Analyse Critique de La Pertinence de L - Audit Fiscal

ENCG Casablanca - 2015 1
L'AUDIT INTERNE
Plan de la présentation
A) L’audit interne
- Définition
- Rôles
- Conditions d’exercice (indépendance)
B) Les champs d’évaluation de l’audit interne
- Contrôle interne- cadre de référence : le COSO I
- Management des risques- COSO II
- COSO III
- Rôle de l’audit interne
C) Les processus clefs de l’audit interne
- Planification du programme d’audit,
- Conduite de la mission : planification, accomplissement, communication des résultats, suivi des actions de progrès
D) Les normes : leur finalité, leur rôle, leur évolution
E) Déontologie et objectivité de l’auditeur interne
F) Les qualités relationnelles de l’auditeur interne

INTRODUCTION
Introduction
Audit interne : Activité qui a connu beaucoup de changements courant les dernières années.
Fonction qui prend de plus en plus d’importance suite aux différents scandales financiers.
 Objectif : vérifier la conformité aux lois et normes, donner un avis indépendant sur le fonctionnement du
contrôle interne, la gestion des risques, la gouvernance, …
Est devenu au fil des ans un outil de management de la direction générale au service de l’organisation.
Métier normalisé et cadré.
 Normes de l’IIA pour l’exercice de cette activité

A) L’audit interne
- Définition
- Rôles
- Conditions d’exercice (indépendance)
Audit Interne - Définition
« L'Audit Interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée.
Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique
et méthodique, ses processus de management des risques, de contrôle, et de gouvernement
d'entreprise, et en faisant des propositions pour renforcer leur efficacité. »
Normes IIA

L’ Indépendance :
Désigne le fait de se libérer des conditions qui menacent l’objectivité ou l’apparence de l’objectivité.
l’objectivité :
Se définit comme une attitude impartiale grâce à laquelle les auditeurs internes exécutent leurs
missions en étant sincèrement convaincus de la légitimité du résultat de leur travail et sans transiger
sur la qualité. Pour être objectifs, les auditeurs ne doivent pas subordonner leur jugement à celui
d’autrui sur des questions liées à l’audit.
Activité d’assurance :
Examen objectif dont le but est de fournir une évaluation indépendante des processus de
gouvernance, gestion des risques et contrôle d’une organisation, exemples des missions portant sur
les informations financière,; performances, la sécurité des systèmes…

Activité de conseil :
Activités de conseil et de service client, dont la nature et le périmètre sont définis en accord avec le
client et qui sont destinées à offrir une valeur ajoutée et à améliorer la gouvernance d’une
organisation, sans que l’auditeur interne soit responsable de l’encadrement.
 Approche systématique et méthodique :

L’audit interne s’appui sur une démarche structurée pour dérouler son programme d’audit.
Risque :
L’incertitude que se produise un événement qui pourrait avoir un impact sur la réalisation des
objectifs d’une entité.
Processus de Contrôle :
Politiques, procédures et activités qui font partie d’un cadre de contrôle, conçues pour obtenir les
risques dans les limites de tolérance établies par le processus de gestion des risques.
Audit Interne – Rôles

Est dans son périmètre :
• Evaluation = Analyser et évaluer les processus de gouvernement d’entreprise, de management des risques et de
contrôle ;
• Recommandation = Formuler des recommandations pour améliorer leur efficacité ;
• Communication = Rendre compte régulièrement des actions entreprises pour corriger les dysfonctionnements décelés ;
• Conformité = Vérifier que les dispositifs mis en place assurent la conformité aux lois et réglementations ;
• Participer aux missions d’investigation dans le cadre de fusions/acquisitions ;
• Contribuer à la mise en place du processus de management des risques ;
• Animer, quand elle existe, une démarche d’auto-évaluation des risques et des contrôles.
• …
N’est pas dans son périmètre :
• Prendre des décisions stratégiques et/ou opérationnels,

• Assurer les activités de contrôle interne,
• Mettre en place les recommandations,
• ….
Audit Interne - Rôles

Type Activités d’assurance Activités de conseil
Définition Examen objectif dont le but est de fournir une évaluation Activités de conseil et de service client, dont la nature et le
indépendante des processus de gouvernance, gestion des périmètre sont définis en accord avec le client et qui sont
risques et contrôle d’une organisation. destinées à offrir une valeur ajoutée et à améliorer la gouvernance
Les missions portant sur les informations financières, les d’une organisation, ainsi que ses processus de contrôle et de
performances, la conformité, la sécurité des systèmes et le gestion des risques, sans que l’auditeur interne soit responsable de
professionnalisme en sont quelques exemples. l’encadrement.
Parties L’auditeur interne détermine la nature et le périmètre de la Les activités de conseil impliquent généralement deux parties.
concernées mission d’assurance. En général, 3 parties sont impliquées - La personne ou le groupe dispensant des conseils (auditeur
dans les activités d’assurance. interne),
- La personne ou le groupe directement impliqué dans le - La personne ou le groupe sollicitant et recevant les conseils (le
processus, le système ou tout autre objet d’évaluation : client de la mission).
audité,
- L’auditeur interne (personne réalisant l’évaluation).
- La personne ou le groupe utilisant l’évaluation : DG,
Conseil.
Périmètre L’auditeur interne détermine la nature et le périmètre de la Le client détermine la nature et le périmètre en accord avec
des activités mission. l’auditeur.
Eléments Une évaluation, une opinion ou une conclusion du résultat de Conseils et apport d’une valeur ajoutée aux processus de
livrables la mission d’assurance est communiquée. gouvernance, gestion des risques et contrôle de l’organisation.
Audit Interne – Rôles

