contribution de l’audit interne dans la maîtrise des...

Présenté par : Dirigé par :

Novembre 2011

CONTRIBUTION DE L’AUDIT INTERNE DANS LA MAITRISE DES RISQUES OPERATIONNELS : CAS DE LA SONAPOST

Mlle KAFANDO Tarwendpanga Sylvie M. BOUSSO Souleymane

Contrôleur de gestion à la RTS

Centre Africain d’études Supérieures en Gestion

Institut Supérieur de Comptabilité, de Banque et de Finance

(ISCBF)

Master Professionnel en Audit et Contrôle de Gestion

(MPACG)

Mémoire de fin d’étude

THEME

Promotion 4 (2009-2011)

CESAG - BIBLIOTHEQUE

Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST

T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page i

DEDICACE

Nous dédions ce travail à l’Eternel Tout-Puissant qui nous a donné la force et le courage

nécessaires pour être là où nous en sommes et à notre famille pour le soutien moral et la

confiance portée à notre égard.



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ii

REMERCIEMENTS

Qu’il nous soit permis avant toute chose d’exprimer notre reconnaissance envers toutes les

personnes qui nous ont encadré et qui ont contribué au bon déroulement et à l’élaboration

de ce mémoire.

Nos remerciements s’adressent à :

Notre mère, pour les efforts consentis durant toutes ces années études.

Monsieur BALIMA Paul, Directeur Général de la SONAPOST pour nous avoir

acceptées au sein de son institution.

Monsieur BOUSSO Souleymane, notre directeur de mémoire pour l’encadrement

reçu malgré ses multiples occupations.

Monsieur Moussa YAZI, Directeur de l’Institut Supérieur de Comptabilité, de

Banque et de Finance, pour ses conseils méthodologiques qui nous ont guidés dans

la rédaction de ce mémoire.

Le corps professoral de l’Institut Supérieur de Comptabilité, de Banque et de

Finance (ISCBF) du CESAG pour la qualité de la formation reçue.

Madame YAGO Honorine, chef du département audit interne et contrôle de gestion

à la SONAPOST, pour son aide, ses conseils et sa disponibilité. Nous lui

témoignons notre gratitude et notre reconnaissance.

Monsieur PARE Moumouni, chef de la division contrôle de gestion à la

SONAPOST pour ses conseils et son soutien.

Madame SANKARA Edwige, bibliothécaire au CESAG, pour les documents mis à

notre disposition.

A nos amis et camarades pour leur soutien et leurs conseils.

A tous ceux qui nous ont aidés, de près ou de loin, durant notre formation, qu’ils

trouvent en ce mémoire toute notre gratitude.



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iii

LISTE DES ABBREVIATIONS

AGSE : Assemblée Générale des Sociétés d’Etat

AMF : Autorité des Marchés Financiers

ASCE : Autorité Supérieure du Contrôle d’Etat

CCB : Centre de Contrôle des Bureaux

CCM : Centre de Contrôle des Mandats

CCP : Centre des Chèques Postaux

CESAG : Centre Africain d’Etudes Supérieures en Gestion

CMS : Centre Multi Service

CNCC : Compagnie Nationale des Commissaires aux Comptes

CNE : Caisse Nationale d’Epargne

CNT: Centre National de Tri

COCO: Criteria of Control

COSO: Committee of Sponsoring Organizations of the Treadway Commission

DFC Direction Financière et Comptable

DG : Direction Générale

ECIIA: European Confederation of Institutes of Internal Auditors

ENAPOST : Ecole Nationale de la Poste

EPIC : Etablissement Public à Caractère Industriel et Commercial

IFACI : Institut Français de l’Audit et du Contrôle Interne

IIA : Institute of Internal Auditors

IMCE : Institut Mondial des Caisses d’Epargne

OFAOF : Office Fédéral de l’Afrique Occidentale Française

OFPT : Office Fédéral des Postes et Télécommunications

ONATEL : Office Nationale des Télécommunications

ONP : Office Nationale des Postes

OPT : Office des Postes et Télécommunications



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iv

PACNE : Projet d’Audit des Caisses Nationales d’Epargne

PTT : Postes, Télégraphes, Téléphones

QCI : Questionnaire de Contrôle Interne

SONAPOST : Société Nationale des Postes

TFfA : Tableau des Forces et faiblesses apparentes

TIC : Technologies de l’Information et de la Communication

UPU : Union Postale Universelle.



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page v

LISTE DES TABLEAUX

Tableau 1 : Tableau d’analyse des risques .......................................................................... 16

Tableau 2 : Tableau de risques correspondant à la réception des marchandises ................. 33

Tableau 3 : Questionnaire relatif à la maîtrise des risques .................................................. 35

Tableau 4 : Evolution du chiffre d’affaires ......................................................................... 54

Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques

opérationnels ..................................................................................................... 71

Tableau 6 : Evaluation des dispositifs de maîtrise des risques ............................................ 72

Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels ................ 73

Tableau 8: Identification des risques opérationnels ............................................................ 75

Tableau 9 : Echelle d’évaluation des risques....................................................................... 77

Tableau 10 : Probabilité d’occurrence ................................................................................. 77



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vi

LISTE DES FIGURES

Figure 1 : La logique de la démarche globale de gestion des risques ................................. 19

Figure 2 : Modèle d’analyse ................................................................................................ 44

Figure 3 : Rôle de l’audit interne dans le dispositif de maîtrise .......................................... 75

LISTE DES ANNEXES

Annexe 1 : Organigramme de la SONAPOST .................................................................... 85

Annexe 2 : L’entreprise comme un ensemble de risques .................................................... 86

Annexe 3 : Grille de séparation des tâches .......................................................................... 87

Annexe 4 : Questionnaire de contrôle interne ..................................................................... 88



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vii

TABLE DES MATIERES

DEDICACE ..................................................................................................................................... i

REMERCIEMENTS ...................................................................................................................... ii

LISTE DES ABBREVIATIONS .................................................................................................. iii

LISTE DES TABLEAUX .............................................................................................................. v

LISTE DES FIGURES .................................................................................................................. vi

LISTE DES ANNEXES ................................................................................................................ vi

TABLE DES MATIERES ........................................................................................................... vii

INTRODUCTION GENERALE ........................................................................................................ 1

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................................ 6

Introduction de la première partie .................................................................................................. 7

CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS ............................................ 8

1.1. Les risques dans les entreprises ...................................................................................... 8

1.1.1. Le concept de risque ............................................................................................... 8

1.1.2. La typologie des risques ......................................................................................... 9

1.2. Les risques opérationnels ............................................................................................. 10

1.2.1. Définition ............................................................................................................. 10

1.2.2. Les composantes du risque opérationnel .............................................................. 11

1.2 La gestion des risques opérationnels ............................................................................ 13

1.2.1 Le processus de gestion des risques ..................................................................... 13

1.2.1.1 L’identification ................................................................................................. 13

1.2.1.2 L’analyse et l’évaluation des risques opérationnels ......................................... 15

1.2.1.3 Le suivi des risques opérationnels .................................................................... 16

1.2.2 Le dispositif de gestion des risques opérationnels ............................................... 17

1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels ...................... 17

1.2.2.2 La cartographie des risques opérationnels ........................................................ 18

1.3 L’audit interne et la gestion des risques opérationnels ................................................. 20

1.3.1 La présentation de l’audit interne ......................................................................... 20

1.3.1.1 Le concept d’audit interne ................................................................................ 20

1.3.1.2 Les missions de l’audit interne ......................................................................... 21



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page viii

1.3.1.3 L’organisation du travail d’audit interne .......................................................... 21

1.3.2 Le rôle de l’audit interne dans la gestion des risques opérationnels .................... 22

1.3.3 Les mesures de contrôle des risques opérationnels .............................................. 23

1.3.3.1 Les indicateurs de risques................................................................................. 23

1.3.3.2 Le tableau de bord des risques opérationnels ................................................... 24

CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS 26

2.1. Les démarches de l’audit interne .................................................................................. 26

2.1.1. L’approche par les systèmes................................................................................. 27

2.1.1.1. La présentation de la démarche ........................................................................ 27

2.1.1.2. Les limites de l’approche par les systèmes....................................................... 28

2.1.2. L’approche par les risques .................................................................................... 29

2.1.2.1. La description de la démarche .......................................................................... 29

2.1.2.2. Les différentes phases de la démarche ............................................................. 30

2.1 La maîtrise des risques opérationnels ........................................................................... 33

2.2.1. Les dispositifs de maîtrise des risques opérationnels ........................................... 34

2.2.2. Le système de contrôle interne ............................................................................. 36

2.2.2.1. Définition ......................................................................................................... 36

2.2.2.2. Les objectifs du contrôle interne ...................................................................... 36

2.2.2.3. Les éléments du dispositif de contrôle interne ................................................. 37

2.2 L’apport de l’audit interne dans le dispositif de maîtrise des risques opérationnels .... 38

2.3.1. L’appréciation du dispositif de contrôle interne ................................................... 39

2.3.1.1. Le découpage en cycles d’activités .................................................................. 40

2.3.1.2. L’évaluation du contrôle interne ...................................................................... 41

2.3.2. L’évaluation de la cartographie des risques opérationnels ................................... 42

CHAPITRE 3: METODOLOGIE DE L’ETUDE ........................................................................ 43

3.1. Le modèle d’analyse ..................................................................................................... 43

3.2. Les outils de collecte et d’analyse des données............................................................ 45

3.2.1. Le questionnaire de contrôle interne .................................................................... 45

3.2.2. L’analyse documentaire ....................................................................................... 45



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ix

3.2.3. L’interview ........................................................................................................... 46

3.2.4. L’observation physique ........................................................................................ 46

3.2.5. Le tableau d’identification des risques ................................................................. 46

3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA) ...................................... 46

3.2.7. La grille de séparation des tâches ......................................................................... 46

3.2.8. Le test de conformité et de permanence ............................................................... 47

Conclusion de la première partie .................................................................................................. 48

DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE........................................................ 49

Introduction de la deuxième partie ............................................................................................... 50

CHAPITRE 4: PRESENTATION DE LA SONAPOST ............................................................. 51

4.1. Historique ..................................................................................................................... 51

4.2. Les missions et les objectifs de la Sonapost ................................................................. 52

4.2.1. Le statut et l’objet social de la Sonapost .............................................................. 52

4.2.2. Les missions et les objectifs ................................................................................. 53

4.3. La Sonapost dans l’économie burkinabé ...................................................................... 54

4.4. L’organisation et le fonctionnement de la SONAPOST .............................................. 54

4.4.1. L’administration centrale ..................................................................................... 55

4.4.2. Les directions techniques ..................................................................................... 57

4.4.3. Les directions régionales ...................................................................................... 60

4.4.4. Les centres spécialisés .......................................................................................... 60

4.4.5. Les projets et programme ..................................................................................... 61

4.4.6. La filiale EMS-Chronopost International Burkina ............................................... 61

CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST ........... 62

5.1. Le dispositif de contrôle interne de la Sonapost ........................................................... 62

5.1.1. La description synthétique du dispositif de contrôle interne ................................ 62

5.1.1.1. La comptabilité journalière et mensuelle ......................................................... 62

5.1.1.2. Le centre de contrôle des bureaux .................................................................... 63

5.1.1.3. Le Conseil d’Administration ............................................................................ 63

5.1.1.4. L’Assemblée Générale des Sociétés d’Etats (AGSE) ...................................... 64

5.1.2. Les objectifs du contrôle interne .......................................................................... 64



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page x

5.2. L’état du dispositif de contrôle interne de la Sonapost ................................................ 65

5.3. L’audit interne .............................................................................................................. 66

CHAPITRE 6 : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS.................................................................................................... 68

6.1. L’appréciation du dispositif de maîtrise des risques opérationnels .............................. 68

6.1.1. Le dispositif de maîtrise des risques opérationnels .............................................. 69

6.1.2. L’analyse du dispositif de maîtrise des risques opérationnels .............................. 69

6.1.3. L’évaluation du dispositif de maîtrise des risques opérationnels ......................... 72

6.2. Le rôle de l’audit interne dans le dispositif de maîtrise ................................................ 74

6.2.1. L’identification des risques .................................................................................. 75

6.2.2. L’évaluation des risques ....................................................................................... 76

6.2.3. L’évaluation du dispositif de contrôle interne ...................................................... 77

6.3. Recommandations ........................................................................................................ 78

6.3.1. A l’endroit du service d’audit interne ................................................................... 79

6.3.2. A l’endroit de la direction générale ...................................................................... 79

Conclusion de la deuxième partie ................................................................................................ 81

CONCLUSION GENERALE .......................................................................................................... 82

ANNEXES ....................................................................................................................................... 84

BIBLIOGRAPHIE ........................................................................................................................... 92


INTRODUCTION GENERALE



T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 2

La poste est l’un des plus anciens réseaux de communication au monde. Ce fût à Rome

qu’apparut le premier service de courrier public au service des correspondances de l’Etat.

En Afrique, il n’existait pas de système postal organisé avant l’arrivée des colonisateurs

européens. De nos jours, celle-ci demeure le moyen de communication le plus accessible et

le plus répandu dans le monde.

L’activité postale traditionnelle inclut la collecte des objets de correspondance, de

communication, de messagerie, de presse, des boîtes à lettres publiques ou des bureaux de

poste, leur transport, leur tri et leur distribution. Ces services requièrent des savoir-faire et

des compétences très spécifiques et peuvent être fournis par des entreprises nationales ou

d’autres organismes privés de nos jours. Les services postaux ont évolué à travers les âges

en fonction des progrès, des techniques et du développement de la société car

communiquer est devenue une fonction économique essentielle et est considérée comme

un facteur de cohésion nationale par les gouvernements qui y interviennent.

L’organisation du secteur postal au Burkina Faso avec la Société Nationale des Postes

(SONAPOST) est passée en quelques années, d’une logique de coordination entre les

différents monopoles nationaux, à celle plus concurrentielle. La globalisation de

l’économie et les bouleversements que le secteur des communications rencontrent l’ont

conduit à investir dans de nouvelles activités. Aujourd'hui, à l'instar de toutes les autres

postes du monde, elle ne peut ignorer l'avènement de ce qu'il est convenu d'appeler la

société de l'information avec les bouleversements technologiques qu'elle entraîne.

Celle-ci est chargée de la mise en place et de l’exploitation du service public de la poste et

des services financiers. Elle dispose d'un réseau d'épargne, la Caisse Nationale d'Épargne

(CNE), permettant aux plus modestes de placer leurs économies. Avec la création de la

CNE, ces services financiers ont apporté à l'Etat burkinabè une ressource financière

abondante.

La Sonapost a pour missions la collecte, l’acheminement, la distribution des objets par

correspondance (lettre, colis, journaux) et la facilitation des échanges monétaires (système

de transfert d’argent). Dans ses efforts d’amélioration de ses produits et d’adaptation de

son offre aux attentes du marché, elle a entrepris la mise en place dans les localités,




des cyber-postes qui offrent des services de navigation internet à un grand nombre de

population.

De par ses nombreuses activités, celle-ci doit faire face à de nombreux risques surtout

opérationnels qui peuvent être un handicap à la réalisation efficace de ses activités et

compromettre de ce fait l’atteinte de ses objectifs de croissance. La maîtrise des risques

opérationnels par la Sonapost nécessite la mise en place et l’optimisation d’un service

d’audit interne et de gestion des risques opérationnels.

Ainsi le problème qui se dégage de notre étude concerne l’efficacité du dispositif mis en

place pour assurer la maîtrise des risques opérationnels.

Le problème ainsi mis en exergue n’est que la résultante de divers facteurs qui sont :

- les insuffisances des procédures documentées et actualisées;

- l’absence d’implication de l’audit interne dans le dispositif de maîtrise des risques

opérationnels ;

- la non-détection des erreurs, ou manquement.

Les conséquences du problème peuvent être de diverses natures dont :

- les erreurs ;

- le retard dans l’exécution des opérations (livraison des colis) ;

- la fraude interne ou externe ;

- les vols ;

- la violation du secret professionnel (ouverture des courriers).

Les solutions possibles pour y remédier sont:

- l’évaluation des dispositifs de maîtrise des risques opérationnels ;

- l’évaluation et la mise à jour de la cartographie des risques opérationnels ;

- la mise en place d’un dispositif de gestion des risques opérationnels;

- la mise à jour du manuel de procédures.

Au vu de ces solutions possibles énumérées, nous retiendront celles qui s’avèrent

pertinentes à savoir :




- l’évaluation des dispositifs de maîtrise des risques opérationnels ;

- l’assurance de l’efficacité du dispositif de gestion des risques opérationnels ;

- l’évaluation et la mise à jour la cartographie des risques opérationnels.

L’identification et la gestion des risques opérationnels doivent découler de la mise en

œuvre d’une politique de gestion efficiente par la Sonapost en vue de maîtriser les risques

auxquels elle est confrontée. Cette analyse nous amène à nous interroger sur un certain

nombre de questions qui sans doute seront d’une aide capitale pour mener à bien cette

étude. Il s’agit de la question principale de laquelle découle des questions spécifiques.

En ce qui concerne la question principale elle s’énonce comme suit : comment l’audit

interne contribue – il à la maîtrise des risques opérationnels ?

Les questions spécifiques qui en résultent sont :

- Quel est l’état du dispositif actuel de maîtrise des risques opérationnels, ses forces

et ses faiblesses ?

- Quel est l’état des risques opérationnels de la Sonapost ?

- Quels sont les outils mis en œuvre pour y faire face ?

Telles sont les questions auxquelles nous essayerons d’apporter des réponses à travers

l’étude du thème : « contribution de l’audit interne dans la maîtrise des risques

opérationnels ».

Ce mémoire consistera à analyser l’apport de l’audit interne à la Sonapost dans la maîtrise

de ses risques opérationnels.

Pour pouvoir mener à bien notre étude, il est primordial de se fixer certains objectifs qui

sont d’ordre général et spécifique.

L’objectif général consistera à faire face aux contraintes qui peuvent affectés le bon

fonctionnement de la Sonapost ainsi que l’atteinte de ses objectifs à travers les dispositifs

qu’elle met en œuvre pour les maîtriser. Pour ce faire nous nous intéresserons à l’apport de

l’audit interne dans la maîtrise des risques opérationnels.




Afin d’atteindre celui-ci, il est primordial de mettre en évidence les objectifs spécifiques

qui en résultent.

De ce fait nous avons :

- l’identification des dispositifs de maîtrise des risques opérationnels;

- l’évaluation du dispositif de contrôle interne mis en place pour assurer leur

maîtriser;

- l’efficacité du dispositif de maîtrise des risques opérationnels.

Ce présent mémoire sera focalisé sur la contribution de l’audit interne dans la maîtrise des

risques opérationnels. Pour cela deux (02) grandes parties seront développées ; la première

partie est consacrée d’une part à la revue de littérature qui abordera les aspects théoriques

de la gestion, des dispositifs de maîtrise des risques opérationnels pour ainsi mettre en

exergue la démarche de l’audit interne dans le processus de maîtrise et d’autre part à

l’approche méthodologique de l’étude. La deuxième partie consacrée au cadre pratique de

l’étude consistera à présenter la structure et à analyser son dispositif de maîtrise des risques

opérationnels afin d’y cerner l’apport de l’audit interne.

La maîtrise des risques opérationnels pour les organisations est primordiale en vue

d’assurer une optimisation de leurs activités et l’atteinte des objectifs.

