implication de l’audit interne dans une démarche de...

Présenté par : Dirigé par :

Décembre 2013

Analyse du processus de gestion pérenne

des risques : cas de MOOV-CI

Saran KANTE

Centre Africain d’Études Supérieures en Gestion

Institut Supérieur de Comptabilité,

de Banque et de Finance

(ISCBF)

Master Professionnel en Audit et

Contrôle de Gestion

(MPACG)

Mémoire de fin d’étude

THEME

Promotion 5

(2010-2012)

Ray Max AOUELY

Chef de service Audit interne

Atlantique Télécom-CI

CESAG - BIBLIOTHEQUE

Analyse du processusde gestion pérenne des risques : cas de MOOV-CI

KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page i

DEDICACE

Ce mémoire est dédié à mon père Daouda KANTE, à ma mère Awa DIANE, mes frères

(Ibrahim, Bakary, Issiaka) et ma sœur adorée Mariam FOFANA pour l’amouret le soutien

qu’ils m’ont apportés durant ma formation.

A mes promotionnaires qui ont toujours été à mes côtés. Grâce à leurs soutiens

multiformes, j’ai pu achever cette formation.



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page ii

REMERCIEMENTS

Au terme de ce travail, mes remerciements vont à l’endroit de:

Monsieur Ray Max AOUELY (chef de service Audit Interne),mon directeur de

mémoire qui m’a accordé son temps pour m’orienter et me donner ses précieux

conseils pour la rédaction du mémoire ;

Madame Simone TRAORE, chef de service Reporting et suivi des Opérations de

Trésorerie, pour son soutien et ses conseils ;

Monsieur N’Ddoumé Alain, contrôleur interne, pour ses précieux conseils ;

Monsieur Moussa YAZI, Directeur de l’Institut Supérieure de Banque et de

Finance pour tous ses efforts et précieux conseils méthodologiques qui m’ont guidé

dans ma rédaction ;

Monsieur Abraham ABE, chef de division Qualité Audit Interne ;

Madame Annick GERALDO Epouse KANATE, auditeur interne;

Madame Estelle AKPA, Responsable Qualité ;

Madame Bérénice Flore N’guessan MOH Epouse FALLY, Assistante Qualité.



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page iii

LISTE DES SIGLES ET ABREVIATIONS

AI : Audit Interne

AMF : Autorité des Marchés Financiers

ATCI : Agences des Télécommunications de Côte d’Ivoire

AUC : Authentification Center ou centre d’authentification des utilisateurs

BSC : Base Station Controller ou contrôleur des stations de base

BTS : Base Transceiver Station ou station radio de base

CESAG : Centre Africain d’Etudes Supérieures en Gestion

CI : Côte d’Ivoire

COSO : Committee of Sponsoring Organizations of the Treadway Commission

CRA : Compte Rendu D’appel

DMR : Dispositif de Maitrise des Risques

DGQUAI: Direction Générale Qualité Audit Interne

ECIIA: European Confederation of Institutes of Internal Auditors

EY : Ernst&Young

GGSN : Gateway GPRS Support Node

GSM : Global System for Mobile Communication

GPRS : General Packet Radio Service

HLR : Home Location Register ouEnregistreur de localisationNominale

HYB : Hybride

IFAC : International Federation of Accountants

IFACI : Institut Français de l’Audit et du Contrôle Internes

IFRS : International Financial Reporting Standards

IIA : Institut of Internal Auditors

ISA : International Standards on Auditing

ISO : International Standards Organizations

MSC : Mobile Switching System ou Centre Commutateur Mobile

QCI : Questionnaire de Contrôle Interne

SCP : Service Control Point

SGSN:Serving GPRS Support Node

SIM : Subscriber Identity Module

SDP : Service Data Point

VLR : Visitors Location Register

PCU : Packet Control Unit



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page iv

LISTE DES TABLEAUX ET FIGURES

Liste des tableaux

Tableau 1: Récapitulatif des personnes interviewées .......................................................... 41

Tableau 2 : La récurrence du constat ................................................................................... 60

Tableau 3 : Formalisation graphique du niveau de risque ................................................... 60

Tableau 4 : Présentation du plan d’action convenu ............................................................. 61

Tableau 5: Statistiques illustrant l’état de mise en œuvre des corrections et des actions

correctives de la direction technique. .................................................................................. 63

Tableau 6: enquête sur la culture du risque à MOOV-CI .................................................... 71

Tableau 7: Questionnaire relatif à la maîtrise des risques ................................................... 73

Tableau 8: questionnaire relatif au contrôle interne ............................................................ 75

Liste des figures

Figure 1 : Le modèle d’analyse ........................................................................................... 38

Figure 2 : Suivi des écarts d’audit interne ........................................................................... 62

Figure 3 : Graphique illustrant l’état de mise en œuvre des corrections et des actions

correctives de la direction technique. .................................................................................. 64

Figure 4 : Synthèse du rapport d’audit interne .................................................................... 65



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page v

LISTE DES ANNEXES

Annexe 1 : organigramme générale de MOOV-CI ............................................................. 87

Annexe 2 : Cartographie globale des processus de Atlantique Télécom-CI ....................... 88

Annexe 3 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de

maîtrise des risques de MOOV-CI ...................................................................................... 89

Annexe 4 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de

contrôle interne de MOOV-CI ............................................................................................. 91



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page vi

TABLE DES MATIERES

DEDICACE ......................................................................................................................................... i

REMERCIEMENTS .......................................................................................................................... ii

LISTE DES SIGLES ET ABREVIATIONS..................................................................................... iii

LISTE DES TABLEAUX ET FIGURES ......................................................................................... iv

LISTE DES ANNEXES ..................................................................................................................... v

TABLE DES MATIERES ................................................................................................................ vi

INTRODUCTION GENERALE ........................................................................................................ 1

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................................ 6

CHAPITRE 1 : LE PROCESSUS DE MANAGEMENT DES RISQUES ........................................ 8

1.1. Aperçu général du processus de management des risques ............................................... 9

1.1.1. Définition et objectifs du processus de management des risques ................................. 9

1.1.2. Les composants du dispositif de management des risques ......................................... 10

1.1.2.1. Établissement du contexte de management des risques et identification des

risques ........................................................................................................................... 12

1.1.2.2. Les méthodes d’évaluation des risques .............................................................. 14

1.1.2.3. Communication et concertation ......................................................................... 16

1.1.2.4. Surveillance et revue .......................................................................................... 16

1.2. Les outils de management des risques ............................................................................ 16

1.2.1. Définition de la cartographie des risques ................................................................... 16

1.2.2. Objectifs de la cartographie des risques ..................................................................... 17

1.2.3. Base d’incidents.......................................................................................................... 17



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page vii

1.2.3.1. La mise en œuvre d’une base d’incidents .......................................................... 18

1.2.3.2. Le suivi et le traitement des informations .......................................................... 18

1.2.4. Les indicateurs de risques ........................................................................................... 19

1.3. Le plan d’action de maîtrise des risques ......................................................................... 19

CHAPITRE 2 : LE ROLE DE L’AUDIT INTERNE DANS LA GESTION DES RISQUES ........ 22

2.1. Gouvernance, méthodologie et procédures en matière de gestion des risques ............... 23

2.1.1. Gouvernance de la gestion des risques ....................................................................... 23

2.1.2. Méthodologies et procédures en matière de gestion des risques ................................ 23

2.2. L’audit interne et le management des risques: des méthodes complémentaires ............. 24

2.2.1. L’organisation de l’audit interne ................................................................................ 24

2.2.2. Le rôle de l’audit interne auprès des managers .......................................................... 24

2.2.3. Le rôle de l’audit interne dans l’identification des contrôles ..................................... 25

2.3. Audit interne et gestion des risques ............................................................................... 25

2.3.1. Implication de l’audit interne dans le processus de management des risques ............ 26

2.3.2. L’appréciation du contrôle interne ............................................................................. 27

2.3.3. Intégration du contrôle interne dans le dispositif de management des risques ........... 28

2.3.4. Le rôle de l’analyse des risques dans l’évaluation du dispositif de contrôle interne .. 28

2.3.5. Évaluation du processus de management des risques................................................. 30

2.3.6. Audit du processus de management des risques ......................................................... 31

2.4. Examen du dispositif de management des risques mis en place par l’entreprise ............ 31

CHAPITRE 3 : METHODOLOGIE DE L’ETUDE ........................................................................ 35

3.1. Le modèle d’analyse ....................................................................................................... 35



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page viii

3.1.1. La variable dépendante ............................................................................................... 36

3.1.2. Les variables indépendantes ....................................................................................... 36

3.1.3. Le modèle d’analyse ................................................................................................... 37

3.1.4. Les indicateurs de mesure .......................................................................................... 39

3.1.4.1. Dimension contrôle interne ................................................................................ 39

3.1.4.2. Dimension environnement interne ..................................................................... 39

3.1.4.3. Dimension plan d’action et pilotage .................................................................. 39

3.1.4.4. Les outils de collecte et d’analyse des données ................................................. 39

3.2.1. Les outils de collecte des données .............................................................................. 40

3.2.1.1. L’analyse documentaire ..................................................................................... 40

3.2.1.2. L’interview ........................................................................................................ 40

3.2.1.3. Observation physique ........................................................................................ 42

3.2.2. Les outils d’analyse des données ................................................................................ 42

3.2.2.1. Les tests de conformité et de permanence ......................................................... 42

3.2.2.2. Questionnaire de contrôle interne ...................................................................... 43

3.2.2.3. Le tableau des risques ........................................................................................ 43

DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE........................................................ 46

CHAPITRE 4 : PRESENTATION GENERALE DE ATLANTIQUE TELECOM-CI .................. 48

4.1. Historique et évolution .................................................................................................... 48

4.2. Missions .......................................................................................................................... 49

4.3. Organisation générale de MOOV-CI .............................................................................. 50

4.3.1. Direction Technique ................................................................................................... 50



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page ix

4.3.2. Direction Marketing et Communication ..................................................................... 51

4.3.3. Direction Commerciale .............................................................................................. 51

4.3.4. Direction Comptable et Financière ............................................................................. 51

4.3.5. Direction Administratives et Ressources Humaines................................................... 52

4.3.6. Direction Système Informatique ................................................................................. 52

4.3.7. Direction Clientèle...................................................................................................... 53

4.4. La division Qualité & Audit Interne(DQAI) .................................................................. 53

4.4.1. Missions du service Audit .......................................................................................... 53

4.4.2. Missions du service Qualité ....................................................................................... 54

CHAPITRE 5 : PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOV-CI ........... 57

5.1. Description du processus de gestion pérenne des risques de MOOV-CI........................ 57

5.1.1. Élaboration du plan annuel d’audit ............................................................................. 57

5.1.2. Établissement du contexte ou environnement interne de MOOV-CI ......................... 58

5.1.3. Analyse partielle des risques par processus ................................................................ 58

5.1.4. Évaluation du dispositif de maitrise des risques (DMR) de MOOV-CI ..................... 58

5.1.5. Communication des travaux d’audit interne ............................................................... 59

5.2. Pilotage des écarts d’audit interne .................................................................................. 59

5.3. Participation à l’élaboration de la cartographie des risques ............................................ 66

5.3.1. Le cadrage .................................................................................................................. 66

5.3.2. Identification et évaluation des risques ...................................................................... 67

CHAPITRE 6 : ANALYSE DU PROCESSUS DE GESTION PERENNE DES RISQUES DE

MOOV-CI ........................................................................................................................................ 69



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page x

6.1. Identification des éléments majeurs du processus de gestion pérenne des risques de

MOOV-CI .................................................................................................................................... 69

6.1.1. Examen et évaluation de l’environnement interne de MOOV-CI .............................. 69

6.1.2. Analyse du dispositif de maitrise des risques de MOOV-CI ...................................... 72

6.2. Evaluation du dispositif de contrôle interne mis en place par MOOV-CI pour la gestion

pérenne des risques ...................................................................................................................... 74

6.3. Les forces du dispositif de gestion des risques de MOOV-CI ....................................... 77

6.4. Les faiblesses du dispositif de gestion des risques de MOOV-CI ................................. 78

6.5. Recommandations à l’endroit de MOOV-CI .................................................................. 79

.......................................................................................................................................................... 83

ANNEXES ....................................................................................................................................... 86

BIBLIOGRAPHIE ........................................................................................................................... 94


INTRODUCTION GENERALE



KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 1

Selon Joss Gillet (2009 :45) l’Afrique est le premier marché de la téléphonie cellulaire au

monde enterme de rythme de croissance, représente environ dix(10) pour cent des

connexions cellulaires mondiales.Pour le cabinet Ernst&Young (AFP, 2009), le taux

moyen de pénétration du mobile en Afrique qui se situait à 37% en 2009 pourrait passer à

61 % d'ici à 2018.

André-Michel Essoungou (2011:3) soutient que cette évolution rapide s'explique par trois

changements majeurs survenus au cours de cette décennie. Le premier changement est

l'adoption massive des technologies de l'information sur le continenttandisqu’à l’aube de

l’an 2000,11 millions d'Africains possédaient un téléphone mobile, ils sont estimés à près

de 200 millions cinq ans plus tard et sont désormais presque 400 millions.

Le deuxième phénomène majeur qui a également contribué à la croissance rapide du

secteur c’est la ruée vers l'Afrique des investisseurs étrangers, sensibles aux énormes

profits qu’offre le marché africain. Enfin, le troisième changement important enregistré se

situe au niveau des politiques et institutions qui ont réussi à encadrer le secteur et ont

assuré sa croissance en ouvrant leur marché à la compétition et à l’investissement.

Toutefois, l’importance des ressources générées par ce secteur ne s’est pas faite sans la

démultiplication de divers risques. Selon des études menées par le cabinet Ernst&Young

(2012 :15), dix principaux risques sont à identifier dans le secteur des télécoms :

incapacité à migrer d’un modèle économique basé sur les minutes consommées à

un modèle basé sur les volumes de données ;

décalage face aux évolutions des attentes et comportements clients ;

manque de confiance dans les retours sur investissement ;

le manque d’information concernant les demandes qui empêche la création de la

valeur ;

incertitude concernant la réglementation des nouvelles structures de marché ;

incapacité à exploiter les nouveaux types de connectivité ;

une stratégie de fusions, acquisitions et de partenariats mal formulée ;

incapacité à définir de nouveaux outils de mesures de l’activité ;

confidentialité, sécurité et résilience ;

manque de souplesse organisationnelle.




En effet, les risques sont inhérents à toute organisation. Il ne peut exister de croissance, ni

de création de valeur, sans prise de risque. Dès lors, s’ils ne sont pas correctement gérés et

maîtrisés, ces risques peuvent affecter la capacité de l’organisation à atteindre ses

objectifs. Ainsi les organisations vont se doter de service d’audit interne dont le rôle

majeur dans le processus de management des risques s’accentue. Aussi, l’identification et

l’évaluation des risques sont-elles au cœur de l’activité de l’auditeur interne.

Par ailleurs la norme 2100 (IFACI, 2004 :9)précise que l’audit internedoit «évaluer les

processus de management des risques et rendre compte de ces évaluations, maintenir un

dispositif de contrôle interne approprié et de gouvernement d’entreprise » et contribuer par

la même occasion à leurs améliorations sur la base d’une approche systématique et

méthodique.

Pour tenir compte des crises successives dans les milieux d’affaires (Vivendi, Société

Générale, Enron,...),les organisations vont s’imposer une gestion managériale beaucoup

plus axée sur la gestion des risques. Elles vont en outre passer d’une évaluation ponctuelle

à l'occasion de l’élaboration d'une cartographie des risques vers une véritable gestion des

risques, inscrite dans la durée. En raison de l’image de rigueur qu’il arrive à véhiculer, de

la complexité des risques qu’il doit gérer, l’audit interne se révèle être incontournable dans

les organisations.

Atlantique Télécom Côte d’Ivoire, filiale du Groupe Atlantique Télécom dont l’actionnaire

principal est le Groupe Etisalat, leader de la téléphonie aux Emirats Arabes Unis a connu

en moins de six ans des bouleversements majeurs.

En effet, considérée au départ comme une startup dont la rentabilité à court terme laissait

perplexe plus d’un averti du monde des affaires en Afrique, Atlantique Télécom s’est

rapidement affirmé comme un opérateur incontournable en Côte d’Ivoire.

