audit interne & contrôle interne
TRANSCRIPT
Audit interne & Contrôle Interne
SOMMAIRESOMMAIRE
INTRODUCTION
VOLET I : DEVELOPPEMENT DU CONCEPT DE CONTROLE INTERNE
Chapitre I : Le contrôle interne : Objectifs et dispositifsSection 1 : Définition du Contrôle InterneSection 2 : Objectifs du Contrôle Interne Section 3 : Les dispositifs du contrôle interne
Chapitre II : Les circuits de gestion interne : Principal outil de contrôle interne
A - Circuit Ventes ClientsB – Circuit ImmobilisationsC – Circuit TrésorerieD – Circuit Paie Personnel E – Circuit production Stock F – Circuit Achat – Fournisseur
Chapitre III : Le contrôle interne : Outil incontournable e la sécurité financière.
Section 1 : le contenu de la loi sarbanes-oxley:Section 2 : le contrôle interne dans la loi sarbanes-oxleySection 3 : conséquences de la loi sarbanes-oxley sur l’organisation de l’entreprise
VOLET II : LA PRATIQUE DE L’AUDIT INTERNE
Chapitre I : Emergence du concept de l’audit interne
a) Du concept de l’audit interneb) A quoi sert l’audit interne ?c) Mesure d’efficacité du contrôle interned) Qualités de l’auditeur internee) Audit interne et Hiérarchie
Chapitre II : Les nouvelles tendances : l’audit interne, vecteur d’une bonne gouvernance
SGO 1
Audit interne & Contrôle Interne
a) l’audit interne est-il source de gage ou outil de développement de l’entreprise ?
b) Développement de l’obligation de reddition des comptes
Chapitre III : La pratique de l’audit interne
a) Le rapport d’audit interne b) Le compte rendu final c) L’ossature du rapport d) La Feuille de révélation et d’analyse du problème e) La feuille de couverture f) Budget, allocation, Planning, Suivi g) Le programme de vérifications h) Le rapport d’orientation i) Le tableau des forces et faiblesses apparentes j) Le plan d’approche k) Ordre de mission l) Notion de risque
CONCLUSION GENERALE
BIBLIOGRAPHIE
ANNEXES
SGO 2
Audit interne & Contrôle Interne
INTRODUCTIONINTRODUCTION
e terme audit a connu une large diffusion durant ces dernières décennies. Il
ne s’agit plus d’une terminologie professionnelle, mais, du terme devenu lui-
même courant dans le monde moderne des affaires. En effet, le développement
d’activités géographiquement dispersées, le recours sans cesse à des
financements extérieurs et le développement des marchés boursiers ont fait de
l’entreprise une entité complexe dont un suivi fiable nécessite un contrôle
fréquent et en profondeur. Compte tenu de l’importance de ces enjeux, il est
indispensable que les différents dispositifs des contrôles interne et externe
s’imposent constamment à l’entreprise afin d’améliorer l’efficacité et le
fonctionnement de la société.
L
L’audit a pour objectif d’effectuer des travaux rigoureux et systématiques
afin d’étudier, de vérifier et d’évaluer les différentes facettes de l’activité de
l’entreprise. Ces exigences peuvent être appréhendées par différents niveaux
d’audit s’attachant chacun à une dimension de l’entreprise :
L’audit comptable et financier, l’audit interne, l’audit opérationnel, l’audit
informatique…
L’un des aspects majeurs de l’audit concerne aussi bien la vérification des
données financières, que la régularité et la sincérité des comptes présentés par
les dirigeants de l’entreprise.
L’objectif assigné à l’audit dans ce contexte est d’exprimer une opinion
indépendante sur les états financiers établis selon des règles et principes
comptables généralement admis et les normes professionnelles en vigueur. La
mission de l’auditeur externe comprend aussi l’évaluation des contrôles internes
et le bon fonctionnement du système d’information de l’entreprise.
La fonction d’audit interne donne à cet égard l’assurance raisonnable que
les opérations menées, les décisions prises sont « sous contrôle » et qu’elles
contribuent donc aux objectifs de l’entreprise.
SGO 3
Audit interne & Contrôle Interne
A cette fin, l’audit interne évalue le niveau du contrôle interne, donc la
capacité de l’organisation à atteindre efficacement les objectifs qui lui sont
assignés et à maîtriser les risques inhérents à son activité.
L’existence de dysfonctionnements, de faiblesses ou erreurs dans le
système de gestion d’une entreprise ont pour source principale la défaillance de
l’un des dispositifs du contrôle interne mis en place à savoir : les objectifs, les
moyens, l’organisation, le système d’information, la supervision ainsi que les
méthodes et procédures.
Pour mieux cerner le système de gestion d’une entreprise, les auditeurs
procèdent à la décomposition du contrôle interne en plusieurs cycles à savoir : le
cycle vente-client, immobilisation, trésorerie, paie-personnel, production, stock et
achat-fournisseur objet de présent rapport.
L’objectif essentiel de ce travail est d’expliquer la relation existante entre
l’audit interne et le contrôle interne. A cet égard, ce travail présentera dans un
premier volet le développement et l’émergence du concept de contrôle interne et
dans un deuxième volet le développement du concept de l’audit interne et sa
pratique au niveau des organisations.
SGO 4
Audit interne & Contrôle Interne
VOLETVOLET II::DE L’EMERGENCE DU CONTRÔLEDE L’EMERGENCE DU CONTRÔLE
INTERNE INTERNE
SGO 5
Audit interne & Contrôle Interne
CHAPITRE PREMIERCHAPITRE PREMIER ::
LE CONTRÔLE INTERNE LE CONTRÔLE INTERNE :: OBJECTIFS ETOBJECTIFS ET
DISPOSITIFSDISPOSITIFS
La notion de contrôle interne a suscité depuis longtemps de nombreuses
réflexions s’articulant toutes autour de sa définition et son objectif. Ce qui a eu
pour conséquence une multitude d’acceptions du terme.
Les études sur le sujet sont donc nombreuses et de qualité, mais au fil des
années, de congrès en colloque, la notion s’est ainsi précisée et affinée.
Dans ce qui suit, nous allons présenter :
Une définition du Contrôle Interne (Section 1).
Les objectifs du Contrôle Interne (Section 2).
Les dispositifs du Contrôle Interne (Section 3).
SSECTIONECTION 1:1: DDÉFINITIONÉFINITION DUDU CCONTRÔLEONTRÔLE IINTERNENTERNE..
Les définitions du Contrôle Interne sont nombreuses, mais l’accord se fait sur
l’essentiel.
Les auditeurs externes, les commissaires au compte, les experts comptables ont
été les premiers en France à développer et approfondir la notion de contrôle
interne, et ce pour atteindre les objectifs spécifiques assignés à leur fonction :
Certifier la régularité, la sincérité et l’image fidèle des comptes et résultats. Le
contrôle interne est donc un moyen, alors que pour les auditeurs internes, il
s’agit d’un objectif.
En 1997, l’Ordre des Experts Comptables et Comptables Agréés (OECCA) a donné
au contrôle interne la définition suivante :
«Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise. Il a pour but, d’un côté, d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre, l’application des instructions
de la direction et de favoriser l’amélioration des performances. Il se manifeste
SGO 6
Audit interne & Contrôle Interne
par l’organisation, les méthodes et les procédures de chacune des activités de
l’entreprise, pour maintenir la pérennité de celle–ci » (1).
En 1992, l’American Institute Certified Public Account (AICPA) avance la définition
suivante : «Le contrôle interne est un processus mis en place par le conseil
d’administration, les dirigeants et le personnel d’une organisation destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs»(2).
Cette définition met l’accent sur un certain nombre d’éléments :
Du fait, le contrôle interne est :
Un processus : C’est donc un ensemble d’éléments en interaction ayant tous
pour objectif d’assurer la continuité d’exploitation et la pérennité de
l’organisation.
Mis en place par : Les dirigeants et le personnel, dans ce sens, il est mis par
tous les membres de l’organisation.
En vue d’une assurance raisonnable : son rôle est d’aider l’entreprise à
atteindre ses objectifs ; le contrôle interne n’est pas conçu pour garantir la
réussite de l’organisation, son objectif est relatif et non absolu.
SSECTIONECTION 22 :: OOBJECTIFSBJECTIFS DUDU CCONTRÔLEONTRÔLE IINTERNENTERNE ::
Le contrôle interne concourt à la réalisation d’un objectif général à savoir la
continuité de l’entreprise dans le cadre de la réalisation des buts poursuivis.
Cet objectif peut être décliné en quatre objectifs particuliers à savoir:
La sécurité des actifs.
La qualité des informations.
Le respect des directives.
L’optimisation des ressources.
a- La sécurité des actifs :
Un bon système de contrôle interne doit viser à préserver le patrimoine de
l’entreprise. Mais, il faut étendre la notion et comprendre par-là non seulement
les actifs immobilisés de toutes natures, les stocks, les actifs immatériels, mais
également les hommes qui constituent l’élément le plus précieux du patrimoine
de l’entreprise et qui peut se trouver détruit par un incident fortuit dû à une
mauvaise maîtrise des opérations.
Enfin, la technologie ainsi que les informations confidentielles de l’entreprise.
1 J.Renard «Théorie & Pratique de l’Audit Interne», p1162 OP.cit p119
SGO 7
Audit interne & Contrôle Interne
b- La qualité des informations :
L’image de l’entreprise se reflète dans les informations qu’elle donne à
l’extérieur et qui concernent ses activités et ses performances.
Ces informations doivent être :
Fiables et vérifiables.
Pertinentes.
Disponibles.
b-1. Fiables et vérifiables :
Il faut que le système d’information permette de vérifier l’exactitude de
l’information. Ainsi, le contrôle interne doit comporter un système de preuve
garantissant et justifiant la qualité des informations fournies.
Le système de contrôle interne doit garantir la qualité des enregistrements et
permettre d’éviter toute omission de l’un des éléments faisant partie de la chaîne
de traitement.
b-2. Pertinentes :
L’information doit être adaptée au but poursuivi, sinon, elle est superflue.
b-3. Disponibles:
Le contrôle interne adapté doit permettre de fournir des informations au moment
opportun et qui sont aisément accessibles.
c- Le respect des directives :
Cet aspect contraignant du contrôle interne impose de respecter toutes les
règles tant internes qu’externes.
d- L’optimisation des ressources :
L’entreprise se doit d’utiliser ses ressources de façon économique et efficace.
Cette utilisation des ressources est la résultante de la compréhension et du
respect des normes opérationnelles tout en procédant à une analyse par écarts
afin d’aboutir à des actions correctives.
SSECTIONECTION 33 :: LLESES DISPOSITIFSDISPOSITIFS DUDU CONTRÔLECONTRÔLE INTERNEINTERNE ::
Un contrôle interne réussi doit réunir des dispositifs qui doivent être mis en
place. Ces dispositifs peuvent être regroupés sous les rubriques suivantes (4):
4(4) J. Renard «Théories & Pratiques de l’Audit Interne», p141.
SGO 8
Audit interne & Contrôle Interne
Les objectifs.
Les moyens.
Le système d’information.
Les procédures.
L’organisation.
La supervision.
a- Les objectifs :
Ces objectifs doivent naturellement s’insérer dans le cadre des objectifs
généraux du contrôle interne déjà traité dans le paragraphe 2 et concourir à la
réalisation de la mission assignée au responsable.
Aussi, ces objectifs doivent être déclinés à l’intérieur du service de façon à ce
que chaque objectif spécifique se réalise par la réalisation cumulée de sous-
objectifs. Ils doivent également être mesurables c’est-à-dire exprimés en termes
numériques ; seuils à atteindre ou à dépasser.
Enfin, les objectifs doivent être ambitieux et pouvoir être suivis par les systèmes
d’information qui sont à la disposition du management.
b- Les moyens :
Ces moyens doivent permettre d’atteindre des objectifs prédéfinis :
b-1. Moyens humains :
Sans personnel compétent, tout système de contrôle interne est condamné. En
effet, nombreux sont les cas dans lesquels les anomalies rencontrées ont pour
cause une formation insuffisante.
L’organisation doit donc se doter des moyens humains suffisants et veiller à leur
épanouissement grâce aux programmes de formation professionnelle.
b-2. Moyens financiers :
Les budgets d’exploitation et d’investissement doivent nécessairement être
corrélés avec les objectifs. Ils ne doivent être ni figés ni réduits.
De ce fait, chaque entreprise doit se procurer les moyens financiers permettant
d’atteindre les objectifs dessinés.
b-3. Moyens techniques :
Enfin, l’entreprise se doit d’acquérir les moyens techniques, commerciaux,
industriels ainsi que les techniques de gestion.
SGO 9
Audit interne & Contrôle Interne
c- L’organisation :
Il s’agit d’un élément particulièrement important dans la panoplie des dispositifs
du contrôle interne. Une organisation de qualité doit respecter trois principes
généraux :
L’adaptation : Le principe essentiel est que l’organisation doit être
« adaptée» à la culture, à l’environnement, et à l’activité.
Ce principe d’adaptation doit se conjuguer avec le second principe : l’objectivité.