Cette étude permettra à la Sonapost d’une part de mieux cerner ses risques opérationnels,

de disposer d’une revue des bonnes pratiques en termes de maîtrise des risques

opérationnels, de connaître les dispositifs adéquats pour les réduire et d’autre part

d’assurer l’efficacité de leur gestion. En outre, elle permettra d’éveiller la conscience des

dirigeants sur l’importance de la maîtrise de leurs risques opérationnels et sur l’apport de

l’audit interne à l’organisation.

Aussi pour nous mêmes, elle sera une aubaine pour confronter nos acquis intellectuels et

théoriques appris au CESAG et de les adapter aux réalités du monde professionnel et par

conséquent de développer les connaissances acquises et d’expérimenter le fonctionnement

quotidien d’une entreprise notamment de son service d’audit interne.


PREMIERE PARTIE :

CADRE THEORIQUE DE L’ETUDE




Introduction de la première partie

Selon MOREAU (2002: 1-2), le risque est au cœur de l’entreprise car celle-ci évolue dans

un environnement de risques, le plus souvent complexe, dynamique et hostile. L’efficacité

de l’entreprise à gérer ses risques n’est pas de les nier ou de les transférer à d’autres,

mais « d’apprivoiser » ses risques en les reconnaissant et en choisissant à la fois une

approche stratégique et une organisation adaptée à leur existence. Nombreux sont les types

de risques qui peuvent être rencontrés dans les entreprises notamment ceux liés à la

multitude des opérations. Les risques opérationnels comportent des enjeux pour les

entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise. Le risque

opérationnel devient alors une préoccupation majeure mais ne constitue pas un nouveau

risque.

La gestion des risques opérationnels a été longtemps traitée marginalement voire ignorée

par la plupart des dirigeants du fait d’un éventail d’outils et d’options limités. Le risque

étant inhérent à l’activité humaine, toute la question est de savoir comment le découvrir,

l’appréhender, l’anticiper, le quantifier, et prendre les décisions correspondantes afin, non

pas de l’éliminer mais d’en assurer sa maîtrise.

La maîtrise des risques est une aspiration fondamentale, constitutive de l’organisation de

nos sociétés. Les dirigeants doivent être en mesure d’apporter des réponses relatives à la

manière de gérer les risques. Pour ce faire il est essentiel de bien connaître les différents

concepts, outils et méthodes disponibles pour les identifier, analyser et traiter.

Dans cette première partie, consacrée essentiellement à la revue de littérature nous

aborderons la gestion des risques et l’audit interne, ensuite les dispositifs de maîtrise des

risques opérationnels seront présentés pour y déceler le rôle de l’audit interne et après

élaborer le modèle d’analyse qui montrera comment nous allons procéder pour apprécier le

rôle de l’audit interne dans la maîtrise des risques opérationnels à la Sonapost.




CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS

Pour MOREAU (2002 :2), les dirigeants d’entreprise sont confrontés à des situations

différentes dues à la multitude des risques de nature, d’ampleur et d’incidence diverses. De

par l’essor du gouvernement d’entreprise, la responsabilité de l’entreprise et des dirigeants

envers les salariés, les clients, les actionnaires est de plus en plus engagée. Cette diversité

des risques entraine une pluralité de solutions et l’entreprise n’a pas toujours les réponses

adéquates ou innovantes pour y faire face.

La gestion des risques est définie comme un « processus régulier, continu, coordonné et

intégré à l’ensemble d’une organisation, qui permet l’identification, l’analyse, le contrôle

et l’évaluation des risques et des situations à risque qui ont causé ou auraient pu causer des

dommages à une personne ou à des biens ». (ISO 9000, version 2000 in POULLAIN ;

LESPY, 2002 :41).

Coopers & Lybrand (2000 :49), ajoute que toute entreprise est confrontée à un ensemble de

risques externes et internes qui doivent être évalués. Avant de procéder à une telle

évaluation, il est nécessaire de définir les objectifs compatibles et répondant à des règles de

cohérence interne. Leur évaluation consiste en l’identification et l’analyse des facteurs

susceptibles d’affecter la réalisation des objectifs ; il s’agit d’un processus qui permet de

déterminer comment ils devraient être gérés.

1.1. Les risques dans les entreprises

Avant d’aborder les risques et notamment ceux opérationnels dans les entreprises, il

semble nécessaire de définir la notion de risque ainsi que les différents types de risques

pouvant exister dans toute organisation.

1.1.1. Le concept de risque

Toutes les entités, quel que soit leur taille, leur structure, la nature de leurs activités et le

secteur économique dans lequel elles évoluent, sont confrontées à des risques, et ce à tous

les niveaux.

D’après MOREAU (2002 :3), le risque d’entreprise peut être défini comme la menace

qu’un évènement, une action ou une inaction affecte la capacité de l’entreprise à atteindre




ses objectifs et compromettre ainsi la création de valeur. Cette définition est complétée par

celle de DESROCHES & al (2005 :44) ; pour eux, le risque est une grandeur à deux

dimensions. Une probabilité qui donne une mesure de l’incertitude que l’on a sur une

gravité des conséquences, en termes de quantité de dommages, consécutifs à l’occurrence

d’un événement redouté.

Par conséquent, nous pouvons conclure que le risque est l’éventualité d’événements futurs

pouvant entrainer des conséquences préjudiciables et agir ainsi sur la performance de

l’entreprise. Aussi, toutes ces définitions mettent en évidence les composantes du risque à

savoir la probabilité qu’un ou plusieurs événements se produisent et leurs conséquences.

On peut, de ce fait, définir le risque comme un concept par lequel l’entreprise tient compte

des événements possibles qui pourraient survenir dans un univers incertain et pouvant

entraîner des impacts significatifs sur l’entité et sur ses objectifs. De par ces définitions,

plusieurs types de risques peuvent être mis en évidence.

1.1.2. La typologie des risques

Différents risques sont susceptibles d’être rencontrés dans toute organisation.

RENARD (2009 :157) énumère une liste de risques susceptibles de se produire dans

l’entreprise. On distingue:

- les risques sociaux ;

- les risques financiers ;

- les risques informatiques ;

- les risques technologiques ;

- les risques de transports ;

- les risques commerciaux ;

- les risques juridiques ;

- les risques politiques ;

- etc.

NGUYEN (1999 : 156) quant à lui, vient compléter cette distinction en identifiant trois

(03) types de risques à savoir:




- ceux liés aux activités ;

- ceux qui sont internes ou externes ;

- ceux qui sont anciens ou nouveaux.

DESROCHES & al (2005 : 44) quant à eux, font une classification des risques selon (02)

deux critères :

- en fonction de leur évolution : les risques à effets convergents dont la gravité

diminue avec le temps ou à effets divergents dont la gravité augmente avec le

temps ;

- en fonction de leur impact : les risques à effets directs et indirects ou en cascades

induisant un enchainement de différentes natures.

Par ailleurs, AHOUANGANSI (2010 : 37-38) classe les risques en deux catégories :

- les risques spéculatifs : ce sont des risques pris par l’entrepreneur dans son activité

pour atteindre les objectifs de l’entreprise;

- les risques purs aléatoires ou accidentels : la protection contre ces risques s’établit à

plusieurs niveaux dont la prévention préalable adaptée (équipements spécifiques,

organisation de contrôle interne).

1.2. Les risques opérationnels

Les risques opérationnels sont présents dans toutes les organisations. Les incidents

montrent que des événements inattendus peuvent se produire et porter sérieusement

atteinte aux organisations de divers secteurs.

D’après SARDI (2002 :309), le risque opérationnel n’est pas un concept bien défini et ne

fait pas l’objet d’un consensus car il diffère suivant les organismes et les auteurs.

1.2.1. Définition

Les risques opérationnels sont des risques auxquels toutes les sociétés sont confrontées. En

général, ils proviennent de l’exécution des objectifs de l’entreprise. Ils recouvrent un

certain nombre de risques, parmi lesquels la fraude, le risque juridique, physique ou

environnemental.




Bâle II le défini comme « le risque de pertes résultant d’une inadéquation ou d’une

défaillance imputable à des procédures, personnels et systèmes internes, ou à des

événements extérieurs, y compris ceux de faible probabilité d’occurrence, mais à risque de

perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique mais exclut les

risques stratégiques et de réputation ». CAMARA (2006 : 130) ajoute que le risque

opérationnel est la probabilité des pertes subséquentes à une défaillance des procédures

administratives, machines et outils de travail.

Il peut être ainsi défini comme le risque de perte ou d’incident résultant de processus,

d’individus ou de systèmes insuffisants ou défaillants, ou d’événements externes. Les

risques opérationnels sont difficiles à identifier car présents à tous les niveaux avec une

imbrication des événements et des conséquences, à mesurer due à la conjugaison des pertes

directes et indirectes et à gérer car s’appliquant transversalement sur l’ensemble des

métiers, avec des causes (internes et externes) et des conséquences (financières) diverses.

1.2.2. Les composantes du risque opérationnel

NGUYEN (1999 : 210) identifie divers types de risques opérationnels à savoir :

les risques de dysfonctionnement qui comprennent:

- le manque de compétence du personnel en cas de remplacement pour congés ou

départs définitifs ;

- les erreurs, oublis, manque d’attention ;

- les perturbations consécutives aux changements d’hommes de la hiérarchie sans

information préalable.

les risques de manipulation frauduleuse qui se caractérisent par:

- la collusion entre plusieurs personnes;

- le non respect des procédures.

Bâle II complète cette initiale classification en faisant une répartition des risques

opérationnels en sept (07) catégories :

- la fraude interne : elle concerne les pertes liées à des actes commis à l’intérieur de

l’entreprise visant à commettre une fraude ou un détournement d’actif ou à

enfreindre une disposition législative ou règlementaire, ou des règles de

l’entreprise ;




- la fraude externe : il s’agit des pertes liées à des actes extérieurs visant à commettre

une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou

règlementaire ;

- l’insuffisance des pratiques internes concernant les ressources humaines et la

sécurité du lieu de travail : pertes liées à des actes contraires aux dispositions

législatives ou règlementaires, ou aux conventions en matière d’emploi, de santé ou

de sécurité, à la réparation de préjudices personnels ou à des pratiques

discriminatoires ou contraires aux règles en matière d’égalité professionnelle ;

- les clients, produits et pratiques commerciales : qui entrainent des pertes dues à un

manquement délibéré ou non, à une obligation professionnelle envers un client, à la

nature ou aux caractéristiques d’un produit ;

- les dommages aux actifs physiques : sont causées par l’endommagement des actifs

physiques résultant d’une catastrophe naturelle ou d’autres événements ;

- l’interruption d’activité et dysfonctionnement des systèmes : sont des pertes

résultant de dysfonctionnement ou des systèmes ;

- le dysfonctionnement des processus de traitement (exécution, passation d’ordre,

livraison, gestion des processus) : concerne les pertes liées aux lacunes du

traitement des transactions ou de la gestion des processus et aux relations avec les

contreparties commerciales et fournisseurs.

Aussi CAMARA (2006 :130) identifie différents types de risques opérationnels qui sont :

- le risque de fraude : il peut se définir comme l’acte illégal par lequel une personne

ou un groupe de personnes soutirent des fonds à l’entreprise;

- le risque administratif : c’est tout événement ou fait lié à une mauvaise définition

des procédures de travail ;

- le risque juridique : on entend par risque juridique les pertes que peut subir

l’entreprise du fait d’une mauvaise maîtrise de la loi et de son application ;

- le risque de sécurité physique : c’est la probabilité d’atteinte à l’intégrité physique

des actifs, employés de l’organisation;

- le risque de sécurité informatique : c’est le risque de panne des ordinateurs.

Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et

l’environnement externe font courir aux entreprises. De ce fait ils peuvent se décomposer

en quatre (04) sous-ensembles selon Bâle II :




- le risque lié au système d’information: défaillance matérielle, obsolescence des

technologies (matériel, langages de programmation,…) ;

- le risque lié aux processus (saisies erronées, non respect des procédures,…) ;

- le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais

aussi la capacité de l'entreprise à assurer la relève sur les postes clés) ;

- le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle,

environnement réglementaire,…).

La diversité des risques auxquels est confrontée l’entreprise rend nécessaire une analyse

centralisée de manière à garantir une vue globale, avec une implication de tous les

spécialistes afin de mieux appréhender l’exposition aux risques.

1.2 La gestion des risques opérationnels

La gestion des risques dans le but de les réduire est une pièce essentielle du management

de l’entreprise et de maîtrise des risques.

1.2.1 Le processus de gestion des risques

Pour SARDI (2002 :183), le processus de management des risques comporte un certain

nombre d’étapes (l’identification, l’évaluation des risques, l’analyse et la planification des

mesures, la gestion opérationnelle des risques ainsi que la surveillance des risques et leur

reporting).

1.2.1.1 L’identification

Le dispositif de maîtrise des risques opérationnels consiste à agir sur les différents

éléments identifiés et quantifiés afin de modifier le profil de risques de la société ou tout du

moins sa sensibilité en cas de survenance d’événements non souhaités.

1.2.1.1.1 La définition du périmètre à analyser

D’après JIMENEZ & al (2008: 55), le périmètre à analyser comprend l’ensemble des

activités de l’établissement. Cela nécessite toutefois de comprendre et de modéliser les

activités pour permettre une identification de l’ensemble des risques opérationnels

associés. Celle-ci consiste à découper les activités de l’entreprise en métiers et processus

auxquels seront rattachés les événements à risques.




Les risques sont alors analysés à un niveau de détail moindre et rattaché à un processus

générique qui sera complété par des informations spécifiques et pertinentes pour

l’identification des risques (déroulement d’activité particulier, risque spécifique ou au

contexte, etc.).

1.2.1.1.2 Les événements à risques

Pour JIMENEZ & al (2008 : 61-62), les événements à risques vont être associés à chaque

processus opérationnel identifié dans la nomenclature des processus. On cherche dans cette

étape à identifier tous les événements à risques qui peuvent se produire lors d’un processus

et qui pourraient avoir des conséquences sur son déroulement.

Certains événements types, par ailleurs, peuvent se retrouver comme événement à risque

dans un grand nombre de processus, par exemple l’erreur humaine ou l’interruption du

système d’information.

Bâle II (in Jimenez & al, 2008 :61-63) préconise la démarche d’identification des

événements à risques comme suite :

- l’établissement d’une liste type d’événements de risques: qui consiste à énumérer

les divers risques génériques (interruption des systèmes d’information, erreur

humaine, fraude). Cette liste va permettre d’éviter de refaire un travail complet

d’analyse des risques avec les opérationnels métiers pour se concentrer sur les

risques spécifiques à leur activité;

- l’établissement de la liste des risques spécifiques : effectuer un listing des risques

spécifiques (absence de contrôle, valorisation erronée) de l’activité et des métiers

que l’on retrouve quel que soit l’activité. Cette étape est construite avec les

représentants des métiers et se déroule par entretiens ou réunions avec les

opérationnels responsables des processus qui pourront définir à quels types de

risques ils sont sensibles ;

- la validation interne de la nomenclature des risques : celle-ci doit être adaptée au

fonctionnement de l’entreprise. Sa validation doit permettre de s’assurer qu’un

même risque dans deux (02) entités ou activités différentes aura la même définition

et le même sens afin de conserver un dispositif cohérent;




- la validation de la cohérence: le dispositif mis en place doit répondre aux besoins

règlementaires.

Selon Coopers & Lybrand (2000 :58-61), l’identification des risques est un processus

itératif qui est souvent intégré à celui de la planification. Il est par ailleurs utile d’étudier

les risques d’un « œil neuf », plutôt que d’examiner leur évolution depuis une précédente

étude. Les risques à l’échelle de l’entreprise peuvent être la conséquence de facteurs

externes ou internes. L’identification de ces risques est essentielle pour procéder à leur

évaluation.

1.2.1.2 L’analyse et l’évaluation des risques opérationnels

Gérer les risques au niveau des activités permet d’axer l’évaluation sur les principales

divisions ou fonctions. Parvenir à les évaluer par activité contribue également à leur

maintien à un niveau acceptable.

L’analyse des risques et leur gestion sont intrinsèquement liées. Selon l’IFACI, l’analyse

comprend les éléments suivants :

- la définition du contexte et la mise en perspective ;

- l’identification et la documentation des risques ;

- l’évaluation, la quantification et la classification des risques ;

- l’évaluation et la modélisation du risque ;

- la mise au point de stratégies de réduction du risque et de contrôle ;

- l’obtention de ressources et l’attribution des responsabilités ;

- la réduction, le transfert ou l’élimination du risque ;

- le pilotage et le suivi du risque.

Selon le COCO (in Bertin, 2007 : 75), pour évaluer les risques il convient d’estimer leurs

probabilités de survenance ainsi que l’importance de l’impact afin que des processus

appropriés puissent être mis au point pour les contrôler.

Par ailleurs, pour Coopers & Lybrand (2000 : 61- 62) il est nécessaire de procéder à une

analyse des risques une fois que ceux-ci ont été identifiés au niveau de l’entreprise et de

chaque activité. Il existe de ce fait différentes manières de procéder à cette analyse, dans la




mesure où ils sont difficiles à quantifier. Néanmoins, le processus plus ou moins formel se

décompose généralement comme suit :

- l’évaluation de l’importance des risques ;

- l’évaluation de la probabilité (ou fréquence) de survenance;

- la prise en compte de la manière dont le risque doit être géré, c’est-à-dire évaluation

des mesures qu’il convient d’adopter.

Généralement, un risque qui n’a pas d’impact significatif et dont la probabilité de

survenance est faible, ne nécessite pas une analyse approfondie. En revanche, un risque

majeur qui selon toute vraisemblance se concrétisera doit être sérieusement analysé. Entre

ces deux extrêmes, l’analyse du risque s’avère difficile et elle doit être faite avec rationalité

et minutie. Une fois évaluées l’importance et la probabilité de survenance du risque, le

manager doit étudier la façon dont il doit être géré et mettre en place des dispositifs de

surveillance de ces risques.

Tableau 1 : Tableau d’analyse des risques

N°/date

Facteur

de risque

Ou

situation

à risque

Conséquences Gravité

initiale

Criticité

initiale

Actions de

maitrise des

risques et

d’identification

de l’autorité de

décision et leur

application

Criticité

résiduelle

Gestion

du risque

résiduel

Source : DESROCHES & al (2005 :158)

1.2.1.3 Le suivi des risques opérationnels

Pour SARDI (2002 : 186), en fonction du résultat de l’analyse des risques, certaines

mesures peuvent être prises notamment le renforcement du contrôle interne, la mise en

œuvre de nouvelles procédures de contrôle.




« La surveillance des risques est une fonction permanente qui s’imbrique dans les

procédures formalisées mises en place par l’établissement. Elle implique l’ensemble des

acteurs du contrôle interne : comité d’audit, auditeurs internes, comités des risques et

cellules de management des risques, contrôleurs de premier et deuxième niveau » (SARDI,

2002 :63)

SARDI (2002 : 187) ajoute que le risque opérationnel est difficilement attribuable à une

unité spécifique dans la mesure où il est présent partout.

Selon SARDI (2002 : 187), le suivi des risques est une composante essentielle du

management des risques. Les politiques et les limites fixées doivent être surveillées sur une

base constante pour s’assurer de leur respect. Cette surveillance est dévolue aux contrôles

dits « de premier et deuxième niveaux » et le troisième niveau concerne l’audit interne qui

doit éviter d’être impliqué dans la surveillance permanente car son rôle est de s’assurer de

l’efficacité du dispositif.

