cartographie des riques des marches … · --les normes ifac: audit externe -- les normes isaca:...
TRANSCRIPT
إطــارات الــرقابة والتفقــد والتـدقيقجمعــية
ACCIA العمـومية التونسيةبالهـياكل
COSO I- COSO II CARTOGRAPHIE DES RIQUES
DES MARCHES PUBLICS
Présenté par: M. KRIMI Abdessatar [email protected] GSM: 97 252 635
02 Avril 2016
coso1 et coso 2 ACCIA 02-04-2016 1
OBJECTIFS DES REFERENTIELS POUR L’EFFICACITE DE LA GESTION
coso1 et coso 2 ACCIA 02-04-2016 2
OBJECTIFS DES REFERENTIELS
1. de définir les principes fondamentaux de la pratique d’un système, d’un processus, d’une fonction ou activité ;
2. de fournir un cadre de référence pour la réalisation et la promotion d’un large champ d’intervention d’un contrôle à valeur ajoutée ;
Les référentiels ont pour objectifs:
3. d’établir les critères d’appréciation du fonctionnement d’un système, d’un processus, d’une fonction ou d’une activité ;
4. de favoriser l’amélioration des processus organisationnels et des opérations.
3 coso1 et coso 2 ACCIA 02-04-2016 3
LES REFERENTIELS DE GESTION DANS LE MONDE
-Le référentiel de contrôle interne: COSO I
--Le référentiel de Management des Risques: COSO II
-- Les Normes ISO: dans tous les domaines
-- Les Normes IIA: Audit interne
--Les Normes IFAC: Audit externe
-- Les Normes ISACA: Audit Informatique
-Les Normes INTOSAI: Audit public
coso1 et coso 2 ACCIA 02-04-2016 4
LE POSITIONNEMENT DU CONTRÔLE INTERNE DANS LA
GESTION
coso1 et coso 2 ACCIA 02-04-2016 5
LE CONTRÔLE INTERNE : OBJECTIFS, ELEMENTS D’APPRECIATION ET PRINCIPES
1 / Objectifs: Protection du patrimoine Fiabilité et Exhaustivité de l’information Conformité aux règlements et aux politiques Utilisation efficace et efficiente des ressources
2/ Eléments d’appréçiation: L’environnement du CI Le système d’organisation La qualité de la documentation Les procédures de contrôle Les sécurités physiques
3/ Principes( les préalables): Séparation des tâches, Fixation de Responsabilités (organigrame,manuel..) Qualification du personnel , Existence de systèmes de preuves, Moyens matériels de conservation et de protection.
6 coso1 et coso 2 ACCIA 02-04-2016
EX. SYSTEME DE CONTRÔLE INTERNE
Les dispositifs de CI mis en place pour la mission du service
entretien comportent les éléments suivants:
1/ Objectifs: Nbre de pannes annuelles avec arrêt machines maxi.
2/ Moyens: Avoir en magasin la totalité des pièces de rechange
vitales
3/ Système d’information: Informations techniques permanentes
sur l’évolution de l’usure des matériels
4/ Organisation: Descriptions de poste avec affectation des
matériels à suivre
5/ Procédures: manuel descriptif des matériels, manuel
d’intervention, manuel de sécurité
6/ Supervision: en permanence par un chef d’équipe, comptes
rendus quotidiens avec le chef de service..
7 coso1 et coso 2 ACCIA 02-04-2016
DEFINITION DU CONTRÔLE INTERNE
Le Contrôle interne est un ensemble de moyens et de sécurités qui permettent, s’ils
sont gérés efficacement, la maîtrise des processus et leur amélioration dans la
recherche d’une meilleure performance de l’entreprise
coso1 et coso 2 ACCIA 02-04-2016 8
LE COSO I La Commission COSO (Committee of Sponsoring
Organizations of the treadway Commission) a été créée en 1985 pour accompagner une commission présidée par James C. Treadway destinée à lutter contre la fraude dans l’information financière ; elle est l’émanation de cinq organisations :
‐ American Accounting Association ;
‐ American Institute of Certified Public Accountants ;
‐ Financial Executive International ;
‐ Institute of Management Accountants ;
‐ The Institute of Internal Auditors.
Publié en 1992 et révisé en 2013
coso1 et coso 2 ACCIA 02-04-2016 9
28 novembre 2014
LE COSO 2013
COMPOSANTES ET PRINCIPES
coso1 et coso 2 ACCIA 02-04-2016 11
ÉLEMENTS DE CONTRÔLE INTERNE
Ainsi défini, le dispositif de contrôle interne est composé de cinq éléments interdépendants : Environnement de contrôle; Evaluation des risques; Activités de contrôle; Informations et communication; Pilotage.
coso1 et coso 2 ACCIA 02-04-2016 12
Pourquoi cette mise à jour du COSO sur le contrôle interne ? L’objectif de la mise à jour du Référentiel COSO sur le contrôle interne est l’adaptation du dispositif de contrôle interne aux enjeux d’aujourd’hui et de demain. Le projet a permis de prendre du recul par rapport aux évolutions des vingt dernières années, depuis la parution du référentiel d’origine. En particulier :
• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cyber-criminalité, le cloudcomputing, etc.) ;
• Le rôle toujours plus important de la technologie (performance, sécurité, continuité, etc.) ;
ÉLEMENTS DE CONTRÔLE INTERNE
coso1 et coso 2 ACCIA 02-04-2016 13
• Le recours intensifié à l’externalisation, avec un enjeu de bonne définition des attentes en matière de contrôle interne vis-à-vis des prestataires ;
• Les attentes accrues en matière de gouvernance (notamment les rôles des comités au niveau du conseil mais aussi de la direction générale sur des enjeux importants comme les risques, la conformité, etc.) ;
• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation (le «tone in the middle» et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;
• La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;
ÉLEMENTS DE CONTRÔLE INTERNE
coso1 et coso 2 ACCIA 02-04-2016 14
• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions support, et l’audit interne) ; et
• Les exigences de reporting au-delà de la communication financière (développement durable, environnement, qualité, etc.).
ÉLEMENTS DE CONTRÔLE INTERNE
coso1 et coso 2 ACCIA 02-04-2016 15
Le COSO 2013 comprend : • Un résumé ; • Le référentiel et ses annexes qui définissent le contrôle interne, le
positionnent par rapport à trois catégories d’objectifs, présentent les cinq composantes du contrôle interne, déclinées en 17 principes structurants, et décrivent les exigences en matière d’efficacité ;
• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour faciliter l’évaluation des 17 principes qui constituent un dispositif de contrôle interne efficace ; et
• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe (Internal Control over External Financial Reporting, « ICEFR ») qui propose des exemples de mise en pratique des 17 principes dans le cadre de la réalisation des états financiers.
EN QUOI CONSISTE LE COSO 2013 ?
coso1 et coso 2 ACCIA 02-04-2016 16
Le référentiel de 2013 reprend les éléments essentiels du
référentiel COSO de 1992, en particulier la définition, les cinq composantes, et les critères d’évaluation.