L’objectivité : Ce principe équilibre le précédent ; adaptabilité certes, mais
aussi permanence relative dans la mesure où une mutation, un départ ne
doivent pas à chaque fois remettre en cause l’organisation existante.
La sécurité ou la séparation des tâches de telle façon que certaines d’entre
elles ne puissent être exercées par une seule et même personne.
Ainsi, dans une organisation donnée et pour une opération donnée, aucune
personne ne doit remplir plus d’une fonction essentielle.
Il s’agit de :
Fonction d’exécution : toute personne qui accomplit une tâche en suivant
des consignes prédéterminées.
Fonction d’autorisation : toute personne ayant le pouvoir de décision,
quant aux budgets et investissement.
Fonction d’enregistrement : elle est exercée par des comptables et
concerne toute personne qui rentre des informations dans la chaîne de
traitement comptable.
Fonction de contrôle : toute personne chargée de contrôler l’exécution et
supervise le travail des autres.
d- Le système d’information :
L’observation des systèmes d’information par l’auditeur interne doit le conduire
à examiner les cinq critères qui vont lui permettre de porter un jugement sur la
qualité de ces dispositifs :
Ils doivent concerner toutes les fonctions.
Ils doivent être fiables et vérifiables.
SGO 10
Audit interne & Contrôle Interne
Ils doivent être exhaustifs.
Ils doivent être disponibles en temps opportun.
Ils doivent être utiles et pertinents.
e- Les méthodes et procédures :
Les méthodes et procédures de l’entreprise doivent être définies et concerner
toutes les activités et tous les processus. Ces documents doivent être :
Ecrits : dans des manuels de procédures à la disposition de l’ensemble du
personnel.
Simples et spécifiques : pour que chaque personne de l’organisation
puisse les comprendre.
Mis à jour régulièrement.
Portés à la connaissance des exécutants.
f- La supervision :
La supervision est d’abord un acte d’assistance des collaborateurs dans
l’exécution des tâches difficiles et nouvelles.
Elle est, ensuite, un acte gratifiant du fait qu’elle montre l’intéressement du
superviseur quant au travail fournis.
Enfin, c’est un acte de vérification.
CHAPITRE DEUXIEMECHAPITRE DEUXIEME ::
LES CIRCUITS DE GESTION INTERNELES CIRCUITS DE GESTION INTERNE ::
PRINCIPAL OUTIL DE CONTRÔLE INTERNEPRINCIPAL OUTIL DE CONTRÔLE INTERNE
SGO 11
Audit interne & Contrôle Interne
Chaque entreprise est organisée sous forme de circuits. Chaque circuit est
décomposé en un ensemble de procédures.
La procédure est définie comme étant la description détaillée des étapes
successives des traitements des données depuis la naissance de l’opération
jusqu’à son enregistrement comptable.
Les principaux circuits de gestion de l’entreprise sont :
Ventes–Clients.
Immobilisations.
Trésorerie.
Paie-personnel.
Production–Stocks.
Achat–fournisseur.
A. Circuit ventes–clients :
Le circuit ventes–clients débute de la réception de la commande du client et se
termine par l’encaissement du produit de la vente (5).
Les risques potentiels liés au cycle ventes–clients sont essentiellement :
Sortie de marchandises ou prestations réalisées non facturées ; risque de
perte.
Retour de marchandises n’ayant pas donné lieu à l’émission d’un avoir ;
risque de détournement de la marchandise et un risque de non-détection des
avoirs à établir à la fin de l’exercice.
Surévaluation du chiffre d’affaires ou de la marge brute.
Avoirs non justifiés.
Non-comptabilisation de factures et /ou avoirs : Un risque de perte et de
détournement.
Chiffre d’affaires erronée et risque de perte ou de litige avec les clients.
Ventes à des clients non solvables…etc.
L’évaluation de ce circuit doit donc permettre à l’auditeur de s’assurer que :
Tous les avoirs à émettre sont comptabilisés sur la bonne période.
Les séparations des fonctions sont suffisantes.
Tous les risques de perte sur les ventes sont provisionnés.
Toutes les ventes enregistrées sont correctement imputées.
5(5) Cahiers Français, « Audit & Management », p.73
SGO 12
Audit interne & Contrôle Interne
Toutes les ventes et tous les retours de marchandises sont réels.
B. Circuit Immobilisations :
Le contrôle interne dans ce cas à pour objectifs :
S’assurer que les séparations des tâches sont réalisées.
S’assurer que les acquisitions des immobilisations sont dûment autorisées
par des personnes habilitées et qu’elles sont correctement comptabilisées.
S’assurer de l’existence et l’appartenance des immobilisations à l’entreprise.
S’assurer du classement et de l’évaluation de ces immobilisations.
Enfin, s’assurer du respect des principes relatifs aux amortissements et aux
provisions.
C. Circuit Trésorerie :
Etant donné que la trésorerie constitue souvent un indicateur précoce des
difficultés qu’une entreprise peut rencontrer ; le rôle du contrôle interne consiste
donc à s’assurer de la fidélité des comptes inscrits en trésorerie et qu’ils reflètent
réellement la situation de celle-ci.
Elle est donc le poste le plus exposé aux risques : fraudes, erreurs,
détournements et mauvaise gestion.
Dans ce cas, le rôle du contrôle interne serait de :
S’assurer que les séparations des tâches sont suffisantes.
S’assurer que tous les paiements et recettes sont comptabilisés.
S’assurer que les recettes sont intégralement et rapidement remises en
banque.
S’assurer que l’encaissement des effets est régulièrement suivi.
S’assurer que les paiements sont justifiés et dûment autorisés.
D. Circuit Paie-Personnel.
Ce circuit s’intéresse à l’aspect humain de l’organisation et traite alors tous les
éléments qui lui y sont rattachés : paie, recrutement, licenciement, retraite,
démission, accident de travail…etc.
Les risques liés à ce circuit sont :
Rémunération à des personnes fictives.
Non-respect des dispositions légales régissant le droit du travail à savoir :
respect du salaire minimum, droit de repos, heures de travail et heures
supplémentaires, primes d’ancienneté, les charges sociales…etc.
SGO 13
Audit interne & Contrôle Interne
Il faut alors s’assurer que :
Les séparations des tâches sont suffisantes.
La procédure de la paie est établie correctement.
Les dispositions légales régissant le travail sont respectées.
Les personnes figurant dans le journal de paie ont le droit de rémunération.
E. Circuit Production–Stock :
L’étude de ce circuit porte sur deux aspects (6):
Aspect produit ;
Aspect processus de production.
1- Aspect produit : le contrôle interne se doit de vérifier si les produits sont bien
stockés, et que les lieux de stockage permettent une protection suffisante du
produit.
2- Aspect processus de production : dans ce cas, le contrôle interne vérifie par
exemple la politique de sous-traitance.
F. Circuit Achat–Fournisseur :
C’est le circuit qui recouvre l’organisation de l’entreprise dans ses relations avec
ses fournisseurs de biens et services.
6(6) L.Collins et Valin, « Contrôle interne : Aspects financiers, opérationnels et stratégiques », p.202.
SGO 14
Audit interne & Contrôle Interne
CHAPITRE TROISIEMECHAPITRE TROISIEME ::
LE CONTRÔLE INTERNELE CONTRÔLE INTERNE : OUTIL: OUTIL
INCOUNTOURNABLE DE LA SECURITÉINCOUNTOURNABLE DE LA SECURITÉ
FINANCIEREFINANCIERE
Les nombreux scandales qui ont alors frappé les Etats-Unis en 2001 et au début
de l’année 2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout
WorldCom) ont entraîné, comme le rappelle Descheemaeker (2003), une
réaction brutale du législateur américain et l’adoption de la loi dite « Sarbanes-
Oxley », votée par le Congrès des Etats-Unis et ratifiée par le président Bush le
30 juillet 2002.
Cette loi Sarbanes-Oxley constitue la plus importante réforme aux Etats-Unis
depuis la crise des années 1930 et le Securities Act de 1934 qui régit encore
largement le monde de la finance aux Etats-Unis. Elle est guidée par trois grands
principes : l’exactitude et l’accessibilité de l’information, la responsabilité des
gestionnaires et l’indépendance des organes vérificateurs.
La loi a pour objectif d’augmenter la responsabilité de la société et de mieux
protéger les investisseurs, ainsi que redonner confiance aux investisseurs et aux
petits épargnants (Rioux, 2003). Cette loi comporte un volet qui nous préoccupe
directement : l’obligation pour les dirigeants des sociétés américaines d’évaluer
l’efficacité et la qualité de leur système de contrôle interne. Ainsi, après avoir
présenté brièvement les principaux éléments de cette loi, nous développerons
les dispositions portant sur le contrôle interne. Mais il convient de ne pas
négliger les conséquences de cette loi américaine, tant en termes d’organisation
des entreprises qu’au plan mondial. La loi sur la sécurité financière fournit un
excellent aperçu des possibles conséquences sur la santé financiére des
organisations.
SGO 15
Audit interne & Contrôle Interne
SSECTIONECTION 11 :: LLEE CONTENUCONTENU DEDE LALA LOILOI SSARBANESARBANES-O-OXLEYXLEY::
La loi contient six axes principaux (Rioux, 2003, Descheemaeker, 2003).
1.1 Certification des comptes
Le Directeur Général (Chief Executive Officer - CEO) et le Directeur Financier (Chief Financial Officer - CFO) sont obligés de certifier les états financiers publiés, au moyen d’une déclaration signée (loi Sarbanes-Oxley, section 302).
1.2 Contenu des rapports
Les entreprises doivent fournir à la Securities and Exchange Commission (SEC)
des informations supplémentaires afin d’améliorer l’accès à l’information et la
fiabilité de cette information. Les entreprises doivent rendre publics les
ajustements comptables identifiés par les auditeurs, les engagements hors bilan,
ainsi que les changements dans la propriété des actifs détenus par les
dirigeants. En outre, les dirigeants doivent rédiger un rapport sur les procédures
du contrôle interne (voir ci-après) et préciser si un code d’éthique a été adopté.
1.3 Contrôle de la SEC
La SEC devra procéder à un contrôle régulier des sociétés cotées, ce contrôle
devant intervenir au moins une fois tous les trois ans.
1.4 Création du Public Company Accounting Oversight Board (PCAOB)
Dans le cadre de la loi (sections 101-109), un nouvel organisme de
réglementation et de surveillance est créé, le Public Company Accounting
Oversight Board. Cet organisme doit superviser les cabinets d’audit, établir des
normes, mener des enquêtes et sanctionner les personnes physiques ou morales
qui ne respectent pas les règles. Dépendant de la SEC, ce nouvel organisme de
contrôle comprend cinq membres nommés par celle-ci, et dispose de pouvoirs
d’enquête et de sanction.
1.5 Sanctions
Des sanctions pénales sont créées et d’autres considérablement renforcées.
Nous retiendrons à titre d’exemple que la certification d’états financiers non
conformes à la réglementation est passible d’une amende d’un million de dollars
ou d’un emprisonnement de 10 ans au plus. En outre, la commission
intentionnelle de la même infraction fait passer l’amende à 5 millions de dollars
et l’emprisonnement à 20 ans (section 906 de la Loi Sarbanes-Oxley).
SGO 16
Audit interne & Contrôle Interne
La falsification de documents dans le but de faire obstacle à une enquête fait
l’objet d’une amende à laquelle peuvent venir s’ajouter des peines de prison
pouvant atteindre 20 ans (section 802).
SSECTIONECTION 22 :: LLEE CONTRÔLECONTRÔLE INTERNEINTERNE DANSDANS LALA LOILOI SSARBANESARBANES-O-OXLEYXLEY
Dans le cadre de l’amélioration du contenu des rapports évoquée ci-dessus, la loi
Sarbanes- Oxley contient divers articles concernant les nouvelles responsabilités
des dirigeants d’entreprise en matière de contrôle interne. Il s’agit notamment
des sections 302 et 404. Il paraît cependant utile de fournir brièvement une
définition de la notion de contrôle interne et de s’interroger sur l’éventuel
diagnostic sur les insuffisances du contrôle interne sous-jacent à la loi Sarbanes-
Oxley.
2.1. Insuffisances du contrôle interne
Alors que la loi Sarbanes-Oxley contient des dispositions très importantes en
matière de contrôle interne, nous ne trouvons pas trace d’un éventuel diagnostic
sur les insuffisances de ce contrôle. Par exemple, dans le rapport du Sénat
américain (2002) publié à la suite de l’affaire Enron, plusieurs causes de la
débâcle sont avancées : non-respect des obligations fiduciaires (manque de
contrôle du conseil d’administration), comptabilité à haut risque, conflits
d’intérêts indésirables, importance du « hors bilan », rémunérations excessives
et manque d’indépendance (du conseil d’administration et des auditeurs). Le
contrôle interne n’est aucunement mentionné comme ayant été un « problème »
dans le cadre de l’affaire Enron. Aussi, les dispositions de la loi Sarbanes-Oxley
sur le contrôle interne sont souvent présentées sans motivation spécifique mais
comme contribuant à l’amélioration de l’information financière (voir Rioux, 2002
et Descheemaeker, 2003).