Activité de conseil :
• Mission de conseil formelles : planifiées er faisant l’objet d’un accord écrit,
• Mission de conseil informelles : activités courantes telles que la participation aux
comités permanents, les projets limités dans le temps, les réunions spéciales et
l’échange des renseignements de caractère courant.
• Mission de conseil spéciales : participation à une équipe de fusion ou d’acquisition ou
à une équipe de conversion de système
• Mission de conseil d’urgence : participation à une équipe mise en place pour restaurer
ou maintenir des opérations suite à un sinistre ou tout autre évènement extraordinaire,
ou à une équipe constituée pour apporter une aide temporaire afin de faire face à une
demande spéciale ou de respecter un délai inhabituel.
Audit Interne - Outils
Code de déontologie
Cadre de référence international des pratiques

professionnelles de l’audit interne
Audit Interne – Conditions d’exercice (Indépendance)
L’indépendance est la capacité de l’audit interne et de son responsable à assumer, de manière impartiale, leurs
responsabilités. Afin d’atteindre un degré d’indépendance nécessaire et suffisant à l’exercice de ses
responsabilités, le responsable de l’audit interne doit avoir un accès direct et non restreint à la direction
générale et au Conseil. Cet objectif peut être atteint grâce à un double rattachement.
L’indépendance de l’audit interne doit se traduire :

- Au niveau de l’auditeur interne : indépendance vis-vis des activités à auditer, conflit d’intérêt.
- Au niveau de la conduite de la mission : définition du périmètre, établissement du programme de travail, accès à
l’information, aux documents et aux personnes, et la communication des résultats,
- Au niveau de l’audit interne et de son positionnement dans l’organisation : accès au Conseil et au comité
d’audit, ressources nécessaires pour la bonne marche de l’activité, …

Double rattachement de l’activité d’audit interne :
Conseil d’administration Attachement hiérarchique

Attachement fonctionnel
Direction Comité d’audit
Fonction de l’audit interne
Le RAI doit être rattaché :

- Au conseil et au comité d’audit sur le plan fonctionnel,
- A la direction générale de l’organisation sur le plan hiérarchique
Attachement fonctionnel
• Approuve la charte d’audit,
• Approuve le plan d’audit interne fondé sur l’approche par les risques,
• Soit tenu informé des résultats de l’activité d’audit,
• Approuve les résultats de l’évaluation de la performance, la nomination et la destitution du RAI,
• Approuve la rémunération et la revalorisation du salaire du RAI.
Attachement hiérarchique
• Donner les moyens nécessaires à l’accomplissement de sa mission,
• Donner les moyens nécessaires pour la mise en place des recommandations,
• Faciliter la communication interne et le flux d’information,
• Gérer des ressources humaines, y compris l’évaluation et la rémunération,
La charte d’audit annonce le cadre de l’exercice de l’activité d’audit interne au sein d’une entreprise,
Document signé par le Président du Comité d’audit, la Direction Générale et le Responsable d’audit interne et
transmis à l’ensemble du personnel,
Ce document spécifie la fonction, les pouvoirs et les responsabilités du service d’audit interne, y compris le
rattachement au comité d’audit, les accès nécessaires à l’exécution du travail d’audit, toutes les restrictions de
périmètre et/ou de pouvoir, le respect d’un code de déontologie et des normes d’audit interne, ainsi que les
relations avec les auditeurs externes.
Ce document est revu périodiquement pour garantir son adéquation au fonctionnement de l’activité.

Le Comité d’audit est une émanation du Conseil d’administration. Il l’assiste sur le plan de la surveillance des règles de
conformité des rapports financiers, du respect des prescriptions juridiques et réglementaires, ainsi que de la qualification, de
l’indépendance et de l’action, des auditeurs externes.
Il donne avis, au Conseil d’administration, sur le dispositif de contrôle interne, la qualité des comptes, les performances ainsi que
sur toute question se rapportant au système d’information et de gestion de la Société.
 Il est constitué de 2 à 3 administrateurs, membres du Conseil. La bonne gouvernance stipule que l’un d’eux doit être un administrateur
indépendant, et de préférence ayant des connaissances en matière de gouvernance, gestion de risques ou encore en contrôle interne.
 Le secrétariat du Comité d’audit interne est généralement tenu par le Responsable d’audit interne.
 le Comité d’audit tient ses réunions selon un planning défini et avant la tenue du Conseil. L’ordre du jour de ses réunions est établi en
collaboration avec le Responsable de l’audit interne :
 La gouvernance de l’entreprise,
 La gestion des risques,
 Les arrêtés comptables,
 Les rapports d’audit interne,
 Les rapports du commissaires aux comptes, …
 Le comité d’audit va s’appuyer sur les avis des experts, et surtout celui du commissaire aux comptes, qui est systématiquement présent dans les
réunions du comité d’audit (pour alimenter le Comité mais aussi pour observer les travaux de ce dernier).
 Comme pour l’audit interne, le Comité d’audit se dote d’une charte de fonctionnement qui va préciser son périmètre, ses obligations, ses
engagements, son fonctionnement, …
B) Les champs d’évaluation de l’audit interne
- Contrôle interne- cadre de référence : le COSO I

