contribution de l’audit interne dans la maîtrise des...
TRANSCRIPT
Présenté par : Dirigé par :
Novembre 2011
CONTRIBUTION DE L’AUDIT INTERNE DANS LA MAITRISE DES RISQUES OPERATIONNELS : CAS DE LA SONAPOST
Mlle KAFANDO Tarwendpanga Sylvie M. BOUSSO Souleymane
Contrôleur de gestion à la RTS
Centre Africain d’études Supérieures en Gestion
Institut Supérieur de Comptabilité, de Banque et de Finance
(ISCBF)
Master Professionnel en Audit et Contrôle de Gestion
(MPACG)
Mémoire de fin d’étude
THEME
Promotion 4 (2009-2011)
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page i
DEDICACE
Nous dédions ce travail à l’Eternel Tout-Puissant qui nous a donné la force et le courage
nécessaires pour être là où nous en sommes et à notre famille pour le soutien moral et la
confiance portée à notre égard.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ii
REMERCIEMENTS
Qu’il nous soit permis avant toute chose d’exprimer notre reconnaissance envers toutes les
personnes qui nous ont encadré et qui ont contribué au bon déroulement et à l’élaboration
de ce mémoire.
Nos remerciements s’adressent à :
Notre mère, pour les efforts consentis durant toutes ces années études.
Monsieur BALIMA Paul, Directeur Général de la SONAPOST pour nous avoir
acceptées au sein de son institution.
Monsieur BOUSSO Souleymane, notre directeur de mémoire pour l’encadrement
reçu malgré ses multiples occupations.
Monsieur Moussa YAZI, Directeur de l’Institut Supérieur de Comptabilité, de
Banque et de Finance, pour ses conseils méthodologiques qui nous ont guidés dans
la rédaction de ce mémoire.
Le corps professoral de l’Institut Supérieur de Comptabilité, de Banque et de
Finance (ISCBF) du CESAG pour la qualité de la formation reçue.
Madame YAGO Honorine, chef du département audit interne et contrôle de gestion
à la SONAPOST, pour son aide, ses conseils et sa disponibilité. Nous lui
témoignons notre gratitude et notre reconnaissance.
Monsieur PARE Moumouni, chef de la division contrôle de gestion à la
SONAPOST pour ses conseils et son soutien.
Madame SANKARA Edwige, bibliothécaire au CESAG, pour les documents mis à
notre disposition.
A nos amis et camarades pour leur soutien et leurs conseils.
A tous ceux qui nous ont aidés, de près ou de loin, durant notre formation, qu’ils
trouvent en ce mémoire toute notre gratitude.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iii
LISTE DES ABBREVIATIONS
AGSE : Assemblée Générale des Sociétés d’Etat
AMF : Autorité des Marchés Financiers
ASCE : Autorité Supérieure du Contrôle d’Etat
CCB : Centre de Contrôle des Bureaux
CCM : Centre de Contrôle des Mandats
CCP : Centre des Chèques Postaux
CESAG : Centre Africain d’Etudes Supérieures en Gestion
CMS : Centre Multi Service
CNCC : Compagnie Nationale des Commissaires aux Comptes
CNE : Caisse Nationale d’Epargne
CNT: Centre National de Tri
COCO: Criteria of Control
COSO: Committee of Sponsoring Organizations of the Treadway Commission
DFC Direction Financière et Comptable
DG : Direction Générale
ECIIA: European Confederation of Institutes of Internal Auditors
ENAPOST : Ecole Nationale de la Poste
EPIC : Etablissement Public à Caractère Industriel et Commercial
IFACI : Institut Français de l’Audit et du Contrôle Interne
IIA : Institute of Internal Auditors
IMCE : Institut Mondial des Caisses d’Epargne
OFAOF : Office Fédéral de l’Afrique Occidentale Française
OFPT : Office Fédéral des Postes et Télécommunications
ONATEL : Office Nationale des Télécommunications
ONP : Office Nationale des Postes
OPT : Office des Postes et Télécommunications
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page iv
PACNE : Projet d’Audit des Caisses Nationales d’Epargne
PTT : Postes, Télégraphes, Téléphones
QCI : Questionnaire de Contrôle Interne
SONAPOST : Société Nationale des Postes
TFfA : Tableau des Forces et faiblesses apparentes
TIC : Technologies de l’Information et de la Communication
UPU : Union Postale Universelle.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page v
LISTE DES TABLEAUX
Tableau 1 : Tableau d’analyse des risques .......................................................................... 16
Tableau 2 : Tableau de risques correspondant à la réception des marchandises ................. 33
Tableau 3 : Questionnaire relatif à la maîtrise des risques .................................................. 35
Tableau 4 : Evolution du chiffre d’affaires ......................................................................... 54
Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques
opérationnels ..................................................................................................... 71
Tableau 6 : Evaluation des dispositifs de maîtrise des risques ............................................ 72
Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels ................ 73
Tableau 8: Identification des risques opérationnels ............................................................ 75
Tableau 9 : Echelle d’évaluation des risques....................................................................... 77
Tableau 10 : Probabilité d’occurrence ................................................................................. 77
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vi
LISTE DES FIGURES
Figure 1 : La logique de la démarche globale de gestion des risques ................................. 19
Figure 2 : Modèle d’analyse ................................................................................................ 44
Figure 3 : Rôle de l’audit interne dans le dispositif de maîtrise .......................................... 75
LISTE DES ANNEXES
Annexe 1 : Organigramme de la SONAPOST .................................................................... 85
Annexe 2 : L’entreprise comme un ensemble de risques .................................................... 86
Annexe 3 : Grille de séparation des tâches .......................................................................... 87
Annexe 4 : Questionnaire de contrôle interne ..................................................................... 88
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page vii
TABLE DES MATIERES
DEDICACE ..................................................................................................................................... i
REMERCIEMENTS ...................................................................................................................... ii
LISTE DES ABBREVIATIONS .................................................................................................. iii
LISTE DES TABLEAUX .............................................................................................................. v
LISTE DES FIGURES .................................................................................................................. vi
LISTE DES ANNEXES ................................................................................................................ vi
TABLE DES MATIERES ........................................................................................................... vii
INTRODUCTION GENERALE ........................................................................................................ 1
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................................ 6
Introduction de la première partie .................................................................................................. 7
CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS ............................................ 8
1.1. Les risques dans les entreprises ...................................................................................... 8
1.1.1. Le concept de risque ............................................................................................... 8
1.1.2. La typologie des risques ......................................................................................... 9
1.2. Les risques opérationnels ............................................................................................. 10
1.2.1. Définition ............................................................................................................. 10
1.2.2. Les composantes du risque opérationnel .............................................................. 11
1.2 La gestion des risques opérationnels ............................................................................ 13
1.2.1 Le processus de gestion des risques ..................................................................... 13
1.2.1.1 L’identification ................................................................................................. 13
1.2.1.2 L’analyse et l’évaluation des risques opérationnels ......................................... 15
1.2.1.3 Le suivi des risques opérationnels .................................................................... 16
1.2.2 Le dispositif de gestion des risques opérationnels ............................................... 17
1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels ...................... 17
1.2.2.2 La cartographie des risques opérationnels ........................................................ 18
1.3 L’audit interne et la gestion des risques opérationnels ................................................. 20
1.3.1 La présentation de l’audit interne ......................................................................... 20
1.3.1.1 Le concept d’audit interne ................................................................................ 20
1.3.1.2 Les missions de l’audit interne ......................................................................... 21
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page viii
1.3.1.3 L’organisation du travail d’audit interne .......................................................... 21
1.3.2 Le rôle de l’audit interne dans la gestion des risques opérationnels .................... 22
1.3.3 Les mesures de contrôle des risques opérationnels .............................................. 23
1.3.3.1 Les indicateurs de risques................................................................................. 23
1.3.3.2 Le tableau de bord des risques opérationnels ................................................... 24
CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES OPERATIONNELS 26
2.1. Les démarches de l’audit interne .................................................................................. 26
2.1.1. L’approche par les systèmes................................................................................. 27
2.1.1.1. La présentation de la démarche ........................................................................ 27
2.1.1.2. Les limites de l’approche par les systèmes....................................................... 28
2.1.2. L’approche par les risques .................................................................................... 29
2.1.2.1. La description de la démarche .......................................................................... 29
2.1.2.2. Les différentes phases de la démarche ............................................................. 30
2.1 La maîtrise des risques opérationnels ........................................................................... 33
2.2.1. Les dispositifs de maîtrise des risques opérationnels ........................................... 34
2.2.2. Le système de contrôle interne ............................................................................. 36
2.2.2.1. Définition ......................................................................................................... 36
2.2.2.2. Les objectifs du contrôle interne ...................................................................... 36
2.2.2.3. Les éléments du dispositif de contrôle interne ................................................. 37
2.2 L’apport de l’audit interne dans le dispositif de maîtrise des risques opérationnels .... 38
2.3.1. L’appréciation du dispositif de contrôle interne ................................................... 39
2.3.1.1. Le découpage en cycles d’activités .................................................................. 40
2.3.1.2. L’évaluation du contrôle interne ...................................................................... 41
2.3.2. L’évaluation de la cartographie des risques opérationnels ................................... 42
CHAPITRE 3: METODOLOGIE DE L’ETUDE ........................................................................ 43
3.1. Le modèle d’analyse ..................................................................................................... 43
3.2. Les outils de collecte et d’analyse des données............................................................ 45
3.2.1. Le questionnaire de contrôle interne .................................................................... 45
3.2.2. L’analyse documentaire ....................................................................................... 45
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page ix
3.2.3. L’interview ........................................................................................................... 46
3.2.4. L’observation physique ........................................................................................ 46
3.2.5. Le tableau d’identification des risques ................................................................. 46
3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA) ...................................... 46
3.2.7. La grille de séparation des tâches ......................................................................... 46
3.2.8. Le test de conformité et de permanence ............................................................... 47
Conclusion de la première partie .................................................................................................. 48
DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE........................................................ 49
Introduction de la deuxième partie ............................................................................................... 50
CHAPITRE 4: PRESENTATION DE LA SONAPOST ............................................................. 51
4.1. Historique ..................................................................................................................... 51
4.2. Les missions et les objectifs de la Sonapost ................................................................. 52
4.2.1. Le statut et l’objet social de la Sonapost .............................................................. 52
4.2.2. Les missions et les objectifs ................................................................................. 53
4.3. La Sonapost dans l’économie burkinabé ...................................................................... 54
4.4. L’organisation et le fonctionnement de la SONAPOST .............................................. 54
4.4.1. L’administration centrale ..................................................................................... 55
4.4.2. Les directions techniques ..................................................................................... 57
4.4.3. Les directions régionales ...................................................................................... 60
4.4.4. Les centres spécialisés .......................................................................................... 60
4.4.5. Les projets et programme ..................................................................................... 61
4.4.6. La filiale EMS-Chronopost International Burkina ............................................... 61
CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA SONAPOST ........... 62
5.1. Le dispositif de contrôle interne de la Sonapost ........................................................... 62
5.1.1. La description synthétique du dispositif de contrôle interne ................................ 62
5.1.1.1. La comptabilité journalière et mensuelle ......................................................... 62
5.1.1.2. Le centre de contrôle des bureaux .................................................................... 63
5.1.1.3. Le Conseil d’Administration ............................................................................ 63
5.1.1.4. L’Assemblée Générale des Sociétés d’Etats (AGSE) ...................................... 64
5.1.2. Les objectifs du contrôle interne .......................................................................... 64
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page x
5.2. L’état du dispositif de contrôle interne de la Sonapost ................................................ 65
5.3. L’audit interne .............................................................................................................. 66
CHAPITRE 6 : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE DES RISQUES OPERATIONNELS.................................................................................................... 68
6.1. L’appréciation du dispositif de maîtrise des risques opérationnels .............................. 68
6.1.1. Le dispositif de maîtrise des risques opérationnels .............................................. 69
6.1.2. L’analyse du dispositif de maîtrise des risques opérationnels .............................. 69
6.1.3. L’évaluation du dispositif de maîtrise des risques opérationnels ......................... 72
6.2. Le rôle de l’audit interne dans le dispositif de maîtrise ................................................ 74
6.2.1. L’identification des risques .................................................................................. 75
6.2.2. L’évaluation des risques ....................................................................................... 76
6.2.3. L’évaluation du dispositif de contrôle interne ...................................................... 77
6.3. Recommandations ........................................................................................................ 78
6.3.1. A l’endroit du service d’audit interne ................................................................... 79
6.3.2. A l’endroit de la direction générale ...................................................................... 79
Conclusion de la deuxième partie ................................................................................................ 81
CONCLUSION GENERALE .......................................................................................................... 82
ANNEXES ....................................................................................................................................... 84
BIBLIOGRAPHIE ........................................................................................................................... 92
CESAG - BIBLIOTHEQUE
INTRODUCTION GENERALE
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 2
La poste est l’un des plus anciens réseaux de communication au monde. Ce fût à Rome
qu’apparut le premier service de courrier public au service des correspondances de l’Etat.
En Afrique, il n’existait pas de système postal organisé avant l’arrivée des colonisateurs
européens. De nos jours, celle-ci demeure le moyen de communication le plus accessible et
le plus répandu dans le monde.
L’activité postale traditionnelle inclut la collecte des objets de correspondance, de
communication, de messagerie, de presse, des boîtes à lettres publiques ou des bureaux de
poste, leur transport, leur tri et leur distribution. Ces services requièrent des savoir-faire et
des compétences très spécifiques et peuvent être fournis par des entreprises nationales ou
d’autres organismes privés de nos jours. Les services postaux ont évolué à travers les âges
en fonction des progrès, des techniques et du développement de la société car
communiquer est devenue une fonction économique essentielle et est considérée comme
un facteur de cohésion nationale par les gouvernements qui y interviennent.
L’organisation du secteur postal au Burkina Faso avec la Société Nationale des Postes
(SONAPOST) est passée en quelques années, d’une logique de coordination entre les
différents monopoles nationaux, à celle plus concurrentielle. La globalisation de
l’économie et les bouleversements que le secteur des communications rencontrent l’ont
conduit à investir dans de nouvelles activités. Aujourd'hui, à l'instar de toutes les autres
postes du monde, elle ne peut ignorer l'avènement de ce qu'il est convenu d'appeler la
société de l'information avec les bouleversements technologiques qu'elle entraîne.
Celle-ci est chargée de la mise en place et de l’exploitation du service public de la poste et
des services financiers. Elle dispose d'un réseau d'épargne, la Caisse Nationale d'Épargne
(CNE), permettant aux plus modestes de placer leurs économies. Avec la création de la
CNE, ces services financiers ont apporté à l'Etat burkinabè une ressource financière
abondante.
La Sonapost a pour missions la collecte, l’acheminement, la distribution des objets par
correspondance (lettre, colis, journaux) et la facilitation des échanges monétaires (système
de transfert d’argent). Dans ses efforts d’amélioration de ses produits et d’adaptation de
son offre aux attentes du marché, elle a entrepris la mise en place dans les localités,
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 3
des cyber-postes qui offrent des services de navigation internet à un grand nombre de
population.
De par ses nombreuses activités, celle-ci doit faire face à de nombreux risques surtout
opérationnels qui peuvent être un handicap à la réalisation efficace de ses activités et
compromettre de ce fait l’atteinte de ses objectifs de croissance. La maîtrise des risques
opérationnels par la Sonapost nécessite la mise en place et l’optimisation d’un service
d’audit interne et de gestion des risques opérationnels.
Ainsi le problème qui se dégage de notre étude concerne l’efficacité du dispositif mis en
place pour assurer la maîtrise des risques opérationnels.
Le problème ainsi mis en exergue n’est que la résultante de divers facteurs qui sont :
- les insuffisances des procédures documentées et actualisées;
- l’absence d’implication de l’audit interne dans le dispositif de maîtrise des risques
opérationnels ;
- la non-détection des erreurs, ou manquement.
Les conséquences du problème peuvent être de diverses natures dont :
- les erreurs ;
- le retard dans l’exécution des opérations (livraison des colis) ;
- la fraude interne ou externe ;
- les vols ;
- la violation du secret professionnel (ouverture des courriers).
Les solutions possibles pour y remédier sont:
- l’évaluation des dispositifs de maîtrise des risques opérationnels ;
- l’évaluation et la mise à jour de la cartographie des risques opérationnels ;
- la mise en place d’un dispositif de gestion des risques opérationnels;
- la mise à jour du manuel de procédures.
Au vu de ces solutions possibles énumérées, nous retiendront celles qui s’avèrent
pertinentes à savoir :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 4
- l’évaluation des dispositifs de maîtrise des risques opérationnels ;
- l’assurance de l’efficacité du dispositif de gestion des risques opérationnels ;
- l’évaluation et la mise à jour la cartographie des risques opérationnels.
L’identification et la gestion des risques opérationnels doivent découler de la mise en
œuvre d’une politique de gestion efficiente par la Sonapost en vue de maîtriser les risques
auxquels elle est confrontée. Cette analyse nous amène à nous interroger sur un certain
nombre de questions qui sans doute seront d’une aide capitale pour mener à bien cette
étude. Il s’agit de la question principale de laquelle découle des questions spécifiques.
En ce qui concerne la question principale elle s’énonce comme suit : comment l’audit
interne contribue – il à la maîtrise des risques opérationnels ?
Les questions spécifiques qui en résultent sont :
- Quel est l’état du dispositif actuel de maîtrise des risques opérationnels, ses forces
et ses faiblesses ?
- Quel est l’état des risques opérationnels de la Sonapost ?
- Quels sont les outils mis en œuvre pour y faire face ?
Telles sont les questions auxquelles nous essayerons d’apporter des réponses à travers
l’étude du thème : « contribution de l’audit interne dans la maîtrise des risques
opérationnels ».
Ce mémoire consistera à analyser l’apport de l’audit interne à la Sonapost dans la maîtrise
de ses risques opérationnels.
Pour pouvoir mener à bien notre étude, il est primordial de se fixer certains objectifs qui
sont d’ordre général et spécifique.
L’objectif général consistera à faire face aux contraintes qui peuvent affectés le bon
fonctionnement de la Sonapost ainsi que l’atteinte de ses objectifs à travers les dispositifs
qu’elle met en œuvre pour les maîtriser. Pour ce faire nous nous intéresserons à l’apport de
l’audit interne dans la maîtrise des risques opérationnels.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 5
Afin d’atteindre celui-ci, il est primordial de mettre en évidence les objectifs spécifiques
qui en résultent.
De ce fait nous avons :
- l’identification des dispositifs de maîtrise des risques opérationnels;
- l’évaluation du dispositif de contrôle interne mis en place pour assurer leur
maîtriser;
- l’efficacité du dispositif de maîtrise des risques opérationnels.
Ce présent mémoire sera focalisé sur la contribution de l’audit interne dans la maîtrise des
risques opérationnels. Pour cela deux (02) grandes parties seront développées ; la première
partie est consacrée d’une part à la revue de littérature qui abordera les aspects théoriques
de la gestion, des dispositifs de maîtrise des risques opérationnels pour ainsi mettre en
exergue la démarche de l’audit interne dans le processus de maîtrise et d’autre part à
l’approche méthodologique de l’étude. La deuxième partie consacrée au cadre pratique de
l’étude consistera à présenter la structure et à analyser son dispositif de maîtrise des risques
opérationnels afin d’y cerner l’apport de l’audit interne.
La maîtrise des risques opérationnels pour les organisations est primordiale en vue
d’assurer une optimisation de leurs activités et l’atteinte des objectifs.
Cette étude permettra à la Sonapost d’une part de mieux cerner ses risques opérationnels,
de disposer d’une revue des bonnes pratiques en termes de maîtrise des risques
opérationnels, de connaître les dispositifs adéquats pour les réduire et d’autre part
d’assurer l’efficacité de leur gestion. En outre, elle permettra d’éveiller la conscience des
dirigeants sur l’importance de la maîtrise de leurs risques opérationnels et sur l’apport de
l’audit interne à l’organisation.