2.2. Certification des états financiers (Section 302)
Avant d’aborder le contrôle interne proprement dit, il convient de mentionner le
fait que, aux termes de la section 302 de la Loi8, le Directeur Général (CEO) et le
Directeur Financier (CFO) de l’entreprise doivent préparer une déclaration,
accompagnant le rapport des auditeurs, qui certifie la validité des états
financiers et des indications hors bilan contenues dans le rapport annuel (ou les
rapports périodiques). Cette déclaration doit aussi signaler que les états
financiers présentent de manière sincère, dans tous leurs aspects significatifs, la
situation financière et les résultats de l’activité de l’entreprise.
SGO 17
Audit interne & Contrôle Interne
Ce travail qui impose une « certification des états financiers » par les dirigeants
a également des conséquences en matière de contrôle interne puisque les
dirigeants attestent qu’ils :
- sont responsables de la mise en place et du maintien du contrôle interne9 ;
- ont conçu ce contrôle de telle sorte que toute information significative
concernant l’entreprise et les sociétés consolidées est connue par les dirigeants,
notamment pendant la période de préparation des rapports périodiques ;
- ont évalué l’efficacité du contrôle interne de l’entreprise à moins de 90 jours de
la publication des rapports ;
- ont présenté dans leur rapport leurs conclusions concernant l’efficacité du
contrôle interne fondées sur leur évaluation.
En outre, les dirigeants doivent signaler aux auditeurs et au comité d’audit les
déficiences dans le contrôle interne et les fraudes liées au contrôle interne.
Enfin, les dirigeants doivent mentionner dans leur rapport s’il y a eu des
changements significatifs dans le contrôle interne après la date d’évaluation.
2.3. Evaluation du contrôle interne (Section 404)
La Loi11 exige que chaque rapport annuel contienne un rapport sur le contrôle
interne qui :
- confirme que la direction est responsable de la mise en place et de la gestion
d’une structure de contrôle interne adéquate et de procédures pour la
communication financière.
- contienne une évaluation de l’efficacité de la structure de contrôle interne et
des procédures de communication financière, à la date de clôture des comptes.
Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur
l’évaluation du contrôle interne réalisée par la direction de l’entreprise.
2.4. Commentaires
Depuis longtemps, la SEC avait essayé de faire adopter des propositions sur le
reporting du contrôle interne, mais toute tentative avait échoué jusqu’en 2002,
quand la mise en place de la loi Sarbanes-Oxley fournit l’occasion notamment
pour définir les obligations des sociétés au sujet du contrôle interne (Barlas,
2003).
SGO 18
Audit interne & Contrôle Interne
La réaction des groupes cotés n’a pas été enthousiaste : les réticences qui
avaient joué contre les anciennes propositions étant toujours présentes, mais le
pouvoir de négociation des sociétés s’est trouvé affaibli suite à la série de
scandales des années 2001-2002.
Les objections à l’encontre des dispositions de la loi sur le contrôle interne sont
notamment les suivantes (Barlas, 2003) :
- le coût des procédures d’attestation et du rapport fourni par des auditeurs
indépendants pourrait être trop élevé et finalement dépasser la valeur de
l’information apportée aux investisseurs.
- les normes qui doivent être élaborés par le PCAOB (organisme évoqué
précédemment) concernant l’émission des rapports sur le contrôle interne ne
sont pas encore publiées. Or une telle publication sur le contrôle interne va
inévitablement soulever une problématique coûts/bénéfices. Quelle information
publier ? Cette information est-elle utile ? Cette information n’est-elle pas trop
coûteuse ?
SSECTIONECTION 33 :: CCONSÉQUENCESONSÉQUENCES DEDE LALA LOILOI SSARBANESARBANES-O-OXLEYXLEY SURSUR
LL’’ORGANISATIONORGANISATION DEDE LL’’ENTREPRISEENTREPRISE
La loi Sarbanes-Oxley, et notamment ses composantes traitant du contrôle
interne, va tout d’abord avoir des conséquences sur les entreprises elles-mêmes.
L’objectif de la SEC avec la loi Sarbanes-Oxley est, rappelons-le, de s’assurer
qu’une société met bien en place les procédures nécessaires à la collecte,
l’analyse et la diffusion de toute information qui doit être incluse dans les
rapports financiers. En conséquence, en raison de l’obligation de certifier les
états financiers par la direction de l’entreprise (sec. 302 de la loi), les sociétés
doivent considérer le fait d’adopter des procédures internes particulières pour
délivrer ces certifications.
Dans ce contexte, le Directeur Général et le Directeur Financier doivent discuter
avec le Comité d’Audit, le Conseil d’Administration et les auditeurs externes,
toute déclaration concernant les états financiers de l’entreprise mentionnée
dans les rapports périodiques.
Si l’on en vient au contrôle interne, la loi oblige les entreprises à évaluer, sous la
responsabilité de la Direction, l’efficacité de la conception et la mise en place
des procédures de contrôle. Cette évaluation a pour objectif d’identifier les
SGO 19
Audit interne & Contrôle Interne
points faibles de chaque procédure ainsi que toute faiblesse qui puisse mettre en
cause la capacité de l’entreprise à collecter, analyser et révéler l’information
exigée dans un délai de temps défini. Tout changement dans les procédures de
contrôle, y compris les actions correctives qui ont été prises suite à
l’identification de faiblesses ou déficiences, doit également être évalué. Avant la
publication du rapport annuel, les résultats de cette évaluation doivent être
communiqués et réexaminés par la Direction et par le Conseil d’Administration
de l’entreprise (Sullivan, 2002).
La SEC ne propose pas de procédures spécifiques pour diriger cette évaluation.
Chaque entreprise doit plutôt développer les procédures qui s’adaptent le mieux
à sa gestion et au déroulement de ses activités. Néanmoins, la SEC propose la
création d’un comité dépendant de la Direction qui serait responsable de
l’évaluation du caractère significatif des informations obtenues (materiality of
information) et de la détermination de l’opportunité de leur publication
(determining disclosure obligations on a timely basis ).
Selon la SEC, ce comité peut être formé par les membres suivants (Sullivan,
2002) :
- Chef comptable (principal accounting officer)
- Responsable juridique ou membre du management qui rend compte au
responsable juridique (the general counsel or other senior legal official with
responsibility for disclosure matters who reports to the general counsel )
- Responsable de la gestion des risques (principal risk management officer )
- Responsable des relations avec les actionnaires (chief investor relations officer)
- Autres membres du management ou employés, y compris des personnes qui
participent aux différentes activités, si la société le juge nécessaire.
Enfin, les exigences de la loi Sarbanes-Oxley sur la validation du contrôle interne
augmenteront sensiblement le coût de l’audit pour les groupes cotés aux Etats-
Unis (Accounting Office Management & Administration Report, 2002) : les
auditeurs voudront avoir la certitude que le processus de contrôle choisi par le
management est rigoureux, ce qui comportera un renforcement des
vérifications. Les contrôles financiers devront être dûment documentés et
communiqués à toutes les personnes concernées, et leur efficacité testée.
SGO 20
Audit interne & Contrôle Interne
Inévitablement, ces lourdes procédures risquent de focaliser l’attention du
management sur la forme des contrôles, et de faire passer au deuxième plan le
contenu.
SGO 21
Audit interne & Contrôle Interne
VOLETVOLET IIII::LA PRATIQUE DE L’AUDIT INTERNELA PRATIQUE DE L’AUDIT INTERNE
SGO 22
Audit interne & Contrôle Interne
DÉFINITIONSDÉFINITIONS ::
L'audit interne est maintenant une fonction d'assistance au management, Issue du
contrôle comptable et financier, la fonction audit interne recouvre de nos jours une
conception beaucoup plus large et plus riche, répondant aux exigences croissantes
des la gestion de plus en plus complexe des entreprises : nouvelles méthodes de
direction (délégation, décentralisation, motivation), informatisation, concurrence... La
déclaration des responsables de l'audit interne de l'I.I.A. (The Institute of Internal
Auditors) indique :
« L'audit interne et à l'intérieur d'une entreprise (ou d'un organisme), une activité
indépendante d'appréciation du contrôle des opérations ; il est de l'entreprise (ou de
l'organisme). C'est, dans ce domaine, un contrôle qui a pour fonction d'estimer et
d'évaluer l'efficacité des autres contrôles ».
Son objectif est d'assister les membres de l'entreprise (ou de l'organisme) dans
l'exercice efficace de leurs responsabilités. Dans ce but, l'audit interne fournit des
analyses, des appréciations, des recommandations, des avis et des informations
concernant les activités examinées. Ceci inclut la promotion du contrôle efficace à un
coût raisonnable.
L'audit interne apporte sa contribution à l'ensemble des activités de l'entreprise car
dans chaque domaine - qu'il s'agissent des aspects financiers, administratifs,
informatiques, industriels, commerciaux ou sociaux - d'après Larry Sawyer, diriger
c'est toujours planifier les tâches, organiser les responsabilités, conduire les
opérations et en contrôler la marche. Le management, l'accompagne et l'éclaire.
Larry Sawyer dit :
"La tâche de dirigeant est difficile. L'aide dont il a le plus besoin n'est pas celle d'un
vérificateur qui pointe des chiffres, ou même signale la violation des règles et des
procédures, ou montre qu'elle sont périmées, inapplicables ou inefficaces ; c'est celle
de quelqu'un qui peut comprendre ses problèmes et lui donner des avis sur la façon
de les résoudre en se fondant sur les principes éprouvés du management".
L'audit intervient mandaté par la Direction pour aller examiner un point ou une
activité de l'organisation - une filiale, une fonction, un processus - et établir un
diagnostic alertant les responsables et la direction, et une thérapeutique visant la
sécurité des actifs et la fiabilité des informations, l'efficacité des opérations, la
compétitivité de l'organisme (mais pas plus que le médecin, l'audit ne met en oeuvre
la prescription qu'il recommande).
SGO 23
Audit interne & Contrôle Interne
Envoyé en terrain peu connu, dans une filiale ou sur un sujet qu'il découvre, muni
d'informations partielles et approximatives et généralement sans connaissance
technique approfondie des opérations à examiner, l'auditeur doit déceler leurs
principales faiblesses, en déterminer les causes, en évaluer les conséquences, leur
trouver un remède et convaincre les responsables d'agir.
Ce métier d'auditeur est passionnant mais difficile. Il demande des qualités
personnelles et des connaissances variées, notamment des connaissances en
management. L'auditeur pratique en effet le doute méthodique, il s'appuie sur les
quatre préceptes énoncés par Descartes il y a plus de 350 ans dans son Discours de
la méthode pour bien mener sa raison et chercher la vérité...
1) Ne recevoir aucune chose pour vraie que je ne la connusse évidemment être
elle...;
2) Diviser chacune des difficultés... en autant de parcelles... qu'il serait requis pour
les mieux résoudre ;
3) Conduire par ordre mes pensées, en commençant par les objets les plus simples et
les plus aisés à connaître, pour monter peu à peu... jusqu'à la connaissance des plus
composés...;
4) Faire partout des dénombrements si entiers, et des revues si générales, que je
fusse assuré de ne rien omettre".
De la méthode cartésienne on ne retient souvent que l'analyse, malgré le troisième
précepte et le but recherché : reconstruire la science en partant du principe "Je pense
donc je suis".
De même, l'auditeur fait d'abord preuve d'ouverture, il écoute, prête l'oreille, prête
attention, observe et analyse (j'audite donc je pense) ; puis il fait la synthèse de ses
observations et déductions pour imaginer des solutions, reconstruire l'organisation
(j'audite donc j'anime).
L'auditeur doit maîtriser les techniques et outils de son art : l'interview, le diagramme
de circulation... Mais connaître son métier n'est pas seulement savoir manipuler les
appareils et les outils, c'est aussi avoir une approche des situations et des problèmes,
c'est-à-dire démarche. Le bon sens et l'intuition ne suffisent pas ; le génie peut-être,
mais peut-on compter dessus ?
SGO 24
Audit interne & Contrôle Interne
L'auditeur n'est normalement pas en situation d'expert (ou génie du marketing
gourou de la stratégie, magicien de la finance), et même s'il l'est, il s'appuie sur une
méthodologie. La "méthodologie" est ce qu'il y a de commun à toute mission d'audit.
CHAPITRE PREMIERCHAPITRE PREMIER ::
SGO 25
Audit interne & Contrôle Interne
EMERGENCE DU CONCEPT DE L’AUDIT INTERNEEMERGENCE DU CONCEPT DE L’AUDIT INTERNE
A.A. DDUU CONCEPTCONCEPT DEDE LL’’AUDITAUDIT INTERNEINTERNE
Au départ, l'audit est une technique de mesure d'éventuelles dérives par rapport à
certaines normes. C'est le cas, par exemple, pour la certification légale des comptes,
qui est une obligation d'autant plus facile à instaurer que les normes en ce domaine
sont précises. Par contre, certifier qu'une entreprise et dans une situation régulière à
l'égard du fisc est déjà une gageure... Mais à supposer que cette entreprise soit,
apparemment en situation régulière, qui se hasardera à affirmer qu'il n'y a pas de
risque de redressement...? Ceci ne veut pas dire pour autant qu'un auditeur interne
(ou externe d'ailleurs) se refusera à conduire des investigations en matière fiscale,
mais à l'évidence, l'audit s'oriente de plus en plus vers une approche intégrée globale
de l'entreprise. Chaque audit particulier doit permettre de déboucher sur un audit de
direction. L'audit de stratégie couronne l'édifice en permettant de vérifier que
chacune des fonctions de l'entreprise est efficace dans la réalisation du résultat final.