- Management des risques- COSO II
- COSO III
- Rôle de l’audit interne
Historique du COSO
• A l’origine, en 1985, cinq associations professionnelles aux Etats-Unis, à savoir The American Accounting Association (AAA), The American
Institute of Certified Public Accountants (AICPA), Financial Executives International (FEI), The Institute of Internal Auditors (IIA), The National
Association of Accountants maintenant appelé The Institute of Management Accountants (IMA) se sont alliées pour établir une Commission
Nationale appelée « Treadway Commission ».
• Cette commission, indépendante de chacun des organismes qui la composent, se consacre aux fraudes financières.
• Cette commission, comprenant des représentants de l’industrie, de la comptabilité nationale, des sociétés de placement en immobilier et de la bourse
de New York, a mené une étude sur les facteurs pouvant inciter à fournir des informations financières frauduleuses et a formulé des recommandations
pour les sociétés anonymes et leurs auditeurs indépendants ou pour la Securities and Exchange Commission (SEC) et d’autres régulateurs.
• Dans le même temps, de nombreux scandales financiers se succèdent aux Etats-Unis et soulèvent de sérieuses interrogations quant au système
comptable, aussi bien au niveau des normes actuelles que de leur mise en œuvre et leur contrôle.
•
COSO (Committee Of Sponsoring Organizations of the Treadway Commission) établit en 1992 une définition standard du contrôle interne et crée un
cadre pour évaluer son efficacité. Par extension ce standard s'appelle aussi COSO.
• En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron, Worldcom, …), promulgue la loi Sarbanes–Oxley (the
Sarbanes-Oxley Act ou SOX act). Cette loi oblige les sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs
conclusions dans les états demandés par la Securities and Exchange Commission (SEC). Imposant en outre l'utilisation d'un cadre conceptuel, le
SOX act a favorisé l'adoption du COSO comme référentiel.
• En France, la loi de sécurité financière (dite loi LSF) promulguée peu après en 2003, a également contribué à sa diffusion.
Historique du COSO
• En 2004, la commission élargit le périmètre de ses réflexions et élabore un nouveau
référentiel COSO 2 qui est axé davantage sur le processus de management des
risques en entreprise (notion d’opportunité, appétence au risques, objectifs
stratégiques, élargissement du périmètre aux filiales, ..).
• En 2013, la commission met à jour le 1er référentiel COSO I axé sur le contrôle
interne afin d’adapter le référentiel aux évolutions de l’environnement et de
l’entreprise : nouveaux risques émergeants comme la cybercriminalité, le rôle de la
technologie, les problématiques d’externalisation, les nouveaux enjeux de la
gouvernance, …
Historique du COSO
• 1992  Référentiel du contrôle interne  COSO I

• 2004  Référentiel du management du risques  COSO II
• 2013 Référentiel du contrôle interne (actualisation du référentiel de 1992)
COSO III
Contrôle interne – cadre de référence COSO I

Définition
Selon le COSO I :
« le contrôle interne est un processus mis en œuvre par le Conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
- La réalisation et l’optimisation des opérations,
- La fiabilité des informations financières,
- La conformité aux lois et aux réglementations en vigueur. »
Les 5 composants du contrôle interne.


Eléments composants le contrôle interne
L’environnement de contrôle constitue le milieu dans lequel les personnes

accomplissent leurs tâches et assument leurs responsabilités en matière de
contrôle. Il sert de base pour les autres éléments du contrôle interne. Dans
cet environnement, les dirigeants évaluent les risques susceptibles de
mettre en cause la réalisation des objectifs spécifiques. Les activités de
contrôle sont mises en place pour permettre à la direction de s’assurer que
ses directives visant à traiter ces risques ont été exécutées. Entre temps, les
informations pertinentes sont recueillies et communiquées à l’ensemble de
l’organisation.
Le processus complet fait l’objet d’un pilotage et de modifications le cas

échéant.
 Pour répondre aux 3 objectifs du contrôle interne.
COSO I

L’environnement de contrôle
L’intégrité et éthique Culture de l’entreprise, état d’esprit des dirigeants  code de conduite,
Incitations : pressions pour atteindre des objectifs irréalisables, à court terme, formules de
rémunération basée fortement sur les performances, …
Tentations : contrôles inexistants ou inefficaces (mauvaise séparation des tâches par ex), forte
décentralisation des responsabilités, …
Les compétences Le niveau de compétences et de connaissance requis,
Critères de recrutement,
Formation et évaluation objective des performances,
Compétences Vs coût.
Conseil s’assurer du bon fonctionnement du système de contrôle interne :
d’administration et + compétences appropriées,
Comité d’audit + administrateurs indépendants, …
Philosophie et style de Niveau de risques accepté par les dirigeants,

management des Modèle de gestion adopté (conventionnel, informel),
dirigeants Niveau de délégation ou de centralisation des pouvoirs et les outils de contrôle mis en place.

L’environnement de contrôle
Structure de - Organigramme détaillé,
l’entreprise - Descriptifs des activités, Fiches de postes et descriptifs de l’organisation (hiérarchie
pyramidale, structure matricielle, …),
Délégation de pouvoirs - Système clair de délégation des pouvoirs et des responsabilités,
et domaine de - Définition des périmètres et les limites de prises de décisions, et de remontée d’information,
responsabilité - Respect du principe de séparation des tâches (autorisation, engagement et règlements) doit
être respecté.
Politique en matière de - Traduire les exigences en matière d’intégrité, d’éthique et de compétences.
ressources humaines - Doit englober : le recrutement, la gestion des carrières, la formation, les
évaluations individuelles, les promotions et rémunération, …
Les différences et - Tenir compte des différences de cultures et des environnements dans les cas de
leurs conséquences sociétés à répartition géographique importante (société mère et filiales installées
dans différents pays par ex).

L’évaluation des risques
Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.
Identifier les risques par process critique liés aux objectifs de l’entreprises,
Facteurs Interne / externe
Organisation, techniques, réglementaire, …
Evaluer les risques : Son importance, Sa probabilité
Elaboration de la cartographie des risques :

permettre une vision synthétique des risques
pris par l’entreprise sur ses métiers

Les activités de contrôle
L’application des normes et procédures destinées à assurer l’exécution des directives émises par le management
en vue de maitriser les risques.
Couvrent :
- Le domaine opérationnel : réalisation et optimisation des opérations,
- La fiabilité de l’information comptable et financière,
- Le respect des règlements et lois en vigueur.