1.2.2 Le dispositif de gestion des risques opérationnels

Il est tout à fait possible d’identifier dans chaque entreprise les zones à risques afin de

déterminer les priorités des programmes de contrôle. Cette identification est réalisée avec

l’encadrement de la direction. Il est important que le dispositif mis en œuvre par

l’entreprise afin de maîtriser les risques soit évalué de façon périodique pour s’assurer que

celui-ci est adapté et proportionné au profil de risques.

1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels

Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et

la fraude. Ils visent à réduire la probabilité et la gravité d’événements défavorables ou non

désirés. Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont

incomplets dans la mesure où ils se concentrent sur l’atténuation des risques sans permettre

aux gestionnaires de profiter des occasions positives pour mieux réaliser la mission et les

objectifs de l’organisation.

Selon JIMENEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de

l’entreprise car les risques se retrouvent à tous les niveaux et dans toutes les fonctions de

l’entreprise. On citera entre autre :




- la direction générale : elle a un rôle primordial car assurant l’efficacité du dispositif

par son implication et les moyens à allouer ;

- le comité d’audit : il doit être tenu au courant des modifications du profil de risques

et les décisions prises à leur égard doivent lui être présentées ;

- les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place

des mesures correctives et leur application ;

- l’audit interne: il a pour mission d’auditer les dispositifs de gestion des risques

opérationnels et dans le cadre de l’élaboration des plans annuels d’audit.

Pour une meilleure gestion des risques opérationnels il est nécessaire d’élaborer une

cartographie des risques. Selon JIMENEZ & al (2008: 116), la cartographie des risques

opérationnels a pour objectif d’identifier, d’évaluer, de classer, de comparer et de

hiérarchiser les risques susceptibles d’impacter une ligne de métier.

1.2.2.2 La cartographie des risques opérationnels

D’après JIMENEZ & al (2008 :63), la cartographie des risques consiste donc à associer

aux processus modélisés les événements de risques qui peuvent entraîner une perte en

donnant pour chaque couple ainsi recensé une vision des impacts possibles et le degré de

maîtrise estimé. Elle permet à l’entreprise d’avoir une bonne vision des risques auxquels

elle est soumise et, par conséquent, de sa capacité à y faire face.

En outre pour AHOUANGANSI (2010 : 40-41), c’est un véritable inventaire des risques

de l’organisation. Cette cartographie permet d’atteindre trois objectifs :

- inventorier, évaluer et classer les risques de l’organisation ;

- informer les responsables afin que chacun soit en mesure d’y adapter le

management de ses activités ;

- permettre à la Direction Générale, et au Risk Manager, d’élaborer une politique de

risque qui va s’imposer à tous.

1.2.2.2.1 Définition

La cartographie des risques est un document permettant de recenser les principaux risques

d’une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour

assurer une démarche globale d’évaluation des risques. Elle n’est toutefois qu’une

Commentaire [k1]: Elle est plutôt une démarche et non un document. Et cette démarche abouti à la réalisation d’un document




photographie des risques à un instant donné. Selon la typologie des risques, les

informations disponibles pour corroborer l’évaluation, aideront les analyses, en particulier

en matière de fréquence et d’impact.

Pour les risques « rares », la cartographie sera basée le plus souvent sur une identification

et une évaluation qualitative des risques par les opérationnels de l’entreprise au travers des

questionnaires ou d’atelier de travail.

Figure 1 : La logique de la démarche globale de gestion des risques

Risques résiduels inacceptables risques résiduels acceptables

Source : POULAIN &al (2002 :41)

1.2.2.2.2 Les étapes de la cartographie des risques

JIMENEZ & al (2008 : 64) préconisent les différentes étapes de la cartographie des

risques :

- définir les couples processus/risque à évaluer ;

- identifier et évaluer les risques nets (prise en compte de l’existant) ;

IDENTIFIER

HIERARCHISER

AGIR

GESTION DES RISQUES DEMARCHE QUALITE

EVALUER




- apprécier le dispositif de maîtrise des risques ;

- assurer un contrôle de cohérence avec les risques bruts ;

- classifier et hiérarchiser les risques selon les différents angles d’analyse possibles

(risque net, risque brut, impact, image…).

Ces démarches de réduction des risques sont, comme les risques eux-mêmes, strictement

de la responsabilité des acteurs opérationnels chargés de ces activités. Mais l’audit interne

a pour vocation d’apporter aux opérationnels une assistance technique dans la réduction

des risques, en veillant au bon fonctionnement du contrôle interne et en s’assurant du

respect des principes.

1.3 L’audit interne et la gestion des risques opérationnels

Selon RENARD (2006 : 23), l’audit interne est une fonction permanente dans l’entreprise,

mais c’est une fonction périodique pour les audités car ceux-ci peuvent la rencontrer selon

une certaine fréquence qui dépend de l’importance du risque dans l’activité auditée.

1.3.1 La présentation de l’audit interne

Le champ d’intervention de l’audit interne est beaucoup plus vaste car il prend en compte

toutes les fonctions de l’entreprise et dans toute leur dimension. Celui-ci n’a cessé de

s’étendre contribuant ainsi à la complexité de la définition de ce concept. Un signe de cette

complexité est la pluralité des définitions proposées par les auteurs.

1.3.1.1 Le concept d’audit interne

« L’audit interne est une activité indépendante et objective qui donne à une organisation

une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les

améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses

objectifs en évaluant, par une approche systématique et méthodique, ses processus de

management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des

propositions pour renforcer leur efficacité. » (SCHICK, 2007 :5).

Ces objectifs s’articulent autour de quatre (04) points:

- s’assurer de l’existence d’un bon système de contrôle interne qui permet de

maitriser les risques ;




- veiller de manière permanente à l’efficacité de son fonctionnement ;

- apporter des recommandations pour en améliorer l’efficacité ;

- informer régulièrement, de manière indépendante, la direction générale, l’organe

délibérant et le comité d’audit de l’état du contrôle interne.

Pour atteindre ces objectifs l’audit interne effectue différentes missions.

1.3.1.2 Les missions de l’audit interne

Selon LEMANT (1995 :19), l’essentiel d’une mission d’audit consiste à examiner les

composants de l’organisation et les conditions de fonctionnement d’une activité

déterminée, pour les comprendre et identifier les risques et opportunités qu’ils recèlent.

RENARD (2009 : 208) ajoute que les responsables des services d’audit interne témoignent

de plus en plus du caractère pédagogique de leur mission et de la nécessité de toujours

chercher à communiquer, non seulement autour des résultats mais aussi de la méthode mise

en œuvre. Le déroulement de la mission et l’utilisation de certains outils ne sont que des

illustrations de cette double recherche de simplicité et de transparence qui doit caractériser

l’approche de l’auditeur.

La signification d'une mission d'audit est qu'elle se découpe en périodes précises et

identifiables, et qui sont toujours les mêmes. Le mot mission vient du Latin « Mittere » qui

signifie envoyer, nous indique le Petit Larousse (in RENARD : 193) qui précise que la

mission est une fonction temporaire et déterminée dont un gouvernement charge un agent

spécial.

1.3.1.3 L’organisation du travail d’audit interne

Le travail des auditeurs est organisé suivant une certaine logique et se présente ainsi:

la charte d’audit : Selon RENARD (2009 :397), c’est le document constitutif de la

fonction d’audit interne et destiné à la présenter et à la faire connaître aux autres acteurs de

l’entreprise. Il est exigé par la première des normes professionnelles ;

puis l’indispensable plan d’audit : Il est exigé par la norme 2010 : « le

responsable de l’audit interne doit établir une planification fondée sur les risques afin de

Commentaire [k2]: Il faut faire une transition entre les différents points et le développement de ces points




définir les priorités cohérentes avec les objectifs de l’organisation. (in Jacques Renard

2009 : 399).

Ensuite on a:

le manuel d’audit interne : A la différence de la charte d’audit, le manuel est à

usage interne, tout comme la documentation à disposition des auditeurs et qui est à enrichir

constamment à l’occasion de chaque mission d’audit », (RENARD, 2009 : 418) ;

les dossiers d’audit et les papiers de travail: Pour RENARD (2009 :420), à

chaque mission doit correspondre un dossier composé, entre autres éléments des papiers de

travail les plus significatifs et constituent la mémoire de l’entreprise. Cette exigence a une

triple justification :

- exigence de preuve ;

- exigence d’efficacité ;

- exigence de formation.

L’audit interne est une activité ayant pour vocation d’aider les responsables des opérations,

à respecter les principes de contrôle interne, c’est-à-dire les bonnes pratiques de

management face aux risques qui menacent les activités. Ainsi l’audit interne apporte son

assistance en contrôle interne sur tous les grands processus d’activité. (La revue française

de l’audit interne, Septembre 2004 : 6)

1.3.2 Le rôle de l’audit interne dans la gestion des risques opérationnels

Selon BERTIN (2007 :113), la gestion des risques, ainsi que l’audit interne et le contrôle

interne, doivent réellement être appréhendées comme un processus continu dont

l’application doit être garantie en permanence. L’appréciation des risques ne doit pas être

figée mais continue. Le rôle de l’auditeur est de fournir une « évaluation indépendante »

de la pertinence, de l’application et de l’efficacité des dispositifs de contrôle interne mis en

place par le management. La valeur ajoutée de l’audit interne est de contribuer à

l’amélioration des opérations de l’entreprise en facilitant l’identification et l’évaluation des

risques à tous les niveaux. Il devrait y parvenir en examinant l’efficacité des processus de

gestion des risques mis en place dans l’entreprise et en s’assurant de l’existence de

procédures et de normes claires et cohérentes en matière de risque.

Commentaire [k3]: C’est la définition donnée par l’IFACI au niveau du document des Normes d’audit interne




Selon l’European Confederation of Institutes of Internal Auditors (ECIIA), le rôle de

l’audit interne est de conseiller et d’aider la direction à assurer l’efficacité du contrôle en

mettant au point un programme de travail reposant sur les risques et couvrant les

principales activités et les principaux systèmes de l’entreprise.

L'audit interne est une fonction d’appréciation et d’évaluation dont la tâche essentielle est,

notamment, la validation du contrôle interne. En outre le lien fondamental qui existe entre

l’audit interne et le contrôle interne est la vérification du respect des procédures.

1.3.3 Les mesures de contrôle des risques opérationnels

Les indicateurs des risques sont produits et suivis par les utilisateurs opérationnels afin de

compléter le dispositif d’alerte et d’anticiper les pertes éventuelles. Pour ce faire, ils

doivent permettre de suivre le profil ainsi que l’environnement des risques de l’entreprise.

1.3.3.1 Les indicateurs de risques

Du point de vue de JIMENEZ & al (2008 : 110) trois (03) types d’indicateurs peuvent être

utilisés :

- les indicateurs à valeur qui visent à suivre l’évolution du risque lui-même ;

- les indicateurs à niveaux qui visent à suivre le dispositif de maîtrise du risque en

tant que tel et sa chronologie par étape de mise en œuvre (création d’une échelle,

suivi de plan de continuité) ;

- les indicateurs à score quant à eux servent à suivre la complétude du dispositif de

maîtrise des risques. Ce type d’indicateur est adapté lorsque la mise en service d’un

dispositif ne suit pas une logique par paliers.

L’objectif des indicateurs étant d’être des alertes préventives, ils seront produits à une

fréquence qui correspond à la mesure « normale » du risque ou du dispositif. Ils doivent

pouvoir être reliés à la nomenclature des risques afin de permettre d’initier si besoin des

plans d’action et une réactualisation de la cartographie.

Pour chaque indicateur retenu, sera créée une « fiche d’identité » afin de permettre la

diffusion de l’intérêt de celui-ci et de l’objectif de la mesure. Cette fiche d’identité

comprend :




- le nom de l’indicateur ;

- les objectifs ;

- son mode de calcul ;

- les sources utilisées ;

- la périodicité d’actualisation ;

- le seuil critique ;

- les conséquences d’une dégradation de l’indicateur.

Pour JIMENEZ & al (2008 : 120), la création d’un tableau de bord du risque opérationnel

doit être le reflet de la qualité de la politique des risques mise en œuvre et soumettre une

vision consolidée du risque à différents niveaux de l’entreprise.

1.3.3.2 Le tableau de bord des risques opérationnels

Le tableau de bord doit permettre :

- d’appréhender la nature et l’ampleur des risques encourus ;

- de s’assurer de l’adéquation des dispositifs de gestion des risques opérationnels

avec le profil de risques et le plan d’activité ;

- d’effectuer les arbitrages nécessaires pour limiter et couvrir les risques ;

- de piloter les actions préventives et correctives ainsi que leur état d’avancement.

Selon DU SERT (1999 :15), la dynamique historique du risque fait apparaître que l’analyse

du risque doit couvrir une succession de situations possibles. Le problème est celui de la

perception que l’on peut avoir des différents risques de façon à mieux s’en protéger.

L’audit, activité indépendante et objective, dépassant la simple vérification de conformité

pour proposer des recommandations et évaluer les processus de management, s’est

positionné dans la gestion des risques. L’audit interne vient ajuster les dispositifs de

contrôle interne pour atteindre les objectifs de ce dernier en sauvegardant le patrimoine, en

assurant une bonne circulation de l’information, en respectant les directives et en

optimisant les performances de l’entreprise. Il vient pour renforcer le contrôle interne dans

la mesure où il doit soutenir les centres de responsabilités à maîtriser davantage leur

activité et non pas à alourdir les procédures de vérification pour ainsi faire régner une

mauvaise ambiance.




Au-delà de la prise en compte des risques dans la création du plan d’audit, l’audit interne a

une réelle valeur ajoutée dans le processus d’identification et d’évaluation des risques dans

le cadre d’une approche de gestion globale. Il apporte ainsi au management un niveau

complémentaire de réassurance sur la pérennité de ce dispositif.




CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES

OPERATIONNELS

La maîtrise des risques occupe de plus en plus une place importante dans les

préoccupations des dirigeants. Aussi les risques qui menacent les entreprises doivent- ils

être identifiés et réduits à des proportions acceptables. De ce fait, des conditions doivent

être réunies pour mettre en place un système efficace, parmi lesquelles un audit interne

performant, un processus d’identification et de mesure des risques simple.

Pour LEMANT (1998 :3), l’audit interne est une fonction d’assistance au management.

Issue du contrôle comptable et financier, la fonction audit interne recouvre de nos jours

une conception beaucoup plus large et plus riche, répondant aux exigences croissantes de

la gestion de plus en plus complexe des entreprises. Son objectif est d’assister les membres

de l’organisation dans l’exercice de leurs responsabilités, pour ce faire il assure

l’évaluation de la suffisance et de la réalité du système de contrôle interne. Il apporte sa

contribution à l’ensemble des activités de l’entreprise car dans chaque domaine dirigé c’est

toujours planifier les tâches, organiser les responsabilités, conduire les opérations et

contrôler leur marche.

Le principal apport de l’auditeur est d’inciter l’entreprise à réfléchir sur la définition des

risques et leurs conséquences sur son fonctionnement, avant toute prise de décision de

gestion. L’auditeur veillera aussi, entre autres, au respect des principes, à la séparation des

tâches, aux conditions de réalisation des opérations et pour y parvenir il adopte différentes

démarches.

2.1. Les démarches de l’audit interne

Pour jouer pleinement son rôle dans la maîtrise des risques de l’organisation, l’auditeur

adopte des démarches pour mener ses missions. Plusieurs approches existent notamment

l’approche traditionnelle et l’approche moderne.

BECOURT & al (2008 : 25) distinguent six (06) types d’approche d’audit à savoir :

- l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’adresse

à des opérations, systèmes de sorte qu’il est limité dans le temps à une partie de

l’entreprise;




- l’approche « audit total » : elle est illimitée et vise à la couverture totale de toutes

les fonctions et opérations ;

- l’approche audit transversal qui s’intègre plus ou moins dans les deux précédentes

catégories : recouvre au sein d’une organisation complexe, l’audit d’une fonction,

d’une procédure quelque soit le site dans lequel ceux-ci sont opérées. L’auditeur

cherche à mettre en évidence les risques, les vulnérabilités afin de permettre à

l’organisation de les optimiser ;

- l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen

d’identifier le risque d’audit afin de rendre le service attendu plus performant ;

- l’approche par les compétences des auditeurs : La compétence technique nécessaire

à un audit implique une combinaison de connaissances. La compétence de

l’auditeur a une influence directe sur l’impact des missions ;

- l’approche moderne : l’approche par les risques est une des conséquences directes

de la recherche d’efficacité par l’audit interne. Cette approche part du principe qu’il

est peu utile d’investir sur une partie significative dans des aires de l’entreprise où

un risque est susceptible d’apparaître.

Nous retiendrons les deux principales approches de l’audit que sont l’approche par les

systèmes et l’approche par les risques.

2.1.1. L’approche par les systèmes

Selon COLLINS (1992 :24), le principe de l’approche par les systèmes est basé sur la

morphologie de l’entreprise qui est conçue comme un ensemble de systèmes et de

procédures géré par un personnel spécialisé dans le but d’assurer le respect des politiques

et des stratégies adoptées par les dirigeants pour permettre à l’entreprise d’atteindre ses

objectifs.

2.1.1.1. La présentation de la démarche

L’approche par les systèmes consiste à considérer l’entreprise comme un ensemble de

systèmes. Selon BECOURT & al (2008 : 26), dans cette approche l’audit « passe au peigne

fin » la fonction, système et les processus. Il analyse la structure, l’organisation et le

fonctionnement d’un système ou d’une procédure dans son détail et apprécie les qualités de

contrôle.




COLLINS (1992 :28) ajoute que l’auditeur prend parfois le bilan (et le compte de résultat)

comme point de départ pour son étude à travers les systèmes. On appelle cette approche

« top down », car elle part des documents de synthèse. Dans cette approche de l’auditeur,

on considère l’entreprise comme un ensemble de risques.

Elle consiste en:

- une prise de connaissance de l’entreprise ;

- l’évaluation du contrôle interne ;

- l’identification des cycles significatifs ;

- à une revue analytique ;

- à des rapports.

D’après SARDI (2002 :176-177), par cette approche les différentes composantes du

système de contrôle interne sont analysées pour apprécier leur efficacité. Ci-joint en

annexe le cycle d’opérations de gestion.

2.1.1.2. Les limites de l’approche par les systèmes

Pour COLLINS, lorsque l’auditeur adopte l’approche par les systèmes il prend un risque

car s’il n’a pas les connaissances nécessaires pour accomplir une mission en respectant les

exigences de qualité des organisations, il pourra se voir inculper un manque de diligence

professionnelle.

Cette approche comporte certaines limites notamment des insuffisances dans la

planification et l’évaluation du contrôle interne.

- planification : l’auditeur se focalise sur la justification des informations financières

par des éléments probants alors qu’il lui sera difficile de vérifier le non

enregistrement d’une opération ;

- l’évaluation du contrôle interne.

Pour BECOURT & al (2008 : 29) ; l’auditeur s’attache à déceler les inaptitudes du système

étudié à produire les effets escomptés.

D’après CHAMBERS (Revue de l’audit et contrôle internes, Avril 2011 : 40), les missions

de l’audit interne étaient focalisées sur les contrôles financiers jusqu’en 2008, mais il a su




se réorienter et retrouver une vision plus large des risques menaçant les organisations.

D’où l’apparition d’une nouvelle démarche appelée approche par les risques.

