Centre Africain d études Supérieures en Gestion Institut Supérieur de Comptabilité, de Banque et de Finance (ISCBF) Master Professionnel en Audit et Contrôle de Gestion (MPACG) Promotion 4 (2009-2011) Mémoire de fin d étude THEME CONTRIBUTION DE L AUDIT INTERNE DANS LA MAITRISE DES RISQUES OPERATIONNELS : CAS DE LA SONAPOST Présenté par : Dirigé par : Mlle KAFANDO Tarwendpanga Sylvie M. BOUSSO Souleymane Contrôleur de gestion à la RTS Novembre 2011
DEDICACE Nous dédions ce travail à l Eternel Tout-Puissant qui nous a donné la force et le courage nécessaires pour être là où nous en sommes et à notre famille pour le soutien moral et la confiance portée à notre égard. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page i
REMERCIEMENTS Qu il nous soit permis avant toute chose d exprimer notre reconnaissance envers toutes les personnes qui nous ont encadré et qui ont contribué au bon déroulement et à l élaboration de ce mémoire. Nos remerciements s adressent à : Notre mère, pour les efforts consentis durant toutes ces années études. Monsieur BALIMA Paul, Directeur Général de la SONAPOST pour nous avoir acceptées au sein de son institution. Monsieur BOUSSO Souleymane, notre directeur de mémoire pour l encadrement reçu malgré ses multiples occupations. Monsieur Moussa YAZI, Directeur de l Institut Supérieur de Comptabilité, de Banque et de Finance, pour ses conseils méthodologiques qui nous ont guidés dans la rédaction de ce mémoire. Le corps professoral de l Institut Supérieur de Comptabilité, de Banque et de Finance (ISCBF) du CESAG pour la qualité de la formation reçue. Madame YAGO Honorine, chef du département audit interne et contrôle de gestion à la SONAPOST, pour son aide, ses conseils et sa disponibilité. Nous lui témoignons notre gratitude et notre reconnaissance. Monsieur PARE Moumouni, chef de la division contrôle de gestion à la SONAPOST pour ses conseils et son soutien. Madame SANKARA Edwige, bibliothécaire au CESAG, pour les documents mis à notre disposition. A nos amis et camarades pour leur soutien et leurs conseils. A tous ceux qui nous ont aidés, de près ou de loin, durant notre formation, qu ils trouvent en ce mémoire toute notre gratitude. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ii
LISTE DES ABBREVIATIONS AGSE : AMF : ASCE : CCB : CCM : CCP : Assemblée Générale des Sociétés d Etat Autorité des Marchés Financiers Autorité Supérieure du Contrôle d Etat Centre de Contrôle des Bureaux Centre de Contrôle des Mandats Centre des Chèques Postaux CESAG : CMS : CNCC : CNE : CNT: COCO: COSO: DFC DG : ECIIA: ENAPOST : EPIC : IFACI : IIA : IMCE : OFAOF : OFPT : ONATEL : ONP : OPT : Centre Africain d Etudes Supérieures en Gestion Centre Multi Service Compagnie Nationale des Commissaires aux Comptes Caisse Nationale d Epargne Centre National de Tri Criteria of Control Committee of Sponsoring Organizations of the Treadway Commission Direction Financière et Comptable Direction Générale European Confederation of Institutes of Internal Auditors Ecole Nationale de la Poste Etablissement Public à Caractère Industriel et Commercial Institut Français de l Audit et du Contrôle Interne Institute of Internal Auditors Institut Mondial des Caisses d Epargne Office Fédéral de l Afrique Occidentale Française Office Fédéral des Postes et Télécommunications Office Nationale des Télécommunications Office Nationale des Postes Office des Postes et Télécommunications T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iii
PACNE : PTT : QCI : Projet d Audit des Caisses Nationales d Epargne Postes, Télégraphes, Téléphones Questionnaire de Contrôle Interne SONAPOST : Société Nationale des Postes TFfA : TIC : UPU : Tableau des Forces et faiblesses apparentes Technologies de l Information et de la Communication Union Postale Universelle. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iv
LISTE DES TABLEAUX Tableau 1 : Tableau d analyse des risques... 16 Tableau 2 : Tableau de risques correspondant à la réception des marchandises... 33 Tableau 3 : Questionnaire relatif à la maîtrise des risques... 35 Tableau 4 : Evolution du chiffre d affaires... 54 Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques opérationnels... 71 Tableau 6 : Evaluation des dispositifs de maîtrise des risques... 72 Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels... 73 Tableau 8: Identification des risques opérationnels... 75 Tableau 9 : Echelle d évaluation des risques... 77 Tableau 10 : Probabilité d occurrence... 77 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page v
LISTE DES FIGURES Figure 1 : La logique de la démarche globale de gestion des risques... 19 Figure 2 : Modèle d analyse... 44 Figure 3 : Rôle de l audit interne dans le dispositif de maîtrise... 75 LISTE DES ANNEXES Annexe 1 : Organigramme de la SONAPOST... 85 Annexe 2 : L entreprise comme un ensemble de risques... 86 Annexe 3 : Grille de séparation des tâches... 87 Annexe 4 : Questionnaire de contrôle interne... 88 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vi
TABLE DES MATIERES DEDICACE... i REMERCIEMENTS... ii LISTE DES ABBREVIATIONS... iii LISTE DES TABLEAUX... v LISTE DES FIGURES... vi LISTE DES ANNEXES... vi TABLE DES MATIERES... vii INTRODUCTION GENERALE... 1 PREMIERE PARTIE : CADRE THEORIQUE DE L ETUDE... 6 Introduction de la première partie... 7 CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS... 8 1.1. Les risques dans les entreprises... 8 1.1.1. Le concept de risque... 8 1.1.2. La typologie des risques... 9 1.2. Les risques opérationnels... 10 1.2.1. Définition... 10 1.2.2. Les composantes du risque opérationnel... 11 1.2 La gestion des risques opérationnels... 13 1.2.1 Le processus de gestion des risques... 13 1.2.1.1 L identification... 13 1.2.1.2 L analyse et l évaluation des risques opérationnels... 15 1.2.1.3 Le suivi des risques opérationnels... 16 1.2.2 Le dispositif de gestion des risques opérationnels... 17 1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels... 17 1.2.2.2 La cartographie des risques opérationnels... 18 1.3 L audit interne et la gestion des risques opérationnels... 20 1.3.1 La présentation de l audit interne... 20 1.3.1.1 Le concept d audit interne... 20 1.3.1.2 Les missions de l audit interne... 21 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vii
1.3.1.3 L organisation du travail d audit interne... 21 1.3.2 Le rôle de l audit interne dans la gestion des risques opérationnels... 22 1.3.3 Les mesures de contrôle des risques opérationnels... 23 1.3.3.1 Les indicateurs de risques... 23 1.3.3.2 Le tableau de bord des risques opérationnels... 24 CHAPITRE 2: L AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS 26 2.1. Les démarches de l audit interne... 26 2.1.1. L approche par les systèmes... 27 2.1.1.1. La présentation de la démarche... 27 2.1.1.2. Les limites de l approche par les systèmes... 28 2.1.2. L approche par les risques... 29 2.1.2.1. La description de la démarche... 29 2.1.2.2. Les différentes phases de la démarche... 30 2.1 La maîtrise des risques opérationnels... 33 2.2.1. Les dispositifs de maîtrise des risques opérationnels... 34 2.2.2. Le système de contrôle interne... 36 2.2.2.1. Définition... 36 2.2.2.2. Les objectifs du contrôle interne... 36 2.2.2.3. Les éléments du dispositif de contrôle interne... 37 2.2 L apport de l audit interne dans le dispositif de maîtrise des risques opérationnels... 38 2.3.1. L appréciation du dispositif de contrôle interne... 39 2.3.1.1. Le découpage en cycles d activités... 40 2.3.1.2. L évaluation du contrôle interne... 41 2.3.2. L évaluation de la cartographie des risques opérationnels... 42 CHAPITRE 3: METODOLOGIE DE L ETUDE... 43 3.1. Le modèle d analyse... 43 3.2. Les outils de collecte et d analyse des données... 45 3.2.1. Le questionnaire de contrôle interne... 45 3.2.2. L analyse documentaire... 45 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page viii
3.2.3. L interview... 46 3.2.4. L observation physique... 46 3.2.5. Le tableau d identification des risques... 46 3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA)... 46 3.2.7. La grille de séparation des tâches... 46 3.2.8. Le test de conformité et de permanence... 47 Conclusion de la première partie... 48 DEUXIEME PARTIE : CADRE PRATIQUE DE L ETUDE... 49 Introduction de la deuxième partie... 50 CHAPITRE 4: PRESENTATION DE LA SONAPOST... 51 4.1. Historique... 51 4.2. Les missions et les objectifs de la Sonapost... 52 4.2.1. Le statut et l objet social de la Sonapost... 52 4.2.2. Les missions et les objectifs... 53 4.3. La Sonapost dans l économie burkinabé... 54 4.4. L organisation et le fonctionnement de la SONAPOST... 54 4.4.1. L administration centrale... 55 4.4.2. Les directions techniques... 57 4.4.3. Les directions régionales... 60 4.4.4. Les centres spécialisés... 60 4.4.5. Les projets et programme... 61 4.4.6. La filiale EMS-Chronopost International Burkina... 61 CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST... 62 5.1. Le dispositif de contrôle interne de la Sonapost... 62 5.1.1. La description synthétique du dispositif de contrôle interne... 62 5.1.1.1. La comptabilité journalière et mensuelle... 62 5.1.1.2. Le centre de contrôle des bureaux... 63 5.1.1.3. Le Conseil d Administration... 63 5.1.1.4. L Assemblée Générale des Sociétés d Etats (AGSE)... 64 5.1.2. Les objectifs du contrôle interne... 64 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ix
5.2. L état du dispositif de contrôle interne de la Sonapost... 65 5.3. L audit interne... 66 CHAPITRE 6 : LA CONTRIBUTION DE L AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS... 68 6.1. L appréciation du dispositif de maîtrise des risques opérationnels... 68 6.1.1. Le dispositif de maîtrise des risques opérationnels... 69 6.1.2. L analyse du dispositif de maîtrise des risques opérationnels... 69 6.1.3. L évaluation du dispositif de maîtrise des risques opérationnels... 72 6.2. Le rôle de l audit interne dans le dispositif de maîtrise... 74 6.2.1. L identification des risques... 75 6.2.2. L évaluation des risques... 76 6.2.3. L évaluation du dispositif de contrôle interne... 77 6.3. Recommandations... 78 6.3.1. A l endroit du service d audit interne... 79 6.3.2. A l endroit de la direction générale... 79 Conclusion de la deuxième partie... 81 CONCLUSION GENERALE... 82 ANNEXES... 84 BIBLIOGRAPHIE... 92 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page x
INTRODUCTION GENERALE
La poste est l un des plus anciens réseaux de communication au monde. Ce fût à Rome qu apparut le premier service de courrier public au service des correspondances de l Etat. En Afrique, il n existait pas de système postal organisé avant l arrivée des colonisateurs européens. De nos jours, celle-ci demeure le moyen de communication le plus accessible et le plus répandu dans le monde. L activité postale traditionnelle inclut la collecte des objets de correspondance, de communication, de messagerie, de presse, des boîtes à lettres publiques ou des bureaux de poste, leur transport, leur tri et leur distribution. Ces services requièrent des savoir-faire et des compétences très spécifiques et peuvent être fournis par des entreprises nationales ou d autres organismes privés de nos jours. Les services postaux ont évolué à travers les âges en fonction des progrès, des techniques et du développement de la société car communiquer est devenue une fonction économique essentielle et est considérée comme un facteur de cohésion nationale par les gouvernements qui y interviennent. L organisation du secteur postal au Burkina Faso avec la Société Nationale des Postes (SONAPOST) est passée en quelques années, d une logique de coordination entre les différents monopoles nationaux, à celle plus concurrentielle. La globalisation de l économie et les bouleversements que le secteur des communications rencontrent l ont conduit à investir dans de nouvelles activités. Aujourd'hui, à l'instar de toutes les autres postes du monde, elle ne peut ignorer l'avènement de ce qu'il est convenu d'appeler la société de l'information avec les bouleversements technologiques qu'elle entraîne. Celle-ci est chargée de la mise en place et de l exploitation du service public de la poste et des services financiers. Elle dispose d'un réseau d'épargne, la Caisse Nationale d'épargne (CNE), permettant aux plus modestes de placer leurs économies. Avec la création de la CNE, ces services financiers ont apporté à l'etat burkinabè une ressource financière abondante. La Sonapost a pour missions la collecte, l acheminement, la distribution des objets par correspondance (lettre, colis, journaux) et la facilitation des échanges monétaires (système de transfert d argent). Dans ses efforts d amélioration de ses produits et d adaptation de son offre aux attentes du marché, elle a entrepris la mise en place dans les localités, T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 2
des cyber-postes qui offrent des services de navigation internet à un grand nombre de population. De par ses nombreuses activités, celle-ci doit faire face à de nombreux risques surtout opérationnels qui peuvent être un handicap à la réalisation efficace de ses activités et compromettre de ce fait l atteinte de ses objectifs de croissance. La maîtrise des risques opérationnels par la Sonapost nécessite la mise en place et l optimisation d un service d audit interne et de gestion des risques opérationnels. Ainsi le problème qui se dégage de notre étude concerne l efficacité du dispositif mis en place pour assurer la maîtrise des risques opérationnels. Le problème ainsi mis en exergue n est que la résultante de divers facteurs qui sont : - les insuffisances des procédures documentées et actualisées; - l absence d implication de l audit interne dans le dispositif de maîtrise des risques opérationnels ; - la non-détection des erreurs, ou manquement. Les conséquences du problème peuvent être de diverses natures dont : - les erreurs ; - le retard dans l exécution des opérations (livraison des colis) ; - la fraude interne ou externe ; - les vols ; - la violation du secret professionnel (ouverture des courriers). Les solutions possibles pour y remédier sont: - l évaluation des dispositifs de maîtrise des risques opérationnels ; - l évaluation et la mise à jour de la cartographie des risques opérationnels ; - la mise en place d un dispositif de gestion des risques opérationnels; - la mise à jour du manuel de procédures. Au vu de ces solutions possibles énumérées, nous retiendront celles qui s avèrent pertinentes à savoir : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 3
- l évaluation des dispositifs de maîtrise des risques opérationnels ; - l assurance de l efficacité du dispositif de gestion des risques opérationnels ; - l évaluation et la mise à jour la cartographie des risques opérationnels. L identification et la gestion des risques opérationnels doivent découler de la mise en œuvre d une politique de gestion efficiente par la Sonapost en vue de maîtriser les risques auxquels elle est confrontée. Cette analyse nous amène à nous interroger sur un certain nombre de questions qui sans doute seront d une aide capitale pour mener à bien cette étude. Il s agit de la question principale de laquelle découle des questions spécifiques. En ce qui concerne la question principale elle s énonce comme suit : comment l audit interne contribue il à la maîtrise des risques opérationnels? Les questions spécifiques qui en résultent sont : - Quel est l état du dispositif actuel de maîtrise des risques opérationnels, ses forces et ses faiblesses? - Quel est l état des risques opérationnels de la Sonapost? - Quels sont les outils mis en œuvre pour y faire face? Telles sont les questions auxquelles nous essayerons d apporter des réponses à travers l étude du thème : «contribution de l audit interne dans la maîtrise des risques opérationnels». Ce mémoire consistera à analyser l apport de l audit interne à la Sonapost dans la maîtrise de ses risques opérationnels. Pour pouvoir mener à bien notre étude, il est primordial de se fixer certains objectifs qui sont d ordre général et spécifique. L objectif général consistera à faire face aux contraintes qui peuvent affectés le bon fonctionnement de la Sonapost ainsi que l atteinte de ses objectifs à travers les dispositifs qu elle met en œuvre pour les maîtriser. Pour ce faire nous nous intéresserons à l apport de l audit interne dans la maîtrise des risques opérationnels. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 4
Afin d atteindre celui-ci, il est primordial de mettre en évidence les objectifs spécifiques qui en résultent. De ce fait nous avons : - l identification des dispositifs de maîtrise des risques opérationnels; - l évaluation du dispositif de contrôle interne mis en place pour assurer leur maîtriser; - l efficacité du dispositif de maîtrise des risques opérationnels. Ce présent mémoire sera focalisé sur la contribution de l audit interne dans la maîtrise des risques opérationnels. Pour cela deux (02) grandes parties seront développées ; la première partie est consacrée d une part à la revue de littérature qui abordera les aspects théoriques de la gestion, des dispositifs de maîtrise des risques opérationnels pour ainsi mettre en exergue la démarche de l audit interne dans le processus de maîtrise et d autre part à l approche méthodologique de l étude. La deuxième partie consacrée au cadre pratique de l étude consistera à présenter la structure et à analyser son dispositif de maîtrise des risques opérationnels afin d y cerner l apport de l audit interne. La maîtrise des risques opérationnels pour les organisations est primordiale en vue d assurer une optimisation de leurs activités et l atteinte des objectifs. Cette étude permettra à la Sonapost d une part de mieux cerner ses risques opérationnels, de disposer d une revue des bonnes pratiques en termes de maîtrise des risques opérationnels, de connaître les dispositifs adéquats pour les réduire et d autre part d assurer l efficacité de leur gestion. En outre, elle permettra d éveiller la conscience des dirigeants sur l importance de la maîtrise de leurs risques opérationnels et sur l apport de l audit interne à l organisation. Aussi pour nous mêmes, elle sera une aubaine pour confronter nos acquis intellectuels et théoriques appris au CESAG et de les adapter aux réalités du monde professionnel et par conséquent de développer les connaissances acquises et d expérimenter le fonctionnement quotidien d une entreprise notamment de son service d audit interne. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 5
PREMIERE PARTIE : CADRE THEORIQUE DE L ETUDE
Introduction de la première partie Selon MOREAU (2002: 1-2), le risque est au cœur de l entreprise car celle-ci évolue dans un environnement de risques, le plus souvent complexe, dynamique et hostile. L efficacité de l entreprise à gérer ses risques n est pas de les nier ou de les transférer à d autres, mais «d apprivoiser» ses risques en les reconnaissant et en choisissant à la fois une approche stratégique et une organisation adaptée à leur existence. Nombreux sont les types de risques qui peuvent être rencontrés dans les entreprises notamment ceux liés à la multitude des opérations. Les risques opérationnels comportent des enjeux pour les entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise. Le risque opérationnel devient alors une préoccupation majeure mais ne constitue pas un nouveau risque. La gestion des risques opérationnels a été longtemps traitée marginalement voire ignorée par la plupart des dirigeants du fait d un éventail d outils et d options limités. Le risque étant inhérent à l activité humaine, toute la question est de savoir comment le découvrir, l appréhender, l anticiper, le quantifier, et prendre les décisions correspondantes afin, non pas de l éliminer mais d en assurer sa maîtrise. La maîtrise des risques est une aspiration fondamentale, constitutive de l organisation de nos sociétés. Les dirigeants doivent être en mesure d apporter des réponses relatives à la manière de gérer les risques. Pour ce faire il est essentiel de bien connaître les différents concepts, outils et méthodes disponibles pour les identifier, analyser et traiter. Dans cette première partie, consacrée essentiellement à la revue de littérature nous aborderons la gestion des risques et l audit interne, ensuite les dispositifs de maîtrise des risques opérationnels seront présentés pour y déceler le rôle de l audit interne et après élaborer le modèle d analyse qui montrera comment nous allons procéder pour apprécier le rôle de l audit interne dans la maîtrise des risques opérationnels à la Sonapost. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 7
CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS Pour MOREAU (2002 :2), les dirigeants d entreprise sont confrontés à des situations différentes dues à la multitude des risques de nature, d ampleur et d incidence diverses. De par l essor du gouvernement d entreprise, la responsabilité de l entreprise et des dirigeants envers les salariés, les clients, les actionnaires est de plus en plus engagée. Cette diversité des risques entraine une pluralité de solutions et l entreprise n a pas toujours les réponses adéquates ou innovantes pour y faire face. La gestion des risques est définie comme un «processus régulier, continu, coordonné et intégré à l ensemble d une organisation, qui permet l identification, l analyse, le contrôle et l évaluation des risques et des situations à risque qui ont causé ou auraient pu causer des dommages à une personne ou à des biens». (ISO 9000, version 2000 in POULLAIN ; LESPY, 2002 :41). Coopers & Lybrand (2000 :49), ajoute que toute entreprise est confrontée à un ensemble de risques externes et internes qui doivent être évalués. Avant de procéder à une telle évaluation, il est nécessaire de définir les objectifs compatibles et répondant à des règles de cohérence interne. Leur évaluation consiste en l identification et l analyse des facteurs susceptibles d affecter la réalisation des objectifs ; il s agit d un processus qui permet de déterminer comment ils devraient être gérés. 1.1. Les risques dans les entreprises Avant d aborder les risques et notamment ceux opérationnels dans les entreprises, il semble nécessaire de définir la notion de risque ainsi que les différents types de risques pouvant exister dans toute organisation. 1.1.1. Le concept de risque Toutes les entités, quel que soit leur taille, leur structure, la nature de leurs activités et le secteur économique dans lequel elles évoluent, sont confrontées à des risques, et ce à tous les niveaux. D après MOREAU (2002 :3), le risque d entreprise peut être défini comme la menace qu un évènement, une action ou une inaction affecte la capacité de l entreprise à atteindre T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 8
ses objectifs et compromettre ainsi la création de valeur. Cette définition est complétée par celle de DESROCHES & al (2005 :44) ; pour eux, le risque est une grandeur à deux dimensions. Une probabilité qui donne une mesure de l incertitude que l on a sur une gravité des conséquences, en termes de quantité de dommages, consécutifs à l occurrence d un événement redouté. Par conséquent, nous pouvons conclure que le risque est l éventualité d événements futurs pouvant entrainer des conséquences préjudiciables et agir ainsi sur la performance de l entreprise. Aussi, toutes ces définitions mettent en évidence les composantes du risque à savoir la probabilité qu un ou plusieurs événements se produisent et leurs conséquences. On peut, de ce fait, définir le risque comme un concept par lequel l entreprise tient compte des événements possibles qui pourraient survenir dans un univers incertain et pouvant entraîner des impacts significatifs sur l entité et sur ses objectifs. De par ces définitions, plusieurs types de risques peuvent être mis en évidence. 1.1.2. La typologie des risques Différents risques sont susceptibles d être rencontrés dans toute organisation. RENARD (2009 :157) énumère une liste de risques susceptibles de se produire dans l entreprise. On distingue: - les risques sociaux ; - les risques financiers ; - les risques informatiques ; - les risques technologiques ; - les risques de transports ; - les risques commerciaux ; - les risques juridiques ; - les risques politiques ; - etc. NGUYEN (1999 : 156) quant à lui, vient compléter cette distinction en identifiant trois (03) types de risques à savoir: T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 9
- ceux liés aux activités ; - ceux qui sont internes ou externes ; - ceux qui sont anciens ou nouveaux. DESROCHES & al (2005 : 44) quant à eux, font une classification des risques selon (02) deux critères : - en fonction de leur évolution : les risques à effets convergents dont la gravité diminue avec le temps ou à effets divergents dont la gravité augmente avec le temps ; - en fonction de leur impact : les risques à effets directs et indirects ou en cascades induisant un enchainement de différentes natures. Par ailleurs, AHOUANGANSI (2010 : 37-38) classe les risques en deux catégories : - les risques spéculatifs : ce sont des risques pris par l entrepreneur dans son activité pour atteindre les objectifs de l entreprise; - les risques purs aléatoires ou accidentels : la protection contre ces risques s établit à plusieurs niveaux dont la prévention préalable adaptée (équipements spécifiques, organisation de contrôle interne). 1.2. Les risques opérationnels Les risques opérationnels sont présents dans toutes les organisations. Les incidents montrent que des événements inattendus peuvent se produire et porter sérieusement atteinte aux organisations de divers secteurs. D après SARDI (2002 :309), le risque opérationnel n est pas un concept bien défini et ne fait pas l objet d un consensus car il diffère suivant les organismes et les auteurs. 1.2.1. Définition Les risques opérationnels sont des risques auxquels toutes les sociétés sont confrontées. En général, ils proviennent de l exécution des objectifs de l entreprise. Ils recouvrent un certain nombre de risques, parmi lesquels la fraude, le risque juridique, physique ou environnemental. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 10
Bâle II le défini comme «le risque de pertes résultant d une inadéquation ou d une défaillance imputable à des procédures, personnels et systèmes internes, ou à des événements extérieurs, y compris ceux de faible probabilité d occurrence, mais à risque de perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique mais exclut les risques stratégiques et de réputation». CAMARA (2006 : 130) ajoute que le risque opérationnel est la probabilité des pertes subséquentes à une défaillance des procédures administratives, machines et outils de travail. Il peut être ainsi défini comme le risque de perte ou d incident résultant de processus, d individus ou de systèmes insuffisants ou défaillants, ou d événements externes. Les risques opérationnels sont difficiles à identifier car présents à tous les niveaux avec une imbrication des événements et des conséquences, à mesurer due à la conjugaison des pertes directes et indirectes et à gérer car s appliquant transversalement sur l ensemble des métiers, avec des causes (internes et externes) et des conséquences (financières) diverses. 1.2.2. Les composantes du risque opérationnel NGUYEN (1999 : 210) identifie divers types de risques opérationnels à savoir : les risques de dysfonctionnement qui comprennent: - le manque de compétence du personnel en cas de remplacement pour congés ou départs définitifs ; - les erreurs, oublis, manque d attention ; - les perturbations consécutives aux changements d hommes de la hiérarchie sans information préalable. les risques de manipulation frauduleuse qui se caractérisent par: - la collusion entre plusieurs personnes; - le non respect des procédures. Bâle II complète cette initiale classification en faisant une répartition des risques opérationnels en sept (07) catégories : - la fraude interne : elle concerne les pertes liées à des actes commis à l intérieur de l entreprise visant à commettre une fraude ou un détournement d actif ou à enfreindre une disposition législative ou règlementaire, ou des règles de l entreprise ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 11
- la fraude externe : il s agit des pertes liées à des actes extérieurs visant à commettre une fraude ou un détournement d actif ou à enfreindre une disposition législative ou règlementaire ; - l insuffisance des pratiques internes concernant les ressources humaines et la sécurité du lieu de travail : pertes liées à des actes contraires aux dispositions législatives ou règlementaires, ou aux conventions en matière d emploi, de santé ou de sécurité, à la réparation de préjudices personnels ou à des pratiques discriminatoires ou contraires aux règles en matière d égalité professionnelle ; - les clients, produits et pratiques commerciales : qui entrainent des pertes dues à un manquement délibéré ou non, à une obligation professionnelle envers un client, à la nature ou aux caractéristiques d un produit ; - les dommages aux actifs physiques : sont causées par l endommagement des actifs physiques résultant d une catastrophe naturelle ou d autres événements ; - l interruption d activité et dysfonctionnement des systèmes : sont des pertes résultant de dysfonctionnement ou des systèmes ; - le dysfonctionnement des processus de traitement (exécution, passation d ordre, livraison, gestion des processus) : concerne les pertes liées aux lacunes du traitement des transactions ou de la gestion des processus et aux relations avec les contreparties commerciales et fournisseurs. Aussi CAMARA (2006 :130) identifie différents types de risques opérationnels qui sont : - le risque de fraude : il peut se définir comme l acte illégal par lequel une personne ou un groupe de personnes soutirent des fonds à l entreprise; - le risque administratif : c est tout événement ou fait lié à une mauvaise définition des procédures de travail ; - le risque juridique : on entend par risque juridique les pertes que peut subir l entreprise du fait d une mauvaise maîtrise de la loi et de son application ; - le risque de sécurité physique : c est la probabilité d atteinte à l intégrité physique des actifs, employés de l organisation; - le risque de sécurité informatique : c est le risque de panne des ordinateurs. Par risques opérationnels, il faut entendre les risques que l organisation, ses acteurs et l environnement externe font courir aux entreprises. De ce fait ils peuvent se décomposer en quatre (04) sous-ensembles selon Bâle II : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 12
- le risque lié au système d information: défaillance matérielle, obsolescence des technologies (matériel, langages de programmation, ) ; - le risque lié aux processus (saisies erronées, non respect des procédures, ) ; - le risque lié aux personnes (absentéisme, fraude, mouvements sociaux, mais aussi la capacité de l'entreprise à assurer la relève sur les postes clés) ; - le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle, environnement réglementaire, ). La diversité des risques auxquels est confrontée l entreprise rend nécessaire une analyse centralisée de manière à garantir une vue globale, avec une implication de tous les spécialistes afin de mieux appréhender l exposition aux risques. 1.2 La gestion des risques opérationnels La gestion des risques dans le but de les réduire est une pièce essentielle du management de l entreprise et de maîtrise des risques. 1.2.1 Le processus de gestion des risques Pour SARDI (2002 :183), le processus de management des risques comporte un certain nombre d étapes (l identification, l évaluation des risques, l analyse et la planification des mesures, la gestion opérationnelle des risques ainsi que la surveillance des risques et leur reporting). 1.2.1.1 L identification Le dispositif de maîtrise des risques opérationnels consiste à agir sur les différents éléments identifiés et quantifiés afin de modifier le profil de risques de la société ou tout du moins sa sensibilité en cas de survenance d événements non souhaités. 1.2.1.1.1 La définition du périmètre à analyser D après JIMENEZ & al (2008: 55), le périmètre à analyser comprend l ensemble des activités de l établissement. Cela nécessite toutefois de comprendre et de modéliser les activités pour permettre une identification de l ensemble des risques opérationnels associés. Celle-ci consiste à découper les activités de l entreprise en métiers et processus auxquels seront rattachés les événements à risques. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 13
Les risques sont alors analysés à un niveau de détail moindre et rattaché à un processus générique qui sera complété par des informations spécifiques et pertinentes pour l identification des risques (déroulement d activité particulier, risque spécifique ou au contexte, etc.). 1.2.1.1.2 Les événements à risques Pour JIMENEZ & al (2008 : 61-62), les événements à risques vont être associés à chaque processus opérationnel identifié dans la nomenclature des processus. On cherche dans cette étape à identifier tous les événements à risques qui peuvent se produire lors d un processus et qui pourraient avoir des conséquences sur son déroulement. Certains événements types, par ailleurs, peuvent se retrouver comme événement à risque dans un grand nombre de processus, par exemple l erreur humaine ou l interruption du système d information. Bâle II (in Jimenez & al, 2008 :61-63) préconise la démarche d identification des événements à risques comme suite : - l établissement d une liste type d événements de risques: qui consiste à énumérer les divers risques génériques (interruption des systèmes d information, erreur humaine, fraude). Cette liste va permettre d éviter de refaire un travail complet d analyse des risques avec les opérationnels métiers pour se concentrer sur les risques spécifiques à leur activité; - l établissement de la liste des risques spécifiques : effectuer un listing des risques spécifiques (absence de contrôle, valorisation erronée) de l activité et des métiers que l on retrouve quel que soit l activité. Cette étape est construite avec les représentants des métiers et se déroule par entretiens ou réunions avec les opérationnels responsables des processus qui pourront définir à quels types de risques ils sont sensibles ; - la validation interne de la nomenclature des risques : celle-ci doit être adaptée au fonctionnement de l entreprise. Sa validation doit permettre de s assurer qu un même risque dans deux (02) entités ou activités différentes aura la même définition et le même sens afin de conserver un dispositif cohérent; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 14
- la validation de la cohérence: le dispositif mis en place doit répondre aux besoins règlementaires. Selon Coopers & Lybrand (2000 :58-61), l identification des risques est un processus itératif qui est souvent intégré à celui de la planification. Il est par ailleurs utile d étudier les risques d un «œil neuf», plutôt que d examiner leur évolution depuis une précédente étude. Les risques à l échelle de l entreprise peuvent être la conséquence de facteurs externes ou internes. L identification de ces risques est essentielle pour procéder à leur évaluation. 1.2.1.2 L analyse et l évaluation des risques opérationnels Gérer les risques au niveau des activités permet d axer l évaluation sur les principales divisions ou fonctions. Parvenir à les évaluer par activité contribue également à leur maintien à un niveau acceptable. L analyse des risques et leur gestion sont intrinsèquement liées. Selon l IFACI, l analyse comprend les éléments suivants : - la définition du contexte et la mise en perspective ; - l identification et la documentation des risques ; - l évaluation, la quantification et la classification des risques ; - l évaluation et la modélisation du risque ; - la mise au point de stratégies de réduction du risque et de contrôle ; - l obtention de ressources et l attribution des responsabilités ; - la réduction, le transfert ou l élimination du risque ; - le pilotage et le suivi du risque. Selon le COCO (in Bertin, 2007 : 75), pour évaluer les risques il convient d estimer leurs probabilités de survenance ainsi que l importance de l impact afin que des processus appropriés puissent être mis au point pour les contrôler. Par ailleurs, pour Coopers & Lybrand (2000 : 61-62) il est nécessaire de procéder à une analyse des risques une fois que ceux-ci ont été identifiés au niveau de l entreprise et de chaque activité. Il existe de ce fait différentes manières de procéder à cette analyse, dans la T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 15
mesure où ils sont difficiles à quantifier. Néanmoins, le processus plus ou moins formel se décompose généralement comme suit : - l évaluation de l importance des risques ; - l évaluation de la probabilité (ou fréquence) de survenance; - la prise en compte de la manière dont le risque doit être géré, c est-à-dire évaluation des mesures qu il convient d adopter. Généralement, un risque qui n a pas d impact significatif et dont la probabilité de survenance est faible, ne nécessite pas une analyse approfondie. En revanche, un risque majeur qui selon toute vraisemblance se concrétisera doit être sérieusement analysé. Entre ces deux extrêmes, l analyse du risque s avère difficile et elle doit être faite avec rationalité et minutie. Une fois évaluées l importance et la probabilité de survenance du risque, le manager doit étudier la façon dont il doit être géré et mettre en place des dispositifs de surveillance de ces risques. Tableau 1 : Tableau d analyse des risques Actions de Facteur maitrise des N /date de risque Ou situation Conséquences Gravité initiale Criticité initiale risques et d identification de l autorité de Criticité résiduelle Gestion du risque résiduel à risque décision et leur application Source : DESROCHES & al (2005 :158) 1.2.1.3 Le suivi des risques opérationnels Pour SARDI (2002 : 186), en fonction du résultat de l analyse des risques, certaines mesures peuvent être prises notamment le renforcement du contrôle interne, la mise en œuvre de nouvelles procédures de contrôle. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 16
«La surveillance des risques est une fonction permanente qui s imbrique dans les procédures formalisées mises en place par l établissement. Elle implique l ensemble des acteurs du contrôle interne : comité d audit, auditeurs internes, comités des risques et cellules de management des risques, contrôleurs de premier et deuxième niveau» (SARDI, 2002 :63) SARDI (2002 : 187) ajoute que le risque opérationnel est difficilement attribuable à une unité spécifique dans la mesure où il est présent partout. Selon SARDI (2002 : 187), le suivi des risques est une composante essentielle du management des risques. Les politiques et les limites fixées doivent être surveillées sur une base constante pour s assurer de leur respect. Cette surveillance est dévolue aux contrôles dits «de premier et deuxième niveaux» et le troisième niveau concerne l audit interne qui doit éviter d être impliqué dans la surveillance permanente car son rôle est de s assurer de l efficacité du dispositif. 1.2.2 Le dispositif de gestion des risques opérationnels Il est tout à fait possible d identifier dans chaque entreprise les zones à risques afin de déterminer les priorités des programmes de contrôle. Cette identification est réalisée avec l encadrement de la direction. Il est important que le dispositif mis en œuvre par l entreprise afin de maîtriser les risques soit évalué de façon périodique pour s assurer que celui-ci est adapté et proportionné au profil de risques. 1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et la fraude. Ils visent à réduire la probabilité et la gravité d événements défavorables ou non désirés. Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont incomplets dans la mesure où ils se concentrent sur l atténuation des risques sans permettre aux gestionnaires de profiter des occasions positives pour mieux réaliser la mission et les objectifs de l organisation. Selon JIMENEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de l entreprise car les risques se retrouvent à tous les niveaux et dans toutes les fonctions de l entreprise. On citera entre autre : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 17
- la direction générale : elle a un rôle primordial car assurant l efficacité du dispositif par son implication et les moyens à allouer ; - le comité d audit : il doit être tenu au courant des modifications du profil de risques et les décisions prises à leur égard doivent lui être présentées ; - les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place des mesures correctives et leur application ; - l audit interne: il a pour mission d auditer les dispositifs de gestion des risques opérationnels et dans le cadre de l élaboration des plans annuels d audit. Pour une meilleure gestion des risques opérationnels il est nécessaire d élaborer une cartographie des risques. Selon JIMENEZ & al (2008: 116), la cartographie des risques opérationnels a pour objectif d identifier, d évaluer, de classer, de comparer et de hiérarchiser les risques susceptibles d impacter une ligne de métier. 1.2.2.2 La cartographie des risques opérationnels D après JIMENEZ & al (2008 :63), la cartographie des risques consiste donc à associer aux processus modélisés les événements de risques qui peuvent entraîner une perte en donnant pour chaque couple ainsi recensé une vision des impacts possibles et le degré de maîtrise estimé. Elle permet à l entreprise d avoir une bonne vision des risques auxquels elle est soumise et, par conséquent, de sa capacité à y faire face. En outre pour AHOUANGANSI (2010 : 40-41), c est un véritable inventaire des risques de l organisation. Cette cartographie permet d atteindre trois objectifs : - inventorier, évaluer et classer les risques de l organisation ; - informer les responsables afin que chacun soit en mesure d y adapter le management de ses activités ; - permettre à la Direction Générale, et au Risk Manager, d élaborer une politique de risque qui va s imposer à tous. 1.2.2.2.1 Définition La cartographie des risques est un document permettant de recenser les principaux risques d une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour assurer une démarche globale d évaluation des risques. Elle n est toutefois qu une Commentaire [k1]: Elle est plutôt une démarche et non un document. Et cette démarche abouti à la réalisation d un document T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 18