L’information et communication
L’information pertinente doit être identifiée, recueillie et diffusée dans les meilleures conditions de forme et de délai :
 Production de rapports de performance répondant aux critères définis par l'entreprise,

 Alignement des systèmes d'information et de communication avec la stratégie de l'entreprise,
 Engagement de l'entreprise pour développer, tester et superviser les systèmes d'informations,
 Plan de secours et plan de continuité informatique.

Le pilotage
 Évaluation périodique des contrôles internes,

 Mise en place de recommandations pour amélioration,
 Fonction d'audit interne structurée pour superviser les activités de contrôle.
Contrôle interne – cadre de référence COSO II

Définition
• Le management des risques traite des risques et des opportunités ayant une incidence sur la
création ou la préservation de la valeur. Il se définit comme suit :
– « Un processus mis en œuvre par le conseil d administration, la direction générale, le management

et l'ensemble des collaborateurs de l’organisation. Il est pris en compte dans l’élaboration de la
stratégie ainsi que dans toutes les activités de l'organisation.
– Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’ organisation et pour
gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l'atteinte des objectifs de l'organisation. »
• Source : COSO II

Objectifs du Management de risques :
• Stratégique objectifs stratégiques servant la mission de l’organisation,

• Opérationnel objectifs visant l utilisation efficace et efficiente des
ressources,
• Reporting objectifs liés à la fiabilité du reporting,
• Conformité objectifs de conformité aux lois et aux réglementations en
vigueur.

Le dispositif de management des risques comprend huit éléments. Ces éléments résultent de la façon dont l’organisation est
gérée et sont intégrés au processus de management :
Environnement interne L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les
risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité, et plus particulièrement la conception
du management et son appétence pour le risque, l’intégrité et les valeurs éthiques, et l’environnement dans lequel
l’organisation opère.
Fixation des objectifs Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les
événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction
a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec
son appétence pour le risque.
Identification des événements Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une
organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en
compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs.

Evaluation des risques Les risques sont analysés, tant en fonction de leur probabilité que de leur impact, cette analyse servant
de base pour déterminer la façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués.
Traitement des risques Le management définit des solutions permettant de faire face aux risques évitement, acceptation,
réduction ou partage. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le
niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation.
Activités de contrôle Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l application
effective des mesures de traitement des risques.
Information et communication Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans
des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler
verticalement et transversalement au sein de l organisation de façon efficace.
Pilotage Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s
effectue au travers des activités permanentes de management ou par le biais d évaluations indépendantes ou encore par une
combinaison de ces deux modalités.
Contrôle interne – cadre de référence COSO

COSO III
En matière de contrôle interne, une version actualisée du COSO est parue le 14 Mai 2013. Le but de cette mise à jour est de
prendre en compte les évolutions des environnements opérationnels et les attentes accrues concernant le contrôle interne. Tout
en se reposant sur les principes fondamentaux de la version initiale, cette mise à jour apporte plusieurs nouveautés significatives
permettant la mise en œuvre d’un dispositif plus agile s’alignant en permanence aux objectifs de l’organisation.
• Les risques nouveaux qui émergent et qui sont autant de nouveaux enjeux de contrôle interne (la cyber-
criminalité, le cloudcomputing, etc.) ;
• En matière de gouvernance (notamment les rôles des comités au niveau du conseil mais aussi de la direction
générale sur des enjeux importants comme les risques, la conformité, etc.) ;
• La responsabilisation du personnel à tous les niveaux de la hiérarchie et dans toutes les entités de l’organisation
(le « tone in the middle » et le lien entre les objectifs, les risques encourus et l’évaluation de la performance) ;
• La nécessité de s’adapter en permanence à un environnement interne et externe en mutation ;
• L’efficacité et l’efficience du dispositif de contrôle interne (l’articulation entre les opérationnels, les fonctions
support, et l’audit interne) ; et
• Les exigences de reporting au-delà de la communication financière (développement durable, environnement,
qualité, etc.).

COSO III
Le COSO III :
« le contrôle interne est un processus mis en œuvre par le conseil, le management et les collaborateurs, et
qui est destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs liés aux opérations, au
reporting et à la conformité. »
Mise en œuvre à partir du 16 décembre 2014.


COSO III
Objectifs de contrôle interne :
1992 2013
Réalisation et optimisation des opérations Les opérations : réalisation de la mission de l’entité,
comprennent la protection du patrimoine, …
Fiabilité des informations financières Le Reporting : externe et interne, financier et non

financier
Conformité aux lois et règlements en vigueur La conformité : lois, règlements, procédures, notes
internes, …
17 Principes de contrôle interne et 81 points d’attention pour la

mise en œuvre des 5 composantes du contrôle interne.

COSO III
Le COSO 2013 comprend :
• Un résumé ;
• Le référentiel et ses annexes qui définissent le contrôle interne, le positionnent par rapport à trois catégories
d’objectifs, présentent les cinq composantes du contrôle interne, déclinées en 17 principes structurants, et
décrivent les exigences en matière d’efficacité ;
• Des outils qui présentent des tableaux d’évaluation et de synthèse, divers scenarios pour faciliter l’évaluation des
17 principes qui constituent un dispositif de contrôle interne efficace ; et
• Un recueil d’approches et d’exemples dans le domaine du reporting financier externe (Internal Control over
External Financial Reporting, « ICEFR ») qui propose des exemples de mise en pratique des 17 principes dans le
cadre de la réalisation des états financiers.