2.1.2. L’approche par les risques

Selon POWER (in Elisabeth Bertin, 2007 :306), la légitimité des pratiques de gestion

dépend maintenant de leur auditabilité. Rendre les entreprises auditables, c’est faire en

sorte que les processus de gestion puissent être évalués, par l’entreprise et par des tiers

indépendants. Par rapport à cette affirmation, il convient de se poser la question sur

l’adaptabilité des procédures d’audit interne aux pratiques de gestion existantes ou au

contraire sur la manière dont le processus d’audit peut façonner les pratiques de gestion.

2.1.2.1. La description de la démarche

L’approche par les risques consiste pour l’auditeur à focaliser son travail sur les zones de

l’entreprise ou des risques peuvent se matérialiser. L’analyse porte sur l’identification pour

chacune des parties de l’entreprise de facteurs internes ou externes facilitant l’occurrence

des risques.

Pour COLLINS (1992 :28), l’auditeur, dans sa prise de connaissance de l’entreprise

s’informe largement sur tous les aspects significatifs de la vie de l’entreprise ainsi que de

l’évolution de son environnement. Etant donné que l’audit n’est jamais exhaustif, il

incombe à l’auditeur de déterminer où se trouvent les domaines à risque. SARDI (2002 :

176) ajoute que l’approche par les risques consiste à identifier les risques majeurs et à

analyser les dispositifs mis en œuvre pour les maîtriser.

Selon les normes d’audit la démarche peut se schématiser comme suit :

- la planification des travaux ;

- le contrôle interne ;

- l’obtention des éléments probants ;

- l’utilisation des travaux d’autres professionnels ;

- la conclusion et rapports d’audit. (voir annexe 2, page 88 ; l’entreprise comme un

ensemble de risques)




Pour COLLINS (1992 :29), l’idée de base est que chaque domaine sensible présente un

risque que l’information le décrivant soit erronée. Ainsi, l’auditeur après son étude initiale

est apte à concentrer l’essentiel de son travail là où il prévoit les plus grands risques.

2.1.2.2. Les différentes phases de la démarche

Cette démarche de l’approche par les risques prend en considération plusieurs facteurs et

éléments nécessaires à sa mise en œuvre. Selon LEMANT (1995 :111), une mission

d’audit interne est menée par une équipe d’auditeurs, dirigée par un chef de mission qui est

responsable du succès de la mission. Celle-ci se découpe en quatre (04) phases qui sont :

2.1.2.2.1 La phase de la préparation

Pour RENARD (2008 : 217), cette phase débute par l’ordre de mission qui est le document

qui formalise le mandat donné par la direction générale à l’audit interne. Elle consistera

ensuite à prendre connaissance du domaine à auditer, à identifier les risques et à définir les

objectifs.

Selon RENARD (2008 :233), cette étape n’est que la mise en œuvre de la norme 2210.A1 :

« En planifiant sa mission, l’auditeur interne doit relever et évaluer les risques liés à

l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction

des résultats de cette évaluation.». Il s’agit d’identifier les endroits où les risques les plus

dommageables sont susceptibles de se produire, que d’analyser les risques eux-mêmes.

Cette phase conditionne la suite de la mission de l’auditeur car elle va lui permettre de

construire son référentiel et, dans le même temps, de concevoir son programme et de

l’élaborer en fonction non seulement des menaces mais également de ce qui a pu être mis

en place pour y faire face.

Les risques sont appréciés tâche par tâche pour l’activité objet de la mission d’audit au

niveau analytique. « Le but de l’évaluation des risques pendant la phase de planification de

l’audit est d’identifier les secteurs importants de l’activité à auditer. » (Norme 2210.A1 in

Jacques Renard 2008 :233).




2.1.2.2.2 La phase de la réalisation

Selon RENARD (2008 :245), tout commence par une réunion relativement solennelle et

nommée « réunion d’ouverture ». Cette réunion va consister à une présentation de

l’équipe, à faire un rappel sur l’audit interne et à réaliser le rapport d’orientation.

D’après BERTIN (2007 :42), l’auditeur poursuit deux (02) objectifs lors de cette phase :

- mettre en évidence les faiblesses et les forces apparentes du dispositif de contrôle

interne;

- proposer des solutions d’amélioration.

Le travail sur terrain fait appelle à des techniques (interview, observation physique,

narration examen analytique, sondages…) et à des moyens (questionnaires de contrôle

interne, feuille de révélation et d’analyse des problèmes…).

L’auditeur doit systématiquement valider ses constats identifiés lors de son intervention sur

le terrain en les portant à la connaissance du responsable.

2.1.2.2.3 La conclusion et rapport

Pour BERTIN (2007 :44), toute mission d’audit s’achève par la rédaction d’un rapport. Les

auditeurs présentent les conclusions générales de la mission en recueillant les objections et

les précisions des audités en vue de la rédaction du rapport d’audit. Une fois l’audit réalisé,

l’auditeur doit remettre un rapport aux destinataires concernés.

2.1.2.2.4 Le suivi des recommandations :

« Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités,

commence avec la formulation des recommandations. Il se dessine avec la détermination

du (ou des) responsable(s) de chaque recommandation, lors de la validation du projet de

rapport. Il se formalise par l’engagement des responsables désignés dans le rapport sur des

plans d’action. Il se concrétise par la mise en place des actions de progrès agrées entre

auditeurs et audités lors de la revue des réponses. Il se manifeste par la diffusion




périodique de l’état d’avancement des Actions de Progrès. Il se termine avec une

évaluation des résultats obtenus. » (LEMANT, 1998 :128).

2.1.2.2.5 Le tableau des risques

Le tableau des risques consiste à découper l’activité (en fonction ou en processus) à auditer

en tâches élémentaires. Ce découpage sera plus ou moins fin selon l’approfondissement

que l’on souhaite donner à l’observation. Le tableau des risques consistera :

- à découper l’activité en tâches ou opérations élémentaires ;

- à indiquer en face de chacune de ces tâches quel est son objectif et à quoi elle sert.

Cette décomposition en tâches élémentaires est d’autant plus importante qu’elle est

nécessaire :

- elle constitue le premier stade du tableau des risques ;

- elle représente la première partie du questionnaire de contrôle interne (QCI) ;

- elle est la base de la grille d’analyse des tâches ;

- elle est la première étape de l’élaboration d’un contrôle interne rationnel pour le

manager.

En ce qui concerne RENARD (2008 :235), le tableau des risques doit nécessairement

prendre en compte les trois (03) facteurs susceptibles de générer des risques :

- l’exposition : ce sont les risques qui pèsent sur les biens et sont multiples

(malversations, incendies, dommage de toute sorte) ;

- l’environnement : ce n’est plus le bien lui-même, mais ce qui est autour qui devient

facteur de risque. Sous cette rubrique prennent place tous les risques liés aux

opérations ;

- la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à

la multiplication des procédures et contrôles qui seront autant de freins et de

contraintes excessifs, si on n’a pas pris la mesure exacte du danger et de la riposte

appropriée.

BERTIN (2007 :41) ajoute que l’établissement de la feuille de risques passe par le

découpage du domaine ou de l’activité en objets auditables, la définition des objectifs à




atteindre par chacune des tâches, l’évaluation de l’impact, l’indication de bonnes pratiques

permettent d’apprécier en termes de risques, l’atteinte d’un objectif de contrôle.

Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il sera nécessaire

de vérifier sur le terrain lors de la réalisation des travaux d’audit.

Tableau 2 : Tableau de risques correspondant à la réception des marchandises

Entité/

domaine/

opération

Objectifs

de contrôle Risques

Bonnes

pratiques

Forces et

faiblesses

apparentes F/f

Evaluation

préliminaire

des risques

R1

R2

F (faiblesse)

f

Elevé

moyen

R3 f faible

Source : BERTIN (2007: 41)

L’approche par les risques dénote des faiblesses surtout au niveau de la taille de

l’entreprise. En effet, d’après BERTIN (2007 :38), cette démarche n’est efficace que si

l’entreprise est de taille importante mais devient inutile et coûteuse pour les petites

entreprises.

2.1 La maîtrise des risques opérationnels

La maîtrise des risques d’une entreprise est l’ensemble des initiatives souhaitables qu’elle

devrait adopter pour faire face aux principaux risques inhérents à ses activités. Néanmoins

maîtriser les risques, ne consiste pas seulement à prendre des initiatives pour éviter les

risques mais aussi à prendre des initiatives pour ne pas manquer les opportunités.

L’organisation d’un dispositif de maîtrise des risques opérationnels fait intervenir de

nombreux acteurs de l’entreprise car ceux-ci se retrouvent à tous les niveaux et dans toutes

les fonctions de l’entreprise.




2.2.1. Les dispositifs de maîtrise des risques opérationnels

Maîtriser selon le Larousse de poche (2003 : 488), c’est se rendre maître des éléments

difficilement contrôlables. De ce fait, le dispositif de maîtrise des risques est l’ensemble

des mesures qui doivent permettre à l’entreprise d’éviter de faire face à un tel incident.

FAULTRAT (in revue française de l’audit interne février 2000 ; n° 148) le défini comme

l’ensemble des moyens concrets mis en place par les responsables opérationnels pour faire

face aux risques inhérents à leurs activités.

Selon JIMENEZ & al (2008 :91-92) le dispositif de base d’une bonne maîtrise des risques

opérationnels doit comporter plusieurs éléments qui peuvent se traduire par :

- une politique bien définie et documentée ;

- un réseau de responsables en charge de l’animation du dispositif et de leur propre

réseau de correspondants au sein de leur structure ;

- un dispositif d’identification et de gestion des risques au quotidien ;

- la mise en place d’indicateurs avancés et pertinents assurant des alertes sur toute

perturbation d’un processus donné ;

- des reporting adaptés au profil de risques de l’entité ;

- des évaluations régulières du dispositif par les personnes en charge de son

animation et par des intervenants externes.




Tableau 3 : Questionnaire relatif à la maîtrise des risques

Questions Réponses

Oui Non

Identification des principaux risques :

- Existe –t-il un processus d’identification des principaux risques ?

- Une organisation a-t-elle été mise en place à cet effet ?

Analyse des principaux risques :

- L’analyse des risques tient-elle compte des évolutions internes et

externes de la société ?

- Ces analyses donnent –elles lieu à des actions spécifiques ?

Procédures de gestion des principaux risques :

- Une politique et des procédures de gestion des principaux risques

ont-elles été définies, validées par la direction et mises en place dans

la société ?

- Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la

surveillance des procédures de gestion des risques ?

Surveillance des risques et des procédures de gestion : l’entreprise

communique-t-elle en interne avec personnes intéressées ?

- Sur des facteurs de risques ?

- Sur les dispositifs de gestion des risques ?

- Sur les actions en cours ?

- Existe-t-il un dispositif permettant d’identifier les principales

faiblesses du dispositif de gestion des risques mis en place ?

Source : inspiré de RENARD (2006 :224)

Le référent de maîtrise des risques : Selon FAUTRAT (in revue française de l’audit

interne, Février 2000 : 25), il s’agit du document référentiel validé par la direction, qui au

niveau global de l’entreprise visualise les grands processus d’activité, les risques essentiels

qui leur sont inhérents, et les règles de contrôle interne y correspondant.




2.2.2. Le système de contrôle interne

Les notions de contrôle interne sont présentes dans tous les domaines, non seulement dans

le secteur privé mais également dans le secteur public. Cependant, toutes les organisations

professionnelles d’audit n’ont pas la même perception de ce qu’est le contrôle interne.

En effet, comme le souligne COLLINS (1992 :34), tout le monde tombe d’accord que

l’auditeur doit obligatoirement tenir compte de l’efficacité du contrôle interne lorsqu’il

entreprend la planification de sa mission. Ainsi sont nombreuses les définitions du contrôle

interne qui existent

2.2.2.1. Définition

Le COSO (in revue française de l’audit interne, Juin 2000 : 12-13), défini le contrôle

interne comme un processus mis en œuvre par le Conseil d’Administration, les dirigeants

et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la

réalisation des objectifs ci-dessous :

- la réalisation et l’optimisation des opérations ;

- la fiabilité des informations financières ;

- la conformité aux lois et règlements.

BARBIER (1996 :21) ajoute que le contrôle interne est aussi l’ensemble des dispositions

incluses dans les organisations et dans les procédures, dont l’objet est d’assurer la qualité

de l’information, la protection du patrimoine, le respect des lois comme des plans et

politiques de la direction générale ainsi que l’efficacité du fonctionnement de l’entreprise.

2.2.2.2. Les objectifs du contrôle interne

D’après COLLINS (1992 :38), quatre (04) objectifs du contrôle interne peuvent être

identifiés :

- la sauvegarde des actifs : l’obligation de l’administrateur est de s’assurer que les

actifs de la société sont protégés en permanence ;

- la qualité de l’information : elle ne peut être assurée que par l’entremise de

contrôles réguliers qui font partie intégrante des systèmes d’information ;




- assurer l’application des instructions de la direction : il est relativement facile

d’émettre une instruction ; cette facilité et la nécessité de la faire continuellement

dans une entreprise à tous les niveaux de responsabilité posent un problème de

contrôle ;

- favoriser l’amélioration des performances : les définitions du contrôle interne visent

le respect d’une efficacité certaine et, à un moindre degré, une certaine efficience

dans la gestion de l’entreprise.

2.2.2.3. Les éléments du dispositif de contrôle interne

Selon PIGE (2003 : 42), le système de contrôle interne doit être adapté à chaque

organisation. En fonction de la nature des activités, il doit assurer le respect d’un certain

nombre de principes qui sont la séparation des tâches, la supervision et la conservation des

actifs. De ce fait, GRAND & al (2006 : 72), mettent en évidence les qualités d’un bon

contrôle interne qui doit être lié à l’existence de procédures. On dénombre

traditionnellement six (06) principes:

- le principe d’harmonie : les procédures doivent correspondre à l’organisation et

adaptées à la structure;

- le principe de permanence et d’universalité : les procédures doivent être

permanentes, c’est- à- dire appliquées durant toute l’année et être universelles ;

- le principe de reconnaissance : les procédures doivent être connues et acceptées,

pour ce faire elles doivent être correctement diffusées à l’intérieur de

l’organisation ;

- le recoupement : les procédures doivent être étudiées de façon à assurer des

possibilités de recoupement et de contrôle réciproque. Il permet une mise en

évidence rapide des dysfonctionnements ;

- l’enregistrement et le classement méthodique des faits : l’organisation

administrative doit permettre un enregistrement rapide des opérations et les

documents justificatifs dûment conservés. Ce principe permet de mener aisément et

rapidement les contrôles ;

- la séparation des fonctions : il est le principe fondamental de l’auditeur. Toute

opération dans l’entreprise touche les quatre (04) fonctions suivantes :

o la fonction de réalisation des opérations (embauche, achat) ;




o la fonction de manipulation des actifs (encaissement, livraison de marchandises);

o la fonction d’enregistrement (tenue des stocks, comptabilité);

o la fonction de contrôle (rapprochement, inventaire).

Certains auteurs comme NGUYEN (1999 :199-200) pensent que ces principes sont utiles

pour la mise en œuvre du contrôle interne.

Selon JIMENEZ & al (2008 :127), la finalité de la mise en œuvre de la maîtrise des risques

opérationnels est de pouvoir faire face aux éléments identifiés et évalués afin de modifier

le profil de risques de la société ou d’amoindrir sa survenance. Même si le contrôle interne

joue un rôle clé dans la conduite et le pilotage des différentes activités d’une entreprise, il

ne peut couvrir toutes les initiatives prises par le management.

2.2 L’apport de l’audit interne dans le dispositif de maîtrise des risques

opérationnels

Dans le cadre de leur mission, les auditeurs internes doivent déterminer si :

- l’environnement de l’entreprise favorise la sensibilisation au risque et au contrôle ;

- des objectifs d’entreprise réalistes ont été fixés ;

- des procédures écrites existent, qui décrivent les activités prohibées et les mesures à

prendre en cas d’infraction avérée ;

- des procédures d’autorisation appropriées pour les transactions sont mises en

place ;

- des politiques, pratiques, procédures, rapports et autres mécanismes sont mis au

point pour piloter les activités et protéger les actifs, en particulier dans les domaines

à haut risque ;

- des canaux de communication donnent à la direction des informations fiables et

pertinentes.

L’audit interne aura pour mission d’auditer les dispositifs de gestion des risques

opérationnels dans la phase de pré-homologation, puis dans le cadre des plans annuels

d’audit. Ces missions doivent permettre d’assurer, tant à l’organe exécutif qu’au

régulateur :

- l’appréciation et la maîtrise des risques de l’établissement ;




- la bonne appréciation de la politique des risques définie ;

- la capacité de l’établissement à détecter, prévenir et gérer ses risques dans les

limites qu’il s’est fixées et de manière conforme à la règlementation en vigueur.

Le contrôle interne est l’outil de maîtrise par l’entreprise de ses procédures et de son

exploitation et est l’affaire des dirigeants. Cependant aucun système de contrôle interne

n’est parfait, pour ce faire il s’avère une nécessité de procéder à son évaluation. L’audit

interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et

de faire des recommandations pour l’améliorer.

2.3.1. L’appréciation du dispositif de contrôle interne

Selon BILODEAU (revue de l’audit et contrôle internes, Avril 2001 :31-32), l’auditeur

interne doit faire preuve de conscience et de diligence professionnelle dans l’exercice de

ses fonctions ce qui lui permettra de contribuer à réduire les risques. Il évaluera selon le

cadre de référence choisi, la pertinence et l’efficacité du système de contrôle interne

compte tenu des risques spécifiques à chaque fonction ou métier de l’entreprise.

Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables

que l’audit devrait chercher à atteindre. Pour ce faire, évaluer le contrôle interne de

l’entreprise vise à s’assurer que, à tous les niveaux de l’entreprise, les objectifs de contrôle

sont atteints par la mise en place de procédures appropriées définies dans le cadre d’un

manuel et effectivement appliquées par le personnel. En outre, BARRY (2009 :16-17)

ajoute que l’évaluation du contrôle interne permet la détection :

- des points forts du système de contrôle mis en place par l’entreprise ;

- des zones de faiblesse du contrôle interne qui sont susceptibles d’entrainer des

dysfonctionnements dans l’entreprise et avoir des impacts négatifs sur la fiabilité des

informations.

« L’appréciation du système de contrôle interne passe par le découpage de l’entreprise en

cycle d’activités et par l’évaluation des procédures mises en place pour atteindre les

objectifs de contrôle pour chacun des cycles. » (BARRY, 2009 :17).




2.3.1.1. Le découpage en cycles d’activités

D’après BARRY (2009 :17-18), les cycles que l’on trouve traditionnellement dans

l’entreprise sont les suivants :

- cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats,

depuis la budgétisation jusqu’au règlement des fournisseurs ;

- cycles dépenses- immobilisations : regroupe les fonctions relatives aux achats et à la

conservation des biens d’équipement, de leur budgétisation à leur dépréciation ou

cession ;

- cycle stocks : qui regroupe les fonctions liées aux stocks et à la production, depuis la

réception jusqu’à l’inventaire;

- cycle des revenus : concerne les fonctions de ventes et créances, de la budgétisation à

l’encaissement des créances ;

- cycle du personnel : regroupe les fonctions relatives au personnel et à la paie, depuis

la budgétisation des dépenses de personnel à l’embauche jusqu’au règlement des

salaires et des charges sociales ;

- etc.

