Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
ÉTAPE 2 Identifier, évaluer et classer les risques Ni blanc, ni noir, Sinon, à quoi serviraient les couleurs Si certains risques sont évidents, d autres le sont moins. Il faut donc commencer par dresser un tableau de la situation qui permette de percevoir les enjeux et les nuances parmi les menaces. Il est nécessaire de procéder à une revue systématique afin d identifier, évaluer et classer les risques les uns par rapport aux autres. Ceci est d autant plus vrai qu il n est pas possible de tout contrôler et qu il faudra donc procéder à des choix, alors, autant faire les bons! 25
Identifier, évaluer et classer les risques 2.2. Évaluer les risques Une fois les risques identifiés, il est nécessaire d évaluer leur impact en cas de survenance. Celle-ci est une combinaison de trois facteurs : Sa probabilité d apparition ; Sa gravité en cas de survenance ; La durée pendant laquelle les conséquences de l évènement ont un impact. L évaluation par l estimation des pertes annualisées Il est possible d estimer les risques par l évaluation de leurs préjudices en cas de survenance, préjudices exprimés en euros. Quatre méthodes peuvent alors être utilisées : 1. Mesure des pertes annualisées estimées. 2. Mesure des pertes annualisées constatées. 3. Mesure des pertes annualisées extrapolées. 4. Mesure des pertes moyennes annualisées constatées. 51
OUTIL 21 Identifier, évaluer et classer les risques Les pertes annualisées estimées Présentation Cette méthode consiste à multiplier la probabilité de survenance du risque par la durée de l évènement puis par la valeur de la conséquence de la survenance du risque. EXEMPLE 6 L estimation du coût de l immobilisation annuelle d un avion de ligne pour des raisons mécaniques par la méthode des pertes annualisées estimées. Risques Probabilité Durée Valeur Pertes Train d atterrissage 1 % 1 10 000 K 100 K Moteur 0,1 % 2 10 000 K 20 K Électronique embarquée 1 % 1 10 000 K 100 K Gouvernes de direction 0,2 % 2 10 000 K 40 K Instruments de navigation 2 % 1 10 000 K 200 K Total 460 K 52
Identifier, évaluer et classer les risques OUTIL 22 Les pertes annualisées constatées Présentation Cette méthode consiste à évaluer pour chaque risque le montant de la perte constatée en se fondant sur l expérience des incidents passés. EXEMPLE 7 L estimation du coût de l immobilisation annuelle d un avion de ligne pour des raisons mécaniques par la méthode des pertes annualisées constatées. Risques Pertes Train d atterrissage 100 K Moteur 200 K Électronique embarquée 100 K Gouvernes de direction 120 K Instruments de navigation 20 K Total 540 K 53
OUTIL 23 Identifier, évaluer et classer les risques Les pertes annualisées extrapolées Présentation Cette méthode consiste à extrapoler chaque risque en fonction d une valeur de risque globale. EXEMPLE 8 L estimation du coût de l immobilisation annuelle d un avion de ligne pour des raisons mécaniques au sein d une flotte composée de 50 appareils du même modèle par la méthode des pertes annualisées constatées et extrapolées. Risques Valeur pour 50 avions F-GGEI % de la flotte F-GGEI Pertes Train d atterrissage 20 000 K 2 % 400 K Moteur 50 000 K 2 % 100 K Électronique embarquée 10 000 K 2 % 200 K Gouvernes de direction 5 000 K 2 % 100 K Instruments de navigation 7 500 K 2 % 150 K Total 950 K 54
Identifier, évaluer et classer les risques OUTIL 24 Les pertes moyennes annualisées constatées Présentation Cette méthode consiste à extrapoler pour chaque risque la perte moyenne en se fondant sur un historique des pertes moyennes. EXEMPLE 9 L estimation de la probabilité moyenne d immobilisation annuelle de trois avions de ligne pour des raisons mécaniques par la méthode des pertes moyennes annualisées constatées. Risques F-GGEI F-GGEO F-GKUM Etc. Train d atterrissage 1 % 1 % 5 % Moteur 0,1 % 0,1 % 0,2 % Électronique embarquée 1 % 1 % 5 % Gouvernes de direction 0,2 % 0,2 0,2 Instruments de navigation 2 % 2 % 4 % Total 4,3 % 4,3 % 14,4 Moyenne des 5 types de risque 0,86 % 0,86 % 2,88 % 55
OUTIL 25 Identifier, évaluer et classer les risques Les matrices d appréciation Présentation Les matrices permettent d estimer les préjudices d une façon relative les uns par rapport aux autres. Pour ce faire, il est nécessaire : 1. D estimer chaque critère d après une cotation de 1 à 5 : Enjeu financier : de «5» = enjeu financier très fort à «1» = enjeu financier très faible ; Niveau de vulnérabilité : de «5» = vulnérabilité très importante à «1» = vulnérabilité très faible ; Qualité du dispositif de contrôle interne en place : de «5» = très mauvais dispositif à «1» = très bon dispositif. 2. De multiplier l enjeu financier du domaine audité par son niveau de vulnérabilité puis par la qualité du dispositif de contrôle interne en place. EXEMPLE 10 La matrice d appréciation d une banque commerciale. Dans cet exemple, bien que représentant un enjeu financier plus faible que les engagements et les moyens de paiement, à cause d une grande vulnérabilité (absence de procédures écrites, responsable back-office sur le départ ) et d un système de contrôle interne défaillant (logiciel comptable non performant ), l audit des opérations de marché constitue une priorité. Domaines Enjeu financier Vulnérabilité Qualité du CI Total Engagements 5 1 2 10 Moyens de paiement 5 1 1 5 Produits d épargne 3 1 2 6 Opérations internationales 1 2 1 2 Cautions et garanties 2 1 2 4 Marchés financiers 2 5 5 50 Etc. 56