COSO III
Les principales évolutions concernent :
1. L’élargissement du domaine d’application au-delà du reporting financier (par exemple la responsabilité sociale et
environnementale) ;
2. Le renforcement des attentes en matière de gouvernance (par exemple les rôles des comités et l’alignement avec le business
model) ;
3. La gestion des collaborateurs clés du contrôle interne (par exemple plans de successions pour la direction générale) ;
4. L’articulation des 3 « lignes de maîtrise » dans l’organisation (les opérationnels, les fonctions support, et l’audit interne) ;
5. La relation entre risque, performance et rémunération (notamment le principe portant sur la responsabilisation) ;
6. L’articulation du « tone at the top » avec les comportements à travers l’organisation (« tone in the middle ») ;
7. La prise en compte des sous-traitants et des autres intervenants clés (par exemple leur adhésion au code de conduite, au respect
des contrôles au-delà du reporting financier) ; et
8. L’exigence de l’adaptabilité et l’adéquation du dispositif par rapport à l’évolution de l’organisation, liée par exemple à la mise en
place de nouveaux processus, rôles, structures, systèmes d’information, centres de services partagés, périmètre d’activité, etc.
Le périmètre du contrôle interne n’élargit pas aux objectifs stratégiques, à l’appétence pour le risque ou autres sujets du ressort de
l’Enterprise Risk Management et du référentiel de 2004 (COSOII). Le COSO 2013 s’articule logiquement avec le COSO ERM, le
contrôle interne étant défini comme une partie intégrante de l’ERM.

COSO III
Composantes Principes
Environnement de 1. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques.
contrôle 2. Le Conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du dispositif
de contrôle interne.
3. Le management, agissant sous la surveillance du Conseil, défi nit les structures, les rattachements, ainsi que les pouvoirs et les
responsabilités appropriés pour atteindre les objectifs.
4. L’organisation manifeste son engagement à attirer, former et fidéliser des collaborateurs compétents conformément aux objectifs.
5. Afin d’atteindre ses objectifs, l’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de
contrôle interne.
Evaluation des 6. L’organisation défi nit des objectifs de façon suffisamment claire
risques pour rendre possible l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques associés à la réalisation de ses objectifs dans l’ensemble de son périmètre et procède à leur
analyse de façon à déterminer comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles de compromettre la réalisation des
objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
Activités de 10. L’organisation sélectionne et développe les activités de contrôle qui contribuent à ramener à des niveaux acceptables les risques
contrôle associés à la réalisation des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
12. L’organisation met en place les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures
qui mettent en œuvre ces règles.
Information et 13. L’organisation obtient ou génère, et utilise, des informations pertinentes et fi ables pour faciliter le fonctionnement des autres
communication composantes du contrôle interne.
14. L’organisation communique en interne les informations nécessaires
au bon fonctionnement des autres composantes du contrôle interne, notamment en matière d’objectifs et de responsabilités associés
au contrôle interne.
15. L’organisation communique avec les tiers sur les points qui affectent le fonctionnement des autres composantes du contrôle
interne.
Activités de 16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles afin de vérifier si les composantes du
pilotage contrôle interne sont mise en place et fonctionnent.
17. L’organisation évalue et communique les faiblesses de contrôle interne en temps voulu aux parties chargées de prendre des
mesures correctives, notamment à la direction générale et au Conseil, selon le cas.

COSO III
Définition des responsabilités  3 lignes de maitrise :
1. ce sont les opérationnels (par exemple les chargés de production, des ventes, etc.) qui doivent s’assurer de la bonne
conception et du bon fonctionnement du dispositif de contrôle interne ;
2. les fonctions support (par exemple les chargés de conformité, sécurité, gestion des risques) apportent expertise et conseil par
rapport aux objectifs de performance et de contrôle ; et
3. l’audit interne permet un regard indépendant et des revues variées dans un but, notamment, d’améliorer le contrôle interne de
l’organisation.
La direction générale demeure le responsable en dernier ressort du respect du dispositif.

Les commissaires aux comptes, régulateurs, ne font pas partie du système de contrôle interne.
Le rôle du Middle management « tone in the middle » dans la mise en œuvre et dans l’efficacité du contrôle interne
L’importance du respect du dispositif de contrôle interne pour les activités externalisées : importance du choix des
prestataires.
L’importance d’une bonne conduite des changements organisationnels et le respect des principes de contrôle
interne : projets de transformation (SI, organisationnel, …)  de l’accompagnement à la mise en œuvre.

Rôle de l’audit interne
Les auditeurs internes procèdent à un examen direct du système de contrôle interne et recommandent des
améliorations :
- Examiner la fiabilité et l’intégrité des informations financières et d’exploitation, ainsi que les moyens utilisés pour
identifier, mesurer, classer et diffuser ces informations,
- Examiner les systèmes mis en place afin de vérifier la conformité aux normes, plans, procédures lois et
réglementations sur les activités

Cas d’application – mise en place de gestion des
risques et du contrôle interne dans une
compagnie d’assurance
DEMARCHE DE GESTION DES RISQUES

Définir les objectifs A
C
Répertorier les processus T
U
Identifier les risques A
L
Evaluer les risques I
S
A
Identifier les contrôles T
I
Tester les contrôles O
N
Etablir des recommandations

FIXATION DES OBJECTIFS

Liés à l’activités ( Opérations)
( rendement, positionnement, opportunités etc…)
Objectifs généraux Liés aux informations financières ( IF)

(produire en temps voulu des états financiers conformes
aux référentiels comptables)
Liés au respect de la réglementation ( Conformité)