Selon Julien Clemençot (2011 :102) cette montée en puissance s’est traduite par

l’amélioration de la profitabilité d’Atlantique Télécom CI. Estimé à 1 300 000 en

Décembre 2007, les abonnées Atlantique Télécom Cote d’ivoire sont aujourd’hui à

environs 3 700 000, tandis que sa marge EBITDA (indicateur proche de l’excédent brut

d’exploitation) est près de 40 %, quand les leaders Orange et MTNsont à 50 %.




Pourtant, avec sept licences GSM dont cinq actives, la Côte d’Ivoire compte parmi les

marchés les plus encombrés d’Afrique, d’où l’urgence pourAtlantique Télécom Côte

d’ivoire, d’identifier d’une part les pistes susceptibles de lui assurer un avantage

concurrentiel et d’autre part, de mitiger au mieux les risques inhérents à son activité.

Ces risques sont multiples et ne cessent de croitre tandis que les investissements en

équipements sont considérableset laissent peu de marge au tâtonnement.

En réalité MOOV-CI rencontre des problèmes aussi bien d’ordre opérationnels que

organisationnels, il s’agit notamment de :

lenteur dans l’intervention des équipes techniques lors des incidents;

mécontentement des clients du au non-respect de la promesse des services ;

détérioration et vol des équipements techniques sur les sites ;

perte de données informatiques ;

absence de pérennité des modes de fonctionnement (non formalisation ou absence

de procédure sur certaines activités) ;

confusion dans la chaine hiérarchique.

Parmi les facteurs explicatifs nous pouvons citer :

la non maitrise des changements organisationnels ;

lanon mise à jour des fiches de postes ;

l’insuffisance du personnel dédié au contrôle ;

l’absence d’illisibilité sur les contrôles clés à mettre en œuvre du fait d’une

insuffisance d’identification des risques à mitiger.

Au regard de cette situation, nous pensons que l’exploration des pistes suivantes pourrait y

remédier:

mettre en place un dispositif de gestion des changements ;

effectuer une revue de la structure organisationnel et des fiches de postes ;

cultiver une approche par les risques à tous les niveaux de l’organisation ;

décentraliser la gestion des risques en recrutant par direction une ressource en

charge des risques ;

créer une direction en charge de la gestion des risques et la doter de moyens

suffisants ;


http://www.jeuneafrique.com/pays/cote_ivoire/cote_ivoire.asp



externaliser la gestion des risques ;

protéger tous les actifs sensibles en ayant recours à un contrat d’assurance ;

procéder à une analyse du processus de gestion pérenne des risques ;

La dernière solution nous apparaît opportune car elle est moins onéreuse et s’inscrit dans la

droite ligne des directives de l’IFACI traduite à travers la norme 2100 (normes de travail).

Pour aboutir à une plus grande efficacité (performance) de l’audit interne, la question

qu’on pourrait se poser est celle-ci : l’audit interne peut-il contribuer à une gestion pérenne

des risques ?De cette question de recherche découlent les questions spécifiques à savoir :

Est-ce que le processus de gestion des risques mis en place permet-il l’amélioration de la

performance de l’organisation ? L’audit interne pourra-t-il organiser sa démarche autour

des réelles préoccupations stratégiques de l’organisation ? Le processus de gestion des

risques fait-il l’objet d’un suivi périodique? Les recommandations résultantes des audits

sont-elles mise en œuvre ? Une évaluation périodique de l’impact des recommandations

est-elle effectuée ?

La réponse à toutes ses questions motive notre choix pour le thème : « analyse du

processus de gestion pérenne des risques ».

L’objectif principal de cette étude est d’analyser l’impact des outils de gestion mis en place

par l’audit interne dans la gestion pérenne des risques. Les objectifs spécifiques qui en

découlent sont : comprendre et cerner les facteurs de survenance du risque; appliquer les

outils permettant la gestion pérenne des risques et analyser leur répercussion sur la

performance de l'organisation.

Cette étude dégage des intérêts :

pour AtlantiqueTélécom-CI:

Elle permettra à MOOV-CI d’avoir un avis sur le processus utilisé pour gérer ces risques

au quotidien.




pour nous-mêmes :

Cette étude sera l’occasiond’appliquer les connaissances acquises durant nos deux années

de formation, d’approfondir nos connaissances sur l’importance de maitriser le processus

de gestion des risques.

Pour atteindre les objectifs que nous nous sommes fixés plus haut, notre travail s’articulera

autour de deux parties essentielles:

La première partie, sera consacrée au cadre théorique portant sur la revue de la littérature

où nous exposerons le risque et son omniprésence, les éléments mettant en relief

l’amélioration de la performance grâce à l’audit interne, les moyens mis en place par

l’audit interne dans la prévention du risque ainsi que outils mis en place par l’audit interne

quant à la gestion pérenne des risques.

La seconde partie sera menée ensuite auprès de MOOV-CI à travers des entretiens, des

observations, des questionnaires et l’analyse documentaire. Cela permettra d’avoir une

connaissance pratique, des différents processus d’une organisation et de comprendre

comment se déclinent les diligences de l’audit interne susceptible de mitiger les risques

encourus.


PREMIERE PARTIE :

CADRE THEORIQUE DE L’ETUDE




L’incertitude est une donnée essentielle de la vie de toute organisation. Elle est source de

risques, et d’opportunités. Aussi, l’un des défis fondamentaux pour une organisation réside

dans la détermination du degré d’incertitude qu’elle est prête à accepter afin d’optimiser la

création de la valeur.

Dès lors, tout le monde s’accorde pour dire qu’un processus de management des risques

efficace,doit offrir la possibilité d’appréhender une réponse appropriée aux risques et aux

opportunités associées aux incertitudes auxquelles l’organisation fait face, renforçant ainsi

la capacité de création de la valeur ajoutée.

La revue de littérature ci-après, se propose d’une part de présenter les facteurs

déterminants d’une gestion pérenne des risques et de faire ressortir d’autre part, l’urgence

d’une meilleure implication de l’audit interne dans ce processus. Il circonscrit par la suite

la participation de l’audit interne dans le déploiement du processus de management des

risques.




CHAPITRE 1 : LE PROCESSUS DE MANAGEMENT DES RISQUES

Dans le contexte économique actuel, toutes les entreprises sont confrontées à la nécessité

de maîtriser les risques inhérents à leurs activités.Cette préoccupation est d’autant plus à

l’ordre du jour les scandales financierstels queles affaires Enron,Worldcom et Tyco, ont

fait ressortir les défaillances criardes du dispositif de contrôle interne. Ils ont par ailleurs,

mis en exergue le constat de l’inadaptabilité des différents processus de gestion des risques

mis en place.

La gestion des risques est un processus continu et proactif qui constitue une partie

importante des processus de gestion. Elle couvre les questions susceptibles de mettre en

danger l’atteinte des objectifs critiques. L’objectif d’une approche de gestion par les

risquesest d’anticiper et de mitiger efficacement les risques ayant un impact critique sur

l’entreprise.

Ainsi la gestion des risques doit prendre en considération à la fois les sources internes et

externes de risques concernant le coût, le calendrier et les aspects techniques. Une

détection précoce et agressive des risques est importante car c'est typiquement plus facile,

et moins coûteux d'apporter des changements, de corriger des efforts de travail durant les

premières phases d’une mission que durant ses dernières phases.

Ce chapitre vise à comprendre le processus de management des risques, et les dispositifs

de maîtrise des risques communément mis en place pour une gestion efficace des risques.




1.1. Aperçu général du processus de management des risques

Pour mieux appréhender, les facteurs déterminants du processus de management des

risques, il convient de bien cerner la notion de management des risques.

La synthèse ci-après présentera d’une part la définition du management des risques et son

champ d’application d’autre part, les composants du dispositif de management des risques

afin de s’inscrire durablement dans le cadre du dispositif mis en place au niveau de

l’entreprise.

A partir de cette définition, nous mettronsen exergue, les composantes essentielles d’une

gestion pérenne des risques, puisnous nous attellerons à expliciter les outils de

management des risques.

1.1.1. Définition et objectifs du processus de management des risques

Selon le COSO (2005 :5) le management des risques est un processus mis en œuvre par le

conseil d’administration, ladirection générale, le management et l'ensemble des

collaborateurs de l’organisation. Elle est prise en compte dans l’élaboration de la stratégie

ainsi que dans toutes les activités del'organisation. Elle est conçue pour identifier les

événements potentiels susceptibles d’affecterl’organisation et pour gérer les risques dans

les limites de son appétence pour le risque. Elle vise à fournir une assurance raisonnable

quant à l'atteinte des objectifs de l’organisation.

Cette définition met en exergue certains concepts fondamentaux qui sont :

la participation de l’ensemble des collaborateurs, à tous les niveaux de

l’organisation au processus de management des risques;

l’identification des évènements potentiels susceptibles d’affecter l’organisation ;

le niveau de risque global auquel l’organisation accepte de faire face, en cohérence

avec ses objectifs de création de valeur ou appétence pour le risque ;

fournir une assurance raisonnable que la direction et le conseil d’administration

sont informés régulièrement de la progression de l’organisation dans l’atteinte des

objectifs fixés.

Les objectifs dont il s’agit ici sont de quatre(4) ordres :




stratégique : objectifs stratégiques servant la mission de l’organisation ;

opérationnel : objectifs visant l’utilisation efficace et efficiente des ressources ;

reporting : objectifs liés à la fiabilité du reporting ;

conformité : objectifs de conformité aux lois et aux réglementations en vigueur.

1.1.2. Les composants du dispositif de management des risques

Le dispositif de management des risques comprend huit éléments qui se définissent comme

suit selon COSO (2005 :32) :

environnement interne : L’environnement interne englobe la culture et l’esprit de

l’organisation. Il structure la façon dont les risques sont appréhendés et pris en

compte par l’ensemble des collaborateurs de l’entité et plus particulièrement la

conception du management ainsi que son appétence pour le risque, l’intégrité, les

valeurs éthiques, et l’environnement dans lequel l’organisation opère ;

fixation des objectifs : Les objectifs doivent avoir été préalablement définis pour

que le management puisse identifier les événements potentiels susceptibles d’en

affecter la réalisation. Le management des risques permet de s’assurer que la

direction a mis en place un processus de fixation des objectifs et que ces objectifs

sont en ligne avec la mission de l’entité ainsi qu’avec son appétence pour le risque ;

identification des événements : Les événements internes et externes susceptibles

d’affecter l’atteinte des objectifs d’une organisation doivent être identifiés en

faisant la distinction entre risques et opportunités. Les opportunités sont prises en

compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des

objectifs ;

évaluation des risques : Les risques sont analysés, tant en fonction de leur

probabilité que de leur impact, cette analyse servant de base pour déterminer la

façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont

évalués ;

traitement des risques : Le management définit des solutions permettant de faire

face aux risques, il s’agit de l’évitement, l’acceptation, la réduction ou le partage.

Pour ce faire le management élabore un ensemble de mesures permettant de mettre

en adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour le

risque de l’organisation ;




activités de contrôle : Des politiques et procédures sont définies et déployées afin

de veiller à la mise en place et l’application effective des mesures de traitement des

risques.

information et communication : Les informations utiles sont identifiées, collectées,

et communiquées sous un format et dans des délais permettant aux collaborateurs

d’exercer leurs responsabilités. Plus globalement, la communication doit circuler

verticalement et transversalement au sein de l’organisation de façon efficace ;

pilotage : Le processus de management des risques est piloté dans sa globalité et

modifié en fonction des besoins. Le pilotage s’effectue au travers des activités

permanentes de management ou par le biais d’évaluations indépendantes ou encore

par une combinaison de ces deux modalités ;

En somme, le management des risques est un processus multidirectionnel et itératif par

lequel n’importe quel élément a une influence immédiate et directe sur les autres.

Par ailleurs, l’efficacité du dispositif de management des risques est tributaire de la mise en

place de chacun de ses huit éléments et de leur bon fonctionnement.

Toutefois, nous insisterons sur deux des huit éléments fondamentaux du management des

risques (l’identification et de l’évaluation des risques) présentés plus haut et de 3 autres

éléments complétés par la norme ISO 31000 (établissement du contexte ou environnement

interne, communication et concertation, surveillance et revue). Ces éléments demeurent au

cœur des préoccupations des professionnels.

En effet, pour Barthelemy & al (2002 :19), gérer ses risques, c’est conduire un processus

en trois étapes :

identifier les risques ;

réduire économiquement les risques ;

financer la gravité résiduelle des risques.

Si la première étape ci-dessus cités s’inscrit explicitement dans la liste des huit

déterminants du management des risques, les deux dernières sont toutes aussi pertinentes

car elles supposent implicitement une évaluation des risques à l’issue de laquelle les

conséquences résiduelles seront financées.




1.1.2.1. Établissement du contexte de management des risqueset

identification des risques

L’Établissement du contexte ou environnement interne oblige à définir en amont de ces

activités, les paramètres fondamentaux caractérisant l’environnement dans lequel

s’effectue le management du risque et les valeurs de ces paramètres. L’environnement est

tout d’abord externe à l’organisme. Selon Gilles Motet (2009 :4), des seuils stipulés par

une réglementation ou des critères d’appréciation des risques issus des parties prenantes,

sont deux exemples de paramètres. L’environnement du management du risque inclut

également l’organisme lui-même.

Les pratiques propres à l’organisme en sont des exemples de paramètres. La norme ISO

31000 propose d’énumérer ces paramètres et de séparer leur définition de leurs utilisations

dans les autres tâches du processus, clarifiant ainsi les différentes responsabilités des

intervenants dans le processus de Management du risque.Par principe, l’identification des

risques permet la définition du périmètre à analyser (l’ensemble des activités de

l’entreprise) et de modéliser les activités de l’entreprise afin d’identifier l’ensemble des

risques associés à ces activités.

La méthodologie d’identification des risques d’une organisation comprend un vaste

éventail de techniques et d’outils. Tandis que les techniques communément utilisées vont

de l’inventaire des risques basés sur une check-list à l’identification des risques par tâches

élémentaires, les outils quant eux se résument en :

questionnaires et enquêtes ;

brainstorming ou ateliers d’identification des risques;

tableaux d’identification des risques.

A. Identification basée sur les check list

Pour le COSO (2005 :188), au cours de cette méthode d’identification des risques, le

management utilise une liste d’événements potentiels communs pouvant affecter un secteur

d’activité ou un domaine fonctionnel spécifique.




Cette check-list est une liste déjà préconçue qui énumère l’ensemble des risques possibles

et peut être fonction des activités. Il s’agit pour chaque risque, de savoir s’il concerne

l’entreprise ou pas.

B. Identification basée sur la définition des objectifs

Cette méthode découle de la définition du risque en tant que « possibilité qu’un événement

se produise et ait une incidence défavorable sur la réalisation des objectifs ». Autrement

dit, un risque ne se définit qu’à travers un objectif.

Ainsi dans cette approche, l’on identifie d’abord les objectifs de l’activité ou de

l’organisation pour ensuite leur associer les menaces pesant sur eux d’où l’efficacité de

cette approche qui repose sur une identification claire et partagée des objectifs en amont.

Toutefois pour Moreau (2002 :137), cette méthode d’identification n’est pas toujours

aisée à réaliser dans la réalité.

C. Identification basée sur l’analyse des flux de

processus

L’analyse à effectuer abouti ici à représenter le processus en le découpant en tâches

élémentaires, en identifiant les éléments entrants, les résultats et les responsabilités. Il

s’agit alors d’identifier les risques ou tout événement susceptible d’impacter le résultat

attendu en se demandant qu’est-ce qui se passerait si la tâche élémentaire identifiée est mal

exécutée ou n’est pas du tout réalisée.

Plusieurs autres méthodes d’identification existent certes mais comme l’affirme Moreau

(2002 :137), le succès d’une démarche d’identification des risques dépend du degré de

prise en compte de la thématique du risque dans ses orientations.

Il s’agit notamment de :

l’identification des risques effectuée sur la base des actifs créateurs de valeurs : elle

consiste à déterminer les actifs constitutifs de la valeur de l’organisation et à mettre

en évidence les risques qui pèsent sur ces éléments de valeur ;

l’identification des risques effectuée sur la base de l’historique de l’organisation

en terme de risque : pour Desroches & al( 2003 :96),Cette approche dite historique




qui permet l’identification en se basant sur les risques opérationnels déjà survenus

au sein de l’entreprise présente l’ inconvénient majeur de ne pas tenir compte des

influences tant en internes qu’en externes auxquelles sont soumises les

entreprises ;

l’identification basée sur l’analyse de l’environnement : cette démarche par contre

tient compte des variations que peut subir l’environnement dans lequel se trouve

l’entreprise (économique, technologique, concurrentiel,…). Toutefois, la difficulté

dans l’application de cette méthode réside dans le fait que les événements

provenant de l’environnement sont toujours difficiles à cerner ;

En somme, comme l’atteste le COSO (2005 :187), la méthodologie d’identification des

risques d’une organisation peut être constituée d’une combinaison de plusieurs des

démarches citées plus haut, toutefois, il reste important que cette méthodologie tienne

compte aussi bien du passé que du futur de l’entreprise.