Identifier, évaluer et classer les risques OUTIL 26 Les check-lists Présentation Les check-lists permettent de passer rapidement en revue les risques classiques d un domaine ou d un processus. Deux principales méthodes sont utilisées : Les QCI (questionnaires de contrôle interne) présentés précédemment ; Les fondamentaux de contrôle interne : Politique définie, connue et appliquée, Séparation des fonctions, Réalité des informations, Pistes d audit, Habilitations, délégations, autorisations, Codes d accès informatiques, Manuels de procédures 57
Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
OUTIL 31 PHASE 1 L évaluation du dispositif de contrôle interne existant QUESTIONNAIRE D ÉVALUATION DE LA PHASE 1 Ce premier questionnaire synthétise les questions clés permettant de faire un rapide état des lieux du dispositif de contrôle interne d un domaine en respectant l approche par les processus. Une réponse «oui» à une question constitue une force apparente du dispositif de contrôle interne ; par contre, une réponse «non» constitue une faiblesse réelle ou potentielle. Questions sur la culture Oui Non La distance hiérarchique est faible Le besoin de contrôle de l incertitude est fort La culture est plutôt collective La culture est plutôt orientée vers les résultats Les lois et règlements sont respectés Les sentiments sont exprimés Les barrières hiérarchiques sont oubliées en dehors de l entreprise La capacité d intégration de ce qui vient d ailleurs est forte Le temps est linéaire La structure est spontanément organisée La structure concilie l atteinte de plusieurs objectifs en même temps L intégration du personnel est verticale Question sur le management Oui Non Le style de management est plutôt «synergique» Questions sur le dispositif de contrôle interne Oui Non Il existe une cartographie des risques de l entreprise Il existe un dispositif de contrôle interne formalisé Ce dispositif couvre 100 % de l entreprise Les processus de pilotage sont «sous contrôle» Les processus opérationnels sont «sous contrôle» Les processus supports sont «sous contrôle» Les procédures sont documentées Les risques métiers sont «sous contrôle» Les risques généraux sont sous contrôle 67
OUTIL 8 CONTRÔLE INTERNE DES RISQUES (Exemple de) Questions sur les risques généraux oui non. Le risque client/produit. Le risque de marché. Le risque d image commerciale. Le risque accidentel. Le risque délictueux. Le risque de malversation. Le risque de traitement des opérations. Le risque sur le système d information. Le risque sur les études informatiques. Le risque sur les traitements informatiques. Le risque lié aux télécommunications. Le risque réglementaire. Le risque déontologique. Le risque stratégique. Le risque d insuffisance fonctionnelle. Le risque sur la gestion du personnel. Le risque ergonomique. Le risque d externalisation. Le risque de dépendance technologique. Le risque de communication La probabilité d apparition des risques est régulièrement évaluée La gravité des risques est régulièrement évaluée Des actions sont régulièrement conduites pour réduire la probabilité et la gravité des risques réels ou potentiels 68
OUTIL 9 PHASE 1 L évaluation du dispositif de contrôle interne existant ILLUSTRATION LES SOCIÉTÉS DE SERVICES INFORMATIQUES Les principaux risques à mettre sous contrôle dans le cadre des prestations sont articulés autour de quatre axes : Le risque client Nature du projet (stratégique) ; Sensibilité de l impact sur le business du client ; Évolution de l organisation du client ; Dépendance directe ou indirecte du projet ; Visibilité du projet dans l organisation du client ; Existence d une obligation impérative «le sans faute» ; Conséquence d un non-respect des obligations impératives ; Solution échappatoire ; Existence d accord de confidentialité. Le risque contrat Nature du contact client ; Connaissance de l organigramme et des responsables client ; Moyens mis en œuvre pour le contrat ; Bonne foi du client ; Cohérence des objectifs et des interprétations entre les contractants ; Solvabilité du client ; Satisfaction du client et moyen de gestion de la relation. Le risque d organisation Connaissance de la complexité des circuits et processus de décision ; Clarté des obligations du client ; Capacité du client à jouer son rôle de maîtrise d ouvrage (MOA) ; Nature de la relation de coopération avec la MOA si autre que client (société concurrente, partenaire, etc.) ; Compétence et disponibilité de l organisation client pour le projet ; Répartition, représentation et implication des diverses parties prenantes de l organisation client ; Collaboration des parties prenantes «risque tenaille au moment de la livraison» ; Existence de procédure de résolution de litige ; 69