( appliquer rigoureusement l’ensemble des lois
et réglementations)
Objectifs fixés à l’échelle de l’activité
- Découlent des objectifs généraux

- La notion d’activité est lié au découpage adoptée par la compagnie
- BU, Process, Branches, Produits
IDENTIFICATION DES RISQUES
• Il s’agit d’identifier et de prendre en compte les conséquences des risques significatifs.
• Ce processus est interne et peut se faire avec l’accompagnement de professionnels externes .
• Positionnement des opérationnels au cœur du dispositif .
• Chaque opérationnel, chaque manager est propriétaire de ses risques.
• La nomenclature se fait selon le découpage adopté par l’entreprise et sont systématiquement liés à des
objectifs.
IDENTIFICATION DES RISQUES

La granularité est le niveau de détail sur lequel peut se construire une cartographie.
Il existe cinq niveaux complémentaires de granularité, du plus large au plus particulier :
Le métier Le domaine Le processus L’opération La tâche
IARD Auto Sinistres Règlement Envoi d’un

chèque
Vie
Réass
Vue 1
Vue 2
Vue 3
Vue 4
Début
Réception de la déclaration de
Etape 0 sinistre
Etape 1 Ouverture du dossier

Identification du Courrier Arrivée
Evaluation initiale du sinistre

Non
Etape 2 Traitement du dossier Transaction ? Gestion Contentieux
Oui
Etape 3 Règlement
Règlement financier
Règlement judiciaire
Ecriture comptable
Traitement : sous Etape
Etape 4 Inventaire du dossier Clôture du dossier
Inventaire Physique Processus : autre processus

Inventaire Permanent
Enregistrement de la provision Nœud : nœud de décision

Etape 5 réglementaire
Tâche : tâche du processus
Fin
EXEMPLE DE RISQUES (Processus de gestion des primes)

N° Risques
R1 Retard dans l'émission des primes
R2 Prise de garanties méconnue par la compagnie
R3 Déséquilibre technique dans les contrats d'assurance
R4 Sous-tarification des polices (autres que les tarifs réglementés)
R6 Renouvellement d'une police présentant des impayées
R7 Double codification d'un assuré
R9 Erreur d'imputation des numéros des tryptiques
R10 Absence de données de gestion
R11 Double remboursement
R12 Délivrance de quittance sans paiement de cotisation
R13 Risque d'incident de paiement des cotisations
R14 Risque de non-conformité juridique des polices
EXEMPLES DE RISQUES (Gestion Sinistres)
N° Risques
RS1 Risque d'une évaluation erronée de la PSAP
RS2 Risque de règlement erroné
RS3 Estimation erronée des provisions réglementaires
RS4 Risque de traitement tardif du dossier sinistre
RS5 Risque de perte ou de traitement tardif du courrier
RS6 Risque d'erreur dans l'identification des éléments du sinistre
RS7 Risque de double règlement
RS8 Risque de perte, disparition ou destruction de dossiers physiques de sinistres ou d'éléments de dossiers
RS9 Sous effectif du service Sinistres Corporels et Matériels
RS10 Défaillance au niveau de la sécurisation du lieu de travail

EVALUATION DES RISQUES

• L’objectif est de cerner les risques majeurs susceptibles d’avoir un impact significatif sur la
réalisation des objectifs de l’entreprise.
• L’évaluation des risques suppose la prise en compte des contrôles existants .
• Seuls les risques résiduels sont pris en compte .
• Deux aspects importants :
• L’importance du risque
• La probabilité de réalisation ( occurrence)
Mesure des impacts : impact financiers, impact image et réputation, impact réglementaire et légal, …

Objectif : parvenir à placer les risques sur une échelle de criticité. Identifier les causes et les
conséquences de chaque risque.
Outil indicatif : Matrices Fréquence / Impact
Risque brut = Impact prévisible x Fréquence
Proposition d’échelles :
ECHELLES DE PROBABILITE
ECHELLES D’IMPACT
Autres critères d’impact : impact sur l’image de la compagnie, réglementaire, juridique…


La détermination de l’occurrence et de l’impact de chaque risque permettra de déterminer la gravité globale du risque :
Probabilité
4- Probable
3- Assez probable
2- Peu propable
1- Improbable
1- Faible 2- Moyen 3- Fort 4- Critique

Impact
Echelle Gravité
4 Majeure
3 Importante
2 Moyenne
1 Faible
ENCG Casablanca - 2015

Risque Définition/ Précisions Imp Mait.
Respect des règles de souscription - ► Non respect des règles de souscription par le réseau Bancassurance
Bancassurance 2,8 2,2
Respect des règles de souscription - Agents ► Non respect des règles de souscription par le réseau des agents (tarification, risques exclus,
risques non délégués) 2,6 2,4
Fiabilité des données pour l’appréciation / ► Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou
tarification du risque frauduleuses - -
Concentration / souscription - Entreprises ► Dépassement des engagements acceptables sur un même site, un même client ou un même risque
d’assurance 3,5 1,8
Dépassements des pleins – identification ► Dépassement des pleins ou non identification des risques devant faire l'objet d'une assurance
des risques / réassurance facultative facultative :
► Dépassement de plein lors de la souscription d’un contrat
► Non identification des polices reconduites tacitement devant faire l’objet de réassurance
4,0 2,0
facultative
► Non respect des conditions du réassureur (délais de règlement de la prime,…) impliquant la
non couverture des sinistres cédés en réassurance facultative
Risques non réassurés ► Acceptation d'un risque exclu par la réassurance 3,0 3,7
ENCG Casablanca - 2015