photographie des risques à un instant donné. Selon la typologie des risques, les informations disponibles pour corroborer l évaluation, aideront les analyses, en particulier en matière de fréquence et d impact. Pour les risques «rares», la cartographie sera basée le plus souvent sur une identification et une évaluation qualitative des risques par les opérationnels de l entreprise au travers des questionnaires ou d atelier de travail. Figure 1 : La logique de la démarche globale de gestion des risques IDENTIFIER HIERARCHISER Risques résiduels inacceptables AGIR risques résiduels acceptables GESTION DES RISQUES DEMARCHE QUALITE EVALUER Source : POULAIN &al (2002 :41) 1.2.2.2.2 Les étapes de la cartographie des risques JIMENEZ & al (2008 : 64) préconisent les différentes étapes de la cartographie des risques : - définir les couples processus/risque à évaluer ; - identifier et évaluer les risques nets (prise en compte de l existant) ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 19
- apprécier le dispositif de maîtrise des risques ; - assurer un contrôle de cohérence avec les risques bruts ; - classifier et hiérarchiser les risques selon les différents angles d analyse possibles (risque net, risque brut, impact, image ). Ces démarches de réduction des risques sont, comme les risques eux-mêmes, strictement de la responsabilité des acteurs opérationnels chargés de ces activités. Mais l audit interne a pour vocation d apporter aux opérationnels une assistance technique dans la réduction des risques, en veillant au bon fonctionnement du contrôle interne et en s assurant du respect des principes. 1.3 L audit interne et la gestion des risques opérationnels Selon RENARD (2006 : 23), l audit interne est une fonction permanente dans l entreprise, mais c est une fonction périodique pour les audités car ceux-ci peuvent la rencontrer selon une certaine fréquence qui dépend de l importance du risque dans l activité auditée. 1.3.1 La présentation de l audit interne Le champ d intervention de l audit interne est beaucoup plus vaste car il prend en compte toutes les fonctions de l entreprise et dans toute leur dimension. Celui-ci n a cessé de s étendre contribuant ainsi à la complexité de la définition de ce concept. Un signe de cette complexité est la pluralité des définitions proposées par les auteurs. 1.3.1.1 Le concept d audit interne «L audit interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d entreprise, et en faisant des propositions pour renforcer leur efficacité.» (SCHICK, 2007 :5). Ces objectifs s articulent autour de quatre (04) points: - s assurer de l existence d un bon système de contrôle interne qui permet de maitriser les risques ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 20
- veiller de manière permanente à l efficacité de son fonctionnement ; - apporter des recommandations pour en améliorer l efficacité ; - informer régulièrement, de manière indépendante, la direction générale, l organe délibérant et le comité d audit de l état du contrôle interne. Pour atteindre ces objectifs l audit interne effectue différentes missions. 1.3.1.2 Les missions de l audit interne Selon LEMANT (1995 :19), l essentiel d une mission d audit consiste à examiner les composants de l organisation et les conditions de fonctionnement d une activité déterminée, pour les comprendre et identifier les risques et opportunités qu ils recèlent. RENARD (2009 : 208) ajoute que les responsables des services d audit interne témoignent de plus en plus du caractère pédagogique de leur mission et de la nécessité de toujours chercher à communiquer, non seulement autour des résultats mais aussi de la méthode mise en œuvre. Le déroulement de la mission et l utilisation de certains outils ne sont que des illustrations de cette double recherche de simplicité et de transparence qui doit caractériser l approche de l auditeur. La signification d'une mission d'audit est qu'elle se découpe en périodes précises et identifiables, et qui sont toujours les mêmes. Le mot mission vient du Latin «Mittere» qui signifie envoyer, nous indique le Petit Larousse (in RENARD : 193) qui précise que la mission est une fonction temporaire et déterminée dont un gouvernement charge un agent spécial. 1.3.1.3 L organisation du travail d audit interne Le travail des auditeurs est organisé suivant une certaine logique et se présente ainsi: la charte d audit : Selon RENARD (2009 :397), c est le document constitutif de la fonction d audit interne et destiné à la présenter et à la faire connaître aux autres acteurs de l entreprise. Il est exigé par la première des normes professionnelles ; puis l indispensable plan d audit : Il est exigé par la norme 2010 : «le responsable de l audit interne doit établir une planification fondée sur les risques afin de Commentaire [k2]: Il faut faire une transition entre les différents points et le développement de ces points T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 21
définir les priorités cohérentes avec les objectifs de l organisation. (in Jacques Renard 2009 : 399). Ensuite on a: Commentaire [k3]: C est la définition donnée par l IFACI au niveau du document des Normes d audit interne le manuel d audit interne : A la différence de la charte d audit, le manuel est à usage interne, tout comme la documentation à disposition des auditeurs et qui est à enrichir constamment à l occasion de chaque mission d audit», (RENARD, 2009 : 418) ; les dossiers d audit et les papiers de travail: Pour RENARD (2009 :420), à chaque mission doit correspondre un dossier composé, entre autres éléments des papiers de travail les plus significatifs et constituent la mémoire de l entreprise. Cette exigence a une triple justification : - exigence de preuve ; - exigence d efficacité ; - exigence de formation. L audit interne est une activité ayant pour vocation d aider les responsables des opérations, à respecter les principes de contrôle interne, c est-à-dire les bonnes pratiques de management face aux risques qui menacent les activités. Ainsi l audit interne apporte son assistance en contrôle interne sur tous les grands processus d activité. (La revue française de l audit interne, Septembre 2004 : 6) 1.3.2 Le rôle de l audit interne dans la gestion des risques opérationnels Selon BERTIN (2007 :113), la gestion des risques, ainsi que l audit interne et le contrôle interne, doivent réellement être appréhendées comme un processus continu dont l application doit être garantie en permanence. L appréciation des risques ne doit pas être figée mais continue. Le rôle de l auditeur est de fournir une «évaluation indépendante» de la pertinence, de l application et de l efficacité des dispositifs de contrôle interne mis en place par le management. La valeur ajoutée de l audit interne est de contribuer à l amélioration des opérations de l entreprise en facilitant l identification et l évaluation des risques à tous les niveaux. Il devrait y parvenir en examinant l efficacité des processus de gestion des risques mis en place dans l entreprise et en s assurant de l existence de procédures et de normes claires et cohérentes en matière de risque. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 22
Selon l European Confederation of Institutes of Internal Auditors (ECIIA), le rôle de l audit interne est de conseiller et d aider la direction à assurer l efficacité du contrôle en mettant au point un programme de travail reposant sur les risques et couvrant les principales activités et les principaux systèmes de l entreprise. L'audit interne est une fonction d appréciation et d évaluation dont la tâche essentielle est, notamment, la validation du contrôle interne. En outre le lien fondamental qui existe entre l audit interne et le contrôle interne est la vérification du respect des procédures. 1.3.3 Les mesures de contrôle des risques opérationnels Les indicateurs des risques sont produits et suivis par les utilisateurs opérationnels afin de compléter le dispositif d alerte et d anticiper les pertes éventuelles. Pour ce faire, ils doivent permettre de suivre le profil ainsi que l environnement des risques de l entreprise. 1.3.3.1 Les indicateurs de risques Du point de vue de JIMENEZ & al (2008 : 110) trois (03) types d indicateurs peuvent être utilisés : - les indicateurs à valeur qui visent à suivre l évolution du risque lui-même ; - les indicateurs à niveaux qui visent à suivre le dispositif de maîtrise du risque en tant que tel et sa chronologie par étape de mise en œuvre (création d une échelle, suivi de plan de continuité) ; - les indicateurs à score quant à eux servent à suivre la complétude du dispositif de maîtrise des risques. Ce type d indicateur est adapté lorsque la mise en service d un dispositif ne suit pas une logique par paliers. L objectif des indicateurs étant d être des alertes préventives, ils seront produits à une fréquence qui correspond à la mesure «normale» du risque ou du dispositif. Ils doivent pouvoir être reliés à la nomenclature des risques afin de permettre d initier si besoin des plans d action et une réactualisation de la cartographie. Pour chaque indicateur retenu, sera créée une «fiche d identité» afin de permettre la diffusion de l intérêt de celui-ci et de l objectif de la mesure. Cette fiche d identité comprend : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 23
- le nom de l indicateur ; - les objectifs ; - son mode de calcul ; - les sources utilisées ; - la périodicité d actualisation ; - le seuil critique ; - les conséquences d une dégradation de l indicateur. Pour JIMENEZ & al (2008 : 120), la création d un tableau de bord du risque opérationnel doit être le reflet de la qualité de la politique des risques mise en œuvre et soumettre une vision consolidée du risque à différents niveaux de l entreprise. 1.3.3.2 Le tableau de bord des risques opérationnels Le tableau de bord doit permettre : - d appréhender la nature et l ampleur des risques encourus ; - de s assurer de l adéquation des dispositifs de gestion des risques opérationnels avec le profil de risques et le plan d activité ; - d effectuer les arbitrages nécessaires pour limiter et couvrir les risques ; - de piloter les actions préventives et correctives ainsi que leur état d avancement. Selon DU SERT (1999 :15), la dynamique historique du risque fait apparaître que l analyse du risque doit couvrir une succession de situations possibles. Le problème est celui de la perception que l on peut avoir des différents risques de façon à mieux s en protéger. L audit, activité indépendante et objective, dépassant la simple vérification de conformité pour proposer des recommandations et évaluer les processus de management, s est positionné dans la gestion des risques. L audit interne vient ajuster les dispositifs de contrôle interne pour atteindre les objectifs de ce dernier en sauvegardant le patrimoine, en assurant une bonne circulation de l information, en respectant les directives et en optimisant les performances de l entreprise. Il vient pour renforcer le contrôle interne dans la mesure où il doit soutenir les centres de responsabilités à maîtriser davantage leur activité et non pas à alourdir les procédures de vérification pour ainsi faire régner une mauvaise ambiance. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 24
Au-delà de la prise en compte des risques dans la création du plan d audit, l audit interne a une réelle valeur ajoutée dans le processus d identification et d évaluation des risques dans le cadre d une approche de gestion globale. Il apporte ainsi au management un niveau complémentaire de réassurance sur la pérennité de ce dispositif. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 25
CHAPITRE 2: L AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS La maîtrise des risques occupe de plus en plus une place importante dans les préoccupations des dirigeants. Aussi les risques qui menacent les entreprises doivent- ils être identifiés et réduits à des proportions acceptables. De ce fait, des conditions doivent être réunies pour mettre en place un système efficace, parmi lesquelles un audit interne performant, un processus d identification et de mesure des risques simple. Pour LEMANT (1998 :3), l audit interne est une fonction d assistance au management. Issue du contrôle comptable et financier, la fonction audit interne recouvre de nos jours une conception beaucoup plus large et plus riche, répondant aux exigences croissantes de la gestion de plus en plus complexe des entreprises. Son objectif est d assister les membres de l organisation dans l exercice de leurs responsabilités, pour ce faire il assure l évaluation de la suffisance et de la réalité du système de contrôle interne. Il apporte sa contribution à l ensemble des activités de l entreprise car dans chaque domaine dirigé c est toujours planifier les tâches, organiser les responsabilités, conduire les opérations et contrôler leur marche. Le principal apport de l auditeur est d inciter l entreprise à réfléchir sur la définition des risques et leurs conséquences sur son fonctionnement, avant toute prise de décision de gestion. L auditeur veillera aussi, entre autres, au respect des principes, à la séparation des tâches, aux conditions de réalisation des opérations et pour y parvenir il adopte différentes démarches. 2.1. Les démarches de l audit interne Pour jouer pleinement son rôle dans la maîtrise des risques de l organisation, l auditeur adopte des démarches pour mener ses missions. Plusieurs approches existent notamment l approche traditionnelle et l approche moderne. BECOURT & al (2008 : 25) distinguent six (06) types d approche d audit à savoir : - l approche par les systèmes : c est la démarche la plus traditionnelle, elle s adresse à des opérations, systèmes de sorte qu il est limité dans le temps à une partie de l entreprise; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 26
- l approche «audit total» : elle est illimitée et vise à la couverture totale de toutes les fonctions et opérations ; - l approche audit transversal qui s intègre plus ou moins dans les deux précédentes catégories : recouvre au sein d une organisation complexe, l audit d une fonction, d une procédure quelque soit le site dans lequel ceux-ci sont opérées. L auditeur cherche à mettre en évidence les risques, les vulnérabilités afin de permettre à l organisation de les optimiser ; - l approche «qualité totale», prolongée par l approche juste à temps : est un moyen d identifier le risque d audit afin de rendre le service attendu plus performant ; - l approche par les compétences des auditeurs : La compétence technique nécessaire à un audit implique une combinaison de connaissances. La compétence de l auditeur a une influence directe sur l impact des missions ; - l approche moderne : l approche par les risques est une des conséquences directes de la recherche d efficacité par l audit interne. Cette approche part du principe qu il est peu utile d investir sur une partie significative dans des aires de l entreprise où un risque est susceptible d apparaître. Nous retiendrons les deux principales approches de l audit que sont l approche par les systèmes et l approche par les risques. 2.1.1. L approche par les systèmes Selon COLLINS (1992 :24), le principe de l approche par les systèmes est basé sur la morphologie de l entreprise qui est conçue comme un ensemble de systèmes et de procédures géré par un personnel spécialisé dans le but d assurer le respect des politiques et des stratégies adoptées par les dirigeants pour permettre à l entreprise d atteindre ses objectifs. 2.1.1.1. La présentation de la démarche L approche par les systèmes consiste à considérer l entreprise comme un ensemble de systèmes. Selon BECOURT & al (2008 : 26), dans cette approche l audit «passe au peigne fin» la fonction, système et les processus. Il analyse la structure, l organisation et le fonctionnement d un système ou d une procédure dans son détail et apprécie les qualités de contrôle. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 27
COLLINS (1992 :28) ajoute que l auditeur prend parfois le bilan (et le compte de résultat) comme point de départ pour son étude à travers les systèmes. On appelle cette approche «top down», car elle part des documents de synthèse. Dans cette approche de l auditeur, on considère l entreprise comme un ensemble de risques. Elle consiste en: - une prise de connaissance de l entreprise ; - l évaluation du contrôle interne ; - l identification des cycles significatifs ; - à une revue analytique ; - à des rapports. D après SARDI (2002 :176-177), par cette approche les différentes composantes du système de contrôle interne sont analysées pour apprécier leur efficacité. Ci-joint en annexe le cycle d opérations de gestion. 2.1.1.2. Les limites de l approche par les systèmes Pour COLLINS, lorsque l auditeur adopte l approche par les systèmes il prend un risque car s il n a pas les connaissances nécessaires pour accomplir une mission en respectant les exigences de qualité des organisations, il pourra se voir inculper un manque de diligence professionnelle. Cette approche comporte certaines limites notamment des insuffisances dans la planification et l évaluation du contrôle interne. - planification : l auditeur se focalise sur la justification des informations financières par des éléments probants alors qu il lui sera difficile de vérifier le non enregistrement d une opération ; - l évaluation du contrôle interne. Pour BECOURT & al (2008 : 29) ; l auditeur s attache à déceler les inaptitudes du système étudié à produire les effets escomptés. D après CHAMBERS (Revue de l audit et contrôle internes, Avril 2011 : 40), les missions de l audit interne étaient focalisées sur les contrôles financiers jusqu en 2008, mais il a su T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 28
se réorienter et retrouver une vision plus large des risques menaçant les organisations. D où l apparition d une nouvelle démarche appelée approche par les risques. 2.1.2. L approche par les risques Selon POWER (in Elisabeth Bertin, 2007 :306), la légitimité des pratiques de gestion dépend maintenant de leur auditabilité. Rendre les entreprises auditables, c est faire en sorte que les processus de gestion puissent être évalués, par l entreprise et par des tiers indépendants. Par rapport à cette affirmation, il convient de se poser la question sur l adaptabilité des procédures d audit interne aux pratiques de gestion existantes ou au contraire sur la manière dont le processus d audit peut façonner les pratiques de gestion. 2.1.2.1. La description de la démarche L approche par les risques consiste pour l auditeur à focaliser son travail sur les zones de l entreprise ou des risques peuvent se matérialiser. L analyse porte sur l identification pour chacune des parties de l entreprise de facteurs internes ou externes facilitant l occurrence des risques. Pour COLLINS (1992 :28), l auditeur, dans sa prise de connaissance de l entreprise s informe largement sur tous les aspects significatifs de la vie de l entreprise ainsi que de l évolution de son environnement. Etant donné que l audit n est jamais exhaustif, il incombe à l auditeur de déterminer où se trouvent les domaines à risque. SARDI (2002 : 176) ajoute que l approche par les risques consiste à identifier les risques majeurs et à analyser les dispositifs mis en œuvre pour les maîtriser. Selon les normes d audit la démarche peut se schématiser comme suit : - la planification des travaux ; - le contrôle interne ; - l obtention des éléments probants ; - l utilisation des travaux d autres professionnels ; - la conclusion et rapports d audit. (voir annexe 2, page 88 ; l entreprise comme un ensemble de risques) T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 29