OUTIL 10 CONTRÔLE INTERNE DES RISQUES Possibilité d escalade du litige ; Impact du client sur l organisation de la société de service. Le risque technique Complexité des spécifications fonctionnelles illustrées par maquettage ou par prototypage ; Comité de décision mixte client-prestataire ; Recours à des moyens d analyse poussés et à des revues des spécifications ; Compréhension des spécifications fonctionnelles (lisibilité, disponibilité) ; Adéquation des moyens de transfert au client et d appropriation ; Traçabilité de la couverture fonctionnelle spécifiée avec les besoins exprimés (contrat, clauses techniques, cahiers des charges, etc.) ; Identification, documentation et validation avec le client des paramètres de configuration et limites du système ; Conformité avec les engagements contractuels ; Choix d architecture ; Qualité de la documentation de l architecture. 70
Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
OUTIL 33 CONTRÔLE INTERNE DES RISQUES QUESTIONNAIRE D ÉVALUATION DE LA PHASE 2 Ce deuxième questionnaire synthétise les questions clés permettant de faire un rapide état des lieux de la façon de concevoir le dispositif de contrôle interne ciblé d un domaine en respectant l approche par les processus. Comme pour le questionnaire de la partie 1, la réponse «oui» à une question constitue une force apparente du dispositif de contrôle interne ; par contre, une réponse «non» constitue une faiblesse réelle ou potentielle. Questions Oui Non Il existe un plan de continuité des activités dans l entreprise pour chaque ligne métier. Celui-ci permet de :. S assurer de la continuité des activités. Répondre aux engagements pris à l égard des partenaires et en particulier vis-à-vis des clients. Limiter les pertes financières. Assurer une continuité de service aux clients. Garantir un niveau de qualité de service minimum. Garantir la disponibilité des ressources vitales et des processus de pilotage et supports. Capitaliser les bonnes pratiques L entreprise se comporte comme un acteur économique «responsable» L entreprise possède des processus opérationnels «sous contrôle» lui permettant d atteindre ses objectifs durablement Tous les risques humains sont pris en considération : personnels de l entreprise, sous-traitants, clients, fournisseurs, visiteurs L organisation et le fonctionnement de l entreprise respectent les lois et règlements en vigueur L entreprise possède une fonction de «Compliance Officers» L entreprise dispose d un reporting et d états financiers fiables Chaque transaction comptable respecte les 7 règles d enregistrement Les attentes des différents bénéficiaires du dispositif de contrôle interne sont identifiées Le conseil d administration joue un rôle actif dans le dispositif de contrôle interne Il existe un comité d audit dans l entreprise La direction générale est concernée par le contrôle interne L encadrement est impliqué dans le dispositif de contrôle interne 106
OUTIL 33 PHASE 2 La conception du dispositif cible Questions Oui Non Il existe une équipe d auditeurs internes dans l entreprise Des auditeurs externes réalisent régulièrement des audits du dispositif de contrôle interne Le dispositif donne une image fidèle de l état des risques à un moment donné et dans le temps Le dispositif de contrôle interne permet d avoir une vue globale et des vues détaillées Le dispositif de contrôle interne donne des informations au niveau central (siège) et au niveau local (branches, filiales ) Le dispositif de contrôle interne est à deux niveaux : 1 er degré et 2 e degré Il existe un plan systématique d organisation (définition précise des tâches, définition des pouvoirs et des responsabilités, définition de la circulation de l information) Le personnel est compétent et intègre Il existe une documentation satisfaisante qui recouvre la production des informations (qualitativement et quantitativement suffisant pour que la direction y trouve une base d appréciation suffisant : manuels de procédures, instructions écrites ) et leur conservation Il est réalisé régulièrement des contrôles d exhaustivité (existence et respect de séquences numériques) Il est réalisé régulièrement des rapprochements des documents afférents à une même opération Il existe des listes de classement mnémotechnique Il est réalisé régulièrement des contrôles de réalité (contrôles physiques périodiques) Il est réalisé régulièrement des contrôles d exactitude (comparaison globale des données ; contrôle arithmétique) Il existe des contrôles hiérarchiques (procédures d autorisation et de supervision, politique d embauche, réglementation de l accès aux biens de l entreprise, audit interne) Il existe un contrôle réciproque et de séparation des tâches 107