Les principales évolutions concernent :
1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité sociale et environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et l’alignement avec le business model) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la direction générale) ;
QU’EST-CE QUI CHANGE ?
coso1 et coso 2 ACCIA 02-04-2016 17
4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support, et l’audit interne) ;
5. La relation entre risque, performance et rémunération (notamment le principe portant sur la responsabilisation) ;
6. L’articulation du « tone at the top» avec les comportements à travers l’organisation «tone in the middle» ;
7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au code de conduite, au respect des contrôles au-delà du reporting financier) ; et
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée par exemple à la mise en place de nouveaux processus, rôles, structures, systèmes d’information, centres de services partagés, périmètre d’activité, etc.
QU’EST-CE QUI CHANGE ?
coso1 et coso 2 ACCIA 02-04-2016 18
coso1 et coso 2 ACCIA 02-04-2016 19
Enfin, le COSO 2013 définit les éléments essentiels du contrôle interne au travers de 17 principes structurants .
La mise en œuvre des bonnes pratiques est illustrée de
manière plus concrète par des approches et des exemples.
QU’EST-CE QUI CHANGE ?
coso1 et coso 2 ACCIA 02-04-2016 20
Le COSO 2013 est une mise à jour du référentiel de 1992 portant sur le contrôle interne. Il n’élargit donc pas, à ce stade, le périmètre du contrôle interne aux objectifs stratégiques, à l’appétence pour le risque ou autres sujets du ressort de l’Enterprise Risk Management et du référentiel de 2004. En effet, dans la pratique, les deux concepts correspondent toujours à des usages distincts.
Cependant, le COSO 2013 apporte un éclairage utile sur des sujets éminemment pertinents pour l’ERM. Il intègre des éléments du référentiel ERM de 2004 sur les sujets pertinents pour le contrôle interne, tels que les facteurs d’évaluation des risques, l’impact du changement de l’environnement,etc.
Le COSO 2013 s’articule logiquement avec le COSO ERM, le contrôle interne étant défini comme une partie intégrante de l’ERM .
POURQUOI COSO ERM RESTE-T-IL À PART ?
coso1 et coso 2 ACCIA 02-04-2016 21
5 PRINCIPES et 20 points d’attention : 1. L’organisation manifeste son engagement en faveur de
l’intégrité et de valeurs éthiques. 2. Le Conseil fait preuve d’indépendance vis-à-vis du
management. Il surveille la mise en place et le bon fonctionnement du dispositif de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, défi nit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les objectifs.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux objectifs.
5. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne.
ENVIRONNEMENT DE CONTRÔLE :
coso1 et coso 2 ACCIA 02-04-2016 22
4 PRINCIPES et 25 points d’attention : 6. L’organisation définit des objectifs de façon suffisamment
claire pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
EVALUATION DES RISQUES :
coso1 et coso 2 ACCIA 02-04-2016 23
3 PRINCIPES et 16 points d’attention : 10. L’organisation sélectionne et développe les activités de
contrôle qui contribuent à ramener à des niveaux acceptables les risques associés à la réalisation des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui mettent en œuvre ces règles.
EVALUATION DES CONTROLES :
coso1 et coso 2 ACCIA 02-04-2016 24
3 PRINCIPES et 14 points d’attention :
13. L’organisation obtient ou génère, et utilise, des informations pertinentes et fiables pour faciliter le fonctionnement des autres composantes du contrôle interne.
14. L’organisation communique en interne les informations nécessaires au bon fonctionnement des autres composantes du contrôle interne, notamment en matière d’objectifs et de responsabilités associés au contrôle interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle interne.
INFORMATION ET COMMUNICATION :
coso1 et coso 2 ACCIA 02-04-2016 25
2 PRINCIPES et 10 points d’attention :
16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du contrôle interne sont mise en place et fonctionnent.
17. L’organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties chargées de prendre des mesures correctives, notamment à la direction générale et au Conseil, selon le cas.
ACTIVITES DE PILOTAGE :
coso1 et coso 2 ACCIA 02-04-2016 26
Pour se mettre en conformité, l’organisation peut :
• Faire un diagnostic sur la base des 17 principes pour identifier les axes d’amélioration nécessaires au niveau du groupe et des entités ;
• Approfondir certains sujets sur la base des 17 principes (par exemple la prise en compte des tiers dans l’évaluation du contrôle interne, l’utilisation des nouvelles technologies, notamment en ce qui concerne la sécurité des bases de données et le cloud-computing qui peut connaître une défaillance, etc.).
Et cela tout en veillant à l’articulation effective de ces 17 principes.
Quelles actions pour se mettre en conformité avec le COSO 2013 ?
coso1 et coso 2 ACCIA 02-04-2016 27
Le COSO 2013 permet quoi à l’organisation? Fiabiliser, Optimiser l’exécution des priorités, et Améliorer sa résilience et son adaptation face aux transformations
Le COSO 2013 met en avant l’importance de l’adaptabilité du dispositif de contrôle interne face aux changements. Un principe essentiel du COSO porte sur l’évaluation du changement (principe n°9). En effet, la capacité d’anticipation et d’adaptation au changement, de se remettre de tout type d’évènement à risque (y compris les situations inédites) et d’en saisir les opportunités est importante pour fiabiliser et optimiser l’exécution des priorités de l’organisation.
coso1 et coso 2 ACCIA 02-04-2016 28
Passée la définition des attentes, c’est au niveau du
middle management que s’effectue réellement la mise en œuvre du contrôle interne, ou non... C’est en effet à ce niveau opérationnel de l’organisation que se croisent de multiples directives relatives à la performance et à l’innovation mais aussi à la réduction des coûts et aux restructurations, sans délaisser pour autant le bon fonctionnement du contrôle interne.
Il s’agit alors de s’assurer que le middle management
définisse, communique et applique les priorités, de manière à ce que les bons contrôles soient effectués aux bons endroits.
Pourquoi le COSO insiste-t-il sur le «tone in the middle » ?
coso1 et coso 2 ACCIA 02-04-2016 29
Pour gagner en « lisibilité », il y a un intérêt fort à mettre en synergie les démarches qualité/processus (quand elles existent), management des risques et contrôle interne.
Un autre axe est d’intégrer la responsabilité du contrôle
interne dans les objectifs et critères d’évaluation.
Que faire en pratique ?
coso1 et coso 2 ACCIA 02-04-2016 30
Dire que tous les 17 principes sont indispensables n’exclut pas une mise en œuvre modulée selon des critères tels que :
• la taille de l’entité; • l’autonomie (groupe vs filiale); • la complexité des opérations; • la compétence des collaborateurs (qui déterminera par
exemple les modalités et les objectifs de supervision); • la maturité des systèmes de gestion des risques et de
gouvernance dont nous citons en particulier: -l’implication des organes délibérants et exécutifs; -la formalisation des valeurs; -la qualité du processus de définition des objectifs et de l’appétence pour les risques;
CONCLUSION
coso1 et coso 2 ACCIA 02-04-2016 31
Le nouveau COSO nous alerte sur l’imbrication des trois
objectifs qui sont interdépendants à savoir: 1-Les objectifs opérationnels : Concernent l'efficacité et l'efficience des opérations, or au-delà de la performance opérationnelle et financière, le COSO y inclut explicitement la protection des actifs. 2- Les objectifs de reporting : Ces objectifs sont spécifiés : il s’agit à la fois de la communication interne et externe d’informations financières et extra-financières.