Par ailleurs, la méthodologie choisie par l’entreprise doit être déployée à travers plusieurs

outils dont les entretiens, les ateliers d’identification des risques ou brainstormings, les

questionnaires et les tableaux d’identification.

1.1.2.2. Les méthodes d’évaluation des risques

Les approches d’évaluation des risques sont généralement constituées d’une combinaison

de techniques qualitatives et quantitatives. Alors que les techniques d’évaluation

qualitatives sont utilisées lorsque les risques ne se prêtent pas à la quantification, les

évaluations quantitatives sont utilisées lorsqu’il existe suffisamment d’informations fiables

permettant d’estimer la probabilité d’occurrence ou l’impact d’un risque.

L’évaluation des risques s’effectue après l’analyse et l’identification des risques pertinents.

A ce niveau, la différence entre le risque et incertitude est importante vu que le risque est

mesurable alors que ce n’est pas le cas pour l’incertitude.




A. Les méthodes quantitatives d’évaluation des

risques

Cette méthode consiste à évaluer le risque caractérisant un événement redouté selon sa

probabilité et la mesure de sa gravité (Desroches & al, 2003 :59). Généralement précise,

elle est utilisée dans les activités plus complexes afin d’apporter un complément aux

techniques qualitatives (IFACI, 2006 :78 ; Renard & al, 2006 :180). L’évaluation

quantitative se fait lorsque l’on dispose de données fiables et historiques.

B. Les méthodes qualitatives d’évaluation des risques

La méthode qualitative est utilisée :

lorsque le risque ne peut être quantifié ;

lorsqu’on ne dispose pas de données fiables ;

lorsqu’il n’est pas possible d’obtenir ou d’analyser ces données moyennant un coût

raisonnable.

L’approche qualitative est utilisée pour identifier le niveau d’impact et la probabilité

d’occurrence d’un évènement, pour se faire on procède à des entretiens et des ateliers.

Ainsi, nous avons comme types d’appréciation « élevés », « moyens », « faibles » ou

encore en « risque majeur », « risque courant » et « risque de non qualité », Coopers& al

(2000 :61)

En somme, quelle que soit l’approche adoptée pour effectuer l’identification et l’évaluation

des risques, ces deux étapes occupent une place importante dans tout processus de gestion

des risques.

Pourtant, la nécessité d’un outil performant de détermination, d’analyse et de pilotage des

risques a renforcé l’idée de cartographier les risques. Selon Moreau (2002 :135), l’idée de

cartographier ses risques est aujourd’hui largement diffusée même si les modalités de sa

mise en œuvre sont souvent floues.

Cette pratique permet notamment :

de classer, de comparer, de hiérarchiser des risques entre eux ;




de mettre en place des plans d’actions pour les gérer en fonction des ressources

disponibles ;

d’en assurer le suivi ;

de communiquer les informations sur les risques de l’organisation.

1.1.2.3. Communication et concertation

La communication et la concertation est une tâche qui est en couplage avec l’ensemble des

autres tâches du processus de management des risques. Ces échanges concernent aussi bien

les parties prenantes externes que celles internes à l’organisme qui gère le risque. Lanorme

ISO 31000 mentionne en particulier que cette tâchefacilite la compréhension du contexte et

l’intégrationde ses changements par les activités de management des risques.

1.1.2.4. Surveillance et revue

La surveillance et la revue est une tâche qui a pour but de réévaluer le déroulement des

activités de management des risques. Cette tâche peut ainsi mesurer l’efficacité de l’emploi

des moyens mis en œuvre afin d’améliorer leurs utilisations futures.

1.2. Les outils de management des risques

Ils sont mis en œuvre par les dirigeants ou les opérationnels de l’entreprise en vue d’une

gestion pérenne des risques. Il existe des outils spécifiques de la gestion des risques à

savoir : la cartographie des risques, les bases d’incidents et les indicateurs de risques.

1.2.1. Définition de la cartographie des risques

Selon le COSO (2005 :221), la cartographie est une représentation graphique de la

probabilité d’occurrence et de l’impact d’un ou plusieurs risques.

Il s’agit de permettre une schématisation claire des risques les plus significatifs (probabilité

et/ou impact la ou le plus élevé(e)) et les moins significatifs (probabilité et/ou impact la ou

le plus faible).

La cartographie ou « riskmapping » est un outil qui permet notamment de mesurer

régulièrement la progression de la maîtrise des risques. Pour Moreau & al (2002 :123), une

cartographie des risques peut être désignée comme un outil de management qu’une




entreprise peut mettre en œuvre pour avoir une vision d’ensemble des risques auxquels elle

s’expose.

1.2.2. Objectifs de la cartographie des risques

Dans l’élaboration d’une cartographie, la clarté des objectifs est nécessaire. Pour Maders et

Masselin (2006 :52), la cartographie sert de :

boussole aux dirigeants avec l’assistance du riskmanager ;

outil de travail et de reporting pour les directions des risques ;

guide de planification pour les auditeurs, car elle permet d’inventorier, d’évaluer, et

de classer les risques de l’organisation.

Pour cela, étant un véritable moyen de pilotage des risques de l’organisation, elle permet

selon Pequignot (2007 :7) de :

contribuer à améliorer le plan stratégique ;

affecter ou redéployer des ressources selon les risques prioritaires ;

calculer le score de chaque risque.

Selon Christian Jimenez& al (2008 :64), la cartographie n’est toutefois qu’une

photographie des risques à un instant donné. Selon la typologie des risques (à fréquence ou

non) les informations disponibles pour corroborer l’évaluation seront disponibles et

aideront les analyses, en particulier en matière de fréquence et d’impact.

1.2.3. Base d’incidents

La base d’incident est un outil qui permet d’historiser les risques et leur évolution dans le

temps. Nous nous attèlerons donc à expliquer la mise en œuvre et le suivi des informations

contenues dans une base d’incidents.




1.2.3.1. La mise en œuvre d’une base d’incidents

La construction d’une base d’incidents est rendue complexe par les différents objectifs qui

président à son déploiement :

accompagner les utilisateurs dans la gestion des incidents sur leur périmètre propre,

en facilitant le suivi des plans d’actions qui visent à renforcer le dispositif et les

processus de gestion et de réduction des risques ;

caractériser les incidents, en évaluant notamment les impacts financiers y afférents ;

analyser l’évolution des profils de risque en utilisant les reportings associés ;

disposer de tableaux de bord de pilotage des risques opérationnels ;

collecter et historiser des données permettant de quantifier les risques

opérationnels, d’allouer les fonds propres et de mieux intégrer la composante

assurance dans le dispositif.

Selon Christian Jimenez& al (2008 :104), il est important de concevoir la base d’incidents

en ayant à l’esprit les différents objectifs et de définir les différents points à traiter :

conception et structuration de la base ;

gestion des alimentations (automatisées ou manuelles) ;

définition des modalités de gestion de la base ;

définition des restitutions ;

modalités de déploiement et d’accès des utilisateurs.

1.2.3.2. Le suivi et le traitement des informations

Une base d’incidents doit être considérée comme un outil de gestion à part entière et pas

seulement comme un outil de collecte de données statistiques ou à vocation de reporting.

Les fonctionnalités de base d’un tel outil doivent donc intégrer des éléments tels que :

acheminement des incidents opérationnels depuis l’utilisateur jusqu’aux personnes

à même de traiter et de résoudre ces incidents ;

aide au diagnostic (base de connaissance incidents/causes) ;

suivi de la résolution des incidents, rappels automatiques ;




transfert des dossiers dans la ligne hiérarchique si le dossier est non résolu depuis

un délai déterminé ;

analyses/ synthèses dynamiques (vue dynamiques de listes d’items par type, statuts,

origine) ;

constitution d’indicateurs de situation et d’évolution du traitement des incidents.

Une fois le processus de capture d’un incident (identifiant, date, source), on entre dans une

procédure de traitement qui doit permettre de clôturer au plus tôt l’incident en minimisant

ses effets (Christian Jimenez& al, 2008 :106).

1.2.4. Les indicateurs de risques

Selon Dan Chelly & al (2008 :111), les indicateurs de risques sont produits et suivis par les

utilisateurs/ entités opérationnels afin de compléter le dispositif d’alerte et d’anticiper les

pertes potentielles futures.

A notre sens trois (3) types d’indicateurs peuvent être utilisés :

les indicateurs à valeur qui visent à suivre l’évolution du risque lui-même ;

les indicateurs de niveaux qui visent à suivre le dispositif de maitrise du risque en

tant que tel et sa chronologie par étape de mise en œuvre ;

les indicateurs à score qui servent eux à suivre la complétude d’un dispositif de

maitrise des risques.

Les indicateurs doivent pouvoir être reliés à la nomenclature des risques afin de permettre

d’initier si besoin des plans d’actions et une réactualisation de la cartographie des risques.

1.3. Le plan d’action de maîtrise des risques

Son objectif est de préciser le planning des améliorations que les responsables doivent

mettre en œuvre. En effet, ils dresseront des stratégies afin d’atténuer ou de prévenir et

prendront des mesures en fonction de la position du risque sur la matrice suivant Baspt& al

(2002 :12).




CONCLUSION CHAPITRE 1

En somme, la revue de littérature effectuée montre que le management des risques ne peut

être efficace que si les conditions ci-dessous sont mises en place et fonctionnent

efficacement :

un environnement interne maitrisé axé sur une culture du risque bien développée,

bien comprise et remportant l’adhésion du personnel et l’appétence pour le risque ;

une fixation des objectifs en adéquation avec l’appétence pour le risque

une identification des événements potentiels susceptibles d’avoir un impact négatif

ou positif sur la réalisation des objectifs, prenant en compte aussi bien le passé que

le futur : cette identification sert de socle à l’évaluation et au traitement des risques.

une évaluation des risques mise en œuvre sur la base de méthode qualitative ou

quantitative et aboutissant à une estimation de la probabilité d’occurrence et de

l’impact aussi bien des risques inhérents que des risques résiduels ;

un traitement des risques prenant en compte toutes les solutions susceptibles d’être

retenues : évitement, acceptation, réduction ou partage ;

des activités de contrôle privilégiant une veille proactive sur la réalité de la mise en

œuvre des traitements de risque convenus ;

des informations et communications pertinentes circulant de manière

multidirectionnelle, ascendante, descendante et transversale ;

un pilotage réalisé soit par le biais d’un dispositif fonctionnant en continu, soit par

le biais d’évaluations spécifiques aboutissant à un reporting sur les défaillances du

dispositif de management des risques.

L’efficacité du processus de management des risques requiert en outre, l’implication de

tous les acteurs de l’entreprise. Les uns en tant que propriétaires des risques, les autres en

tant qu’évaluateurs du processus.

Toutefois, malgré les opportunités qu’offrent un tel processus de management des risques,

certaines limites subsistent. Ces dernières résultent notamment:

d’une erreur de jugement dans la prise de décision ;

du nécessaire arbitrage à effectuer entre les couts des traitements de risques

envisagés et les bénéfices attendus ;




de contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs

individus ;

de faiblesses potentielles dans le dispositif dues aux défaillances humaines.




CHAPITRE 2 : LE ROLE DE L’AUDIT INTERNE DANS LA GESTION DES

RISQUES

Aujourd’hui, les organisations ont une attente forte sur la qualité des prestations fournies

par chacune des fonctions qui les composent et ces attentes évoluent.

Face à ces enjeux, L’audit interne joue un rôle essentiel dans la recherche de la

performance. En effet, cette fonction a connu une nette et profonde évolution ces dernières

années : D’abord perçu comme un organe de contrôle, de vérification voire de sanction,

l’AI a su apporter de la valeur ajoutée à travers des missions qui lui confère une véritable

force de proposition et de conseil

Toutefois, la réalisation des objectifs de performance et de rentabilité de toute organisation

demeure tributaire d’un dispositif de management des risques pertinent et met à l’ordre du

jour, l’implication de l’audit interne dans ce processus.

C’est donc à juste titre que Barbier (1999 :22) précise que « la bonne fin des objectifs que

se fixe l’organisation est soumise à des risques sans cesse renouvelés qu’il convient

d’identifier et de gérer au mieux »

La définition de l’AI présenté par l’IIA situe clairement l’AI comme partie prenante dans

la dynamique de maitrise des risques de toute organisation.

Pour RENARD (2010 :103) l’objectif prioritaire de l’audit interne reste l’évaluation du

processus de management des risques donc l’évaluation du contrôle interne qui en est le

produit fini.

Il s’agit pour l’auditeur notamment d’émettre un « avis indépendant » sur l’adéquation,

l’application et l’efficacité du dispositif de gestion des risques mis en place.

Pourtant la convergence entre les fonctions d’audit interne et de « risk managers » demeure

flagrante et laisse entrevoir la nécessité d’une bonne délimitation même si les frontières

ainsi tracées ne sont pas immuables d’une organisation à l’autre.

Ce chapitre nous permettra d’une part le rôle de l’audit interne dans le management des

risques et d’autre part de circonscrire son action dans la gestion des risques.




2.1. Gouvernance, méthodologie et procédures en matière de gestion des risques

La gestion de risques a fait l’objet de préoccupations et d’une attention grandissantes et il

est devenu de plus en plus évident qu’une ligne directrice soit suivi afin d’identifier,

évaluer et gérer les risques en toute efficacité. Cette section s’articulera autour de 2

thèmes : la gouvernance et les méthodologies et procédures en matière de gestion des

risques.

2.1.1. Gouvernance de la gestion des risques

La gestion des risques est l’une des composantes de la stratégie et de la culture de

l’entreprise. A cet égard, il importe d’accorder une place prépondérante aux questions

relatives à la sélection, à la mesure et au suivi des risques générés par l’activité.

Pour cela, l’entreprise doit désigner un responsable de la mesure, de la surveillance et de la

maitrise des risques pour l’ensemble de l’entreprise. Ce dernier est indépendant et doit

avoir une expérience suffisante pour influer sur le processus de décision. L’entreprise, pour

avoir une gouvernance d’entreprise efficace doit se doter de ses bons usages suivants :

renforcer l’implication des organes exécutifs et délibérants ;

déterminer la tolérance aux risques ;

mettre en place un dispositif de mesure, de surveillance et de maitrise des risques ;

indiquer le rôle du responsable de la filière risques ;

mettre à disposition les ressources de la filière risques ;

diffuser une culture développée du risque au sein de l’entreprise.

2.1.2. Méthodologies et procédures en matière de gestion des risques

L’entreprise doit mettre en place des systèmes et procédures internes aussi efficaces et

fiables que possible lui permettant de mesurer, surveiller et gérer l’ensemble des risques

encourus. Ce dispositif aura pour objectif de favoriser la vision transversale des risques à

travers les différentes entités, lignes de métier et portefeuilles.

L’entreprise doit veiller à l’existence de systèmes et procédures qui favorisent une

circulation effective des informations. Cela s’explique à travers:

l’identification et la mesure des risques ;




l’intégration des risques ;

la titrisation et produits structurés.

2.2. L’audit interne et le management des risques: des méthodes complémentaires

Il est de plus en plus admis que l’audit interne doit créer de la valeur ajoutée pour

l’entreprise, et qu’à cet effet il doit s’aligner étroitement sur les principales préoccupations

des cadres dirigeants et concentrer ses efforts sur les points qui sont essentiels pour la

réussite de l’entreprise. Selon l’IFACI (2002 :25), les auditeurs internes doivent devenir

des « conseillers spécialistes des risques et des contrôles». Ils contribuent donc à créer de

la valeur en aidant activement les dirigeants à identifier et à évaluer les risques, et à mettre

au point les stratégies appropriées en vue de les maitriser ou de les atténuer.

2.2.1. L’organisation de l’audit interne

L’organisation de l’audit interne a été définie pour répondre aux enjeux de la gestion des

risques. L’évolution de cette organisation, soulève un certain nombre de problèmes

complexes notamment en ce qui concerne ses répercussions sur l’indépendance et

l’objectivité de l’audit interne. En effet l’objectivité de l’audit interne n’est pas

compromise lorsqu’il est amené à recommander la mise en place de procédures et de

systèmes de contrôle interne ou à examiner des procédures avant leur mise en application.