L'audit devient alors un audit de la performance et les normes d'audit se situent dans
la réalisation des quatre notions suivantes :
notion d’efficacité
notion d'efficience
notion de pertinence
notion d’économie
Notion d’efficacité : une réponse positive à la question "est-ce que l'objectif est atteint ?" souvent
donne naissance à la question suivante : existe-t-il une autre alternative plus efficace, pour
atteindre les mêmes résultats ? L'efficacité examine le rapport entre l'effort et la performance.
Par efficience, on entend le rapport entre les biens ou les services produits, d'une part, et les
ressources utilisées pour les produire, d'autre part.
Dans une opération basée sur l'efficience, pour tout ensemble de ressources utilisées le produit
obtenu et maximum, ou encore les moyens utilisés sont minimaux pour toute qualité et quantité
données de produits ou de services.
La notion de pertinence reste très subjective et difficile à mesurer. Toutefois, on pourra admettre
que la pertinence est la conformité des moyens et des actions mis en oeuvre en vue d'atteindre un
SGO 26
Audit interne & Contrôle Interne
objectif donné. Autrement dit, être pertinent c'est atteindre efficacement et d'une manière efficiente
l'objectif fixé.
Par économie, on entend les conditions dans lesquelles on acquiert des ressources humaines et
matérielles. Pour qu'une opération soit économique, l'acquisition des ressources doit être faite
d'une qualité acceptable et au coût le plus bas possible.
Audit interne vs Audit externe :
RUBRIQUE AUDIT INTERNE AUDIT EXTERNEStatut de l’intervenant
Dépendance de la direction Indépendant
Finalités Sécurité de la direction Sécurité des actionnaires et des tiers
Objectifs *Régularité et rigueur de l’information interne et externe*Sécurité des personnes et des biens*Efficacité de la gestion
Régularité et sécurité de l’information publiée
Moyens *Négocie son programme de travail*Passe le contrôle interne en revue pour provoquer des améliorations*Travaille sur ordre de mission
*fixe lui-même son programme de travail*Passe le contrôle interne pour déterminer le niveau de ses contrôles*Négocie le nombre de ses mandats
Axe de recherche Non respect du cadre juridique, réglementaire ou comptableNon actualisation des comptesErreurs ou omissionsFraudes, gaspillage ou perte
Non respect du cadre juridique, réglementaireNon respect de la sincérité des comptesErreurs ou omissionsfraudes
Domaine d’intervention
Compte, opération, élément du patrimoine, organisation et système, structure et fonction, budgets,…
Compte, opération, élément du patrimoine, budget.
Résultat Recommandations et suivi représentent un outil de gestion et de direction
Certification avec ou sans réserves ou refus de certification sont un outil d’information
Attribution Audit de régularitéAudit d’efficacitéAudit diagnostic
Audit de régularité en grande partie
B.B. AA QUOIQUOI SERTSERT LL’’AUDITAUDIT INTERNEINTERNE ??
Dans l'idéal, un bon interne pourrait répondre à la définition suivante : c'est dispositif
interne à l'entreprise (ou à l'administration) qui vise à :
Apprécier l'exactitude et la sincérité des informations, notamment comptable,
qui sont produites par les systèmes d'information internes à l'entreprise,
SGO 27
Audit interne & Contrôle Interne
Assurer la sécurité physique et comptable des opérations et vérifier la bonne
application des règles et des procédures applicables,
Garantir l'intégrité du patrimoine de l'entreprise et permettre l'appréciation des
risques engagés,
Juger de l'efficacité des systèmes de gestion (appréciation des résultats de
l'organisation, des procédés de production).
Dans le secteur bancaire, ces différentes fonctions sont primordiales du fait des
risques financiers encourus par les entreprises.
L'information sur la situation exacte du porteuse, le calcul des gains et des pertes
potentiels qui en découlent (plus et moins-values latentes), la nécessaire utilisation
des instruments de couverture existants ne peuvent être correctement assurés qu'à
ce prix.
Par ailleurs, l'audit interne présente également une vertu qui est loin d'être
négligeable : il permet d'informer les auditeurs externes... Et ce, de deux façon :
d'abord par les résultats et les critiques qu'il relève, qui donnent à ceux-ci des
éléments de réflexion et leur suggèrent des pistes de recherche : ensuite par les
qualités ou les défauts qui lui sont propres : l'inexistence ou la faiblesse caractérisée
d'un service d'audit interne, l'insuffisance des missions de contrôle, la faiblesse des
normes utilisées sont autant de signes d'une mauvaise gestion de l'entreprise.
C.C. MMESURESESURES DD’’EFFICACITÉEFFICACITÉ DD’’UNUN CCONTRÔLEONTRÔLE INTERNEINTERNE ::
Les critères utilisés permettant de juger de la qualité d'un service d'audit interne sont
les suivants :
Indépendance des auditeurs internes : Cette conditions est souvent assurée
par un rattachement hiérarchique des services d'audit à la direction générale,
mais une telle solution n'est pas non plus exemple de risque ; il est en tout état de
cause essentiel que les conclusions des auditeurs internes soient transmises sans
interférence aux principaux responsable de l'entreprise,
Compétence reconnue des auditeurs internes, notamment dans les
disciplines fondamentales de leur métier : comptabilité, analyse financière,
organisation, informatique,
Existence d'une véritable programmation des travaux d'audit, en fonction
d'objectifs et de priorités définis préalablement, qui permet une affectation
optimale des moyens disponibles tout en assurant un nombre minimal des audit
SGO 28
Audit interne & Contrôle Interne
annuels ; recours concomitant à des contrôles opinés dans les services, à
l'initiative des auditeurs et pas seulement à la demande des dirigeants (condition
d'indépendance),
Elaboration et utilisation de normes d'audit ou, pour le moins de méthodes
harmonisées de contrôle, de règles écrites réunies par exemple dans un "manuel
d'audit",
Exhaustivité et permanence du dispositif de l'audit, qui doit permettre
d'analyser l'intégralité des activités de l'entreprise, même si les contraintes de
moyens et d'efficacité impliquent de concentrer les efforts sur les principales
zones à risques ; le recours aux techniques d'audit informatique - Les auditeurs
étant branchés directement sur les systèmes informatiques de l'entreprise - offre
une solution intéressante.
Garantie de l'efficacité des audits par un dispositif permettant d'assurer les
suites nécessaires aux constations des auditeurs : structures de décision et
d’arbitrage, compte rendu annuel des réalisations, etc.
Un bon audit interne constitue en fait une véritable assurance contre le risque : elle
ne l'élimine certainement pas mais permet de l'appréhender, de le gérer et d'en
limiter les conséquences.
La définition de l'audit interne, telle qu'elle est promulguée par « l’Institue of Internal
Auditors » à subi plusieurs révisions en 1974, 1957 et 1971 et, partant d'un point de
vue strictement comptable, et axé sur la recherche des fraudes, l'audit interne a
progressivement étendu son champ d'action à toutes les activités de l'entreprise et a
orienté son activité vers l'amélioration des procédures de l'entreprise.
D.D. QQUALITÉSUALITÉS DEDE LL’’AUDITEURAUDITEUR INTERNEINTERNE ::
Indépendance : Les auditeurs internes doivent indépendants des activités
qu'ils auditent.
Compétence professionnelle : les auditeurs internes doivent effectuer leurs
travaux avec compétence et conscience professionnelle.
Etendue des travaux : L'audit interne a pour vocation d’évaluer toutes les
opérations, tous les rouages, tous les systèmes, toutes les fonctions de
l’entreprise. Cette notion d'universalité qui est l'essence même de l'audit
interne, s'exerce dans un cadre spécifique qui est celui de l’évolution de
l'efficacité du système de contrôle interne.
SGO 29
Audit interne & Contrôle Interne
Exécution du travail d'audit : le travail d'audit doit comprendre la
planification des missions, l'examen et l'évaluation des informations recueillies,
la communication des résultats obtenus et le suivi.
Gestion du service d'audit interne : Le directeur de l'audit interne doit
diriger son service de façon appropriée.
E.E. AAUDITUDIT INTERNEINTERNE ETET HHIÉRARCHIEIÉRARCHIE
L'audit interne dispose d'un référentiel. Celui-ci se compose de standards et d'une
charte qui fixent les règles dans lesquelles s'exerce la fonction de l'audit interne dans
l'entreprise.
La structure du service d'audit interne peut différer d'une entreprise à l'autre et
dépend également des effectifs et de la taille du service.
L'auditeur est concerné par toutes les phases de l'activité. Il a accès à tous les
secteurs de l'entreprise.
Pour exercer convenablement cette responsabilité, l'auditeur doit au préalable
élaborer des plans. Le processus de cette planification nécessite la fixation d'objectifs
dans un plan pluriannuel qui couvre une période de 3 à 5 ans, liste des sujets
identifiés et les classes par degré de risque, détermine l'intensité et la périodicité des
audits et fixe les budgets temps.
Parallèlement, un programme annuel est établi, il fait référence au plan pluriannuel,
liste les missions de suivi des recommandations, les moyens disponibles, les missions
urgentes non programmées, l'identification des zones à risques dont l'analyse doit
retenir trois caractéristiques fondamentales, à savoir l'impact financier, la
vulnérabilité intrinsèque et le dernier état des connaissances sur le système de
gestion en place.
Recrutement des auditeurs internes : Le recrutement des auditeurs a pour
objectif de constituer une équipe d’auditeurs dont les caractéristiques permettront de
la remplir la mission assignée au service. Le choix de l’équipe est tributaire de
plusieurs considérations tels que les objectifs de l’audit (comptable, opérationnel,
régularité, efficacité, etc.) les contraintes économiques, techniques, etc.
La formation :
Trois niveaux sont à signaler :
La formation de base : Elle est indispensable pour acquérir les techniques,
les outils....
SGO 30
Audit interne & Contrôle Interne
La formation pour les audits spécialisés : Elle s’intéresse aux spécialités
telles que l’informatique, la trésorerie, la fiscalité, le juridique, le social, etc.
La formation sur le tas : Elle se fonde sur la travail en équipe associant
débutants et confirmés. Il est à noter que pour être plus opérationnel, il y a lieu
d’éviter le trop de spécialisation des équipes.
L’évaluation : L’évaluation des assistants est faite dès la fin de la mission. Elle porte
sur la performance réalisée et sur le potentiel de l’assistant et comporte des
recommandations. L’évaluation doit être présentée à l’intéressé.
Elle est basée sur des fiches d’évaluation ponctuelle de la performance de chacun
des auditeurs de l’équipe. Ces fiches sont établies par les chefs de mission.
SGO 31
Audit interne & Contrôle Interne
CHAPITRE DEUXIEMECHAPITRE DEUXIEME ::
LES NOUVELLES TENDANCES : L’AUDITLES NOUVELLES TENDANCES : L’AUDIT
INTERNE, VECTEUR D’UNE BONNEINTERNE, VECTEUR D’UNE BONNE
GOUVERNANCEGOUVERNANCE
Les scandales financiers à répétition, les états comptables irréguliers de certaines
sociétés cotées et l’effondrement boursier de ces dernières années ont créé un
véritable traumatisme au plan international. Les premières réactions, venues des
Etats-Unis, lieu de la plupart des affaires actuelles, exigent, par exemple pour la SEC
le 27 juin 2002, que les directeurs généraux et financiers des grandes sociétés cotées
certifient en prêtant serment la sincérité des comptes ou, au contraire, qu’ils
admettent publiquement les « zones d’ombre » existant dans leurs états financiers.
Le Sarbanes-Oaxley Act, promulgué par le président des Etats-Unis, conforte, le 30
juillet 2002, cette idée de poursuite des dirigeants et de responsabilité des conseils
d’administration.
De manière générale, ces premières évolutions légales participent à l’amélioration de
la gouvernance, entendue comme l’ensemble des « mécanismes organisationnels qui
ont pour effet de délimiter les pouvoirs et d’influencer les décisions des dirigeants,
autrement dit, qui gouvernent leur conduite et définissent leur espace
discrétionnaire» (CHARREAUX, 1997a, p. 1). Comme l’indique PESQUEUX, c’est en
effet « tout l’environnement politique et social de l’entreprise qui demande
aujourd’hui des comptes. Le Sommet de la Terre de Johannesburg (Afrique du Sud) –
et c’est extrêmement significatif – a mis en avant le terme anglais d’accountability1,
mais en lui rendant son sens originel, celui de donner une image fidèle de l’ensemble
des activités de l’entreprise, avec une connotation de responsabilité ».