Pour COLLINS (1992 :29), l idée de base est que chaque domaine sensible présente un risque que l information le décrivant soit erronée. Ainsi, l auditeur après son étude initiale est apte à concentrer l essentiel de son travail là où il prévoit les plus grands risques. 2.1.2.2. Les différentes phases de la démarche Cette démarche de l approche par les risques prend en considération plusieurs facteurs et éléments nécessaires à sa mise en œuvre. Selon LEMANT (1995 :111), une mission d audit interne est menée par une équipe d auditeurs, dirigée par un chef de mission qui est responsable du succès de la mission. Celle-ci se découpe en quatre (04) phases qui sont : 2.1.2.2.1 La phase de la préparation Pour RENARD (2008 : 217), cette phase débute par l ordre de mission qui est le document qui formalise le mandat donné par la direction générale à l audit interne. Elle consistera ensuite à prendre connaissance du domaine à auditer, à identifier les risques et à définir les objectifs. Selon RENARD (2008 :233), cette étape n est que la mise en œuvre de la norme 2210.A1 : «En planifiant sa mission, l auditeur interne doit relever et évaluer les risques liés à l activité soumise à l audit. Les objectifs de la mission doivent être déterminés en fonction des résultats de cette évaluation.». Il s agit d identifier les endroits où les risques les plus dommageables sont susceptibles de se produire, que d analyser les risques eux-mêmes. Cette phase conditionne la suite de la mission de l auditeur car elle va lui permettre de construire son référentiel et, dans le même temps, de concevoir son programme et de l élaborer en fonction non seulement des menaces mais également de ce qui a pu être mis en place pour y faire face. Les risques sont appréciés tâche par tâche pour l activité objet de la mission d audit au niveau analytique. «Le but de l évaluation des risques pendant la phase de planification de l audit est d identifier les secteurs importants de l activité à auditer.» (Norme 2210.A1 in Jacques Renard 2008 :233). T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 30
2.1.2.2.2 La phase de la réalisation Selon RENARD (2008 :245), tout commence par une réunion relativement solennelle et nommée «réunion d ouverture». Cette réunion va consister à une présentation de l équipe, à faire un rappel sur l audit interne et à réaliser le rapport d orientation. D après BERTIN (2007 :42), l auditeur poursuit deux (02) objectifs lors de cette phase : - mettre en évidence les faiblesses et les forces apparentes du dispositif de contrôle interne; - proposer des solutions d amélioration. Le travail sur terrain fait appelle à des techniques (interview, observation physique, narration examen analytique, sondages ) et à des moyens (questionnaires de contrôle interne, feuille de révélation et d analyse des problèmes ). L auditeur doit systématiquement valider ses constats identifiés lors de son intervention sur le terrain en les portant à la connaissance du responsable. 2.1.2.2.3 La conclusion et rapport Pour BERTIN (2007 :44), toute mission d audit s achève par la rédaction d un rapport. Les auditeurs présentent les conclusions générales de la mission en recueillant les objections et les précisions des audités en vue de la rédaction du rapport d audit. Une fois l audit réalisé, l auditeur doit remettre un rapport aux destinataires concernés. 2.1.2.2.4 Le suivi des recommandations : «Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités, commence avec la formulation des recommandations. Il se dessine avec la détermination du (ou des) responsable(s) de chaque recommandation, lors de la validation du projet de rapport. Il se formalise par l engagement des responsables désignés dans le rapport sur des plans d action. Il se concrétise par la mise en place des actions de progrès agrées entre auditeurs et audités lors de la revue des réponses. Il se manifeste par la diffusion T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 31
périodique de l état d avancement des Actions de Progrès. Il se termine avec une évaluation des résultats obtenus.» (LEMANT, 1998 :128). 2.1.2.2.5 Le tableau des risques Le tableau des risques consiste à découper l activité (en fonction ou en processus) à auditer en tâches élémentaires. Ce découpage sera plus ou moins fin selon l approfondissement que l on souhaite donner à l observation. Le tableau des risques consistera : - à découper l activité en tâches ou opérations élémentaires ; - à indiquer en face de chacune de ces tâches quel est son objectif et à quoi elle sert. Cette décomposition en tâches élémentaires est d autant plus importante qu elle est nécessaire : - elle constitue le premier stade du tableau des risques ; - elle représente la première partie du questionnaire de contrôle interne (QCI) ; - elle est la base de la grille d analyse des tâches ; - elle est la première étape de l élaboration d un contrôle interne rationnel pour le manager. En ce qui concerne RENARD (2008 :235), le tableau des risques doit nécessairement prendre en compte les trois (03) facteurs susceptibles de générer des risques : - l exposition : ce sont les risques qui pèsent sur les biens et sont multiples (malversations, incendies, dommage de toute sorte) ; - l environnement : ce n est plus le bien lui-même, mais ce qui est autour qui devient facteur de risque. Sous cette rubrique prennent place tous les risques liés aux opérations ; - la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à la multiplication des procédures et contrôles qui seront autant de freins et de contraintes excessifs, si on n a pas pris la mesure exacte du danger et de la riposte appropriée. BERTIN (2007 :41) ajoute que l établissement de la feuille de risques passe par le découpage du domaine ou de l activité en objets auditables, la définition des objectifs à T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 32
atteindre par chacune des tâches, l évaluation de l impact, l indication de bonnes pratiques permettent d apprécier en termes de risques, l atteinte d un objectif de contrôle. Le tableau des risques permet de cerner les objectifs d audit retenus, qu il sera nécessaire de vérifier sur le terrain lors de la réalisation des travaux d audit. Tableau 2 : Tableau de risques correspondant à la réception des marchandises Entité/ domaine/ opération Objectifs de contrôle R1 R2 Risques Forces et Evaluation Bonnes faiblesses préliminaire pratiques apparentes F/f des risques F (faiblesse) Elevé f moyen R3 f faible Source : BERTIN (2007: 41) L approche par les risques dénote des faiblesses surtout au niveau de la taille de l entreprise. En effet, d après BERTIN (2007 :38), cette démarche n est efficace que si l entreprise est de taille importante mais devient inutile et coûteuse pour les petites entreprises. 2.1 La maîtrise des risques opérationnels La maîtrise des risques d une entreprise est l ensemble des initiatives souhaitables qu elle devrait adopter pour faire face aux principaux risques inhérents à ses activités. Néanmoins maîtriser les risques, ne consiste pas seulement à prendre des initiatives pour éviter les risques mais aussi à prendre des initiatives pour ne pas manquer les opportunités. L organisation d un dispositif de maîtrise des risques opérationnels fait intervenir de nombreux acteurs de l entreprise car ceux-ci se retrouvent à tous les niveaux et dans toutes les fonctions de l entreprise. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 33
2.2.1. Les dispositifs de maîtrise des risques opérationnels Maîtriser selon le Larousse de poche (2003 : 488), c est se rendre maître des éléments difficilement contrôlables. De ce fait, le dispositif de maîtrise des risques est l ensemble des mesures qui doivent permettre à l entreprise d éviter de faire face à un tel incident. FAULTRAT (in revue française de l audit interne février 2000 ; n 148) le défini comme l ensemble des moyens concrets mis en place par les responsables opérationnels pour faire face aux risques inhérents à leurs activités. Selon JIMENEZ & al (2008 :91-92) le dispositif de base d une bonne maîtrise des risques opérationnels doit comporter plusieurs éléments qui peuvent se traduire par : - une politique bien définie et documentée ; - un réseau de responsables en charge de l animation du dispositif et de leur propre réseau de correspondants au sein de leur structure ; - un dispositif d identification et de gestion des risques au quotidien ; - la mise en place d indicateurs avancés et pertinents assurant des alertes sur toute perturbation d un processus donné ; - des reporting adaptés au profil de risques de l entité ; - des évaluations régulières du dispositif par les personnes en charge de son animation et par des intervenants externes. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 34
Tableau 3 : Questionnaire relatif à la maîtrise des risques Questions Identification des principaux risques : - Existe t-il un processus d identification des principaux risques? - Une organisation a-t-elle été mise en place à cet effet? Analyse des principaux risques : - L analyse des risques tient-elle compte des évolutions internes et externes de la société? - Ces analyses donnent elles lieu à des actions spécifiques? Procédures de gestion des principaux risques : - Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la direction et mises en place dans la société? - Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion des risques? Surveillance des risques et des procédures de gestion : l entreprise communique-t-elle en interne avec personnes intéressées? - Sur des facteurs de risques? - Sur les dispositifs de gestion des risques? - Sur les actions en cours? - Existe-t-il un dispositif permettant d identifier les principales faiblesses du dispositif de gestion des risques mis en place? Réponses Oui Non Source : inspiré de RENARD (2006 :224) Le référent de maîtrise des risques : Selon FAUTRAT (in revue française de l audit interne, Février 2000 : 25), il s agit du document référentiel validé par la direction, qui au niveau global de l entreprise visualise les grands processus d activité, les risques essentiels qui leur sont inhérents, et les règles de contrôle interne y correspondant. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 35
2.2.2. Le système de contrôle interne Les notions de contrôle interne sont présentes dans tous les domaines, non seulement dans le secteur privé mais également dans le secteur public. Cependant, toutes les organisations professionnelles d audit n ont pas la même perception de ce qu est le contrôle interne. En effet, comme le souligne COLLINS (1992 :34), tout le monde tombe d accord que l auditeur doit obligatoirement tenir compte de l efficacité du contrôle interne lorsqu il entreprend la planification de sa mission. Ainsi sont nombreuses les définitions du contrôle interne qui existent 2.2.2.1. Définition Le COSO (in revue française de l audit interne, Juin 2000 : 12-13), défini le contrôle interne comme un processus mis en œuvre par le Conseil d Administration, les dirigeants et le personnel d une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs ci-dessous : - la réalisation et l optimisation des opérations ; - la fiabilité des informations financières ; - la conformité aux lois et règlements. BARBIER (1996 :21) ajoute que le contrôle interne est aussi l ensemble des dispositions incluses dans les organisations et dans les procédures, dont l objet est d assurer la qualité de l information, la protection du patrimoine, le respect des lois comme des plans et politiques de la direction générale ainsi que l efficacité du fonctionnement de l entreprise. 2.2.2.2. Les objectifs du contrôle interne D après COLLINS (1992 :38), quatre (04) objectifs du contrôle interne peuvent être identifiés : - la sauvegarde des actifs : l obligation de l administrateur est de s assurer que les actifs de la société sont protégés en permanence ; - la qualité de l information : elle ne peut être assurée que par l entremise de contrôles réguliers qui font partie intégrante des systèmes d information ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 36
- assurer l application des instructions de la direction : il est relativement facile d émettre une instruction ; cette facilité et la nécessité de la faire continuellement dans une entreprise à tous les niveaux de responsabilité posent un problème de contrôle ; - favoriser l amélioration des performances : les définitions du contrôle interne visent le respect d une efficacité certaine et, à un moindre degré, une certaine efficience dans la gestion de l entreprise. 2.2.2.3. Les éléments du dispositif de contrôle interne Selon PIGE (2003 : 42), le système de contrôle interne doit être adapté à chaque organisation. En fonction de la nature des activités, il doit assurer le respect d un certain nombre de principes qui sont la séparation des tâches, la supervision et la conservation des actifs. De ce fait, GRAND & al (2006 : 72), mettent en évidence les qualités d un bon contrôle interne qui doit être lié à l existence de procédures. On dénombre traditionnellement six (06) principes: - le principe d harmonie : les procédures doivent correspondre à l organisation et adaptées à la structure; - le principe de permanence et d universalité : les procédures doivent être permanentes, c est- à- dire appliquées durant toute l année et être universelles ; - le principe de reconnaissance : les procédures doivent être connues et acceptées, pour ce faire elles doivent être correctement diffusées à l intérieur de l organisation ; - le recoupement : les procédures doivent être étudiées de façon à assurer des possibilités de recoupement et de contrôle réciproque. Il permet une mise en évidence rapide des dysfonctionnements ; - l enregistrement et le classement méthodique des faits : l organisation administrative doit permettre un enregistrement rapide des opérations et les documents justificatifs dûment conservés. Ce principe permet de mener aisément et rapidement les contrôles ; - la séparation des fonctions : il est le principe fondamental de l auditeur. Toute opération dans l entreprise touche les quatre (04) fonctions suivantes : o la fonction de réalisation des opérations (embauche, achat) ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 37
o la fonction de manipulation des actifs (encaissement, livraison de marchandises); o la fonction d enregistrement (tenue des stocks, comptabilité); o la fonction de contrôle (rapprochement, inventaire). Certains auteurs comme NGUYEN (1999 :199-200) pensent que ces principes sont utiles pour la mise en œuvre du contrôle interne. Selon JIMENEZ & al (2008 :127), la finalité de la mise en œuvre de la maîtrise des risques opérationnels est de pouvoir faire face aux éléments identifiés et évalués afin de modifier le profil de risques de la société ou d amoindrir sa survenance. Même si le contrôle interne joue un rôle clé dans la conduite et le pilotage des différentes activités d une entreprise, il ne peut couvrir toutes les initiatives prises par le management. 2.2 L apport de l audit interne dans le dispositif de maîtrise des risques opérationnels Dans le cadre de leur mission, les auditeurs internes doivent déterminer si : - l environnement de l entreprise favorise la sensibilisation au risque et au contrôle ; - des objectifs d entreprise réalistes ont été fixés ; - des procédures écrites existent, qui décrivent les activités prohibées et les mesures à prendre en cas d infraction avérée ; - des procédures d autorisation appropriées pour les transactions sont mises en place ; - des politiques, pratiques, procédures, rapports et autres mécanismes sont mis au point pour piloter les activités et protéger les actifs, en particulier dans les domaines à haut risque ; - des canaux de communication donnent à la direction des informations fiables et pertinentes. L audit interne aura pour mission d auditer les dispositifs de gestion des risques opérationnels dans la phase de pré-homologation, puis dans le cadre des plans annuels d audit. Ces missions doivent permettre d assurer, tant à l organe exécutif qu au régulateur : - l appréciation et la maîtrise des risques de l établissement ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 38
- la bonne appréciation de la politique des risques définie ; - la capacité de l établissement à détecter, prévenir et gérer ses risques dans les limites qu il s est fixées et de manière conforme à la règlementation en vigueur. Le contrôle interne est l outil de maîtrise par l entreprise de ses procédures et de son exploitation et est l affaire des dirigeants. Cependant aucun système de contrôle interne n est parfait, pour ce faire il s avère une nécessité de procéder à son évaluation. L audit interne a la responsabilité d évaluer le fonctionnement du dispositif de contrôle interne et de faire des recommandations pour l améliorer. 2.3.1. L appréciation du dispositif de contrôle interne Selon BILODEAU (revue de l audit et contrôle internes, Avril 2001 :31-32), l auditeur interne doit faire preuve de conscience et de diligence professionnelle dans l exercice de ses fonctions ce qui lui permettra de contribuer à réduire les risques. Il évaluera selon le cadre de référence choisi, la pertinence et l efficacité du système de contrôle interne compte tenu des risques spécifiques à chaque fonction ou métier de l entreprise. Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables que l audit devrait chercher à atteindre. Pour ce faire, évaluer le contrôle interne de l entreprise vise à s assurer que, à tous les niveaux de l entreprise, les objectifs de contrôle sont atteints par la mise en place de procédures appropriées définies dans le cadre d un manuel et effectivement appliquées par le personnel. En outre, BARRY (2009 :16-17) ajoute que l évaluation du contrôle interne permet la détection : - des points forts du système de contrôle mis en place par l entreprise ; - des zones de faiblesse du contrôle interne qui sont susceptibles d entrainer des dysfonctionnements dans l entreprise et avoir des impacts négatifs sur la fiabilité des informations. «L appréciation du système de contrôle interne passe par le découpage de l entreprise en cycle d activités et par l évaluation des procédures mises en place pour atteindre les objectifs de contrôle pour chacun des cycles.» (BARRY, 2009 :17). T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 39
2.3.1.1. Le découpage en cycles d activités D après BARRY (2009 :17-18), les cycles que l on trouve traditionnellement dans l entreprise sont les suivants : - cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats, depuis la budgétisation jusqu au règlement des fournisseurs ; - cycles dépenses- immobilisations : regroupe les fonctions relatives aux achats et à la conservation des biens d équipement, de leur budgétisation à leur dépréciation ou cession ; - cycle stocks : qui regroupe les fonctions liées aux stocks et à la production, depuis la réception jusqu à l inventaire; - cycle des revenus : concerne les fonctions de ventes et créances, de la budgétisation à l encaissement des créances ; - cycle du personnel : regroupe les fonctions relatives au personnel et à la paie, depuis la budgétisation des dépenses de personnel à l embauche jusqu au règlement des salaires et des charges sociales ; - etc. Tableau 4 : Objectif de contrôle de l enregistrement exhaustif des ventes OUI Référence Questions Réf OU NON Commentaires Programme N/A de travail 1- L accès aux zones de stockage et d expédition est-il suffisamment protéger pour éviter des : -expéditions sans bon de livraison? - retour sans bon de retour? 2- Les bons d expédition sont-ils : établis sur des formulaires standards? prénumérotés? Source : CNCC (1992 :97) T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 40
A partir des orientations données dans son programme de travail, l auditeur doit effectuer une analyse des systèmes de contrôle interne de l entreprise afin d en apprécier les points forts et les points faibles en vue de déterminer la nature et l étendue des travaux. 2.3.1.2. L évaluation du contrôle interne Selon OBERT (2004 :69), la démarche utilisée par l auditeur dans son appréciation du contrôle interne relatif aux principaux cycles d opérations et d éléments d actifs ou de passifs qui en résultent comporte deux phases essentielles : - l appréciation de l existant : elle consiste à comprendre les procédures de traitement des données et les contrôles internes manuels et informatisés mis en place dans l entreprise. elle se déroule comme suit : o prise de connaissance détaillée du système ; o vérification par des tests que les procédures décrites et les contrôles indiqués sont appliquées ; o évaluation des risques d erreurs ; o identification des contrôles internes ; o évaluation des contrôles internes ; - l appréciation de la permanence du contrôle interne : elle consiste à vérifier le fonctionnement des contrôles internes sur lesquels l auditeur doit s appuyer pour effectuer sa mission. Elle se réalise ainsi : o vérification par des tests de l application permanente des procédures (test de permanence) ; o formulation définitive du jugement à partir de l évaluation des conclusions des précédentes phases. L'évaluation des dispositifs de contrôle est effectuée par l'utilisation de trois techniques à savoir : les examens de l'évidence du contrôle à travers l'inspection des documents ou les tests d'existence, les tests de cheminement et l'observation de l'existence du contrôle de premier niveau. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 41