CONCLUSION
coso1 et coso 2 ACCIA 02-04-2016 32
• Outre l’élargissement du champ, il nous est recommandé de ne pas nous cantonner à la fiabilité mais d’être également attentif aux attentes des destinataires internes et externes notamment en termes de délais et de transparence. 3- Les objectifs de conformité : Ces objectifs prennent une place de plus en en importante du fait de la multiplication des lois et règlements applicables aux organisations.
CONCLUSION
coso1 et coso 2 ACCIA 02-04-2016 33
L’idée de s’appuyer sur des principes pour la bonne marche d’une organisation n’est pas nouvelle.
Néanmoins l’originalité de la proposition du COSO vient de l’articulation dynamique de plusieurs axes.
Il permet ainsi de viser, avec la même approche, plusieurs objectifs et de gérer leur interconnexion.
Il est plus aisé d’identifier les domaines sous contrôle et les zones de faiblesses pour prioriser les actions.
CONCLUSION
coso1 et coso 2 ACCIA 02-04-2016 34
Toutes les composantes ressortent grandies de cette mise à jour. Celles relatives à l’évaluation des risques et aux activités de contrôle bénéficient des avancées de l’ERM. Les formulations et illustrations des trois autres composantes devraient en faciliter l’adoption.
En fait, la nouvelle approche du COSO recouvre plusieurs
caractéristiques d’un système de contrôle interne efficace qui se doit d’être : raisonné, intègre, adéquat, raisonnable, pertinent, exact, précis…
CONCLUSION
coso1 et coso 2 ACCIA 02-04-2016 35
COSO II
coso1 et coso 2 ACCIA 02-04-2016 36
INTRODUCTION SUR LE RISQUE
coso1 et coso 2 ACCIA 02-04-2016 37
DÉFINITION DU RISQUE
Le risque est:
L’éventualité d’un événement futur redouté: soit incertain (on ne sait pas s’il se
produira), soit d’un terme indéterminé (on ne sait pas quand il se produira),
Associée à l’existence, à la connaissance ou à la perception d’une situation
dangereuse. Appliqué à une cible menacée notamment les
objectifs.
coso1 et coso 2 ACCIA 02-04-2016 38
DEFINITION DU RISQUE ET DE L’OPPORTUNITE
Un risque représente la possibilité qu’un événement survienne et nuise à l’atteinte d’objectifs ou à assurer sa pérennité . Une opportunité est la possibilité qu’un événement survienne et contribue à l’atteinte d’objectifs.
coso1 et coso 2 ACCIA 02-04-2016 39
Lorsqu’elles n’y sont pas préparées, 43 % des entreprises ferment au moment d’un sinistre,
et 29 % de celles qui survivent périclitent dans les 2 ans qui
suivent. Disaster Recovery Institute International, Canada
Le Management Des Risques : Pourquoi ?
coso1 et coso 2 ACCIA 02-04-2016 40
Les éléments constitutifs du risque
Fondamentalement, le risque se caractérise par cinq éléments:
• Présence d’un danger; • Événement amorce; • Cible menacée; • Événement contact; • Accident.
coso1 et coso 2 ACCIA 02-04-2016 41
DÉFINITION RISQUE -suite
Le risque est une grandeur: à deux dimensions notée (p,g) associé à la
survenance d’un événement indésirable ou redouté E où:
p est la probabilité qui mesure l’incertitude de
survenance de l’événement g la gravité des conséquences de l’événement E,
en termes de dommages ou de préjudices.
coso1 et coso 2 ACCIA 02-04-2016 42
1: La gravité d’un risque:
La gravité ou l’impact est le caractère de ce qui peut entraîner de
graves conséquences. Ainsi, elle s’évalue à partir des conséquences:
• impact de type coût : surcoût par rapport aux objectifs prévus, • impact de type délai : glissement du délai par rapport au planning, • impact de type performance : dégradation du niveau d'une
performance
Pour l’axe « gravité » , l’évaluation quantitative est
généralement
utilisée (indices mesurables)
43
Démarche
coso1 et coso 2 ACCIA 02-04-2016 43
2: La probabilité d’occurrence ou Fréquence
C’est la probabilité que l’évènement porteur du risque ne se réalise qu’en
fonction de son historique ( évaluations ou de statistiques sur le passé)
et/ou de la prospective de son apparition.
-Historique: Fréquence: nombre de fois où l’évènement est survenu sur une période donnée
-Prospective:
Occurrence: Probabilité d’apparition du risque
Pour l’axe « Probabilité d’occurrence » ou « Fréquence », l’évaluation « qualitative » ou « intuitive » peut être utilisée.
(elle se traduit par noter chacun des critères de 1 à 4 par exemple)
Les deux approches peuvent être combinées: évaluation quantitative de la
gravité et intuitive de l’occurrence
44
Démarche
coso1 et coso 2 ACCIA 02-04-2016 44
MESURE DES RISQUES
La criticité: est déterminée en associant dans une formule arithmétique les éléments constitutifs exposés ci-après:
C=F×G
• - C: criticité
• - F: fréquence
• - G: gravité
coso1 et coso 2 ACCIA 02-04-2016 45
EVALUATION DES RISQUES
• Évaluation de la probabilité d’occurrence ou la fréquence des risques.
• Évaluation de la gravité ou de l’impact ou conséquence des risques.
coso1 et coso 2 ACCIA 02-04-2016 46
ÉVALUATION DES RISQUES -suite
Il existe deux méthodes:
• Méthode qualitative.
• Méthode quantitative.
coso1 et coso 2 ACCIA 02-04-2016 47
* L’impact du risque: conséquence de la survenance d’un risque * La fréquence et/ou La probabilité: Possibilité de survenance Criticité ou Poids du risque = Impact X Fréquence
(Combinaison de la gravité du dommage et de la probabilité de survenance)
*
EVALUATION DU RISQUE
coso1 et coso 2 ACCIA 02-04-2016 48
EVALUATION DE L’IMPACT:
La notion d’impact ou gravité est liée directement à l’effet du dysfonctionnement.
La grille d’échelle de cotation de la gravité ou d’impact sur le processus pourrait être de 4 niveaux (4 expositions):
Gravité mineure : 1
Gravité moyenne : 2
Gravité majeure : 3
Gravité critique : 4
COTATION DE L’IMPACT ET DE LA FREQUENCE
coso1 et coso 2 ACCIA 02-04-2016 49
Définitions ( à titre indicatif) :
• Le dysfonctionnement n’a aucun effet pour poursuivre les opérations du processus.
• Le dysfonctionnement nécessite des légères interventions pour poursuivre les opérations du processus.
• Le dysfonctionnement nécessite des sérieux interventions pour poursuivre les opérations du processus.
• Le dysfonctionnement rend impossible la poursuite des opérations du processus.