A.A. DDÉVELOPPEMENTÉVELOPPEMENT DEDE LL’’OBLIGATIONOBLIGATION DEDE REDDITIONREDDITION DESDES COMPTESCOMPTES ::
Les nouvelles réglementations financières répondent à ces inquiétudes en
redéfinissant non seulement la responsabilité des équipes dirigeantes, mais aussi
celle des organisations chargées de l’audit externe légal. Concernant ce dernier point,
le Sarbanes-Oaxley Act aborde ainsi le rôle des auditeurs légaux en modifiant les
SGO 32
Audit interne & Contrôle Interne
règles d’indépendance des cabinets d’audit chargés de certifier les comptes des
émetteurs d’actions cotées.
En voulant instituer une nouvelle gouvernance plus transparente et efficace face à
certaines insuffisances, les textes actuels remettent ainsi au centre des
préoccupations les notions de responsabilité, d’audit externe et de reddition des
comptes. L’obligation de reddition des comptes3 apparaît en effet comme un sous-
ensemble de la gouvernance qui implique « le contrôle, l’évaluation et la supervision
des agents organisationnels pour s’assurer qu’ils agissent pour le mieux des intérêts
des actionnaires et des détenteurs d’intérêts »
B.B. L’L’AUDITAUDIT INTERNEINTERNE OUTILOUTIL DEDE DÉVELOPPEMENTDÉVELOPPEMENT DEDE LL’’ORGANISATIONORGANISATION ::
1 - Le contrôle interne, outil d’aide à l’atteinte des résultats :
Chaque dirigeant ou responsable d’entité organise et pilote le contrôle à l’intérieur de
son périmètre de délégation pour obtenir l’assurance raisonnable que les objectifs de
performance qui lui ont été fixés seront atteints. Ces activités de contrôle, menées à
tous les niveaux hiérarchiques et fonctionnels de la structure concernée, recouvrent
la mise en œuvre des délégations de pouvoir, la mise en place de dispositifs de
contrôle et d’autocontrôle, l’appréciation des performances opérationnelles, la
sécurité du patrimoine et la séparation des fonctions, lorsque celle-ci est requise.
2 - L’audit interne, fonction d’appui au management :
Outil de contrôle du contrôle interne, l’audit s’intègre (phase contrôle) dans le cycle
d’amélioration continue des performances construit autour des quatre phases
suivantes : planifier, déployer, contrôler, améliorer.
3 - L’audit interne, un des critères d’appréciation de la fiabilité des
informations financières : « Comités d’audit et règles d’audit »
Selon, la loi Sarbanes Oaxley, les entreprises doivent mettre en place un comité
d’audit indépendant pour superviser le processus de vérification. Ce comité est
responsable du choix, de la désignation, de la rémunération et la supervision des
auditeurs. Il doit également mettre en place des procédures pour recevoir et traiter
les réclamations mettant en cause la comptabilité, les contrôles internes comptables
et l’audit, et pour garantir le traitement confidentiel des observations émanant du
personnel de la société concernant des problèmes comptables ou d’audit (loi
Sarbanes-Oxley, section 301).
SGO 33
Audit interne & Contrôle Interne
En outre, la loi prévoit la rotation des auditeurs externes (section 203). Par ailleurs,
dans le souci de réduire les conflits d’intérêts, les auditeurs externes ne peuvent offrir
à l’entreprise dont ils vérifient les comptes, des services autres que ceux qui sont
directement reliés à cette activité (notamment des services liés à la mise en place de
systèmes d’information) (loi Sarbanes-Oxley, section 201).
Ainsi, l’avis émanant de l’auditeur externe dépendra amplement de l’appréciation du
contrôle interne. La disposition d’un service d’audit interne va constituer sans doute
une sécurité de plus, et anticipera certainement tous ou partie des irrégularités qui
peuvent être constatées.
SGO 34
Audit interne & Contrôle Interne
CHAPITRE TROISIEMECHAPITRE TROISIEME ::
LA PRATIQUE DE L’AUDIT INTERNELA PRATIQUE DE L’AUDIT INTERNE
Toute mission d’audit interne se passe en trois phases :
Phase d’Etude
Phase de Vérification
Phase de Conclusion
Mais chaque phase se subdivise elle-même en sous phases.
1. Notion de risque :
En langage courant, risque veut dire la réalisation d’un événement redouté, ses
conséquences, ses causes ou les trois à la fois.
Pour l’auditeur, le risque est la combinaison de trois constituants qu’il convient de
distinguer :
L’incident réalisé ou potentiel, ou manifestation du risque.
Son incidence financière (ou autre), ou impact du risque.
Les causes organisationnelles du risque, ou facteurs du risque.
Exemple :
Manifestation Impact Facteur
Audit de sécurité du stock d’emballage en carton
Détérioration Perte financière Laxisme (Indulgence)
S’il n’y a pas de conséquence regrettable pour l’entreprise, on ne peut pas parler d’un
risque.
Les conséquences financières d’un dysfonctionnement peuvent être exprimées en
pertes réellement constatées ou en en Manque à gagner.
Les impacts peuvent se situer directement au niveau financier, mais ils peuvent aussi
l’être indirectement.
SGO 35
Audit interne & Contrôle Interne
Les facteurs de risque sont donc des lacunes de l’organisation et il convient à
l’auditeur interne de les chercher et les chasser.
Il s’agit donc de lacunes au niveau de la conception de l’organisation où l’on a pas
prévu soit :
de faire : Par exemple un inventaire physique au moins une fois par an.
de contrôler que c’est fait : Par exemple demander un compte rendu à
l’employé responsable de l’établissement de l’inventaire physique.
S’assurer qu’il est correctement fait : Par exemple à travers des recoupements
avec les autres données au sein de l’organisation, il faut trouver un équilibre.
Suivre les performance : Par exemple, vérifier le respect des normes de
rotation de stock pour ne pas tomber en sur-stockage et générer ainsi des coût
inutiles.
Pour détecter ces risques (y compris ceux qui ont pour source l’extérieur de
l’entreprise), l’entreprise doit être décomposée en activités.
2. Ordre de mission :
L’ordre de mission est le mandat donné par la direction générale à l’audit Interne, qui
informe les principaux responsables concernés par l’intervention imminente des
auditeurs.
Pour des raisons d’urgence, l’ordre de mission peut ne pas être diffusé mais les
auditeurs ont implicitement le feu vert pour réagir à la situation qui se présente
devant eux.
Cet ordre de mission permet d’informer les acteurs de l’entité auditée afin que les
auditeurs puissent mener à bien leur mission. Il est distribué à tous les acteurs
concernés et comporte le nom des auditeurs qui mèneront le travail.
L’ordre de mission précise les motivations à l’origine de cette demande d’audit et le
titre du demandeur si ce dernier n’y voit pas d’inconvénient.
3. Le plan d’approche :
Le plan d’approche organise la phase d’étude ; il associe à une prise de connaissance
du domaine à auditer défini par l’ordre de mission et une prise de conscience de ses
habituels risques et opportunités d’amélioration, une décomposition du sujet de la
mission en objets auditables qui produit le référentiel (activités puis opération).
SGO 36
Audit interne & Contrôle Interne
Il s’agit d’être en mesure de :
Identifier les règles de référence, la définition des travaux et la méthodologie
optimale. l’auditeur doit être orienté dans son recensement des procédures et
outils existants. les Check List peuvent constituer une bonne aide dans la
préparation du travail. C'est la mesure de Régularité.
L’objet du plan d’approche est d’orienter la mission en fonction de l’évaluation
des facteurs clés de succès du domaine audité. Il s’agit de définir, identifier et
analyser les indicateurs permettant cette évaluation. L’auditeur doit être
orienté dans son appréciation par le rappel des concepts de référence en
organisation, en gestion et une documentation collectée sur le domaine étudié.
C’est la mesure de L’efficacité.
Il faut donc retenir que toute action d’audit ne doit émaner qu’après une réflexion
préalable elle-même étayée par une connaissance du domaine étudié
La première question à se poser est : « de quoi s’agit-il ? »
L’analyse des risques que le plan d’approche prépare va s’appuyer sur trois
éléments :
Une prise de connaissance du domaine à auditer.
Une décomposition du sujet de la mission, en général bref et abstrait en objets
auditables. On appelle objets auditables toute activité élémentaire du domaine
audité, enrichi de ses objectifs spécifiques, de ses risques et de ses
caractéristiques de fonctionnement. Il peut être une opération (Réception des
achats) ou un élément de fonctionnement (UN moyen de paiement : chèque)
Une prise de conscience des risques et opportunités d’amélioration que l’on
peut rencontrer dans le domaine : quels sont les points que l’on peut
examiner ?
Le référentiel d’analyse des risques :
Il s’agit de détecter la situation théorique à laquelle l’auditeur doit arriver ; c’est
l’ensemble des objectifs du contrôle
Les indicateurs et indices traduisent de manière concrète et détaillée les critères
d’évaluation qui permettrons d’apprécier, en terme de risque ou de résultat observé,
l’atteinte d’un objectif de contrôle.
L’organisation de la phase d’étude :
SGO 37
Audit interne & Contrôle Interne
L’ampleur que doit prendre la phase de reconnaissance et le degrés de finesse du
plan dépend du type d’objectifs d’audit- ouvert ou fermé- assignés à la mission, de la
connaissances ou méconnaissance du domaine audité, de l’expérience ou
l’inexpérience des auditeurs ; bref, des difficultés escomptées par l’auditeur.
Cela veut dire que si un auditeur maîtrise parfaitement le domaine en question
d’analyse, il passera rapidement sur l’analyse du risque et abordera les phases
suivantes de l’audit.
Dans cette phase, l’auditeur aura recours à diverses techniques dont les plus utilisées
sont : l’interview, la revue analytique et le diagramme de circulation.
Démarche de travail :
Programme de travail de la phase d’étude : Il précisera
o les diverses interviews à tenir, (nom, fonction, lieu, n° de téléphone ) et le plan
de chaque interview
o les visites à faire et les principaux renseignements à recueillir
o les recherche et travaux à réaliser pour compléter les informations utiles
(Identification des sujets, documents, emplacement....)
o Eventuellement, les travaux d’adaptation des programmes de travail
standards.
Budget, affectation des travaux, planning :
Le programme de travail de la phase d’étude, dès qu’il sera établi, servira de base à
la définition :
o Le temps nécessaire pour mener l’ensemble de la phase d’étude, y compris
l’analyse des risques
o Les divers déplacements à prévoir et les diverses charges et frais
correspondant.
o Les effectifs et compétences nécessaires
o Du planning à respecter pour établir le rapport d’orientation à une date fixée
raisonnable.
On peut dire que la phase d’étude représente le 1er tiers de la mission et 25% à 50%
du travail terrain.
4. Le tableau des forces et faiblesses apparentes :
SGO 38
Audit interne & Contrôle Interne
Il conclut la phase d’analyse des risques réalisée sur la base des objectifs définis dans
le plan d’approche ; il présente de manière synthétique et argumentée les
présomptions ou l’avis de l’auditeur sur chacun des thèmes analysés. il constitue
l’état des lieux des forces et faiblesses réelles ou potentielles et permet de
hiérarchiser les risques dans le but de préparer le rapport d’orientation.
En matière de régularité, les forces et faiblesses peuvent s’exprimer qualitativement
ou quantitativement par rapport à des règles, procédures et systèmes existants. En
matière d’efficacité, les forces et faiblesses peuvent s’exprimer qualitativement ou
quantitativement par rapport à des résultats attendus et à leurs conditions
d’obtention : cohérence des objectifs et des moyens, suivi des actions et des
résultats.
Ces forces et faiblesses doivent s’exprimer par rapport à un objectif de contrôle
interne ou une caractéristique normalement attendues pour assurer le bon
fonctionnement d’une organisation ou l’atteinte d’un résultat escompté.
5. Le rapport d’orientation :
Il définit et formalise les axes d’investigation de la mission et ses limites ; il les
exprime en objectifs à atteindre par l’audit pour le demandeur et les audités.
Il doit être effectué à partir du tableau des forces et faiblesses apparentes et
matérialisées par le responsable d’audit interne.
Il doit définir la mission en terme d’objectifs à atteindre par l’audit, exprimés dans le
langage de son client (le demandeur ou l’audité) et doit être discuté avec lui chaque
fois que cela est possible.
Sauf en matière de régularité, on ne recherchera pas l’exhaustivité mais un bon
rapport (compromis) entre les attentes -de la direction, du demandeur et des
audités- et les capacités en temps et compétences des auditeurs.
6. Le programme de vérifications :
Le programme de vérifications définit les travaux que l’auditeur va effectuer-
investigations- pour vérifier la réalité des forces et des faiblesses apparentes –
confirmer l’existence des forces et évaluer l’incidence des faiblesses. Ces travaux
peuvent être des observations, des rapprochements, des interviews....
SGO 39
Audit interne & Contrôle Interne
C’est la gamme de fabrication à mettre en œuvre pour atteindre les objectifs du
rapport d’orientation. C’est un document interne au service d’audit, destiné à définir,
répartir dans l’équipe, planifier et suivre les travaux des auditeurs.