L’indépendance permet à l’audit interne de porter des jugements sans partialité et sans

préjugé, ce qui est l’essentiel de la bonne conduite des audits. Par contre, la conception, la

mise en place, l’exploitation de systèmes ne sont pas du ressort du service d’Audit Interne.

2.2.2. Le rôle de l’audit interne auprès des managers

L’audit interne peut aider les managers à fixer les objectifs et à établir les systèmes, en

déterminant si les hypothèses de base sont correctes, si les informations utilisées sont

exactes, à jour et pertinentes, et si des contrôles appropriés ont été intégrés aux opérations

et programmes facilitant la gestion des risques inhérents.

Il existe une nette différence entre le fait de fournir une assistance à ceux qui sont chargés

de concevoir et d’élaborer de nouveaux systèmes et de nouvelles procédures, et le fait

d’assumer ou de prendre les principales décisions concernant la conception et l’élaboration




de ces systèmes ou procédures. A cet égard, les responsabilités des auditeurs internes sont

similaires à celles des consultants.

2.2.3. Le rôle de l’audit interne dans l’identification des contrôles

L’audit interne peut participer à l’identification des contrôles ou à l’évaluation des risques

à plusieurs titres. Les auditeurs internes peuvent intervenir notamment :

en qualité de consultants chargés de guider les dirigeants et le personnel à travers le

processus, généralement dans le cadre d’un programme d’auto évaluation. Leur rôle

consiste alors à organiser et à animer les discussions dans le cadre de groupes de

travail, sans nécessairement s’impliquer dans le processus;

en qualité de membres d’une équipe. Ils font alors partie de groupes plus importants

qui rassemblent souvent des personnes possédant une connaissance concrète des

questions de gestion opérationnelle et des personnes possédant une compétence

technique spécifique;

en qualité d’analystes spécialistes des risques et des contrôles. Ils conseillent alors

les dirigeants sur l’analyse des risques liés à l’activité, et sur la conception et

l’élaboration des stratégies visant à maitriser ou à atténuer les risques;

pour mettre à la disposition des dirigeants des techniques ou des outils utilisés par

l’audit interne pour effectuer l’analyse des risques et des contrôles;

en vue de constituer un centre d’expertise spécialisé dans le management des

risques.

L’audit interne intervient dans ce cas, comme une troisième ligne de défense en évaluant

les dispositifs de gestion des risques et de contrôle permanent mis en place par le

management.

2.3. Audit interne et gestion des risques

L’évaluation des risques, la détermination de niveaux de risque acceptables ou tolérables et

la définition de stratégies de contrôle adéquates font partie des principales responsabilités

des dirigeants. Le rôle de l’audit interne est d’émettre un avis indépendant sur l’adéquation,

l’application et l’efficacité du dispositif mis en place par les dirigeants.




Ainsi, recommander la mise en place de procédures, de système de contrôle et

d’optimisation du dispositif de management des risques font normalement partie des

objectifs prioritaires de l’audit.

Toutefois la modalité d’Application 2100-3 précise que le rôle de l’audit interne dans le

processus de management des risques d’une organisation peut évoluer dans le temps et

revêtir les formes suivantes :

aucune intervention ;

audit du processus de management des risques dans le cadre du programme d’audit

interne ;

soutien actif et continu, et participation au processus de management des risques,

notamment dans le cadre de comités de surveillance, d’activités de suivi et de

l’émission de rapports concernant le processus ;

gestion et coordination du processus de management des risques.

Nous présenterons ci-dessous, différentes déclinaisons du rôle de l’audit interne dans la

gestion des risques.

2.3.1. Implication de l’audit interne dans le processus de management des

risques

Selon la Modalité Pratique d’Application 2100-4, en l’absence de processus de

management des risques « les auditeurs internes peuvent, s’ils y sont invités, jouer un rôle

proactif en participant à la mise en place initiale d’un processus de management des

risques au sein de l’organisation. »

A cet effet, la participation de l’audit interne au cours du projet de cartographie des risques

se résume généralement en :

donnant l’assurance sur la présence effective d’un processus de management des

risques ;

donnant l’assurance que les risques sont correctement évalués ;

évaluant les processus de management des risques d’entreprise ;

évaluant le reporting des risques principaux ;

revoyant le management des risques principaux.




Toutefois, il convient de différencier le rôle proactif de l’auditeur dans la mise en place et

la gestion d’un dispositif de management des risques, du rôle de « responsables des

risques ». Au risque d’être juge et parti et d’altérer son indépendance.

2.3.2. L’appréciation du contrôle interne

La définition du contrôle interne montre les objectifs préalables que l’audit devrait

chercher à atteindre. Pour ce faire, évaluer le contrôle interne de l’entreprise vise à

s’assurer que, à tous les niveaux de l’entreprise, les objectifs de contrôle sont atteints par la

mise en place de procédures appropriées définies dans le cadre du manuel de procédure et

effectivement appliquées par le personnel(BARRY,2009 :16). En outre BARRY (2009 :16-

17) ajoute que l’évaluation du contrôle interne permet la détection :

des points forts du système de contrôle mis en place par l’entreprise ;

des zones de faiblesse du contrôle interne qui sont susceptibles d’entrainer des

dysfonctionnements dans l’entreprise et avoir des impacts négatifs sur la fiabilité

des informations.

Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du

contrôle interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de

passifs qui en résultent comporte deux phases essentielles :

l’appréciation de l’existant : elle consiste à comprendre les procédures de

traitement des données et les contrôles internes manuels et informatisés mis en

place dans l’entreprise. Elle se déroule comme suit :

prise de connaissance détaillée du système ;

vérification par des tests que les procédures décrites et les contrôles

indiqués sont appliquées ;

évaluation des risques d’erreurs ;

identification des contrôles internes ;

évaluation des contrôles internes ;

l’appréciation de la permanence du contrôle interne : elle consiste à vérifier le

fonctionnement des contrôles internes sur lesquels l’auditeur doit s’appuyer

pour effectuer sa mission. Elle se réalise ainsi :




vérification par des tests de l’application permanente des procédures

(test de permanence) ;

formulation définitive du jugement à partir de l’évaluation des

conclusions des précédentes phases.

L’évaluation des dispositifs de contrôle est effectuée par l’utilisation de trois techniques à

savoir : les examens de l’évidence du contrôle à travers l’inspection des documents ou les

tests d’existence, les tests de cheminement et l’observation de l’existence du contrôle de

premier niveau.

2.3.3. Intégration du contrôle interne dans le dispositif de management des

risques

Le contrôle interne fait partie intégrante du dispositif de management des risques qui

constitue ainsi un solide référentiel conceptuel pour la direction. Selon l’IFACI in COSO II

(2005 :312) Le management des risques élargit la notion de contrôle interne tout en

s’appuyant sur celui-ci pour former un concept plus solide, axé d’avantage sur le risque.

Le contrôle interne et le management des risques prévoient trois catégories d’objectifs :

opérationnels, d’information financière et de conformité. Au niveau de l’information

financière, le management des risques va plus loin que le contrôle interne(information

financière=fiabilité des états publiés) en intégrant tous les rapports produits par une

organisation, diffusés en interne comme en externe. Le management des risques prévoit

une nouvelle catégorie d’objectifs d’un niveau plus élevé : les objectifs stratégiques. Ces

derniers découlent de la vision de l’organisation et les objectifs opérationnels de reporting

et de conformité doivent être en adéquation avec les premiers. Il fait aussi partie intégrante

de tous les travaux visant à l’atteinte des objectifs des trois autres catégories

(opérationnels, d’information financière et de conformité).

2.3.4. Le rôle de l’analyse des risques dans l’évaluation du dispositif de

contrôle interne

L’analyse des risques a toujours été un élément clé, implicitement du moins, du processus

d’évaluation du dispositif de contrôle interne. Un processus d’évaluation axé sur les

risques comporte nécessairement les phases suivantes :




analyse de l’activité concernée ;

identification et évaluation des risques inhérents encourus ;

vérification de l’existence des contrôles internes, constitution d’une

documentation et évaluation de la qualité de ces contrôles notamment à l’aide

de tests ;

évaluation des points faibles rédaction d’un rapport et émission de

recommandations en vue de l’amélioration du dispositif le cas échéant.

Selon l’IFACI(2002: 32),les principales étapes de la phase d’évaluation du dispositif de

contrôle sont :

identifier les contrôles ou les stratégies d’atténuation des risques qui peuvent être

mis en œuvre pour contrer les principaux risques recensés. Cette étape peut

consister à dresser la liste des contrôles possibles dont on suppose l’existence, ou

faire l’inventaire des contrôles qui sont censés exister ou dont on prétend qu’ils

existent ;

déterminer quels sont les contrôles réellement en place, et quels sont ceux qui

paraissent les plus importants autrement dit les contrôles clés ;

vérifier si les contrôles sont appliqués, et s’ils sont suffisants, fiables et efficaces en

pratique. Mesurer leurs limites et évaluer le degré d’assurance qu’ils permettent

d’obtenir.

Rapprocher les contrôles en place avec les éléments suivants :

lois, réglementations, normes externes, contrôles attendus selon les

meilleures pratiques, technologies disponibles etc.… ;

contrôles qui sont censés exister ou dont on prétend qu’ils existent en

fonction des référentiels internes ;

risques évalués et zone de vulnérabilité ;

coût prévisionnel de la mise en place des contrôles comparé aux avantages

de la réduction des risques en fonction du degré et des types de risques

jugés tolérables par les dirigeants.

L’analyse des risques est une étape fondamentale de l’évaluation du contrôle interne.

L’audit interne contribue au management des risques, en intégrant dans ses travaux

l’identification des risques et la recommandation de contrôles appropriés, même lorsque les

dirigeants n’ont pas expressément mis en place un processus de management des risques.




2.3.5. Évaluation du processus de management des risques

L’évaluation du processus de management des risques prend souvent la forme d’auto-

évaluation. La personne en charge d’une fonction rend compte de l’efficacité du dispositif

de management des risques de son périmètre d’activités. Évaluer le dispositif de

management des risques revient à s’attacher en premier lieu à la pertinence du dispositif

puis de son fonctionnement.

Pour ce faire, une méthodologie doit être adoptée par l’entreprise et cela lui permettra de

mettre en place plus aisément le processus de management des risques.

L’auditeur interne viendra en appui pour s’assurer de la bonne compréhension de cette

méthodologie par les agents de l’entreprise. Il doit aussi s’assurer que le processus de

management des risques respecte ces 5 objectifs :

les risques découlant des stratégies et des activités de l’organisation sont identifiés

et hiérarchisés ;

le management et le conseil ont déterminé un niveau de risque acceptable pour

l’entreprise ;

des mesures d’atténuation des risques sont définies et mises en place ;

un suivi permanent des activités est effectué afin de réévaluer périodiquement les

risques et les contrôles permettant de les gérer ;

des rapports concernant les résultats sur les processus de management des risques

doivent être produits et adressés périodiquement au conseil et au management.

La Modalité Pratique d’application 2110-1(2006 :84) stipule que l’auditeur interne doit

disposer d’éléments suffisamment probants pour acquérir l’assurance que les 5 objectifs

des processus de management des risques sont bien remplis. Pour recueillir ces éléments,

celui-ci peut recourir aux procédures d’audit suivantes :

rechercher et examiner des documents de référence sur les méthodes de

management des risques et apprécier si ils sont en accord avec les meilleures

pratiques du secteur d’activité ;

examiner les procédures ainsi que les procès-verbaux afin de déterminer la stratégie

de l’entreprise, son approche du management des risques, son appétit pour le risque

et son acceptation du risque ;




examiner les rapports d’évaluation des risques antérieurs établis par les auditeurs

internes et externes ;

organiser des entretiens avec les responsables et les managers afin de déterminer les

objectifs de chaque branche d’activité, les risques correspondant et les mesures de

suivi et de contrôle mis en place à cet effet ;

s’assurer que tous les risques sont traités de façon exhaustives par le management ;

apprécier l’efficacité du processus d’auto évaluation mis en œuvre par le

management au moyen d’observations et de tests.

2.3.6. Audit du processus de management des risques

Selon l’IFACI (2002 :27), pour apprécier si le dispositif mis en place par l’organisation est

suffisant pour permettre une évaluation correcte des risques, l’auditeur interne doit

rechercher :

dans quelle mesure des objectifs ont été fixés et communiqués au personnel, tant au

niveau des organisations de l’entreprise qu’au niveau des activités, et s’ils sont

étayés par des stratégies, des plans et des budgets cohérents ;

s’il existe des dispositifs appropriés permettant d’identifier, d’analyser et d’atténuer

les principaux risques liés à l’activité et provenant tant de sources externes que de

sources internes ;

s’il existe des dispositifs permettant d’identifier les changements courants ou

exceptionnels susceptibles d’affecter la capacité de l’organisation à atteindre ses

objectifs, et d’y apporter des réponses.

C’est en cela que le management des risques doit être considéré comme un sujet à part

entière de l’audit interne dans tous les domaines d’activité de l’organisation.

2.4. Examen du dispositif de management des risques mis en place par

l’entreprise

Un management efficace des risques nécessite la mise en place d’un dispositif au niveau de

l’entreprise. A défaut de dispositif, les risques ne peuvent être analysés, divulgués,

comparés et gérés d’une manière efficace et cohérente à tous les niveaux de l’organisation.




L’IFACI (2002 :28) stipule que les principaux éléments d’un dispositif de management des

risques sont les suivants :

des politiques et des directives claires et cohérentes en matière de management des

risques ;

des moyens adaptés à la diffusion d’informations sur les risques et à leur analyse ;

Une définition claire des responsabilités et des pouvoirs en matière de management

des risques, et leur attribution à des personnes clés ;

des programmes et des procédures de management des risques cohérents ;

un dispositif adéquat de suivi et de revue des processus de management des risques

permettant de tirer en permanence les enseignements de l’expérience acquise au

sein de l’entreprise.

L’audit interne du processus de management des risques consiste à examiner le dispositif

global dans le cadre duquel sont exercées les responsabilités liées au management des

risques, ainsi que quelques cas précis sélectionnés à travers l’organisation entière. C’est

dans le cadre des éléments cités ci-dessus que chaque entreprise doit définir ses propres

critères d’évaluation ainsi que les solutions adaptées à sa situation, à sa culture et à son

style de management.





Il était indispensable de présenter l’AI pour bien comprendre son fonctionnement et de

montrer les fondements de son implication dans la maitrise des risques. Nous avons ainsi

remarqué que c’est une fonction dont la pratique nécessite des moyens aussi bien humains,

matériels que financiers. De la qualité du personnel, de la disponibilité des moyens

matériels et financiers dépendra de son efficacité. Nous avons aussi montré que l’AI est

une fonction en pleine évolution, centré sur les enjeux majeurs de l’entreprise.

Le rôle des auditeurs internes dans la gestion pérenne des risques est tributaire de la

maturité du processus de gestion des risques mis en place dans l’organisation. Il peut dès

lors aller d’une absence totale de participation à une trop forte prise en charge de ce

processus au détriment de son indépendance.

Toutefois les limites de son implication demeurent incontestableset nécessitent une

attention particulière des auditeurs afin d’éviter de se substituer aux gestionnaires des

risques.

Ainsi l’IIAprécise que la gestion des risques par l’auditeur interne ne devrait outrepasser :

la définition du périmètre de l'appétit pour le risque;

la prise des décisions sur les réponses aux risques;

la mise en œuvre des réponses au risque;

la responsabilité de la gestion des risques incombe au riskmanager.

Par ailleurs l’audit interne est impliqué dans le développement des dispositifs de contrôle

et dans la recherche de l’efficacité et de la performance.

Pourtant les professionnels s’accordent pour dire que le rôle de l’audit interne dans le cadre

du management des risques devrait se limiter à formuler une opinion sur l’adéquation du

dispositif de management des risques lorsque celui-ci existe. Pour

Renard(2009 :103)l’objectif prioritaire de l’audit interne reste l’évaluation du processus de

management des risques, donc l’évaluation du contrôle interne qui en est le « produit

fini ».

