs de l entreprise. Il est exigé par la première des normes professionnelles ; puis l indispensable plan d audit : Il est exigé par la norme 2010 : «le responsable de l audit interne doit établir une planification fondée sur les risques afin de Commentaire [k2]: Il faut faire une transition entre les différents points et le développement de ces points T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 21

33 définir les priorités cohérentes avec les objectifs de l organisation. (in Jacques Renard 2009 : 399). Ensuite on a: Commentaire [k3]: C est la définition donnée par l IFACI au niveau du document des Normes d audit interne le manuel d audit interne : A la différence de la charte d audit, le manuel est à usage interne, tout comme la documentation à disposition des auditeurs et qui est à enrichir constamment à l occasion de chaque mission d audit», (RENARD, 2009 : 418) ; les dossiers d audit et les papiers de travail: Pour RENARD (2009 :420), à chaque mission doit correspondre un dossier composé, entre autres éléments des papiers de travail les plus significatifs et constituent la mémoire de l entreprise. Cette exigence a une triple justification : - exigence de preuve ; - exigence d efficacité ; - exigence de formation. L audit interne est une activité ayant pour vocation d aider les responsables des opérations, à respecter les principes de contrôle interne, c est-à-dire les bonnes pratiques de management face aux risques qui menacent les activités. Ainsi l audit interne apporte son assistance en contrôle interne sur tous les grands processus d activité. (La revue française de l audit interne, Septembre 2004 : 6) Le rôle de l audit interne dans la gestion des risques opérationnels Selon BERTIN (2007 :113), la gestion des risques, ainsi que l audit interne et le contrôle interne, doivent réellement être appréhendées comme un processus continu dont l application doit être garantie en permanence. L appréciation des risques ne doit pas être figée mais continue. Le rôle de l auditeur est de fournir une «évaluation indépendante» de la pertinence, de l application et de l efficacité des dispositifs de contrôle interne mis en place par le management. La valeur ajoutée de l audit interne est de contribuer à l amélioration des opérations de l entreprise en facilitant l identification et l évaluation des risques à tous les niveaux. Il devrait y parvenir en examinant l efficacité des processus de gestion des risques mis en place dans l entreprise et en s assurant de l existence de procédures et de normes claires et cohérentes en matière de risque. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 22