7. Budget, allocation, Planning, Suivi :
Il organise la mission dans le temps et dans l’espace et ce à partir de la fin de la
phase d’étude à la diffusion du rapport (sachant que le plan d’approche organisait le
travail jusqu’à la fin de la phase d’étude). Il est reflété par l’état d’avancement de la
mission régulièrement mis à jour.
Chaque tâche du programme de vérification doit être estimée pour maîtriser le
déroulement de la mission au-delà de la phase d’étude et remettre en cause le
programme d’orientation.
Les tâches du programme de certifications doivent être affectées clairement aux
auditeurs pour qu chacun sache ce qu’il a à faire.
Les dates, lieu, temps et les tâches du programme de vérifications qui seront
effectués doivent être prévus pour organiser le déploiement des auditeurs, obtenir la
disponibilité des audités et contrôler les imprévus.
L’avancement des travaux doit être contrôlé pour maîtriser le déroulement de la
mission d’audit et assurer son efficacité
8. La feuille de couverture :
C’est un document qui, établi en deux temps, décrit les modalités de mise en œuvre
d’une tâche définie dans le programme de vérifications, puis met en évidence les
conclusions qui ont été tirées.
Elle est le document d’articulation entre le programme de vérifications et le travail
sur le terrain d’une section (ou partie de section ) avec ses conclusions , ainsi
qu’entre le dossier de analytique et le dossier synthétique.
Tout auditeur doit pouvoir comprendre et exécuter l’action prévue d’une manière
fiable et objective à la simple lecture de la feuille de couverture.
Il doit dresser les conclusions qui répondent de manière d’une manière précise,
concise et contrôlables aux buts fixés à l’action.
9. La Feuille de révélation et d’analyse du problème :
C’est le papier de travail synthétique par lequel l’auditeur documente chaque
dysfonctionnement, conclut chaque section du travail terrain et communique avec
l’audité concerné.
SGO 40
Audit interne & Contrôle Interne
La FRAP attire l’attention sur les conséquences des dysfonctionnements et les
recommandations de l’auditeur, plus que sur les faiblesses elles même.
Tout dysfonctionnement digne d’être signalé sera formulé sous forme de FRAP :
i. Le problème qui le résume.
ii. Les faits qui le prouvent
iii. Les causes qui l’expliquent
iv. Les conséquences que cela entraîne
v. Les recommandations qui le résolvent
Toute section de travail Terrain se termine par l’une des deux mentions « FRAP » ou
Pas de FRAP quand elle n’aboutit pas à un dysfonctionnement digne d’être signalé.
10. L’ossature du rapport :
Elle est élaborée à partir des problèmes figurants sur les FRAP- et des conclusions
figurant sur les feuilles de couverture pour les points satisfaisants - . Elle est
l’enchaînement des messages que l’audit veut livrer lors des présentations et dans le
rapport concluant la mission.
L’équipe d’audit doit structurer sa réflexion et organiser son discours avant de rendre
compte de ses travaux et conclusions aux principaux responsables audités,au
demandeur et à la direction que ça soit par oral ou par écrit.
Important : Il est tentant de rédiger directement le projet de rapport pendant le
travail terrain, mais tout n’est pas à dire et pas forcément dans le même ordre, d’où
l’utilité d’une ossature de rapport considérée comme un brouillon.
11. Le compte rendu final :
Le compte rendu final est la présentation orale par le chef de mission, au principal
responsable de l’entité auditée, des observations les plus importantes. Il est effectué
à la fin de l a phase du travail terrain. Il est parfois précédé de comptes rendus
provisoires.
Le compte rendu suppose de l’équipe d’audit une parfaite maîtrise des conclusions
avancées. Il engage sa crédibilité et peut avoir des conséquences irréversibles.
Avant de quitter le terrain, l’équipe d’audit doit répondre au souhait légitime, exprimé
ou non, du principal responsable de l’entité auditée, d’être informé et le premier du
résultat des vérifications effectuées et des conclusions dégagées. L’ossature du
SGO 41
Audit interne & Contrôle Interne
rapport en constitue la base. Il s’agit également de présenter les problèmes de façon
à convaincre le responsable de la nécessité de revoir son organisation.
12. Le rapport d’audit interne :
En fin d’intervention, le rapport d’audit interne est présenté.
SGO 42
Audit interne & Contrôle Interne
Pour Conclure :
Envoyé en terrain peu connu, muni d’information partielles et approximative et
généralement sans connaissance technique approfondies des opérations à examiner,
l’auditeur doit déceler leur principales faiblesses en déterminant les causes, en
évaluer les conséquences , leur trouver un remède et convaincre les responsables
d’agir.
C’est un métier passionnant mais difficile. Il demande des qualités personnelles et
des connaissances variées, notamment en management. L’une des caractéristiques
principales de l’auditeur est le scepticisme.
Il dépasse de plus en plus la stricte dimension comptable et financière pour
s'étendre à l'ensemble des fonctions de l'entreprise. En ce sens, un audit interne se
rapproche davantage d'un audit opérationnel ou d’une mission de conseil et s'éloigne
des pratiques et des finalités de l'audit externe qui se limite en principe au contrôle
de la validité des informations fournies par les systèmes existants.
C'est un examen méthodologique d'une situation, par une équipe structurée,
indépendante et compétente qui, d'une part, s'assure de la validité matérielle des
éléments qu'elle doit contrôler, et d'autre part, vérifie la conformité du traitement des
faits avec les règles, les normes et les procédures de contrôle interne, autrement dit,
examiner les composants de l’organisation et les conditions de fonctionnement d’une
activité déterminée, pour les comprendre et identifier les risques et opportunités
qu’ils recèlent .
SGO 43
Audit interne & Contrôle Interne
CONCLUSIONCONCLUSION
"L'audit est une fonction à part entière, qui mérite ses spécialistes, qui a ses
"créneaux", plus ou moins sujets à la mode, ce que dénotent les termes d'audit de
management, d'audit social, d'audit total".
Dans un environnement changeant, l'auditeur peut jouer un rôle dépassant largement
ce lui de "contrôleur" pou devenir un "catalyseur" encourageant les dirigeants
d'entreprise à agir...
Du rôle de simple "contrôleur" jusqu'à celui de "consultant" l'éventail est large et les
situations recentrées très variables d'une entreprise à l'autre.
Quoi qu'il en soit, l'existence d'une structure d'audit interne au sein d'un organisme
ou d'un entreprise traduit la volonté affirmée de la part de ses instances dirigeantes
de se doter d'un outil en vue de limiter les risques, de rendre les organisations
existences plus performantes, plus généralement d'accroître l'efficacité.
Encore s'agit-il de s'assurer que l'outil mis en place est bien apte à accomplir la
mission qu'on lui a assignée.
A l'évidence, quelle que soit la nature des missions confiées à l'audit interne, le
niveau d'efficacité sera fonction d'un certain nombre de paramètres, dont la plupart
ne sont d'ailleurs pas spécifiques à cette fonction, mais sont des critères valables
pour toute structure de l'entreprise qui se veut performante, car l'efficacité passe par
la" qualité totale" au sens actuel du terme.
L'efficacité, et donc le résultat pour l’entreprise, seront d'autant plus grands, que
chacun de ses critères aura pu être optimisé, apportant ainsi une contribution
significative à l'ensemble.
Cette optimisation a ses limites, qui peuvent être classées en quatre grandes
catégories, selon leur nature :
- Une première limite est liée aux hommes. Aux auditeurs bien sûr, compte tenu
de leurs aptitudes à assumer la fonction, de leurs connaissances, de leur formation,
de leurs qualités intrinsèques, mais aussi aux audités et à leur comportement, à leurs
réactions face aux contrôles qu'il subissent ou à la remise en cause éventuelle de leur
SGO 44
Audit interne & Contrôle Interne
façon de travailler et de leurs habitudes. Enfin, l'attitude des dirigeants d'entreprise
et le soutien qu'ils apportent à leur structure d'audit interne, tant au niveau du
rattachement hiérarchique, que de l'élaboration du programme annuel et de la prise
en compte des recommandations, est un gage majeur de réussite.
- Une deuxième limite est constituée par le rapport efficacité/coût. L'existence
d'une structure performante d'audit coûte cher en terme de salaires, de frais de
déplacements, de frais de structure. Il faut donc que l'équipe se rentabilise et il n'est
pas toujours évident de mesurer concrètement sa productivité.
- La troisième limite est liée au fait que la mise en place du contrôle interne vient
souvent à l'encontre de l'efficacité immédiate.
Ainsi, à titre d'exemple, avec le développement de l'informatique et la complexité des
problèmes qui lui sont liés, quel avantage pour l'entreprise de faire évoluer les gens
compétents et expérimentés !
- Le quatrième type de limite concerne l'évolution rapide des techniques et des
méthodes de travail, le meilleur exemple en étant l'informatique qui permet
désormais de travailler en temps réel, ce qui va tout à fait dans le sens de l'efficacité,
mais par contre, conduit souvent à des systèmes inauditables.
SGO 45
Audit interne & Contrôle Interne
J. Renard, «Théorie et pratique de l’Audit Interne», Edition d’organisation
2000.
Cahier Français « Audit & Management » n° 48. Lemant, « La conduite
d’une mission d’audit ».
Abdelhamid EL GADI « Audit et contrôle de gestion », Imprimerie MITHAK
AL MAGHREB – RABAT.
Bernard Grand et Bernard Verdalle, « Audit comptable et financier » Edition
Economica 1999.
Michel Joras, « Les fondamentaux de l’audit » Edition Préventique 1996.
Rapport de L’AMF 2003.
Jean Raffegeau « L’audit opérationnel » Edition PUF 1989
Jean Raffegeau et Alain Ritz « Audit et informatique » Edition PUF 1996
« La conduite d’une mission d’audit interne» IFACI Edition Dunod 1997
Lionel Colins & Gérard Vallin « Audit et contrôle interne. Aspects
financiers, opérationnels et stratégiques », 4ème édition Dalloz.
Mohamed Harakat « Finances publiques et droit budgétaire au Maroc »,
1ère édition 2002, Imp. El Maarif Al Jadida Rabat.
SGO
BIBLIOGRAPHIEBIBLIOGRAPHIE
46
Audit interne & Contrôle Interne
Annexe 1 : Développement historique du concept de l’audit
Annexe 2 : Evolution historique du champ du contrôle interne
Annexe 3 : La Notion de risque d’audit
Annexe 4 : Différences entre auditeurs internes et auditeurs externes
SGO
ANNEXESANNEXES
47
Audit interne & Contrôle Interne
DDÉVELOPPEMENTÉVELOPPEMENT HISTORIQUEHISTORIQUE DUDU CONCEPTCONCEPT DEDE LL’’AUDITAUDIT
La notion de l’audit et son apport à la vie économique ont été appréciés depuis
longtemps. En effet, l’histoire de l’audit est très ancienne, dès le 3ème siècle avant
Jésus Christ, les gouvernements romains désignaient des questeurs pour contrôler les
comptabilités de toutes les provinces. C’est à cette époque aussi que remonte
l’utilisation du terme Audit qui provient du verbe latin Auditeur qui signifie écouter.
L’audit trouve aussi ses racines dans l’histoire arabo-musulmane et ce en la Hisba.
Le Mouhtassib a dû être une sorte de commissaire au compte de la cité arabo-
musulmane andalouse ou maghrébine avant d’étendre ses prérogatives à d’autres
domaines d’activité. En effet, le principe, les règles et les procédures de la Hisba ne
constituaient rien d’autre qu’un système de contrôle interne. Un système qui, à l’âge
d’or de la civilisation arabo-islamique, n’a pas manqué d’être décrit et formulé.
L’objectif du travail de l’auditeur a évolué progressivement d’une recherche
spécifique des fraudes dans les écritures comptables jusqu’à une appréciation globale
de la fidélité des rapports émis par une agence économique et analyse critique de la
fiabilité des procédures et des structures de celle-ci.
Les objectifs de l’audit ont évolué à travers les temps, le tableau suivant représente cette
évolution :
Période Objectifs de l’audit
2000 avant Christ Punir les voleurs pour les détournements de fonds. Protéger le patrimoine.
1700 à 1850 Réprimer les fraudes et punir les fraudeurs. Protéger le patrimoine.
1850 à 1900 Eviter les fraudes et attester la fiabilité du bilan.
1900 à 1940 Eviter les fraudes et les erreurs et attester la fiabilité des états financiers historiques.
1970 à 1990 Attester la qualité du contrôle interne et le respect des normes comptables et normes d’audit.
A partir de 1990 Attester l’image fidèle des comptes et la qualité du contrôle interne dans le respect des normes. Protection contre la fraude internationale.
SGO
ANNEXE ANNEXE
48
Audit interne & Contrôle Interne
Source : « Audit et contrôle interne. Aspects financiers, opérationnels et stratégiques ». Lionel Colins & Gérard Vallin. 4ème édition Dalloz.
L’évolution de l’audit que l’on vient d’évoquer s’est produite dans un environnement
économique typique des pays occidentaux. Le développement de l’audit est dû
essentiellement aux pressions indirectes, puis directes d’un important marché
financier. Celui ci, imposé progressivement ses exigences quant à la qualité de
l’information financière et effectuait sur cette base l’analyse de la qualité de gestion.
et effectuait sur cette base l’analyse de la qualité de gestion.