Tableau 4 : Objectif de contrôle de l’enregistrement exhaustif des ventes

Questions Réf

OUI

OU

N/A

NON Commentaires

Référence

Programme

de travail

1- L’accès aux zones de stockage et

d’expédition est-il suffisamment

protéger pour éviter des :

-expéditions sans bon de

livraison ?

- retour sans bon de retour ?

2- Les bons d’expédition sont-ils :

établis sur des formulaires

standards ?

prénumérotés ?

Source : CNCC (1992 :97)




A partir des orientations données dans son programme de travail, l’auditeur doit effectuer

une analyse des systèmes de contrôle interne de l’entreprise afin d’en apprécier les points

forts et les points faibles en vue de déterminer la nature et l’étendue des travaux.

2.3.1.2. L’évaluation du contrôle interne

Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du

contrôle interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de

passifs qui en résultent comporte deux phases essentielles :

- l’appréciation de l’existant : elle consiste à comprendre les procédures de traitement

des données et les contrôles internes manuels et informatisés mis en place dans

l’entreprise. elle se déroule comme suit :

o prise de connaissance détaillée du système ;

o vérification par des tests que les procédures décrites et les contrôles indiqués

sont appliquées ;

o évaluation des risques d’erreurs ;

o identification des contrôles internes ;

o évaluation des contrôles internes ;

- l’appréciation de la permanence du contrôle interne : elle consiste à vérifier le

fonctionnement des contrôles internes sur lesquels l’auditeur doit s’appuyer pour

effectuer sa mission. Elle se réalise ainsi :

o vérification par des tests de l’application permanente des procédures (test de

permanence) ;

o formulation définitive du jugement à partir de l’évaluation des conclusions des

précédentes phases.

L'évaluation des dispositifs de contrôle est effectuée par l'utilisation de trois techniques à

savoir : les examens de l'évidence du contrôle à travers l'inspection des documents ou les

tests d'existence, les tests de cheminement et l'observation de l'existence du contrôle de

premier niveau.




2.3.2. L’évaluation de la cartographie des risques opérationnels

Selon JIMENEZ & al (2008 :103), la cartographie des risques doit servir de repère dans la

gestion des risques. Son utilisation et sa mise à jour deviennent un processus continu

d’amélioration à travers le suivi des plans d’actions et une revue régulière des évolutions

constatées. Dans la pratique, on constate une revue au moins annuelle des cartographies

avec des mises à jour ponctuelles en cas de changement majeur dans l’organisation. On

s’attèlera à examiner :

- la hiérarchie des événements courants par impacts ;

- la hiérarchie des événements courants par fréquence ;

- la hiérarchie des événements rares par impacts.

On gardera également attentivement les plus fortes variations de classement afin de repérer

les évaluations qui devront être expliquées et corriger de ce fait les erreurs éventuelles.

Puisque les établissements disposent de bases d’incidents, il est convient d’associer le

dispositif de ‘évaluation qu’est la cartographie avec les statistiques de la base d’incidents

qui vont permettre d’objectiver le risque net sur les événements à fréquence.

Ce chapitre nous a permis de mieux cerner le cadre théorique de la gestion des risques et

leur maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation.

En outre l’apport de l’audit interne a été mis en œuvre à travers les évaluations des

dispositifs de contrôle interne et de la cartographie des risques opérationnels. La fonction

d’audit nécessite une complète indépendance afin d’assurer avec objectivité ses missions,

elle ne doit donc pas avoir d’implication dans la définition et la mise en œuvre des

politiques et outils de maîtrise des risques opérationnels. Son rôle majeur sera de valider in

fine la pertinence et la qualité du système de maîtrise des risques et de proposer des

mesures d’amélioration.

Commentaire [k4]: Je trouve que ce point doit être un peu plus enrichi car cela concerne de prime abord ton thème




CHAPITRE 3: METODOLOGIE DE L’ETUDE

Les précédents chapitres étudiés nous ont permis d’avoir une vue d’ensemble sur la

maîtrise des risques opérationnels ainsi que le rôle de l’audit interne dans ce dispositif. Ce

chapitre consistera à présenter la méthodologie que nous utiliserons et les outils de collecte

de données nécessaires pour la réalisation de l’étude.

Il comprend deux (02) sections, la première concernera la présentation du modèle

d’analyse et la deuxième les outils de collecte et d’analyse des données qui seront utilisés.

3.1. Le modèle d’analyse

Notre modèle définira les différentes étapes de la recherche dont la connaissance de

l’entreprise et des dispositifs de maitrise des risques opérationnels. A travers ce modèle,

nous décrirons d’une part les différentes phases et étapes liées à la gestion des risques

opérationnels et d’autre part nous mettrons l’accent sur les différents outils utilisés.

La figure ci - après résume notre modèle d'analyse.




Figure 2 : Modèle d’analyse

Source : nous-mêmes

Connaissance de la structure

organisationnelle de la SONAPOST

Connaissance fonctionnelle de l’audit interne

Contribution de l’audit interne dans

la maitrise des risques

opérationnels

- Analyse documentaire

- Observation - Entretiens

- Entretiens - Observations - Tableau

d’identification des risques

- Grille de séparation des tâches

- QCI - Test de conformité

et de permanence

Recommandations : bonnes pratiques

PHASE ETAPES OUTILS

Organisation et fonctionnement

Mécanismes internes de gestion des risques

opérationnels

Dispositif de maîtrise des risques opérationnels

Rôle de l’audit interne dans le contrôle interne

Evaluation du dispositif de maîtrise des risques

opérationnels

Forces et faiblesses du dispositif de maîtrise des

risques opérationnels




3.2. Les outils de collecte et d’analyse des données

En vue de collecter les données nécessaires pour la réalisation du travail, certains outils

s’avèrent indispensables non seulement pour la collecte mais également pour leur analyse.

3.2.1. Le questionnaire de contrôle interne

Notre questionnaire (annexe 4, page 90) sera administré à un échantillon des agents de la

SONAPOST qui interviennent dans le processus de gestion et de maîtrise des risques

opérationnels. Il sera composé de questions fermées, en vue d’analyser les risques,

d’évaluer le dispositif de contrôle interne pour déceler les forces et les faiblesses de celui-

ci. Une réponse « oui » à une question constitue une force apparente du dispositif de

contrôle interne ; alors qu’une réponse « non » constitue une faiblesse réelle.

Il sera établi en deux phases :

- la première portera sur les risques opérationnels ainsi que les dispositifs de gestion

et de maîtrise de ces derniers ;

- la seconde concernera l’évaluation des dispositifs de maîtrise et de contrôle interne.

3.2.2. L’analyse documentaire

L’analyse documentaire consiste à l’exploitation des documents internes de l’organisation

dans le but d’en tirer des informations utiles pour la prise de décision.

Une revue de la documentation de la SONAPOST sera faite et concernera les éléments

suivants :

- l’organigramme ;

- le manuel des procédures de gestion des risques opérationnels ;

- les rapports d’activité ;

- les dispositifs de maîtrise des risques opérationnels.

L’analyse de ces documents permettra d’avoir un aperçu sur le fonctionnement de la

SONAPOST, des risques opérationnels qu’elle rencontre ainsi que des dispositifs mis en

œuvres pour les gérer et assurer leur maîtrise.




3.2.3. L’interview

L’interview consistera à effectuer des entretiens avec les personnes ressources

(opérationnels et les auditeurs internes) pour recueillir leurs opinions et assurer ainsi la

qualité des informations recueillies. Il permettra une meilleure description du processus de

gestion des risques opérationnels et d’appréhender les dispositifs de contrôle interne mis en

œuvre. L’entretien consistera à prendre rendez-vous avec les acteurs du processus à qui

nous administrerons un questionnaire et il concernera les personnes suivantes :

- la direction des risques ;

- les auditeurs internes ;

- les opérationnels.

3.2.4. L’observation physique

L’observation se fera de deux (02) manières, celle directe qui nous permettra de

comprendre et de valider les informations recueillies lors de l’interview sur le processus de

gestion des risques opérationnels et les dispositifs mis en œuvre ; et celle indirecte se

focalisera sur le dispositif de maîtrise des risques opérationnels afin d’avoir une idée sur la

contribution de l’audit interne dans le processus de maîtrise de ceux-ci.

3.2.5. Le tableau d’identification des risques

Il permet de découper l’activité en différentes tâches élémentaires afin d’identifier les

risques opérationnels rattachés à chacune d’entre elles et de déterminer les forces des

dispositifs de maîtrise des risques.

3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA)

Le TFfA permettra d’identifier les risques opérationnels au niveau de chaque tâche et

d’avoir une vue sur les dispositifs mis en place pour les réduire. Devant chaque tâche il ya

l’objectif fixé, le risque encouru et les pratiques communément admises.

3.2.7. La grille de séparation des tâches

Elle relie l’organigramme fonctionnel à l’organigramme opérationnel, pour vérifier le

respect du principe de séparation des tâches. La grille de séparation des tâches est une




technique qui permet de détecter d’éventuels dysfonctionnements grâce à l’exploitation,

entre autres, de l’organigramme fonctionnel et hiérarchique. Ainsi, elle permettra de

déceler les tâches incompatibles, les cumuls de fonctions ; plus spécifiquement l’analyse

de la grille de séparation des tâches de la Sonapost permettra de voir le mode de répartition

des tâches (Annexe 3, page 89).

3.2.8. Le test de conformité et de permanence

Ces tests seront utiles pour s’assurer d’une part que les dispositifs de contrôle interne ont

été appliqués, pour assurer la remontée à la source en passant par toutes les phases

intermédiaires, et d’autre part de s’assurer que les opérations sont toujours traitées

conformément à ce qui a été décrites lors des entretiens.

Ce chapitre portant sur la méthodologie de l’étude nous a permis de mieux définir le cadre

de conduite de notre étude, d’identifier les outils adéquats et de déterminer à quel moment

ils devront être utilisés. Nous disposons de ce fait d’un cadre méthodologique référentiel

pour aborder la partie pratique de notre étude. Cette partie nous permettra de mettre en

œuvre les différents outils et techniques étudiés dans la revue de littérature.




Conclusion de la première partie

Toute entreprise est confrontée à un ensemble de risques internes et externes qui doivent

être évalués. Avant de procéder à cette évaluation, il est nécessaire de définir les objectifs

compatibles et cohérents. Compte tenu de l’évolution permanente de l’environnement, du

contexte règlementaire et des conditions d’exploitation, il est nécessaire de disposer de

méthodes permettant d’identifier et de maîtriser les risques. De ce fait, les entreprises

doivent mettre en place des méthodes pour recenser, analyser et gérer les risques auxquels

elles sont confrontées.

Les normes préconisent que l’auditeur interne doit comprendre l’examen et l’évaluation du

caractère suffisant et de l’efficacité du système de contrôle interne de l’organisation ainsi

qu’une évaluation qualitative des performances réalisées. Selon CHAMBERS (Revue de

l’audit et du contrôle internes, Avril 2011 : 40), pour jouer pleinement son rôle dans le

processus de management des risques, l’audit interne doit être capable de comprendre

comment les risques affectent l’entreprise ? Quel rôle joue –t-il dans la gestion des

risques ? Et comment utiliser l’évaluation des risques ? Il devra continuer à progresser dans

cette direction car les entreprises deviennent de plus en plus sophistiquées dans le domaine

de la gestion des risques.

Une fois l’importance et la probabilité de survenance du risque évaluées, le management

doit étudier la manière dont il doit être géré. Aussi, avant d’instaurer des procédures

supplémentaires, le management doit déterminer si celles déjà existantes sont adéquates au

regard des risques identifiés.

« Il peut apparaître, de prime à bord, que la maîtrise d’une entreprise est l’un des objectifs

évidents d’un conseil d’administration et des dirigeants opérationnels. Pourtant, si l’on

accepte que le mot « contrôler » ait la même signification que « maîtriser », on conçoit

quelques doutes sur la volonté d’un grand nombre de dirigeants d’entreprises d’exercer

leurs responsabilités avec la rigueur et la conviction nécessaire. » (COLLINS, 1992 : 40)


DEUXIEME PARTIE :

CADRE PRATIQUE DE L’ETUDE




Introduction de la deuxième partie

La mise en œuvre des mesures de contrôle et de plans d'action résulte d'un compromis

entre leur coût d'application et le niveau de risque obtenu. La détermination du profil des

risques opérationnels correspond à l'identification, à chaque niveau de son organisation,

des processus supportant des risques opérationnels, à la formulation de ces risques ainsi

qu'à leur notation (probabilité d'occurrence et perte). C’est une étape clé car elle va

conduire à déterminer, avec plus ou moins de sensibilité, quelle est la nature des incidents

qui seront collectés et par conséquent suivis ensuite. C'est elle qui permettra aussi de

définir une nomenclature des risques opérationnels valable pour la totalité de

l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. La

cartographie des risques est par conséquent la formalisation du travail d'identification des

risques opérationnels. La maîtrise et l'atténuation du risque opérationnel forment

certainement le sous-processus le plus complexe de cet ensemble, car de lui va dépendre la

capacité de l’entreprise à se doter de moyens afin de prévenir les risques en identifiant les

leviers d'action corrects pour anticiper certains événements ou diminuer au maximum leur

impact en cas de survenance.

Le contexte économique actuel de globalisation et de concurrence accrue rend nécessaire

une adaptation permanente de l’entreprise à son environnement. Dans ce cadre, la prise de

risque, attribut incontournable du management, devient un enjeu majeur de survie et de

développement. C’est pourquoi, un nombre croissant d’organisations se dote désormais de

dispositifs et de processus destinés à maîtriser leurs risques afin d’assurer l’atteinte de

leurs objectifs et d’améliorer leur performance.

L’audit est à l’intérieur d’une entreprise une activité indépendante d’appréciation du

contrôle des opérations. Son objectif est d’assister les dirigeants de l’entreprise dans

l’exercice de leur responsabilité. Dans ce but l’audit interne leur fournit des appréciations,

des recommandations, des avis et des informations concernant les activités examinées. Il

permet que les différents éléments du contrôle interne mises en œuvre permettent la

maîtrise des processus.




CHAPITRE 4: PRESENTATION DE LA SONAPOST

La gestion d’une entreprise comme la Sonapost repose sur le principe d’une très large

délégation de responsabilités. Ce principe implique nécessairement le renforcement des

dispositifs de contrôle afin que la direction générale et les ministères de tutelle aient

l’assurance de la correcte utilisation de cette délégation par les services opérationnels.

Par ailleurs, pour réussir les mutations imposées par l’évolution de son environnement et

les marchés sur lesquels elle intervient avec la libéralisation et le développement de la

concurrence, elle se doit de renforcer son image vis-à-vis du public et de ses partenaires et

cela passe par la mise en place d’une organisation adaptée aux objectifs et des moyens

pour conserver en permanence la maîtrise parfaite de ses activités.

Au cœur de ce dispositif, il appartient à l’audit interne, directement rattaché à la direction

générale, d’apprécier l’aptitude des unités à conserver leurs opérations sous contrôle. Cela

implique d’évaluer la qualité, l’efficacité et la pertinence de leur organisation

(responsabilités, répartition des tâches, procédures, méthodes et outil de travail) ; puis de

susciter les améliorations qui feront progresser leur performance et contribuer ainsi au

développement de la société.

4.1. Historique

La Société Nationale des Postes est issue d’une scission de l’office des postes et

télécommunication (OPT) en 1987. Elle est aujourd’hui une société d’Etat régie par la

réglementation générale des Sociétés à capitaux publics et avec un capital de deux

milliards cinq cent quatre vingt dix millions (2 590 000 000) de FCFA.

Ainsi, de 1919 à 1932, les services des postes, téléphones et télégraphes étaient exploités en

régie sous la responsabilité du fermier Lazare Pathin. En raison du monopole postal, les

postiers avaient le droit de fouiller les véhicules, les locomotives et les bateaux pour déceler

les cas de violation du monopole. Les services postaux voltaïques relevaient de Dakar.

Avec la suppression de la Haute Volta et son rattachement au Mali, au Niger et à la Côte

d’Ivoire, les services vont se morceler pour être rattachés à ces pays. La reconstruction du

pays va permettre en 1947, la création des postes voltaïques, et le transfert de la direction à

Ouagadougou. La poste de la Haute Volta devient membre de l’Office Fédéral des Postes




et Télécommunications (OFPT) avec pour siège Dakar, sous la direction de l’Office

Fédéral de l’Afrique Occidentale Française (OFAOF).

Avec l’accession des pays africains à l’indépendance, l’office fédéral fut éclaté. La Haute

Volta crée ses propres services de postes et télécommunications, rattachés à la fonction

publique. Par l’ordonnance n° 68/023/PRES/INFO/PT du 10 Juin 1968, l’administration

des postes, télégraphes, téléphones (PTT) devient un Etablissement Public à Caractère

Industriel et Commercial (EPIC) doté d’une personnalité morale et d’une autonomie de

gestion dénommée OPT, chargé du service public des postes et Télécommunications. En

1987, l’OPT est abrogée et s’opère alors une scission entre la poste et les

télécommunications. On aboutit ainsi à la création de :

- l’ONP (Office National des Postes),

- l’ONATEL (Office National des Télécommunications).

En 1994 l’ONP est transformé en société d’Etat par décret n°94-414/PRES/MCC du 21

Novembre 1994 sous la dénomination de la société Nationale des Postes (SONAPOST).

4.2. Les missions et les objectifs de la Sonapost

La Sonapost est une société d’Etat dotée de la personnalité morale juridique et jouissant

d’une autonomie financière. Elle est placée sous la triple tutelle :du ministère des postes et

des technologies de l’information et de la communication qui exerce la tutelle technique et

veille à ce que l’activité s’inscrive dans un cadre global des objectifs fixés par l’Etat ;du

ministère des finances et du budget qui assure la tutelle financière et du ministère du

commerce, de la promotion de l’entreprise et de l’artisanat qui exerce la tutelle de gestion.

4.2.1. Le statut et l’objet social de la Sonapost

L’objet social se définit comme suit :

- la collecte, le transport et la distribution des envois de marchandises ;

- la collecte, le transport et la distribution des correspondances ;

- les activités financières et bancaires à travers la mobilisation et la promotion de

l’épargne, le règlement des valeurs, effets et virements postaux et l’offre de

prestations relatives aux moyens des paiements et des transferts de fonds.




Les principales prestations offertes à la clientèle sont l’affranchissement du courrier, la

gestion des boîtes postales, les opérations d’épargne, de mandats et de transferts d’argent

en partenariat avec Western Union et Money Express.

Les activités postales sont universelles, c’est l’Union Postale Universelle (UPU), organe

des nations unies, qui en assure la coordination au plan mondial.

4.2.2. Les missions et les objectifs

La Sonapost a pour missions essentielles la mise en place et l’exploitation du service

public de la poste et des services financiers postaux à travers :

- la collecte, l’acheminement et la distribution des objets de correspondance, des

paquets, des colis, des journaux etc. ;

- la mobilisation et la promotion de l’épargne au profit de l’économie nationale à

travers la gestion de la caisse nationale d’épargne et du centre des chèques postaux,

le règlement des valeurs, effets et virements postaux échangés hors de son ressort ;

- l’offre de prestations relatives aux moyens de paiements scripturaux et de transferts

de fonds ;

- la préparation et l’exécution des plans d’équipement des postes.

- d’appliquer la réglementation et la législation propres aux postes et les conventions,

règlements et arrangements de l’UPU et des unions restreintes dont le Burkina Faso

est membre ;

- de préparer et d’exécuter les plans d’équipement des postes.