Pour ce faire, l’audit interne s’implique dans les sections suivantes :




fournir une assurance raisonnable quant à la conception et à l’efficacité du

processus de management des risques ;

fournir une assurance raisonnable quant à la correcte évaluation des risques ;

évaluer le processus de gestion des risques ;

évaluer le reporting sur le statut des principaux risques ;

faire la revue des contrôles susceptibles de mitiger certains risques.




CHAPITRE 3 : METHODOLOGIE DE L’ETUDE

Le présent chapitre se propose d’élaborer un modèle d’analyse sur la base de la revue de

littérature effectuée dans les chapitres précédents. Les différentes opinions passées en

revue nous ont permis de découvrir les facteurs d’une gestion pérenne des risques et de

comprendre l’action de l’audit interne dans le processus de gestion des risques.

A présent il convient de présenter une méthodologie de recherche qui nous permettra de

voir comment l’audit interne prend part à la gestion pérenne des risques à MOOV-CI.

Ce chapitre est subdivisé en trois sections et présente dans un premier temps le modèle

d’analyse, dans un second temps les variables étudiées, et enfin les outils de collecte des

données.

3.1. Le modèle d’analyse

Le modèle proposé a pour objet d’une part de définir les étapes du processus de

management des risques et d’autre part de mettre en exergue des pistes d’amélioration de

la performance dudit processus.

L’hypothèse retenue est qu’une analyse efficace du processus de gestion pérenne des

risques s’apprécie à travers : l’évaluation du contrôle interne, par la définition des priorités

d’action sur la base de la cartographie des risques, l’adoption d’une approche par les

risques lors de l’établissement des plans d’actions correctifs.

Cette hypothèse a été retenue car elle met en évidence la démarche la plus appropriée à

utiliser dans une optique de gestion pérenne des risques par l’audit interne. En effet cette

hypothèse décrit les étapes à suivre par l’audit interne afin de s’assurer que les ressources

dont dispose l’entreprise sont mises à contribution afin de gérer au mieux les risques.

Notre modèle repose sur deux types de variable d’actions :

une variable dépendante ;

des variables indépendantes.




3.1.1. La variable dépendante

Notre variable dépendante qui est la gestion des risques, peut être analysée sur trois (3)

axes :

identification des risques à partir des objectifs de l’entreprise ;

mesure des risques et de leur impact sur la réalisation des objectifs prédéfinis ;

les stratégies les mieux appropriées afin de traiter les risques :

l’acceptation du risque ;

la réduction du risque ;

l’évitement du risque ;

le partage du risque.

En effet, nous comptons mettre en exergue ces trois axes qui constituent le processus de

gestion des risques. Ces principaux axes de notre variable dépendante, nous permettent de

déterminer les facteurs qui influent le processus de gestion des risques.

3.1.2. Les variables indépendantes

Elles sont constituées d’éléments qui influencent effectivement le processus de gestion des

risques. L’un des éléments caractéristiques des variables indépendantes est que

l’organisation peut agir sur ces dernières.

Ces variables indépendantes sont :

contrôle interne : ensemble de procédures mis en place afin d’assurer la protection

du patrimoine ;

environnement interne: il constitue le fondement structurel sur lequel peuvent

s’appuyer tous les autres éléments du dispositif de management des risques ;

plan d’action /pilotage : mise en place des actions correctives et de surveillance.




3.1.3. Le modèle d’analyse

Sur la base de la revue de littérature, nous avons représenté schématiquement ci-dessous la

façon dont notre étude sera menée.




Figure 1 : Le modèle d’analyse

PROCESSUS PHASES ETAPES OUTILS

Préparation de l’étude Notions sur le management des risquesLectures des statuts et des Analyse documentaire Prise de connaissance de l’entité rapports de MOOV-CI L’interview

Observation physique

Diagramme de circularisation Les tests de conformité La réalisation La description de la gestion des risques QCI

L’analyseL’analyse du processus de gestion des risquesvariable dépendanteLe tableau des risques Variables indépendantes

La finalisation Les recommandations

Source : nous-mêmes

Analyse de la mission

Analyse de la gestion des

risques

- contrôle interne - environnement interne - plan d’action/ pilotage




3.1.4. Les indicateurs de mesure

Atteindre l’objectif de recherche, dépend du choix des variables. Pour mesurer ces

variables indépendantes, nous utiliserons les indicateurs suivants :

3.1.4.1. Dimension contrôle interne

Ses indicateurs de mesures sont: existence d’un organigramme général et par direction,

existence d’un manuel de procédures; existence d’un comitéd’audit, existence d’un conseil

d’administration, existence d’objectifs, existence de contrôles afférents, existence d’outils

deprévention et de détection de mauvais comportement de nouveaux recrus, existence

d’unestructure de formation, existence de budgets, existence de structure chargée du

contrôle et dusuivi des budgets, existence d’une cartographie des risques.

3.1.4.2. Dimension environnement interne

Ses indicateurs de mesures sont : existence d’une culture en matière de management des

risques, l’appétence pour le risque, la surveillance exercée par le Conseil d’Administration,

l’intégrité, les valeurs d’éthiques, la compétence du personnel, la politique de délégation de

pouvoirs et de responsabilités.

3.1.4.3. Dimension plan d’action et pilotage

Ses indicateurs de mesures sont: existence de dispositif d’autocontrôle par les métiers,

existence de pilotage en continu et d’évaluation spécifique, existence des résultats

provenant du pilotage en continu, de la compétence et de l’expérience du personnel.

3.1.4.4. Les outils de collecte et d’analyse des données

Notre étude qui s’est déroulée à la Division Qualité&Audit Interne de MOOV-CI, nous a

permis de rencontrer les personnes impliquées dans le processus de facturation. Nous

avons utilisé différentes méthodes pour la collecte de nos informations à savoir : interview,

l’observation physique, l’analyse documentaire, le questionnaire de contrôle interne, la

grille de séparation des tâches, les tests de conformité et de permanence, la feuille

d’analyse et de révélation des risques etc.




3.2.1. Les outils de collecte des données

Les outils de collecte des données sont des méthodes et techniques utilisées en vue

d’obtenir un maximum d’information sur MOOV-CI, particulièrement sur le rôle de ‘audit

interne dans la gestion pérenne der risques à travers le processus de facturation. Nous

avons utilisé à cet effet, l’analyse documentaire, l’interview et l’observation physique.

3.2.1.1. L’analyse documentaire

Nous avons consulté durant notre stage les documents suivants :

Les procédures sur la facturation (mise à jour en 2012) ;

l’architecture du réseau (24/09/12) ;

guide des activités de contrôle (2011) ;

le manuel qualité (23/03/11) ;

la cartographie des processus (23/03/11) ;

l’organigramme (mis à jour en 2012).

A travers l’étude de la documentation de MOOV-CI nous identifierons les différents

concepts liés à son activité de facturation faites aux clients et les différentes mesures prises

en matière de contrôle interne.

L’analyse des documents nous permettra d’avoir un aperçu sur l’importance et le

fonctionnement du processus de facturation ainsi que les risques qui lui sont liés et le mode

de gestion de ces risques.

3.2.1.2. L’interview

L’interview est un entretien avec une personne en vue de l’interroger sur ses activités, ses

idées, etc., dans le but de recueillir ses opinions. Cet outil est très déterminant dans notre

étude pour une bonne qualité des informations spécifiques recherchées ou détenues par des

personnes ressources.Les interviews réalisées auprès des agents ont eu pour objectifs d’une

part, de nous amener à connaître et à comprendre les activités au sein de l’entreprise et

d’autre part, d’avoir une idée duprocessus de facturation tout en appréhendant ses risques

et les dispositifs de contrôle interne existants. Ces entretiens ont souvent pris la forme de

questionnaires libres en raison de la disponibilité des interlocuteurs.




Tableau 1: Récapitulatif des personnes interviewées

Service Responsabilité Effectif de

l’échantillon

Effectif

total %

Objectifs de l’entretien

L’objectif principal est de se familiariser avec l’environnement de contrôle du processus à contrôler.

Opérations

Chef de service

Opérations

1

12

7,33%

Prendre connaissance

des contrôles de

supervision mis en

œuvre dans son activité

Responsable

facturation 1 4

Comprendre les

interactions entre son

activité et la production

des factures par la

Direction des Systèmes

d’Information.

Responsable

commande, activation

et livraison

1 6

Comprendre la

méthodologie de

provisionning et les

risques liés au sous

processus commande,

activation.

Revenue

assurance

Chef de service

revenue assurance 1 4 25%

Lister les contrôles mis

en œuvre par le revenu

assurance sur le

processus facturation.

Production

Chef de service

production 1 4 25%

Mieux appréhender le

dispositif de génération

des factures postpaid

via le billing.





3.2.1.3. Observation physique

L’observation physique nous permettra d’une part de comprendre et de valider les

informations recueillies lors de l’interview sur les différentes étapes du processus de

facturation (qui débute par la commande, l’activation et la livraison des services et se

termine par la facturation en elle-même) ; et d’autre part elle consistera à travers l’examen

du traitement de certaines opérations de facturation, d’appréhender les différents risques et

d’avoir une idée du respect des procédures mis en place par MOOV-CI. Ainsi nous

observerons attentivement les tâches effectuées par les différents acteurs du processus, cela

nous permettra de comparer ce qui est décrit lors de l’interview et ce qui est réellement

fait.

3.2.2. Les outils d’analyse des données

La collecte des données terminée, il faut passer à leur analyse par le biais de questionnaire

de contrôle interne adéquat et précis et les récapituler dans un tableau des risques, à partir

de test d’existence et de permanence. Les outils que nous avons utilisés sont :

les tests d’existence et de permanence ;

le questionnaire de contrôle interne ;

le tableau des risques.

3.2.2.1. Les tests de conformité et de permanence

Ces tests seront très utiles pour s’assurer d’une part que les dispositifs de contrôle interne

ont été appliqués, ainsi ils permettront de remonter à la source en passant par toutes les

phases intermédiaires, et d’autre part ils permettront de s’assurer que les opérations sont

toujours traitées conformément à ce qui a été décrit lors des entretiens.

A travers la méthodologie de recherche nous avons défini les différents outils qui nous

seront nécessaires pour corroborer l’implication de l’audit interne dans le processus

facturation, dont nous aborderons les aspects pratiques dans la deuxième partie de notre

étude.




3.2.2.2. Questionnaire de contrôle interne

Le questionnaire de contrôle interne vise la détermination des forces et faiblesses

apparentes du contrôle interne. Pour limiter les risques de surfacturation ou d’erreurs sur

les factures, et assurer du caractère suffisant des moyens de protection mis en œuvre, nous

ferons usage d’un questionnaire de contrôle interne. Ce questionnaire nous permettra

d’évaluer le dispositif de maitrise des risques de MOOV-CI en matière de facturation. Il

sera rempli à l’issue des interviews exécutées.

3.2.2.3. Le tableau des risques

Le tableau des risques nous a servi pour l’identification des risques opérationnels. Il nous a

permis d’associer à chaque tache, les risques potentiels lorsque l’objectif n’était pas atteint.

Devant chaque tache, ils seront exposés l’enjeu fixé, le risque ou les risques encourus, la

ou les conséquences opérationnelles et le niveau de risques.





Ce chapitre nous a permis d’illustrer notre modèle d’analyse qui comprend une variable

dépendante, la gestion des risques, sur laquelle des variables indépendantes ont un impact.

En agissant sur ces variables indépendantes, nous pourrions améliorer la gestion pérenne

des risques de MOOV-CI.

Des techniques et outils tels que les questionnaires, interviews, observations, les tests de

conformité, nous permettront d’analyser le processus de gestion des risques.




CONCLUSION DE LA PREMIERE PARTIE

De plus en plus, des chefs d’entreprises se soucient de la maîtrise des risques qui gravitent

autour de leurs activités et veulent avoir plus d’informations fiables et actualisées sur ces

risques, afin de motiver leur choix dans leur prise de décision.

C’est dans ce cadre, que le rôle de l’auditeur devient incontournable dans l’assistance au

management, dans la déclinaison de sa stratégie et dans ses opérations courantes. Il met en

évidence les failles du contrôle interne et aide à limiter la tendance issue du « toujours plus

vite » ou « du moins de contrôle ».

En effet l’audit interne à travers les éléments de management des risques, contribue à la

réalisation des objectifs de performance, de rentabilité de l’organisation et à la

minimisation des pertes. Ce faisant, le management des risques protège l’image de l’entité

et lui épargne les conséquences néfastes d’une perte de réputation. Un déploiement correct

d’un dispositif de management des risques, permet à l’organisation d’être mieux armée

pour atteindre ses objectifs et éviter les écueils et les impondérables.


DEUXIEME PARTIE :

CADRE PRATIQUE DE L’ETUDE




L’Afrique est à la croisée des chemins, l’accès aux télécoms a nettement progressé et a pris

une ampleur considérable dans l’économie de l’Afrique et de la Cote d’Ivoire en

particulier.

Dans ce contexte marqué par un regain d’activité du secteur de la téléphonie mobile, les

opérateurs et les fournisseurs de contenus mobiles doivent désormais faire face aux enjeux

et aléas que cet essor leur impose. Il s’agira pour eux de :

répondre aux attentes des professionnels qui ont un besoin réel de nouveaux outils

de communication;

mettre en place un mode de facturation qui sera plus adaptée aux besoins de la

population ;

réussir l’évolution technologique avec l’introduction de la 3G.

Pour faire face aux aléas inhérents à la croissance de son secteur MOOV-CI, a besoin de

solutions adéquates pour juguler cet autre type de challenge et atteindre ses objectifs.

Ainsi, elle s’est dotée d’une fonction « Revenue Assurance » qui a pour objectif essentiel :

la réduction des risques de pertes de revenue.

Pour se faire, la deuxième partie se décompose en trois chapitres. Le chapitre 4 va être

consacré à la présentation d’AtlantiqueTélécom(MOOV-CI). Le chapitre 5, quant à lui,

décrit de façonsuccinctel’analyse du processus dans la gestion pérenne des risques de

MOOV-CI. Enfin le chapitre 6, s’intéressera d’une part à l’analyse du dispositif de maîtrise

des risques au sein de ladite structure,base essentielle de notre travail, et d’autre part à

l’évaluation du dispositif et des recommandations découlant de notre étude.




CHAPITRE 4 : PRESENTATION GENERALE DE ATLANTIQUE TELECOM-CI

Ce chapitre est consacré à la description générale d’Atlantique Télécom Côte d’Ivoire.

Son objectif est de situer son environnement afin de mieux cerner l’importance de la

démarche de l’audit interne dans la gestion pérenne des risques. Cette description est faite

à partir de ses structures et de son organisation en générale et par le fonctionnement de la

division Qualité et Audit interne.

4.1. Historique et évolution

Atlantique Télécom CI, est une filiale du Groupe Atlantique Télécom dont l’actionnariat

est détenu à 100% par le Groupe Etisalat (leader de la téléphonie aux Emirats Arabes

Unis).

Spécialisé dans le secteur de la téléphonie mobile, le Groupe Atlantique Télécom est

aujourd’hui, présent sur plusieurs marchés dont la population totale avoisine les 60

millions de personnes et est implanté dans les pays suivants :

Niger

Bénin

Centrafrique

Gabon

Côte d’Ivoire

Togo

A ce jour, selon, Jeune Afrique (2011), la base d’abonnés du Groupe Atlantique Télécom

dépasse les 6 millions en Afrique et sa part de marché atteint 43% au Togo, 31% au Bénin,

22% en Côte d’ivoire et au Gabon, 18% en Centrafrique et 14 % au Niger.

Atlantique Télécom– CI a procédé au lancement de ses activités en juillet 2006, à travers

sa marque commerciale MOOV. Avec un capital de 20.000.000.000 de F.CFA, il

revendiquait au 31 Décembre 2011, plus de 3 700 000 abonnés.

Doté d’un parc d’abonnés constitués à plus de 80 % d’abonnés prepaid, Atlantique

Télécom-CI génère un chiffre résultant à 99 % de vente de trafic et à 1% de ventes de

Kits et de terminaux.




Conformément à la pratique dans le secteur de la téléphonie, Atlantique Télécom – CI

effectue de nombreux investissements afin de se doter d’un réseau performant : au 31

décembre 2011, plus de 800 sites avait déjà mis en service pour couvrir près de 500

localités en Côte d’Ivoire.

Afin de tirer profit de l’explosion prévisible des échanges de données informatiques,

Atlantique Télécom – CI a obtenu la licence 3G (haut débit mobile) qu’il compte exploiter

dès le dernier trimestre 2012.