Aussi pour nous mêmes, elle sera une aubaine pour confronter nos acquis intellectuels et
théoriques appris au CESAG et de les adapter aux réalités du monde professionnel et par
conséquent de développer les connaissances acquises et d’expérimenter le fonctionnement
quotidien d’une entreprise notamment de son service d’audit interne.
CESAG - BIBLIOTHEQUE
PREMIERE PARTIE :
CADRE THEORIQUE DE L’ETUDE
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 7
Introduction de la première partie
Selon MOREAU (2002: 1-2), le risque est au cœur de l’entreprise car celle-ci évolue dans
un environnement de risques, le plus souvent complexe, dynamique et hostile. L’efficacité
de l’entreprise à gérer ses risques n’est pas de les nier ou de les transférer à d’autres,
mais « d’apprivoiser » ses risques en les reconnaissant et en choisissant à la fois une
approche stratégique et une organisation adaptée à leur existence. Nombreux sont les types
de risques qui peuvent être rencontrés dans les entreprises notamment ceux liés à la
multitude des opérations. Les risques opérationnels comportent des enjeux pour les
entreprises notamment dans la mise en œuvre du dispositif de leur maîtrise. Le risque
opérationnel devient alors une préoccupation majeure mais ne constitue pas un nouveau
risque.
La gestion des risques opérationnels a été longtemps traitée marginalement voire ignorée
par la plupart des dirigeants du fait d’un éventail d’outils et d’options limités. Le risque
étant inhérent à l’activité humaine, toute la question est de savoir comment le découvrir,
l’appréhender, l’anticiper, le quantifier, et prendre les décisions correspondantes afin, non
pas de l’éliminer mais d’en assurer sa maîtrise.
La maîtrise des risques est une aspiration fondamentale, constitutive de l’organisation de
nos sociétés. Les dirigeants doivent être en mesure d’apporter des réponses relatives à la
manière de gérer les risques. Pour ce faire il est essentiel de bien connaître les différents
concepts, outils et méthodes disponibles pour les identifier, analyser et traiter.
Dans cette première partie, consacrée essentiellement à la revue de littérature nous
aborderons la gestion des risques et l’audit interne, ensuite les dispositifs de maîtrise des
risques opérationnels seront présentés pour y déceler le rôle de l’audit interne et après
élaborer le modèle d’analyse qui montrera comment nous allons procéder pour apprécier le
rôle de l’audit interne dans la maîtrise des risques opérationnels à la Sonapost.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 8
CHAPITRE I : LA GESTION DES RISQUES OPERATIONNELS
Pour MOREAU (2002 :2), les dirigeants d’entreprise sont confrontés à des situations
différentes dues à la multitude des risques de nature, d’ampleur et d’incidence diverses. De
par l’essor du gouvernement d’entreprise, la responsabilité de l’entreprise et des dirigeants
envers les salariés, les clients, les actionnaires est de plus en plus engagée. Cette diversité
des risques entraine une pluralité de solutions et l’entreprise n’a pas toujours les réponses
adéquates ou innovantes pour y faire face.
La gestion des risques est définie comme un « processus régulier, continu, coordonné et
intégré à l’ensemble d’une organisation, qui permet l’identification, l’analyse, le contrôle
et l’évaluation des risques et des situations à risque qui ont causé ou auraient pu causer des
dommages à une personne ou à des biens ». (ISO 9000, version 2000 in POULLAIN ;
LESPY, 2002 :41).
Coopers & Lybrand (2000 :49), ajoute que toute entreprise est confrontée à un ensemble de
risques externes et internes qui doivent être évalués. Avant de procéder à une telle
évaluation, il est nécessaire de définir les objectifs compatibles et répondant à des règles de
cohérence interne. Leur évaluation consiste en l’identification et l’analyse des facteurs
susceptibles d’affecter la réalisation des objectifs ; il s’agit d’un processus qui permet de
déterminer comment ils devraient être gérés.
1.1. Les risques dans les entreprises
Avant d’aborder les risques et notamment ceux opérationnels dans les entreprises, il
semble nécessaire de définir la notion de risque ainsi que les différents types de risques
pouvant exister dans toute organisation.
1.1.1. Le concept de risque
Toutes les entités, quel que soit leur taille, leur structure, la nature de leurs activités et le
secteur économique dans lequel elles évoluent, sont confrontées à des risques, et ce à tous
les niveaux.
D’après MOREAU (2002 :3), le risque d’entreprise peut être défini comme la menace
qu’un évènement, une action ou une inaction affecte la capacité de l’entreprise à atteindre
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 9
ses objectifs et compromettre ainsi la création de valeur. Cette définition est complétée par
celle de DESROCHES & al (2005 :44) ; pour eux, le risque est une grandeur à deux
dimensions. Une probabilité qui donne une mesure de l’incertitude que l’on a sur une
gravité des conséquences, en termes de quantité de dommages, consécutifs à l’occurrence
d’un événement redouté.
Par conséquent, nous pouvons conclure que le risque est l’éventualité d’événements futurs
pouvant entrainer des conséquences préjudiciables et agir ainsi sur la performance de
l’entreprise. Aussi, toutes ces définitions mettent en évidence les composantes du risque à
savoir la probabilité qu’un ou plusieurs événements se produisent et leurs conséquences.
On peut, de ce fait, définir le risque comme un concept par lequel l’entreprise tient compte
des événements possibles qui pourraient survenir dans un univers incertain et pouvant
entraîner des impacts significatifs sur l’entité et sur ses objectifs. De par ces définitions,
plusieurs types de risques peuvent être mis en évidence.
1.1.2. La typologie des risques
Différents risques sont susceptibles d’être rencontrés dans toute organisation.
RENARD (2009 :157) énumère une liste de risques susceptibles de se produire dans
l’entreprise. On distingue:
- les risques sociaux ;
- les risques financiers ;
- les risques informatiques ;
- les risques technologiques ;
- les risques de transports ;
- les risques commerciaux ;
- les risques juridiques ;
- les risques politiques ;
- etc.
NGUYEN (1999 : 156) quant à lui, vient compléter cette distinction en identifiant trois
(03) types de risques à savoir:
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 10
- ceux liés aux activités ;
- ceux qui sont internes ou externes ;
- ceux qui sont anciens ou nouveaux.
DESROCHES & al (2005 : 44) quant à eux, font une classification des risques selon (02)
deux critères :
- en fonction de leur évolution : les risques à effets convergents dont la gravité
diminue avec le temps ou à effets divergents dont la gravité augmente avec le
temps ;
- en fonction de leur impact : les risques à effets directs et indirects ou en cascades
induisant un enchainement de différentes natures.
Par ailleurs, AHOUANGANSI (2010 : 37-38) classe les risques en deux catégories :
- les risques spéculatifs : ce sont des risques pris par l’entrepreneur dans son activité
pour atteindre les objectifs de l’entreprise;
- les risques purs aléatoires ou accidentels : la protection contre ces risques s’établit à
plusieurs niveaux dont la prévention préalable adaptée (équipements spécifiques,
organisation de contrôle interne).
1.2. Les risques opérationnels
Les risques opérationnels sont présents dans toutes les organisations. Les incidents
montrent que des événements inattendus peuvent se produire et porter sérieusement
atteinte aux organisations de divers secteurs.
D’après SARDI (2002 :309), le risque opérationnel n’est pas un concept bien défini et ne
fait pas l’objet d’un consensus car il diffère suivant les organismes et les auteurs.
1.2.1. Définition
Les risques opérationnels sont des risques auxquels toutes les sociétés sont confrontées. En
général, ils proviennent de l’exécution des objectifs de l’entreprise. Ils recouvrent un
certain nombre de risques, parmi lesquels la fraude, le risque juridique, physique ou
environnemental.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 11
Bâle II le défini comme « le risque de pertes résultant d’une inadéquation ou d’une
défaillance imputable à des procédures, personnels et systèmes internes, ou à des
événements extérieurs, y compris ceux de faible probabilité d’occurrence, mais à risque de
perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique mais exclut les
risques stratégiques et de réputation ». CAMARA (2006 : 130) ajoute que le risque
opérationnel est la probabilité des pertes subséquentes à une défaillance des procédures
administratives, machines et outils de travail.
Il peut être ainsi défini comme le risque de perte ou d’incident résultant de processus,
d’individus ou de systèmes insuffisants ou défaillants, ou d’événements externes. Les
risques opérationnels sont difficiles à identifier car présents à tous les niveaux avec une
imbrication des événements et des conséquences, à mesurer due à la conjugaison des pertes
directes et indirectes et à gérer car s’appliquant transversalement sur l’ensemble des
métiers, avec des causes (internes et externes) et des conséquences (financières) diverses.
1.2.2. Les composantes du risque opérationnel
NGUYEN (1999 : 210) identifie divers types de risques opérationnels à savoir :
les risques de dysfonctionnement qui comprennent:
- le manque de compétence du personnel en cas de remplacement pour congés ou
départs définitifs ;
- les erreurs, oublis, manque d’attention ;
- les perturbations consécutives aux changements d’hommes de la hiérarchie sans
information préalable.
les risques de manipulation frauduleuse qui se caractérisent par:
- la collusion entre plusieurs personnes;
- le non respect des procédures.
Bâle II complète cette initiale classification en faisant une répartition des risques
opérationnels en sept (07) catégories :
- la fraude interne : elle concerne les pertes liées à des actes commis à l’intérieur de
l’entreprise visant à commettre une fraude ou un détournement d’actif ou à
enfreindre une disposition législative ou règlementaire, ou des règles de
l’entreprise ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 12
- la fraude externe : il s’agit des pertes liées à des actes extérieurs visant à commettre
une fraude ou un détournement d’actif ou à enfreindre une disposition législative ou
règlementaire ;
- l’insuffisance des pratiques internes concernant les ressources humaines et la
sécurité du lieu de travail : pertes liées à des actes contraires aux dispositions
législatives ou règlementaires, ou aux conventions en matière d’emploi, de santé ou
de sécurité, à la réparation de préjudices personnels ou à des pratiques
discriminatoires ou contraires aux règles en matière d’égalité professionnelle ;
- les clients, produits et pratiques commerciales : qui entrainent des pertes dues à un
manquement délibéré ou non, à une obligation professionnelle envers un client, à la
nature ou aux caractéristiques d’un produit ;
- les dommages aux actifs physiques : sont causées par l’endommagement des actifs
physiques résultant d’une catastrophe naturelle ou d’autres événements ;
- l’interruption d’activité et dysfonctionnement des systèmes : sont des pertes
résultant de dysfonctionnement ou des systèmes ;
- le dysfonctionnement des processus de traitement (exécution, passation d’ordre,
livraison, gestion des processus) : concerne les pertes liées aux lacunes du
traitement des transactions ou de la gestion des processus et aux relations avec les
contreparties commerciales et fournisseurs.
Aussi CAMARA (2006 :130) identifie différents types de risques opérationnels qui sont :
- le risque de fraude : il peut se définir comme l’acte illégal par lequel une personne
ou un groupe de personnes soutirent des fonds à l’entreprise;
- le risque administratif : c’est tout événement ou fait lié à une mauvaise définition
des procédures de travail ;
- le risque juridique : on entend par risque juridique les pertes que peut subir
l’entreprise du fait d’une mauvaise maîtrise de la loi et de son application ;
- le risque de sécurité physique : c’est la probabilité d’atteinte à l’intégrité physique
des actifs, employés de l’organisation;
- le risque de sécurité informatique : c’est le risque de panne des ordinateurs.
Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et
l’environnement externe font courir aux entreprises. De ce fait ils peuvent se décomposer
en quatre (04) sous-ensembles selon Bâle II :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 13
- le risque lié au système d’information: défaillance matérielle, obsolescence des
technologies (matériel, langages de programmation,…) ;
- le risque lié aux processus (saisies erronées, non respect des procédures,…) ;
- le risque lié aux personnes (absentéisme, fraude, mouvements sociaux,… mais
aussi la capacité de l'entreprise à assurer la relève sur les postes clés) ;
- le risque lié aux évènements extérieurs (terrorisme, catastrophe naturelle,
environnement réglementaire,…).
La diversité des risques auxquels est confrontée l’entreprise rend nécessaire une analyse
centralisée de manière à garantir une vue globale, avec une implication de tous les
spécialistes afin de mieux appréhender l’exposition aux risques.
1.2 La gestion des risques opérationnels
La gestion des risques dans le but de les réduire est une pièce essentielle du management
de l’entreprise et de maîtrise des risques.
1.2.1 Le processus de gestion des risques
Pour SARDI (2002 :183), le processus de management des risques comporte un certain
nombre d’étapes (l’identification, l’évaluation des risques, l’analyse et la planification des
mesures, la gestion opérationnelle des risques ainsi que la surveillance des risques et leur
reporting).
1.2.1.1 L’identification
Le dispositif de maîtrise des risques opérationnels consiste à agir sur les différents
éléments identifiés et quantifiés afin de modifier le profil de risques de la société ou tout du
moins sa sensibilité en cas de survenance d’événements non souhaités.
1.2.1.1.1 La définition du périmètre à analyser
D’après JIMENEZ & al (2008: 55), le périmètre à analyser comprend l’ensemble des
activités de l’établissement. Cela nécessite toutefois de comprendre et de modéliser les
activités pour permettre une identification de l’ensemble des risques opérationnels
associés. Celle-ci consiste à découper les activités de l’entreprise en métiers et processus
auxquels seront rattachés les événements à risques.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 14
Les risques sont alors analysés à un niveau de détail moindre et rattaché à un processus
générique qui sera complété par des informations spécifiques et pertinentes pour
l’identification des risques (déroulement d’activité particulier, risque spécifique ou au
contexte, etc.).
1.2.1.1.2 Les événements à risques
Pour JIMENEZ & al (2008 : 61-62), les événements à risques vont être associés à chaque
processus opérationnel identifié dans la nomenclature des processus. On cherche dans cette
étape à identifier tous les événements à risques qui peuvent se produire lors d’un processus
et qui pourraient avoir des conséquences sur son déroulement.
Certains événements types, par ailleurs, peuvent se retrouver comme événement à risque
dans un grand nombre de processus, par exemple l’erreur humaine ou l’interruption du
système d’information.
Bâle II (in Jimenez & al, 2008 :61-63) préconise la démarche d’identification des
événements à risques comme suite :
- l’établissement d’une liste type d’événements de risques: qui consiste à énumérer
les divers risques génériques (interruption des systèmes d’information, erreur
humaine, fraude). Cette liste va permettre d’éviter de refaire un travail complet
d’analyse des risques avec les opérationnels métiers pour se concentrer sur les
risques spécifiques à leur activité;
- l’établissement de la liste des risques spécifiques : effectuer un listing des risques
spécifiques (absence de contrôle, valorisation erronée) de l’activité et des métiers
que l’on retrouve quel que soit l’activité. Cette étape est construite avec les
représentants des métiers et se déroule par entretiens ou réunions avec les
opérationnels responsables des processus qui pourront définir à quels types de
risques ils sont sensibles ;
- la validation interne de la nomenclature des risques : celle-ci doit être adaptée au
fonctionnement de l’entreprise. Sa validation doit permettre de s’assurer qu’un
même risque dans deux (02) entités ou activités différentes aura la même définition
et le même sens afin de conserver un dispositif cohérent;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 15
- la validation de la cohérence: le dispositif mis en place doit répondre aux besoins
règlementaires.
Selon Coopers & Lybrand (2000 :58-61), l’identification des risques est un processus
itératif qui est souvent intégré à celui de la planification. Il est par ailleurs utile d’étudier
les risques d’un « œil neuf », plutôt que d’examiner leur évolution depuis une précédente
étude. Les risques à l’échelle de l’entreprise peuvent être la conséquence de facteurs
externes ou internes. L’identification de ces risques est essentielle pour procéder à leur
évaluation.
1.2.1.2 L’analyse et l’évaluation des risques opérationnels
Gérer les risques au niveau des activités permet d’axer l’évaluation sur les principales
divisions ou fonctions. Parvenir à les évaluer par activité contribue également à leur
maintien à un niveau acceptable.
L’analyse des risques et leur gestion sont intrinsèquement liées. Selon l’IFACI, l’analyse
comprend les éléments suivants :
- la définition du contexte et la mise en perspective ;
- l’identification et la documentation des risques ;
- l’évaluation, la quantification et la classification des risques ;
- l’évaluation et la modélisation du risque ;
- la mise au point de stratégies de réduction du risque et de contrôle ;
- l’obtention de ressources et l’attribution des responsabilités ;
- la réduction, le transfert ou l’élimination du risque ;
- le pilotage et le suivi du risque.
Selon le COCO (in Bertin, 2007 : 75), pour évaluer les risques il convient d’estimer leurs
probabilités de survenance ainsi que l’importance de l’impact afin que des processus
appropriés puissent être mis au point pour les contrôler.
Par ailleurs, pour Coopers & Lybrand (2000 : 61- 62) il est nécessaire de procéder à une
analyse des risques une fois que ceux-ci ont été identifiés au niveau de l’entreprise et de
chaque activité. Il existe de ce fait différentes manières de procéder à cette analyse, dans la
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 16
mesure où ils sont difficiles à quantifier. Néanmoins, le processus plus ou moins formel se
décompose généralement comme suit :
- l’évaluation de l’importance des risques ;
- l’évaluation de la probabilité (ou fréquence) de survenance;
- la prise en compte de la manière dont le risque doit être géré, c’est-à-dire évaluation
des mesures qu’il convient d’adopter.
Généralement, un risque qui n’a pas d’impact significatif et dont la probabilité de
survenance est faible, ne nécessite pas une analyse approfondie. En revanche, un risque
majeur qui selon toute vraisemblance se concrétisera doit être sérieusement analysé. Entre
ces deux extrêmes, l’analyse du risque s’avère difficile et elle doit être faite avec rationalité
et minutie. Une fois évaluées l’importance et la probabilité de survenance du risque, le
manager doit étudier la façon dont il doit être géré et mettre en place des dispositifs de
surveillance de ces risques.
Tableau 1 : Tableau d’analyse des risques
N°/date
Facteur
de risque
Ou
situation
à risque
Conséquences Gravité
initiale
Criticité
initiale
Actions de
maitrise des
risques et
d’identification
de l’autorité de
décision et leur
application
Criticité
résiduelle
Gestion
du risque
résiduel
Source : DESROCHES & al (2005 :158)
1.2.1.3 Le suivi des risques opérationnels
Pour SARDI (2002 : 186), en fonction du résultat de l’analyse des risques, certaines
mesures peuvent être prises notamment le renforcement du contrôle interne, la mise en
œuvre de nouvelles procédures de contrôle.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 17
« La surveillance des risques est une fonction permanente qui s’imbrique dans les
procédures formalisées mises en place par l’établissement. Elle implique l’ensemble des
acteurs du contrôle interne : comité d’audit, auditeurs internes, comités des risques et
cellules de management des risques, contrôleurs de premier et deuxième niveau » (SARDI,
2002 :63)
SARDI (2002 : 187) ajoute que le risque opérationnel est difficilement attribuable à une
unité spécifique dans la mesure où il est présent partout.
Selon SARDI (2002 : 187), le suivi des risques est une composante essentielle du
management des risques. Les politiques et les limites fixées doivent être surveillées sur une
base constante pour s’assurer de leur respect. Cette surveillance est dévolue aux contrôles
dits « de premier et deuxième niveaux » et le troisième niveau concerne l’audit interne qui
doit éviter d’être impliqué dans la surveillance permanente car son rôle est de s’assurer de
l’efficacité du dispositif.
1.2.2 Le dispositif de gestion des risques opérationnels
Il est tout à fait possible d’identifier dans chaque entreprise les zones à risques afin de
déterminer les priorités des programmes de contrôle. Cette identification est réalisée avec
l’encadrement de la direction. Il est important que le dispositif mis en œuvre par
l’entreprise afin de maîtriser les risques soit évalué de façon périodique pour s’assurer que
celui-ci est adapté et proportionné au profil de risques.