EVOLUTIONEVOLUTION TERMINOLOGIQUETERMINOLOGIQUE DUDU CONCEPTCONCEPT DEDE CONTRÔLECONTRÔLE INTERNEINTERNE
Les premières utilisations du terme contrôle semblent dater du 18ème siècle
où il désigne en particulier la marque du poinçon de l’Etat sur une pièce d’orfèvrerie
(WATHELET, 2000, p. 165). Plus communément, la signification de ce terme est
rapprochée de « contre-rôle », c’est à dire du registre tenu en double par rapport
auquel on appréciait l’authenticité et la conformité du contenu du rôle (SANTO et
VERRIER, 1993, p. 65 ; BOUQUIN, 2001, p. 34).
Dans les deux cas, les significations traditionnelles du contrôle dominent, à savoir
celles de vérification, d’inspection et de surveillance (RATIER, 1978, p. 218).
Depuis, une autre acception de ce terme est apparue, au sens de maîtrise,
conformément à la principale signification du verbe anglais « to control ». BOUQUIN
(1994, p. 3) remarque, d’ailleurs, que le « contrôle de gestion est une traduction
pauvre de « management control » qui désigne le fait pour les dirigeants d’avoir la
maîtrise de l’organisation qu’ils gèrent ». Il semble, toutefois, que la bivalence du
terme de contrôle ne soit pas essentiellement due à la traduction dans un sens
anglais - français. GOODWIN déclare, en effet, que cette confusion a pour source la
première traduction anglaise de l’ouvrage de FAYOL (1916) où le contrôle aurait du
être traduit par « to measure, to compare, to examine, to check or to inspect», au lieu
du verbe « to control ».
Pour illustrer cette confusion, Mc MICKLE (1978, p. 221) utilise deux analogies
diamétralement séparées. La première reprend les propos de LONGENECKER qui
affirme que : « le contrôle renvoie à la régulation de l’organisation pour s’assurer de
la réalisation des objectifs organisationnels et de l’achèvement des plans
SGO
ANNEXE ANNEXE
49
Audit interne & Contrôle Interne
organisationnels. Cela correspond, dans un sens à la conduite et au freinage d’une
automobile. ».
D’un autre côté, GOODWIN observe que « si on se demandait lequel, entre le volant
et le compteur de vitesse, était le mécanisme de contrôle de notre voiture, la plupart
d’entre nous vont sans hésiter choisir le volant. Pourtant dans le sens du
management, la seule réponse correcte est le compteur ».
Dans la première de ces deux analogies, le contrôle est utilisé au sens de pilotage,
tandis que la seconde fait référence au concept de mesure, plus proche de la
conception de FAYOL (1916).
Cette opposition terminologique, entre la notion de surveillance, attachée aux
dimensions de pouvoir et de sanction (CHAUDEMANCHE et COHANIER, 1997), et
la notion de maîtrise, semble pouvoir se justifier selon une logique moyens/fin,
grâce à laquelle la différence entre « contrôles » et « contrôle » peut aussi être
motivée. Il apparaît, en effet, que l’acceptation originelle et traditionnelle du contrôle
fait référence aux moyens mis en œuvre pour s’assurer de la conformité par rapport à
un référentiel de normes ou à un système de règles.
FRANCOIS-NOYER (1994) parle, dans ce cas, de « contrôles », proches des principes
de mesure et d’information, en relation avec les faits et ayant un caractère analytique
et opérationnel. Au contraire, le contrôle entendu au sens de maîtrise met l’accent
sur l’objectif poursuivi par l’organisation. Le « contrôle » devient alors une finalité,
généralement fonction des souhaits de l’équipe dirigeante et ayant un caractère
normatif.
Aussi cette différenciation terminologique du contrôle nous permet de mieux
comprendre la relative confusion entre les différentes définitions du contrôle et du
contrôle interne. En effet, certaines de ces définitions sont, tout d’abord, fondées sur
une logique de moyen.
Ainsi pouvons-nous constater par exemple avec GIBERT (1980, p. 44) que le contrôle
est « un système d’information qui permettra de voir si les objectifs ont été atteints
(contrôle d’efficacité) et si la consommation de moyens n’a pas été excessive eu
égard aux résultats obtenus (contrôle d’efficience) ».
Il est encore défini par FLAMHOLTZ (1983, p. 154) comme « les actions et activités
engagées pour influencer la probabilité que les individus iront dans le sens qui
conduit à la réalisation des objectifs organisationnels »
EVOLUTIONEVOLUTION HISTORIQUEHISTORIQUE DUDU CONCEPTCONCEPT DUDU CONTRÔLECONTRÔLE INTERNEINTERNE
SGO 50
Audit interne & Contrôle Interne
Si l’utilisation de vérificateurs dans l’administration, remonte à l’antiquité
grecque & romaine, en France la cour des comptes a été créée en 1319 (par
ordonnance de Philippe Le Long).
Les méthodes évoluent conjointement à la notion de contrôle interne (voir annexe 1 :
développement historique du concept de l’audit) dont les principaux développements
sont les suivants :
Jusqu’en 1929, la notion de contrôle interne n’existe pas. Nous sommes à l’ère du
capitalisme « sauvage ».
Les entreprises croissent dans un contexte qui n’est pas encore réactif à la notion de
risque.
Phase 1 : La crise de 1929
Le contrôle interne est balbutiant, il s’agit avant tout d’un contrôle de régularité par
rapport aux normes comptables.
Phase 2 : entre la crise de 1929 et les années 1960
C’est l’ère des multinationales modernes. Les contrôles mis en œuvre entre le siége
et les filiales sont avant tout des contrôles de conformité aux procédures définies par
le groupe.
Phase 3 : des années 1960 aux années 1980
On assiste à l’extension du contrôle interne à des notions d’efficacité, de qualité voire
d’efficience compte tenu d’un environnement concurrentiel accru.
C’est l’ère des regroupements de moyens et de la chasse aux « gaspillages ».
Phase 4 : des années 1980 aux années 1990
Des pans entiers de l’industrie américaine sont secoués (IBM, Genenral Motors…). Les
ressources de l’entreprise doivent être alors mobilisées pour appliquer la politique de
restructuration des Grands Patrons qui viennent d’être nommés.
Les « process » doivent être contrôlés et rationalisés mais également correspondre
aux politiques décidées par les managers.
Phase 5 : des années 1990 aux années 2001
SGO 51
Audit interne & Contrôle Interne
De nombreux scandales sont venus ébranler la confiance portée sur le système de
contrôle interne et la moralité des dirigeants des grandes entreprises (caisses
d’épargne américaines…). Il convient de retrouver une éthique dans le déroulement
des affaires (état d’esprit). L’efficacité, l’efficience des « process » sont toujours
recherchées mais dans un contexte ou les décisions du management sont toujours
contrôlées.
Phase 6 : depuis les années 2001
Les nombreux scandales qui ont frappé les Etats-Unis en 2001 et au début de l’année
2002 (avec Enron, en tête, mais aussi Adelphia, Xerox, et surtout WorldCom) ont
entraîné, une réaction brutale du législateur américain et l’adoption de la loi dite «
Sarbanes-Oxley ». Cette loi constitue la plus importante réforme aux Etats-Unis
depuis la crise des années 1930 et le Securities Act de 1934 qui régit encore
largement le monde de la finance aux Etats-Unis (voir en détail chapitre 3 du volet 1).
evolution historique du champ du contrôle interne des organisations
1962 1977
OECCA - France
1992
Committee of sponsoring
organisation – COSO -1992
*Organisation rationnelle de
la comptabilité.
*Prévention des erreurs.
*Prévention des fraudes.
*Partie intégrante de
l’organisation.
*Dispositif permettant :
- La prévention
- La sauvegarde du patrimoine
- Assurance de l’application des
instructions
- Amélioration de la performance
*Processus visant à fournir une
assurance raisonnable sur la
réalisation des objectifs
*Système de management
stratégique
*Optimisation des opérations
*Respect des lois &
règlements.
Source : « Finances publiques et droit budgétaire au Maroc ». Mohamed Harakat. 1ème édition 2002, Imp. El Maarif Al Jadida Rabat.
LALA NOTIONNOTION DEDE RISQUERISQUE DD’’AUDITAUDIT
SGO
ANNEXE ANNEXE
52
Audit interne & Contrôle Interne
La notion de risque d’audit apparaît comme complexe et difficilement saisissable
(Power 1995). Cependant, le processus de formalisation de l’audit contemporain l’a
décomposée en plusieurs éléments susceptibles d’être appréhendés individuellement
et articulés de manière à pouvoir être utilisés par les praticiens. On distingue donc le
plus souvent les composantes de risque suivantes (Raffegeau et al. 1994) :
le « risque inhérent » est lié à la position financière plus ou moins saine de
l’entreprise, à l'attitude de sa direction ou au fait d'évoluer dans un secteur
d'activité particulier. Ce risque est souvent spécifique à certains cycles en
raison de difficultés d’évaluation, de leur caractère sensible ou de leur
importance dans les comptes ;
le « risque de contrôle interne » représente la possibilité que les
défaillances intrinsèques du système d'information de l’entreprise ne lui
permettent pas de produire des comptes fiables ;
le « risque de non détection » est la possibilité que les travaux d'audit
soient inefficaces et ne détectent pas une erreur significative présente dans les
comptes, ce qui revient à certifier des comptes faux.
Le risque d'audit est la résultante de ces trois composantes, ce que l’on représente
souvent sous la forme mathématique : RA = RI x RCI x RND (Lesage 1999). Il est
dépendant du niveau de ses trois composantes au sens où il sera d'autant plus élevé
que celles-ci le seront. Le risque d’audit est quantifiable par l'intermédiaire de la
notion de « seuil de signification » ou « seuil de matérialité». Cette notion reflète le
fait que les comptes de chaque entreprise recèlent nécessairement des erreurs et des
inexactitudes, car ils sont le résultat d'un processus comptable forcément imparfait et
qui, en outre, se base sur des hypothèses et des estimations subjectives. L'objectif à
atteindre n'est donc pas de dire que les comptes sont exacts, mais de faire en sorte
que le montant des erreurs soit inférieur à un seuil défini. Dans ce contexte, le risque
d'audit devient le fait que le montant cumulé des erreurs soit supérieur au seuil de
matérialité (par exemple, 5% des capitaux propres), c'est à dire qu'il ait un impact
considéré comme significatif sur les comptes certifiés10. Pour l’auditeur, le risque
professionnel est alors lié à la certification de comptes qui présentent des erreurs
cumulées supérieures au seuil de signification.