OUTIL 33 CONTRÔLE INTERNE DES RISQUES ILLUSTRATION LES COMPAGNIES DE TRANSPORT AÉRIEN Le transport aérien est un secteur très réglementé. Cette réglementation se traduit par des dispositifs de contrôle internes draconiens. Intéressons-nous aux textes réglementaires régissant cette activité. L article R 133-1-1 (décret n 95-444 du 21 avril 1995 art. 1 er ) soumet à des procédures d obtention de certificats les entreprises assurant : La conception des aéronefs ou des équipements ; La production d aéronefs ou la fabrication d éléments d aéronefs ; L entretien et les réparations des aéronefs ; L exploitation des aéronefs. Les règles définies par le ministre chargé de l aviation civile et relatives tant aux procédures de certification de type et certification de navigabilité des aéronefs qu aux conditions d aptitude au vol ou d utilisation des aéronefs, comportent l obligation pour les entreprises concernées de détenir un certificat d agrément de leurs aptitudes techniques dans les conditions ci-après : Pour les entreprises assurant la conception des aéronefs ou des équipements pour lesquels un certificat de type est délivré, ainsi que des modifications à ces aéronefs ou équipements, l agrément prévu par les règles relatives aux procédures de certification de type est délivré après enquête technique portant sur les dispositions (organisation générale, moyens humains et matériels, procédures, documentation) prises par les entreprises de conception pour démontrer et attester de la conformité du produit aux conditions techniques qui ont été notifiées. Il porte notamment sur : La connaissance des règlements de certification et de leurs interprétations ; La réalisation des études, analyses et essais nécessaires pour démontrer la conformité ; La vérification des conclusions de ces études, analyses ou essais avant de déclarer la conformité. Pour les entreprises assurant la production d aéronefs ou la fabrication d éléments d aéronefs, l agrément prévu par les règles relatives aux procédures de certification de navigabilité est délivré après enquête technique portant sur les dispositions (organisation générale, moyens humains et matériels, procédures, documentation) prises par l entreprise pour démontrer la conformité des produits au type certifié. 108
OUTIL 33 PHASE 2 La conception du dispositif cible Il porte notamment sur : Les liens avec l organisme responsable de la conception ; La maîtrise de ses procédés de fabrication ; Les contrôles de conformité. Pour les entreprises assurant l entretien et les réparations des aéronefs, l agrément prévu par les règles relatives à l aptitude au vol des aéronefs est délivré après enquête technique portant sur les dispositions (organisation générale, moyens humains et matériels, procédures, documentation) prises par l entreprise pour assurer le respect des exigences relatives à la maintenance des aéronefs. Cet agrément porte notamment sur : Le respect des programmes et méthodes d entretien ; Les vérifications des travaux effectués ; L approbation des matériels pour remise en service. Pour les entreprises assurant l exploitation des aéronefs, l agrément des aptitudes techniques résulte, en ce qui concerne les entreprises de transport aérien, de la délivrance du certificat de transporteur aérien exigé par l article 9 du règlement (C.E.E.) n 2407/92 susvisé. Le certificat de transporteur aérien ainsi que le certificat d agrément prévu par les règles relatives à l utilisation d aéronefs par des entreprises autres que les entreprises de transport aérien sont délivrés après enquête technique portant sur les dispositions (organisation générale, moyens humains et matériels, procédures, documentation) prises par l entreprise pour se conformer aux règles d utilisation notamment en ce qui concerne : Le personnel navigant, la composition et les conditions techniques d emploi des équipages, la conduite des vols ; Le matériel volant, ses équipements, y compris ceux de secours et de sauvetage, ses instruments de bord, leur entretien ; Les conditions d emploi des aéronefs, les limitations liées à leurs performances, leur chargement (y compris le transport de marchandises réglementées) ; L application des règles de circulation aérienne dans tous les espaces utilisés. 109
Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
OUTIL 46 PHASE 3 La mise en œuvre du dispositif cible QUESTIONNAIRE D ÉVALUATION DE LA PHASE 3 Ce troisième questionnaire synthétise les questions clés permettant de faire un rapide état des lieux de la mise en œuvre du dispositif de contrôle interne d un domaine en respectant l approche par les processus. Comme pour les questionnaires des parties 1 et 2, la réponse «oui» à une question constitue une force apparente du dispositif de contrôle interne ; par contre, une réponse «non» constitue une faiblesse réelle ou potentielle. Questions Oui Non Les travaux de mise en œuvre du projet sont inventoriés Les politiques d entreprises sont rédigées (responsabilité sociale, sécurité des biens et des personnes, transparence financière ) Les politiques d entreprises ont été présentées au personnel Les politiques d entreprises ont été déclinées en chartes et procédures Un dispositif de reportings a été mis en place à tous les niveaux sensibles de l entreprise Des contrôles des contrôles ont été mis en place pour s assurer de leur efficacité La mise en œuvre du dispositif est pilotée par une structure projet L équipe projet utilise des outils de gestion de projet tels que des plannings et des tableaux des sollicités Les risques liés au projet sont inventoriés régulièrement et donnent lieu à des actions de prévention et de régulation Un comité de pilotage suit l avancement des travaux et arbitre entre les objectifs, les ressources et les plannings Les étapes de mises en œuvre du projet sont actées par le comité de pilotage Les forces en présence sont identifiées : forces allant dans le sens du projet et forces allant à l encontre du projet Les forces en présence sont prises en compte :. Les personnes passives sont mises en situation de bouger malgré elles. Les personnes intéressées reçoivent l information répondant à leurs attentes. Les personnes souhaitant participer ont l occasion de le faire. Les personnes fortement convaincues par le projet peuvent y jouer un rôle de moteur. Les personnes conciliantes sont aidées 129