COTATION DE L’IMPACT ET DE LA FREQUENCE
coso1 et coso 2 ACCIA 02-04-2016 50
COTATION DE L’IMPACT ET DE LA FREQUENCE
• Evaluation de la fréquence
Grille d’échelle de cotation de la fréquence
( 5 niveaux):
• Improbable: 1
• Probable : 2
• Peu fréquent: 3
• Fréquent : 4
• Très fréquent: 5
coso1 et coso 2 ACCIA 02-04-2016 51
COTATION DE L’IMPACT ET DE LA FREQUENCE
Définitions (à titre indicatif)
1: Improbable :jamais produit
2: Probable: jamais produit mais reste probable
3: peu fréquent :déjà produit une fois depuis 2 à 3 ans
4: Fréquent: déjà produit une fois dans l’année
écoulée
5: Très fréquent : déjà produit une fois le mois écoulé
coso1 et coso 2 ACCIA 02-04-2016 52
COTATION DE L’IMPACT ET DE LA FREQUENCE
• Intervalle de la criticité (à titre indicatif) : Niveaux de criticité:
A L’ETAT BRUT
Criticité Faible : Entre 1 et 4 Criticité Moyenne : Entre 5 et 9 Critique : Supérieur ou égale à 10
Ce classement est subjectif. Il n’existe pas de méthodologie définie.
C’est à l’entreprise de déterminer son échelle de classement, celle-ci devant idéalement
résulter d’un consensus au sein de l’équipe associée à la démarche.
coso1 et coso 2 ACCIA 02-04-2016 53
Gravité
fréquence
4
3
2
1
1 2 3 4
Figure1: cartographie des risques opérationnels inhérents
Risques Critiques Risques Elevés Risques Modérés Risques Mineurs coso1 et coso 2 ACCIA 02-04-2016 54
TRAITEMENT DES RISQUES
• Une fois les risques évalués, le management détermine quels traitements appliquer à chacun de ces risques.
• Les différentes solutions possibles sont : • - Évitement, (élimination de l’objectif ou de
l’activité) • - Réduction, • - Partage, • - Acceptation. (Coût du risque < coût du
dispositif de contrôle) coso1 et coso 2 ACCIA 02-04-2016 55
ACTIONS DE PROTECTION ET DE PREVENTION
Protection:
La « protection » regroupe les mesures prises pour limiter les conséquences de la survenance d’un risque, en diminuant ainsi la gravité. Elle agit pour réduire les effets pendant l’accident.
La protection ne modifie aucunement la fréquence, elle ne change donc en rien la potentialité que le risque se concrétise.
Met l’accent sur l’impact et non pas la fréquence
coso1 et coso 2 ACCIA 02-04-2016 56
ACTIONS DE PROTECTION ET DE PREVENTION Protection –suite: Mettre un casque n’empêche ni les chutes d’objets ni
l’opérateur de se heurter la tête mais évite ou réduit les lésions crâniennes qui pourraient résulter de ces accidents.
• Exemples: - un casque de sécurité, - une assurance, - un plan du secours.
• La mobilité des acheteurs Souscrire une assurance ne modifie ni la probabilité de
l’accident, ni la dangerosité de celui-ci. Cela permet seulement à la cible ainsi protégée de supporter,
financièrement les conséquences de l’accident.
coso1 et coso 2 ACCIA 02-04-2016 57
ACTIONS DE PROTECTION ET DE PREVENTION
Prévention: • La prévention désigne les mesures préalables prises pour que le risque ne se
concrétise pas. • La prévention affecte la fréquence en visant à diminuer le nombre d’exposés
et/ou leur temps d’exposition.
• Exemples: - une barrière empêchant l’accès, - un panneau d’alerte avertissant de la dangerosité d’une situation, - la limitation de vitesse. - La mise en place d’un manuel des procédures des achats
Met l’accent sur la fréquence
coso1 et coso 2 ACCIA 02-04-2016 58
Calcul de la criticité du risque résiduel : • La quantification d'un risque est la mesure, l'estimation de ce risque en termes de
chiffre.
• Le risque est évalué sous la forme d'une combinaison des facteurs de probabilité (ou fréquence) et de gravité (ou impact).
Le risque ainsi quantifié peut être appréhendé à deux niveaux :
• Au niveau du risque inhérent indépendamment des dispositifs de contrôle interne où l'on définit le poids inhérent.
• Au niveau du risque résiduel dépendant de la manière dont le contrôle interne va atténuer le risque. Ce risque résiduel peut être quantifié :
par une mesure directe :
Poids résiduel = Impact résiduel × Probabilité
résiduelle
Cr P G
CRITICITE DU RISQUE NET
59 coso1 et coso 2 ACCIA 02-04-2016
fréquence
Gravité
Figure2: La cartographie des risques après avoir appliqué le plan d’action
R risque de criticité constante R risque avant application d’un
Plan d’action R risque de criticité modifié
coso1 et coso 2 ACCIA 02-04-2016 60
ETAPES D’INSTAURATION D’UN PROCESSUS DE MANAGEMENT DES RISQUES
• Environnement interne : Système de Contrôle Interne, Ethique, Organisation,……..
• Fixation des objectifs
• Modélisation de l’entreprise en processus
• Identification des risques
• Evaluation des risques
• Traitement des risques
• Surveillance et suivi des risques
coso1 et coso 2 ACCIA 02-04-2016 61
COSO II • Le référentiel ayant inspiré ces évolutions
réglementaires sur le contrôle interne est maintenu par le Committee Of Sponsoring Organizations of the Treadway Commission, dit COSO.
• Le référentiel COSO 2 présente une vision multidimensionnelle du contrôle interne à travers une approche par les risques de l’Entreprise (ERM pour Entreprise Risk Management).
coso1 et coso 2 ACCIA 02-04-2016 62
COSO II • Le référentiel COSO 2 reprend le principe de base du
référentiel de 1992 : un « cube » qui, à partir des trois objectifs de la définition du contrôle interne (optimisation / fiabilité des informations / conformité)
• et de cinq composants (environnement de contrôle / évaluation des risques / règles et procédures / information / supervision)
Met en évidence trois axes : ‐ niveaux de l’organisation ; ‐ éléments de gestion des risques (appelés « éléments
de contrôle interne » dans la version initiale) ; ‐ objectifs de l’organisation. coso1 et coso 2 ACCIA 02-04-2016 63
COSO II COSO 2 apporte un certain nombre d’éléments
nouveaux qui confirment le passage du contrôle interne au contrôle des risques :
• apparition des notions d’appétence au risque (risk appetite) ;
• de portefeuille de risque (risk portfolio) ; • de gestion globale des risques de l’organisation
(entreprise risk management) ; • et de directeur des risques (chief risk officer). En résumé, le contrôle des risques peut être présenté
comme une évolution du contrôle interne qui mobilise des techniques de supervision mises en œuvre par des institutions internes ou externes.
coso1 et coso 2 ACCIA 02-04-2016 64
LA NOTION DE PORTEFEUILLE DE RISQUES (« PORTFOLIO ») :
Il est demandé à l’organisation d’avoir une vision de ses risques sous forme d’un portefeuille. Ce portefeuille doit caractériser les risques à chaque niveau de l’organisation. La compilation du portefeuille permet donc d’avoir une vision globale des risques de l’organisation. Cette vision pourra alors être rapprochée de « l’ appétence au risque ” définie pour l’organisation. De plus, la compilation du portefeuille de risques permet au management : - de mettre en évidence des risques qui peuvent être tolérés au niveau d’une unité mais qui en s’additionnant ne seraient plus dans les limites de l’ « appétence au risque » définie pour l’organisation. - d’appréhender des événements potentiels (au niveau global) plutôt que des risques et donc de mieux comprendre comment les risques interagissent entre eux au niveau de l’organisation.
coso1 et coso 2 ACCIA 02-04-2016 65
coso1 et coso 2 ACCIA 02-04-2016 66
Qu’entend-on par ERM ?