SGO
ANNEXE ANNEXE
53
Audit interne & Contrôle Interne
DDIFFÉRENCESIFFÉRENCES ENTREENTRE AUDITEURSAUDITEURS INTERNESINTERNES ETET AUDITEURSAUDITEURS EXTERNESEXTERNES
R A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E S
GESTION DES RISQUES1. LA GESTION GLOBALE DES RISQUESLa maîtrise des risques est une des priorités stratégiques de la Banque. En 2004, celle-ci a continuéà investir dans l’amélioration de la gestion des risques. Cet important programme, engagé en 2002,est en ligne avec les principes de référence aux niveaux national et international.La BCV poursuit les objectifs suivants en matière de gestion des risques :promouvoir un standard élevé en matière de gestion des risques pour toutes ses activités ;avoir une transparence complète sur les risques, ne pas s’engager dans des risques qu’elle nepeut pas gérer de manière appropriée ;s’assurer que son profil de risque est en adéquation avec son niveau de fonds propres et sacapacité d’autofinancement.La Banque veut atteindre ces objectifs en se fondant sur quatre piliers expliqués ci-après :1.1 La politique et la stratégie des risquesLa politique et la stratégie des risques, validées par le Conseil d’administration, définissent leslimites globales de la prise de risques et posent les principes de base du fonctionnement de la gestiondes risques. En 2004, la Banque a formalisé sa stratégie pour le risque de crédit, le risque de marchéet les risques opérationnels. Elle cherche à évoluer vers une gestion intégrée des risques, qui reposesur des concepts cohérents au niveau de l’ensemble de la Banque et qui, appliquée systématiquement,doit permettre de mieux comprendre et de mieux gérer l’exposition globale au risque.1.2 La gouvernance et l’organisation de la gestion des risquesLa gouvernance et l’organisation de la gestion des risques ont été précisées en 2004 afind’appliquer de façon systématique les mêmes principes de gestion des risques dans toute la Banque.Les responsabilités des principaux intervenants en matière de gestion des risques ont été affinées :
SGO 54
Audit interne & Contrôle Interne
Le Conseil d’administration valide la politique et la stratégie des risques. Il est responsable de lasurveillance globale du profil de risque de la Banque. A cet effet, il dispose en particulier d’unrapport mensuel sur l’ensemble des risques.La Direction générale est responsable de l’exécution de la gestion des risques. Pour cela, le ComitéRisques de la Direction générale (CRDG) a été mis en place en 2003. Son rôle est de proposer lapolitique et la stratégie des risques de la Banque, de surveiller étroitement le profil de risque, depiloter l’ensemble des développements et des améliorations en matière de gestion des risques.Le CRDG est composé du Chief Financial Officer (présidence), du Président de la Directiongénérale, du responsable de la Division trading, du responsable de la Division entreprises et duChief Risk Officer.Le Chief Risk Officer, responsable du Département risk management rattaché à la Division financeet risques, élabore et propose au CRDG la politique et la stratégie des risques de la Banque ;il surveille le respect des limites globales de risques et développe les méthodes et les modèles dela gestion des risques. Il assure le reporting des risques de la Banque. Pour évoluer vers une gestionintégrée des risques, ses responsabilités ont été élargies en 2004 afin de couvrir l’ensemble desrisques (hors compliance).Dans le cadre de leurs politiques d’affaires, les Divisions (Division entreprises, Division réseau, Divisiontrading, Division gestion privée et institutionnelle) sont chargées de prendre et de suivre les risques128liés à leurs activités respectives. Les responsabilités du développement et de la réalisation desaffaires sont séparées des responsabilités d’analyse et de contrôle opérationnel des risques.1.3 Les méthodes de gestion des risquesLa Banque utilise les méthodes de gestion moderne des risques. Elles s’appuient, en particulier, surles recommandations du Comité de Bâle et de l’Association suisse des banquiers (ASB), tout en respectantles exigences réglementaires en la matière. Sous le pilotage du Comité Risques de la Directiongénérale, la Banque investit dans la mise en place de techniques avancées en matière de gestiondes risques intégrant ainsi les nouveaux développements en la matière.1.4 Le reporting des risquesLe reporting des risques permet un suivi de l’ensemble des risques de la Banque. Le reportingmensuel des risques, établi par le Chief Risk Officer, est traité par le Comité Risques de la Directiongénérale et remis aux autres membres de la Direction générale, aux membres du Conseil d’administrationet à l’Audit interne. Le concept du reporting des risques, validé par le Conseil d’administration,évolue avec les méthodes de la gestion des risques.2. GESTION DU RISQUE DE CRÉDITLe risque de crédit résulte de la possibilité qu’une contrepartie fasse défaut sur ses obligationsfinancières envers la Banque. Il inclut le risque de règlement et les facteurs de risque liés à un pays.Toutes les formes d’engagements de crédit (bilan et hors bilan) avec la clientèle non bancaire,d’autres banques ou des marchés organisés représentent un risque de crédit pour la Banque.2.1 Séparation entre la vente et l’analyse / octroi des créditsEn 2004, la Banque a réalisé un projet majeur d’amélioration des processus et de l’organisation dela gestion des crédits. En matière de gestion du risque de crédit, ce projet crée une séparation stricteentre les fonctions de vente et les fonctions d’analyse et d’octroi. Pour toutes les activités de crédit,les fonctions d’analyse et d’octroi ont été placées sous la responsabilité d’un Chief Credit Officer,rattaché à la Division entreprises. Les compétences d’octroi ont été redéfinies pour tenir comptede l’engagement de crédit et de la perte attendue. Au-delà d’un certain seuil de compétence, lesengagements de crédit sont octroyés par le Comité de crédit de la Direction générale ou par leConseil d’administration.2.2 Analyse du risque de créditChaque crédit est analysé lors de son octroi, de son renouvellement, à l’occasion de nouvellesdemandes, ou suite à certains événements comme, par exemple, un dépassement.La notation (rating) de la contrepartie est au centre de l’analyse du risque de crédit. Elle consiste àattribuer une classe de risque à chaque contrepartie. Chaque classe de risque indique une certaineprobabilité de défaut. Les ratings sont réalisés sur la base de modèles internes adaptés aux caractéristiquesdes différents types de contreparties. Ces modèles se distinguent au niveau des variablesprises en compte (financières et / ou qualitatives) ainsi qu’au niveau de la technique de développement
SGO 55
Audit interne & Contrôle Interne
du modèle utilisée. Ils ont été développés sur la base des exigences des approches InternalRating Based (IRB) des Accords de Bâle II.Chaque modèle de rating permet d’attribuer chaque contrepartie à l’une des sept classes de risqueB1 à B7 (elles-mêmes réparties en 17 sous-classes) définies de façon homogène pour toute laBanque. Les contreparties non compromises sont réparties sur les classes B1 à B5. Aujourd’hui, uneclasse de risque a ainsi été attribuée à plus de trois quarts du portefeuille crédits de la Banque.R A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E S129R A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E SFin 2004, le modèle de rating des professionnels de l’immobilier a été finalisé. Pour ce segment declientèle important, la Banque dispose maintenant d’un outil de référence pour la détermination dela classe de risque de ces contreparties.L’analyse des sûretés (garanties et gages) est une autre composante majeure de l’analyse durisque de crédit. En 2004, la Banque a introduit une nouvelle méthode d’évaluation des objetsimmobiliers. En ligne avec les nouvelles recommandations de l’ASB, elle détermine pour chaqueobjet immobilier sa valeur vénale aux conditions actuelles du marché. Cette méthode fait intervenirdifférents modèles selon le type de l’objet.2.3 Surveillance du risque de créditLa surveillance du risque de crédit s’appuie sur la revue périodique des dossiers de crédits (appeléerenouvellements internes) et sur un système de détection des risques accrus. Le système de renouvellementsinternes définit, pour les différents types de crédit, la durée maximale entre deux analysesdu risque de crédit. En 2004, le système de renouvellement interne a été revu dans le sens d’uneplus forte différenciation du traitement en fonction du niveau de risque.Classes de risque, distribution des soldes débiteurs, en % du total,maison mère, au 31.12.20041306050403020100B5 B4 B3 B2 B1
Crédits aux particuliers (non compromis)9075604530150B5 B4 B3 B2 B1
Crédits aux corporations de droit public (non compromis)6050403020100B5 B4 B3 B2 B1
Crédits aux entreprises (non compromis)Un système de détection des crédits compromis assure l’identification des crédits à risque accrupar les conseillers et les analystes. Le suivi strict des dépassements des limites et des découvertsconstitue un élément clé de ce système.2.4 Provisionnement du risque de créditLa Banque détermine des provisions spécifiques pour chaque crédit compromis (voir définitionsdétaillées aux points 2.3 et 2.4 du chapitre « Principes d’évaluation des risques »).Le besoin en provisions spécifiques est déterminé sur la base d’une analyse pour chaque créditcompromis. Dans le cadre de cette analyse, les sûretés sont prises à leur valeur de liquidation. Cettedernière reflète la valeur nette que la Banque estime obtenir en réalisant la sûreté aux conditionsactuelles du marché et après déduction des frais liés à la réalisation et des coûts éventuels de détentionde la sûreté. Pour chaque crédit provisionné, les besoins en provisions sont revus au minimumune fois par année. Un outil informatique pour gérer cette information a été mis en place ; son bon
SGO 56
Audit interne & Contrôle Interne
fonctionnement a été confirmé par l’auditeur externe en 2004.2.5 Analyse du portefeuille de créditsEn 2004, la Banque a réalisé des développements importants en matière d’analyse du portefeuillede crédits. Un prototype pour l’analyse de la perte attendue et le calcul des besoins en fonds propresselon les approches IRB des Accords de Bâle II a été réalisé. Il fait intervenir la probabilité de défaut,l’exposition attendue au défaut et la perte en cas de défaut spécifique de chaque engagementde crédit.Ce prototype représente une étape intermédiaire. En 2004, l’installation d’une application professionnelled’analyse, de gestion des provisions et de reporting des risques du portefeuille de crédits a étédécidée, un fournisseur a été sélectionné et mandaté. La mise en production de cette application, quireprésente un élément clé de la préparation de la Banque à l’application des Accords de Bâle II, estplanifiée pour début 2006.2.6 Gestion des gages dans le cadre du négoce (collateral management)La gestion des gages (collateral management) permet de réduire de façon significative les expositionsau risque de crédit dans les activités de négoce. Après avoir préparé les premiers contrats degestion des garanties en 2003, des accords avec cinq banques ont pu être conclus en 2004.3. GESTION DU RISQUE DE MARCHÉLe risque de marché résulte de la possibilité de pertes sur les positions de négoce (trading book) ousur les positions hors portefeuille de négoce (banking book) de la Banque suite à des changementsR A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E S
Engagements de crédits compromis, en CHF milliards, maison mère13165432102004 2003 2001 2002 2000R A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E Sde paramètres du marché, en particulier au niveau du prix du sous-jacent (ou de son évaluation,pour des marchés moins liquides) et de sa volatilité.3.1 Risque de marché des portefeuilles de négoce (trading book)La Banque distingue deux portefeuilles de négoce : les positions de négoce de la Division tradingavec des stratégies à très court terme, et les positions de gestion financière de la Division gestionprivée et institutionnelle, avec des stratégies à moyen terme.L’analyse et le contrôle du risque de marché de ces deux portefeuilles sont assurés par le Départementback-office négociation rattaché à la Division services et donc indépendant des deux Divisionsresponsables de la prise de risque de marché. L’analyse et le contrôle du risque de marché sont réaliséssur la base de techniques modernes de mesure de risque : la Value-at-Risk (VaR), des analysesdes pertes en cas de stress et des tests de sensibilité. Au niveau des portefeuilles, des limites de VaRet de perte en cas de stress sont définies. Pour les différents groupes de sous-jacents du portefeuillede négoce, des limites de VaR et de sensibilités sont utilisées.3.2 Risque de marché hors portefeuille de négoce (banking book)Le principal risque de marché sur le banking book est le risque de taux. Le risque de taux résulte de lapossibilité d’une baisse de la marge d’intérêt et / ou de la valeur des fonds propres consécutifs à desmouvements de la courbe de taux (yield curve). L’exposition au risque de taux au bilan résulte desdéséquilibres entre la taille et les termes (échéances des taux fixés) des positions à l’actif et au passif.Ces déséquilibres sont exprimés en termes d’écarts (gaps) de risque de taux par échéance.La gestion opérationnelle du risque de taux est assurée par le Département ALM (Asset & LiabilityManagement), rattaché à la Division finance et risques. La stratégie et les limites de prise de risques
SGO 57
Audit interne & Contrôle Interne
de taux sont décidées par le Comité ALM de la Direction générale dans le cadre défini par la stratégiefinancière. Le risque de taux est mesuré sur la base de techniques d’ALM modernes : la Value-at-Risk (VaR), la sensibilité des fonds propres à la courbe de taux, leur duration et la perte de marged’intérêt en cas de stress. La Banque gère de manière prudente son risque de taux. Une augmentationmodérée des taux telle qu’attendue actuellement par le marché n’aura pas d’impact matériel surle résultat de la Banque.3.3 Risque de liquiditéLe risque de liquidité résulte de la possibilité d’une indisponibilité d’actif liquide et / ou d’un accèsinsuffisant ou difficile au refinancement. L’exposition au risque de liquidité est donnée par les écarts(gaps) de liquidité par échéance résiduelle.La gestion opérationnelle de la liquidité et le financement à court terme sont assurés par la trésorerie(Division trading). La trésorerie poursuit une gestion prudente des ratios de liquidité définispar les articles 15 à 20 de l’Ordonnance sur les banques et les caisses d’épargne (OB). A cet effet,05010015020025012/04 12/03 12/02
GestionTaux de couverture de la liquidité 2, maison mère (en %)132la trésorerie réalise des placements à court terme (repurchase agreements, créances comptables àcourt terme de la Confédération et placements sur le marché monétaire) et des financements àcourt terme (emprunts bancaires). Actuellement, la Banque a un niveau de liquidité très satisfaisantqui s’établit à 183% mesuré en termes de taux de liquidité 2.4. GESTION DES RISQUES OPÉRATIONNELSEn appliquant les recommandations du Comité de Bâle, les risques opérationnels résultent d’uneinadéquation ou d’un dysfonctionnement au niveau des processus, des personnes ou des systèmesen interne ou au niveau externe à la Banque. Ils incluent le risque juridique, en particulier, le risquede payer des dommages et intérêts ou des amendes suite à un dysfonctionnement.Le risque opérationnel n’est pas activement recherché par la Banque dans l’objectif de réaliser unrendement, mais résulte des activités de la Banque.Une directive de gestion des risques opérationnels, élaborée en 2004, assure leur identification etleur suivi systématique lorsqu’ils sont accrus ou avérés pour la Banque. Lorsqu’ils sont latents, lesrisques opérationnels accrus ou avérés sont provisionnés selon une procédure définie.Le principe des quatre yeux est un élément clé pour réduire le risque opérationnel. Dans le cadrede la redéfinition des processus de crédit, ce principe est appliqué systématiquement aux activitésreprésentant un risque opérationnel important.L’informatique est une source potentielle de risques opérationnels majeurs. En 2004, la Banque acontinué à améliorer la maîtrise de ce risque en renforçant la gestion de la sécurité informatique.R A P P O R T A N N U E L 2 0 0 4 G E S T I O N D E S R I S Q U E S133
http://www.bcv.ch/html/pdf/apropos/rapport_annuel/2004/RA2004_f_14_risques.pdf
SGO 58