CONTRÔLE INTERNE DES RISQUES Questions Oui Non. Les personnes critiques ont l occasion de s exprimer et de faire des propositions. Les personnes en opposition sont prises en compte et des solutions de compromis sont recherchées. Les personnes hostiles au projet sont isolées afin de réduire leur influence négative Un plan de communication a été défini et accompagne la mise en œuvre du projet Le plan de communication est composé de diffusion d informations générales et d informations plus ciblées vers des cibles précises Les actions de communication valorisent l objectif, les travaux réalisés et les personnes qui y contribuent Les actions de communication sont nombreuses et pas seulement dans le sens TOP / DOWN 130
PHASE 3 La mise en œuvre du dispositif cible ILLUSTRATION LES ENTREPRISES INDUSTRIELLES Les risques industriels peuvent être appréhendés par un QCI suivant le process métier en 4 phases : conception, réalisation, installation et S.A.V. Questions Oui Non Phase de conception Risques sur l avant-projet et définition du produit. Le produit peut être fabriqué à un coût correct. La solution est acceptable pour le client. La solution n est pas déjà brevetée. Etc. Risques sur la documentation associée. Le document est exhaustif. La traduction est exacte. Etc. Risques sur l industrialisation. Le produit est réalisable. Le produit est peu coûteux à produire. Le produit n est pas dangereux à fabriquer. Le délai d industrialisation est tenable. Etc. Risques sur les revues. Un système qualité est en place. Etc. Phase de réalisation Risques sur les achats, approvisionnements et magasin. Les fournisseurs sont fiables (fournitures conformes, livraisons à l heure, solidité financière). Aucune commande n est défaillante. Il n y a pas de pertes de fournitures constatées. La GPAO est fiable. Le traitement des non-conformités est rapide. Il n y a pas de défaillances de transport. Les inventaires sont fiables. Les fournisseurs sont réactifs. Il existe un contrôle suffisant des matières. Il n y a pas de conflits ou de contentieux avec les fournisseurs. La politique d achats est adaptée. La réactivité des achats est suffisante en terme de délai de commande. Les coûts des achats sont maîtrisés. Etc. 131
CONTRÔLE INTERNE DES RISQUES Risques de fabrication. Les machines et les équipes sont disponibles. Les produits fabriqués sont conformes aux spécifications. Le traitement des produits non conformes est satisfaisant. Etc. Risques sur le montage et l intégration. Le montage est possible. Les sous-traitants respectent les délais et la qualité. Les retouches sont réalisées rapidement. La procédure d intégration des composants est performante. Le montage n est pas dangereux pour les ouvriers. Les composants fournis sont conformes. Le bureau d études est disponible. Le client n a pas d exigences supplémentaires se traduisant par plus d essais. Les matériels et infrastructures ne sont pas dangereux. Les infrastructures de manutention et de levage sont suffisantes. Etc. Risques sur contrôle et essais. Le matériel d intégration et de contrôle est performant. La procédure d intégration est efficace. Il n y a pas d accidents constatés auprès du personnel. Les sous-traitants sont disponibles. Il est possible de mesurer la performance des produits fabriqués. Etc. Risques sur la recette usine. Les appareils de mesure sont bien étalonnés. Le client est disponible. La recette peut être tracée. La documentation contractuelle est complète. Les organismes de surveillance sont informés. Les rapports de vérification sont complets, à la bonne date et exacts. L équipe d assurance qualité est disponible. La procédure d assurance qualité est validée par le client. Etc. Risques sur les revues. Les anomalies sont détectées. Il n y a pas de défaillances humaines ou d outillage de production à l état de prototype. Etc. Risques sur le conditionnement et les expéditions. Le conditionnement est suffisamment solide. Il n y a pas d accidents et/ou de retards de transport constatés. Il n y a pas de frais exceptionnels de transport ou du transitaire. Aucun vol de matériels n est constaté. Etc. 132