Risque Définition/ Précisions Imp Maît
Emission de polices et triptyques Emission de polices et triptyques frauduleux : non autorisés, non déclarés à la Compagnie,
3,7 1,0
frauduleux antidatés..
Formulaires, contrats, documents Utilisation de formulaires, contrats et autres documents contractuels qui ne sont plus en vigueur par
périmés - Bancassurance le réseau bancassurance 3,3 1,3
Approbation du contrat par le client Contrats d’assurance en cours d’exécution non signés par le client (essentiellement pour l’AT) 3,0 3,3
Qualité des clauses contractuelles Absence ou manque de précisions de certaines clauses dans le contrat (exclusions,…) 3,0 1,2
Gestion des stocks de triptyques Gestion des triptyques inefficiente : suivi du stock de la Compagnie et des intermédiaires, sécurité
3,2 1,6
du stockage, détournement des triptyques par des employés / intermédiaires, …
Fiabilité des données clients pour la Les données utilisées pour la cotation des affaires en AT sont inexactes, incomplètes ou 2,5 1,8
tarification AT frauduleuses
Base clients bancassurance / Ecarts entre la base clients bancassurance (banque et filiales) et la Compagnie:
Exhaustivité du chiffre d’affaires Nombre de têtes
3,8 2,0
Données clients (âge,…)
Cotisations
Annulation des primes Annulation de prime erronée, non exhaustive ou non autorisée 3,2 2,0
IDENTIFICATION DES CONTRÔLES

• La gestion des risques majeurs consiste en :
• Elle se situent dans le cadre de la réduction des risques.

L’évitement
Elles comprennent un large éventail de politiques et de
procédures qui permettent de s’assurer de la mise en
œuvre des directives de la Direction.
L’acceptation
• Contrôles Préventifs /Défectifs
La réduction • Contrôles de pilotage/d’application
• Exemples de contrôle d’application

Le transfert • Vérification de l’existence de toutes les pièces
justificatives avant l’émission d’une prime
• Impossibilité d’émettre une même prime plus d’une
fois au niveau de l’application qui gère la production
• Etc...

• Contrôles de pilotage/d’application
• Exemples de contrôles de pilotage

• Le suivi du taux de S/P par branche
• Le suivi du taux de commissions
• Le suivi des émissions par branche
• Etat du volume des annulations et des résiliations par rapport aux émissions par branche
• Ect...
• Contrôles manuels/Informatiques
• Les contrôles doivent être matérialisés et testés.


Risque Fiabilité des données pour l’appréciation / tarification du risque
Les données servant à l’appréciation et la cotation du risque sont inexactes, incomplètes ou frauduleuses
 Fraude de l’intermédiaire ou descriptif erroné du risque par l’intermédiaire
 Fausse déclaration de l’assuré,
 Manque de précisions sur l’activité du client.
Contrôle Fréquence Document support Livrable / Acteurs Deadline
Formalisation
1. ► Mettre en place et formaliser les habilitations pour la mensuel ► État des police ► État des anomalies Directeur du Pôle Assurances des
souscription des risques entreprises souscrites Entreprises
► Contrôles des habilitations d’acceptation, de signature et
de contrôle pour la souscription
► Contrôle pour l’exhaustivité des polices souscrites du
respect des habilitations en matière de souscription (contrôle
des signatures des contrats et des avenants).
2. ► Vérifier sur la base des dossiers physiques la réception Dossiers physiques des Directeur du Pôle Assurances des
des données nécessaires et suffisantes à l'appréciation du polices Entreprises
risque et à la tarification.
3. ► Contrôle pour l’ensemble des polices souscrites de mensuel ► État des polices ► état des anomalies Directeur du Pôle Assurances des
l’existence d’un rapport de risque renseigné par souscrites Entreprises
l’intermédiaire.
4. ► Récupérer la liste des risques à visiter (établie par le trimestriel ► État des polices ► État des polices sans Directeur du Pôle Assurances des
préventeur sur la base d'un nombre de critère) : visites faites à souscrites visite de risque Entreprises
la souscription ou au changement de capitaux ou de garanties. ► Rapports de
► Contrôler que la visite de risque pour ces polices a été risque
effectuée
5. ► Vérifier que les demandes de modification (pour hebdomadaire ► État des demandes ► État des anomalies Directeur Souscription
aggravation du risque) sont traitées dans les délais (10j délai de modification (modifications
légal) : demandées non traitées)
► Vérification de l’existence de l’avenant de régularisation
établi et classé dans le dossier.

Risque Concentration / souscription – Entreprises (cumul)
Dépassement des engagements acceptables sur un même site, un même client ou un même risque d’assurance.
 Dépassement des cumuls couverts par les traités de réassurance en cas de catastrophe naturelle.
Contrôle Fréquence Documen Livrable / Acteur Deadline
t support Formalisation
► Préalable Directeur du Pôle

► Formaliser les limites de concentration par garantie Assurances des Entreprises;
► Reconstituer le fichier des risques entreprises assurés
(capitaux assurés, adresse des différents sites et dépôts,…)
1. ► Effectuer une cartographie des risques assurés par Semestriel. ► État ► Cartographie des Responsable Prévention.
garantie (risques divers) : des risques assurés.
► Relevé des points GPS pour l’ensemble du portefeuille, polices. ► Cumuls des capitaux
et mettre les capitaux garantis, dépassant la politique de
► Mise à jour semestrielle (nouvelles souscriptions / concentration de la Cnie.
modifications)
2. - Vérifier la correcte saisie des données sur le système

: rapprochement entre les adresses figurant sur le
contrat avec les adresses saisies sur le système
- sur la base de la cartographie, vérifier le non
dépassement des capitaux assurés par zone