2.3.2. L évaluation de la cartographie des risques opérationnels Selon JIMENEZ & al (2008 :103), la cartographie des risques doit servir de repère dans la gestion des risques. Son utilisation et sa mise à jour deviennent un processus continu d amélioration à travers le suivi des plans d actions et une revue régulière des évolutions constatées. Dans la pratique, on constate une revue au moins annuelle des cartographies avec des mises à jour ponctuelles en cas de changement majeur dans l organisation. On s attèlera à examiner : Commentaire [k4]: Je trouve que ce point doit être un peu plus enrichi car cela concerne de prime abord ton thème - la hiérarchie des événements courants par impacts ; - la hiérarchie des événements courants par fréquence ; - la hiérarchie des événements rares par impacts. On gardera également attentivement les plus fortes variations de classement afin de repérer les évaluations qui devront être expliquées et corriger de ce fait les erreurs éventuelles. Puisque les établissements disposent de bases d incidents, il est convient d associer le dispositif de évaluation qu est la cartographie avec les statistiques de la base d incidents qui vont permettre d objectiver le risque net sur les événements à fréquence. Ce chapitre nous a permis de mieux cerner le cadre théorique de la gestion des risques et leur maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation. En outre l apport de l audit interne a été mis en œuvre à travers les évaluations des dispositifs de contrôle interne et de la cartographie des risques opérationnels. La fonction d audit nécessite une complète indépendance afin d assurer avec objectivité ses missions, elle ne doit donc pas avoir d implication dans la définition et la mise en œuvre des politiques et outils de maîtrise des risques opérationnels. Son rôle majeur sera de valider in fine la pertinence et la qualité du système de maîtrise des risques et de proposer des mesures d amélioration. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 42
CHAPITRE 3: METODOLOGIE DE L ETUDE Les précédents chapitres étudiés nous ont permis d avoir une vue d ensemble sur la maîtrise des risques opérationnels ainsi que le rôle de l audit interne dans ce dispositif. Ce chapitre consistera à présenter la méthodologie que nous utiliserons et les outils de collecte de données nécessaires pour la réalisation de l étude. Il comprend deux (02) sections, la première concernera la présentation du modèle d analyse et la deuxième les outils de collecte et d analyse des données qui seront utilisés. 3.1. Le modèle d analyse Notre modèle définira les différentes étapes de la recherche dont la connaissance de l entreprise et des dispositifs de maitrise des risques opérationnels. A travers ce modèle, nous décrirons d une part les différentes phases et étapes liées à la gestion des risques opérationnels et d autre part nous mettrons l accent sur les différents outils utilisés. La figure ci - après résume notre modèle d'analyse. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 43
Figure 2 : Modèle d analyse PHASE ETAPES OUTILS Connaissance de la structure organisationnelle de la SONAPOST Organisation et fonctionnement Mécanismes internes de gestion des risques opérationnels - Analyse documentaire - Observation - Entretiens Connaissance fonctionnelle de l audit interne Dispositif de maîtrise des risques opérationnels Rôle de l audit interne dans le contrôle interne - Entretiens - Observations - Tableau d identification des risques Contribution de l audit interne dans la maitrise des risques opérationnels Evaluation du dispositif de maîtrise des risques opérationnels Forces et faiblesses du dispositif de maîtrise des risques opérationnels - Grille de séparation des tâches - QCI - Test de conformité et de permanence Source : nous-mêmes Recommandations : bonnes pratiques T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 44
3.2. Les outils de collecte et d analyse des données En vue de collecter les données nécessaires pour la réalisation du travail, certains outils s avèrent indispensables non seulement pour la collecte mais également pour leur analyse. 3.2.1. Le questionnaire de contrôle interne Notre questionnaire (annexe 4, page 90) sera administré à un échantillon des agents de la SONAPOST qui interviennent dans le processus de gestion et de maîtrise des risques opérationnels. Il sera composé de questions fermées, en vue d analyser les risques, d évaluer le dispositif de contrôle interne pour déceler les forces et les faiblesses de celuici. Une réponse «oui» à une question constitue une force apparente du dispositif de contrôle interne ; alors qu une réponse «non» constitue une faiblesse réelle. Il sera établi en deux phases : - la première portera sur les risques opérationnels ainsi que les dispositifs de gestion et de maîtrise de ces derniers ; - la seconde concernera l évaluation des dispositifs de maîtrise et de contrôle interne. 3.2.2. L analyse documentaire L analyse documentaire consiste à l exploitation des documents internes de l organisation dans le but d en tirer des informations utiles pour la prise de décision. Une revue de la documentation de la SONAPOST sera faite et concernera les éléments suivants : - l organigramme ; - le manuel des procédures de gestion des risques opérationnels ; - les rapports d activité ; - les dispositifs de maîtrise des risques opérationnels. L analyse de ces documents permettra d avoir un aperçu sur le fonctionnement de la SONAPOST, des risques opérationnels qu elle rencontre ainsi que des dispositifs mis en œuvres pour les gérer et assurer leur maîtrise. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 45
3.2.3. L interview L interview consistera à effectuer des entretiens avec les personnes ressources (opérationnels et les auditeurs internes) pour recueillir leurs opinions et assurer ainsi la qualité des informations recueillies. Il permettra une meilleure description du processus de gestion des risques opérationnels et d appréhender les dispositifs de contrôle interne mis en œuvre. L entretien consistera à prendre rendez-vous avec les acteurs du processus à qui nous administrerons un questionnaire et il concernera les personnes suivantes : - la direction des risques ; - les auditeurs internes ; - les opérationnels. 3.2.4. L observation physique L observation se fera de deux (02) manières, celle directe qui nous permettra de comprendre et de valider les informations recueillies lors de l interview sur le processus de gestion des risques opérationnels et les dispositifs mis en œuvre ; et celle indirecte se focalisera sur le dispositif de maîtrise des risques opérationnels afin d avoir une idée sur la contribution de l audit interne dans le processus de maîtrise de ceux-ci. 3.2.5. Le tableau d identification des risques Il permet de découper l activité en différentes tâches élémentaires afin d identifier les risques opérationnels rattachés à chacune d entre elles et de déterminer les forces des dispositifs de maîtrise des risques. 3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA) Le TFfA permettra d identifier les risques opérationnels au niveau de chaque tâche et d avoir une vue sur les dispositifs mis en place pour les réduire. Devant chaque tâche il ya l objectif fixé, le risque encouru et les pratiques communément admises. 3.2.7. La grille de séparation des tâches Elle relie l organigramme fonctionnel à l organigramme opérationnel, pour vérifier le respect du principe de séparation des tâches. La grille de séparation des tâches est une T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 46
technique qui permet de détecter d éventuels dysfonctionnements grâce à l exploitation, entre autres, de l organigramme fonctionnel et hiérarchique. Ainsi, elle permettra de déceler les tâches incompatibles, les cumuls de fonctions ; plus spécifiquement l analyse de la grille de séparation des tâches de la Sonapost permettra de voir le mode de répartition des tâches (Annexe 3, page 89). 3.2.8. Le test de conformité et de permanence Ces tests seront utiles pour s assurer d une part que les dispositifs de contrôle interne ont été appliqués, pour assurer la remontée à la source en passant par toutes les phases intermédiaires, et d autre part de s assurer que les opérations sont toujours traitées conformément à ce qui a été décrites lors des entretiens. Ce chapitre portant sur la méthodologie de l étude nous a permis de mieux définir le cadre de conduite de notre étude, d identifier les outils adéquats et de déterminer à quel moment ils devront être utilisés. Nous disposons de ce fait d un cadre méthodologique référentiel pour aborder la partie pratique de notre étude. Cette partie nous permettra de mettre en œuvre les différents outils et techniques étudiés dans la revue de littérature. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 47
Conclusion de la première partie Toute entreprise est confrontée à un ensemble de risques internes et externes qui doivent être évalués. Avant de procéder à cette évaluation, il est nécessaire de définir les objectifs compatibles et cohérents. Compte tenu de l évolution permanente de l environnement, du contexte règlementaire et des conditions d exploitation, il est nécessaire de disposer de méthodes permettant d identifier et de maîtriser les risques. De ce fait, les entreprises doivent mettre en place des méthodes pour recenser, analyser et gérer les risques auxquels elles sont confrontées. Les normes préconisent que l auditeur interne doit comprendre l examen et l évaluation du caractère suffisant et de l efficacité du système de contrôle interne de l organisation ainsi qu une évaluation qualitative des performances réalisées. Selon CHAMBERS (Revue de l audit et du contrôle internes, Avril 2011 : 40), pour jouer pleinement son rôle dans le processus de management des risques, l audit interne doit être capable de comprendre comment les risques affectent l entreprise? Quel rôle joue t-il dans la gestion des risques? Et comment utiliser l évaluation des risques? Il devra continuer à progresser dans cette direction car les entreprises deviennent de plus en plus sophistiquées dans le domaine de la gestion des risques. Une fois l importance et la probabilité de survenance du risque évaluées, le management doit étudier la manière dont il doit être géré. Aussi, avant d instaurer des procédures supplémentaires, le management doit déterminer si celles déjà existantes sont adéquates au regard des risques identifiés. «Il peut apparaître, de prime à bord, que la maîtrise d une entreprise est l un des objectifs évidents d un conseil d administration et des dirigeants opérationnels. Pourtant, si l on accepte que le mot «contrôler» ait la même signification que «maîtriser», on conçoit quelques doutes sur la volonté d un grand nombre de dirigeants d entreprises d exercer leurs responsabilités avec la rigueur et la conviction nécessaire.» (COLLINS, 1992 : 40) T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 48
DEUXIEME PARTIE : CADRE PRATIQUE DE L ETUDE
Introduction de la deuxième partie La mise en œuvre des mesures de contrôle et de plans d'action résulte d'un compromis entre leur coût d'application et le niveau de risque obtenu. La détermination du profil des risques opérationnels correspond à l'identification, à chaque niveau de son organisation, des processus supportant des risques opérationnels, à la formulation de ces risques ainsi qu'à leur notation (probabilité d'occurrence et perte). C est une étape clé car elle va conduire à déterminer, avec plus ou moins de sensibilité, quelle est la nature des incidents qui seront collectés et par conséquent suivis ensuite. C'est elle qui permettra aussi de définir une nomenclature des risques opérationnels valable pour la totalité de l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. La cartographie des risques est par conséquent la formalisation du travail d'identification des risques opérationnels. La maîtrise et l'atténuation du risque opérationnel forment certainement le sous-processus le plus complexe de cet ensemble, car de lui va dépendre la capacité de l entreprise à se doter de moyens afin de prévenir les risques en identifiant les leviers d'action corrects pour anticiper certains événements ou diminuer au maximum leur impact en cas de survenance. Le contexte économique actuel de globalisation et de concurrence accrue rend nécessaire une adaptation permanente de l entreprise à son environnement. Dans ce cadre, la prise de risque, attribut incontournable du management, devient un enjeu majeur de survie et de développement. C est pourquoi, un nombre croissant d organisations se dote désormais de dispositifs et de processus destinés à maîtriser leurs risques afin d assurer l atteinte de leurs objectifs et d améliorer leur performance. L audit est à l intérieur d une entreprise une activité indépendante d appréciation du contrôle des opérations. Son objectif est d assister les dirigeants de l entreprise dans l exercice de leur responsabilité. Dans ce but l audit interne leur fournit des appréciations, des recommandations, des avis et des informations concernant les activités examinées. Il permet que les différents éléments du contrôle interne mises en œuvre permettent la maîtrise des processus. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 50
CHAPITRE 4: PRESENTATION DE LA SONAPOST La gestion d une entreprise comme la Sonapost repose sur le principe d une très large délégation de responsabilités. Ce principe implique nécessairement le renforcement des dispositifs de contrôle afin que la direction générale et les ministères de tutelle aient l assurance de la correcte utilisation de cette délégation par les services opérationnels. Par ailleurs, pour réussir les mutations imposées par l évolution de son environnement et les marchés sur lesquels elle intervient avec la libéralisation et le développement de la concurrence, elle se doit de renforcer son image vis-à-vis du public et de ses partenaires et cela passe par la mise en place d une organisation adaptée aux objectifs et des moyens pour conserver en permanence la maîtrise parfaite de ses activités. Au cœur de ce dispositif, il appartient à l audit interne, directement rattaché à la direction générale, d apprécier l aptitude des unités à conserver leurs opérations sous contrôle. Cela implique d évaluer la qualité, l efficacité et la pertinence de leur organisation (responsabilités, répartition des tâches, procédures, méthodes et outil de travail) ; puis de susciter les améliorations qui feront progresser leur performance et contribuer ainsi au développement de la société. 4.1. Historique La Société Nationale des Postes est issue d une scission de l office des postes et télécommunication (OPT) en 1987. Elle est aujourd hui une société d Etat régie par la réglementation générale des Sociétés à capitaux publics et avec un capital de deux milliards cinq cent quatre vingt dix millions (2 590 000 000) de FCFA. Ainsi, de 1919 à 1932, les services des postes, téléphones et télégraphes étaient exploités en régie sous la responsabilité du fermier Lazare Pathin. En raison du monopole postal, les postiers avaient le droit de fouiller les véhicules, les locomotives et les bateaux pour déceler les cas de violation du monopole. Les services postaux voltaïques relevaient de Dakar. Avec la suppression de la Haute Volta et son rattachement au Mali, au Niger et à la Côte d Ivoire, les services vont se morceler pour être rattachés à ces pays. La reconstruction du pays va permettre en 1947, la création des postes voltaïques, et le transfert de la direction à Ouagadougou. La poste de la Haute Volta devient membre de l Office Fédéral des Postes T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 51
et Télécommunications (OFPT) avec pour siège Dakar, sous la direction de l Office Fédéral de l Afrique Occidentale Française (OFAOF). Avec l accession des pays africains à l indépendance, l office fédéral fut éclaté. La Haute Volta crée ses propres services de postes et télécommunications, rattachés à la fonction publique. Par l ordonnance n 68/023/PRES/INFO/PT du 10 Juin 1968, l administration des postes, télégraphes, téléphones (PTT) devient un Etablissement Public à Caractère Industriel et Commercial (EPIC) doté d une personnalité morale et d une autonomie de gestion dénommée OPT, chargé du service public des postes et Télécommunications. En 1987, l OPT est abrogée et s opère alors une scission entre la poste et les télécommunications. On aboutit ainsi à la création de : - l ONP (Office National des Postes), - l ONATEL (Office National des Télécommunications). En 1994 l ONP est transformé en société d Etat par décret n 94-414/PRES/MCC du 21 Novembre 1994 sous la dénomination de la société Nationale des Postes (SONAPOST). 4.2. Les missions et les objectifs de la Sonapost La Sonapost est une société d Etat dotée de la personnalité morale juridique et jouissant d une autonomie financière. Elle est placée sous la triple tutelle :du ministère des postes et des technologies de l information et de la communication qui exerce la tutelle technique et veille à ce que l activité s inscrive dans un cadre global des objectifs fixés par l Etat ;du ministère des finances et du budget qui assure la tutelle financière et du ministère du commerce, de la promotion de l entreprise et de l artisanat qui exerce la tutelle de gestion. 4.2.1. Le statut et l objet social de la Sonapost L objet social se définit comme suit : - la collecte, le transport et la distribution des envois de marchandises ; - la collecte, le transport et la distribution des correspondances ; - les activités financières et bancaires à travers la mobilisation et la promotion de l épargne, le règlement des valeurs, effets et virements postaux et l offre de prestations relatives aux moyens des paiements et des transferts de fonds. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 52
Les principales prestations offertes à la clientèle sont l affranchissement du courrier, la gestion des boîtes postales, les opérations d épargne, de mandats et de transferts d argent en partenariat avec Western Union et Money Express. Les activités postales sont universelles, c est l Union Postale Universelle (UPU), organe des nations unies, qui en assure la coordination au plan mondial. 4.2.2. Les missions et les objectifs La Sonapost a pour missions essentielles la mise en place et l exploitation du service public de la poste et des services financiers postaux à travers : - la collecte, l acheminement et la distribution des objets de correspondance, des paquets, des colis, des journaux etc. ; - la mobilisation et la promotion de l épargne au profit de l économie nationale à travers la gestion de la caisse nationale d épargne et du centre des chèques postaux, le règlement des valeurs, effets et virements postaux échangés hors de son ressort ; - l offre de prestations relatives aux moyens de paiements scripturaux et de transferts de fonds ; - la préparation et l exécution des plans d équipement des postes. - d appliquer la réglementation et la législation propres aux postes et les conventions, règlements et arrangements de l UPU et des unions restreintes dont le Burkina Faso est membre ; - de préparer et d exécuter les plans d équipement des postes. Pour la maîtrise de son évolution, la Sonapost s est dotée d un plan stratégique qui repose sur cinq engagements fondateurs vis-à-vis de l Etat, vis-à-vis de sa clientèle et vis-à-vis d elle-même, dans une volonté claire et affirmée par les dirigeants d assurer à la fois la mission de service public tout en améliorant sa rentabilité. Dans le cadre de l exécution de ses missions essentielles de mise en place et d exploitation du service public de la poste et des services financiers, la Sonapost s est dotée de : - soixante quatorze (74) bureaux de poste ; - cinq (05) centres spécialisés ; - cent trente six (136) circuits courriers cyclistes ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 53