PHASE 3 La mise en œuvre du dispositif cible Phase d installation Installation sur site. La disponibilité de l équipe et/ou des moyens de chantier est suffisante. Le personnel est adapté au contexte culturel. Le personnel a les qualifications officielles requises. Il n y a pas d obstructions réglementaires. Les contextes social, politique et météo sont favorables. Les sous-traitants ne sont pas défaillants. Le chantier a été bien préparé. Les matériels sont en bon état. Le client est suffisamment présent. Les moyens de communication sont adaptés. Les procédés ne sont pas dangereux et adaptés au site. Etc. Risques sur la formation du client. L équipe formation est compétente. Les supports de formation sont adaptés et disponibles. Le niveau des élèves est homogène, suffisant et adapté aux objectifs de la formation. Aucun endommagement du matériel n est constaté. Aucune fuite de savoir-faire n est déplorée. Aucune difficulté de maintenance n est constatée. Le client n a pas d exigences non prévues et/ou exagérées. Le chantier est bien managé. Les moyens client sont disponibles au bon moment. Etc. Risques sur la recette sur site. La recette sur site est représentative. Le client ne fait pas d obstructions. Le personnel du client est compétent et disponible. Les appareils de mesure sont correctement étalonnés. La recette est tracée. La documentation contractuelle est complète. Aucune non-atteinte des performances n a pour cause un dysfonctionnement en cours de recette. Les notifications ou convocation du client et des organismes de surveillance sont faites. Les rapports des organismes de vérification sont complets et exacts. L équipe d assurance qualité est disponible. Le matériel client n est pas défaillant et est disponible. Etc. 133
CONTRÔLE INTERNE DES RISQUES Phase d assistance et de S.A.V. Risques d interventions et assistance. La communication est adaptée (moyens et hommes). Les procédures sont précises. Les diagnostics peuvent être opérés à distance. Les experts sont rapidement disponibles. Les matériels et pièces de rechange sont disponibles. Les moyens et personnels client sont disponibles. Aucune perte de compétences et d informations n est constatée. Les limites de responsabilité (garantie) sont bien définies. Les clients n exercent pas de pressions abusives. Les limites d intervention du SAV sont précises. Le profil de l équipe SAV est adapté au contexte. Le matériel s avère fiable. Les conditions d usage sont conformes aux spécifications. Etc. Risques sur production de pièces de rechange. Le financement des pièces de rechange est suffisant. Le stockage des pièces de rechange est adapté. La gestion des évolutions est complète. Aucune obsolescence du matériel n est constatée. Aucune disparition de fournisseurs n est constatée. Aucune insuffisance ou défaut de maintenance et de maintien en condition des moyens de production n est constaté. Etc. 134
Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
PHASE 4 Le management du dispositif QUESTIONNAIRE D ÉVALUATION DE LA PHASE 4 Ce quatrième questionnaire synthétise les questions clés permettant de faire un rapide état des lieux du management du dispositif de contrôle interne d un domaine en respectant l approche par les processus. Comme pour les questionnaires des parties 1, 2 et 3, la réponse «oui» à une question constitue une force apparente du dispositif de contrôle interne ; par contre, une réponse «non» constitue une faiblesse réelle ou potentielle. Questions Oui Non Le conseil d administration est moteur dans le dispositif de contrôle interne Il existe un comité d audit Les dirigeants sont très sensibles au contrôle interne et l intègrent dans leur prise de décision au quotidien Des gestionnaires de risques sont en charge de la surveillance de certains risques spécifiques Des comités spécialisés sur les grand thèmes de risques de l entreprise se réunissent régulièrement L encadrement a à cœur de réaliser au quotidien la supervision du travail de leurs collaborateurs Les collaborateurs rendent compte spontanément des risques qu ils découvrent ou dont ils sont à l origine Les processus sont organisés dans une logique de work-flow Un reporting est réalisé à tous les niveaux de l entreprise Le comité d audit et le service d audit interne travaillent en bonne intelligence Le comité d audit et la personne en charge de la déontologie travaillent en bonne intelligence Le service d audit interne possède des moyens et ressources humaines suffisants Le service d audit peut intervenir sur tous les sujets, et parfois de sa propre initiative Le service audit réalise des missions spécifiquement sur la qualité des dispositifs de contrôle interne La diffusion des rapports de l audit interne est large et suivie d actions par le management Le suivi des recommandations de l audit interne est réalisé par l encadrement des domaines concernés Les avis des commissaires aux comptes en matière de dispositif de contrôle interne sont pris en considération et suivis d actions 171
CONTRÔLE INTERNE DES RISQUES ILLUSTRATION LES ENTREPRISES DE DISTRIBUTION L organisation de la fonction contrôle interne dans la distribution repose sur une structure pyramidale. 