Pour la maîtrise de son évolution, la Sonapost s’est dotée d’un plan stratégique qui repose

sur cinq engagements fondateurs vis-à-vis de l’Etat, vis-à-vis de sa clientèle et vis-à-vis

d’elle-même, dans une volonté claire et affirmée par les dirigeants d’assurer à la fois la

mission de service public tout en améliorant sa rentabilité.

Dans le cadre de l’exécution de ses missions essentielles de mise en place et d’exploitation

du service public de la poste et des services financiers, la Sonapost s’est dotée de :

- soixante quatorze (74) bureaux de poste ;

- cinq (05) centres spécialisés ;

- cent trente six (136) circuits courriers cyclistes ;




- vingt neuf mille soixante dix sept (29077) boîtes postales ;

- huit (08) cybers postes ;

- deux (02) cybers kiosques.

4.3. La Sonapost dans l’économie burkinabé

La Sonapost est un acteur important dans l’économie du Burkina Faso car de par ses

activités elle est porteuse d’emplois et de ressources. Le tableau ci-dessous nous montre

l’évolution de son chiffre d’affaires. L’évolution du chiffre d’affaires et de la valeur

ajoutée de la SONAPOST se présente comme suit sur les cinq (05) dernières années.

Tableau 4 : Evolution du chiffre d’affaires

Année Chiffre d’affaires Valeur ajoutée

2006 6 896 070 748 3 678 342 156

2007 7 967 585 202 4 374 718 015

2008 8 315 142 439 4 248 668 069

2009 9 091 426 681 4 733 571 792

2010 10 546 415 354 5 265 843 503

Source : Rapport d’activités 2010 de la SONAPOST

L’évolution positive du chiffre d’affaires et de la valeur ajoutée de la SONAPOST permet

d’avoir une idée sur l’importance de la contribution de cette institution dans l’économie

nationale et dans la vie de la population du Burkina Faso.

Elle bénéficie par ailleurs de l’accompagnement de l’Etat à travers un contrat-plan qui fixe

des obligations de part et d’autre. Celles de la Sonapost dans ce contrat-plan concernent

l’amélioration de la couverture postale à travers la construction de trois (03) bureaux par an

sur fonds propres, la réduction de la fracture numérique à travers la construction et

l’exploitation de cybers postes, l’accompagnement de l’Etat dans ses missions de service

public et la bonne gouvernance dans le management de la société.

4.4. L’organisation et le fonctionnement de la SONAPOST

La Sonapost est gérée par un conseil d’administration et un directeur général nommé par

décret pris en conseil des ministres sur proposition du ministre en charge des postes.

Commentaire [k5]: Es-ce le résultat net ?

Commentaire [k6]: Même remarque




Elle est organisée en administration centrale, en directions régionales, en centres

spécialisés et en bureaux de poste (voir organigramme annexe 1, page 87).

4.4.1. L’administration centrale

Elle se compose de :

- la direction générale : le directeur général est chargé de la direction technique,

administrative, commerciale et financière de la société. Le conseil d’administration

lui délègue les pouvoirs nécessaires à l’exécution de sa mission. A cet effet il est

chargé de :

o représenter la société vis-à vis des tiers. Il détient les pouvoirs les plus étendus

pour gérer la société et l’engager sous réserve des pouvoirs que la loi réserve à

l’assemblée générale des sociétés d’Etat ;

o appliquer la législation et la réglementation relatives au service postal ainsi que

les conventions, règlements de l’UPU ;

o assurer le développement et l’exploitation du service public de la poste. Il prend

à cet effet toutes initiatives dans la limite de ses attributions.

- le secrétariat général : il relève de l’autorité du directeur général. Il l’assiste dans

toutes les questions techniques et d’administration générale. En outre, il oriente et

coordonne les activités des directions centrales et régionales.

- l’inspection générale des services : elle est en charge des missions :

o d’inspection technique et d’assistance ;

o d’enquête et de traitement des affaires juridiques et contentieuses.

- le département contrôle de gestion et de l’audit interne

Le contrôle de gestion a pour rôle d’apprécier des résultats au regard d’objectifs fixés

préalablement. La validité de ces contrôles de performance repose sur la qualité des

informations produites. La garantie de cette qualité est une des missions du service d’audit

interne.

Il comprend deux divisions :




la division contrôle de gestion : a pour missions d’assister les directions et services

dans l’élaboration de leurs tableaux de bord, de centraliser et d’exploiter ceux des

directions et services et d’assurer la collecte, le traitement et la diffusion des

informations de gestion sur les services de la société ;

la division audit interne : le directeur général est chargé de donner au responsable

de l’audit interne les instructions nécessaires pour appliquer la politique de la

société en matière d’audit. Le responsable de l’audit interne est chargé de définir

une politique et une stratégie et fait adopter les objectifs par le comité de contrôle

interne, les traduit en plan, sollicite les moyens pour les réaliser, examiner les

dispositions prises pour protéger les actifs et leur existence et s’assurer de

l’efficacité des actions correctives mises en œuvre par les responsables

opérationnels à la suite des rapports d’audit.

Son action vise donc :

o la disposition prise pour protéger le patrimoine et, si nécessaire, vérifier l’existence

des actifs ;

o les mesures assurant le respect effectif des plans, lois et réglementation qui peuvent

avoir une incidence significative sur les opérations de la société ;

o la fiabilité et l’exhaustivité des informations financières et opérationnelles et les

moyens d’identification, de mesure, de classement et de présentation de ces

informations ;

o l’efficacité de l’organisation : utilisation économique des ressources, adéquation des

moyens aux objectifs, adéquation des structures, conformité des résultats aux

objectifs et aux prévisions, pertinence en termes d’ambition, de faisabilité et de

cohérence.

- le département WESTERN UNION : il a en charge l’organisation et l’animation

du réseau, le développement et la gestion des produits western union et les relations

western union international et avec les autres agents western union au Burkina

Faso ;

- le département des affaires internationales : il assure le suivi de l’exécution

des actes, résolutions et recommandations des réunions internationales

impliquant directement ou indirectement les services postaux et financiers et




veille au respect réciproque des engagements liant la société à ses partenaires

internationaux ;

- le département juridique : il est chargé de traiter les litiges avec les tiers,

d’assister les services en matière juridique, d’assister aux négociations des

conventions, accords et arrangements entre la société et les tiers, et d’assurer le

suivi de leur exécution et de prendre toute initiative pour préserver les intérêts

de la société en cas de conflits ou litiges (contentieux sur les conventions,

affaires pénales et affaires civiles) par application des mesures conservatoires ,

introduction des actions en justice et suivi de la phase judiciaire ;

- le département secrétariat central : est chargé d’assurer le secrétariat, la

gestion de la documentation et des archives de la société, de rédiger les procès-

verbaux des réunions de la Direction générale et de participer à la préparation

des missions à l’extérieur en collaboration avec le département des affaires

internationales.

4.4.2. Les directions techniques

On distingue :

la direction du courrier : elle est chargée de l’organisation, de la conception, et de

la mise en œuvre de la politique de la société en matière de courrier. Elle est en outre

chargée des relations avec les autres administrations postales, de l’organisation et du

fonctionnement du courrier et de la supervision de l’activité des centres spécialisés qui lui

sont rattachés.

Les missions dévolues à cette direction sont :

- l’organisation et l’exploitation du service du courrier ;

- la supervision des réseaux de collecte, d’acheminement et de distribution du

courrier au plan national et international ;

- l’élaboration et le suivi de l’application de la réglementation postale en matière de

courrier.




Elle est composée de trois (03) divisions et de trois (03) centres spécialisés :

- la division acheminement et réglementation ;

- la division exploitation postale ;

- la division express nationale ;

- le centre national de tri ;

- le centre des colis postaux ;

- l’agence philatélique.

La direction des services financiers : elle est chargée d’une part de l’exploitation,

de la vente des produits et services financiers et d’autre part de l’organisation et du

fonctionnement des centres financiers postaux. Ses missions concernent :

- l’organisation, l’exploitation et la promotion des transferts de fonds ;

- l’élaboration et le suivi de la réglementation applicable aux chèques postaux et la

caisse nationale d’épargne.

Il comprend deux (02) divisions et trois (03) centres spécialisés :

- la division transfert de fonds ;

- la division exploitation et réglementation ;

- le centre de contrôle des mandats ;

- le centre des opérations CCP/CNE ;

- l’agence des services financiers postaux.

La direction financière et comptable est chargée de l’élaboration et de la mise en

œuvre de la politique financière et comptable de la société. Elle a notamment pour

missions :

- l’élaboration et l’exécution du budget de la société ;

- la tenue des comptes selon les procédures comptables et fiscales en vigueur ;

- la recherche du financement des investissements ;

- la gestion du portefeuille des titres et les placements de fonds dans les institutions

bancaires.

La direction financière et comptable comprend quatre (04) divisions et un (01) centre

spécialisé :




- la division gestion financière ;

- la division budget ;

- la division comptabilité générale ;

- la division comptabilité analytique d’exploitation ;

- le centre de contrôle de la comptabilité des bureaux.

la direction des ressources humaines : est investie des trois (03) principales

missions ci-après :

- la gestion prévisionnelle des ressources humaines ;

- la gestion administrative des ressources humaines ;

- la valorisation des ressources humaines.

la direction du patrimoine et de la logistique : elle a pour missions principales la

mise en œuvre des programmes d’équipement en matière de bâtiments et moyens

logistiques, la recherche et l’acquisition des terrains pour les besoins de la société et la

rédaction de tous marchés, appels d’offres, consultations restreintes. Elle dispose en outre

d’une cellule codification et inventaire des immobilisations ayant rang de section.

la direction commerciale et du marketing : a pour mission la centralisation des

activités commerciales, de promotion et de communication. A ce titre, la direction

commerciale et du marketing est chargée principalement d’analyser le résultat de la

distribution des différents produits postaux, financiers et télématiques de la société, de

commanditer et d’exploiter les résultats des études de marché, de positionnement des

produits et de concevoir les plans marketing de la société.

La direction des systèmes d’information : elle est le centre des ressources

informatiques. De ce fait, elle a pour missions la définition, le suivi et l’évaluation de la

politique informatique de la société, de la politique de sécurité des systèmes d’information

et le suivi de la coordination des activités des divisions informatiques régionales en

collaboration avec les directeurs régionaux.




4.4.3. Les directions régionales

Les directions régionales de la Sonapost sont au nombre de quatre (04) ; la direction

régionale du centre, la direction régionale de l’ouest, la direction régionale de l’est et la

direction régionale du nord, et sont chargées de l’organisation, de l’animation et de la

supervision des structures postales qui leur sont rattachées, ainsi que de la gestion du

patrimoine de la société dans leur ressort territorial.

De façon générale, elles sont chargées de la mise en œuvre de la politique définie par la

direction générale. Les directeurs régionaux ont particulièrement pour missions de :

- assurer le désenclavement postal des localités de leur ressort territorial ;

- approvisionner tous les bureaux de poste et les centres spécialisés relevant de leur

compétence ;

- assurer la collecte et la mise à la disposition de la direction générale de toutes les

informations relatives aux projets de développement de leur ressort territorial.

4.4.4. Les centres spécialisés

Les centres spécialisés ont pour vocation de traiter des opérations spécifiques de contrôle

ou d’exploitation, éventuellement d’assurer une mission de formation et sont rattachés aux

directions techniques. Ce sont :

- le Centre de contrôle des Bureaux (CCB) ;

- le Centre de Contrôle des Mandats (CCM) ;

- le Centre des Colis postaux ;

- le Centre National de Tri (CNT) ;

- l’Ecole Nationale des Postes (ENP) ;

- le Centre des opérations CCP/CNE ;

- le Centre des opérations Western Union ;

- l’Agence philatélique ;

- le Complexe multi - services (CMS).

Les bureaux de poste : les bureaux de poste et les autres établissements postaux dont la

vocation est de traiter des opérations spécifiques d’exploitation sont rattachés soit aux

directions techniques soit aux directions régionales.




4.4.5. Les projets et programme

Les projets et programme sont placés sous l’autorité du directeur général. Les chefs de

projet ou de programme ont rang de directeur. Au 31/12/2010, on dénombrait cinq (05)

projets à la Sonapost comme suit :

- le projet d’audit des comptes CNE (PACNE) ;

- le projet de réforme de l’ENAPOSTE ;

- le programme IMCE/SONAPOST ;

- la coordination des projets de la SONAPOST ;

- le projet Post’ Eclair.

4.4.6. La filiale EMS-Chronopost International Burkina

La Sonapost dispose d’une filiale dénommée « EMS-Chronopost International Burkina »

créée en 2000 par décret pris en conseil des ministres. Elle a commencé ses activités le 1er

février 2001 avec un capital social de 213 000 000 F.CFA dont 60 % détenu par la

Sonapost.

La Sonapost exerce son activité dans un domaine concurrentiel difficile et fait face à deux

(02) impératifs difficilement conciliables à savoir assumer une mission de service public et

dégager des résultats bénéficiaires pour financer son développement.

Ce chapitre a été pour nous, une aubaine pour mieux cerner la Sonapost à travers son

organisation, son fonctionnement, ses missions et objectifs et son apport dans l’économie

burkinabè. Cela nous sera utile pour mieux appréhender ses dispositifs de contrôle interne

et de maîtrise de ses risques opérationnels.

Commentaire [k7]: Qui détient le reste du capital




CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA

SONAPOST

Ce chapitre consistera à d'identifier de façon exhaustive les différents contrôles de

prévention, de détection ou de correction pour couvrir les risques liés aux différentes

activités en vue de les évaluer. En outre, un risque peut être couvert par plusieurs mesures

de contrôle et de même qu'un contrôle interne peut servir pour couvrir plusieurs risques

opérationnels

5.1. Le dispositif de contrôle interne de la Sonapost

Le contrôle interne est défini, comme l’ensemble des dispositifs visant la maîtrise des

activités et des risques de toute nature et permettant la régularité, la sécurité et l’efficacité

des opérations, conformément aux procédures internes. Il comporte toutefois des limites

inhérentes à tout dispositif de contrôle interne, du fait notamment d'insuffisances de

procédures ou de système d'information, de défaillances techniques ou humaines d’où son

évaluation périodique.

5.1.1. La description synthétique du dispositif de contrôle interne

La Sonapost, de par son organisation, possède plusieurs niveaux de contrôle. Les contrôles

internes s’effectuent de façon graduelle à travers le dispositif ci-après.

5.1.1.1. La comptabilité journalière et mensuelle

La comptabilité journalière et mensuelle des bureaux de poste est assurée par le receveur

ou le chef du centre qui les établit avec l’aide du contrôleur des guichets. Placé sous

l’autorité du receveur des bureaux de poste de plein exercice, le contrôleur des guichets a

en charge :

- la supervision du service des guichets ;

- la vérification de l’exactitude de la comptabilité des guichets ;

- le pointage individuel des pièces comptables (bulletin 7,14 à vue, demande n°1, 2

et 3 CNE);

- le pointage des mandats émis et payés, des chèques et des bulletins de transfert

Western Union ;

Commentaire [k8]: Les contrôles s’effectuent-ils sur la base de manuels de procédures ?




- le pointage des carnets de situation individuelle 1103 ter ;

- le pointage des listings des opérations CNE pour s’assurer de l’exactitude de leur

saisie ;

- le redressement des erreurs.

Le receveur se charge d’établir la comptabilité mensuelle du bureau. A cet effet il inscrit

les montants vérifiés préalablement dans les registres comptables fondamentaux (1105

brouillard de caisse, livre journal de caisse, 1101/1102 sommier de dépouillement, 1344 ter

situation des timbres).

A la fin du mois, le receveur tient la comptabilité mensuelle du bureau. Cela consiste en

l’arrêt de l’ensemble des registres fondamentaux, l’établissement de la situation comptable

générale du bureau ou du centre sur le bordereau 1104 et la transmission des pièces et états

mensuels aux différents centres et directions chargés de la centralisation et de la

vérification des écritures comptables.

5.1.1.2. Le centre de contrôle des bureaux

Le centre de contrôle des bureaux se charge de la vérification de la comptabilité mensuelle

de chaque bureau à travers les bordereaux 1104 établis et les différentes pièces justifiant

les recettes et les dépenses.

Il existe par ailleurs le centre de contrôle des mandats qui est un dispositif mis en place

pour assurer l’effectivité de la vérification des mandats émis et payés.

5.1.1.3. Le Conseil d’Administration

La société nationale des postes est administrée par un Conseil d'Administration composé

au maximum de onze (11) membres. Il se réunit pour statuer sur les dossiers de son ressort

et se tenir informé de la bonne marche de l'entreprise. A cet effet, un ordre du jour préparé,

validé par la DFC est adressé à chaque administrateur lors de la convocation du conseil une

semaine avant sa tenue.

Ainsi, le Conseil est très régulièrement informé des résultats commerciaux et financiers et

ratifie les politiques financières, d'engagements et de risques de la SONAPOST et suit leur

bonne exécution.




5.1.1.4. L’Assemblée Générale des Sociétés d’Etats (AGSE)

Chaque année, toutes les sociétés d’Etat sont soumises à un organe suprême de contrôle

qu’est l’Assemblée Générale des sociétés d’Etat. Pendant deux (02) ou trois (03) jours la

situation financière de chaque société d’Etat est passée au peigne fin pour s’assurer de leur

santé financière. La Sonapost, en tant que société d’Etat, est de ce fait soumise à cette

instance et au contrôle inopiné de l’Autorité Supérieure du contrôle d’Etat (ASCE) qui est

l’instance suprême de contrôle pour touts les sociétés d’Etat.

Ces mesures visent à assurer une bonne maîtrise des activités de la Sonapost et cela se fait

avec l’aide du service d’audit interne pour s’assurer que ces dispositifs sont respectés.

Pour ce faire, le service d’audit interne a la responsabilité d’évaluer le fonctionnement du

dispositif de contrôle interne et de faire toutes préconisations pour son amélioration, dans

le champ couvert par ses missions.

5.1.2. Les objectifs du contrôle interne

Le système de contrôle interne en général se caractérise par les objectifs suivants :

- l’application des instructions et des orientations fixées par la direction générale ;

- la performance financière, par l’utilisation efficace et adéquate des actifs et

ressources de l’entreprise ainsi que la protection contre les risques de perte ;

- la connaissance exhaustive, précise et régulière des données nécessaires à la prise

de décision;

- l’exactitude, l’exhaustivité des enregistrements comptables et l’établissement en

temps voulu d’informations comptables et financières fiables.

Ces objectifs ne peuvent toutefois pas être atteints à cause de limites inhérentes à tout

système qui sont selon Coopers et Lybrand (2000 : 109)

- les erreurs humaines ;

- les dysfonctionnements ;

- la collusion.

Pour connaître l’état du dispositif de contrôle interne, son analyse s’impose à nous.




5.2. L’état du dispositif de contrôle interne de la Sonapost

Les mécanismes de contrôle interne mis en place par la société visent à assurer

l’amélioration des prises de décisions et de lutter contre les risques. Pour ce faire une

analyse de ce dispositif est nécessaire dans le but de déterminer ses forces et faiblesses. De

ce fait, une mise en évidence de ses objectifs est capitale pour mieux l’appréhender.