1.2.2.1 Les objectifs du dispositif de gestion des risques opérationnels
Les systèmes de contrôle interne sont destinés à protéger les actifs contre la perte, le vol et
la fraude. Ils visent à réduire la probabilité et la gravité d’événements défavorables ou non
désirés. Ces systèmes, bien que nécessaires à la bonne marche des opérations, sont
incomplets dans la mesure où ils se concentrent sur l’atténuation des risques sans permettre
aux gestionnaires de profiter des occasions positives pour mieux réaliser la mission et les
objectifs de l’organisation.
Selon JIMENEZ & al (2008 :91), le dispositif fait intervenir plusieurs acteurs de
l’entreprise car les risques se retrouvent à tous les niveaux et dans toutes les fonctions de
l’entreprise. On citera entre autre :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 18
- la direction générale : elle a un rôle primordial car assurant l’efficacité du dispositif
par son implication et les moyens à allouer ;
- le comité d’audit : il doit être tenu au courant des modifications du profil de risques
et les décisions prises à leur égard doivent lui être présentées ;
- les opérationnels : ils gèrent les processus et assurent à leur niveau, la mise en place
des mesures correctives et leur application ;
- l’audit interne: il a pour mission d’auditer les dispositifs de gestion des risques
opérationnels et dans le cadre de l’élaboration des plans annuels d’audit.
Pour une meilleure gestion des risques opérationnels il est nécessaire d’élaborer une
cartographie des risques. Selon JIMENEZ & al (2008: 116), la cartographie des risques
opérationnels a pour objectif d’identifier, d’évaluer, de classer, de comparer et de
hiérarchiser les risques susceptibles d’impacter une ligne de métier.
1.2.2.2 La cartographie des risques opérationnels
D’après JIMENEZ & al (2008 :63), la cartographie des risques consiste donc à associer
aux processus modélisés les événements de risques qui peuvent entraîner une perte en
donnant pour chaque couple ainsi recensé une vision des impacts possibles et le degré de
maîtrise estimé. Elle permet à l’entreprise d’avoir une bonne vision des risques auxquels
elle est soumise et, par conséquent, de sa capacité à y faire face.
En outre pour AHOUANGANSI (2010 : 40-41), c’est un véritable inventaire des risques
de l’organisation. Cette cartographie permet d’atteindre trois objectifs :
- inventorier, évaluer et classer les risques de l’organisation ;
- informer les responsables afin que chacun soit en mesure d’y adapter le
management de ses activités ;
- permettre à la Direction Générale, et au Risk Manager, d’élaborer une politique de
risque qui va s’imposer à tous.
1.2.2.2.1 Définition
La cartographie des risques est un document permettant de recenser les principaux risques
d’une organisation et de les présenter synthétiquement sous une forme hiérarchisée pour
assurer une démarche globale d’évaluation des risques. Elle n’est toutefois qu’une
Commentaire [k1]: Elle est plutôt une démarche et non un document. Et cette démarche abouti à la réalisation d’un document
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 19
photographie des risques à un instant donné. Selon la typologie des risques, les
informations disponibles pour corroborer l’évaluation, aideront les analyses, en particulier
en matière de fréquence et d’impact.
Pour les risques « rares », la cartographie sera basée le plus souvent sur une identification
et une évaluation qualitative des risques par les opérationnels de l’entreprise au travers des
questionnaires ou d’atelier de travail.
Figure 1 : La logique de la démarche globale de gestion des risques
Risques résiduels inacceptables risques résiduels acceptables
Source : POULAIN &al (2002 :41)
1.2.2.2.2 Les étapes de la cartographie des risques
JIMENEZ & al (2008 : 64) préconisent les différentes étapes de la cartographie des
risques :
- définir les couples processus/risque à évaluer ;
- identifier et évaluer les risques nets (prise en compte de l’existant) ;
IDENTIFIER
HIERARCHISER
AGIR
GESTION DES RISQUES DEMARCHE QUALITE
EVALUER
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 20
- apprécier le dispositif de maîtrise des risques ;
- assurer un contrôle de cohérence avec les risques bruts ;
- classifier et hiérarchiser les risques selon les différents angles d’analyse possibles
(risque net, risque brut, impact, image…).
Ces démarches de réduction des risques sont, comme les risques eux-mêmes, strictement
de la responsabilité des acteurs opérationnels chargés de ces activités. Mais l’audit interne
a pour vocation d’apporter aux opérationnels une assistance technique dans la réduction
des risques, en veillant au bon fonctionnement du contrôle interne et en s’assurant du
respect des principes.
1.3 L’audit interne et la gestion des risques opérationnels
Selon RENARD (2006 : 23), l’audit interne est une fonction permanente dans l’entreprise,
mais c’est une fonction périodique pour les audités car ceux-ci peuvent la rencontrer selon
une certaine fréquence qui dépend de l’importance du risque dans l’activité auditée.
1.3.1 La présentation de l’audit interne
Le champ d’intervention de l’audit interne est beaucoup plus vaste car il prend en compte
toutes les fonctions de l’entreprise et dans toute leur dimension. Celui-ci n’a cessé de
s’étendre contribuant ainsi à la complexité de la définition de ce concept. Un signe de cette
complexité est la pluralité des définitions proposées par les auteurs.
1.3.1.1 Le concept d’audit interne
« L’audit interne est une activité indépendante et objective qui donne à une organisation
une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des
propositions pour renforcer leur efficacité. » (SCHICK, 2007 :5).
Ces objectifs s’articulent autour de quatre (04) points:
- s’assurer de l’existence d’un bon système de contrôle interne qui permet de
maitriser les risques ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 21
- veiller de manière permanente à l’efficacité de son fonctionnement ;
- apporter des recommandations pour en améliorer l’efficacité ;
- informer régulièrement, de manière indépendante, la direction générale, l’organe
délibérant et le comité d’audit de l’état du contrôle interne.
Pour atteindre ces objectifs l’audit interne effectue différentes missions.
1.3.1.2 Les missions de l’audit interne
Selon LEMANT (1995 :19), l’essentiel d’une mission d’audit consiste à examiner les
composants de l’organisation et les conditions de fonctionnement d’une activité
déterminée, pour les comprendre et identifier les risques et opportunités qu’ils recèlent.
RENARD (2009 : 208) ajoute que les responsables des services d’audit interne témoignent
de plus en plus du caractère pédagogique de leur mission et de la nécessité de toujours
chercher à communiquer, non seulement autour des résultats mais aussi de la méthode mise
en œuvre. Le déroulement de la mission et l’utilisation de certains outils ne sont que des
illustrations de cette double recherche de simplicité et de transparence qui doit caractériser
l’approche de l’auditeur.
La signification d'une mission d'audit est qu'elle se découpe en périodes précises et
identifiables, et qui sont toujours les mêmes. Le mot mission vient du Latin « Mittere » qui
signifie envoyer, nous indique le Petit Larousse (in RENARD : 193) qui précise que la
mission est une fonction temporaire et déterminée dont un gouvernement charge un agent
spécial.
1.3.1.3 L’organisation du travail d’audit interne
Le travail des auditeurs est organisé suivant une certaine logique et se présente ainsi:
la charte d’audit : Selon RENARD (2009 :397), c’est le document constitutif de la
fonction d’audit interne et destiné à la présenter et à la faire connaître aux autres acteurs de
l’entreprise. Il est exigé par la première des normes professionnelles ;
puis l’indispensable plan d’audit : Il est exigé par la norme 2010 : « le
responsable de l’audit interne doit établir une planification fondée sur les risques afin de
Commentaire [k2]: Il faut faire une transition entre les différents points et le développement de ces points
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 22
définir les priorités cohérentes avec les objectifs de l’organisation. (in Jacques Renard
2009 : 399).
Ensuite on a:
le manuel d’audit interne : A la différence de la charte d’audit, le manuel est à
usage interne, tout comme la documentation à disposition des auditeurs et qui est à enrichir
constamment à l’occasion de chaque mission d’audit », (RENARD, 2009 : 418) ;
les dossiers d’audit et les papiers de travail: Pour RENARD (2009 :420), à
chaque mission doit correspondre un dossier composé, entre autres éléments des papiers de
travail les plus significatifs et constituent la mémoire de l’entreprise. Cette exigence a une
triple justification :
- exigence de preuve ;
- exigence d’efficacité ;
- exigence de formation.
L’audit interne est une activité ayant pour vocation d’aider les responsables des opérations,
à respecter les principes de contrôle interne, c’est-à-dire les bonnes pratiques de
management face aux risques qui menacent les activités. Ainsi l’audit interne apporte son
assistance en contrôle interne sur tous les grands processus d’activité. (La revue française
de l’audit interne, Septembre 2004 : 6)
1.3.2 Le rôle de l’audit interne dans la gestion des risques opérationnels
Selon BERTIN (2007 :113), la gestion des risques, ainsi que l’audit interne et le contrôle
interne, doivent réellement être appréhendées comme un processus continu dont
l’application doit être garantie en permanence. L’appréciation des risques ne doit pas être
figée mais continue. Le rôle de l’auditeur est de fournir une « évaluation indépendante »
de la pertinence, de l’application et de l’efficacité des dispositifs de contrôle interne mis en
place par le management. La valeur ajoutée de l’audit interne est de contribuer à
l’amélioration des opérations de l’entreprise en facilitant l’identification et l’évaluation des
risques à tous les niveaux. Il devrait y parvenir en examinant l’efficacité des processus de
gestion des risques mis en place dans l’entreprise et en s’assurant de l’existence de
procédures et de normes claires et cohérentes en matière de risque.
Commentaire [k3]: C’est la définition donnée par l’IFACI au niveau du document des Normes d’audit interne
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 23
Selon l’European Confederation of Institutes of Internal Auditors (ECIIA), le rôle de
l’audit interne est de conseiller et d’aider la direction à assurer l’efficacité du contrôle en
mettant au point un programme de travail reposant sur les risques et couvrant les
principales activités et les principaux systèmes de l’entreprise.
L'audit interne est une fonction d’appréciation et d’évaluation dont la tâche essentielle est,
notamment, la validation du contrôle interne. En outre le lien fondamental qui existe entre
l’audit interne et le contrôle interne est la vérification du respect des procédures.
1.3.3 Les mesures de contrôle des risques opérationnels
Les indicateurs des risques sont produits et suivis par les utilisateurs opérationnels afin de
compléter le dispositif d’alerte et d’anticiper les pertes éventuelles. Pour ce faire, ils
doivent permettre de suivre le profil ainsi que l’environnement des risques de l’entreprise.
1.3.3.1 Les indicateurs de risques
Du point de vue de JIMENEZ & al (2008 : 110) trois (03) types d’indicateurs peuvent être
utilisés :
- les indicateurs à valeur qui visent à suivre l’évolution du risque lui-même ;
- les indicateurs à niveaux qui visent à suivre le dispositif de maîtrise du risque en
tant que tel et sa chronologie par étape de mise en œuvre (création d’une échelle,
suivi de plan de continuité) ;
- les indicateurs à score quant à eux servent à suivre la complétude du dispositif de
maîtrise des risques. Ce type d’indicateur est adapté lorsque la mise en service d’un
dispositif ne suit pas une logique par paliers.
L’objectif des indicateurs étant d’être des alertes préventives, ils seront produits à une
fréquence qui correspond à la mesure « normale » du risque ou du dispositif. Ils doivent
pouvoir être reliés à la nomenclature des risques afin de permettre d’initier si besoin des
plans d’action et une réactualisation de la cartographie.
Pour chaque indicateur retenu, sera créée une « fiche d’identité » afin de permettre la
diffusion de l’intérêt de celui-ci et de l’objectif de la mesure. Cette fiche d’identité
comprend :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 24
- le nom de l’indicateur ;
- les objectifs ;
- son mode de calcul ;
- les sources utilisées ;
- la périodicité d’actualisation ;
- le seuil critique ;
- les conséquences d’une dégradation de l’indicateur.
Pour JIMENEZ & al (2008 : 120), la création d’un tableau de bord du risque opérationnel
doit être le reflet de la qualité de la politique des risques mise en œuvre et soumettre une
vision consolidée du risque à différents niveaux de l’entreprise.
1.3.3.2 Le tableau de bord des risques opérationnels
Le tableau de bord doit permettre :
- d’appréhender la nature et l’ampleur des risques encourus ;
- de s’assurer de l’adéquation des dispositifs de gestion des risques opérationnels
avec le profil de risques et le plan d’activité ;
- d’effectuer les arbitrages nécessaires pour limiter et couvrir les risques ;
- de piloter les actions préventives et correctives ainsi que leur état d’avancement.
Selon DU SERT (1999 :15), la dynamique historique du risque fait apparaître que l’analyse
du risque doit couvrir une succession de situations possibles. Le problème est celui de la
perception que l’on peut avoir des différents risques de façon à mieux s’en protéger.
L’audit, activité indépendante et objective, dépassant la simple vérification de conformité
pour proposer des recommandations et évaluer les processus de management, s’est
positionné dans la gestion des risques. L’audit interne vient ajuster les dispositifs de
contrôle interne pour atteindre les objectifs de ce dernier en sauvegardant le patrimoine, en
assurant une bonne circulation de l’information, en respectant les directives et en
optimisant les performances de l’entreprise. Il vient pour renforcer le contrôle interne dans
la mesure où il doit soutenir les centres de responsabilités à maîtriser davantage leur
activité et non pas à alourdir les procédures de vérification pour ainsi faire régner une
mauvaise ambiance.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 25
Au-delà de la prise en compte des risques dans la création du plan d’audit, l’audit interne a
une réelle valeur ajoutée dans le processus d’identification et d’évaluation des risques dans
le cadre d’une approche de gestion globale. Il apporte ainsi au management un niveau
complémentaire de réassurance sur la pérennité de ce dispositif.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 26
CHAPITRE 2: L’AUDIT INTERNE ET LA MAITRISE DES RISQUES
OPERATIONNELS
La maîtrise des risques occupe de plus en plus une place importante dans les
préoccupations des dirigeants. Aussi les risques qui menacent les entreprises doivent- ils
être identifiés et réduits à des proportions acceptables. De ce fait, des conditions doivent
être réunies pour mettre en place un système efficace, parmi lesquelles un audit interne
performant, un processus d’identification et de mesure des risques simple.
Pour LEMANT (1998 :3), l’audit interne est une fonction d’assistance au management.
Issue du contrôle comptable et financier, la fonction audit interne recouvre de nos jours
une conception beaucoup plus large et plus riche, répondant aux exigences croissantes de
la gestion de plus en plus complexe des entreprises. Son objectif est d’assister les membres
de l’organisation dans l’exercice de leurs responsabilités, pour ce faire il assure
l’évaluation de la suffisance et de la réalité du système de contrôle interne. Il apporte sa
contribution à l’ensemble des activités de l’entreprise car dans chaque domaine dirigé c’est
toujours planifier les tâches, organiser les responsabilités, conduire les opérations et
contrôler leur marche.
Le principal apport de l’auditeur est d’inciter l’entreprise à réfléchir sur la définition des
risques et leurs conséquences sur son fonctionnement, avant toute prise de décision de
gestion. L’auditeur veillera aussi, entre autres, au respect des principes, à la séparation des
tâches, aux conditions de réalisation des opérations et pour y parvenir il adopte différentes
démarches.
2.1. Les démarches de l’audit interne
Pour jouer pleinement son rôle dans la maîtrise des risques de l’organisation, l’auditeur
adopte des démarches pour mener ses missions. Plusieurs approches existent notamment
l’approche traditionnelle et l’approche moderne.
BECOURT & al (2008 : 25) distinguent six (06) types d’approche d’audit à savoir :
- l’approche par les systèmes : c’est la démarche la plus traditionnelle, elle s’adresse
à des opérations, systèmes de sorte qu’il est limité dans le temps à une partie de
l’entreprise;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 27
- l’approche « audit total » : elle est illimitée et vise à la couverture totale de toutes
les fonctions et opérations ;
- l’approche audit transversal qui s’intègre plus ou moins dans les deux précédentes
catégories : recouvre au sein d’une organisation complexe, l’audit d’une fonction,
d’une procédure quelque soit le site dans lequel ceux-ci sont opérées. L’auditeur
cherche à mettre en évidence les risques, les vulnérabilités afin de permettre à
l’organisation de les optimiser ;
- l’approche « qualité totale », prolongée par l’approche juste à temps : est un moyen
d’identifier le risque d’audit afin de rendre le service attendu plus performant ;
- l’approche par les compétences des auditeurs : La compétence technique nécessaire
à un audit implique une combinaison de connaissances. La compétence de
l’auditeur a une influence directe sur l’impact des missions ;
- l’approche moderne : l’approche par les risques est une des conséquences directes
de la recherche d’efficacité par l’audit interne. Cette approche part du principe qu’il
est peu utile d’investir sur une partie significative dans des aires de l’entreprise où
un risque est susceptible d’apparaître.
Nous retiendrons les deux principales approches de l’audit que sont l’approche par les
systèmes et l’approche par les risques.
2.1.1. L’approche par les systèmes
Selon COLLINS (1992 :24), le principe de l’approche par les systèmes est basé sur la
morphologie de l’entreprise qui est conçue comme un ensemble de systèmes et de
procédures géré par un personnel spécialisé dans le but d’assurer le respect des politiques
et des stratégies adoptées par les dirigeants pour permettre à l’entreprise d’atteindre ses
objectifs.
2.1.1.1. La présentation de la démarche
L’approche par les systèmes consiste à considérer l’entreprise comme un ensemble de
systèmes. Selon BECOURT & al (2008 : 26), dans cette approche l’audit « passe au peigne
fin » la fonction, système et les processus. Il analyse la structure, l’organisation et le
fonctionnement d’un système ou d’une procédure dans son détail et apprécie les qualités de
contrôle.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 28
COLLINS (1992 :28) ajoute que l’auditeur prend parfois le bilan (et le compte de résultat)
comme point de départ pour son étude à travers les systèmes. On appelle cette approche
« top down », car elle part des documents de synthèse. Dans cette approche de l’auditeur,
on considère l’entreprise comme un ensemble de risques.
Elle consiste en:
- une prise de connaissance de l’entreprise ;
- l’évaluation du contrôle interne ;
- l’identification des cycles significatifs ;
- à une revue analytique ;
- à des rapports.
D’après SARDI (2002 :176-177), par cette approche les différentes composantes du
système de contrôle interne sont analysées pour apprécier leur efficacité. Ci-joint en
annexe le cycle d’opérations de gestion.
2.1.1.2. Les limites de l’approche par les systèmes
Pour COLLINS, lorsque l’auditeur adopte l’approche par les systèmes il prend un risque
car s’il n’a pas les connaissances nécessaires pour accomplir une mission en respectant les
exigences de qualité des organisations, il pourra se voir inculper un manque de diligence
professionnelle.
Cette approche comporte certaines limites notamment des insuffisances dans la
planification et l’évaluation du contrôle interne.
- planification : l’auditeur se focalise sur la justification des informations financières
par des éléments probants alors qu’il lui sera difficile de vérifier le non
enregistrement d’une opération ;
- l’évaluation du contrôle interne.
Pour BECOURT & al (2008 : 29) ; l’auditeur s’attache à déceler les inaptitudes du système
étudié à produire les effets escomptés.
D’après CHAMBERS (Revue de l’audit et contrôle internes, Avril 2011 : 40), les missions
de l’audit interne étaient focalisées sur les contrôles financiers jusqu’en 2008, mais il a su
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 29
se réorienter et retrouver une vision plus large des risques menaçant les organisations.
D’où l’apparition d’une nouvelle démarche appelée approche par les risques.