• ERM(Entreprise-wide Risk-Management)est devenu le nouveau référentiel de la gestion des risques.
• En réalité, elle se traduit concrètement sur le terrain par une gestion globale et intégrée des risques dans laquelle le rôle des responsables opérationnels, les risk-owners, devient essentiel.
coso1 et coso 2 ACCIA 02-04-2016 67
Composantes de COSO I « + « :
1- Identification des événements
Les événements internes et externes susceptibles d'affecter l'atteinte
des objectifs d'une organisation doivent être identifiés en faisant la
distinction entre risques et opportunités.
- Un risque représente la possibilité qu’un événement survienne
et nuise à l’atteinte d’objectifs.
- Une opportunité est la possibilité qu’un événement survienne
et contribue à l’atteinte d’objectifs.
Les éléments du COSO II Ajouts à COSO I
68 coso1 et coso 2 ACCIA 02-04-2016
2-Fixation d’objectifs :
Les objectifs doivent avoir été préalablement définis
pour que le management puisse identifier les
événements potentiels susceptibles d'en affecter la
réalisation. Le management des risques permet de
s'assurer que la direction a mis en place un processus de
fixation des objectifs et que ces objectifs sont en ligne
avec la mission de l'entité ainsi qu'avec son appétence
pour le risque.
Les éléments du COSO II
69 coso1 et coso 2 ACCIA 02-04-2016
3- Traitement des risques
Le management définit des solutions permettant l’évitement,
l’acceptation, la réduction ou le partage des risques. Pour ce faire le
mangement élabore un ensemble de mesures permettant de mettre
en adéquation le niveau des risques avec le seuil de tolérance et
l'appétence pour le risque de l'organisation.
Les éléments du COSO II
70 coso1 et coso 2 ACCIA 02-04-2016
ÉLARGISSEMENT DE LA NOTION DE REPORTING
Par rapport au COSO 1, cette notion couvre désormais : non seulement le reporting financier, mais aussi la remontée d’informations non-financières, non seulement la remontée d’informations externes mais aussi la remontée d’informations internes.
coso1 et coso 2 ACCIA 02-04-2016 71
Qui est le Chief Risk Officer ? Un cadre dirigeant compétent qui : - Rend compte directement à la direction générale, - Fait partie du comité exécutif/directoire - Intervient comme conseil et non comme décideur - Est un «consultant interne» à la disposition de tous. Son action doit s’inscrire dans le cadre d’une délégation d’action aux propriétaires de risques …
coso1 et coso 2 ACCIA 02-04-2016 72
CARTOGRAPHIE DES RISQUES DES MARCHES
PUBLICS D’UNE DIRECTION TECHNIQUE
coso1 et coso 2 ACCIA 02-04-2016 73
DECOUPAGE PROCESSUS ACHAT
coso1 et coso 2 ACCIA 02-04-2016 74
MODELE I
PHASE 1 :
IDENTIFICATION
DES RISQUES DES MARCHES PUBLICS
coso1 et coso 2 ACCIA 02-04-2016 75
L’APPROCHE RM
Il existe de 2 approches :
Approche Top-Down:
C’est une approche descendante
– Risques pour l’atteinte des objectifs stratégiques
– Risques inhérents aux parties prenantes
Approche Bottom-Up:
C’est une approche ascendante
– Identifier les activités et/ou processus et/ou tâches
– Identifier les risques
Les deux méthodes pourraient être combinées.
coso1 et coso 2 ACCIA 02-04-2016 76
LES TECHNIQUES D’IDENTIFICATION DES RISQUES
D’un point de vue méthodologique, l’identification des risques s’appuiera principalement sur 3 méthodes qui se complètent les unes les autres :
1.La méthode basée sur les historiques d’incidents (les risques avérés),
2. La méthode basée sur des questionnaires aux experts métier utilisant des check-lists de risques-types ,
3. La méthode basée sur l’atteinte (ou plutôt le risque de non atteinte) d’objectifs.
coso1 et coso 2 ACCIA 02-04-2016 77
Tache Objectif de la tache Facteur de Risque Risque
1- Définition des
besoins
▪ Satisfaire les
besoins des clients
internes
▪ Mauvais système
d'information
▪ Absence d'un système
de recueil de
l'information
R1- Mauvaise évaluation des
besoins
2- Elaboration et suivi
du Budget
▪S'assurer du respect
des objectifs
budgétaires
▪ Absence d'historique sur
les fournisseurs d'un
marché
R2- Le non respect des
objectifs budgétaires
3-Recherche de
financement du
marché
▪ Optimiser le
financement du projet
et son octroi à temps
▪ La situation financière
critique de l’organisme
▪ Le taux d'endettement
élevé de l’organisme
R3- Risque de ne pas garantir
les fonds nécessaires pour la
réalisation du projet à temps
4- Respect de la
règlementation des
marchés publics.
▪ S'assurer du respect
des règles de gestion
de l’organisation et de
la règlementation en
vigueur à temps
▪ Mauvaise connaissance
de la règlementation en
vigueur des marchés
publics
▪ Abus de méthodes non
concurrentielles par
R4- Infraction à la
règlementation des marchés
publics
coso1 et coso 2 ACCIA 02-04-2016 78
Tache Objectif de la tache Facteur de Risque Risque
exploitation de régimes
dérogatoires, fraction-
nement des marchés et
abus de l'extrême
urgence
5- Définition du
cahier des charges
▪ Formaliser les
besoins à satisfaire
dans les cahiers des
charges en terme de
spécifications
techniques, financiers
et administratifs.
▪ Absence d'assistance
juridique, financières….
pour chaque étape de
l’élaboration du cahier
des charges.
▪ Manque de procédures
formalisées.