- vingt neuf mille soixante dix sept (29077) boîtes postales ; - huit (08) cybers postes ; - deux (02) cybers kiosques. 4.3. La Sonapost dans l économie burkinabé La Sonapost est un acteur important dans l économie du Burkina Faso car de par ses activités elle est porteuse d emplois et de ressources. Le tableau ci-dessous nous montre l évolution de son chiffre d affaires. L évolution du chiffre d affaires et de la valeur ajoutée de la SONAPOST se présente comme suit sur les cinq (05) dernières années. Commentaire [k5]: Es-ce le résultat net? Tableau 4 : Evolution du chiffre d affaires Année Chiffre d affaires Valeur ajoutée 2006 6 896 070 748 3 678 342 156 2007 7 967 585 202 4 374 718 015 2008 8 315 142 439 4 248 668 069 2009 9 091 426 681 4 733 571 792 2010 10 546 415 354 5 265 843 503 Source : Rapport d activités 2010 de la SONAPOST L évolution positive du chiffre d affaires et de la valeur ajoutée de la SONAPOST permet d avoir une idée sur l importance de la contribution de cette institution dans l économie nationale et dans la vie de la population du Burkina Faso. Commentaire [k6]: Même remarque Elle bénéficie par ailleurs de l accompagnement de l Etat à travers un contrat-plan qui fixe des obligations de part et d autre. Celles de la Sonapost dans ce contrat-plan concernent l amélioration de la couverture postale à travers la construction de trois (03) bureaux par an sur fonds propres, la réduction de la fracture numérique à travers la construction et l exploitation de cybers postes, l accompagnement de l Etat dans ses missions de service public et la bonne gouvernance dans le management de la société. 4.4. L organisation et le fonctionnement de la SONAPOST La Sonapost est gérée par un conseil d administration et un directeur général nommé par décret pris en conseil des ministres sur proposition du ministre en charge des postes. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 54
Elle est organisée en administration centrale, en directions régionales, en centres spécialisés et en bureaux de poste (voir organigramme annexe 1, page 87). 4.4.1. L administration centrale Elle se compose de : - la direction générale : le directeur général est chargé de la direction technique, administrative, commerciale et financière de la société. Le conseil d administration lui délègue les pouvoirs nécessaires à l exécution de sa mission. A cet effet il est chargé de : o représenter la société vis-à vis des tiers. Il détient les pouvoirs les plus étendus pour gérer la société et l engager sous réserve des pouvoirs que la loi réserve à l assemblée générale des sociétés d Etat ; o appliquer la législation et la réglementation relatives au service postal ainsi que les conventions, règlements de l UPU ; o assurer le développement et l exploitation du service public de la poste. Il prend à cet effet toutes initiatives dans la limite de ses attributions. - le secrétariat général : il relève de l autorité du directeur général. Il l assiste dans toutes les questions techniques et d administration générale. En outre, il oriente et coordonne les activités des directions centrales et régionales. - l inspection générale des services : elle est en charge des missions : o d inspection technique et d assistance ; o d enquête et de traitement des affaires juridiques et contentieuses. - le département contrôle de gestion et de l audit interne Le contrôle de gestion a pour rôle d apprécier des résultats au regard d objectifs fixés préalablement. La validité de ces contrôles de performance repose sur la qualité des informations produites. La garantie de cette qualité est une des missions du service d audit interne. Il comprend deux divisions : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 55
la division contrôle de gestion : a pour missions d assister les directions et services dans l élaboration de leurs tableaux de bord, de centraliser et d exploiter ceux des directions et services et d assurer la collecte, le traitement et la diffusion des informations de gestion sur les services de la société ; la division audit interne : le directeur général est chargé de donner au responsable de l audit interne les instructions nécessaires pour appliquer la politique de la société en matière d audit. Le responsable de l audit interne est chargé de définir une politique et une stratégie et fait adopter les objectifs par le comité de contrôle interne, les traduit en plan, sollicite les moyens pour les réaliser, examiner les dispositions prises pour protéger les actifs et leur existence et s assurer de l efficacité des actions correctives mises en œuvre par les responsables opérationnels à la suite des rapports d audit. Son action vise donc : o la disposition prise pour protéger le patrimoine et, si nécessaire, vérifier l existence des actifs ; o les mesures assurant le respect effectif des plans, lois et réglementation qui peuvent avoir une incidence significative sur les opérations de la société ; o la fiabilité et l exhaustivité des informations financières et opérationnelles et les moyens d identification, de mesure, de classement et de présentation de ces informations ; o l efficacité de l organisation : utilisation économique des ressources, adéquation des moyens aux objectifs, adéquation des structures, conformité des résultats aux objectifs et aux prévisions, pertinence en termes d ambition, de faisabilité et de cohérence. - le département WESTERN UNION : il a en charge l organisation et l animation du réseau, le développement et la gestion des produits western union et les relations western union international et avec les autres agents western union au Burkina Faso ; - le département des affaires internationales : il assure le suivi de l exécution des actes, résolutions et recommandations des réunions internationales impliquant directement ou indirectement les services postaux et financiers et T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 56
veille au respect réciproque des engagements liant la société à ses partenaires internationaux ; - le département juridique : il est chargé de traiter les litiges avec les tiers, d assister les services en matière juridique, d assister aux négociations des conventions, accords et arrangements entre la société et les tiers, et d assurer le suivi de leur exécution et de prendre toute initiative pour préserver les intérêts de la société en cas de conflits ou litiges (contentieux sur les conventions, affaires pénales et affaires civiles) par application des mesures conservatoires, introduction des actions en justice et suivi de la phase judiciaire ; - le département secrétariat central : est chargé d assurer le secrétariat, la gestion de la documentation et des archives de la société, de rédiger les procèsverbaux des réunions de la Direction générale et de participer à la préparation des missions à l extérieur en collaboration avec le département des affaires internationales. 4.4.2. Les directions techniques On distingue : la direction du courrier : elle est chargée de l organisation, de la conception, et de la mise en œuvre de la politique de la société en matière de courrier. Elle est en outre chargée des relations avec les autres administrations postales, de l organisation et du fonctionnement du courrier et de la supervision de l activité des centres spécialisés qui lui sont rattachés. Les missions dévolues à cette direction sont : - l organisation et l exploitation du service du courrier ; - la supervision des réseaux de collecte, d acheminement et de distribution du courrier au plan national et international ; - l élaboration et le suivi de l application de la réglementation postale en matière de courrier. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 57
Elle est composée de trois (03) divisions et de trois (03) centres spécialisés : - la division acheminement et réglementation ; - la division exploitation postale ; - la division express nationale ; - le centre national de tri ; - le centre des colis postaux ; - l agence philatélique. La direction des services financiers : elle est chargée d une part de l exploitation, de la vente des produits et services financiers et d autre part de l organisation et du fonctionnement des centres financiers postaux. Ses missions concernent : - l organisation, l exploitation et la promotion des transferts de fonds ; - l élaboration et le suivi de la réglementation applicable aux chèques postaux et la caisse nationale d épargne. Il comprend deux (02) divisions et trois (03) centres spécialisés : - la division transfert de fonds ; - la division exploitation et réglementation ; - le centre de contrôle des mandats ; - le centre des opérations CCP/CNE ; - l agence des services financiers postaux. La direction financière et comptable est chargée de l élaboration et de la mise en œuvre de la politique financière et comptable de la société. Elle a notamment pour missions : - l élaboration et l exécution du budget de la société ; - la tenue des comptes selon les procédures comptables et fiscales en vigueur ; - la recherche du financement des investissements ; - la gestion du portefeuille des titres et les placements de fonds dans les institutions bancaires. La direction financière et comptable comprend quatre (04) divisions et un (01) centre spécialisé : T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 58
- la division gestion financière ; - la division budget ; - la division comptabilité générale ; - la division comptabilité analytique d exploitation ; - le centre de contrôle de la comptabilité des bureaux. la direction des ressources humaines : est investie des trois (03) principales missions ci-après : - la gestion prévisionnelle des ressources humaines ; - la gestion administrative des ressources humaines ; - la valorisation des ressources humaines. la direction du patrimoine et de la logistique : elle a pour missions principales la mise en œuvre des programmes d équipement en matière de bâtiments et moyens logistiques, la recherche et l acquisition des terrains pour les besoins de la société et la rédaction de tous marchés, appels d offres, consultations restreintes. Elle dispose en outre d une cellule codification et inventaire des immobilisations ayant rang de section. la direction commerciale et du marketing : a pour mission la centralisation des activités commerciales, de promotion et de communication. A ce titre, la direction commerciale et du marketing est chargée principalement d analyser le résultat de la distribution des différents produits postaux, financiers et télématiques de la société, de commanditer et d exploiter les résultats des études de marché, de positionnement des produits et de concevoir les plans marketing de la société. La direction des systèmes d information : elle est le centre des ressources informatiques. De ce fait, elle a pour missions la définition, le suivi et l évaluation de la politique informatique de la société, de la politique de sécurité des systèmes d information et le suivi de la coordination des activités des divisions informatiques régionales en collaboration avec les directeurs régionaux. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 59
4.4.3. Les directions régionales Les directions régionales de la Sonapost sont au nombre de quatre (04) ; la direction régionale du centre, la direction régionale de l ouest, la direction régionale de l est et la direction régionale du nord, et sont chargées de l organisation, de l animation et de la supervision des structures postales qui leur sont rattachées, ainsi que de la gestion du patrimoine de la société dans leur ressort territorial. De façon générale, elles sont chargées de la mise en œuvre de la politique définie par la direction générale. Les directeurs régionaux ont particulièrement pour missions de : - assurer le désenclavement postal des localités de leur ressort territorial ; - approvisionner tous les bureaux de poste et les centres spécialisés relevant de leur compétence ; - assurer la collecte et la mise à la disposition de la direction générale de toutes les informations relatives aux projets de développement de leur ressort territorial. 4.4.4. Les centres spécialisés Les centres spécialisés ont pour vocation de traiter des opérations spécifiques de contrôle ou d exploitation, éventuellement d assurer une mission de formation et sont rattachés aux directions techniques. Ce sont : - le Centre de contrôle des Bureaux (CCB) ; - le Centre de Contrôle des Mandats (CCM) ; - le Centre des Colis postaux ; - le Centre National de Tri (CNT) ; - l Ecole Nationale des Postes (ENP) ; - le Centre des opérations CCP/CNE ; - le Centre des opérations Western Union ; - l Agence philatélique ; - le Complexe multi - services (CMS). Les bureaux de poste : les bureaux de poste et les autres établissements postaux dont la vocation est de traiter des opérations spécifiques d exploitation sont rattachés soit aux directions techniques soit aux directions régionales. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 60
4.4.5. Les projets et programme Les projets et programme sont placés sous l autorité du directeur général. Les chefs de projet ou de programme ont rang de directeur. Au 31/12/2010, on dénombrait cinq (05) projets à la Sonapost comme suit : - le projet d audit des comptes CNE (PACNE) ; - le projet de réforme de l ENAPOSTE ; - le programme IMCE/SONAPOST ; - la coordination des projets de la SONAPOST ; - le projet Post Eclair. 4.4.6. La filiale EMS-Chronopost International Burkina La Sonapost dispose d une filiale dénommée «EMS-Chronopost International Burkina» créée en 2000 par décret pris en conseil des ministres. Elle a commencé ses activités le 1 er février 2001 avec un capital social de 213 000 000 F.CFA dont 60 % détenu par la Sonapost. Commentaire [k7]: Qui détient le reste du capital La Sonapost exerce son activité dans un domaine concurrentiel difficile et fait face à deux (02) impératifs difficilement conciliables à savoir assumer une mission de service public et dégager des résultats bénéficiaires pour financer son développement. Ce chapitre a été pour nous, une aubaine pour mieux cerner la Sonapost à travers son organisation, son fonctionnement, ses missions et objectifs et son apport dans l économie burkinabè. Cela nous sera utile pour mieux appréhender ses dispositifs de contrôle interne et de maîtrise de ses risques opérationnels. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 61
CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST Ce chapitre consistera à d'identifier de façon exhaustive les différents contrôles de prévention, de détection ou de correction pour couvrir les risques liés aux différentes activités en vue de les évaluer. En outre, un risque peut être couvert par plusieurs mesures de contrôle et de même qu'un contrôle interne peut servir pour couvrir plusieurs risques opérationnels 5.1. Le dispositif de contrôle interne de la Sonapost Le contrôle interne est défini, comme l ensemble des dispositifs visant la maîtrise des activités et des risques de toute nature et permettant la régularité, la sécurité et l efficacité des opérations, conformément aux procédures internes. Il comporte toutefois des limites inhérentes à tout dispositif de contrôle interne, du fait notamment d'insuffisances de procédures ou de système d'information, de défaillances techniques ou humaines d où son évaluation périodique. 5.1.1. La description synthétique du dispositif de contrôle interne La Sonapost, de par son organisation, possède plusieurs niveaux de contrôle. Les contrôles internes s effectuent de façon graduelle à travers le dispositif ci-après. 5.1.1.1. La comptabilité journalière et mensuelle Commentaire [k8]: Les contrôles s effectuent-ils sur la base de manuels de procédures? La comptabilité journalière et mensuelle des bureaux de poste est assurée par le receveur ou le chef du centre qui les établit avec l aide du contrôleur des guichets. Placé sous l autorité du receveur des bureaux de poste de plein exercice, le contrôleur des guichets a en charge : - la supervision du service des guichets ; - la vérification de l exactitude de la comptabilité des guichets ; - le pointage individuel des pièces comptables (bulletin 7,14 à vue, demande n 1, 2 et 3 CNE); - le pointage des mandats émis et payés, des chèques et des bulletins de transfert Western Union ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 62
- le pointage des carnets de situation individuelle 1103 ter ; - le pointage des listings des opérations CNE pour s assurer de l exactitude de leur saisie ; - le redressement des erreurs. Le receveur se charge d établir la comptabilité mensuelle du bureau. A cet effet il inscrit les montants vérifiés préalablement dans les registres comptables fondamentaux (1105 brouillard de caisse, livre journal de caisse, 1101/1102 sommier de dépouillement, 1344 ter situation des timbres). A la fin du mois, le receveur tient la comptabilité mensuelle du bureau. Cela consiste en l arrêt de l ensemble des registres fondamentaux, l établissement de la situation comptable générale du bureau ou du centre sur le bordereau 1104 et la transmission des pièces et états mensuels aux différents centres et directions chargés de la centralisation et de la vérification des écritures comptables. 5.1.1.2. Le centre de contrôle des bureaux Le centre de contrôle des bureaux se charge de la vérification de la comptabilité mensuelle de chaque bureau à travers les bordereaux 1104 établis et les différentes pièces justifiant les recettes et les dépenses. Il existe par ailleurs le centre de contrôle des mandats qui est un dispositif mis en place pour assurer l effectivité de la vérification des mandats émis et payés. 5.1.1.3. Le Conseil d Administration La société nationale des postes est administrée par un Conseil d'administration composé au maximum de onze (11) membres. Il se réunit pour statuer sur les dossiers de son ressort et se tenir informé de la bonne marche de l'entreprise. A cet effet, un ordre du jour préparé, validé par la DFC est adressé à chaque administrateur lors de la convocation du conseil une semaine avant sa tenue. Ainsi, le Conseil est très régulièrement informé des résultats commerciaux et financiers et ratifie les politiques financières, d'engagements et de risques de la SONAPOST et suit leur bonne exécution. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 63
5.1.1.4. L Assemblée Générale des Sociétés d Etats (AGSE) Chaque année, toutes les sociétés d Etat sont soumises à un organe suprême de contrôle qu est l Assemblée Générale des sociétés d Etat. Pendant deux (02) ou trois (03) jours la situation financière de chaque société d Etat est passée au peigne fin pour s assurer de leur santé financière. La Sonapost, en tant que société d Etat, est de ce fait soumise à cette instance et au contrôle inopiné de l Autorité Supérieure du contrôle d Etat (ASCE) qui est l instance suprême de contrôle pour touts les sociétés d Etat. Ces mesures visent à assurer une bonne maîtrise des activités de la Sonapost et cela se fait avec l aide du service d audit interne pour s assurer que ces dispositifs sont respectés. Pour ce faire, le service d audit interne a la responsabilité d évaluer le fonctionnement du dispositif de contrôle interne et de faire toutes préconisations pour son amélioration, dans le champ couvert par ses missions. 5.1.2. Les objectifs du contrôle interne Le système de contrôle interne en général se caractérise par les objectifs suivants : - l application des instructions et des orientations fixées par la direction générale ; - la performance financière, par l utilisation efficace et adéquate des actifs et ressources de l entreprise ainsi que la protection contre les risques de perte ; - la connaissance exhaustive, précise et régulière des données nécessaires à la prise de décision; - l exactitude, l exhaustivité des enregistrements comptables et l établissement en temps voulu d informations comptables et financières fiables. Ces objectifs ne peuvent toutefois pas être atteints à cause de limites inhérentes à tout système qui sont selon Coopers et Lybrand (2000 : 109) - les erreurs humaines ; - les dysfonctionnements ; - la collusion. Pour connaître l état du dispositif de contrôle interne, son analyse s impose à nous. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 64