2.1.2. L’approche par les risques
Selon POWER (in Elisabeth Bertin, 2007 :306), la légitimité des pratiques de gestion
dépend maintenant de leur auditabilité. Rendre les entreprises auditables, c’est faire en
sorte que les processus de gestion puissent être évalués, par l’entreprise et par des tiers
indépendants. Par rapport à cette affirmation, il convient de se poser la question sur
l’adaptabilité des procédures d’audit interne aux pratiques de gestion existantes ou au
contraire sur la manière dont le processus d’audit peut façonner les pratiques de gestion.
2.1.2.1. La description de la démarche
L’approche par les risques consiste pour l’auditeur à focaliser son travail sur les zones de
l’entreprise ou des risques peuvent se matérialiser. L’analyse porte sur l’identification pour
chacune des parties de l’entreprise de facteurs internes ou externes facilitant l’occurrence
des risques.
Pour COLLINS (1992 :28), l’auditeur, dans sa prise de connaissance de l’entreprise
s’informe largement sur tous les aspects significatifs de la vie de l’entreprise ainsi que de
l’évolution de son environnement. Etant donné que l’audit n’est jamais exhaustif, il
incombe à l’auditeur de déterminer où se trouvent les domaines à risque. SARDI (2002 :
176) ajoute que l’approche par les risques consiste à identifier les risques majeurs et à
analyser les dispositifs mis en œuvre pour les maîtriser.
Selon les normes d’audit la démarche peut se schématiser comme suit :
- la planification des travaux ;
- le contrôle interne ;
- l’obtention des éléments probants ;
- l’utilisation des travaux d’autres professionnels ;
- la conclusion et rapports d’audit. (voir annexe 2, page 88 ; l’entreprise comme un
ensemble de risques)
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 30
Pour COLLINS (1992 :29), l’idée de base est que chaque domaine sensible présente un
risque que l’information le décrivant soit erronée. Ainsi, l’auditeur après son étude initiale
est apte à concentrer l’essentiel de son travail là où il prévoit les plus grands risques.
2.1.2.2. Les différentes phases de la démarche
Cette démarche de l’approche par les risques prend en considération plusieurs facteurs et
éléments nécessaires à sa mise en œuvre. Selon LEMANT (1995 :111), une mission
d’audit interne est menée par une équipe d’auditeurs, dirigée par un chef de mission qui est
responsable du succès de la mission. Celle-ci se découpe en quatre (04) phases qui sont :
2.1.2.2.1 La phase de la préparation
Pour RENARD (2008 : 217), cette phase débute par l’ordre de mission qui est le document
qui formalise le mandat donné par la direction générale à l’audit interne. Elle consistera
ensuite à prendre connaissance du domaine à auditer, à identifier les risques et à définir les
objectifs.
Selon RENARD (2008 :233), cette étape n’est que la mise en œuvre de la norme 2210.A1 :
« En planifiant sa mission, l’auditeur interne doit relever et évaluer les risques liés à
l’activité soumise à l’audit. Les objectifs de la mission doivent être déterminés en fonction
des résultats de cette évaluation.». Il s’agit d’identifier les endroits où les risques les plus
dommageables sont susceptibles de se produire, que d’analyser les risques eux-mêmes.
Cette phase conditionne la suite de la mission de l’auditeur car elle va lui permettre de
construire son référentiel et, dans le même temps, de concevoir son programme et de
l’élaborer en fonction non seulement des menaces mais également de ce qui a pu être mis
en place pour y faire face.
Les risques sont appréciés tâche par tâche pour l’activité objet de la mission d’audit au
niveau analytique. « Le but de l’évaluation des risques pendant la phase de planification de
l’audit est d’identifier les secteurs importants de l’activité à auditer. » (Norme 2210.A1 in
Jacques Renard 2008 :233).
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 31
2.1.2.2.2 La phase de la réalisation
Selon RENARD (2008 :245), tout commence par une réunion relativement solennelle et
nommée « réunion d’ouverture ». Cette réunion va consister à une présentation de
l’équipe, à faire un rappel sur l’audit interne et à réaliser le rapport d’orientation.
D’après BERTIN (2007 :42), l’auditeur poursuit deux (02) objectifs lors de cette phase :
- mettre en évidence les faiblesses et les forces apparentes du dispositif de contrôle
interne;
- proposer des solutions d’amélioration.
Le travail sur terrain fait appelle à des techniques (interview, observation physique,
narration examen analytique, sondages…) et à des moyens (questionnaires de contrôle
interne, feuille de révélation et d’analyse des problèmes…).
L’auditeur doit systématiquement valider ses constats identifiés lors de son intervention sur
le terrain en les portant à la connaissance du responsable.
2.1.2.2.3 La conclusion et rapport
Pour BERTIN (2007 :44), toute mission d’audit s’achève par la rédaction d’un rapport. Les
auditeurs présentent les conclusions générales de la mission en recueillant les objections et
les précisions des audités en vue de la rédaction du rapport d’audit. Une fois l’audit réalisé,
l’auditeur doit remettre un rapport aux destinataires concernés.
2.1.2.2.4 Le suivi des recommandations :
« Le suivi des recommandations, qui plus est une collaboration entre auditeurs et audités,
commence avec la formulation des recommandations. Il se dessine avec la détermination
du (ou des) responsable(s) de chaque recommandation, lors de la validation du projet de
rapport. Il se formalise par l’engagement des responsables désignés dans le rapport sur des
plans d’action. Il se concrétise par la mise en place des actions de progrès agrées entre
auditeurs et audités lors de la revue des réponses. Il se manifeste par la diffusion
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 32
périodique de l’état d’avancement des Actions de Progrès. Il se termine avec une
évaluation des résultats obtenus. » (LEMANT, 1998 :128).
2.1.2.2.5 Le tableau des risques
Le tableau des risques consiste à découper l’activité (en fonction ou en processus) à auditer
en tâches élémentaires. Ce découpage sera plus ou moins fin selon l’approfondissement
que l’on souhaite donner à l’observation. Le tableau des risques consistera :
- à découper l’activité en tâches ou opérations élémentaires ;
- à indiquer en face de chacune de ces tâches quel est son objectif et à quoi elle sert.
Cette décomposition en tâches élémentaires est d’autant plus importante qu’elle est
nécessaire :
- elle constitue le premier stade du tableau des risques ;
- elle représente la première partie du questionnaire de contrôle interne (QCI) ;
- elle est la base de la grille d’analyse des tâches ;
- elle est la première étape de l’élaboration d’un contrôle interne rationnel pour le
manager.
En ce qui concerne RENARD (2008 :235), le tableau des risques doit nécessairement
prendre en compte les trois (03) facteurs susceptibles de générer des risques :
- l’exposition : ce sont les risques qui pèsent sur les biens et sont multiples
(malversations, incendies, dommage de toute sorte) ;
- l’environnement : ce n’est plus le bien lui-même, mais ce qui est autour qui devient
facteur de risque. Sous cette rubrique prennent place tous les risques liés aux
opérations ;
- la menace : le plus souvent imprévisible, voire invisible. Elle risque de conduire à
la multiplication des procédures et contrôles qui seront autant de freins et de
contraintes excessifs, si on n’a pas pris la mesure exacte du danger et de la riposte
appropriée.
BERTIN (2007 :41) ajoute que l’établissement de la feuille de risques passe par le
découpage du domaine ou de l’activité en objets auditables, la définition des objectifs à
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 33
atteindre par chacune des tâches, l’évaluation de l’impact, l’indication de bonnes pratiques
permettent d’apprécier en termes de risques, l’atteinte d’un objectif de contrôle.
Le tableau des risques permet de cerner les objectifs d’audit retenus, qu’il sera nécessaire
de vérifier sur le terrain lors de la réalisation des travaux d’audit.
Tableau 2 : Tableau de risques correspondant à la réception des marchandises
Entité/
domaine/
opération
Objectifs
de contrôle Risques
Bonnes
pratiques
Forces et
faiblesses
apparentes F/f
Evaluation
préliminaire
des risques
R1
R2
F (faiblesse)
f
Elevé
moyen
R3 f faible
Source : BERTIN (2007: 41)
L’approche par les risques dénote des faiblesses surtout au niveau de la taille de
l’entreprise. En effet, d’après BERTIN (2007 :38), cette démarche n’est efficace que si
l’entreprise est de taille importante mais devient inutile et coûteuse pour les petites
entreprises.
2.1 La maîtrise des risques opérationnels
La maîtrise des risques d’une entreprise est l’ensemble des initiatives souhaitables qu’elle
devrait adopter pour faire face aux principaux risques inhérents à ses activités. Néanmoins
maîtriser les risques, ne consiste pas seulement à prendre des initiatives pour éviter les
risques mais aussi à prendre des initiatives pour ne pas manquer les opportunités.
L’organisation d’un dispositif de maîtrise des risques opérationnels fait intervenir de
nombreux acteurs de l’entreprise car ceux-ci se retrouvent à tous les niveaux et dans toutes
les fonctions de l’entreprise.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 34
2.2.1. Les dispositifs de maîtrise des risques opérationnels
Maîtriser selon le Larousse de poche (2003 : 488), c’est se rendre maître des éléments
difficilement contrôlables. De ce fait, le dispositif de maîtrise des risques est l’ensemble
des mesures qui doivent permettre à l’entreprise d’éviter de faire face à un tel incident.
FAULTRAT (in revue française de l’audit interne février 2000 ; n° 148) le défini comme
l’ensemble des moyens concrets mis en place par les responsables opérationnels pour faire
face aux risques inhérents à leurs activités.
Selon JIMENEZ & al (2008 :91-92) le dispositif de base d’une bonne maîtrise des risques
opérationnels doit comporter plusieurs éléments qui peuvent se traduire par :
- une politique bien définie et documentée ;
- un réseau de responsables en charge de l’animation du dispositif et de leur propre
réseau de correspondants au sein de leur structure ;
- un dispositif d’identification et de gestion des risques au quotidien ;
- la mise en place d’indicateurs avancés et pertinents assurant des alertes sur toute
perturbation d’un processus donné ;
- des reporting adaptés au profil de risques de l’entité ;
- des évaluations régulières du dispositif par les personnes en charge de son
animation et par des intervenants externes.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 35
Tableau 3 : Questionnaire relatif à la maîtrise des risques
Questions Réponses
Oui Non
Identification des principaux risques :
- Existe –t-il un processus d’identification des principaux risques ?
- Une organisation a-t-elle été mise en place à cet effet ?
Analyse des principaux risques :
- L’analyse des risques tient-elle compte des évolutions internes et
externes de la société ?
- Ces analyses donnent –elles lieu à des actions spécifiques ?
Procédures de gestion des principaux risques :
- Une politique et des procédures de gestion des principaux risques
ont-elles été définies, validées par la direction et mises en place dans
la société ?
- Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la
surveillance des procédures de gestion des risques ?
Surveillance des risques et des procédures de gestion : l’entreprise
communique-t-elle en interne avec personnes intéressées ?
- Sur des facteurs de risques ?
- Sur les dispositifs de gestion des risques ?
- Sur les actions en cours ?
- Existe-t-il un dispositif permettant d’identifier les principales
faiblesses du dispositif de gestion des risques mis en place ?
Source : inspiré de RENARD (2006 :224)
Le référent de maîtrise des risques : Selon FAUTRAT (in revue française de l’audit
interne, Février 2000 : 25), il s’agit du document référentiel validé par la direction, qui au
niveau global de l’entreprise visualise les grands processus d’activité, les risques essentiels
qui leur sont inhérents, et les règles de contrôle interne y correspondant.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 36
2.2.2. Le système de contrôle interne
Les notions de contrôle interne sont présentes dans tous les domaines, non seulement dans
le secteur privé mais également dans le secteur public. Cependant, toutes les organisations
professionnelles d’audit n’ont pas la même perception de ce qu’est le contrôle interne.
En effet, comme le souligne COLLINS (1992 :34), tout le monde tombe d’accord que
l’auditeur doit obligatoirement tenir compte de l’efficacité du contrôle interne lorsqu’il
entreprend la planification de sa mission. Ainsi sont nombreuses les définitions du contrôle
interne qui existent
2.2.2.1. Définition
Le COSO (in revue française de l’audit interne, Juin 2000 : 12-13), défini le contrôle
interne comme un processus mis en œuvre par le Conseil d’Administration, les dirigeants
et le personnel d’une organisation, destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs ci-dessous :
- la réalisation et l’optimisation des opérations ;
- la fiabilité des informations financières ;
- la conformité aux lois et règlements.
BARBIER (1996 :21) ajoute que le contrôle interne est aussi l’ensemble des dispositions
incluses dans les organisations et dans les procédures, dont l’objet est d’assurer la qualité
de l’information, la protection du patrimoine, le respect des lois comme des plans et
politiques de la direction générale ainsi que l’efficacité du fonctionnement de l’entreprise.
2.2.2.2. Les objectifs du contrôle interne
D’après COLLINS (1992 :38), quatre (04) objectifs du contrôle interne peuvent être
identifiés :
- la sauvegarde des actifs : l’obligation de l’administrateur est de s’assurer que les
actifs de la société sont protégés en permanence ;
- la qualité de l’information : elle ne peut être assurée que par l’entremise de
contrôles réguliers qui font partie intégrante des systèmes d’information ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 37
- assurer l’application des instructions de la direction : il est relativement facile
d’émettre une instruction ; cette facilité et la nécessité de la faire continuellement
dans une entreprise à tous les niveaux de responsabilité posent un problème de
contrôle ;
- favoriser l’amélioration des performances : les définitions du contrôle interne visent
le respect d’une efficacité certaine et, à un moindre degré, une certaine efficience
dans la gestion de l’entreprise.
2.2.2.3. Les éléments du dispositif de contrôle interne
Selon PIGE (2003 : 42), le système de contrôle interne doit être adapté à chaque
organisation. En fonction de la nature des activités, il doit assurer le respect d’un certain
nombre de principes qui sont la séparation des tâches, la supervision et la conservation des
actifs. De ce fait, GRAND & al (2006 : 72), mettent en évidence les qualités d’un bon
contrôle interne qui doit être lié à l’existence de procédures. On dénombre
traditionnellement six (06) principes:
- le principe d’harmonie : les procédures doivent correspondre à l’organisation et
adaptées à la structure;
- le principe de permanence et d’universalité : les procédures doivent être
permanentes, c’est- à- dire appliquées durant toute l’année et être universelles ;
- le principe de reconnaissance : les procédures doivent être connues et acceptées,
pour ce faire elles doivent être correctement diffusées à l’intérieur de
l’organisation ;
- le recoupement : les procédures doivent être étudiées de façon à assurer des
possibilités de recoupement et de contrôle réciproque. Il permet une mise en
évidence rapide des dysfonctionnements ;
- l’enregistrement et le classement méthodique des faits : l’organisation
administrative doit permettre un enregistrement rapide des opérations et les
documents justificatifs dûment conservés. Ce principe permet de mener aisément et
rapidement les contrôles ;
- la séparation des fonctions : il est le principe fondamental de l’auditeur. Toute
opération dans l’entreprise touche les quatre (04) fonctions suivantes :
o la fonction de réalisation des opérations (embauche, achat) ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 38
o la fonction de manipulation des actifs (encaissement, livraison de marchandises);
o la fonction d’enregistrement (tenue des stocks, comptabilité);
o la fonction de contrôle (rapprochement, inventaire).
Certains auteurs comme NGUYEN (1999 :199-200) pensent que ces principes sont utiles
pour la mise en œuvre du contrôle interne.
Selon JIMENEZ & al (2008 :127), la finalité de la mise en œuvre de la maîtrise des risques
opérationnels est de pouvoir faire face aux éléments identifiés et évalués afin de modifier
le profil de risques de la société ou d’amoindrir sa survenance. Même si le contrôle interne
joue un rôle clé dans la conduite et le pilotage des différentes activités d’une entreprise, il
ne peut couvrir toutes les initiatives prises par le management.
2.2 L’apport de l’audit interne dans le dispositif de maîtrise des risques
opérationnels
Dans le cadre de leur mission, les auditeurs internes doivent déterminer si :
- l’environnement de l’entreprise favorise la sensibilisation au risque et au contrôle ;
- des objectifs d’entreprise réalistes ont été fixés ;
- des procédures écrites existent, qui décrivent les activités prohibées et les mesures à
prendre en cas d’infraction avérée ;
- des procédures d’autorisation appropriées pour les transactions sont mises en
place ;
- des politiques, pratiques, procédures, rapports et autres mécanismes sont mis au
point pour piloter les activités et protéger les actifs, en particulier dans les domaines
à haut risque ;
- des canaux de communication donnent à la direction des informations fiables et
pertinentes.
L’audit interne aura pour mission d’auditer les dispositifs de gestion des risques
opérationnels dans la phase de pré-homologation, puis dans le cadre des plans annuels
d’audit. Ces missions doivent permettre d’assurer, tant à l’organe exécutif qu’au
régulateur :
- l’appréciation et la maîtrise des risques de l’établissement ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 39
- la bonne appréciation de la politique des risques définie ;
- la capacité de l’établissement à détecter, prévenir et gérer ses risques dans les
limites qu’il s’est fixées et de manière conforme à la règlementation en vigueur.
Le contrôle interne est l’outil de maîtrise par l’entreprise de ses procédures et de son
exploitation et est l’affaire des dirigeants. Cependant aucun système de contrôle interne
n’est parfait, pour ce faire il s’avère une nécessité de procéder à son évaluation. L’audit
interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle interne et
de faire des recommandations pour l’améliorer.
2.3.1. L’appréciation du dispositif de contrôle interne
Selon BILODEAU (revue de l’audit et contrôle internes, Avril 2001 :31-32), l’auditeur
interne doit faire preuve de conscience et de diligence professionnelle dans l’exercice de
ses fonctions ce qui lui permettra de contribuer à réduire les risques. Il évaluera selon le
cadre de référence choisi, la pertinence et l’efficacité du système de contrôle interne
compte tenu des risques spécifiques à chaque fonction ou métier de l’entreprise.
Pour BARRY (2009 :16), la définition du contrôle interne montre les objectifs préalables
que l’audit devrait chercher à atteindre. Pour ce faire, évaluer le contrôle interne de
l’entreprise vise à s’assurer que, à tous les niveaux de l’entreprise, les objectifs de contrôle
sont atteints par la mise en place de procédures appropriées définies dans le cadre d’un
manuel et effectivement appliquées par le personnel. En outre, BARRY (2009 :16-17)
ajoute que l’évaluation du contrôle interne permet la détection :
- des points forts du système de contrôle mis en place par l’entreprise ;
- des zones de faiblesse du contrôle interne qui sont susceptibles d’entrainer des
dysfonctionnements dans l’entreprise et avoir des impacts négatifs sur la fiabilité des
informations.
« L’appréciation du système de contrôle interne passe par le découpage de l’entreprise en
cycle d’activités et par l’évaluation des procédures mises en place pour atteindre les
objectifs de contrôle pour chacun des cycles. » (BARRY, 2009 :17).
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 40
2.3.1.1. Le découpage en cycles d’activités
D’après BARRY (2009 :17-18), les cycles que l’on trouve traditionnellement dans
l’entreprise sont les suivants :
- cycle des dépenses-achats : concernent toutes les fonctions relatives aux achats,
depuis la budgétisation jusqu’au règlement des fournisseurs ;
- cycles dépenses- immobilisations : regroupe les fonctions relatives aux achats et à la
conservation des biens d’équipement, de leur budgétisation à leur dépréciation ou
cession ;
- cycle stocks : qui regroupe les fonctions liées aux stocks et à la production, depuis la
réception jusqu’à l’inventaire;
- cycle des revenus : concerne les fonctions de ventes et créances, de la budgétisation à
l’encaissement des créances ;
- cycle du personnel : regroupe les fonctions relatives au personnel et à la paie, depuis
la budgétisation des dépenses de personnel à l’embauche jusqu’au règlement des
salaires et des charges sociales ;
- etc.