Manque d’expérience
▪ Absence de
concertation entre les
directions
▪ Insuffisance de veille
technologique
R5- Omissions dans les cahiers
des charges
6- Dépouillement de
l’offre et choix de
l’adjudicataire
▪ Retenir la meilleure
offre au regard des
besoins exprimés dans
le cahier des charges
▪ Entreprise déficitaire
▪ Le critère du moins
disant
R6- Sélection des fournisseurs
non optimale (mauvais choix de
l’adjudicataire)
coso1 et coso 2 ACCIA 02-04-2016 79
Tache Objectif de la tache Facteur de Risque Risque
▪ Données non fiables sur
le soumissionnaire
▪ Obsolescence des
données mises à
disposition
7- Suivi des marchés:
A- Réception du
Matériel :
▪ Essayer et
réceptionner le
matériel en usine
conformément au
marché
▪ Réceptionner le
matériel sur site
conformément au
marché
▪ Echantillon non
représentatif en matière
de réception du matériel
en usine
▪ Absence de procédures
de réception du matériel
prédéfinies (absence du
cahier de recette)
▪ La non qualification de
l'équipe réceptionniste
▪ Le transport et la
manutention
R7- Risque d’existence des
vices cachés dans la fabrication
du matériel en usine (existence
de réserves non bloquants)
R8- Risque de réception d'un
matériel endommagé
coso1 et coso 2 ACCIA 02-04-2016 80
Tache Objectif de la tache Facteur de Risque Risque
B- Dédouanement du
Matériel:
▪ Etablir les procédures
de dédouanement du
matériel dans le délai
▪ Payer les droits et taxes
de douane dans les
délais
▪ Manque de non-
conformité d'un ou
plusieurs documents
pour l’établissement des
procédures de
dédouanement
▪ Procédure
d'établissement des
chèques longue
▪ Le contrôle en douane
(exemple: pesage du
matériel)
R9- Retard dans le
dédouanement du
matériel
R10- Retard de
payement des droits et
taxes de douane
C- Gestion technique
des marchés:
▪ Approbation des études
▪ Approuver les études
conformément aux
spécifications des
cahiers de charges et
dans les délais
▪ Manque d'effectifs et
de disponibilité de
l'équipe
▪ Le volume important
des documents d’études
▪ Manque de
qualification
R11- La non approba-
tion des études à temps
et conformément aux
cahiers des charges.
coso1 et coso 2 ACCIA 02-04-2016 81
Tache Objectif de la tache Facteur de Risque Risque
▪ Réalisation des travaux ▪ S'assurer de la
réalisation des travaux
conformément au
marché
▪ Manque de contrôle
sur chantiers
▪ Mauvaise coordination
entre les différents
intervenants du projet
▪ Forces majeures
▪ Le non paiement à
temps des fournisseurs.
▪ La non obtention des
autorisations nécessaires
à la réalisation du projet
dans les délais
▪ La non mise à
disposition des terrains
▪ Servitude de passage
R12- Risque de la non
réalisation des travaux
conformément aux C.C.
R13- Le non respect du
planning des travaux
R14- Risque d'arrêt des
travaux
coso1 et coso 2 ACCIA 02-04-2016 82
Tache Objectif de la tache Facteur de Risque Risque
▪ Etablir les travaux
dans les meilleurs délais
avec moindre coût
▪ Eviter les résiliations
des contrats et résoudre
à l'amiable les litiges
▪ Manque d'effectif en
agents techniques (non
respect de l'organi-
gramme du projet)
▪ Non finalisation des
études
▪ Le problème des
interfaces ( la non mise
à disposition de
………….. )
▪ Le critère Moins disant
des AO: nous met dans
l'obligation de choisir
l'entreprise dont a
situation financière est
critique et qui peut
tomber en faillite au
cours de la réalisation du
projet
R15- Risque de Retard
dans le délai du projet
R16- Risque
d'augmentation du cout
du projet
R17- Risque de litige et
de résiliation du contrat
coso1 et coso 2 ACCIA 02-04-2016 83
Tache Objectif de la tache Facteur de Risque Risque
▪ Le non respect du plan
de charge du
soumissionnaire
adjudicataire au niveau
du dépouillement des
offres
▪ La modification du
dossier technique par
rapport aux cahiers de
chaege )
▪ Variation du cout de la
matière 1ère par rapport
à la soumission en
absence de révision des
prix
B- Gestion Financière des
marchés:
▪ Vérification des factures
▪ S'assurer de
l'exactitude des factures
et de leurs conformités
avec les pièces
▪ Absence de procédures
de vérification des
factures formalisées
R18- Pièces justifi-
catives en doubles
coso1 et coso 2 ACCIA 02-04-2016 84
Tache Objectif de la tache Facteur de Risque Risque
▪ Règlement du fournisseur
justificatives
(attachements, PV……)
▪ Respecter les délais de
paiement des fournis-
seurs
▪ Pour les factures
Fournitures : retard dans
les procédures de
douane
▪ Stationnement de la
facture chez la direction
concernée
▪ Manque de pièces
justificatives
▪ Pour les projet
financés par des tiers
(BID, FADES, BAD,
BEI….) il ya un retard
R19- Risque d’une
double facturation
R20- Risque d’erreurs
dans les factures
R21- Risque d’erreurs
d’imputation budgétaire
de la facture
R22- Risque de ne pas
respecter le délai de
paiement des fournis-
seurs
R23- Risque de payer
les intérêts moratoires
coso1 et coso 2 ACCIA 02-04-2016 85
Tache Objectif de la tache Facteur de Risque Risque
dans les procédures de
paiement par
financement
▪ Clôture d'un marché : ▪ Etablir le règlement
définitif du marché dans
le délai
▪ Retard dans les RD
▪ Des réserves non
résolues
▪ Problèmes de passation
des services
R24- Risque de retard
dans l'établissement du
règlement définitif du
marché
coso1 et coso 2 ACCIA 02-04-2016 86
PHASE 2 :
EVALUATION DES RISQUES
coso1 et coso 2 ACCIA 02-04-2016 87
Le risque est évalué en terme d’impact ou gravité (G)et de fréquence (F )ou
probabilité de survenance :
Il existe 4 niveaux de gravité ou d’impact sur le processus :
• Gravité mineure : 1
• Gravité moyenne : 2
• Gravité majeure : 3
• Gravité critique : 4 coso1 et coso 2 ACCIA 02-04-2016 88
Ces niveaux de gravité sont définis comme suit:
1: Le dysfonctionnement n’a aucun effet pour poursuivre les opérations du processus
2: Le dysfonctionnement nécessite des légères interventions pour poursuivre les opérations du processus
3: Le dysfonctionnement nécessite des sérieux interventions pour poursuivre les opérations du processus
4: Le dysfonctionnement rend impossible pour poursuivre les opérations du processus
coso1 et coso 2 ACCIA 02-04-2016 89
La grille de cotation de la fréquence est en 5 niveaux
• Inexistant: 1
• Possible: 2
• Certain: 3
• Fréquent: 4
• Très fréquent: 5
coso1 et coso 2 ACCIA 02-04-2016 90
Les niveaux de fréquence sont définis comme suit:
1: Moins de défaillance par an
2: Environ une défaillance par trimestre
3: Une à trois défaillance par mois
4: Au moins une défaillance par semaine
5: Au moins une défaillance par jour
LE CALCUL DE LA CRITICITE = G X F
coso1 et coso 2 ACCIA 02-04-2016 91
COTATION
N° Risque Fréquence Cotation Impact Cotation Criticité
R1
Mauvaise évaluation des besoins Possible 2 Majeur 3 6
R2 Le non respect des objectifs budgétaires
Possible 2 Majeur 3 6
R3
Risque de ne pas garantir les fonds nécessaires pour la réalisation du projet à temps
Possible 2 Critique 4 8
R4 Infraction à la règlementation des marchés publics
Inexistant 1 Critique 4 4
R5 Omissions dans les cahiers des charges
Possible 2 Mineur 1 2
R6
Sélection des fournisseurs non optimale (mauvais choix de l’adjudicataire)
Possible 2 Critique 3 6
coso1 et coso 2 ACCIA 02-04-2016 92
COTATION
N° Risque Fréquence Cotation Impact Cotation Criticité
R7
Risque d’existence des vices
cachés dans la fabrication du
matériel en usine (existence de
réserves non bloquant)
Inexistant
1
Critique
4 4
R8 Risque de réception d'un matériel
endommagé
Inexistant
1
Mineur
1 1
R9
Retard dans le dédouanement du
matériel
Possible
2 Moyenne 2 4
R10 Retard de payement des droits et
taxes de douane
Possible
2
Mineur
1 2
R11 La non approbation des études à
temps et conformément aux
cahiers des charges.