5.2. L état du dispositif de contrôle interne de la Sonapost Les mécanismes de contrôle interne mis en place par la société visent à assurer l amélioration des prises de décisions et de lutter contre les risques. Pour ce faire une analyse de ce dispositif est nécessaire dans le but de déterminer ses forces et faiblesses. De ce fait, une mise en évidence de ses objectifs est capitale pour mieux l appréhender. Le dispositif de contrôle interne à la Sonapost ne prévoit pas une définition claire des responsabilités des opérationnels et de ce fait ne s appuie pas sur des procédures formelles matérialisées par un manuel de procédures. Néanmoins, cette situation n est pas un handicap réel dans la réalisation des opérations car les contrôles inopinés réalisés permettent de mettre les choses au point et d exercer les responsabilités à travers la diffusion en interne des informations. En outre, la société devant faire face à certaines exigences dues à sa forme juridique et à son environnement dans lequel elle évolue, a su se doter des outils et des pratiques appropriés à son organisation. L absence d un système visant à recenser et analyser les principaux risques identifiables au regard des objectifs de la société et des activités de contrôle proportionnées aux enjeux propres à chaque processus. La surveillance du dispositif de contrôle interne est basée sur l audit interne de la société qui conduit son adaptation car sa défaillance peut impacter la réalisation des objectifs assignés aux opérationnels et entrainer ainsi une baisse de la rentabilité. Cette analyse met en évidence les dysfonctionnements et les risques qui pourraient en résulter. Cela est dû à l absence de formalisation du manuel des procédures et à une politique de gestion des risques insuffisante. Les différents contrôles des activités qui s effectuent permettent son amélioration. Les critères d appréciation du dispositif de contrôle interne tiennent compte d une part des tests d audits dont la synthèse des résultats est présentée dans le tableau ci-dessus et d autre part prennent en compte la grille de séparation des tâches jointe en annexe. Les critères d appréciation du dispositif de contrôle interne sont présentés dans le tableau ciaprès. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 65
Tableau 7 : Critères d appréciation du dispositif de contrôle interne Niveau de maîtrise Cote critères Inexistant 1 Aucun dispositif de contrôle interne n existe. Insuffisant 2 Le dispositif de contrôle interne existe mais est appliqué avec beaucoup de lacune Moyen 3 Le dispositif est appliqué avec peu de lacunes. Maitrisé 4 Le dispositif est appliqué avec des mesures de contrôle. Très maîtrisé 5 Le dispositif et les mesures de contrôle sont correctement appliqués. Source : nous-mêmes Au regard des mutations économiques tout n est que risque. Cependant, les risques inhérents aux activités doivent être mesurés et ceci n est possible qu à travers une analyse des mesures prises afin d assurer leur maîtrise. 5.3. L audit interne L audit interne analyse les points forts et les points faibles du contrôle interne, compte tenu de sa gouvernance, de sa culture organisationnelle ainsi que des risques liés et des opportunités d amélioration qui peuvent avoir un impact sur la capacité de l organisation à atteindre ou non ses objectifs. Cette analyse évalue la mise en place des mécanismes de contrôle en vue de la gestion efficace et efficiente des ressources. Le service d audit de la Sonapost est directement rattaché à la direction générale qui lui donne une certaine indépendance dans la conduite de ses missions. Il joue un rôle important dans le dispositif de maitrise des risques opérationnels de la société à travers leur évaluation. Il a pour mission d auditer les dispositifs de gestion des risques opérationnels dans le cadre des plans annuels d audit. Ces missions doivent permettre d assurer : - L appréciation et la maîtrise des risques de la société ; - La bonne application de la politique des risques préalablement définie. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 66
Ce chapitre nous a permit de mettre en évidence les dispositifs de maitrise des risques opérationnels de la Sonapost et les liens qui existent entre l audit interne et le contrôle interne. L audit interne en tant que tel peut contribuer à la réalisation des buts et objectifs, au renforcement du contrôle et à l amélioration de l efficience et l efficacité du fonctionnement ainsi que du respect de la volonté des autorités. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 67
CHAPITRE 6 : LA CONTRIBUTION DE L AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS Toutes les diligences d'audit entreprises dans l'organisation visent à la réduction des risques de perte et donc à leur maîtrise. L'objectif de ces contrôles à postériori des opérations, réalisés fréquemment de manière transversale et périodique est d'évaluer l'opportunité des opérations, de suivre les risques qui s'y attachent, compte tenu des délégations de pouvoir accordées et d'éclairer les organes dirigeants sur la réalisation des objectifs du contrôle interne. Une révision du contrôle interne peut s'avérer indispensable pour traiter de manière appropriée tout risque nouveau ou précédemment incontrôlé. C'est pour cette raison qu'il est nécessaire pour toute entreprise, quelque soit le domaine d'activité dans lequel elle se déploie, d'avoir des systèmes de contrôle interne efficaces. L'efficacité des systèmes de contrôle interne devient donc un facteur important dans l'amélioration de la performance de l'entreprise. L'audit doit reconnaître et évaluer en permanence les risques importants qui pourraient compromettre la réalisation des objectifs de la Sonapost. Ce chapitre nous permettra de connaître l état du dispositif de maîtrise des risques opérationnels de la société, leur efficacité et d y cerner l apport de l audit interne. 6.1. L appréciation du dispositif de maîtrise des risques opérationnels La gestion des risques est l affaire de tous les acteurs de la société et vise à être globale en couvrant l ensemble des activités, processus et actifs de la société. Il s agit ici de mettre en évidence comment les risques sont maitrisés par la Sonapost car il est à son avantage de mettre en place un dispositif de gestion des risques adapté à ses réalités. C est un processus continu, coordonné et intégré à l ensemble d une organisation, qui permet leur identification, leur analyse et leur maîtrise à court, moyen ou long terme et pouvant affecter le bon déroulement des opérations en vue de les rapprocher des contrôles existants. Elle s inscrit dans une démarche associée à l ensemble des activités de l entreprise et se décompose ainsi autour de quatre étapes essentielles à savoir : - l identification des risques ; - la réponse aux risques ; - le suivi du niveau du risque en fonction de l environnement ; T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 68
- l application par les opérationnels des dispositifs de contrôle interne. Le dispositif de maîtrise des risques est l ensemble des moyens mis en place pour faire face aux risques inhérents à leurs activités. L auditeur interne doit évaluer le fonctionnement du dispositif, collecter et diffuser les meilleures pratiques et suggérer des améliorations. Connaître alors l état de son système de maîtrise des risques opérationnels est primordial pour en effectuer son analyse. 6.1.1. Le dispositif de maîtrise des risques opérationnels Il a été constaté que la société définit les rôles et responsabilités de ses agents et dispose de procédures mais qui n ont pas été formalisées par des manuels des procédures ; qui devait définir de façon claire et formelle les différents rôles des opérationnels. On dénote une absence de politique formelle de gestion des risques par la non diffusion d une démarche d identification, d analyse et de traitement des risques et il n existe pas de système d information permettant la diffusion des informations relatives aux risques. On a de ce fait un handicap à recenser les éventuels risques pouvant affecter l atteinte des objectifs et d examiner les conséquences potentielles et d apprécier leur possible occurrence. Par conséquent certains risques face auxquels des mesures n ont pas été prises vont subsister dans l entreprise et compromettre l atteinte des objectifs. Nonobstant, pour faire face à certains risques, un transfert de leur conséquence notamment financière est effectué à travers le mécanisme de l assurance. Commentaire [k9]: Il doit exister un manuel pour chaque opération susceptible d engendrer un risque Commentaire [k10]: La société dispose-t-elle d un langage commun en matière de risques (typologie homogène, critères de recensement, d analyse et de suivi) Par ailleurs, on ne peut pas affirmer qu il n existe pas de dispositif de gestion des risques opérationnels en tant que tel car la société prend en compte les événements qui dénotent l existence de risques par les enquêtes, les audits, les réclamations et les plaintes. 6.1.2. L analyse du dispositif de maîtrise des risques opérationnels Le dispositif de maîtrise des risques opérationnels consiste en l identification des vulnérabilités pouvant affecter la réalisation des opérations, d analyser les risques par une cotation en fréquence et gravité et de déterminer les dispositifs opérationnels permettant de les réduire à travers la prévention ou la protection. Ainsi, la question qu'on se pose est de T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 69
savoir ce que la société fait pour améliorer l'efficacité des dispositifs de maîtrise des risques opérationnels. L entreprise met en place un ensemble de procédures à savoir des contrôles à priori à travers, la sécurisation des accès afin de faire face à ses différents risques. La mise en œuvre d une politique de gestion des risques traduit la volonté de la direction générale de connaître les risques importants de l entreprise, de les mettre sous contrôle et d être informée de la qualité de leur maîtrise. Celle-ci s avère ainsi un enjeu majeur de survie et de développement, qui permet aux entreprises d assurer l atteinte de leurs objectifs et d améliorer leur performance. L audit interne en est un acteur capital car il a pour vocation de contribuer à l identification et à l évaluation des risques auxquels l entreprise est exposée et de l accompagner dans la mise en place d un dispositif global de gestion des risques. Aussi, il évalue l efficacité et la pertinence de ce dispositif, notamment du contrôle interne. Il s agit entre autres de : - prendre connaissance de l ensemble des pratiques des différentes activités de la société en matière de contrôle interne au travers les entretiens avec l ensemble des acteurs opérationnels concernés; - évaluer la réalité et l efficacité de ces pratiques par l élaboration de tests; - réaliser un rapport d audit détaillé et formuler des recommandations visant à renforcer ces pratiques au regard de l objectif poursuivi. A travers le tableau ci-dessous, quelques critères d évaluation de ce dispositif sont mis en exergue. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 70
Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques opérationnels Note Efficacités Description 1 Inexistante L'objectif de contrôle n'est pas atteint car le contrôle n'est pas respecté 2 Passable L'objectif de contrôle n'est pas atteint car le contrôle n'est pas adapté au risque à couvrir 3 Insuffisante L'objectif de contrôle est partiellement atteint avec les procédures mises en place mais on relève des incidents réguliers 4 Acceptable L'objectif de contrôle est atteint mais au prix des efforts ne permettant pas une bonne optimisation du système des ressources 5 Appropriée L'objectif de contrôle est atteint de façon optimale Source : nous-mêmes Les critères d appréciation du dispositif de contrôle interne tiennent compte des tests d audits dont la synthèse des résultats est présentée dans le tableau ci-dessus ; la grille de séparation des tâches jointe en annexe est également prise en compte dans l appréciation du contrôle interne. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 71
Le tableau ci-dessous nous indique la qualité du contrôle interne. Tableau 6 : Evaluation des dispositifs de maîtrise des risques Risques Cote Qualité du dispositif Observations Pertes de données 8 satisfaisant Existence de serveur Cumul de fonction 1 Inexistant Insuffisance de la séparation des fonctions Pertes de courrier 10 Très satisfaisant Contrôle adéquat Personnel insuffisant 4 Insuffisant Absence de personnel Non archivage 1 Inexistant Existence d archivage Fraude sur les encaissements 10 Très satisfaisant procédures Rupture de stock de timbres 8 satisfaisant Personnel adéquat Absence de contrôle 10 Très satisfaisante Contrôle réalisé Absence de suivi des transactions Erreurs dans les enregistrements des factures Omission de transmission de courriers Omission d enregistrement dans un registre 8 Satisfaisant Contrôle effectué sur tous les réseaux 10 Satisfaisant Comptabilisation systématique 8 Satisfaisant Contrôle adéquat 10 Très satisfaisant Tenue d un registre Source : nous-mêmes L appréciation de la qualité du dispositif de maîtrise des risques permet de connaître l étendue de la maîtrise des risques et de savoir si celui-ci couvre ou pas les risques identifiés. 6.1.3. L évaluation du dispositif de maîtrise des risques opérationnels La politique des risques reflète leur compréhension, leur mesure ainsi que leur contrôle par la société. La maîtrise des risques opérationnels traduit la volonté des dirigeants T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 72
d améliorer le processus décisionnel dans un contexte d incertitude en vue d une part de maximiser les avantages et d autre part de minimiser les coûts. A la Sonapost, il y a l absence d une direction des risques proprement dite qui doit assurer l identification, l évaluation et le traitement des risques afin d en assurer leur maîtrise. Les différentes instances de contrôle se contentent d effectuer les contrôles et de sanctionner au besoin, comme c est le cas de l inspection générale des services. L application de la règle selon laquelle les caissiers ne doivent pas disposer d un fond de caisse supérieur à un seuil fixé par les organes dirigeants pour éviter les risques de perte n est pas respectée par tous. Pour savoir le degré d implication de la direction dans la gestion des risques opérationnels un questionnaire a été élaboré comme nous indique le tableau suivant. Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels Eléments OUI NON ou N/A La société a-t-elle défini des objectifs en matière de gestion des non risques? Existe-t-il un responsable pour la gestion des risques opérationnels? non La société dispose-t-elle d un «langage commun» en matière de risques? Existe-t-il une communication sur les dispositifs de contrôle interne avec les opérationnels? Existe-t-il un processus d identification des risques menaçant les objectifs de la société? La société a-t-elle mis en place un plan de gestion de crise? Les responsabilités sur la maîtrise des risques sont-elles déterminées? oui oui N/A non non Source : nous- mêmes (inspiré du cadre de référence de l AMF autorité des marchés financiers) La mesure de l efficacité du dispositif de maîtrise se fait à travers l évaluation du contrôle interne. En contribuant à prévenir et à maîtriser les risques afin d atteindre les objectifs que T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 73
s est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage des différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints. 6.2. Le rôle de l audit interne dans le dispositif de maîtrise Une organisation se doit de disposer de systèmes performants. L'évaluation des dispositifs de contrôle interne par l'auditeur est une étape cruciale de maîtrise des risques opérationnels qui permet d'établir un lien entre le risque identifié et le contrôle mis en place pour le couvrir en vue de proposer les plans d'actions pour pouvoir sécuriser le processus Cette étape correspond à «la définition et à la consolidation des actions résultantes et à l'acceptation du risque résiduel» (DESROCHES & al, 2003 :99). A la suite de l'évaluation de la maîtrise des risques opérationnels par l'auditeur interne, un rapport de recommandations est transmis au management de l'organisation. L'évaluation des dispositifs de contrôle est effectuée par l'utilisation de trois techniques à savoir : les examens de l'évidence du contrôle à travers l'inspection des documents ou les tests d'existence, les tests de cheminement et l'observation de l'existence du contrôle de premier niveau. L audit interne procède à l évaluation des dispositifs de maîtrise des risques opérationnels en vérifiant de manière précise la réalisation des opérations à travers le manuel de procédures, les normes et la règlementation pour apprécier le contrôle interne existant. En outre, il doit apprécier la maîtrise globale des processus de l entreprise par les opérationnels. L'évaluation des risques est donc le processus qui consiste en une inspection approfondie de l entreprise en vue d'identifier entre autres les éléments, situations et procédés qui peuvent causer un préjudice. C est l étape fondamentale de la gestion des risques par la société et celle-ci se réalise à travers un tableau synthétique qui énumère les divers risques. Cela permet à l audit d apprécier leur probabilité et leur gravité et permet également d analyser les facteurs susceptibles d affecter la réalisation des objectifs. L'objectif du processus d'évaluation des risques consiste à réduire le niveau de risque en instaurant des mesures de maîtrise ou en adoptant des précautions appropriées, dans certains cas. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 74
Figure 3 : Rôle de l audit interne dans le dispositif de maîtrise Commentaire [d11]: Audit interne Direction Générale Audit interne Validation de l efficacité du contrôle interne Parties prenantes Principaux acteurs Principal objectif Contrôle interne Direction Générale Directions opérationnelles Maitrise des opérations Source : nous-mêmes 6.2.1. L identification des risques L identification des risques est une étape indispensable pour l audit interne pour déceler les différents risques associés à une activité. Le tableau suivant nous indique l identification de quelques risques. Tableau 8: Identification des risques opérationnels Eléments Objectifs de contrôle Système Assurer la d information disponibilité, la confidentialité et la traçabilité des informations Courrier S assurer du suivi des courriers Source : nous-mêmes Risques Dispositif de contrôle interne - Pertes de données Mise en place des - Fraude, détournement politiques de sécurisation de fonds des informations - Mauvaise gestion des Recours à l assurance produits Sauvegarde, sécurisation des données et des biens - Pertes, vol de Visa du contrôle courriers Signature des agents sur - Non élaboration de les bordereaux bordereaux de transmission constat Oui Oui Non Non Non Une fois les risques identifiés il faut les évaluer. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 75
6.2.2. L évaluation des risques L audit évalue les risques en fonction des opérations et des activités essentiellement exposés au risque opérationnel. Ce processus, mené en interne, repose souvent sur des contrôles destinés à identifier les forces et faiblesses de l environnement opérationnel. Il recense les risques propres à chaque activité donnée et d autres regroupant plusieurs activités. Elle peut prendre en compte les risques, mais aussi les moyens de les atténuer. L identification des risques est une étape primordiale dans la construction d une structure rationnelle et globale de gestion des risques pour permettre l élaboration d un contrôle interne efficace. En effet c est le point de départ pour une évaluation des risques puisse qu elle requiert une connaissance appropriée et une bonne compréhension des activités de l entreprise. L audit identifie les différents risques en découpant les activités en tâches élémentaires à travers une liste les énumérant. Ce travail préalable permettra de connaître les risques probables lorsqu une tâche n est pas exécutée et/ou dans le non respect des procédures. En outre, cette identification est également basée sur une check-list qui énumère les risques relatifs aux différentes activités mais n est pas mise à jour de façon permanente. Aussi, l audit recense les faiblesses existantes du contrôle interne, élabore un programme d évaluation du dispositif de contrôle interne. L audit pilote l ensemble des dispositifs de contrôle interne à partir des risques identifiés afin d assurer leur amélioration à travers les missions réalisées et le suivi des recommandations. Un audit interne efficace et exhaustif du système de contrôle interne est effectué et rend compte directement à la direction générale sur les irrégularités décelées d une part et d autre part signale les déficiences du contrôle interne dès leur détection aux personnes appropriées. Lorsque ces insuffisances ont été notifiées, il est important que la direction générale y remédie dans les meilleurs délais mais ceci n est pas toujours le cas. La gestion des risques ne doit pas se limiter uniquement à une simple identification, c està-dire à un recensement plus ou moins exhaustif des risques potentiels et pertinents et à une analyse plus ou moins approfondie de leurs caractéristiques. Elle doit s appuyer également sur une analyse pour mieux appréhender et estimer leurs probabilités de survenance et la gravité de leurs impacts sur l organisation comme nous l indique les tableaux ci-dessous. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 76