Tableau 4 : Objectif de contrôle de l’enregistrement exhaustif des ventes
Questions Réf
OUI
OU
N/A
NON Commentaires
Référence
Programme
de travail
1- L’accès aux zones de stockage et
d’expédition est-il suffisamment
protéger pour éviter des :
-expéditions sans bon de
livraison ?
- retour sans bon de retour ?
2- Les bons d’expédition sont-ils :
établis sur des formulaires
standards ?
prénumérotés ?
Source : CNCC (1992 :97)
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 41
A partir des orientations données dans son programme de travail, l’auditeur doit effectuer
une analyse des systèmes de contrôle interne de l’entreprise afin d’en apprécier les points
forts et les points faibles en vue de déterminer la nature et l’étendue des travaux.
2.3.1.2. L’évaluation du contrôle interne
Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du
contrôle interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de
passifs qui en résultent comporte deux phases essentielles :
- l’appréciation de l’existant : elle consiste à comprendre les procédures de traitement
des données et les contrôles internes manuels et informatisés mis en place dans
l’entreprise. elle se déroule comme suit :
o prise de connaissance détaillée du système ;
o vérification par des tests que les procédures décrites et les contrôles indiqués
sont appliquées ;
o évaluation des risques d’erreurs ;
o identification des contrôles internes ;
o évaluation des contrôles internes ;
- l’appréciation de la permanence du contrôle interne : elle consiste à vérifier le
fonctionnement des contrôles internes sur lesquels l’auditeur doit s’appuyer pour
effectuer sa mission. Elle se réalise ainsi :
o vérification par des tests de l’application permanente des procédures (test de
permanence) ;
o formulation définitive du jugement à partir de l’évaluation des conclusions des
précédentes phases.
L'évaluation des dispositifs de contrôle est effectuée par l'utilisation de trois techniques à
savoir : les examens de l'évidence du contrôle à travers l'inspection des documents ou les
tests d'existence, les tests de cheminement et l'observation de l'existence du contrôle de
premier niveau.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 42
2.3.2. L’évaluation de la cartographie des risques opérationnels
Selon JIMENEZ & al (2008 :103), la cartographie des risques doit servir de repère dans la
gestion des risques. Son utilisation et sa mise à jour deviennent un processus continu
d’amélioration à travers le suivi des plans d’actions et une revue régulière des évolutions
constatées. Dans la pratique, on constate une revue au moins annuelle des cartographies
avec des mises à jour ponctuelles en cas de changement majeur dans l’organisation. On
s’attèlera à examiner :
- la hiérarchie des événements courants par impacts ;
- la hiérarchie des événements courants par fréquence ;
- la hiérarchie des événements rares par impacts.
On gardera également attentivement les plus fortes variations de classement afin de repérer
les évaluations qui devront être expliquées et corriger de ce fait les erreurs éventuelles.
Puisque les établissements disposent de bases d’incidents, il est convient d’associer le
dispositif de ‘évaluation qu’est la cartographie avec les statistiques de la base d’incidents
qui vont permettre d’objectiver le risque net sur les événements à fréquence.
Ce chapitre nous a permis de mieux cerner le cadre théorique de la gestion des risques et
leur maîtrise à travers la mise en œuvre de dispositifs adéquats ainsi que leur évaluation.
En outre l’apport de l’audit interne a été mis en œuvre à travers les évaluations des
dispositifs de contrôle interne et de la cartographie des risques opérationnels. La fonction
d’audit nécessite une complète indépendance afin d’assurer avec objectivité ses missions,
elle ne doit donc pas avoir d’implication dans la définition et la mise en œuvre des
politiques et outils de maîtrise des risques opérationnels. Son rôle majeur sera de valider in
fine la pertinence et la qualité du système de maîtrise des risques et de proposer des
mesures d’amélioration.
Commentaire [k4]: Je trouve que ce point doit être un peu plus enrichi car cela concerne de prime abord ton thème
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 43
CHAPITRE 3: METODOLOGIE DE L’ETUDE
Les précédents chapitres étudiés nous ont permis d’avoir une vue d’ensemble sur la
maîtrise des risques opérationnels ainsi que le rôle de l’audit interne dans ce dispositif. Ce
chapitre consistera à présenter la méthodologie que nous utiliserons et les outils de collecte
de données nécessaires pour la réalisation de l’étude.
Il comprend deux (02) sections, la première concernera la présentation du modèle
d’analyse et la deuxième les outils de collecte et d’analyse des données qui seront utilisés.
3.1. Le modèle d’analyse
Notre modèle définira les différentes étapes de la recherche dont la connaissance de
l’entreprise et des dispositifs de maitrise des risques opérationnels. A travers ce modèle,
nous décrirons d’une part les différentes phases et étapes liées à la gestion des risques
opérationnels et d’autre part nous mettrons l’accent sur les différents outils utilisés.
La figure ci - après résume notre modèle d'analyse.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 44
Figure 2 : Modèle d’analyse
Source : nous-mêmes
Connaissance de la structure
organisationnelle de la SONAPOST
Connaissance fonctionnelle de l’audit interne
Contribution de l’audit interne dans
la maitrise des risques
opérationnels
- Analyse documentaire
- Observation - Entretiens
- Entretiens - Observations - Tableau
d’identification des risques
- Grille de séparation des tâches
- QCI - Test de conformité
et de permanence
Recommandations : bonnes pratiques
PHASE ETAPES OUTILS
Organisation et fonctionnement
Mécanismes internes de gestion des risques
opérationnels
Dispositif de maîtrise des risques opérationnels
Rôle de l’audit interne dans le contrôle interne
Evaluation du dispositif de maîtrise des risques
opérationnels
Forces et faiblesses du dispositif de maîtrise des
risques opérationnels
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 45
3.2. Les outils de collecte et d’analyse des données
En vue de collecter les données nécessaires pour la réalisation du travail, certains outils
s’avèrent indispensables non seulement pour la collecte mais également pour leur analyse.
3.2.1. Le questionnaire de contrôle interne
Notre questionnaire (annexe 4, page 90) sera administré à un échantillon des agents de la
SONAPOST qui interviennent dans le processus de gestion et de maîtrise des risques
opérationnels. Il sera composé de questions fermées, en vue d’analyser les risques,
d’évaluer le dispositif de contrôle interne pour déceler les forces et les faiblesses de celui-
ci. Une réponse « oui » à une question constitue une force apparente du dispositif de
contrôle interne ; alors qu’une réponse « non » constitue une faiblesse réelle.
Il sera établi en deux phases :
- la première portera sur les risques opérationnels ainsi que les dispositifs de gestion
et de maîtrise de ces derniers ;
- la seconde concernera l’évaluation des dispositifs de maîtrise et de contrôle interne.
3.2.2. L’analyse documentaire
L’analyse documentaire consiste à l’exploitation des documents internes de l’organisation
dans le but d’en tirer des informations utiles pour la prise de décision.
Une revue de la documentation de la SONAPOST sera faite et concernera les éléments
suivants :
- l’organigramme ;
- le manuel des procédures de gestion des risques opérationnels ;
- les rapports d’activité ;
- les dispositifs de maîtrise des risques opérationnels.
L’analyse de ces documents permettra d’avoir un aperçu sur le fonctionnement de la
SONAPOST, des risques opérationnels qu’elle rencontre ainsi que des dispositifs mis en
œuvres pour les gérer et assurer leur maîtrise.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 46
3.2.3. L’interview
L’interview consistera à effectuer des entretiens avec les personnes ressources
(opérationnels et les auditeurs internes) pour recueillir leurs opinions et assurer ainsi la
qualité des informations recueillies. Il permettra une meilleure description du processus de
gestion des risques opérationnels et d’appréhender les dispositifs de contrôle interne mis en
œuvre. L’entretien consistera à prendre rendez-vous avec les acteurs du processus à qui
nous administrerons un questionnaire et il concernera les personnes suivantes :
- la direction des risques ;
- les auditeurs internes ;
- les opérationnels.
3.2.4. L’observation physique
L’observation se fera de deux (02) manières, celle directe qui nous permettra de
comprendre et de valider les informations recueillies lors de l’interview sur le processus de
gestion des risques opérationnels et les dispositifs mis en œuvre ; et celle indirecte se
focalisera sur le dispositif de maîtrise des risques opérationnels afin d’avoir une idée sur la
contribution de l’audit interne dans le processus de maîtrise de ceux-ci.
3.2.5. Le tableau d’identification des risques
Il permet de découper l’activité en différentes tâches élémentaires afin d’identifier les
risques opérationnels rattachés à chacune d’entre elles et de déterminer les forces des
dispositifs de maîtrise des risques.
3.2.6. Le Tableau des Forces et faiblesses Apparentes (TFfA)
Le TFfA permettra d’identifier les risques opérationnels au niveau de chaque tâche et
d’avoir une vue sur les dispositifs mis en place pour les réduire. Devant chaque tâche il ya
l’objectif fixé, le risque encouru et les pratiques communément admises.
3.2.7. La grille de séparation des tâches
Elle relie l’organigramme fonctionnel à l’organigramme opérationnel, pour vérifier le
respect du principe de séparation des tâches. La grille de séparation des tâches est une
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 47
technique qui permet de détecter d’éventuels dysfonctionnements grâce à l’exploitation,
entre autres, de l’organigramme fonctionnel et hiérarchique. Ainsi, elle permettra de
déceler les tâches incompatibles, les cumuls de fonctions ; plus spécifiquement l’analyse
de la grille de séparation des tâches de la Sonapost permettra de voir le mode de répartition
des tâches (Annexe 3, page 89).
3.2.8. Le test de conformité et de permanence
Ces tests seront utiles pour s’assurer d’une part que les dispositifs de contrôle interne ont
été appliqués, pour assurer la remontée à la source en passant par toutes les phases
intermédiaires, et d’autre part de s’assurer que les opérations sont toujours traitées
conformément à ce qui a été décrites lors des entretiens.
Ce chapitre portant sur la méthodologie de l’étude nous a permis de mieux définir le cadre
de conduite de notre étude, d’identifier les outils adéquats et de déterminer à quel moment
ils devront être utilisés. Nous disposons de ce fait d’un cadre méthodologique référentiel
pour aborder la partie pratique de notre étude. Cette partie nous permettra de mettre en
œuvre les différents outils et techniques étudiés dans la revue de littérature.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 48
Conclusion de la première partie
Toute entreprise est confrontée à un ensemble de risques internes et externes qui doivent
être évalués. Avant de procéder à cette évaluation, il est nécessaire de définir les objectifs
compatibles et cohérents. Compte tenu de l’évolution permanente de l’environnement, du
contexte règlementaire et des conditions d’exploitation, il est nécessaire de disposer de
méthodes permettant d’identifier et de maîtriser les risques. De ce fait, les entreprises
doivent mettre en place des méthodes pour recenser, analyser et gérer les risques auxquels
elles sont confrontées.
Les normes préconisent que l’auditeur interne doit comprendre l’examen et l’évaluation du
caractère suffisant et de l’efficacité du système de contrôle interne de l’organisation ainsi
qu’une évaluation qualitative des performances réalisées. Selon CHAMBERS (Revue de
l’audit et du contrôle internes, Avril 2011 : 40), pour jouer pleinement son rôle dans le
processus de management des risques, l’audit interne doit être capable de comprendre
comment les risques affectent l’entreprise ? Quel rôle joue –t-il dans la gestion des
risques ? Et comment utiliser l’évaluation des risques ? Il devra continuer à progresser dans
cette direction car les entreprises deviennent de plus en plus sophistiquées dans le domaine
de la gestion des risques.
Une fois l’importance et la probabilité de survenance du risque évaluées, le management
doit étudier la manière dont il doit être géré. Aussi, avant d’instaurer des procédures
supplémentaires, le management doit déterminer si celles déjà existantes sont adéquates au
regard des risques identifiés.
« Il peut apparaître, de prime à bord, que la maîtrise d’une entreprise est l’un des objectifs
évidents d’un conseil d’administration et des dirigeants opérationnels. Pourtant, si l’on
accepte que le mot « contrôler » ait la même signification que « maîtriser », on conçoit
quelques doutes sur la volonté d’un grand nombre de dirigeants d’entreprises d’exercer
leurs responsabilités avec la rigueur et la conviction nécessaire. » (COLLINS, 1992 : 40)
CESAG - BIBLIOTHEQUE
DEUXIEME PARTIE :
CADRE PRATIQUE DE L’ETUDE
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 50
Introduction de la deuxième partie
La mise en œuvre des mesures de contrôle et de plans d'action résulte d'un compromis
entre leur coût d'application et le niveau de risque obtenu. La détermination du profil des
risques opérationnels correspond à l'identification, à chaque niveau de son organisation,
des processus supportant des risques opérationnels, à la formulation de ces risques ainsi
qu'à leur notation (probabilité d'occurrence et perte). C’est une étape clé car elle va
conduire à déterminer, avec plus ou moins de sensibilité, quelle est la nature des incidents
qui seront collectés et par conséquent suivis ensuite. C'est elle qui permettra aussi de
définir une nomenclature des risques opérationnels valable pour la totalité de
l'organisation, cadre indispensable à une collecte efficace et homogène des incidents. La
cartographie des risques est par conséquent la formalisation du travail d'identification des
risques opérationnels. La maîtrise et l'atténuation du risque opérationnel forment
certainement le sous-processus le plus complexe de cet ensemble, car de lui va dépendre la
capacité de l’entreprise à se doter de moyens afin de prévenir les risques en identifiant les
leviers d'action corrects pour anticiper certains événements ou diminuer au maximum leur
impact en cas de survenance.
Le contexte économique actuel de globalisation et de concurrence accrue rend nécessaire
une adaptation permanente de l’entreprise à son environnement. Dans ce cadre, la prise de
risque, attribut incontournable du management, devient un enjeu majeur de survie et de
développement. C’est pourquoi, un nombre croissant d’organisations se dote désormais de
dispositifs et de processus destinés à maîtriser leurs risques afin d’assurer l’atteinte de
leurs objectifs et d’améliorer leur performance.
L’audit est à l’intérieur d’une entreprise une activité indépendante d’appréciation du
contrôle des opérations. Son objectif est d’assister les dirigeants de l’entreprise dans
l’exercice de leur responsabilité. Dans ce but l’audit interne leur fournit des appréciations,
des recommandations, des avis et des informations concernant les activités examinées. Il
permet que les différents éléments du contrôle interne mises en œuvre permettent la
maîtrise des processus.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 51
CHAPITRE 4: PRESENTATION DE LA SONAPOST
La gestion d’une entreprise comme la Sonapost repose sur le principe d’une très large
délégation de responsabilités. Ce principe implique nécessairement le renforcement des
dispositifs de contrôle afin que la direction générale et les ministères de tutelle aient
l’assurance de la correcte utilisation de cette délégation par les services opérationnels.
Par ailleurs, pour réussir les mutations imposées par l’évolution de son environnement et
les marchés sur lesquels elle intervient avec la libéralisation et le développement de la
concurrence, elle se doit de renforcer son image vis-à-vis du public et de ses partenaires et
cela passe par la mise en place d’une organisation adaptée aux objectifs et des moyens
pour conserver en permanence la maîtrise parfaite de ses activités.
Au cœur de ce dispositif, il appartient à l’audit interne, directement rattaché à la direction
générale, d’apprécier l’aptitude des unités à conserver leurs opérations sous contrôle. Cela
implique d’évaluer la qualité, l’efficacité et la pertinence de leur organisation
(responsabilités, répartition des tâches, procédures, méthodes et outil de travail) ; puis de
susciter les améliorations qui feront progresser leur performance et contribuer ainsi au
développement de la société.
4.1. Historique
La Société Nationale des Postes est issue d’une scission de l’office des postes et
télécommunication (OPT) en 1987. Elle est aujourd’hui une société d’Etat régie par la
réglementation générale des Sociétés à capitaux publics et avec un capital de deux
milliards cinq cent quatre vingt dix millions (2 590 000 000) de FCFA.
Ainsi, de 1919 à 1932, les services des postes, téléphones et télégraphes étaient exploités en
régie sous la responsabilité du fermier Lazare Pathin. En raison du monopole postal, les
postiers avaient le droit de fouiller les véhicules, les locomotives et les bateaux pour déceler
les cas de violation du monopole. Les services postaux voltaïques relevaient de Dakar.
Avec la suppression de la Haute Volta et son rattachement au Mali, au Niger et à la Côte
d’Ivoire, les services vont se morceler pour être rattachés à ces pays. La reconstruction du
pays va permettre en 1947, la création des postes voltaïques, et le transfert de la direction à
Ouagadougou. La poste de la Haute Volta devient membre de l’Office Fédéral des Postes
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 52
et Télécommunications (OFPT) avec pour siège Dakar, sous la direction de l’Office
Fédéral de l’Afrique Occidentale Française (OFAOF).
Avec l’accession des pays africains à l’indépendance, l’office fédéral fut éclaté. La Haute
Volta crée ses propres services de postes et télécommunications, rattachés à la fonction
publique. Par l’ordonnance n° 68/023/PRES/INFO/PT du 10 Juin 1968, l’administration
des postes, télégraphes, téléphones (PTT) devient un Etablissement Public à Caractère
Industriel et Commercial (EPIC) doté d’une personnalité morale et d’une autonomie de
gestion dénommée OPT, chargé du service public des postes et Télécommunications. En
1987, l’OPT est abrogée et s’opère alors une scission entre la poste et les
télécommunications. On aboutit ainsi à la création de :
- l’ONP (Office National des Postes),
- l’ONATEL (Office National des Télécommunications).
En 1994 l’ONP est transformé en société d’Etat par décret n°94-414/PRES/MCC du 21
Novembre 1994 sous la dénomination de la société Nationale des Postes (SONAPOST).
4.2. Les missions et les objectifs de la Sonapost
La Sonapost est une société d’Etat dotée de la personnalité morale juridique et jouissant
d’une autonomie financière. Elle est placée sous la triple tutelle :du ministère des postes et
des technologies de l’information et de la communication qui exerce la tutelle technique et
veille à ce que l’activité s’inscrive dans un cadre global des objectifs fixés par l’Etat ;du
ministère des finances et du budget qui assure la tutelle financière et du ministère du
commerce, de la promotion de l’entreprise et de l’artisanat qui exerce la tutelle de gestion.
4.2.1. Le statut et l’objet social de la Sonapost
L’objet social se définit comme suit :
- la collecte, le transport et la distribution des envois de marchandises ;
- la collecte, le transport et la distribution des correspondances ;
- les activités financières et bancaires à travers la mobilisation et la promotion de
l’épargne, le règlement des valeurs, effets et virements postaux et l’offre de
prestations relatives aux moyens des paiements et des transferts de fonds.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 53
Les principales prestations offertes à la clientèle sont l’affranchissement du courrier, la
gestion des boîtes postales, les opérations d’épargne, de mandats et de transferts d’argent
en partenariat avec Western Union et Money Express.
Les activités postales sont universelles, c’est l’Union Postale Universelle (UPU), organe
des nations unies, qui en assure la coordination au plan mondial.
4.2.2. Les missions et les objectifs
La Sonapost a pour missions essentielles la mise en place et l’exploitation du service
public de la poste et des services financiers postaux à travers :
- la collecte, l’acheminement et la distribution des objets de correspondance, des
paquets, des colis, des journaux etc. ;
- la mobilisation et la promotion de l’épargne au profit de l’économie nationale à
travers la gestion de la caisse nationale d’épargne et du centre des chèques postaux,
le règlement des valeurs, effets et virements postaux échangés hors de son ressort ;
- l’offre de prestations relatives aux moyens de paiements scripturaux et de transferts
de fonds ;
- la préparation et l’exécution des plans d’équipement des postes.
- d’appliquer la réglementation et la législation propres aux postes et les conventions,
règlements et arrangements de l’UPU et des unions restreintes dont le Burkina Faso
est membre ;
- de préparer et d’exécuter les plans d’équipement des postes.