Le dispositif de contrôle interne à la Sonapost ne prévoit pas une définition claire des

responsabilités des opérationnels et de ce fait ne s’appuie pas sur des procédures formelles

matérialisées par un manuel de procédures. Néanmoins, cette situation n’est pas un

handicap réel dans la réalisation des opérations car les contrôles inopinés réalisés

permettent de mettre les choses au point et d’exercer les responsabilités à travers la

diffusion en interne des informations. En outre, la société devant faire face à certaines

exigences dues à sa forme juridique et à son environnement dans lequel elle évolue, a su se

doter des outils et des pratiques appropriés à son organisation. L’absence d’un système

visant à recenser et analyser les principaux risques identifiables au regard des objectifs de

la société et des activités de contrôle proportionnées aux enjeux propres à chaque

processus.

La surveillance du dispositif de contrôle interne est basée sur l’audit interne de la société

qui conduit son adaptation car sa défaillance peut impacter la réalisation des objectifs

assignés aux opérationnels et entrainer ainsi une baisse de la rentabilité.

Cette analyse met en évidence les dysfonctionnements et les risques qui pourraient en

résulter. Cela est dû à l’absence de formalisation du manuel des procédures et à une

politique de gestion des risques insuffisante. Les différents contrôles des activités qui

s’effectuent permettent son amélioration.

Les critères d’appréciation du dispositif de contrôle interne tiennent compte d’une part des

tests d’audits dont la synthèse des résultats est présentée dans le tableau ci-dessus et

d’autre part prennent en compte la grille de séparation des tâches jointe en annexe. Les

critères d’appréciation du dispositif de contrôle interne sont présentés dans le tableau ci-

après.




Tableau 7 : Critères d’appréciation du dispositif de contrôle interne

Niveau de maîtrise Cote critères

Inexistant 1 Aucun dispositif de contrôle interne n’existe.

Insuffisant 2 Le dispositif de contrôle interne existe mais est

appliqué avec beaucoup de lacune

Moyen 3 Le dispositif est appliqué avec peu de lacunes.

Maitrisé 4 Le dispositif est appliqué avec des mesures de

contrôle.

Très maîtrisé 5 Le dispositif et les mesures de contrôle sont

correctement appliqués.


Au regard des mutations économiques tout n’est que risque. Cependant, les risques

inhérents aux activités doivent être mesurés et ceci n’est possible qu’à travers une analyse

des mesures prises afin d’assurer leur maîtrise.

5.3. L’audit interne

L’audit interne analyse les points forts et les points faibles du contrôle interne, compte tenu

de sa gouvernance, de sa culture organisationnelle ainsi que des risques liés et des

opportunités d’amélioration qui peuvent avoir un impact sur la capacité de l’organisation à

atteindre ou non ses objectifs. Cette analyse évalue la mise en place des mécanismes de

contrôle en vue de la gestion efficace et efficiente des ressources.

Le service d’audit de la Sonapost est directement rattaché à la direction générale qui lui

donne une certaine indépendance dans la conduite de ses missions. Il joue un rôle

important dans le dispositif de maitrise des risques opérationnels de la société à travers leur

évaluation. Il a pour mission d’auditer les dispositifs de gestion des risques opérationnels

dans le cadre des plans annuels d’audit. Ces missions doivent permettre d’assurer :

- L’appréciation et la maîtrise des risques de la société ;

- La bonne application de la politique des risques préalablement définie.




Ce chapitre nous a permit de mettre en évidence les dispositifs de maitrise des risques

opérationnels de la Sonapost et les liens qui existent entre l’audit interne et le contrôle

interne. L’audit interne en tant que tel peut contribuer à la réalisation des buts et objectifs,

au renforcement du contrôle et à l’amélioration de l’efficience et l’efficacité du

fonctionnement ainsi que du respect de la volonté des autorités.




CHAPITRE 6 : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE

DES RISQUES OPERATIONNELS

Toutes les diligences d'audit entreprises dans l'organisation visent à la réduction des

risques de perte et donc à leur maîtrise. L'objectif de ces contrôles à postériori des

opérations, réalisés fréquemment de manière transversale et périodique est d'évaluer

l'opportunité des opérations, de suivre les risques qui s'y attachent, compte tenu des

délégations de pouvoir accordées et d'éclairer les organes dirigeants sur la réalisation des

objectifs du contrôle interne.

Une révision du contrôle interne peut s'avérer indispensable pour traiter de manière

appropriée tout risque nouveau ou précédemment incontrôlé. C'est pour cette raison qu'il

est nécessaire pour toute entreprise, quelque soit le domaine d'activité dans lequel elle se

déploie, d'avoir des systèmes de contrôle interne efficaces. L'efficacité des systèmes de

contrôle interne devient donc un facteur important dans l'amélioration de la performance

de l'entreprise. L'audit doit reconnaître et évaluer en permanence les risques importants qui

pourraient compromettre la réalisation des objectifs de la Sonapost. Ce chapitre nous

permettra de connaître l’état du dispositif de maîtrise des risques opérationnels de la

société, leur efficacité et d’y cerner l’apport de l’audit interne.

6.1. L’appréciation du dispositif de maîtrise des risques opérationnels

La gestion des risques est l’affaire de tous les acteurs de la société et vise à être globale en

couvrant l’ensemble des activités, processus et actifs de la société. Il s’agit ici de mettre en

évidence comment les risques sont maitrisés par la Sonapost car il est à son avantage de

mettre en place un dispositif de gestion des risques adapté à ses réalités. C’est un processus

continu, coordonné et intégré à l’ensemble d’une organisation, qui permet leur

identification, leur analyse et leur maîtrise à court, moyen ou long terme et pouvant

affecter le bon déroulement des opérations en vue de les rapprocher des contrôles existants.

Elle s’inscrit dans une démarche associée à l’ensemble des activités de l’entreprise et se

décompose ainsi autour de quatre étapes essentielles à savoir :

- l’identification des risques ;

- la réponse aux risques ;

- le suivi du niveau du risque en fonction de l’environnement ;




- l’application par les opérationnels des dispositifs de contrôle interne.

Le dispositif de maîtrise des risques est l’ensemble des moyens mis en place pour faire

face aux risques inhérents à leurs activités. L’auditeur interne doit évaluer le

fonctionnement du dispositif, collecter et diffuser les meilleures pratiques et suggérer des

améliorations.

Connaître alors l’état de son système de maîtrise des risques opérationnels est primordial

pour en effectuer son analyse.

6.1.1. Le dispositif de maîtrise des risques opérationnels

Il a été constaté que la société définit les rôles et responsabilités de ses agents et dispose de

procédures mais qui n’ont pas été formalisées par des manuels des procédures ; qui devait

définir de façon claire et formelle les différents rôles des opérationnels. On dénote une

absence de politique formelle de gestion des risques par la non diffusion d’une démarche

d’identification, d’analyse et de traitement des risques et il n’existe pas de système

d’information permettant la diffusion des informations relatives aux risques. On a de ce fait

un handicap à recenser les éventuels risques pouvant affecter l’atteinte des objectifs et

d’examiner les conséquences potentielles et d’apprécier leur possible occurrence. Par

conséquent certains risques face auxquels des mesures n’ont pas été prises vont subsister

dans l’entreprise et compromettre l’atteinte des objectifs. Nonobstant, pour faire face à

certains risques, un transfert de leur conséquence notamment financière est effectué à

travers le mécanisme de l’assurance.

Par ailleurs, on ne peut pas affirmer qu’il n’existe pas de dispositif de gestion des risques

opérationnels en tant que tel car la société prend en compte les événements qui dénotent

l’existence de risques par les enquêtes, les audits, les réclamations et les plaintes.

6.1.2. L’analyse du dispositif de maîtrise des risques opérationnels

Le dispositif de maîtrise des risques opérationnels consiste en l’identification des

vulnérabilités pouvant affecter la réalisation des opérations, d’analyser les risques par une

cotation en fréquence et gravité et de déterminer les dispositifs opérationnels permettant de

les réduire à travers la prévention ou la protection. Ainsi, la question qu'on se pose est de

Commentaire [k9]: Il doit exister un manuel pour chaque opération susceptible d’engendrer un risque

Commentaire [k10]: La société dispose-t-elle d’un langage commun en matière de risques (typologie homogène, critères de recensement, d’analyse et de suivi)




savoir ce que la société fait pour améliorer l'efficacité des dispositifs de maîtrise des

risques opérationnels.

L’entreprise met en place un ensemble de procédures à savoir des contrôles à priori à

travers, la sécurisation des accès afin de faire face à ses différents risques. La mise en

œuvre d’une politique de gestion des risques traduit la volonté de la direction générale de

connaître les risques importants de l’entreprise, de les mettre sous contrôle et d’être

informée de la qualité de leur maîtrise. Celle-ci s’avère ainsi un enjeu majeur de survie et

de développement, qui permet aux entreprises d’assurer l’atteinte de leurs objectifs et

d’améliorer leur performance. L’audit interne en est un acteur capital car il a pour vocation

de contribuer à l’identification et à l’évaluation des risques auxquels l’entreprise est

exposée et de l’accompagner dans la mise en place d’un dispositif global de gestion des

risques. Aussi, il évalue l’efficacité et la pertinence de ce dispositif, notamment du contrôle

interne.

Il s’agit entre autres de :

- prendre connaissance de l’ensemble des pratiques des différentes activités de la

société en matière de contrôle interne au travers les entretiens avec l’ensemble des

acteurs opérationnels concernés;

- évaluer la réalité et l’efficacité de ces pratiques par l’élaboration de tests;

- réaliser un rapport d’audit détaillé et formuler des recommandations visant à

renforcer ces pratiques au regard de l’objectif poursuivi.

A travers le tableau ci-dessous, quelques critères d’évaluation de ce dispositif sont mis en

exergue.




Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques

opérationnels

Note Efficacités Description

1 Inexistante L'objectif de contrôle n'est pas atteint car le contrôle n'est pas respecté

2 Passable L'objectif de contrôle n'est pas atteint car le contrôle n'est pas adapté au

risque à couvrir

3 Insuffisante L'objectif de contrôle est partiellement atteint avec les procédures mises

en place mais on relève des incidents réguliers

4 Acceptable L'objectif de contrôle est atteint mais au prix des efforts ne permettant

pas une bonne optimisation du système des ressources

5 Appropriée L'objectif de contrôle est atteint de façon optimale


Les critères d’appréciation du dispositif de contrôle interne tiennent compte des tests

d’audits dont la synthèse des résultats est présentée dans le tableau ci-dessus ; la grille de

séparation des tâches jointe en annexe est également prise en compte dans l’appréciation

du contrôle interne.




Le tableau ci-dessous nous indique la qualité du contrôle interne.

Tableau 6 : Evaluation des dispositifs de maîtrise des risques

Risques Cote Qualité du

dispositif Observations

Pertes de données 8 satisfaisant Existence de serveur

Cumul de fonction 1 Inexistant Insuffisance de la

séparation des fonctions

Pertes de courrier 10 Très satisfaisant Contrôle adéquat

Personnel insuffisant 4 Insuffisant Absence de personnel

Non archivage 1 Inexistant Existence d’archivage

Fraude sur les encaissements 10 Très satisfaisant procédures

Rupture de stock de timbres 8 satisfaisant Personnel adéquat

Absence de contrôle 10 Très satisfaisante Contrôle réalisé

Absence de suivi des

transactions

8 Satisfaisant Contrôle effectué sur tous

les réseaux

Erreurs dans les

enregistrements des factures

10 Satisfaisant Comptabilisation

systématique

Omission de transmission de

courriers

8 Satisfaisant Contrôle adéquat

Omission d’enregistrement

dans un registre

10 Très satisfaisant Tenue d’un registre


L’appréciation de la qualité du dispositif de maîtrise des risques permet de connaître

l’étendue de la maîtrise des risques et de savoir si celui-ci couvre ou pas les risques

identifiés.

6.1.3. L’évaluation du dispositif de maîtrise des risques opérationnels

La politique des risques reflète leur compréhension, leur mesure ainsi que leur contrôle par

la société. La maîtrise des risques opérationnels traduit la volonté des dirigeants




d’améliorer le processus décisionnel dans un contexte d’incertitude en vue d’une part de

maximiser les avantages et d’autre part de minimiser les coûts.

A la Sonapost, il y’a l’absence d’une direction des risques proprement dite qui doit assurer

l’identification, l’évaluation et le traitement des risques afin d’en assurer leur maîtrise. Les

différentes instances de contrôle se contentent d’effectuer les contrôles et de sanctionner au

besoin, comme c’est le cas de l’inspection générale des services.

L’application de la règle selon laquelle les caissiers ne doivent pas disposer d’un fond de

caisse supérieur à un seuil fixé par les organes dirigeants pour éviter les risques de perte

n’est pas respectée par tous. Pour savoir le degré d’implication de la direction dans la

gestion des risques opérationnels un questionnaire a été élaboré comme nous indique le

tableau suivant.

Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels

Eléments OUI NON ou N/A

La société a-t-elle défini des objectifs en matière de gestion des

risques ?

non

Existe-t-il un responsable pour la gestion des risques

opérationnels ?

non

La société dispose-t-elle d’un « langage commun » en matière

de risques ?

N/A

Existe-t-il une communication sur les dispositifs de contrôle

interne avec les opérationnels ?

oui

Existe-t-il un processus d’identification des risques menaçant

les objectifs de la société?

oui

La société a-t-elle mis en place un plan de gestion de crise ? non

Les responsabilités sur la maîtrise des risques sont-elles

déterminées ?

non

Source : nous- mêmes (inspiré du cadre de référence de l’AMF autorité des marchés

financiers)

La mesure de l’efficacité du dispositif de maîtrise se fait à travers l’évaluation du contrôle

interne. En contribuant à prévenir et à maîtriser les risques afin d’atteindre les objectifs que




s’est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le

pilotage des différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie

absolue que les objectifs de la société seront atteints.

6.2. Le rôle de l’audit interne dans le dispositif de maîtrise

Une organisation se doit de disposer de systèmes performants. L'évaluation des dispositifs

de contrôle interne par l'auditeur est une étape cruciale de maîtrise des risques

opérationnels qui permet d'établir un lien entre le risque identifié et le contrôle mis en

place pour le couvrir en vue de proposer les plans d'actions pour pouvoir sécuriser le

processus

Cette étape correspond à «la définition et à la consolidation des actions résultantes et à

l'acceptation du risque résiduel» (DESROCHES & al, 2003 :99). A la suite de l'évaluation

de la maîtrise des risques opérationnels par l'auditeur interne, un rapport de

recommandations est transmis au management de l'organisation. L'évaluation des

dispositifs de contrôle est effectuée par l'utilisation de trois techniques à savoir : les

examens de l'évidence du contrôle à travers l'inspection des documents ou les tests

d'existence, les tests de cheminement et l'observation de l'existence du contrôle de premier

niveau.

L’audit interne procède à l’évaluation des dispositifs de maîtrise des risques opérationnels

en vérifiant de manière précise la réalisation des opérations à travers le manuel de

procédures, les normes et la règlementation pour apprécier le contrôle interne existant. En

outre, il doit apprécier la maîtrise globale des processus de l’entreprise par les

opérationnels.

L'évaluation des risques est donc le processus qui consiste en une inspection approfondie

de l’entreprise en vue d'identifier entre autres les éléments, situations et procédés qui

peuvent causer un préjudice. C’est l’étape fondamentale de la gestion des risques par la

société et celle-ci se réalise à travers un tableau synthétique qui énumère les divers risques.

Cela permet à l’audit d’apprécier leur probabilité et leur gravité et permet également

d’analyser les facteurs susceptibles d’affecter la réalisation des objectifs. L'objectif du

processus d'évaluation des risques consiste à réduire le niveau de risque en instaurant des

mesures de maîtrise ou en adoptant des précautions appropriées, dans certains cas.




Figure 3 : Rôle de l’audit interne dans le dispositif de maîtrise

Parties prenantes

Principaux acteurs

Principal objectif


6.2.1. L’identification des risques

L’identification des risques est une étape indispensable pour l’audit interne pour déceler les

différents risques associés à une activité. Le tableau suivant nous indique l’identification

de quelques risques.

Tableau 8: Identification des risques opérationnels

Eléments Objectifs de contrôle

Risques Dispositif de contrôle interne

constat

Système d’information

Assurer la disponibilité, la confidentialité et la traçabilité des informations

- Pertes de données - Fraude, détournement

de fonds - Mauvaise gestion des

produits

Mise en place des politiques de sécurisation des informations Recours à l’assurance Sauvegarde, sécurisation des données et des biens

Oui Oui Non

Courrier S’assurer du suivi des courriers

- Pertes, vol de courriers

- Non élaboration de bordereaux de transmission

Visa du contrôle Signature des agents sur les bordereaux

Non Non


Une fois les risques identifiés il faut les évaluer.

Audit interne

Direction Générale

Audit interne

Validation de l’efficacité du

contrôle interne

Contrôle interne

Direction Générale

Directions opérationnelles

Maitrise des opérations

Commentaire [d11]:




6.2.2. L’évaluation des risques

L’audit évalue les risques en fonction des opérations et des activités essentiellement

exposés au risque opérationnel. Ce processus, mené en interne, repose souvent sur des

contrôles destinés à identifier les forces et faiblesses de l’environnement opérationnel. Il

recense les risques propres à chaque activité donnée et d’autres regroupant plusieurs

activités. Elle peut prendre en compte les risques, mais aussi les moyens de les atténuer.

L’identification des risques est une étape primordiale dans la construction d’une structure

rationnelle et globale de gestion des risques pour permettre l’élaboration d’un contrôle

interne efficace. En effet c’est le point de départ pour une évaluation des risques puisse

qu’elle requiert une connaissance appropriée et une bonne compréhension des activités de

l’entreprise. L’audit identifie les différents risques en découpant les activités en tâches

élémentaires à travers une liste les énumérant. Ce travail préalable permettra de connaître

les risques probables lorsqu’une tâche n’est pas exécutée et/ou dans le non respect des

procédures. En outre, cette identification est également basée sur une check-list qui

énumère les risques relatifs aux différentes activités mais n’est pas mise à jour de façon

permanente.

Aussi, l’audit recense les faiblesses existantes du contrôle interne, élabore un programme

d’évaluation du dispositif de contrôle interne. L’audit pilote l’ensemble des dispositifs de

contrôle interne à partir des risques identifiés afin d’assurer leur amélioration à travers les

missions réalisées et le suivi des recommandations. Un audit interne efficace et exhaustif

du système de contrôle interne est effectué et rend compte directement à la direction

générale sur les irrégularités décelées d’une part et d’autre part signale les déficiences du

contrôle interne dès leur détection aux personnes appropriées. Lorsque ces insuffisances

ont été notifiées, il est important que la direction générale y remédie dans les meilleurs

délais mais ceci n’est pas toujours le cas.

La gestion des risques ne doit pas se limiter uniquement à une simple identification, c’est-

à-dire à un recensement plus ou moins exhaustif des risques potentiels et pertinents et à

une analyse plus ou moins approfondie de leurs caractéristiques. Elle doit s’appuyer

également sur une analyse pour mieux appréhender et estimer leurs probabilités de

survenance et la gravité de leurs impacts sur l’organisation comme nous l’indique les

tableaux ci-dessous.