4.2. Missions

La compétence de MOOV-CI dans le domaine de la télécommunication n’est plus à

démontrer. MOOV-CI opte pour la diversification de son offre tout en innovant sur chaque

segment.

Cela se manifeste par une différenciation horizontale au niveau prix et du produit, une

différenciation verticale de la technologie et la tarification. Son atout principal est le fait de

mettre à la disposition de la clientèle un réseau non saturé doté de toutes dernières

avancées technologiques. Tout ce qui est fait de mieux et de futuriste dans le domaine de la

technologie en matière de télécoms se retrouve sur le réseau MOOV: images, sons,

téléchargements, MMS, SMS, etc.

Depuis début juin 2008, MOOV-CI innove avec la technologie Satellite pour permettre à

ses clients de joindre et d’être joignable quel que soit la localité sans tenir compte de

couverture réseau. Ces aspects sont déterminants pour offrir aux clients une qualité de

communication exceptionnelle.




La mission de MOOV-CI est de permettre aux clients de profiter :

d’une expérience technique unique et d’un savoir-faire qui a fait ses preuves ;

de l’accès à des technologies de pointes, et notamment les technologies GPRS et

EDGE ;

des innovations, notamment MOOVSatellite ;

des Tarifs Ultra compétitifs grâce à des synergies entre deux groupes Leaders ;

desServices à Valeur Ajoutées.

Cette mission est exécutée par des ressources dont nous donnerons un aperçu de

l’organigramme ci-après.

4.3. Organisation générale de MOOV-CI

Atlantique Télécom–CI a une structure pyramidale et est organisé en sept(7) grandes

directions, chacune composées de divisions (annexe 1). Selon Yvon MOUGIN (2004 ; 7)

nous ne devons plus considérer une organisation comme un ensemble disjoint d’activités

mais comme un ensemble de processus étroitement corrélés. C’est en cela que MOOV-CI a

su intégrer l’approche processus pleinement dans sa structuration (annexe 2).Les processus

nécessaires au bon fonctionnement du Système de Management de la Qualité de

Atlantique Télécom-CI sont répartis en 3 catégories principales :

les processus de management :utilisés par la direction pour le pilotage de

l’entreprise et du système de Management de la qualité ;

les processus de réalisation : constituent le cœur métier de Atlantique Télécom-CI

et apportent une valeur ajoutée directement perceptible aux produits et/ou services ;

les processus supports : fournissent les ressources (humaines, matérielles, etc.)

nécessaires au fonctionnement des autres processus.

4.3.1. Direction Technique

La direction technique(DT) de MOOV-CI a pour mission principale :

la planification et la réalisation des travaux d’études ;

de construction et d’optimisation du réseau ;




la gestion des travaux d’exploitation de maintenance, d’extension et d’optimisation

du réseau.

Les processus nécessaires au bon fonctionnement de la DT sont au nombre de 2 à savoir :

la planification et la construction du réseau ;

l’exploitation et la maintenance du réseau.

4.3.2. Direction Marketing et Communication

La direction Marketing et Communication assure :

l’élaboration et la mise en œuvre de la politique Marketing et Communication ;

la gestion des relations commerciales avec les autres opérateurs partenaires et

carriers.

Les processus de la direction Marketing et Communication sont :

la conception, le développement et le déploiement des offres ;

la vente et l’achat de trafic aux opérateurs et partenaires.

4.3.3. Direction Commerciale

La direction commerciale avec 80 chargés de la vente, assure les missions suivantes :

la gestion et l’administration de la clientèle ;

la gestion des opérations et de la facturation ;

la coordination des activités clientèles des agences commerciales.

La vente est l’unique processus sur lequel la direction commerciale se focalise.

4.3.4. Direction Comptable et Financière

Elle a pour mission de :

fournir des informations fiables et dans le délai pour la prise de décisions ;

la gestion de la trésorerie, suivi des engagements et la recherche de financements et

l’optimisation des ressources ;




contrôler et piloter l’économie de la filiale ;

acquérir des biens et services, le recouvrement des créances et la garantie des

revenues.

La Direction financière et comptable comprend 3 processus dont :

la gestion comptable et financière ;

l’acquisition des biens et services ;

le recouvrement ;

le revenu assurance.

4.3.5. Direction Administratives et Ressources Humaines

La direction Administratives et des Ressources Humaines(DRH) atrois (3)missions

principales qui sont :

la gestion des ressources humaines ;

la gestion des biens mobiliers et immobiliers ;

la gestion de la sécurité des personnes, des biens et des transactions.

Les principaux processus de la DRH sont :

gérer les ressources humaines ;

gérer les moyens généraux.

4.3.6. Direction Système Informatique

la Direction Système Informatique assure :

la gestion de l’outil de production informatique ;

la définition et la mise en œuvre de la politique de sécurité informatique ;

l’assistance aux utilisateurs ;

le pilotage des projets informatiques

Son unique processus est la gestion du système d’informations.




4.3.7. Direction Clientèle

Elle s’occupe de :

la gestion et de l’administration de la clientèle ;

la gestion des opérations et de la facturation ;

coordination des activités clientèles des agences commerciales.

Les processus nécessaires à son fonctionnement sont :

la facturation ;

la gestion des requêtes.

4.4. La division Qualité & Audit Interne(DQAI)

C’est cette division qui nous a reçu pour effectuer notre étude, il a aussi constitué

l’essentiel des travaux réalisés.

4.4.1. Missions du service Audit

Les missions du service Audit se déclinent comme suit :

de mettre en place un planning annuel d’audit ;

d’établir les programmes détaillés d’audit donnant les priorités d’investigation pour

l’amélioration du contrôle interne et pour guider ce qui pourrait être fait en matière

d’autoévaluation du contrôle interne ;

d’effectuer des contrôles ponctuels sur les différents domaines opérationnels

(Identifier et évaluer les risques inhérents à l’activité) ;

de superviser l’évaluation des procédures opérationnelles existantes afin de les

rendre plus efficaces ;

de superviser la préparation des audits externes : Holding, Etisalat, Organisme de

certification ISO, Auditeurs Ernst & Young, CAC, etc... ;

de suivre la mise en œuvre des recommandations issues des audits internes et

externes.




Notre passage au niveau de la division qualité&audit interne nous a permis de prendre

connaissance du déroulement d’une mission d’audit interne.la division audit interne assure

aussi :

la supervision et l’évaluation des procédures opérationnelles afin de les rendre

plus efficaces ;

la supervision et l’évaluation des processus afin de s’assurer que des dispositions

sont décidées, planifiées et mises en œuvre pour en assurer l’efficacité ;

la mise en place des contrôles et missions ad hoc afin d’avoir une assurance

raisonnable que tous risques inhérents à l’activité sont couverts ;

la définition avec les responsables des structures concernées les travaux

nécessaires pour la préparation des audits externes et s’assurer de la mise en

œuvre des actions définies avant l’audit ;

le suivi des recommandations issues des audits internes et externes ;

toutes les tâches administratives demandées par la hiérarchie afin de contribuer à

la bonne marche de la Division.

4.4.2. Missions du service Qualité

Les missions du service Qualité sont :

élaborer la politique qualité et ses objectifs afin de s’assurer de la déclinaison des

objectifs validés par le Directeur Général à travers les autres structures de

l’entreprise (directions, divisions,…) et processus ;

élaborer une planification annuelle du Système de Management Qualité (SMQ) et

des objectifs Qualité ;

élaborer avec les pilotes de processus, la planification des objectifs Qualité et

suivre la mise en œuvre des plans d’action qui en découlent ;

assurer l’animation du Système de Management Qualité et le bon fonctionnement

des groupes de progrès ;

mettre en place le référentiel de procédures et enregistrements ;

assurer la mise à jour et l’évolution du Manuel de procédures et enregistrements ;

s’assurer par des plans d’action, de la conformité des processus aux exigences

spécifiées ;




s’assurer de l’évolution des processus à travers des revues de performances des

processus ;

rendre compte de l’avancement du SMQ au moyen des revues de directions ;

assurer la préparation des éléments d’entrée de la revue de Direction, élaborer le

rapport et faire le suivi des actions ;

sensibiliser et de former le personnel à la Qualité ;

contribuer à l’élaboration de tableau de bord de l’entreprise et analyser les

indicateurs de performance.

Notre passage au niveau de la division qualité & audit interne nous a permis de prendre

connaissance du déroulement d’une mission d’audit interne et de mieux appréhender le

processus de gestion pérenne des risques mis en place.




CONCLUSION DU CHAPITRE 4

Ce chapitre nous a permis d’avoir une connaissance générale de MOOV-CI.Vue

l’environnement concurrentiel dans lequel il évolue, MOOV-CI se doit d’être performant.

Mais, peut-on être performant, si l’on n’est pas en mesure de maitriser les risques liés à ses

processus ?

Ces interrogations nous amène à envisager la piste d’amélioration qu’est la consolidation

du niveau de performance déjà acquis à travers les différentes actions de l’audit interne.

Il s’agira donc d’analyser le processus de gestion des risques à travers des actions

concrètes qui feront l’objet du prochain chapitre. CESAG - BIBLIOTHEQUE



CHAPITRE 5 : PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOV-

CI

La profession de l’audit interne est en pleine mutation. Sous l’effet de nouvelles

réglementations, le rôle de l’audit interne au sein de MOOV-CI est devenu absolument

central dans création de valeur et la prévention de la destruction de cette même

valeur.Alors même que le champ de ses investigations n’a de cesse de s’étendre

(gouvernance, éthique, responsabilité sociétale) l’audit interne de MOOV-CI doit

confirmer son rôle, tout en maintenant la relation de confiance qui l’unit à la direction

générale.

Dans ce chapitre, nous allons décrire en amont le processus de gestion pérenne des risques

de MOOV-CI en identifiant à chaque étape le rôle de l’audit interne et en aval sa

participation à la mise en place de la cartographie des risques.

5.1. Description du processus de gestion pérenne des risques de MOOV-CI

Dans cette section, nous donnerons le rôle de l’audit interne dans la gestion pérenne des

risques de MOOV-CI à sa démarche et de la mise en place de la cartographie des risques.

5.1.1. Élaboration du plan annuel d’audit

L’audit interne de MOOV-CI établit un plan d’audit fondé sur l’analyse de l’ensemble des

risques de l’entreprise. Pour élaborer le plan d’audit annuel, l’auditeur interne dégage 2

(deux) axes de recherche :

Le système de management des risques : ce premier axe porte essentiellement sur

les outils et les méthodes d’identification et d’analyse des risques de l’entreprise

par le management des risques (cartographie des risques) ;

L’appétence pour le risque : ce deuxième axe se révèle être un plus dans

l’identification des risques et in fine dans l’élaboration de la cartographie des

risques.




5.1.2. Établissement du contexte ou environnement interne de MOOV-CI

L’environnement interne de MOOV-CI a un impact significatif (positif ou négatif) sur la

manière dont la gestion des risques est implanté et mis en œuvre de façon pérenne. L’audit

interne à travers ces missions et de la charte d’audit, inculque aux opérationnels de

l’entreprise :

l’importance de la culture du risque : de l’élaboration de la stratégie globale

déclinée en objectifs jusqu’à sa mise en œuvre au quotidien ;

l’intégrité et les valeurs d’éthiques : qui sont les fondamentaux du comportement de

l’auditeur interne, donnent le ton et influence le comportement des collaborateurs.

5.1.3. Analyse partielle des risques par processus

Au sein de MOOV-CI l’identification et évaluation des risques sont effectuées par les

responsables métiers (chef de service/ département) en collaboration avec la division

maitrise des risques. Quant à l’audit interne, pour mettre en œuvre ces diligences il favorise

l’approche par les risques en élaborant une fiche d’analyse des risques faisant partie du

dossier de travail de chaque audit. Cette fiche précise par tâche élémentaire comme

illustrée dans l’annexe 10 l’objectif du contrôle mis en place, permet à l’audit interne de

rattacher les risques opérationnels à la tâche d’une activité et propose un dispositif de

maitrise des risques en fonction de la cotation du risque.

5.1.4. Évaluation du dispositif de maitrise des risques (DMR) de MOOV-CI

Sur la base de la fiche d’analyse des risques, l’audit interneréévalue le DMR afin de donner

une assurance raisonnable sur :

son effectivité ;

son efficacité ;

son efficience.

Il se base donc sur plusieurs éléments qui peuvent se traduire par :

la politique en matière de gestion des risques définie et documentée par la Direction

Générale ;

un dispositif d’identification et de gestion des risques au quotidien ;




la mise en place d’indicateurs avancés pertinents assurant des alertes sur toute

perturbation d’un processus donné ;

des reporting adaptés au profil de risques de l’entité ;

des évaluations régulières du dispositif par les personnes en charge de son

animation ;

un seuil de signification pour évaluer et comparer chaque dispositif afin

d’améliorer le dispositif de contrôle interne globale.

Toutefois, l’amélioration de la formalisation des travaux demeure une préoccupation du

service d’audit interne.

5.1.5. Communication des travaux d’audit interne

Les travaux d’audit interne sont présentés et communiqués au audité (chef de service/

département) pour action et à la direction générale pour information.Le rapport d’audit

s’accentue dans un premier temps sur les risques majeurs du service audité et dans un

second temps émet des recommandations afin d’améliorer l’activité.

5.2. Pilotage des écarts d’audit interne

A l’issue des missions d’audit, l’auditeur interne, se doit de suivre l’exécution des plans

d’action issues des recommandations .Ce suivi permet de mesurer l’efficacité de ses

travaux, d’alimenter les dossiers d’audits et de parfaire les audits ultérieurs.

La méthodologie de suivi des écarts d’audits mise en œuvre à MOOV-CI s’articule autour

d’une matrice tenant compte des critères suivants :

la récurrence du constat;

le niveau du risque;

la mise en œuvre des plans d’actions convenues.

Ces critères e déclinent en indicateurs visuels (symboles) et en indicateurs quantitatifs

(cotations) comme suit :




Tableau 2 : La récurrence du constat

Libellé Formalisation

graphique Cotations

Ce constat n'avait jamais été relevé

auparavant 0

Ce constat a déjà été relevé au moins

une fois 1

Ce constat est fréquent 2

Source : Service d’Audit Interne Atlantique Télécom-CI

Tableau 3 : Formalisation graphique du niveau de risque

Libellé Formalisation

graphique Cotations

Pas de risques

0

Risques mineurs 1

Risques majeurs 2


la mise en œuvre du plan d’action convenue : les actions convenues se répartissent

en deux types d’actions : les actions correctives et les corrections.

L’évaluation de la mise en œuvre d’un plan d’action se fait selon le principe fondamental

suivant : le traitement complet d’un écart consistera à:

déterminer la cause du dysfonctionnement ou du constat effectué (les facteurs ayant

occasionnés le dysfonctionnement) ;

définir une correction : pour éliminer le dysfonctionnement constaté à l’endroit où

le constat a été effectué (afin de rétablir le service) ;

définir une action corrective : visant à éliminer la cause du dysfonctionnement afin

de prévenir sa réapparition sur d’autres sites ou activités similaires.




Tableau 4 : Présentation du plan d’action convenu

Libellé Formalisation graphique

Plan d’action non réalisé

Plan d’action réalisé à 25 %





Conformément à la procédure DG.QUA.05 : conduite d’une mission d’audit interne, après

la réunion d’acceptation du rapport d’audit et la publication du dit rapport , l’état de suivi

des écarts d’audit est renseigné par un membre du service audit et transmis à l’équipe

audité pour définir les plans d’actions (corrections et actions correctives) susceptible de

mitiger chacun des risque mis en exergue.

L’audité se fait généralement assister par l’équipe afin de remplir au mieux les différentes

colonnes de l’état de suivi. Cet état se présente comme suit :




Figure 2 : Suivi des écarts d’audit interne





A l’issu du suivi effectué, l’audit interne ressort deux types de reporting :

un reportingbi-hebdomadaire à l’attention du chef de service audit et du chef de

division, qui est axé sur les écarts d’audits classés comme suit :

récurrence du constat :Constat est fréquent ;

niveau du risque : Risque majeur ;

mise en œuvre des plans d’actions convenues :plan d’action réalisé à

moins de 50%.

Ce reporting permet d’attirer l’attention sur la réactivité des opérationnels sur les

traitements des risques critiques à travers un suivi de la mise en œuvre des corrections.

Il est le préalable au second reporting qui est décliné par la direction et qui se veut plus

global.

un reporting mensuel émit par le chef de division Qualité et Audit Interne à

l’attention du Comité de direction.