Pour la maîtrise de son évolution, la Sonapost s’est dotée d’un plan stratégique qui repose
sur cinq engagements fondateurs vis-à-vis de l’Etat, vis-à-vis de sa clientèle et vis-à-vis
d’elle-même, dans une volonté claire et affirmée par les dirigeants d’assurer à la fois la
mission de service public tout en améliorant sa rentabilité.
Dans le cadre de l’exécution de ses missions essentielles de mise en place et d’exploitation
du service public de la poste et des services financiers, la Sonapost s’est dotée de :
- soixante quatorze (74) bureaux de poste ;
- cinq (05) centres spécialisés ;
- cent trente six (136) circuits courriers cyclistes ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 54
- vingt neuf mille soixante dix sept (29077) boîtes postales ;
- huit (08) cybers postes ;
- deux (02) cybers kiosques.
4.3. La Sonapost dans l’économie burkinabé
La Sonapost est un acteur important dans l’économie du Burkina Faso car de par ses
activités elle est porteuse d’emplois et de ressources. Le tableau ci-dessous nous montre
l’évolution de son chiffre d’affaires. L’évolution du chiffre d’affaires et de la valeur
ajoutée de la SONAPOST se présente comme suit sur les cinq (05) dernières années.
Tableau 4 : Evolution du chiffre d’affaires
Année Chiffre d’affaires Valeur ajoutée
2006 6 896 070 748 3 678 342 156
2007 7 967 585 202 4 374 718 015
2008 8 315 142 439 4 248 668 069
2009 9 091 426 681 4 733 571 792
2010 10 546 415 354 5 265 843 503
Source : Rapport d’activités 2010 de la SONAPOST
L’évolution positive du chiffre d’affaires et de la valeur ajoutée de la SONAPOST permet
d’avoir une idée sur l’importance de la contribution de cette institution dans l’économie
nationale et dans la vie de la population du Burkina Faso.
Elle bénéficie par ailleurs de l’accompagnement de l’Etat à travers un contrat-plan qui fixe
des obligations de part et d’autre. Celles de la Sonapost dans ce contrat-plan concernent
l’amélioration de la couverture postale à travers la construction de trois (03) bureaux par an
sur fonds propres, la réduction de la fracture numérique à travers la construction et
l’exploitation de cybers postes, l’accompagnement de l’Etat dans ses missions de service
public et la bonne gouvernance dans le management de la société.
4.4. L’organisation et le fonctionnement de la SONAPOST
La Sonapost est gérée par un conseil d’administration et un directeur général nommé par
décret pris en conseil des ministres sur proposition du ministre en charge des postes.
Commentaire [k5]: Es-ce le résultat net ?
Commentaire [k6]: Même remarque
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 55
Elle est organisée en administration centrale, en directions régionales, en centres
spécialisés et en bureaux de poste (voir organigramme annexe 1, page 87).
4.4.1. L’administration centrale
Elle se compose de :
- la direction générale : le directeur général est chargé de la direction technique,
administrative, commerciale et financière de la société. Le conseil d’administration
lui délègue les pouvoirs nécessaires à l’exécution de sa mission. A cet effet il est
chargé de :
o représenter la société vis-à vis des tiers. Il détient les pouvoirs les plus étendus
pour gérer la société et l’engager sous réserve des pouvoirs que la loi réserve à
l’assemblée générale des sociétés d’Etat ;
o appliquer la législation et la réglementation relatives au service postal ainsi que
les conventions, règlements de l’UPU ;
o assurer le développement et l’exploitation du service public de la poste. Il prend
à cet effet toutes initiatives dans la limite de ses attributions.
- le secrétariat général : il relève de l’autorité du directeur général. Il l’assiste dans
toutes les questions techniques et d’administration générale. En outre, il oriente et
coordonne les activités des directions centrales et régionales.
- l’inspection générale des services : elle est en charge des missions :
o d’inspection technique et d’assistance ;
o d’enquête et de traitement des affaires juridiques et contentieuses.
- le département contrôle de gestion et de l’audit interne
Le contrôle de gestion a pour rôle d’apprécier des résultats au regard d’objectifs fixés
préalablement. La validité de ces contrôles de performance repose sur la qualité des
informations produites. La garantie de cette qualité est une des missions du service d’audit
interne.
Il comprend deux divisions :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 56
la division contrôle de gestion : a pour missions d’assister les directions et services
dans l’élaboration de leurs tableaux de bord, de centraliser et d’exploiter ceux des
directions et services et d’assurer la collecte, le traitement et la diffusion des
informations de gestion sur les services de la société ;
la division audit interne : le directeur général est chargé de donner au responsable
de l’audit interne les instructions nécessaires pour appliquer la politique de la
société en matière d’audit. Le responsable de l’audit interne est chargé de définir
une politique et une stratégie et fait adopter les objectifs par le comité de contrôle
interne, les traduit en plan, sollicite les moyens pour les réaliser, examiner les
dispositions prises pour protéger les actifs et leur existence et s’assurer de
l’efficacité des actions correctives mises en œuvre par les responsables
opérationnels à la suite des rapports d’audit.
Son action vise donc :
o la disposition prise pour protéger le patrimoine et, si nécessaire, vérifier l’existence
des actifs ;
o les mesures assurant le respect effectif des plans, lois et réglementation qui peuvent
avoir une incidence significative sur les opérations de la société ;
o la fiabilité et l’exhaustivité des informations financières et opérationnelles et les
moyens d’identification, de mesure, de classement et de présentation de ces
informations ;
o l’efficacité de l’organisation : utilisation économique des ressources, adéquation des
moyens aux objectifs, adéquation des structures, conformité des résultats aux
objectifs et aux prévisions, pertinence en termes d’ambition, de faisabilité et de
cohérence.
- le département WESTERN UNION : il a en charge l’organisation et l’animation
du réseau, le développement et la gestion des produits western union et les relations
western union international et avec les autres agents western union au Burkina
Faso ;
- le département des affaires internationales : il assure le suivi de l’exécution
des actes, résolutions et recommandations des réunions internationales
impliquant directement ou indirectement les services postaux et financiers et
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 57
veille au respect réciproque des engagements liant la société à ses partenaires
internationaux ;
- le département juridique : il est chargé de traiter les litiges avec les tiers,
d’assister les services en matière juridique, d’assister aux négociations des
conventions, accords et arrangements entre la société et les tiers, et d’assurer le
suivi de leur exécution et de prendre toute initiative pour préserver les intérêts
de la société en cas de conflits ou litiges (contentieux sur les conventions,
affaires pénales et affaires civiles) par application des mesures conservatoires ,
introduction des actions en justice et suivi de la phase judiciaire ;
- le département secrétariat central : est chargé d’assurer le secrétariat, la
gestion de la documentation et des archives de la société, de rédiger les procès-
verbaux des réunions de la Direction générale et de participer à la préparation
des missions à l’extérieur en collaboration avec le département des affaires
internationales.
4.4.2. Les directions techniques
On distingue :
la direction du courrier : elle est chargée de l’organisation, de la conception, et de
la mise en œuvre de la politique de la société en matière de courrier. Elle est en outre
chargée des relations avec les autres administrations postales, de l’organisation et du
fonctionnement du courrier et de la supervision de l’activité des centres spécialisés qui lui
sont rattachés.
Les missions dévolues à cette direction sont :
- l’organisation et l’exploitation du service du courrier ;
- la supervision des réseaux de collecte, d’acheminement et de distribution du
courrier au plan national et international ;
- l’élaboration et le suivi de l’application de la réglementation postale en matière de
courrier.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 58
Elle est composée de trois (03) divisions et de trois (03) centres spécialisés :
- la division acheminement et réglementation ;
- la division exploitation postale ;
- la division express nationale ;
- le centre national de tri ;
- le centre des colis postaux ;
- l’agence philatélique.
La direction des services financiers : elle est chargée d’une part de l’exploitation,
de la vente des produits et services financiers et d’autre part de l’organisation et du
fonctionnement des centres financiers postaux. Ses missions concernent :
- l’organisation, l’exploitation et la promotion des transferts de fonds ;
- l’élaboration et le suivi de la réglementation applicable aux chèques postaux et la
caisse nationale d’épargne.
Il comprend deux (02) divisions et trois (03) centres spécialisés :
- la division transfert de fonds ;
- la division exploitation et réglementation ;
- le centre de contrôle des mandats ;
- le centre des opérations CCP/CNE ;
- l’agence des services financiers postaux.
La direction financière et comptable est chargée de l’élaboration et de la mise en
œuvre de la politique financière et comptable de la société. Elle a notamment pour
missions :
- l’élaboration et l’exécution du budget de la société ;
- la tenue des comptes selon les procédures comptables et fiscales en vigueur ;
- la recherche du financement des investissements ;
- la gestion du portefeuille des titres et les placements de fonds dans les institutions
bancaires.
La direction financière et comptable comprend quatre (04) divisions et un (01) centre
spécialisé :
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 59
- la division gestion financière ;
- la division budget ;
- la division comptabilité générale ;
- la division comptabilité analytique d’exploitation ;
- le centre de contrôle de la comptabilité des bureaux.
la direction des ressources humaines : est investie des trois (03) principales
missions ci-après :
- la gestion prévisionnelle des ressources humaines ;
- la gestion administrative des ressources humaines ;
- la valorisation des ressources humaines.
la direction du patrimoine et de la logistique : elle a pour missions principales la
mise en œuvre des programmes d’équipement en matière de bâtiments et moyens
logistiques, la recherche et l’acquisition des terrains pour les besoins de la société et la
rédaction de tous marchés, appels d’offres, consultations restreintes. Elle dispose en outre
d’une cellule codification et inventaire des immobilisations ayant rang de section.
la direction commerciale et du marketing : a pour mission la centralisation des
activités commerciales, de promotion et de communication. A ce titre, la direction
commerciale et du marketing est chargée principalement d’analyser le résultat de la
distribution des différents produits postaux, financiers et télématiques de la société, de
commanditer et d’exploiter les résultats des études de marché, de positionnement des
produits et de concevoir les plans marketing de la société.
La direction des systèmes d’information : elle est le centre des ressources
informatiques. De ce fait, elle a pour missions la définition, le suivi et l’évaluation de la
politique informatique de la société, de la politique de sécurité des systèmes d’information
et le suivi de la coordination des activités des divisions informatiques régionales en
collaboration avec les directeurs régionaux.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 60
4.4.3. Les directions régionales
Les directions régionales de la Sonapost sont au nombre de quatre (04) ; la direction
régionale du centre, la direction régionale de l’ouest, la direction régionale de l’est et la
direction régionale du nord, et sont chargées de l’organisation, de l’animation et de la
supervision des structures postales qui leur sont rattachées, ainsi que de la gestion du
patrimoine de la société dans leur ressort territorial.
De façon générale, elles sont chargées de la mise en œuvre de la politique définie par la
direction générale. Les directeurs régionaux ont particulièrement pour missions de :
- assurer le désenclavement postal des localités de leur ressort territorial ;
- approvisionner tous les bureaux de poste et les centres spécialisés relevant de leur
compétence ;
- assurer la collecte et la mise à la disposition de la direction générale de toutes les
informations relatives aux projets de développement de leur ressort territorial.
4.4.4. Les centres spécialisés
Les centres spécialisés ont pour vocation de traiter des opérations spécifiques de contrôle
ou d’exploitation, éventuellement d’assurer une mission de formation et sont rattachés aux
directions techniques. Ce sont :
- le Centre de contrôle des Bureaux (CCB) ;
- le Centre de Contrôle des Mandats (CCM) ;
- le Centre des Colis postaux ;
- le Centre National de Tri (CNT) ;
- l’Ecole Nationale des Postes (ENP) ;
- le Centre des opérations CCP/CNE ;
- le Centre des opérations Western Union ;
- l’Agence philatélique ;
- le Complexe multi - services (CMS).
Les bureaux de poste : les bureaux de poste et les autres établissements postaux dont la
vocation est de traiter des opérations spécifiques d’exploitation sont rattachés soit aux
directions techniques soit aux directions régionales.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 61
4.4.5. Les projets et programme
Les projets et programme sont placés sous l’autorité du directeur général. Les chefs de
projet ou de programme ont rang de directeur. Au 31/12/2010, on dénombrait cinq (05)
projets à la Sonapost comme suit :
- le projet d’audit des comptes CNE (PACNE) ;
- le projet de réforme de l’ENAPOSTE ;
- le programme IMCE/SONAPOST ;
- la coordination des projets de la SONAPOST ;
- le projet Post’ Eclair.
4.4.6. La filiale EMS-Chronopost International Burkina
La Sonapost dispose d’une filiale dénommée « EMS-Chronopost International Burkina »
créée en 2000 par décret pris en conseil des ministres. Elle a commencé ses activités le 1er
février 2001 avec un capital social de 213 000 000 F.CFA dont 60 % détenu par la
Sonapost.
La Sonapost exerce son activité dans un domaine concurrentiel difficile et fait face à deux
(02) impératifs difficilement conciliables à savoir assumer une mission de service public et
dégager des résultats bénéficiaires pour financer son développement.
Ce chapitre a été pour nous, une aubaine pour mieux cerner la Sonapost à travers son
organisation, son fonctionnement, ses missions et objectifs et son apport dans l’économie
burkinabè. Cela nous sera utile pour mieux appréhender ses dispositifs de contrôle interne
et de maîtrise de ses risques opérationnels.
Commentaire [k7]: Qui détient le reste du capital
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 62
CHAPITRE 5 : LE DISPOSITIF DE MAITRISE DES RISQUES DE LA
SONAPOST
Ce chapitre consistera à d'identifier de façon exhaustive les différents contrôles de
prévention, de détection ou de correction pour couvrir les risques liés aux différentes
activités en vue de les évaluer. En outre, un risque peut être couvert par plusieurs mesures
de contrôle et de même qu'un contrôle interne peut servir pour couvrir plusieurs risques
opérationnels
5.1. Le dispositif de contrôle interne de la Sonapost
Le contrôle interne est défini, comme l’ensemble des dispositifs visant la maîtrise des
activités et des risques de toute nature et permettant la régularité, la sécurité et l’efficacité
des opérations, conformément aux procédures internes. Il comporte toutefois des limites
inhérentes à tout dispositif de contrôle interne, du fait notamment d'insuffisances de
procédures ou de système d'information, de défaillances techniques ou humaines d’où son
évaluation périodique.
5.1.1. La description synthétique du dispositif de contrôle interne
La Sonapost, de par son organisation, possède plusieurs niveaux de contrôle. Les contrôles
internes s’effectuent de façon graduelle à travers le dispositif ci-après.
5.1.1.1. La comptabilité journalière et mensuelle
La comptabilité journalière et mensuelle des bureaux de poste est assurée par le receveur
ou le chef du centre qui les établit avec l’aide du contrôleur des guichets. Placé sous
l’autorité du receveur des bureaux de poste de plein exercice, le contrôleur des guichets a
en charge :
- la supervision du service des guichets ;
- la vérification de l’exactitude de la comptabilité des guichets ;
- le pointage individuel des pièces comptables (bulletin 7,14 à vue, demande n°1, 2
et 3 CNE);
- le pointage des mandats émis et payés, des chèques et des bulletins de transfert
Western Union ;
Commentaire [k8]: Les contrôles s’effectuent-ils sur la base de manuels de procédures ?
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 63
- le pointage des carnets de situation individuelle 1103 ter ;
- le pointage des listings des opérations CNE pour s’assurer de l’exactitude de leur
saisie ;
- le redressement des erreurs.
Le receveur se charge d’établir la comptabilité mensuelle du bureau. A cet effet il inscrit
les montants vérifiés préalablement dans les registres comptables fondamentaux (1105
brouillard de caisse, livre journal de caisse, 1101/1102 sommier de dépouillement, 1344 ter
situation des timbres).
A la fin du mois, le receveur tient la comptabilité mensuelle du bureau. Cela consiste en
l’arrêt de l’ensemble des registres fondamentaux, l’établissement de la situation comptable
générale du bureau ou du centre sur le bordereau 1104 et la transmission des pièces et états
mensuels aux différents centres et directions chargés de la centralisation et de la
vérification des écritures comptables.
5.1.1.2. Le centre de contrôle des bureaux
Le centre de contrôle des bureaux se charge de la vérification de la comptabilité mensuelle
de chaque bureau à travers les bordereaux 1104 établis et les différentes pièces justifiant
les recettes et les dépenses.
Il existe par ailleurs le centre de contrôle des mandats qui est un dispositif mis en place
pour assurer l’effectivité de la vérification des mandats émis et payés.
5.1.1.3. Le Conseil d’Administration
La société nationale des postes est administrée par un Conseil d'Administration composé
au maximum de onze (11) membres. Il se réunit pour statuer sur les dossiers de son ressort
et se tenir informé de la bonne marche de l'entreprise. A cet effet, un ordre du jour préparé,
validé par la DFC est adressé à chaque administrateur lors de la convocation du conseil une
semaine avant sa tenue.
Ainsi, le Conseil est très régulièrement informé des résultats commerciaux et financiers et
ratifie les politiques financières, d'engagements et de risques de la SONAPOST et suit leur
bonne exécution.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 64
5.1.1.4. L’Assemblée Générale des Sociétés d’Etats (AGSE)
Chaque année, toutes les sociétés d’Etat sont soumises à un organe suprême de contrôle
qu’est l’Assemblée Générale des sociétés d’Etat. Pendant deux (02) ou trois (03) jours la
situation financière de chaque société d’Etat est passée au peigne fin pour s’assurer de leur
santé financière. La Sonapost, en tant que société d’Etat, est de ce fait soumise à cette
instance et au contrôle inopiné de l’Autorité Supérieure du contrôle d’Etat (ASCE) qui est
l’instance suprême de contrôle pour touts les sociétés d’Etat.
Ces mesures visent à assurer une bonne maîtrise des activités de la Sonapost et cela se fait
avec l’aide du service d’audit interne pour s’assurer que ces dispositifs sont respectés.
Pour ce faire, le service d’audit interne a la responsabilité d’évaluer le fonctionnement du
dispositif de contrôle interne et de faire toutes préconisations pour son amélioration, dans
le champ couvert par ses missions.
5.1.2. Les objectifs du contrôle interne
Le système de contrôle interne en général se caractérise par les objectifs suivants :
- l’application des instructions et des orientations fixées par la direction générale ;
- la performance financière, par l’utilisation efficace et adéquate des actifs et
ressources de l’entreprise ainsi que la protection contre les risques de perte ;
- la connaissance exhaustive, précise et régulière des données nécessaires à la prise
de décision;
- l’exactitude, l’exhaustivité des enregistrements comptables et l’établissement en
temps voulu d’informations comptables et financières fiables.
Ces objectifs ne peuvent toutefois pas être atteints à cause de limites inhérentes à tout
système qui sont selon Coopers et Lybrand (2000 : 109)
- les erreurs humaines ;
- les dysfonctionnements ;
- la collusion.
Pour connaître l’état du dispositif de contrôle interne, son analyse s’impose à nous.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 65
5.2. L’état du dispositif de contrôle interne de la Sonapost
Les mécanismes de contrôle interne mis en place par la société visent à assurer
l’amélioration des prises de décisions et de lutter contre les risques. Pour ce faire une
analyse de ce dispositif est nécessaire dans le but de déterminer ses forces et faiblesses. De
ce fait, une mise en évidence de ses objectifs est capitale pour mieux l’appréhender.
Le dispositif de contrôle interne à la Sonapost ne prévoit pas une définition claire des
responsabilités des opérationnels et de ce fait ne s’appuie pas sur des procédures formelles
matérialisées par un manuel de procédures. Néanmoins, cette situation n’est pas un
handicap réel dans la réalisation des opérations car les contrôles inopinés réalisés
permettent de mettre les choses au point et d’exercer les responsabilités à travers la
diffusion en interne des informations. En outre, la société devant faire face à certaines
exigences dues à sa forme juridique et à son environnement dans lequel elle évolue, a su se
doter des outils et des pratiques appropriés à son organisation. L’absence d’un système
visant à recenser et analyser les principaux risques identifiables au regard des objectifs de
la société et des activités de contrôle proportionnées aux enjeux propres à chaque
processus.