Inexistant
1
Majeur
3 3
R12
Risque de la non réalisation des
travaux conformément aux C.C.
Possible
2
Critique
4 8
R13
Le non respect du planning des
travaux
Possible
2 Majeur 3 6
coso1 et coso 2 ACCIA 02-04-2016 93
COTATION
N° Risque Fréquence Cotation Impact Cotation Criticité
R14 Risque d'arrêt des travaux Certain 3
Critique
4 12
R15 Risque de Retard dans le délai
du projet
Possible
2
Critique
4 8
R16
Risque d'augmentation du cout
du projet
Possible
2
Critique
4 8
R17 Risque de litige et de résiliation
du contrat
Inexistant
1
Critique
4 4
R18 Pièces justificatives en double
Inexistant
1
Mineur
1 1
R19
Risque d’une double facturation Inexistant
1
Moyenne
2 2
R20 Risque d’erreurs dans les
factures
Inexistant
1
Mineur
1 1
coso1 et coso 2 ACCIA 02-04-2016 94
COTATION N° Risque Fréquence Cotation Impact Cotation Criticité
R21 Risque d’erreurs d’imputation
budgétaire de la facture
Inexistant
1
Moyenne
2 2
R22 Risque de ne pas respecter le
délai de paiement des
fournisseurs
Possible
2
Mineur
1 2
R23 Risque de payer les intérêts
moratoires
Possible
2
Moyenne
2 4
R24 Risque de retard dans
l'établissement du règlement
définitif du marché
Certain
3 Majeur 3 9
coso1 et coso 2 ACCIA 02-04-2016 95
Cartographie des risques Inexistant
1
Possible
2
Certain
3
Fréquent 4
Très fréquent 5
Gravité mineur : 1 R8 - R18
R20
R5 - R10
R22
Gravité moyenne : 2 R21 - R19 R9
R23
Gravité majeure : 3 R11 R1 - R2
R13 - R6 R24
Gravité critique : 4 R4 - R7
R17
R3 - R15
R16 - R12
R14
Entre 1 et 4 Faible Nécessité d’un plan d’amélioration à long terme
Entre 5 et 7 Moyenne Nécessité d’un plan d’amélioration à moyen terme
Supérieur ou égal à 8 Elevée Nécessité d’un plan d’amélioration à court terme
coso1 et coso 2 ACCIA 02-04-2016 96
ZOOM SUR LES TACHES A RISQUE CRITIQUE Tache Objectif de la tache Facteur de Risque Risque
Recherche de
financement du projet
▪ Optimiser le
financement du projet et
son octroi à temps
▪ S'assurer de la
réalisation des travaux
conformément au
marché
▪ La situation financière
de l’organisation
▪ Le taux d'endettement
élevé de l’organisation
• Manque de contrôle
sur chantiers
R3- Risque de ne pas
garantir les fonds
nécessaires pour la
réalisation du projet à
temps
R12- Risque de la non
réalisation des travaux
conformément aux
C.C.
Réalisation des
travaux
▪ S'assurer de la
réalisation des travaux
conformément au
marché
▪ Forces majeures
▪ Le non paiement à
temps des fournisseurs.
▪ La non obtention des
autorisations nécessaires
à la réalisation du projet
dans les délais
▪ La non mise à
disposition des terrains
▪ Servitude de passage
R14- Risque d'arrêt
des travaux
coso1 et coso 2 ACCIA 02-04-2016 97
Tache Objectif de la tache Facteur de Risque Risque
▪ Etablir les travaux
dans les meilleurs délais
avec moindre cout
▪ Manque d'effectif en
agents techniques (non
respect de l'organi-
gramme du projet)
▪ Non finalisation des
études
▪ Le problème des
interfaces ( la non mise
à disposition de
……………..)
R15- Risque de Retard
dans le délai du projet
R16- Risque
d'augmentation du
cout du projet
Clôture d'un marché : ▪ Etablir le règlement
définitif du marché dans
le délai
▪ Retard dans les RD
▪ Des réserves non
résolues
▪ Problèmes de passation
des services
R24- Risque de retard
dans l'établissement du
règlement définitif du
marché
coso1 et coso 2 ACCIA 02-04-2016 98
CARTOGRAPHIE DES RISQUES
POUR LE SECRETARIAT PERMANENT DELA COMMISSION DE CONTRÔLE
DES MARCHES
coso1 et coso 2 ACCIA 02-04-2016 99
PHASE I
IDENTIFICATION DES RISQUES
coso1 et coso 2 ACCIA 02-04-2016 100
Activités Objectifs Risques Facteurs de Risque
1/Normalisation des cahiers des charges.
Uniformiser et mettre à jour les cahiers des charges en fonction du changement de la règlementation ou d’ambiguïtés relevées lors de l’exécution des marchés.
Rsp1-Cahiers des charges non actualisés. Rsp2- Divergence entre les Cahiers des charges adoptés par les différentes directions pour la même prestation.
• Confusion dans l’interprétation de certaines dispositions règlementaires.
• Information non parvenue concernant les anomalies signalées lors de l’exécution des marchés.
• Absence d’un système de reporting efficace.
2/ Contrôle des cahiers des charges à présenter à la Commission d’Achat et à la Commission de Contrôle des Cahiers des Charges.
Veiller à l’établissement des cahiers des charges conformes et répondant au mieux aux besoins.
Rsp3- Des spécifications techniques contraignantes , orientées ou ambigües. Rsp4- Des cahiers des charges non conformes à la réglementation.
• Mal définition des spécifications techniques.
• Non application des décisions de la commission de normalisation.
coso1 et coso 2 ACCIA 02-04-2016 101
Activités Objectifs Risques Facteurs de Risque
3/Gestion et suivi de la réunion d’ouverture des plis.
Procéder à l’ouverture publique des plis des AO lancés conformément à la procédure et la réglementation en vigueur.
Rsp5-Rejet d’offres conformes. Rsp6-Absence de soumissionnaires. Rsp7-Perte ou égarement des plis. Rsp8-Diffusion indue de l’information Rsp9- Report de l’ouverture des plis
• Avis de presse non règlementaire (texte erroné ou publication en retard).
• Mauvais acheminement des offres ou des cautions.
• Additif non programmé.
• Retard de l’avis juridique
coso1 et coso 2 ACCIA 02-04-2016 102
Activités Objectifs Risques Facteurs de Risque
4/Contrôle de dépouillement des appels d’offres et des avenants soumis à l’avis de la Commission des Marchés et du Conseil d’Administration.
S’assurer de la conformité de la procédure de dépouillement à la réglementation en vigueur et dans les délais.
Contrôler la régularité des avenants.