Tableau 9 : Echelle d évaluation des risques Gravité moyenne des conséquences 10 Crise majeure 9 Extrêmement grave 8 Fortement grave 7 Très grave 6 grave 5 Moyennement grave 4 Peu grave 3 Très peu grave 2 Extrêmement peu grave 1 inoffensif Tableau 10 : Probabilité d occurrence Probabilité d occurrence moyenne 10 Quasiment certain 9 Extrêmement probable 8 Fortement probable 7 Très probable 6 probable 5 Moyennement probable 4 Peu probable 3 Très peu probable 2 Extrêmement peu probable 1 Quasiment impossible Source : nous-mêmes 6.2.3. L évaluation du dispositif de contrôle interne La validation et l efficacité du contrôle interne incombent à l audit interne. La recherche de l'efficacité des contrôles internes fait partie des opérations quotidiennes de la Sonapost mais il s avère nécessaire de procéder à des évaluations périodiques spécifiques de l'ensemble du processus de contrôle interne. Les contrôles inopinés réalisés de façon T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 77
périodique et donnant lieu à des rapports ne sont pas suivis. Par contre l examen approfondi des enregistrements courants nécessite l approbation de la direction sur des faits exceptionnels. Pour suivre l efficacité des systèmes de contrôle interne, on s appuie sur l existence des procédures en vue d analyser leur adéquation avec la réalité à travers la grille d analyse des tâches, et le questionnaire de contrôle interne L étendue des travaux d audit sont définis au regard des risques préalablement déterminés. Leur finalité est la réalisation de rapports qui seront mis à la connaissance des opérationnels concernés afin d assurer un meilleur suivi des recommandations formulées à leur égard pour couvrir les faiblesses constatées. La Sonapost offre divers types de services à savoir les comptes d épargnes, les mandats, les transferts d argent, la banque postale etc. et est soumise à un volume de transactions élevé. Comme mesure de contrôle contre la fraude d'épargne, les clients reçoivent un état d'épargne (livrets de dépôt) qu'ils doivent garder précieusement. Une carte de signature et une copie de pièce d'identification du client est conservée et la signature sur le bordereau de décaissement/dépôt doit être pareille dans son livret d'épargne ainsi que l'état de comptabilité de l'organisation. Une révision minutieuse des décaissements importants est effectuée. La rationalisation des dispositifs de contrôle interne et de maîtrise des risques sont des enjeux essentiels pour la Sonapost et cette démarche permet d apprécier leur efficacité et d optimiser les différents contrôles. 6.3. Recommandations La SONAPOST est une entreprise qui offre diverses prestations dans le domaine postal dont la gestion des boîtes postales, les courriers nationaux et internationaux, les transferts d argent et la récente mise en œuvre de la banque postale etc. Afin de mener à bien cette délicate mission dans un environnement en pleine évolution, elle se doit de mettre en œuvre une politique efficace de gestion des risques opérationnels auxquels elle est ou peut être confrontée. Pour assurer l effectivité de celle-ci, des dispositifs de contrôle interne et de maîtrise des risques efficaces doivent être une réalité et ceci passe nécessairement par des conditions. Aussi, avons-nous jugé utile de faire quelques recommandations sur les bonnes pratiques allant dans le sens d une bonne maîtrise de ses risques opérationnels. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 78
6.3.1. A l endroit du service d audit interne Recommandation 1 : La diffusion du manuel des procédures de la Sonapost à tous le personnel afin de pallier les disfonctionnements dans la réalisation des opérations à travers la formalisation des tâches et permettra à l audit interne de suivre les réalisations et d assurer ainsi l efficacité du contrôle interne. Commentaire [k12]: Il n existe pas de manuel pour la SONAPOST mais un manuel doit être établi pour chaque opération Recommandation 2 : Afin d assurer un meilleur dispositif de gestion de ses risques opérationnels, la Sonapost doit s assurer de l élaboration d une cartographie de ceux-ci pour lui permettre d avoir une vue d ensemble des risques auxquels elle pourrait être confrontée. Recommandation 3 : Vu le nombre croissant des transferts d argent et des courriers, qui peuvent être l objet de convoitise ; des contrôles réguliers et inopinés doivent être effectués afin de réduire les risques de perte et de fraude y résultants. 6.3.2. A l endroit de la direction générale Recommandation 4 : Au regard des risques que la Sonapost peut rencontrer et qui impactent son bon fonctionnement, il s avère judicieux de mettre en place un service de risk management qui aura la responsabilité d identifier les différents risques, de les analyser et de d assurer leurs traitements afin de réduire leur gravité. Ce service assurera en plus la surveillance des risques et du dispositif visant leur gestion. En outre la gestion des risques opérationnels pourrait être améliorée par une gestion efficace des acteurs du dispositif car le personnel est un des facteurs clés pour assurer la maîtrise des risques opérationnels. Recommandation 5 : Au regard de l importance de l audit interne dans la les organisations, il serait primordial de le doter des ressources suffisantes pour mener à bien ses missions afin d assurer une répartition des tâches. Ceci pourrait améliorer l identification et le contrôle des risques. Recommandation 6 :En vue de faire face au risque potentiel de vol, de perte et de non acheminement des courriers, situations qui peuvent altérer la confiance des clients vis-à vis d elle, la Sonapost gagnerait à mettre en œuvre des dispositifs de suivi des risques opérationnels. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 79
Recommandation 7 : Compte tenu de l importance des produits postaux dans la réalisation de sa mission à savoir les chèques postaux, en plus des audits externes, prévoir des contrôles inopinés pouvant être réalisés par les auditeurs internes de la SONAPOST. Recommandation 8 : Vu le risque potentiel de perte des courriers dû à leur multitude, la société gagnerait à réaménager ce service de sorte à assurer la sécurité ainsi que la confidentialité de ses services par la mise en place de procédures définissant les rôles et les responsabilités des agents. Et ceci pour une meilleure satisfaction de la clientèle et l atteinte de ses objectifs de chiffre d affaires. Recommandation 9 : Nous avons constaté que certaines missions n entrent pas dans les diligences de l audit interne mais de l inspection générale des services. Or, il est également de son ressort d effectuer des missions inopinées afin de s assurer de l exécution des procédures et cela peut être une entrave dans sa contribution à assurer la maîtrise des activités de la SONAPOST. Aussi, ne s avère-t-il pas judicieux que l inspection des services utilise les résultats de l audit pour initier des contrôles inopinés? Commentaire [k13]: Vous avez bien décrit plus haut la procédure d audit avec les différentes étapes, les audités doivent être informés et doivent s impliquer pour chaque mission d audit. Par conséquent l inspection peut utiliser les résultats de l audit pour initier des missions inopinées. Ce chapitre portant sur la contribution de l audit interne dans la maîtrise des risques opérationnels à la SONAPOST a été réalisé suivant la méthodologie décrite, mais pas de façon conforme due à l absence de certains outils dont le tableau d identification des risques opérationnels. De ce fait nous avons pu mettre à jour l état du dispositif de maîtrise des risques opérationnels à travers son analyse et l évaluation du contrôle interne. Tout cela a contribué à formulé des recommandations afin d améliorer le dispositif de maîtrise des risques opérationnels afin de réduire ces derniers pour une meilleure gestion. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 80
Conclusion de la deuxième partie La seconde partie de notre étude s est articulée sur la présentation de la SONAPOST à travers l historique, les missions et les attributions ainsi que le fonctionnement de celle-ci. Par ailleurs, une description de son dispositif de contrôle interne a été effectuée et mettant en exergue ses forces et faiblesses par les entretiens, les questionnaires de contrôle interne et la consultation de documents dont l accès nous a été accordé. Cette prise de connaissance de la Sonapost a été capitale car elle nous a permis de mieux cerner sa maîtrise des risques opérationnels et l apport de l audit interne. Commentaire [k14]: Je n ai pas vu ce tableau Les dysfonctionnements décelés ont fait l objet de recommandations visant à renforcer le contrôle interne et de ce fait à assurer une bonne gestion des risques opérationnels et leur maîtrise. Par contre la mise en œuvre de ces recommandations doit impliquer nécessairement les différents acteurs de la société surtout les dirigeants. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 81
CONCLUSION GENERALE
Le contrôle interne et l'audit interne jouent un rôle essentiel dans le processus itératif de gestion des risques, dans lequel l'information générée par le dispositif de contrôle interne est renvoyée au conseil d'administration et à la direction. Les mécanismes de contrôle interne contribuent à améliorer la prise de décision car ils font en sorte que l'information soit précise, exhaustive et disponible en temps voulu. Commentaire [k15]: Il faut savoir que le contrôle interne est un processus et l audit interne une fonction. Reformuler la phrase pour la rendre plus explicite Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des objectifs de la société. La probabilité d atteindre ces objectifs ne relève pas de la seule volonté de la société. Il existe en effet des limites inhérentes à tout système et processus. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison de défaillances techniques ou humaines ou de simples erreurs. Le choix de traitement d un risque s effectue notamment en arbitrant entre les opportunités à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets possibles sur l occurrence et/ou les conséquences du risque, ceci afin de ne pas entreprendre des actions inutilement coûteuses. Notre démarche nous a permis d atteindre nos objectifs, préalablement fixés et a montré les insuffisances et les forces et les faiblesses des dispositifs de contrôle interne et de maîtrise des risques opérationnels et comment l audit interne contribue à son amélioration. Par cette analyse des dispositifs, il en ressort que l audit est d une importance capitale pour assurer leur maitrise à travers leur évaluation et les recommandations formulées. En outre, les constats effectués et les recommandations émises par les auditeurs après les missions d'audit effectuées visent généralement à corriger les manquements auxquels fait face l'entreprise. Leur prise en compte par les opérationnels permet également de réduire les risques potentiels susceptibles d'influencer la rentabilité de l'entreprise et donc de l'orienter vers la réalisation de ses objectifs. T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 83
ANNEXES
Annexe 1 : Organigramme de la SONAPOST D G SP /DG I G S Département CGAI Conseiller technique Département W U Département juridique Département Affaires Internationales S G DC DSF DFC DRH DCM DPL DSI DRC DRO Département Secrétariat Central DRN DRE Source : Rapport d activité 2010 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 85
Annexe 2 : L entreprise comme un ensemble de risques Risques commerciaux et du marché Risques légaux envers personnel et tiers Risques sociaux Risques liés aux conflits d intérêt Risques fiscaux Risques de discontinuité d exploitation Risques d insécurité du patrimoine Risques d assurance Risques liés à la qualité de l information saisie Risque lié au manque d informations Risques financiers Risque de manque de qualité T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 86
Annexe 3 : Grille de séparation des tâches Tâches Nature des tâches 1- Distribution de Ex X courriers 2- Contrôle des Co X bureaux de poste 3- Contrôle des Co X factures 4- Validation des Co X enregistrements 5- Enregistrement En X des factures 6- Etablissement Ex X des factures 7- Signature des Au X chèques 8- Signature du Au X X bordereau de remise des chèques 9- Dépôt des Ex chèques 10- Distribution des Ex X courriers 11- Réception des Ex X courriers 12- Recouvrement Ex X 13- Signature du Au X bordereau 14-préparation de Ex X l état récapitulatif des dépôts 16- contrôle des Co X boîtes postales Nature des tâches : - Au : autorisation - En : enregistrement - Co : contrôle - Ex : exécution Chef de guichet Intervenants Agents Comptable Caissier Chef comptable Taches non réalisées T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 87
Annexe 4 : Questionnaire de contrôle interne Questionnaire de contrôle interne Section : Rubrique : recouvrement Folio : Exercice : Objectifs de contrôle interne : Avoir l assurance d un traitement rapide des opérations Questions Réponses Oui ou N/A Non Commentaires 1- Les courriers sont-ils acheminés aux services responsables? 2- La transmission est-elle faite dans un ordre rigoureux? 3- Les agents responsables du traitement des courriers sont-ils identifiés? 4- Un suivi rigoureux du traitement des courriers est-il opéré? Oui N/A Oui N/A Non 5- Des doubles vérifications sont-elles effectuées? T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 88
Questionnaire de contrôle interne Section : Exercice Rubrique : recouvrement Objectifs de contrôle interne : s assurer de la correcte livraison des produits Questions Réponses Commentaires Oui ou N/A Non 1- Les livraisons sont-elles faites au vu des bons de livraison? 2- Les documents de livraison sontils prénumérotés? 3- Existe-t-il des agents autorisés à livrer? 4- S assure t- on de l enregistrement des sorties de produits? 5- Sont-elles constatées dans un état de stock? 6- L accès aux zones de stockage et d expédition est-il suffisamment protégé? Oui Oui non Oui N/A N/A Des agents de livraison assure la transmission des courriers et pour certains comme les machines à affranchir des agents de la DCM T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 89
Questionnaire de contrôle interne Section : Folio : Rubrique : Exercice : Objectifs de contrôle interne : s assurer qu il existe un contrôle efficace des factures émises Questions Réponses Commentaires 1- Existe-t-il une procédure de contrôle des factures? 2- Des rapprochements sontils faits entre les factures et le BL : - En vue de s assurer de leur exhaustivité? - De vérifier les montants? Oui ou N/A Oui Oui Oui Non Non 3- Le service comptable s assure t- il de l exhaustivité des factures? 4- Un responsable est-il affecté à cette tâche? 5- La comptabilisation des factures se fait-elle de manière chronologique? Oui N/A N/A T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 90
Questionnaire de contrôle interne Section : Folio : Rubrique : Exercice Objectifs de contrôle interne : s assurer que les règlements des clients sont correctement enregistrés Questions Réponses Commentaires 1- La comptabilisation des factures se fait-elle dès leur réception? 2- Des rapprochements sont-ils faits entre les encaissements et les factures émises? 3- Les paiements reçus sont-ils rapprochés des factures? 4- Les comptes clients sont-ils analysés périodiquement? 5- Tous les paiements font t-ils l objet d une pièce justificative? 6- Les modes de règlement sont-ils formellement identifiés? Oui ou N/A Non Oui N/A Oui Oui N/A Non Non 7- Une analyse entre les réalisations et les prévisions d encaissements est-elle effectuée périodiquement? T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 91
BIBLIOGRAPHIE
Ouvrages 1. AHOUANGANSI Evariste (2010), Audit et révision des comptes : aspects internationaux et espace OHADA, Editions Mondexperts, 2 ème édition, 921pages 2. BARBIER Etienne (1996), «l audit interne : permanence et actualité», Editions d organisation, 3 ème édition, 185 Pages 3. BARRY Mamadou (2009), Audit et contrôle interne, Editions achevé d imprimer sous les presses de la Sénégalaise de l imprimerie, 361 pages 4. BECOUR Jean-Charles ; BOUQUIN Henri (2008), «audit opérationnel : entrepreneuriat, gouvernance et performance», Edition Economica, 3 ème édition, 425 pages 5. BERTIN Elisabeth (2007), «Audit interne : enjeux et pratiques à l international», Editions d Organisation Eyrolles, 2007, 305 Pages 6. BOUANICHE José (Février 2004), calculer l indéterminé ou l appréciation du risque opérationnel par l auditeur interne, n 169, pages 7. CAMARA Lucien (2006), «la gestion des risques en microfinance : comment gérer avec efficacité les risques d une institution de microfinance?» 8. COLLINS Lionel ; VALIN Gérard, (1992), «Audit et contrôle interne : aspects financiers, opérationnels et stratégiques», Edition Dalloz, 4 ème édition, 353 Pages 9. Compagnie Nationale des Commissaires aux Comptes (1992), appréciation du contrôle interne, Edition CNCC, Paris, 177pages 10. Confédération européenne des instituts d audit interne (1999), «le rôle de l auditeur interne dans la prévention de la fraude», 49 pages 11. COOPERS &Lybrand (2000), la nouvelle pratique du contrôle interne, Edition d organisation 5 ème édition, 375 pages 12. DESROCHES Alain, LEROY Alain, VALLEE Frédérique (2003) «la gestion des risques ; principes et pratiques», Edition Lavoisier, 275 pages 13. FAUTRAT Michel (Février 2000), de l audit interne au...management de la maitrise des risques, La revue française de l audit interne n 148, 37 pages 14. GRAND Bernard, VERDALLE Bernard (2006), Audit comptable et financier, Edition Economica, 2 ème édition 15. HAMZAOUI Mohamed (2005), Gestion des risques d entreprise et contrôle interne normes ISA 200, 315, 330et 500, 1ere édition, Pages 243 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 93
16. JIMENEZ Christian ; MERLIER Patrick ; CHELLY Dan (2008), «Risques opérationnels : de la mise en place du dispositif à son audit». Revue banque Edition, 205 pages 17. LEMANT Olivier (1998), la conduite d une mission d audit interne, Editions Dunod 2 ème édition, 215pages 18. MOREAU Franck (2002), comprendre et gérer les risques, Editions d organisation, 219 pages 19. NGUYEN HONG THAI (1999), «le contrôle interne : mettre hors risques l entreprise», Editions l Harmattan, 325 pages 20. NICOLET Marie-Agnès & MAIGNAN Michel (2005), contrôle interne des risques opérationnels, Revue Banque, (668 : 51-52) 21. OBERT Robert (2004), «synthèse droit et comptabilité, 2 audit et commissariat aux comptes aspects internationaux» Edition DUNOD 4 ème édition, 493 pages 22. PERCIER DU SERT Anne-Marie (1999), risque et contrôle du risque, Economica, Paris, 133pages 23. PIGE Benoît (2003), Audit et contrôle interne, Editions management & société, 2 ème édition, 210 pages 24. POULLAIN Isabelle ; LESPY Frédéric (2002), «gestion des risques et de la qualité : guide pratique à l usage des cadres de santé», Editions Lamarre, 137 pages 25. RENARD Jacques (2006), Théorie et pratique de l audit interne, Editions d organisation, 6 ème édition, 455 pages 26. RENARD Jacques (2009), Théorie et pratique de l audit interne, Editions d organisation Eyrolles, 7 ème édition, 463 pages 27. SARDI Antoine (2002), Audit et contrôle interne bancaire, Editions AFGES, Paris 1065 pages 28. SCHICK Pierre (2007), Mémento d audit interne, Edition DUNOD : 141 pages Articles 29. BAPST Alexandre & VAURS Louis «le dispositif de contrôle interne : cadre de référence à l aune de la définition du contrôle interne» revue française de l audit interne, n 180, p : 18-22 T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 94
30. LAURETAU Denis «Management et systèmes d information : Bale II une opportunité et un défi pour l audit interne» revue française de l audit interne, 2005 n 666, p : 66-67 31. ROUFF Jean-Loup «Actualités du contrôle interne : COSO et COCO, des définitions et des méthodes différentes pour des visées identiques», revue française de l audit interne, 2000, n 150, p : 5-6 32. VAURS Louis «la maîtrise des risques et gouvernement d entreprise» revue française de l audit interne2002, n 158, p : 10-12 Autres documents consultés 33. Sonapost (2010) rapport d activités 34. Sonapost (2010) rapport de gestion du Conseil d Administration 35. Sonapost (2008) texte portant organisation et fonctionnement des services de la T. Sylvie KAFANDO, 4 ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 95