La surveillance du dispositif de contrôle interne est basée sur l’audit interne de la société
qui conduit son adaptation car sa défaillance peut impacter la réalisation des objectifs
assignés aux opérationnels et entrainer ainsi une baisse de la rentabilité.
Cette analyse met en évidence les dysfonctionnements et les risques qui pourraient en
résulter. Cela est dû à l’absence de formalisation du manuel des procédures et à une
politique de gestion des risques insuffisante. Les différents contrôles des activités qui
s’effectuent permettent son amélioration.
Les critères d’appréciation du dispositif de contrôle interne tiennent compte d’une part des
tests d’audits dont la synthèse des résultats est présentée dans le tableau ci-dessus et
d’autre part prennent en compte la grille de séparation des tâches jointe en annexe. Les
critères d’appréciation du dispositif de contrôle interne sont présentés dans le tableau ci-
après.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 66
Tableau 7 : Critères d’appréciation du dispositif de contrôle interne
Niveau de maîtrise Cote critères
Inexistant 1 Aucun dispositif de contrôle interne n’existe.
Insuffisant 2 Le dispositif de contrôle interne existe mais est
appliqué avec beaucoup de lacune
Moyen 3 Le dispositif est appliqué avec peu de lacunes.
Maitrisé 4 Le dispositif est appliqué avec des mesures de
contrôle.
Très maîtrisé 5 Le dispositif et les mesures de contrôle sont
correctement appliqués.
Source : nous-mêmes
Au regard des mutations économiques tout n’est que risque. Cependant, les risques
inhérents aux activités doivent être mesurés et ceci n’est possible qu’à travers une analyse
des mesures prises afin d’assurer leur maîtrise.
5.3. L’audit interne
L’audit interne analyse les points forts et les points faibles du contrôle interne, compte tenu
de sa gouvernance, de sa culture organisationnelle ainsi que des risques liés et des
opportunités d’amélioration qui peuvent avoir un impact sur la capacité de l’organisation à
atteindre ou non ses objectifs. Cette analyse évalue la mise en place des mécanismes de
contrôle en vue de la gestion efficace et efficiente des ressources.
Le service d’audit de la Sonapost est directement rattaché à la direction générale qui lui
donne une certaine indépendance dans la conduite de ses missions. Il joue un rôle
important dans le dispositif de maitrise des risques opérationnels de la société à travers leur
évaluation. Il a pour mission d’auditer les dispositifs de gestion des risques opérationnels
dans le cadre des plans annuels d’audit. Ces missions doivent permettre d’assurer :
- L’appréciation et la maîtrise des risques de la société ;
- La bonne application de la politique des risques préalablement définie.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 67
Ce chapitre nous a permit de mettre en évidence les dispositifs de maitrise des risques
opérationnels de la Sonapost et les liens qui existent entre l’audit interne et le contrôle
interne. L’audit interne en tant que tel peut contribuer à la réalisation des buts et objectifs,
au renforcement du contrôle et à l’amélioration de l’efficience et l’efficacité du
fonctionnement ainsi que du respect de la volonté des autorités.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 68
CHAPITRE 6 : LA CONTRIBUTION DE L’AUDIT INTERNE A LA MAITRISE
DES RISQUES OPERATIONNELS
Toutes les diligences d'audit entreprises dans l'organisation visent à la réduction des
risques de perte et donc à leur maîtrise. L'objectif de ces contrôles à postériori des
opérations, réalisés fréquemment de manière transversale et périodique est d'évaluer
l'opportunité des opérations, de suivre les risques qui s'y attachent, compte tenu des
délégations de pouvoir accordées et d'éclairer les organes dirigeants sur la réalisation des
objectifs du contrôle interne.
Une révision du contrôle interne peut s'avérer indispensable pour traiter de manière
appropriée tout risque nouveau ou précédemment incontrôlé. C'est pour cette raison qu'il
est nécessaire pour toute entreprise, quelque soit le domaine d'activité dans lequel elle se
déploie, d'avoir des systèmes de contrôle interne efficaces. L'efficacité des systèmes de
contrôle interne devient donc un facteur important dans l'amélioration de la performance
de l'entreprise. L'audit doit reconnaître et évaluer en permanence les risques importants qui
pourraient compromettre la réalisation des objectifs de la Sonapost. Ce chapitre nous
permettra de connaître l’état du dispositif de maîtrise des risques opérationnels de la
société, leur efficacité et d’y cerner l’apport de l’audit interne.
6.1. L’appréciation du dispositif de maîtrise des risques opérationnels
La gestion des risques est l’affaire de tous les acteurs de la société et vise à être globale en
couvrant l’ensemble des activités, processus et actifs de la société. Il s’agit ici de mettre en
évidence comment les risques sont maitrisés par la Sonapost car il est à son avantage de
mettre en place un dispositif de gestion des risques adapté à ses réalités. C’est un processus
continu, coordonné et intégré à l’ensemble d’une organisation, qui permet leur
identification, leur analyse et leur maîtrise à court, moyen ou long terme et pouvant
affecter le bon déroulement des opérations en vue de les rapprocher des contrôles existants.
Elle s’inscrit dans une démarche associée à l’ensemble des activités de l’entreprise et se
décompose ainsi autour de quatre étapes essentielles à savoir :
- l’identification des risques ;
- la réponse aux risques ;
- le suivi du niveau du risque en fonction de l’environnement ;
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 69
- l’application par les opérationnels des dispositifs de contrôle interne.
Le dispositif de maîtrise des risques est l’ensemble des moyens mis en place pour faire
face aux risques inhérents à leurs activités. L’auditeur interne doit évaluer le
fonctionnement du dispositif, collecter et diffuser les meilleures pratiques et suggérer des
améliorations.
Connaître alors l’état de son système de maîtrise des risques opérationnels est primordial
pour en effectuer son analyse.
6.1.1. Le dispositif de maîtrise des risques opérationnels
Il a été constaté que la société définit les rôles et responsabilités de ses agents et dispose de
procédures mais qui n’ont pas été formalisées par des manuels des procédures ; qui devait
définir de façon claire et formelle les différents rôles des opérationnels. On dénote une
absence de politique formelle de gestion des risques par la non diffusion d’une démarche
d’identification, d’analyse et de traitement des risques et il n’existe pas de système
d’information permettant la diffusion des informations relatives aux risques. On a de ce fait
un handicap à recenser les éventuels risques pouvant affecter l’atteinte des objectifs et
d’examiner les conséquences potentielles et d’apprécier leur possible occurrence. Par
conséquent certains risques face auxquels des mesures n’ont pas été prises vont subsister
dans l’entreprise et compromettre l’atteinte des objectifs. Nonobstant, pour faire face à
certains risques, un transfert de leur conséquence notamment financière est effectué à
travers le mécanisme de l’assurance.
Par ailleurs, on ne peut pas affirmer qu’il n’existe pas de dispositif de gestion des risques
opérationnels en tant que tel car la société prend en compte les événements qui dénotent
l’existence de risques par les enquêtes, les audits, les réclamations et les plaintes.
6.1.2. L’analyse du dispositif de maîtrise des risques opérationnels
Le dispositif de maîtrise des risques opérationnels consiste en l’identification des
vulnérabilités pouvant affecter la réalisation des opérations, d’analyser les risques par une
cotation en fréquence et gravité et de déterminer les dispositifs opérationnels permettant de
les réduire à travers la prévention ou la protection. Ainsi, la question qu'on se pose est de
Commentaire [k9]: Il doit exister un manuel pour chaque opération susceptible d’engendrer un risque
Commentaire [k10]: La société dispose-t-elle d’un langage commun en matière de risques (typologie homogène, critères de recensement, d’analyse et de suivi)
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 70
savoir ce que la société fait pour améliorer l'efficacité des dispositifs de maîtrise des
risques opérationnels.
L’entreprise met en place un ensemble de procédures à savoir des contrôles à priori à
travers, la sécurisation des accès afin de faire face à ses différents risques. La mise en
œuvre d’une politique de gestion des risques traduit la volonté de la direction générale de
connaître les risques importants de l’entreprise, de les mettre sous contrôle et d’être
informée de la qualité de leur maîtrise. Celle-ci s’avère ainsi un enjeu majeur de survie et
de développement, qui permet aux entreprises d’assurer l’atteinte de leurs objectifs et
d’améliorer leur performance. L’audit interne en est un acteur capital car il a pour vocation
de contribuer à l’identification et à l’évaluation des risques auxquels l’entreprise est
exposée et de l’accompagner dans la mise en place d’un dispositif global de gestion des
risques. Aussi, il évalue l’efficacité et la pertinence de ce dispositif, notamment du contrôle
interne.
Il s’agit entre autres de :
- prendre connaissance de l’ensemble des pratiques des différentes activités de la
société en matière de contrôle interne au travers les entretiens avec l’ensemble des
acteurs opérationnels concernés;
- évaluer la réalité et l’efficacité de ces pratiques par l’élaboration de tests;
- réaliser un rapport d’audit détaillé et formuler des recommandations visant à
renforcer ces pratiques au regard de l’objectif poursuivi.
A travers le tableau ci-dessous, quelques critères d’évaluation de ce dispositif sont mis en
exergue.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 71
Tableau 5 : Critères d'évaluation de l'efficacité du dispositif de maîtrise des risques
opérationnels
Note Efficacités Description
1 Inexistante L'objectif de contrôle n'est pas atteint car le contrôle n'est pas respecté
2 Passable L'objectif de contrôle n'est pas atteint car le contrôle n'est pas adapté au
risque à couvrir
3 Insuffisante L'objectif de contrôle est partiellement atteint avec les procédures mises
en place mais on relève des incidents réguliers
4 Acceptable L'objectif de contrôle est atteint mais au prix des efforts ne permettant
pas une bonne optimisation du système des ressources
5 Appropriée L'objectif de contrôle est atteint de façon optimale
Source : nous-mêmes
Les critères d’appréciation du dispositif de contrôle interne tiennent compte des tests
d’audits dont la synthèse des résultats est présentée dans le tableau ci-dessus ; la grille de
séparation des tâches jointe en annexe est également prise en compte dans l’appréciation
du contrôle interne.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 72
Le tableau ci-dessous nous indique la qualité du contrôle interne.
Tableau 6 : Evaluation des dispositifs de maîtrise des risques
Risques Cote Qualité du
dispositif Observations
Pertes de données 8 satisfaisant Existence de serveur
Cumul de fonction 1 Inexistant Insuffisance de la
séparation des fonctions
Pertes de courrier 10 Très satisfaisant Contrôle adéquat
Personnel insuffisant 4 Insuffisant Absence de personnel
Non archivage 1 Inexistant Existence d’archivage
Fraude sur les encaissements 10 Très satisfaisant procédures
Rupture de stock de timbres 8 satisfaisant Personnel adéquat
Absence de contrôle 10 Très satisfaisante Contrôle réalisé
Absence de suivi des
transactions
8 Satisfaisant Contrôle effectué sur tous
les réseaux
Erreurs dans les
enregistrements des factures
10 Satisfaisant Comptabilisation
systématique
Omission de transmission de
courriers
8 Satisfaisant Contrôle adéquat
Omission d’enregistrement
dans un registre
10 Très satisfaisant Tenue d’un registre
Source : nous-mêmes
L’appréciation de la qualité du dispositif de maîtrise des risques permet de connaître
l’étendue de la maîtrise des risques et de savoir si celui-ci couvre ou pas les risques
identifiés.
6.1.3. L’évaluation du dispositif de maîtrise des risques opérationnels
La politique des risques reflète leur compréhension, leur mesure ainsi que leur contrôle par
la société. La maîtrise des risques opérationnels traduit la volonté des dirigeants
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 73
d’améliorer le processus décisionnel dans un contexte d’incertitude en vue d’une part de
maximiser les avantages et d’autre part de minimiser les coûts.
A la Sonapost, il y’a l’absence d’une direction des risques proprement dite qui doit assurer
l’identification, l’évaluation et le traitement des risques afin d’en assurer leur maîtrise. Les
différentes instances de contrôle se contentent d’effectuer les contrôles et de sanctionner au
besoin, comme c’est le cas de l’inspection générale des services.
L’application de la règle selon laquelle les caissiers ne doivent pas disposer d’un fond de
caisse supérieur à un seuil fixé par les organes dirigeants pour éviter les risques de perte
n’est pas respectée par tous. Pour savoir le degré d’implication de la direction dans la
gestion des risques opérationnels un questionnaire a été élaboré comme nous indique le
tableau suivant.
Tableau 7 : Questionnaire sur le dispositif de gestion des risques opérationnels
Eléments OUI NON ou N/A
La société a-t-elle défini des objectifs en matière de gestion des
risques ?
non
Existe-t-il un responsable pour la gestion des risques
opérationnels ?
non
La société dispose-t-elle d’un « langage commun » en matière
de risques ?
N/A
Existe-t-il une communication sur les dispositifs de contrôle
interne avec les opérationnels ?
oui
Existe-t-il un processus d’identification des risques menaçant
les objectifs de la société?
oui
La société a-t-elle mis en place un plan de gestion de crise ? non
Les responsabilités sur la maîtrise des risques sont-elles
déterminées ?
non
Source : nous- mêmes (inspiré du cadre de référence de l’AMF autorité des marchés
financiers)
La mesure de l’efficacité du dispositif de maîtrise se fait à travers l’évaluation du contrôle
interne. En contribuant à prévenir et à maîtriser les risques afin d’atteindre les objectifs que
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 74
s’est fixés la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le
pilotage des différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie
absolue que les objectifs de la société seront atteints.
6.2. Le rôle de l’audit interne dans le dispositif de maîtrise
Une organisation se doit de disposer de systèmes performants. L'évaluation des dispositifs
de contrôle interne par l'auditeur est une étape cruciale de maîtrise des risques
opérationnels qui permet d'établir un lien entre le risque identifié et le contrôle mis en
place pour le couvrir en vue de proposer les plans d'actions pour pouvoir sécuriser le
processus
Cette étape correspond à «la définition et à la consolidation des actions résultantes et à
l'acceptation du risque résiduel» (DESROCHES & al, 2003 :99). A la suite de l'évaluation
de la maîtrise des risques opérationnels par l'auditeur interne, un rapport de
recommandations est transmis au management de l'organisation. L'évaluation des
dispositifs de contrôle est effectuée par l'utilisation de trois techniques à savoir : les
examens de l'évidence du contrôle à travers l'inspection des documents ou les tests
d'existence, les tests de cheminement et l'observation de l'existence du contrôle de premier
niveau.
L’audit interne procède à l’évaluation des dispositifs de maîtrise des risques opérationnels
en vérifiant de manière précise la réalisation des opérations à travers le manuel de
procédures, les normes et la règlementation pour apprécier le contrôle interne existant. En
outre, il doit apprécier la maîtrise globale des processus de l’entreprise par les
opérationnels.
L'évaluation des risques est donc le processus qui consiste en une inspection approfondie
de l’entreprise en vue d'identifier entre autres les éléments, situations et procédés qui
peuvent causer un préjudice. C’est l’étape fondamentale de la gestion des risques par la
société et celle-ci se réalise à travers un tableau synthétique qui énumère les divers risques.
Cela permet à l’audit d’apprécier leur probabilité et leur gravité et permet également
d’analyser les facteurs susceptibles d’affecter la réalisation des objectifs. L'objectif du
processus d'évaluation des risques consiste à réduire le niveau de risque en instaurant des
mesures de maîtrise ou en adoptant des précautions appropriées, dans certains cas.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 75
Figure 3 : Rôle de l’audit interne dans le dispositif de maîtrise
Parties prenantes
Principaux acteurs
Principal objectif
Source : nous-mêmes
6.2.1. L’identification des risques
L’identification des risques est une étape indispensable pour l’audit interne pour déceler les
différents risques associés à une activité. Le tableau suivant nous indique l’identification
de quelques risques.
Tableau 8: Identification des risques opérationnels
Eléments Objectifs de contrôle
Risques Dispositif de contrôle interne
constat
Système d’information
Assurer la disponibilité, la confidentialité et la traçabilité des informations
- Pertes de données - Fraude, détournement
de fonds - Mauvaise gestion des
produits
Mise en place des politiques de sécurisation des informations Recours à l’assurance Sauvegarde, sécurisation des données et des biens
Oui Oui Non
Courrier S’assurer du suivi des courriers
- Pertes, vol de courriers
- Non élaboration de bordereaux de transmission
Visa du contrôle Signature des agents sur les bordereaux
Non Non
Source : nous-mêmes
Une fois les risques identifiés il faut les évaluer.
Audit interne
Direction Générale
Audit interne
Validation de l’efficacité du
contrôle interne
Contrôle interne
Direction Générale
Directions opérationnelles
Maitrise des opérations
Commentaire [d11]:
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 76
6.2.2. L’évaluation des risques
L’audit évalue les risques en fonction des opérations et des activités essentiellement
exposés au risque opérationnel. Ce processus, mené en interne, repose souvent sur des
contrôles destinés à identifier les forces et faiblesses de l’environnement opérationnel. Il
recense les risques propres à chaque activité donnée et d’autres regroupant plusieurs
activités. Elle peut prendre en compte les risques, mais aussi les moyens de les atténuer.
L’identification des risques est une étape primordiale dans la construction d’une structure
rationnelle et globale de gestion des risques pour permettre l’élaboration d’un contrôle
interne efficace. En effet c’est le point de départ pour une évaluation des risques puisse
qu’elle requiert une connaissance appropriée et une bonne compréhension des activités de
l’entreprise. L’audit identifie les différents risques en découpant les activités en tâches
élémentaires à travers une liste les énumérant. Ce travail préalable permettra de connaître
les risques probables lorsqu’une tâche n’est pas exécutée et/ou dans le non respect des
procédures. En outre, cette identification est également basée sur une check-list qui
énumère les risques relatifs aux différentes activités mais n’est pas mise à jour de façon
permanente.
Aussi, l’audit recense les faiblesses existantes du contrôle interne, élabore un programme
d’évaluation du dispositif de contrôle interne. L’audit pilote l’ensemble des dispositifs de
contrôle interne à partir des risques identifiés afin d’assurer leur amélioration à travers les
missions réalisées et le suivi des recommandations. Un audit interne efficace et exhaustif
du système de contrôle interne est effectué et rend compte directement à la direction
générale sur les irrégularités décelées d’une part et d’autre part signale les déficiences du
contrôle interne dès leur détection aux personnes appropriées. Lorsque ces insuffisances
ont été notifiées, il est important que la direction générale y remédie dans les meilleurs
délais mais ceci n’est pas toujours le cas.
La gestion des risques ne doit pas se limiter uniquement à une simple identification, c’est-
à-dire à un recensement plus ou moins exhaustif des risques potentiels et pertinents et à
une analyse plus ou moins approfondie de leurs caractéristiques. Elle doit s’appuyer
également sur une analyse pour mieux appréhender et estimer leurs probabilités de
survenance et la gravité de leurs impacts sur l’organisation comme nous l’indique les
tableaux ci-dessous.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 77
Tableau 9 : Echelle d’évaluation des risques
Gravité moyenne des conséquences
10 Crise majeure
9 Extrêmement grave
8 Fortement grave
7 Très grave
6 grave
5 Moyennement grave
4 Peu grave
3 Très peu grave
2 Extrêmement peu grave
1 inoffensif
Tableau 10 : Probabilité d’occurrence
Probabilité d’occurrence moyenne
10 Quasiment certain
9 Extrêmement probable
8 Fortement probable
7 Très probable
6 probable
5 Moyennement probable
4 Peu probable
3 Très peu probable
2 Extrêmement peu probable
1 Quasiment impossible
Source : nous-mêmes
6.2.3. L’évaluation du dispositif de contrôle interne
La validation et l’efficacité du contrôle interne incombent à l’audit interne. La recherche
de l'efficacité des contrôles internes fait partie des opérations quotidiennes de la Sonapost
mais il s’avère nécessaire de procéder à des évaluations périodiques spécifiques de
l'ensemble du processus de contrôle interne. Les contrôles inopinés réalisés de façon
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 78
périodique et donnant lieu à des rapports ne sont pas suivis. Par contre l’examen
approfondi des enregistrements courants nécessite l’approbation de la direction sur des
faits exceptionnels.