Rsp10-Attribuer le marché à un soumissionnaire non conforme administrativement, techniquement ou qui n’est pas le moins disant. Rsp11-Attribuer le marché avec un prix erroné Rsp12-Approuver des avenants inopportuns.
• Pièces administratives manquantes ou non règlementaires.
• Manque de justification de l’opportunité des avenants.
• Projets d’avenants comportant des irrégularités (dépassement du seuil règlementaire, changement du prix par rapport à celui du marché initial, avenant présenté hors délai).
• Problème de coordination • Erreur ou confusion entre
les soumissions
coso1 et coso 2 ACCIA 02-04-2016 103
Activités Objectifs Risques Facteurs de Risque
5/Vérification des marchés avant signature.
Veiller à ce que les marchés à conclure soient conformes aux cahiers des charges et aux décisions des organes compétents.
Rsp13-conclure un marché non conforme au cahier des charges.
• Contrôle insuffisant sur : le délai de livraison ou d’exécution, le mode de paiement, les cautions bancaires, le prix, le quantitatif du matériel.
coso1 et coso 2 ACCIA 02-04-2016 104
Activités Objectifs Risques Facteurs de Risque
6/ Contrôle des dossiers de règlements définitifs.
S’assurer de la bonne exécution des marchés conformément aux clauses contractuelles.
Rsp14- Clôturer un marché comportant des anomalies qui peuvent causer des dégâts à l’entreprise (matériel non fourni ou défectueux, mauvaise imputation du retard, pénalité de retard non payée…)
• Manque de pièces justificatives (ordre de service, décompte définitif, PV de réception provisoire, cautions , ordre de suspension, journal de chantier…).
• Absence de justifications de faits survenus lors de l’exécution du marché (retard, matériel défectueux, écart entre le prix contractuel et le prix réel, dates non indiquées sur les PV...)
coso1 et coso 2 ACCIA 02-04-2016 105
Phase II : Evaluation des risques
coso1 et coso 2 ACCIA 02-04-2016 106
Le risque est évalué en terme d’impact ou gravité (G)et de fréquence (F )ou
probabilité de survenance :
Nous avons opté pour 4 niveaux de gravité ou d’impact sur le processus :
• Gravité mineure : 1
• Gravité moyenne:2
• Gravité majeure : 3
• Gravité critique : 4
coso1 et coso 2 ACCIA 02-04-2016 107
La grille de cotation de la fréquence est en 4 niveaux
• Potentiel : 1
• Rare : 2
• Fréquent : 3
• Très fréquent : 4
Le calcul de la criticité: G X F
coso1 et coso 2 ACCIA 02-04-2016 108
Cotation N° Risque Fréquence Cotation Impact Cotation Criticité
Rsp1 Cahiers des charges non actualisés. Potentiel 1 Critique 4 4
Rsp2
Divergence entre les Cahiers des charges adoptés par les différentes directions pour la même prestation.
Rare 2 Moyen 2 4
Rsp3 Des spécifications techniques orientées ou ambigües.
Rare 2 Majeur 3 6
Rsp4
Des cahiers des charges non conformes à la réglementation.
Rare 2 Critique 4 8
Rsp5
Rejet d’offres conformes. Rare 2 Critique 4 8
Rsp6 Absence de soumissionnaires.
Rare 2 Majeur 3 6
Rsp7 Perte ou égarement des plis. Rare 2 Critique 4 8 coso1 et coso 2 ACCIA 02-04-2016 109
Cotation N° Risque Fréquence Cotation Impact Cotation Criticité
Rsp8 Diffusion indue de l’information.
Rare 2 Mineur 1 2
Rsp9 Report de l’ouverture des plis.
Rare 2 Majeur 3 6
Rsp10
Attribuer le marché à un soumissionnaire non conforme administrativement, techniquement ou qui n’est pas le moins disant.
Rare 2 Critique 4 8
Rsp11 Attribuer le marché avec un prix erroné.
Fréquent 3 Mineur 1 3
Rsp12
Approuver des avenants inopportuns. potentiel
1
Critique 4 4
Rsp13
Conclure un marché non conforme au cahier des charges.
Rare 2 Critique 4 8
coso1 et coso 2 ACCIA 02-04-2016 110
Cotation N° Risque Fréquence Cotation Impact Cotation Criticité
Rsp14
Clôturer un marché comportant des anomalies qui peuvent causer des dégâts à l’entreprise (matériel non fourni ou défectueux, mauvaise imputation du retard, pénalité de retard non payée…)
potentiel 1 Majeur 3 3
coso1 et coso 2 ACCIA 02-04-2016 111
Cartographie des risques
Potentiel 1
Rare 2
Fréquent 3
Très fréquent
4
Gravité mineur : 1 Rsp8 Rsp11
Gravité moyenne : 2 Rsp2
Gravité majeure : 3 Rsp14 Rsp3 Rsp6 Rsp9
Gravité critique : 4 Rsp1
Rsp12
Rsp4 -Rsp5 Rsp7-Rsp10
Rsp13
Entre 1 et 4 Faible Nécessité d’un plan d’amélioration à long terme
Entre 5 et 9 Moyenne Nécessité d’un plan d’amélioration à moyen terme
Supérieur à 10 Elevée Nécessité d’un plan d’amélioration à court terme coso1 et coso 2 ACCIA 02-04-2016 112
Zoom sur les activités à risque critique
Activités Objectifs Risques Facteurs de Risque
Contrôle des cahiers des charges à présenter à la Commission d’Achat et à la Commission de Contrôle des Cahiers des Charges.
Etablir les cahiers des charges conformes et répondant au mieux aux besoins.
Rsp4- Des cahiers des charges non conformes à la réglementation.
• Mal définition des spécifications techniques.
• Non application des décisions de la commission de normalisation.
Gestion et suivi de la réunion d’ouverture des plis.
Procéder à l’ouverture publique des plis des AO lancés conformément à la procédure et la réglementation en vigueur.
Rsp5-Rejet d’offres conformes. Rsp7-Perte ou égarement des plis.
• Avis de presse non règlementaire (texte erroné ou publication en retard).
• Mauvais acheminement des offres ou des cautions.
• Additif non programmé. coso1 et coso 2 ACCIA 02-04-2016 113
Activités Objectifs Risques Facteurs de Risque
Contrôle de dépouillement des appels d’offres et des avenants soumis à l’avis de la Commission des Marchés et du Conseil d’Administration.
S’assurer de la conformité de la procédure de dépouillement à la réglementation en vigueur et dans les délais.
Contrôler la régularité des avenants.
Rsp10-Attribuer le marché à un soumissionnaire non conforme administrativement, techniquement ou qui n’est pas le moins disant.
• Pièces administratives manquantes ou non règlementaires.
• Problème de coordination
• Erreur ou confusion lors du contrôle entre les soumissions
Vérification des marchés avant signature.
Veiller à ce que les marchés à conclure soient conformes aux cahiers des charges et aux décisions des organes compétents.
Rsp13-Conclure un marché non conforme au cahier des charges.
• Contrôle insuffisant sur : le délai de livraison ou d’exécution, le mode de paiement, les cautions bancaires, le prix, le quantitatif du matériel.
coso1 et coso 2 ACCIA 02-04-2016 114
115 coso1 et coso 2 ACCIA 02-04-2016