Il présente par direction le taux de mise en œuvre des actions correctives et s’illustre

comme suit :

Tableau 5: Statistiques illustrant l’état de mise en œuvre des corrections et des

actions correctives de la direction technique.


POURCENTAGE

Nombre Total d'actions 57 100% Nombre Total d'actions 57Actions en cours 13 23% Actions en cours 21Actions soldés 44 77% Actions soldés 36Actions echues non soldés 7 12% Actions echues non soldés 12Actions non echues & non soldés 6 11% Actions non echues & non soldés 9

ACTION CORRECTIVECORRECTION

2. Actions d’audits relatifs à la Direction Technique




Figure 3 : Graphique illustrant l’état de mise en œuvre des corrections et des actions

correctives de la direction technique.


Les états ci-dessous donnent lieu à l’émission d’un rapport dont nous présentons ci-dessous

une synthèse au 8 octobre 2012 :




Figure 4 : Synthèse du rapport d’audit interne





En somme, la méthodologie de suivi des écarts d’audit adoptée a plusieurs avantages qui

lui permettent de s’inscrire dans le processus d’une gestion pérenne des risques :

une actualisation continue de l’évaluation des risques détectés lors un processus

d’audit ;

une évaluation continue des pistes d’amélioration issue des travaux d’audit ;

mise en place d’un historique de défaillances sur lequel les risques pourraient

capitaliser pour affiner leur évaluation prochaine des risques ;

mise en place d’une base de constats à revisiter avant tout nouvel audit sur le

processus.

5.3. Participation à l’élaboration de la cartographie des risques

Comme signalé dans la revue de littérature, l’auditeur interne peut être sollicité pour

participer à l’élaboration ou à la mise à jour de la cartographie des risques.

Pour élaborer sa cartographie, AtlantiqueTélécom-CI a choisi de se faire accompagner par

le cabinet Deloitte& touche, nous présenterons ci-dessous, l’approche

méthodologiqueadoptée et les étapes pendant lesquellesl’implication de l’audit interne sera

importante.

Le projet de cartographie ayant pour vocation de couvrir l’ensemble des enjeux et risques

majeurs auxquels MOOV-CI est confronté, l’approche méthodologique adoptée

seradécomposée en quatre (4) étapes :

le cadrage ;

l’identification et l’évaluation des risques ;

l’élaboration de la cartographie des risques;

le suivi des risques et transfert de compétences.

5.3.1. Le cadrage

Cette phase permettra de préparer la mise en place du processus de cartographie des

risques. Lors de cette étape, l’auditeur interne fera partie de l’équipe projet et mettra à

disposition sa base documentaire (plan et rapport d’audit existants,…) et pourra faire




profiter l’équipe projet de sa connaissance de l’environnement de contrôle interne existant

lors des briefings sur chaque processus.

5.3.2. Identification et évaluation des risques

Cette phase qui comprend deux grandes parties constitue l’étape où l’audit interne sera le

plus sollicité.

Tandis que la première partie de cette phase permettra d’identifier les objectifs et les

risques inhérents, la seconde quant à elle sera l’occasion de préciser les risques résiduels,

puis d’utiliser des matrices de cotations homogènes et pertinente et enfin d’hiérarchiser les

risques selon les deux critères identifiés (fréquence-vulnérabilité/gravité-impact).

L’équipe d’audit interne sera notamment sollicité pour permettre sur la base des travaux

déjà exécutée, d’identifier et de qualifier le niveau d’efficacité des points de contrôle

existants.




CONCLUSION DU CHAPITRE 5

Ce chapitre nous a permis de décrire le processus de gestion des risques de MOOV-CI.

Quelle est la démarche à adopter pour une analyse efficace du processus de gestion

pérenne des risques ? Nous répondrons à cette question en analysant le processus de

gestion des risques de MOOV-CI.




CHAPITRE 6 : ANALYSE DU PROCESSUS DE GESTION PERENNE DES

RISQUES DE MOOV-CI

L’entreprise se défini comme une unité économique qui produit des biens et des services

en vue de les vendre afin de couvrir ses charges et de dégager éventuellement un profit. La

clientèle de MOOV-CI est composée de grandes entreprises, des abonnés et des utilisateurs

roaming qui attendent de recevoir un service de qualité.

Cette partie pratique nous permettra d’analyser le processus de gestion pérenne des risques

de MOOV-CI.

6.1. Identification des éléments majeurs du processus de gestion pérenne des

risques de MOOV-CI

Dans cette section seront présentés les trois (3) processus de la gestion des risques à

savoir :

l’environnement interne ;

le dispositif de maitrise des risques ;

le plan d’audit et les diligences d’audit interne.

6.1.1. Examen et évaluation de l’environnement interne de MOOV-CI

L’environnement interne reflète le style d’une organisation. Il constitue le fondement

structurel sur lequel peuvent s’appuyer tous les autres éléments du dispositif de

management des risques. Les éléments de l’environnement interne de MOOV-CI

comprennent :

la culture du risque (point focal) ;

l’appétence pour le risque ;

la surveillance exercée par la direction générale ;

l’intégrité et les valeurs d’éthiques ;

la politique de délégation de pouvoirs et de responsabilités.




Pour savoir à quel point la culture du risque est intégrée à la culture de l’organisation, nous

avons réalisé une enquête portant sur la culture du risque afin de mesurer la présence et les

attributs clés en matière de risque. Elle a été réalisée sur un échantillon de 50 agents

repartis dans les directions suivantes :

direction des Risques ;

direction Administrative et des Ressources humaines ;

direction Commerciale.




Tableau 6: enquête sur la culture du risque à MOOV-CI

" Question Attribut Notation Effectif -- - = + ++

1 Les responsables de mon service donnent un exemple positif en matière de comportement éthique Leadership et stratégie 1.42 Elevée 50 1 3 5 8 34

2 Je comprends la mission et la stratégie globale de l’organisation Leadership et stratégie 1.05 Bonne 50 0 7 10 20 13

3 Des mesures disciplinaires sont prises à l’encontre de ceux dont le comportement n’est pas professionnel

Responsabilité et support 0.21

Mesure nécessaire 36 3 20 5 3 5

4 Le turn over n’a pas eu d’impact significatif sur notre capacité à atteindre nos objectifs Ressources Humaines 0,81 Avertissement 40 4 2 4 20 10

5

Les responsables de mon service sont réceptifs à toutes les informations relatives aux risques (impact positif ou négatif)

Management des risques 0.99 Bonne 50 1 3 5 26 15

Source : Nous -mêmes




Chaque question est notée selon une échelle allant de -2 à +2 qui s’analyse comme suit : -2

pas du tout d’accord (--) ; -1 pas d’accord (-) ; 0 ni d’accord, ni pas d’accord (=) ; +1

d’accord (+) ; +2 Tout à fait d’accord (++). Cet écart est mesuré sur la base du niveau de

consensus entourant une question : plus cet écart est réduit, plus le consensus sur une

question est fort, à l’inverse, un écart important signale un manque de consensus.

Au sein de MOOV-CI l’appétence pour le risque est prise en compte dans la définition de

la stratégie dans la mesure où les résultats de la stratégie doivent être en ligne avec

l’appétence de l’organisation pour le risque. Elle est considérée d’un point de vue

qualitatif, en fonctions de certains critères (élevé, moyen et faible).

Cette enquête et les éléments constitutifs de l’environnement interne nous permettent

d’affirmer que l’approche risque est inscrite dans la ligne directrice du dispositif de

management des risques mis en place par MOOV-CI.

6.1.2. Analyse du dispositif de maitrise des risques de MOOV-CI

Le dispositif de maîtrise des risques est constitué des politiques et procédures qui

permettent de s’assurer que les mesures de contrôle existent et que les traitements des

risques souhaités par la Direction Générale ont été effectivement mis en place. Il englobe

un éventail d’activités aussi diverses que la validation, la vérification, la sécurité des actifs

ou la séparation des tâches. Souvent, une combinaison de plusieurs contrôles est mise en

place afin de répondre aux traitements des risques.

A l’aide du questionnaire relatif à la maitrise des risques (annexe 3), nous avons procédé à

l’évaluation du dispositif de maitrise des risques existant.

Après la soumission du questionnaire nous avons eu les réponses suivantes :




Tableau 7: Questionnaire relatif à la maîtrise des risques

Questions Réponses

Numéro

d’ordre

Oui Non

1. Existe-il des séparations de tâches entre

la personne qui initie une opération et

celle qui la valide ?

X

2. Existe-il un organigramme par

service ? X

3. Les moyens humains sont-ils adaptés à

votre activité ? X

4. Existent-ils des fiches de poste ? X

5. Les délégations de pouvoirs sont-elles

claires et diffusés au sein de MOOV ? X

6. Le système d’information est-il adapté

à votre activité ? X

7. Existent-ils des contrôles de premier

niveau ? X

8. Si oui, sont-ils formalisés ? X

9. Existent-ils des contrôles de second

niveau ? si oui sont-ils formalisés ? X

10. Des reportings sont-ils rédigés et

transmis régulièrement à la Direction

Générale ?

X

11. Existe-il un comité de suivi des risques

au sein de MOOV ? X

12. Existe-t-il une assurance en cas de

sinistre (destruction du magasin de

cartes de recharge…)?

X

Source : Nous-mêmes




Il ressort du questionnaire que le dispositif de maitrise des risques mis en place par

MOOV-CI est globalement performant.

6.2. Evaluation du dispositif de contrôle interne mis en place par MOOV-CI pour

la gestion pérenne des risques

Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise des risques de

l’entité. Il a pour but d’une part d’assurer la protection, la sauvegarde du patrimoine et la

qualité de l’information, et d’autre part l’application des instructions de la Direction et de

favoriser l’amélioration des performances. C’est l’ensemble des dispositifs mis en œuvre

par les responsables de tous niveaux pour maîtriser le fonctionnement de leurs activités.

L'examen du contrôle interne est une phase prépondérante dans l'approche d'audit. Cette

phase permet aux auditeurs d'intervenir sur l'ensemble des procédures de l'établissement et

d'identifier ainsi les zones de risques potentielles.

Comme nous l’avons précisé plus haut, cette étape vise à évaluer la qualité du dispositif de

contrôle interne mis en place par la division Qualité & Audit Interne pour faire échec aux

risques. L’évaluation permet d’établir de manière synthétique que les contrôles mis en

œuvre en vue de couvrir les risques majeurs de l’entreprise sont conformes aux attentes de

l’entreprise.

A l’aide du questionnaire relatif au contrôle interne(annexe 4) et à partir de l’étude des

documents réalisés précédemment, nous avons procédé à l’évaluation du dispositif de

contrôle interne existant.

Après la soumission du questionnaire nous avons eu les réponses suivantes :




Tableau 8: questionnaire relatif au contrôle interne

Questions Réponses

Numéro

d’ordre

Oui Non

1. MOOV dispose-t-il d’un langage

commun en matière de risques

(typologie, homogène, d’analyse et de

suivi) ?

X

2. Existe-t-il une charte d’audit à MOOV-

CI ? X

3. MOOV a-t-il mis en place des objectifs

en matière de gestion des risques ? X

4. Existe-t-il un processus d’identification

des principaux risques ? une

organisation a-t-elle été mise en place à

cet effet ?

X

5. Pour les principaux risques identifiés,

MOOV réalise-il une analyse des

incidences potentielles et du degré de

maitrise estimé ?

X

6. L’analyse des risques tient-il compte

des évolutions internes ou externes de

MOOV ?

X

7. Ces analyses donnent-elles lieu à des

actions spécifiques ? la responsabilité

de ces actions est-elle définie ?

X

8. Une politique et des procédures de

gestion des principaux risques ont-elles

été définies, validées par la direction

générale et mises en place au sein de

MOOV ?

x




9. Des moyens spécifiques sont-ils

consacrés à la mise en œuvre et à la

surveillance des procédures de gestion

de risques ?

x

10. Les responsabilités en matière de

gestion des risques sont-elles définies

et communiqués aux personnes

concernées ?

X

11. Les expériences passées de MOOV en

matière de gestion des risques sont-

elles prises en considération ?

X

12. La direction reçoit-elle une information

sur les caractéristiques essentielles des

actions engagées pour gérer les

principaux risques de

MOOV(couverture en place,

assurances, montant des garanties….)

X

13. Existe-il un plan de continuité des

activités au sein de MOOV ? X

14. Existe-il un mécanisme permettant si

nécessaire d’adapter les procédures de

gestion des risques à une évolution des

risques, de l’environnement externe,

des objectifs ?

X

15. Existe-il un dispositif permettant

d’identifier les principales faiblesses du

dispositif de gestion des risques mis en

place par MOOV ?

X

16. Le conseil d’administration a-t-il été

informé des grandes lignes de la

politique de gestion des risques ?

X

Source : Nous-mêmes




Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut

fournir une garantie absolue quant à la réalisation des objectifs de l’entreprise.

La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de l’entreprise. Il

existe en effet des limites inhérentes à tout système de contrôle interne. Ces limites

résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de

l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison

d’une défaillance humaine ou d’une simple erreur.

6.3. Les forces du dispositif de gestion des risques de MOOV-CI

Après étude du dispositif de maitrise des risques mis en place par MOOV-CI nous

recensons les forces suivantes :

l’existence d’une « charte de contrôle » avec la désignation des acteurs, délégation

de pouvoirs et la hiérarchisation des procédures.Cela facilite le contrôle : ce qui est

une force en ce sens qu’il est primordial pour toute structure d’avoir des textes qui

définissent clairement la politique de contrôle ;

l’existence de manuel de contrôle de premier niveau et formalisation de contrôle de

premier niveau effectué par les chefs de service opérationnels ;

la séparation des fonctions au cours des différents processus d’activités érigés au

sein de MOOV-CI : ce qui minimise Les risques opérationnels ;

les impayés des clients Pospaid sont centralisés et examinés par un responsable qui

procède aux relances : permet ainsi à MOOV-CI de réduire l’importance des

engagements en souffrance ;

mise en place de la cartographie des risques par activités : permet d’établir un plan

d’audit axé sur les risques majeurs ressortis par la cartographie ;

conformité aux instructions de l’ATCI quant à la permanence des services

(continuité des services), la qualité des services offerts et les performances

techniques (qualité d’écoute téléphonique) ;

existence de questionnaire administré au audité sur la qualité du travail d’audit

après chaque mission d’audit : permet d’améliorer l’approche des auditeurs au fil

des missions ;

l’établissement de rapports périodiques sur l’évolution des abonnées MOOV-CI

transmit à l’ATCI.




6.4. Les faiblesses du dispositif de gestion des risques de MOOV-CI

Au nombre des faiblesses du dispositif relevées nous avons :

non mise en œuvre à chaque cycle de facturation, de contrôles susceptibles

d’apporter l’assurance raisonnable que tous les abonnés postpaid facturables ont été

effectivement facturés ;

exécution partielle des missions d’audit planifiées (plan d’audit) ;

mise en œuvre partielle des recommandations d’audit par les audités ;

formalisme inexistant des contrôles de premier niveau exécutés par les

opérationnels ;

inexistence d’une charte d’audit régissant la politique, les normes d’audit

appliquées au sein de MOOV-CI ;

absence de revue périodique de la grille tarifaire par les personnes appropriées

(direction commerciale et/ou revenue assurance) ;

l’inexistence de revue périodique des habilitations permettant d’accéder aux

fonctions de modification, de création, suppression de tarifs dans le système ;

l’inexistence d’un expert en gestion des changements et implémentation des

tarifs (postpaid et prepaid) dans le système ;

l’inexistence de procédure de gestion des changements et implémentation des tarifs

dans le système ;

l’existence partielle d’indicateurs de performance ne permettant pas d’évaluer la

performance d’un service.




6.5. Recommandations à l’endroit de MOOV-CI

Une meilleure analyse du dispositif de gestion pérenne des risques ne sera possible que si

certains problèmes de MOOV-CI sont résolus. Cependant, l’éradication des causes se

trouvant à la base des différents problèmes identifiés ne pourra être complète que si

certaines dispositions sont prises pour garantir une efficacité des solutions à mettre en

œuvre.

C’est ce qui nous pousse au terme de notre étude qui a sur l’analyse du processus de

gestion pérenne des risques : cas de MOOV-CI, à formuler les recommandations suivantes

en vue de l’amélioration du dispositif de contrôle et de maîtrise des risques mise en place :

sensibiliser le personnel de MOOV-CI afin d’améliorer la perception que les

opérationnels ont de l’audit interne : des initiatives en ce sens sont en cours ;

suggérer la rédaction et la diffusion d’une charte d’audit et d’un code de

déontologie ;

instaurer d’autre indicateur de performance afin d’améliorer l’efficacité du service.