1 er niveau : le siège social Sont mis sous contrôle au siège social : Le respect de la réglementation concernant le contrôle interne, matérialisé par l existence du dossier permanent thématique. Le contrôle de l organisation. L organisation de la fonction contrôle interne est spécifique selon le degré d autonomie des unités de ventes. Ainsi, trois types d organisation peuvent cohabiter : Magasins dépendant de l autorité du siège pour les achats et approvisionnements, pour les prix de vente à appliquer et pour les horaires d ouverture ; Points de vente partiellement autonomes, dont la gestion doit s inscrire à l intérieur de budgets fixés ; Points de vente à très large autonomie de gestion dont les résultats ne sont saisis dans les comptes de l entreprise qu en fin d exercice. On y rencontre les spécificités suivantes : Une grande diversité des liens entre l entreprise et les centrales d achats ; Plusieurs modes de calcul concernant la TVA. En effet, l administration tolère que l assiette soit constituée par les sorties d entrepôts vers les magasins, chiffrées aux prix de vente ou sur les recettes ventilées en fonction de ses livraisons. Exemples d opérations suivies par l informatique : Suivi des mouvements de marchandises en amont des magasins ; Facturation et livraison aux magasins avec la particularité de la préfacturation ; Saisie des encaisses ; Ventilation du chiffre d affaires au travers des achats et des livraisons, par rayon, famille d articles, etc. ; Rotation des stocks ; Suivi de la marge ; Analyse des frais. Le contrôle des immobilisations. Le nombre important de matériels ou d agencements de faible valeur unitaire, parfois répartis en de nombreux points de vente géographiques ; 172
PHASE 4 Le management du dispositif Les prêts consentis aux gérants ; Le nombre et l importance des loyers ou des crédits-bails. Le contrôle des fournisseurs et notamment des achats lors de la réception et du règlement des fournisseurs. On distingue cependant divers mouvements : Les livraisons directes par les fournisseurs aux points de vente imposées par le siège ; La gestion autonome et l exécution des opérations en hypermarchés ; Les achats directs (principalement pour les denrées périssables) par des procédures locales. Le contrôle du personnel. Le contrôle des stocks. 2 e niveau : l entrepôt Le contrôle de la gestion des stocks. Le contrôle des modes d encaissement particuliers selon la nature (bons de réductions, bons cadeaux, timbres ristournes ). 3 e niveau : le magasin Supérette La réception marchandise ; Le contrôle des factures ; Le contrôle des recettes ; L inventaire. À ce niveau et pour les magasins donnés en gérance, les principaux documents de contrôle utilisés sont : Les comptes de gérance où chaque écriture est appuyée d une pièce comptable (relevé de livraison, changements de prix, retours d emballage, etc.) ; Les feuilles de caisse, hebdomadaires, décadaires, de quinzaines ou mensuelles accompagnées de pièces justificatives de paiement ; Les relevés d inventaire marchandises établis soit systématiquement (inventaire de contrôle), soit à l occasion de cessions, c est-à-dire de changement de gérance pour arrêter la situation du gérant sortant. 173
CONTRÔLE INTERNE DES RISQUES Supermarchés Le contrôle marchandise : la réception des marchandises fait l objet d un contrôle quantitatif et qualitatif dans certains cas. Compte tenu du volume, les bons de livraison sont remplacés par un cahier des entrées ; Le contrôle des factures : les factures arrivent souvent avec quelques semaines de retard, c est pourquoi les bons de livraison et de transport sont classés. Apparaissent donc des différences entre les quantités livrées et les quantités facturées, et entre les prix annoncés et ceux figurant sur la facture (dues aux ristournes sur factures ou aux ristournes versées par trimestre, etc.) ; Le contrôle des recettes : les ventes donnent lieu à des paiements comptant. Espèces, chèques, bons de réduction, bons de collectivité (mairie, comité d entreprise), etc. L informatique permet donc de ventiler chacun des articles enregistrés par rayon et par famille. La feuille de caisse indique par catégories de valeur les espèces reçues ainsi que les montants des chèques et autres modes de paiement. Ces informations sont confirmées par un ticket récapitulatif édité par les caisses enregistreuses ; Le contrôle des stocks (inventaire). Les spécificités des inventaires dans ce type de magasins sont : le nombre important de références (marchandises, et emballages), la participation du personnel aux opérations d inventaire, le chiffrage de l inventaire, qui peut être fait en partie ou en totalité au prix d achat. Les moyens de contrôle sont : les calendriers remis par la centrale ou les fournisseurs pour faciliter le chiffrage de la valeur par l intermédiaire du prix d achat, des documents préétablis portant la liste des produits à inventorier, des systèmes de saisies directes interprétés à distance par un ordinateur qui édite l état des stocks ; Le contrôle des budgets. Hypermarchés Achats / Fournisseurs : avec une grande autonomie, ces établissements cumulent des fonctions de siège et de magasins de vente ; Réception marchandise : les procédures sont semblables à celles des entrepôts ; Contrôle des factures : les procédures sont semblables à celles des entrepôts. Contrôle des recettes : le contrôle des recettes s effectue selon les mêmes principes que pour les supermarchés ; Inventaire : le contrôle des inventaires s effectue selon les mêmes principes que pour les supermarchés ; 174