Tableau 9 : Echelle d’évaluation des risques

Gravité moyenne des conséquences

10 Crise majeure

9 Extrêmement grave

8 Fortement grave

7 Très grave

6 grave

5 Moyennement grave

4 Peu grave

3 Très peu grave

2 Extrêmement peu grave

1 inoffensif

Tableau 10 : Probabilité d’occurrence

Probabilité d’occurrence moyenne

10 Quasiment certain

9 Extrêmement probable

8 Fortement probable

7 Très probable

6 probable

5 Moyennement probable

4 Peu probable

3 Très peu probable

2 Extrêmement peu probable

1 Quasiment impossible


6.2.3. L’évaluation du dispositif de contrôle interne

La validation et l’efficacité du contrôle interne incombent à l’audit interne. La recherche

de l'efficacité des contrôles internes fait partie des opérations quotidiennes de la Sonapost

mais il s’avère nécessaire de procéder à des évaluations périodiques spécifiques de

l'ensemble du processus de contrôle interne. Les contrôles inopinés réalisés de façon




périodique et donnant lieu à des rapports ne sont pas suivis. Par contre l’examen

approfondi des enregistrements courants nécessite l’approbation de la direction sur des

faits exceptionnels.

Pour suivre l’efficacité des systèmes de contrôle interne, on s’appuie sur l’existence des

procédures en vue d’analyser leur adéquation avec la réalité à travers la grille d’analyse des

tâches, et le questionnaire de contrôle interne L’étendue des travaux d’audit sont définis au

regard des risques préalablement déterminés. Leur finalité est la réalisation de rapports qui

seront mis à la connaissance des opérationnels concernés afin d’assurer un meilleur suivi

des recommandations formulées à leur égard pour couvrir les faiblesses constatées.

La Sonapost offre divers types de services à savoir les comptes d’épargnes, les mandats,

les transferts d’argent, la banque postale etc. et est soumise à un volume de transactions

élevé. Comme mesure de contrôle contre la fraude d'épargne, les clients reçoivent un état

d'épargne (livrets de dépôt) qu'ils doivent garder précieusement. Une carte de signature et

une copie de pièce d'identification du client est conservée et la signature sur le bordereau

de décaissement/dépôt doit être pareille dans son livret d'épargne ainsi que l'état de

comptabilité de l'organisation. Une révision minutieuse des décaissements importants est

effectuée.

La rationalisation des dispositifs de contrôle interne et de maîtrise des risques sont des

enjeux essentiels pour la Sonapost et cette démarche permet d’apprécier leur efficacité et

d’optimiser les différents contrôles.

6.3. Recommandations

La SONAPOST est une entreprise qui offre diverses prestations dans le domaine postal

dont la gestion des boîtes postales, les courriers nationaux et internationaux, les transferts

d’argent et la récente mise en œuvre de la banque postale etc. Afin de mener à bien cette

délicate mission dans un environnement en pleine évolution, elle se doit de mettre en

œuvre une politique efficace de gestion des risques opérationnels auxquels elle est ou peut

être confrontée. Pour assurer l’effectivité de celle-ci, des dispositifs de contrôle interne et

de maîtrise des risques efficaces doivent être une réalité et ceci passe nécessairement par

des conditions. Aussi, avons-nous jugé utile de faire quelques recommandations sur les

bonnes pratiques allant dans le sens d’une bonne maîtrise de ses risques opérationnels.




6.3.1. A l’endroit du service d’audit interne

Recommandation 1 : La diffusion du manuel des procédures de la Sonapost à tous le

personnel afin de pallier les disfonctionnements dans la réalisation des opérations à travers

la formalisation des tâches et permettra à l’audit interne de suivre les réalisations et

d’assurer ainsi l’efficacité du contrôle interne.

Recommandation 2 : Afin d’assurer un meilleur dispositif de gestion de ses risques

opérationnels, la Sonapost doit s’assurer de l’élaboration d’une cartographie de ceux-ci

pour lui permettre d’avoir une vue d’ensemble des risques auxquels elle pourrait être

confrontée.

Recommandation 3 : Vu le nombre croissant des transferts d’argent et des courriers, qui

peuvent être l’objet de convoitise ; des contrôles réguliers et inopinés doivent être

effectués afin de réduire les risques de perte et de fraude y résultants.

6.3.2. A l’endroit de la direction générale

Recommandation 4 : Au regard des risques que la Sonapost peut rencontrer et qui

impactent son bon fonctionnement, il s’avère judicieux de mettre en place un service de

risk management qui aura la responsabilité d’identifier les différents risques, de les

analyser et de d’assurer leurs traitements afin de réduire leur gravité. Ce service assurera

en plus la surveillance des risques et du dispositif visant leur gestion. En outre la gestion

des risques opérationnels pourrait être améliorée par une gestion efficace des acteurs du

dispositif car le personnel est un des facteurs clés pour assurer la maîtrise des risques

opérationnels.

Recommandation 5 : Au regard de l’importance de l’audit interne dans la les

organisations, il serait primordial de le doter des ressources suffisantes pour mener à bien

ses missions afin d’assurer une répartition des tâches. Ceci pourrait améliorer

l’identification et le contrôle des risques.

Recommandation 6 :En vue de faire face au risque potentiel de vol, de perte et de non

acheminement des courriers, situations qui peuvent altérer la confiance des clients vis-à vis

d’elle, la Sonapost gagnerait à mettre en œuvre des dispositifs de suivi des risques

opérationnels.

Commentaire [k12]: Il n’existe pas de manuel pour la SONAPOST mais un manuel doit être établi pour chaque opération




Recommandation 7 : Compte tenu de l’importance des produits postaux dans la

réalisation de sa mission à savoir les chèques postaux, en plus des audits externes, prévoir

des contrôles inopinés pouvant être réalisés par les auditeurs internes de la SONAPOST.

Recommandation 8 : Vu le risque potentiel de perte des courriers dû à leur multitude, la

société gagnerait à réaménager ce service de sorte à assurer la sécurité ainsi que la

confidentialité de ses services par la mise en place de procédures définissant les rôles et les

responsabilités des agents. Et ceci pour une meilleure satisfaction de la clientèle et

l’atteinte de ses objectifs de chiffre d’affaires.

Recommandation 9 : Nous avons constaté que certaines missions n’entrent pas dans les

diligences de l’audit interne mais de l’inspection générale des services.

Or, il est également de son ressort d’effectuer des missions inopinées afin de s’assurer de

l’exécution des procédures et cela peut être une entrave dans sa contribution à assurer la

maîtrise des activités de la SONAPOST. Aussi, ne s’avère-t-il pas judicieux que

l’inspection des services utilise les résultats de l’audit pour initier des contrôles inopinés ?

Ce chapitre portant sur la contribution de l’audit interne dans la maîtrise des risques

opérationnels à la SONAPOST a été réalisé suivant la méthodologie décrite, mais pas de

façon conforme due à l’absence de certains outils dont le tableau d’identification des

risques opérationnels. De ce fait nous avons pu mettre à jour l’état du dispositif de maîtrise

des risques opérationnels à travers son analyse et l’évaluation du contrôle interne. Tout

cela a contribué à formulé des recommandations afin d’améliorer le dispositif de maîtrise

des risques opérationnels afin de réduire ces derniers pour une meilleure gestion.

Commentaire [k13]: Vous avez bien décrit plus haut la procédure d’audit avec les différentes étapes, les audités doivent être informés et doivent s’impliquer pour chaque mission d’audit. Par conséquent l’inspection peut utiliser les résultats de l’audit pour initier des missions inopinées.




Conclusion de la deuxième partie

La seconde partie de notre étude s’est articulée sur la présentation de la SONAPOST à

travers l’historique, les missions et les attributions ainsi que le fonctionnement de celle-ci.

Par ailleurs, une description de son dispositif de contrôle interne a été effectuée et mettant

en exergue ses forces et faiblesses par les entretiens, les questionnaires de contrôle interne

et la consultation de documents dont l’accès nous a été accordé. Cette prise de

connaissance de la Sonapost a été capitale car elle nous a permis de mieux cerner sa

maîtrise des risques opérationnels et l’apport de l’audit interne.

Les dysfonctionnements décelés ont fait l’objet de recommandations visant à renforcer le

contrôle interne et de ce fait à assurer une bonne gestion des risques opérationnels et leur

maîtrise. Par contre la mise en œuvre de ces recommandations doit impliquer

nécessairement les différents acteurs de la société surtout les dirigeants.

Commentaire [k14]: Je n’ai pas vu ce tableau


CONCLUSION GENERALE




Le contrôle interne et l'audit interne jouent un rôle essentiel dans le processus itératif de

gestion des risques, dans lequel l'information générée par le dispositif de contrôle interne

est renvoyée au conseil d'administration et à la direction. Les mécanismes de contrôle

interne contribuent à améliorer la prise de décision car ils font en sorte que l'information

soit précise, exhaustive et disponible en temps voulu.

Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien

appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des

objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule

volonté de la société. Il existe en effet des limites inhérentes à tout système et processus.

Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde

extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant

survenir en raison de défaillances techniques ou humaines ou de simples erreurs.

Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités

à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets

possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas

entreprendre des actions inutilement coûteuses.

Notre démarche nous a permis d’atteindre nos objectifs, préalablement fixés et a montré les

insuffisances et les forces et les faiblesses des dispositifs de contrôle interne et de maîtrise

des risques opérationnels et comment l’audit interne contribue à son amélioration. Par cette

analyse des dispositifs, il en ressort que l’audit est d’une importance capitale pour assurer

leur maitrise à travers leur évaluation et les recommandations formulées.

En outre, les constats effectués et les recommandations émises par les auditeurs après les

missions d'audit effectuées visent généralement à corriger les manquements auxquels fait

face l'entreprise. Leur prise en compte par les opérationnels permet également de réduire

les risques potentiels susceptibles d'influencer la rentabilité de l'entreprise et donc de

l'orienter vers la réalisation de ses objectifs.

Commentaire [k15]: Il faut savoir que le contrôle interne est un processus et l’audit interne une fonction. Reformuler la phrase pour la rendre plus explicite


ANNEXES




Annexe 1 : Organigramme de la SONAPOST

Source : Rapport d’activité 2010

D G

SP /DG

Département CGAI

Département W U

I G S

Conseiller technique

Département juridique

Département Affaires Internationales

S G

DC DSF DFC DRH DCM DPL DSI

DRC DRE

DRN DRO

Département Secrétariat Central




Annexe 2 : L’entreprise comme un ensemble de risques

Risques commerciaux et du marché

Risques légaux envers personnel et tiers

Risques fiscaux Risques sociaux

Risques liés aux conflits d’intérêt Risques de discontinuité d’exploitation

Risques d’insécurité du patrimoine Risques d’assurance

Risques liés à la qualité de l’information saisie

Risques financiers

Risque de manque de qualité Risque lié au manque

d’informations

Risques d’insécurité du patrimoine

Risques fiscaux Risques fiscaux Risques fiscaux




Annexe 3 : Grille de séparation des tâches

Nature des tâches :

- Au : autorisation - En : enregistrement - Co : contrôle - Ex : exécution

Tâches Nature des tâches

Intervenants

Chef de guichet Agents Comptable Caissier Chef

comptable

Taches non

réalisées 1- Distribution de

courriers Ex X

2- Contrôle des bureaux de

poste

Co X

3- Contrôle des factures

Co X

4- Validation des enregistrements

Co X

5- Enregistrement des factures

En X

6- Etablissement des factures

Ex X

7- Signature des chèques

Au X

8- Signature du bordereau de remise des

chèques

Au X X

9- Dépôt des chèques

Ex

10- Distribution des courriers

Ex X

11- Réception des courriers

Ex X

12- Recouvrement Ex X

13- Signature du bordereau

Au X

14-préparation de l’état récapitulatif

des dépôts

Ex X

16- contrôle des boîtes postales

Co X




Annexe 4 : Questionnaire de contrôle interne

Questionnaire de contrôle interne

Section : Folio :

Exercice : Rubrique : recouvrement

Objectifs de contrôle interne : Avoir l’assurance d’un traitement rapide des opérations

Questions Réponses

Commentaires Oui ou N/A Non

1- Les courriers sont-ils acheminés aux services responsables ?

2- La transmission est-elle faite dans un ordre rigoureux ?

3- Les agents responsables du traitement des courriers sont-ils identifiés ?

4- Un suivi rigoureux du traitement des courriers est-il opéré ?

5- Des doubles vérifications sont-elles effectuées ?

Oui

N/A

Oui

N/A

Non




Questionnaire de contrôle interne Section :

Exercice

Rubrique : recouvrement

Objectifs de contrôle interne : s’assurer de la correcte livraison des produits

Questions Réponses Commentaires

Oui ou N/A Non

1- Les livraisons sont-elles faites au vu des bons de livraison ?

2- Les documents de livraison sont-ils prénumérotés ?

3- Existe-t-il des agents autorisés à livrer ?

4- S’assure –t- on de l’enregistrement des sorties de produits ?

5- Sont-elles constatées dans un état de stock ?

6- L’accès aux zones de stockage et d’expédition est-il suffisamment protégé ?

Oui

Oui

non

Oui

N/A

N/A

Des agents de livraison assure la transmission des courriers et pour certains comme les machines à affranchir des agents de la DCM




Questionnaire de contrôle interne

Section : Folio :

Exercice : Rubrique :

Objectifs de contrôle interne : s’assurer qu’il existe un contrôle efficace des factures émises


Oui ou N/A

Non

1- Existe-t-il une procédure de contrôle des factures ?

2- Des rapprochements sont-

ils faits entre les factures et le BL :

- En vue de s’assurer de leur exhaustivité ?

- De vérifier les montants ?

3- Le service comptable s’assure t- il de l’exhaustivité des factures ?

4- Un responsable est-il

affecté à cette tâche ?

5- La comptabilisation des factures se fait-elle de manière chronologique ?

Oui

Oui

Oui

Oui

N/A N/A

Non




Questionnaire de contrôle interne Section : Folio :

Exercice Rubrique :

Objectifs de contrôle interne : s’assurer que les règlements des clients sont correctement enregistrés


Oui ou N/A

Non

1- La comptabilisation des factures se fait-elle dès leur réception ?

2- Des rapprochements sont-ils faits entre les encaissements et les factures émises ?

3- Les paiements reçus sont-ils

rapprochés des factures ?

4- Les comptes clients sont-ils analysés périodiquement ?

5- Tous les paiements font t-ils

l’objet d’une pièce justificative ?

6- Les modes de règlement sont-ils formellement identifiés ?

7- Une analyse entre les réalisations

et les prévisions d’encaissements est-elle effectuée périodiquement ?

Non Oui N/A Oui Oui N/A

Non


BIBLIOGRAPHIE




Ouvrages

1. AHOUANGANSI Evariste (2010), Audit et révision des comptes : aspects

internationaux et espace OHADA, Editions Mondexperts, 2ème édition, 921pages

2. BARBIER Etienne (1996), « l’audit interne : permanence et actualité », Editions

d’organisation, 3ème édition, 185 Pages

3. BARRY Mamadou (2009), Audit et contrôle interne, Editions achevé d’imprimer sous

les presses de la Sénégalaise de l’imprimerie, 361 pages

4. BECOUR Jean-Charles ; BOUQUIN Henri (2008), « audit opérationnel :

entrepreneuriat, gouvernance et performance », Edition Economica, 3ème édition, 425

pages

5. BERTIN Elisabeth (2007), « Audit interne : enjeux et pratiques à l’international »,

Editions d’Organisation Eyrolles, 2007, 305 Pages

6. BOUANICHE José (Février 2004), calculer l’indéterminé ou l’appréciation du risque

opérationnel par l’auditeur interne, n° 169, pages

7. CAMARA Lucien (2006), « la gestion des risques en microfinance : comment gérer

avec efficacité les risques d’une institution de microfinance ? »

8. COLLINS Lionel ; VALIN Gérard, (1992), « Audit et contrôle interne : aspects

financiers, opérationnels et stratégiques », Edition Dalloz, 4ème édition, 353 Pages

9. Compagnie Nationale des Commissaires aux Comptes (1992), appréciation du

contrôle interne, Edition CNCC, Paris, 177pages

10. Confédération européenne des instituts d’audit interne (1999), « le rôle de

l’auditeur interne dans la prévention de la fraude », 49 pages

11. COOPERS &Lybrand (2000), la nouvelle pratique du contrôle interne, Edition

d’organisation 5ème édition, 375 pages

12. DESROCHES Alain, LEROY Alain, VALLEE Frédérique (2003) « la gestion des

risques ; principes et pratiques », Edition Lavoisier, 275 pages

13. FAUTRAT Michel (Février 2000), de l’audit interne au...management de la maitrise

des risques, La revue française de l’audit interne n°148, 37 pages

14. GRAND Bernard, VERDALLE Bernard (2006), Audit comptable et financier,

Edition Economica, 2ème édition

15. HAMZAOUI Mohamed (2005), Gestion des risques d’entreprise et contrôle interne

normes ISA 200, 315, 330et 500, 1ere édition, Pages 243




16. JIMENEZ Christian ; MERLIER Patrick ; CHELLY Dan (2008), « Risques

opérationnels : de la mise en place du dispositif à son audit ». Revue banque Edition,

205 pages

17. LEMANT Olivier (1998), la conduite d’une mission d’audit interne, Editions Dunod

2ème édition, 215pages

18. MOREAU Franck (2002), comprendre et gérer les risques, Editions d’organisation,

219 pages

19. NGUYEN HONG THAI (1999), « le contrôle interne : mettre hors risques

l’entreprise », Editions l’Harmattan, 325 pages

20. NICOLET Marie-Agnès & MAIGNAN Michel (2005), contrôle interne des risques

opérationnels, Revue Banque, (668 : 51-52)

21. OBERT Robert (2004), « synthèse droit et comptabilité, 2 audit et commissariat aux

comptes aspects internationaux » Edition DUNOD 4ème édition, 493 pages

22. PERCIER DU SERT Anne-Marie (1999), risque et contrôle du risque, Economica,

Paris, 133pages

23. PIGE Benoît (2003), Audit et contrôle interne, Editions management & société, 2ème

édition, 210 pages

24. POULLAIN Isabelle ; LESPY Frédéric (2002), « gestion des risques et de la

qualité : guide pratique à l’usage des cadres de santé », Editions Lamarre, 137 pages

25. RENARD Jacques (2006), Théorie et pratique de l’audit interne, Editions

d’organisation, 6ème édition, 455 pages

26. RENARD Jacques (2009), Théorie et pratique de l’audit interne, Editions

d’organisation Eyrolles, 7ème édition, 463 pages

27. SARDI Antoine (2002), Audit et contrôle interne bancaire, Editions AFGES, Paris

1065 pages

28. SCHICK Pierre (2007), Mémento d’audit interne, Edition DUNOD : 141 pages

Articles

29. BAPST Alexandre & VAURS Louis « le dispositif de contrôle interne : cadre de

référence à l’aune de la définition du contrôle interne » revue française de l’audit

interne, n°180, p : 18-22




30. LAURETAU Denis « Management et systèmes d’information : Bale II une

opportunité et un défi pour l’audit interne » revue française de l’audit interne, 2005 n°

666, p : 66-67

31. ROUFF Jean-Loup « Actualités du contrôle interne : COSO et COCO, des définitions

et des méthodes différentes pour des visées identiques », revue française de l’audit

interne, 2000, n°150, p : 5-6

32. VAURS Louis « la maîtrise des risques et gouvernement d’entreprise » revue française

de l’audit interne2002, n°158, p : 10-12

Autres documents consultés

33. Sonapost (2010) rapport d’activités

34. Sonapost (2010) rapport de gestion du Conseil d’Administration

35. Sonapost (2008) texte portant organisation et fonctionnement des services de la


contribution de l’audit interne dans la maîtrise des...

Documents