Les indicateurs utilisés à ce jour sont en cours de finalisation :

Une réflexion devra être menée sous les différents types d’indicateurs ci-dessous :

la perception des audités sur les travaux d’audit : une grille d’évaluation est

envoyé à chaque service audité afin de recueillir sa perception sur les

diligences d’audit déployées lors des travaux d’audit.

taux d’implémentation des corrections et des actions correctives ;

réalisation du planning d’audit : cet indicateur permet de mesurer

l’amélioration apportée en termes de réduction de nombre de jours d’écart

entre les dates prévisionnels et les dates réels de réalisation des missions.

améliorer la collaboration entre le service Audit Interne et la division Maitrise des

Risques à travers :

la mise en place d’un cadre formalisé de coopération et de partage

d’expérience ;

la mise en œuvre de réunion périodique entre les 2 entités ;

envoi des rapports d’audit à la division Maitrise des Risques.

mettre en place un suivi et une intégration des plans d’actions issus des missions

d’audit dans l’actualisation de la cartographie des risques ;




mettre en place un tableau de rapprochement entre la cartographie des risques et les

recommandations d’audit ;

mettre en place un monitoring des plans d’actions issus des missions d’audit interne

à travers un outil informatique pour avoir un suivi en temps réel des plans d’actions

et ainsi actualiser la cartographie des risques ;

formaliser les contrôles de premier niveau de chaque entité audité ;

rédiger un manuel regroupant l’ensemble des contrôles de premier niveau par

métier ;

Procéder au recrutement d’un agent supplémentaire au service d’Audit Interne afin

de permettre l’exécution totale du plan annuel d’audit ;

Engager un expert en gestion des changements et implémentation des

tarifs (postpaid et prepaid) dans le système ;

mettre en œuvre à chaque cycle de facturation, des contrôles

susceptibles d’apporter l’assurance raisonnable que tous les abonnés postpaid

facturables ont été effectivement facturés ;

mettre en place un calendrier de revue périodique de la grille tarifaire par les

personnes appropriées (direction commerciale et et/ou revenue assurance) ;

restreindre Les habilitations permettant aux utilisateurs d’accéder aux fonctions de

modification, création, suppression de tarifs postpaid aux administrateurs en charge

seulement de la facturation ;

rédiger une procédure formelle (écrite) de gestion des changements et

implémentation de tarifs postpaid.




CONCLUSION DEUXIEME PARTIE

L’intérêt de cette deuxième partie a été depasser en revue le processus de gestion pérenne

des risques de MOOV-CI.

L’analyse du dispositif de contrôle interne et de maîtrise des risques mis en place par

MOOV-CI comme tout autre dispositif à aussi bien des points forts que des points faibles.

Ainsi, Le suivi des actions d’audit déployé à ce jour à MOOV-CI est certes bien élaboré

mais demeure encore non automatisé d’où ne permet pas d’actualiser en temps réel

l’identification des risques et leur cotation.

Dès lors il revient à MOOV-CI de s’en servir pour corriger les défaillances observées dans

l’organisation de ses processus et dans l’amélioration continue du dispositif de

management des risques.


CONCLUSION GENERALE




La question des interactions entre l’audit interne et le management des risques dans le

cadre d’une gestion pérenne des risques demeure au centre des débats.

Même si pour les uns, la nécessité d’une mutualisation de leurs actions reste lointaine, pour

les autres, des liens fréquents entre les fonctions d’audit interne et de management des

risques permettent inéluctablement de tirer un meilleur parti de l’interdépendance naturelle

de leurs travaux. Souhaitables tout au long de l’année, ces liens sont indispensables au

moment de l’élaboration du plan annuel d’audit et de l’actualisation de la cartographie des

risques.

Les dispositions prises pour optimiser la valeur ajoutée de l’audit interne dans le processus

de management des risques se traduisent notamment sur la mise en œuvre des bonnes

pratiques ci-dessous :

un rapprochement du management des risques et de l’audit interne au sein d’une

même direction susceptible d’offrir une meilleure coordination entre les 2 (deux)

fonctions ;

un rattachement cohérent et explicite entre les missions d’audit et les risques

contenus dans la cartographie des risques, illustré à travers un tableau permettant

d’avoir une vision synthétique des risques majeurs couverts et non couverts.

Leur suivi par l’audit interne est donc primordial pour avoir une vision précise de la mise

en place des contrôles permettant de modifier la cotation des risques dans la cartographie

des risques. Malgré la variété des missions à assurer des compétences à mobiliser,

l’auditeur interne sans être le pilote privilégié du processus de management des risques, ne

saurait être significativement contourné si l’on se propose de mettre en place un processus

efficace et continu des risques.

Notre démarche nous a permis d’atteindre les objectifs spécifiques que nous nous étions

fixés au début de notre mémoire. Il appartient désormais à la Direction Générale de

MOOV-CI d’avoir à sa disposition notre document afin de l’enrichir et surtout d’analyser

son dispositif de contrôle interne.




Enfin, même si les pratiques tendent à rendre irréfutable la maîtrise duprocessus de gestion

pérenne des risques reste encore à le déployer plus largement au sein de l’entreprise.


ANNEXES




Annexe 1 : organigramme générale de MOOV-CI

Directeur Général

Chef de Division

juridique et Réglementaire

Chef de Division Qualité et Audit

Interne

Directeur

Financier et comptable

Directeur Systèmes

d’informatique

Directeur Technique

Directeur Clientèle

Directeur Commercial

Directeur

Marketing et Communication

Directeur Administratif

et Ressources Humaines

Sous Directeur Comptabilité

Chef de division

Contrôle de Gestion

Chef de Division Trésorerie

Chef de division

Maitrise des risques

Chef de Division Sécurité Systèmes

d’information

Chef de Division

Etudes et Développement

Chef de Division Infrastructure et

Support

Chef de Division

Exploitation informatique

Sous Directeur Exploitation et Maintenance

Chef de Division Performances

Sous directeur

Etudes et Développements

Chef de Division infrastructures et

Sites

Chef de Division Planification

Chef de Division Maintenance

Chef de Division NSS

Chef de Division PPS & VAS

Chef de Division Corporate VIP

Chef de Division Opérations

Support

Chef de Division Support et Ventes

Chef de Division Ventes Intérieurs

Chef de Division Corporate

Sous Directeur Vente d’Abidjan

Chef de Division Marketing Grand

Public

Chef de Division Marketing Corporate

Chef de Division Produits et Services

Chef de Division

Marketing Stratégique

Chef de Division Administration &

Moyens Généraux

Chef de Division Administration du

personnel

Chef de Division

Développement des Ressources Humaine

Chef de Division Communication et

Marque

Chef de Division Consumer Care

Source: Atlantique Telecom




Annexe 2 : Cartographie globale des processus de AtlantiqueTélécom-CI


CARTOGRAPHIE DES PROCESSUS




Annexe 3 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif

de maîtrise des risques de MOOV-CI

Bonjour Mademoiselle/Madame/Monsieur.

Nous sommes étudiante stagiaire à MOOV-CI et nous réalisons actuellement dans le cadre

de notre mémoire de fin de formation au Centre Africain d’Etudes Supérieures en Gestion

(CESAG), Filière : Master Audit et Contrôle de Gestion, une étude sur :L’analyse du

processus de gestion pérenne des risques : cas de MOOV-CI

Nous vous prions à cet effet de bien vouloir nous accorder quelques minutes de votre

précieux temps pour répondre à ces questions.

Questions Réponses

Numéro

d’ordre

Oui Non

1. Existe-il des séparations de tâches entre

la personne qui initie une opération et

celle qui la valide ?

2. Existe-il un organigramme par

service ?

3. Les moyens humains sont-ils adaptés à

votre activité ?

4. Existent-ils des fiches de poste ?

5. Les délégations de pouvoirs sont-elles

claires et diffusés au sein de MOOV ?

6. Le système d’information est-il adapté

à votre activité ?

7. Existent-ils des contrôles de premier

niveau ?

8. Si oui, sont-ils formalisés ?

9. Existent-ils des contrôles de second

niveau ? si oui sont-ils formalisés ?




10. Des reportings sont-ils rédigés et

transmis régulièrement à la Direction

Générale ?

11. Existe-il un comité de suivi des risques

au sein de MOOV ?

12. Existe-t-il une assurance en cas de

sinistre (destruction du magasin de

cartes de recharge…)?





Annexe 4 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif

de contrôle interne de MOOV-CI

Bonjour Mademoiselle/Madame/Monsieur.

Nous sommes étudiante stagiaire à MOOV-CI et nous réalisons actuellement dans le cadre

de notre mémoire de fin de formation au Centre Africain d’Etudes Supérieures en Gestion

(CESAG), Filière : Master Audit et Contrôle de Gestion, une étude sur : L’analyse du

processus de gestion pérenne des risques : cas de MOOV-CI

Nous vous prions à cet effet de bien vouloir nous accorder quelques minutes de votre

précieux temps pour répondre à ces questions.

Questions Réponses

Numéro

d’ordre

Oui Non

1. MOOV dispose-t-il d’un langage

commun en matière de risques

(typologie, homogène, d’analyse et de

suivi) ?

2. MOOV a-t-il mis en place des objectifs

en matière de gestion des risques ?

3. Existe-t-il un processus d’identification

des principaux risques ? une

organisation a-t-elle été mise en place à

cet effet ?

4. Pour les principaux risques identifiés,

MOOV réalise-il une analyse des

incidences potentielles et du degré de

maitrise estimé ?

5. L’analyse des risques tient-il compte

des évolutions internes ou externes de

MOOV ?

6. Ces analyses donnent-elles lieu à des

actions spécifiques ? la responsabilité




de ces actions est-elle définie ?

7. Une politique et des procédures de

gestion des principaux risques ont-elles

été définies, validées par la direction

générale et mises en place au sein de

MOOV ?

8. Des moyens spécifiques sont-ils

consacrés à la mise en œuvre et à la

surveillance des procédures de gestion

de risques ?

9. Les responsabilités en matière de

gestion des risques sont-elles définies

et communiqués aux personnes

concernées ?

10. Les expériences passées de MOOV en

matière de gestion des risques sont-

elles prises en considération ?

11. La direction reçoit-elle une information

sur les caractéristiques essentielles des

actions engagées pour gérer les

principaux risques de MOOV

(couverture en place, assurances,

montant des garanties….)

12. Existe-il un plan de continuité des

activités au sein de MOOV ?

13. Existe-il un mécanisme permettant si

nécessaire d’adapter les procédures de

gestion des risques à une évolution des

risques, de l’environnement externe,

des objectifs ?

14. Existe-il un dispositif permettant

d’identifier les principales faiblesses du

dispositif de gestion des risques mis en




place par MOOV ?

15. Le conseil d’administration a-t-il été

informé des grandes lignes de la

politique de gestion des risques ?



BIBLIOGRAPHIE




OUVRAGES

1. Alain Desroches (2003), la gestion des risques : principes et pratiques,

EditionLavoisier, 286pages.

2. Bapst Pierre Alexandre et Bergeret Florence (2002), Pour un management des

risques orienté vers la protection de l’entreprise et la création des valeurs, Revue

française d’Audit Interne, N° 162 : 10-12.

3. Becourt Jean Charles et Bouquin Henri(2008), audit opérationnel : entreprenariat,

gouvernance et performance, Edition Economica, 3ème édition,425pages.

4. Bernard Barthélémy(2000), gestion des risques méthodes d’optimisation globale,

Edition d’Organisation, 335pages.

5. Chistophe Villalonga (2007), l’audit qualité interne, Éditions Dunod, 197 pages.

6. Christian Jimenez, Patrick Merlier et Dan Chelly (2008), Risques opérationnels :

De la mise en place du dispositif à son audit, Edition revue banque, 271 pages.

7. Coopers & Lybrand (2000), La nouvelle pratique du contrôle interne, Edition

d'organisation, 378 pages.

8. IFACI (2005), Le management des risques de l’entreprise, Edition d’Organisation,

Paris, 338 pages.

9. IFACI (2006), Guide d’Audit, Cartographie des risques, Groupe Professionnel

Assurance, Paris, 70 pages.

10. IFACI (2001), Management des risques, Prise de position professionnelle n° 13 de

l’IIA, Paris, 62 pages.

11. IFACI (2003), Guide d’audit : Etude du processus du management et de

cartographie des risques, conception, mise en place et évaluation, Paris, 90 pages.

12. Jacques Renard(2002), Ce qui fait débat, Edition maxima, 267pages.

13. Maders Henri Pierre et Masselin Jean Luc (2006), Contrôle interne des risques,

2ème Edition, Edition d’organisation, Paris, 260 pages.

14. Obert Robert et Mairesse Marie-Pierre (2007), Comptabilité et audit, Manuel et

applications, Edition Dunod, Paris,569 pages.

15. Olivier Lemant (1995), la conduite d’une mission d’audit interne, 2ème édition,

Dunod, Paris, 180pages.

16. Péguignot, Vincent (2007), La gestion du risque : un facteur d’efficacité dans une

démarche de contrôle et d’audit interne, Revue Française de l’audit interne,

N°185 : 95.




17. Pige Benoit (2001), Audit et contrôle interne, Edition EMS, Paris, 212 pages.

18. Renard Jacques (2010), Théorie et pratique de l’audit interne, Editions

d’Organisation, 469pages.

19. Renard Jacques Chaplain (2006), Théorie et pratique de l’audit interne, 6ème

édition, Edition d’organisation, Paris,486 pages.

20. Sambe Oumar et Ibra Mamadou (2003), le praticien, Système comptable OHADA,

Edition Comptable et Juridiques, Dakar,1055 pages.

21. Schick Pierre et Lemant Olivier (2001), guide de self-audit, 184 items d’évaluation,

2ème édition, Edition d’organisation,Paris, 217 pages.

22. Thierry Colatrella(2004), pénalement responsable : le contrôle interne qui dérange,

Éditions d’Organisations, 192pages.

23. TURBA Victoria (2007), Comment échapper aux scandales financiers?,Edition

L’HARMATTAN, Paris, 188 pages.

24. Yvon MOUGIN(2004), la cartographie des processus, 2eme édition, Éditions

d’Organisation, 331pages.

25. Franck Moreau (2002), Comprendre et gérer les risques, Edition

d’Organisation, Paris, 221 pages.




WEBOGRAPHIE

26. AFP(2009), Boom de la téléphonie mobile en Afrique,

www.jeuneafrique.com/Article/DEPAFP20090622T154446Z/-technologie-

Télécommunications-revolution-Boom-de-la-telephonie-mobile-en-Afrique-.html.

27. André-Michel Essoungou (2011), www.un.org/fr/africarenewal/vol25no1/africas-

rising-information-economy.html.

28. Ernst&Young (2012), Top 1O des risques pour le secteur télécoms en 2012,

www.ey.com/FR/fr/Industries/Télécommunications/Top-10-des-risques-dans-le-

secteur-Télécoms-en-2012.

29. Joss Gillet(2009), Infrastructures technologiques et services TIC en

Afrique,www.africaneconomicoutlook.org/fr/in-

depth/internet_Télécom_ict_africa/technology-infrastructure-and-services-in-

africa/box-8-mobile-telephones-in-africa-the-impact-of-the-crisis/.

30. Julien Clemençot(2011), Télécoms : Moov sur la bonne trajectoire,

www.jeuneafrique.com/Article/ARTJAJA2649p066-067.xml0/.

31. Lenel Olivier et Nogaret François (2009), 10 réponses sur la cartographie des

risques, site : http : www.mazard.fr.

32. UTELLI, Christophe & MERTENAT (2001), les défis et les enjeux du

risquemanagement, www.aso-

organisation.ch/rdvjuinOl/utellimertenadfisenjeuxfinal.


http://www.un.org/fr/africarenewal/vol25no1/africas-rising-information-economy.html

http://www.un.org/fr/africarenewal/vol25no1/africas-rising-information-economy.html

http://www.africaneconomicoutlook.org/fr/in-depth/internet_telecom_ict_africa/technology-infrastructure-and-services-in-africa/box-8-mobile-telephones-in-africa-the-impact-of-the-crisis/



http://www.aso-organisation.ch/rdvjuinO

http://www.aso-organisation.ch/rdvjuinO

implication de l’audit interne dans une démarche de...

Documents