PHASE 4 Le management du dispositif Ventes et prestations : la vente à crédit de la Hi-Fi, de l électroménager, font l objet de procédures particulières (grille d acceptation de crédit, respect des réglementations et contrat numéroté). La vente à paiement différé pour les hôpitaux, l armée, etc. fait également l objet de procédures particulières. Les services après vente, la location de distributeurs automatiques, la location d espace, etc., doivent être soumis à autorisation du siège et font l objet d encaissements séparés avec les autres recettes caisses ; Gestion du personnel : l embauche, la discipline et le règlement des salaires sont sous la responsabilité d un service qui détient un pouvoir de décision limité par un cadre (organigramme et grille de salaire arrêtés par le siège qui se réserve le choix des cadres) ; Le contrôle des comptes. Les comptes soumis à contrôle sont : Les provisions ; les comptes de provision sont contrôlés pour les cas de dépréciation de stocks, de hausse de prix ou pour les litiges (révision de baux, indemnité d éviction, etc.) ; Les immobilisations incorporelles : les comptes d immobilisation incorporelles sont contrôlés pour les frais d établissement, frais d études de marché, frais des procédures administratives de création, frais mobilier et immobilier, frais d emprunts, etc. Les immobilisations corporelles : les comptes d immobilisations corporelles sont contrôlés pour les frais liés aux installations techniques, matériels et d outillages (caractérisés par le nombre, la répartition géographique, la valeur unitaire), pour les agencements et aménagements pour les matériels de transport, etc. Les immobilisations financières : stocks et en-cours, compte tiers, circuit de trésorerie, compte spécial. 175
Henri-Pierre MADERS Jean-Luc MASSELIN Contrôle interne des risques Préface du Docteur Jean MADER Délégué auprès de l Organisation des Nations Unies pour le Développement Industriel, 2004 ISBN : 2-7081-3116-8
Sommaire Préface... IX Introduction... 1 Les spécificités de notre approche... 3 PHASE 1 L évaluation du dispositif de contrôle interne existant ÉTAPE 1 Comprendre la culture et le style de management... 9 1.1. Comprendre la culture... 10 1.2. Comprendre le style de management... 18 ÉTAPE 2 Identifier, évaluer et classer les risques... 25 2.1. Identifier les risques... 26 2.1.1. Les risques métier... 45 2.1.2. Les risques communs à toutes les entreprises... 45 2.2. Évaluer les risques... 51 2.3. Classer les risques... 58 ÉTAPE 3 Mettre en avant les objectifs du dispositif cible... 65 Questionnaire d évaluation de la phase 1... 67 Illustration Les sociétés de services informatiques... 69 PHASE 2 La conception du dispositif cible ÉTAPE 1 Choisir les risques à mettre sous contrôle... 73 XI
CONTRÔLE INTERNE DES RISQUES ÉTAPE 2 Définir le dispositif général et le rôle des acteurs... 85 2.1. Les bénéficiaires... 86 2.2. Les acteurs... 89 2.3. Le dispositif... 91 2.3.1. L approche intuitive... 91 2.3.2. L approche technique : le contrôle interne... 92 ÉTAPE 3 Définir les modalités de management du dispositif... 101 Questionnaire d évaluation de la phase 2... 106 Illustration Les compagnies de transport aérien... 108 PHASE 3 La mise en œuvre du dispositif cible ÉTAPE 1 Définir les travaux à réaliser... 113 1.1 Inventorier les travaux à réaliser... 114 1.2 Intégrer dans le planning les contraintes de ressources... 116 ÉTAPE 2 Coordonner les travaux à réaliser... 119 ÉTAPE 3 Accompagner le changement aux niveaux central et local... 125 Questionnaire d évaluation de la phase 3... 129 Illustration Les entreprises industrielles... 131 PHASE 4 Le management du dispositif ÉTAPE 1 Gérer le dispositif au quotidien... 137 1.1 Définir les responsabilités... 139 1.2 Définir les outils et l approche... 141 1.3 Tenir compte du cadre renforcé par des lois récentes... 142 1.3.1 La loi sur les Nouvelles Régulations Économiques (N.R.E.)... 142 1.3.2 La loi sur la Sécurité Financière (L.S.F.)... 142 XII
Sommaire ÉTAPE 2 Surveiller le dispositif à bon niveau : audit et gouvernance... 149 2.1. Les bonnes pratiques du comité d audit... 150 2.2. Composition et fonctionnement du comité d audit... 153 ÉTAPE 3 Mettre en perspective... 157 3.1. Le rôle des intervenants externes... 158 3.2. Les commissaires aux comptes... 162 3.3. La gestion et le suivi des recommandations... 165 Questionnaire d évaluation de la phase 4... 171 Illustration Les entreprises de distribution... 172 PHASE 5 L audit du dispositif ÉTAPE 1 Définir le programme d audit... 179 ÉTAPE 2 Conduire des missions d audits... 183 2.1. Préparer la mission... 185 2.1.1. Diffuser la lettre de mission... 185 2.1.2. Collecter les informations... 185 2.1.3. Rédiger la note d approche... 185 2.2. Réaliser la mission... 187 2.2.1. Organiser la réunion de lancement... 187 2.2.2. Décrire ce qui ne l est pas... 187 2.2.3. Réaliser les tests nécessaires... 187 2.3. Restituer les résultats... 195 2.3.1. Rédiger le projet de rapport... 195 2.3.2. Faire valider le projet de rapport... 205 2.3.3. Rédiger le rapport définitif... 205 2.4. Suivre la mise en œuvre des plans d actions... 206 2.4.1. Analyser les rapports d avancement... 206 2.4.2. Assurer une assistance... 206 2.4.3. Réaliser une mission de suivi... 206 XIII
CONTRÔLE INTERNE DES RISQUES ÉTAPE 3 Faire le bilan annuel... 209 Questionnaire d évaluation de la phase 5... 211 Illustration Le secteur bancaire... 212 Conclusion... 215 Glossaire... 217 Liste des outils... 219 Liste des schémas et tableaux... 221 Liste des exemples... 223 Utilisation du CD-Rom... 225 XIV