Pour suivre l’efficacité des systèmes de contrôle interne, on s’appuie sur l’existence des
procédures en vue d’analyser leur adéquation avec la réalité à travers la grille d’analyse des
tâches, et le questionnaire de contrôle interne L’étendue des travaux d’audit sont définis au
regard des risques préalablement déterminés. Leur finalité est la réalisation de rapports qui
seront mis à la connaissance des opérationnels concernés afin d’assurer un meilleur suivi
des recommandations formulées à leur égard pour couvrir les faiblesses constatées.
La Sonapost offre divers types de services à savoir les comptes d’épargnes, les mandats,
les transferts d’argent, la banque postale etc. et est soumise à un volume de transactions
élevé. Comme mesure de contrôle contre la fraude d'épargne, les clients reçoivent un état
d'épargne (livrets de dépôt) qu'ils doivent garder précieusement. Une carte de signature et
une copie de pièce d'identification du client est conservée et la signature sur le bordereau
de décaissement/dépôt doit être pareille dans son livret d'épargne ainsi que l'état de
comptabilité de l'organisation. Une révision minutieuse des décaissements importants est
effectuée.
La rationalisation des dispositifs de contrôle interne et de maîtrise des risques sont des
enjeux essentiels pour la Sonapost et cette démarche permet d’apprécier leur efficacité et
d’optimiser les différents contrôles.
6.3. Recommandations
La SONAPOST est une entreprise qui offre diverses prestations dans le domaine postal
dont la gestion des boîtes postales, les courriers nationaux et internationaux, les transferts
d’argent et la récente mise en œuvre de la banque postale etc. Afin de mener à bien cette
délicate mission dans un environnement en pleine évolution, elle se doit de mettre en
œuvre une politique efficace de gestion des risques opérationnels auxquels elle est ou peut
être confrontée. Pour assurer l’effectivité de celle-ci, des dispositifs de contrôle interne et
de maîtrise des risques efficaces doivent être une réalité et ceci passe nécessairement par
des conditions. Aussi, avons-nous jugé utile de faire quelques recommandations sur les
bonnes pratiques allant dans le sens d’une bonne maîtrise de ses risques opérationnels.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 79
6.3.1. A l’endroit du service d’audit interne
Recommandation 1 : La diffusion du manuel des procédures de la Sonapost à tous le
personnel afin de pallier les disfonctionnements dans la réalisation des opérations à travers
la formalisation des tâches et permettra à l’audit interne de suivre les réalisations et
d’assurer ainsi l’efficacité du contrôle interne.
Recommandation 2 : Afin d’assurer un meilleur dispositif de gestion de ses risques
opérationnels, la Sonapost doit s’assurer de l’élaboration d’une cartographie de ceux-ci
pour lui permettre d’avoir une vue d’ensemble des risques auxquels elle pourrait être
confrontée.
Recommandation 3 : Vu le nombre croissant des transferts d’argent et des courriers, qui
peuvent être l’objet de convoitise ; des contrôles réguliers et inopinés doivent être
effectués afin de réduire les risques de perte et de fraude y résultants.
6.3.2. A l’endroit de la direction générale
Recommandation 4 : Au regard des risques que la Sonapost peut rencontrer et qui
impactent son bon fonctionnement, il s’avère judicieux de mettre en place un service de
risk management qui aura la responsabilité d’identifier les différents risques, de les
analyser et de d’assurer leurs traitements afin de réduire leur gravité. Ce service assurera
en plus la surveillance des risques et du dispositif visant leur gestion. En outre la gestion
des risques opérationnels pourrait être améliorée par une gestion efficace des acteurs du
dispositif car le personnel est un des facteurs clés pour assurer la maîtrise des risques
opérationnels.
Recommandation 5 : Au regard de l’importance de l’audit interne dans la les
organisations, il serait primordial de le doter des ressources suffisantes pour mener à bien
ses missions afin d’assurer une répartition des tâches. Ceci pourrait améliorer
l’identification et le contrôle des risques.
Recommandation 6 :En vue de faire face au risque potentiel de vol, de perte et de non
acheminement des courriers, situations qui peuvent altérer la confiance des clients vis-à vis
d’elle, la Sonapost gagnerait à mettre en œuvre des dispositifs de suivi des risques
opérationnels.
Commentaire [k12]: Il n’existe pas de manuel pour la SONAPOST mais un manuel doit être établi pour chaque opération
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 80
Recommandation 7 : Compte tenu de l’importance des produits postaux dans la
réalisation de sa mission à savoir les chèques postaux, en plus des audits externes, prévoir
des contrôles inopinés pouvant être réalisés par les auditeurs internes de la SONAPOST.
Recommandation 8 : Vu le risque potentiel de perte des courriers dû à leur multitude, la
société gagnerait à réaménager ce service de sorte à assurer la sécurité ainsi que la
confidentialité de ses services par la mise en place de procédures définissant les rôles et les
responsabilités des agents. Et ceci pour une meilleure satisfaction de la clientèle et
l’atteinte de ses objectifs de chiffre d’affaires.
Recommandation 9 : Nous avons constaté que certaines missions n’entrent pas dans les
diligences de l’audit interne mais de l’inspection générale des services.
Or, il est également de son ressort d’effectuer des missions inopinées afin de s’assurer de
l’exécution des procédures et cela peut être une entrave dans sa contribution à assurer la
maîtrise des activités de la SONAPOST. Aussi, ne s’avère-t-il pas judicieux que
l’inspection des services utilise les résultats de l’audit pour initier des contrôles inopinés ?
Ce chapitre portant sur la contribution de l’audit interne dans la maîtrise des risques
opérationnels à la SONAPOST a été réalisé suivant la méthodologie décrite, mais pas de
façon conforme due à l’absence de certains outils dont le tableau d’identification des
risques opérationnels. De ce fait nous avons pu mettre à jour l’état du dispositif de maîtrise
des risques opérationnels à travers son analyse et l’évaluation du contrôle interne. Tout
cela a contribué à formulé des recommandations afin d’améliorer le dispositif de maîtrise
des risques opérationnels afin de réduire ces derniers pour une meilleure gestion.
Commentaire [k13]: Vous avez bien décrit plus haut la procédure d’audit avec les différentes étapes, les audités doivent être informés et doivent s’impliquer pour chaque mission d’audit. Par conséquent l’inspection peut utiliser les résultats de l’audit pour initier des missions inopinées.
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 81
Conclusion de la deuxième partie
La seconde partie de notre étude s’est articulée sur la présentation de la SONAPOST à
travers l’historique, les missions et les attributions ainsi que le fonctionnement de celle-ci.
Par ailleurs, une description de son dispositif de contrôle interne a été effectuée et mettant
en exergue ses forces et faiblesses par les entretiens, les questionnaires de contrôle interne
et la consultation de documents dont l’accès nous a été accordé. Cette prise de
connaissance de la Sonapost a été capitale car elle nous a permis de mieux cerner sa
maîtrise des risques opérationnels et l’apport de l’audit interne.
Les dysfonctionnements décelés ont fait l’objet de recommandations visant à renforcer le
contrôle interne et de ce fait à assurer une bonne gestion des risques opérationnels et leur
maîtrise. Par contre la mise en œuvre de ces recommandations doit impliquer
nécessairement les différents acteurs de la société surtout les dirigeants.
Commentaire [k14]: Je n’ai pas vu ce tableau
CESAG - BIBLIOTHEQUE
CONCLUSION GENERALE
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 83
Le contrôle interne et l'audit interne jouent un rôle essentiel dans le processus itératif de
gestion des risques, dans lequel l'information générée par le dispositif de contrôle interne
est renvoyée au conseil d'administration et à la direction. Les mécanismes de contrôle
interne contribuent à améliorer la prise de décision car ils font en sorte que l'information
soit précise, exhaustive et disponible en temps voulu.
Les dispositifs de gestion des risques et de contrôle interne aussi bien conçus et aussi bien
appliqués soient-ils, ne peuvent fournir une garantie absolue quant à la réalisation des
objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de la seule
volonté de la société. Il existe en effet des limites inhérentes à tout système et processus.
Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde
extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant
survenir en raison de défaillances techniques ou humaines ou de simples erreurs.
Le choix de traitement d’un risque s’effectue notamment en arbitrant entre les opportunités
à saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets
possibles sur l’occurrence et/ou les conséquences du risque, ceci afin de ne pas
entreprendre des actions inutilement coûteuses.
Notre démarche nous a permis d’atteindre nos objectifs, préalablement fixés et a montré les
insuffisances et les forces et les faiblesses des dispositifs de contrôle interne et de maîtrise
des risques opérationnels et comment l’audit interne contribue à son amélioration. Par cette
analyse des dispositifs, il en ressort que l’audit est d’une importance capitale pour assurer
leur maitrise à travers leur évaluation et les recommandations formulées.
En outre, les constats effectués et les recommandations émises par les auditeurs après les
missions d'audit effectuées visent généralement à corriger les manquements auxquels fait
face l'entreprise. Leur prise en compte par les opérationnels permet également de réduire
les risques potentiels susceptibles d'influencer la rentabilité de l'entreprise et donc de
l'orienter vers la réalisation de ses objectifs.
Commentaire [k15]: Il faut savoir que le contrôle interne est un processus et l’audit interne une fonction. Reformuler la phrase pour la rendre plus explicite
CESAG - BIBLIOTHEQUE
ANNEXES
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 85
Annexe 1 : Organigramme de la SONAPOST
Source : Rapport d’activité 2010
D G
SP /DG
Département CGAI
Département W U
I G S
Conseiller technique
Département juridique
Département Affaires Internationales
S G
DC DSF DFC DRH DCM DPL DSI
DRC DRE
DRN DRO
Département Secrétariat Central
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 86
Annexe 2 : L’entreprise comme un ensemble de risques
Risques commerciaux et du marché
Risques légaux envers personnel et tiers
Risques fiscaux Risques sociaux
Risques liés aux conflits d’intérêt Risques de discontinuité d’exploitation
Risques d’insécurité du patrimoine Risques d’assurance
Risques liés à la qualité de l’information saisie
Risques financiers
Risque de manque de qualité Risque lié au manque
d’informations
Risques d’insécurité du patrimoine
Risques fiscaux Risques fiscaux Risques fiscaux
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 87
Annexe 3 : Grille de séparation des tâches
Nature des tâches :
- Au : autorisation - En : enregistrement - Co : contrôle - Ex : exécution
Tâches Nature des tâches
Intervenants
Chef de guichet Agents Comptable Caissier Chef
comptable
Taches non
réalisées 1- Distribution de
courriers Ex X
2- Contrôle des bureaux de
poste
Co X
3- Contrôle des factures
Co X
4- Validation des enregistrements
Co X
5- Enregistrement des factures
En X
6- Etablissement des factures
Ex X
7- Signature des chèques
Au X
8- Signature du bordereau de remise des
chèques
Au X X
9- Dépôt des chèques
Ex
10- Distribution des courriers
Ex X
11- Réception des courriers
Ex X
12- Recouvrement Ex X
13- Signature du bordereau
Au X
14-préparation de l’état récapitulatif
des dépôts
Ex X
16- contrôle des boîtes postales
Co X
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 88
Annexe 4 : Questionnaire de contrôle interne
Questionnaire de contrôle interne
Section : Folio :
Exercice : Rubrique : recouvrement
Objectifs de contrôle interne : Avoir l’assurance d’un traitement rapide des opérations
Questions Réponses
Commentaires Oui ou N/A Non
1- Les courriers sont-ils acheminés aux services responsables ?
2- La transmission est-elle faite dans un ordre rigoureux ?
3- Les agents responsables du traitement des courriers sont-ils identifiés ?
4- Un suivi rigoureux du traitement des courriers est-il opéré ?
5- Des doubles vérifications sont-elles effectuées ?
Oui
N/A
Oui
N/A
Non
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 89
Questionnaire de contrôle interne Section :
Exercice
Rubrique : recouvrement
Objectifs de contrôle interne : s’assurer de la correcte livraison des produits
Questions Réponses Commentaires
Oui ou N/A Non
1- Les livraisons sont-elles faites au vu des bons de livraison ?
2- Les documents de livraison sont-ils prénumérotés ?
3- Existe-t-il des agents autorisés à livrer ?
4- S’assure –t- on de l’enregistrement des sorties de produits ?
5- Sont-elles constatées dans un état de stock ?
6- L’accès aux zones de stockage et d’expédition est-il suffisamment protégé ?
Oui
Oui
non
Oui
N/A
N/A
Des agents de livraison assure la transmission des courriers et pour certains comme les machines à affranchir des agents de la DCM
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 90
Questionnaire de contrôle interne
Section : Folio :
Exercice : Rubrique :
Objectifs de contrôle interne : s’assurer qu’il existe un contrôle efficace des factures émises
Questions Réponses Commentaires
Oui ou N/A
Non
1- Existe-t-il une procédure de contrôle des factures ?
2- Des rapprochements sont-
ils faits entre les factures et le BL :
- En vue de s’assurer de leur exhaustivité ?
- De vérifier les montants ?
3- Le service comptable s’assure t- il de l’exhaustivité des factures ?
4- Un responsable est-il
affecté à cette tâche ?
5- La comptabilisation des factures se fait-elle de manière chronologique ?
Oui
Oui
Oui
Oui
N/A N/A
Non
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 91
Questionnaire de contrôle interne Section : Folio :
Exercice Rubrique :
Objectifs de contrôle interne : s’assurer que les règlements des clients sont correctement enregistrés
Questions Réponses Commentaires
Oui ou N/A
Non
1- La comptabilisation des factures se fait-elle dès leur réception ?
2- Des rapprochements sont-ils faits entre les encaissements et les factures émises ?
3- Les paiements reçus sont-ils
rapprochés des factures ?
4- Les comptes clients sont-ils analysés périodiquement ?
5- Tous les paiements font t-ils
l’objet d’une pièce justificative ?
6- Les modes de règlement sont-ils formellement identifiés ?
7- Une analyse entre les réalisations
et les prévisions d’encaissements est-elle effectuée périodiquement ?
Non Oui N/A Oui Oui N/A
Non
CESAG - BIBLIOTHEQUE
BIBLIOGRAPHIE
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 93
Ouvrages
1. AHOUANGANSI Evariste (2010), Audit et révision des comptes : aspects
internationaux et espace OHADA, Editions Mondexperts, 2ème édition, 921pages
2. BARBIER Etienne (1996), « l’audit interne : permanence et actualité », Editions
d’organisation, 3ème édition, 185 Pages
3. BARRY Mamadou (2009), Audit et contrôle interne, Editions achevé d’imprimer sous
les presses de la Sénégalaise de l’imprimerie, 361 pages
4. BECOUR Jean-Charles ; BOUQUIN Henri (2008), « audit opérationnel :
entrepreneuriat, gouvernance et performance », Edition Economica, 3ème édition, 425
pages
5. BERTIN Elisabeth (2007), « Audit interne : enjeux et pratiques à l’international »,
Editions d’Organisation Eyrolles, 2007, 305 Pages
6. BOUANICHE José (Février 2004), calculer l’indéterminé ou l’appréciation du risque
opérationnel par l’auditeur interne, n° 169, pages
7. CAMARA Lucien (2006), « la gestion des risques en microfinance : comment gérer
avec efficacité les risques d’une institution de microfinance ? »
8. COLLINS Lionel ; VALIN Gérard, (1992), « Audit et contrôle interne : aspects
financiers, opérationnels et stratégiques », Edition Dalloz, 4ème édition, 353 Pages
9. Compagnie Nationale des Commissaires aux Comptes (1992), appréciation du
contrôle interne, Edition CNCC, Paris, 177pages
10. Confédération européenne des instituts d’audit interne (1999), « le rôle de
l’auditeur interne dans la prévention de la fraude », 49 pages
11. COOPERS &Lybrand (2000), la nouvelle pratique du contrôle interne, Edition
d’organisation 5ème édition, 375 pages
12. DESROCHES Alain, LEROY Alain, VALLEE Frédérique (2003) « la gestion des
risques ; principes et pratiques », Edition Lavoisier, 275 pages
13. FAUTRAT Michel (Février 2000), de l’audit interne au...management de la maitrise
des risques, La revue française de l’audit interne n°148, 37 pages
14. GRAND Bernard, VERDALLE Bernard (2006), Audit comptable et financier,
Edition Economica, 2ème édition
15. HAMZAOUI Mohamed (2005), Gestion des risques d’entreprise et contrôle interne
normes ISA 200, 315, 330et 500, 1ere édition, Pages 243
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 94
16. JIMENEZ Christian ; MERLIER Patrick ; CHELLY Dan (2008), « Risques
opérationnels : de la mise en place du dispositif à son audit ». Revue banque Edition,
205 pages
17. LEMANT Olivier (1998), la conduite d’une mission d’audit interne, Editions Dunod
2ème édition, 215pages
18. MOREAU Franck (2002), comprendre et gérer les risques, Editions d’organisation,
219 pages
19. NGUYEN HONG THAI (1999), « le contrôle interne : mettre hors risques
l’entreprise », Editions l’Harmattan, 325 pages
20. NICOLET Marie-Agnès & MAIGNAN Michel (2005), contrôle interne des risques
opérationnels, Revue Banque, (668 : 51-52)
21. OBERT Robert (2004), « synthèse droit et comptabilité, 2 audit et commissariat aux
comptes aspects internationaux » Edition DUNOD 4ème édition, 493 pages
22. PERCIER DU SERT Anne-Marie (1999), risque et contrôle du risque, Economica,
Paris, 133pages
23. PIGE Benoît (2003), Audit et contrôle interne, Editions management & société, 2ème
édition, 210 pages
24. POULLAIN Isabelle ; LESPY Frédéric (2002), « gestion des risques et de la
qualité : guide pratique à l’usage des cadres de santé », Editions Lamarre, 137 pages
25. RENARD Jacques (2006), Théorie et pratique de l’audit interne, Editions
d’organisation, 6ème édition, 455 pages
26. RENARD Jacques (2009), Théorie et pratique de l’audit interne, Editions
d’organisation Eyrolles, 7ème édition, 463 pages
27. SARDI Antoine (2002), Audit et contrôle interne bancaire, Editions AFGES, Paris
1065 pages
28. SCHICK Pierre (2007), Mémento d’audit interne, Edition DUNOD : 141 pages
Articles
29. BAPST Alexandre & VAURS Louis « le dispositif de contrôle interne : cadre de
référence à l’aune de la définition du contrôle interne » revue française de l’audit
interne, n°180, p : 18-22
CESAG - BIBLIOTHEQUE
Contribution de l’audit interne dans la maîtrise des risques opérationnels : cas de la SONAPOST
T. Sylvie KAFANDO, 4ème promotion Master en Audit et Contrôle de Gestion, CESAG Page 95
30. LAURETAU Denis « Management et systèmes d’information : Bale II une
opportunité et un défi pour l’audit interne » revue française de l’audit interne, 2005 n°
666, p : 66-67
31. ROUFF Jean-Loup « Actualités du contrôle interne : COSO et COCO, des définitions
et des méthodes différentes pour des visées identiques », revue française de l’audit
interne, 2000, n°150, p : 5-6
32. VAURS Louis « la maîtrise des risques et gouvernement d’entreprise » revue française
de l’audit interne2002, n°158, p : 10-12
Autres documents consultés
33. Sonapost (2010) rapport d’activités
34. Sonapost (2010) rapport de gestion du Conseil d’Administration
35. Sonapost (2008) texte portant organisation et fonctionnement des services de la
CESAG - BIBLIOTHEQUE