Risque Mise à jour des réserves – Non Vie
Les réserves ne sont pas mises à jour dans le système en fonction des éléments reçus et des règlements effectués
Contrôle Fréquence Document support Livrable / Acteur Deadline
Formalisation
1. ► Inventaire tournant en partant du physique vers le ► Tournant avec ► État des dossiers ► État des Responsable Indemnisations
système comme critère que physiques (source anomalies
► Contrôle de l’exactitude de la réserve système par l’ensemble des archivage)
rapport au dossier physique dossiers doivent être
► Contrôle de l’exactitude des règlements effectués revus au moins une
fois par trimestre
2. ► Inventaire tournant en partant du système vers le ► idem ► État des réserves ► État des Responsable Indemnisations
physique système anomalies
► Contrôle de l’exactitude de la réserve système par
rapport au dossier physique
► Contrôle de l’exactitude des règlements effectués
3. ► Contrôle de la mise à jour de la réserve par rapport ► Trimestrielle ► Inventaire des ► État des Responsable Indemnisations
aux dossiers physiques pour certains critères dossiers système anomalies
► Réserves nulles,
► Réserves non mouvementées,
► Modifications importantes de réserves,
► Dossiers en police universelle.
4. ► Mesure du délai de traitement du courrier : ► Trimestrielle ► Backlog traité et état ► Reporting sur les Directeur du Pôle Assurances des
► Mesure du délai de traitement du courrier, des documents traités délais de traitement Entreprises
► Mesure des délais de traitement sur la base des ► État des dossiers du courrier par
dossiers mouvementés (date de réception du courrier, date mouvementés branche
de mise à jour de la réserve). ► Dossiers sinistres
physiques
LES LIMITES DU CONTROLE INTERNE
• Jugements erronés
• Dysfonctionnements dus à des erreurs ou défaillances humaines
• Collusion entre deux ou plusieurs personnes
• Dirigeants qui outrepassent le système de contrôle interne
• Rapport coût/bénéfice
CLES DE SUCCES D’UN PROJET DE CONTRÔLE INTERNE
• Un support affirmé de la Direction Générale, responsable de la qualité du contrôle interne devant le

Conseil d’Administration
• Une analyse coût / bénéfice du projet : le dispositif de contrôle doit être simple et adapté à la taille de
la compagnie, à son exposition aux différentes natures de risque, à la complexité de ses produits ou
structures
• Une organisation de projet performante, sous la responsabilité d’une structure dédiée : vision des
rôles et responsabilités des acteurs, définition des objectifs et de la trajectoire projet, fixation des
livrables attendus, définition du cadencement du projet (comités de pilotage,…)
• Un socle méthodologique robuste : Analyse fondée sur une modélisation claire des processus et des
risques, utilisation de bonnes pratiques et référentiels de place (COSO 2, IFACI,…), pérennisation du
contrôle interne au sein de l’organisation de la compagnie (gouvernance, positionnement, pilotage…).
C) Les processus clefs de l’audit interne
Planification du programme d’audit,

Conduite de la mission : planification, accomplissement, communication des résultats, suivi
des actions de progrès
Audit Interne – Planification du programme d’audit
« Le responsable de l’audit interne doit établir une planification fondée sur les risques afin de définir des priorités
cohérentes avec les objectifs de l’organisation.
Le service d’audit interne apporte de la valeur ajoutée à l’organisation (ainsi qu’à ses parties prenantes) lorsqu’il
fournit une assurance objective et pertinente et qu’il contribue à l’efficience ainsi qu’à l’efficacité des processus
de gouvernement d’entreprise, de management des risques et de contrôle interne. »
Interprétations de l’IFACI à la Norme 2000 – Gestion de l’audit interne

Audit Interne – Planification du programme d’audit

Le responsable de l’audit interne doit tenir compte lors de la planification des missions d’audit des inputs :
- Le découpage des activités et des entités de l’entreprise, en domaines auditables,
- Les travaux et résultats issus du Système de management des risques,
- Le niveau d’appétence aux risques tel que défini par la Direction,
- La planification et les Résultats des missions d’audit précédentes (y compris les travaux des CAC),
- Les demandes de la Direction Générale, du comité d’audit et des autres organes de direction (y compris pour les missions de
conseil),
- Les changements importants intervenus (ou envisagés) : organisationnel, systèmes d’information, environnement, ...
Une fois établi, le plan d’audit doit être communiqué à la Direction générale et au Comité d’audit pour examen et approbation.
Le responsable de l’audit interne doit veiller à ce que les ressources affectées à l’audit interne soient :
- Adéquates : connaissances, savoir-faire et autres compétences nécessaires à la réalisation du plan d’audit,
- Suffisantes : quantité (JH) nécessaires à la réalisation du plan d’audit.
L’état d’avancement de la réalisation du plan d’audit doit être périodiquement communiqué à la Direction générale et au Comité
d’audit.
Tout changement dans le plan d’audit approuvé doit être également présenté et expliqué à la Direction générale et au Comité
d’audit.
Audit Interne - Déroulement d’une mission d’audit interne
La phase de La phase de La phase de

préparation réalisation conclusion
L’ordre de mission, La réunion d’ouverture, Le projet de rapport d’audit

L’étape de familiarisation, Le programme d’audit, interne,
L’identification des risques, Le questionnaire de La réunion de clôture,
La définition des objectifs. contrôle interne, Le rapport d’audit,.
Le travail sur terrain,
La preuve en audit interne,
Cohérences et validations.
La phase de préparation
L’ordre de mission :
L’ordre de mission formalise le mandat donné par la Direction Générale à l’audit Interne et répond à deux fonctions
essentielles :
- Une fonction de mandat,

- Une fonction d’information.

L’étape de familiarisation :
Etape d’étude et d’apprentissage du domaine et de la culture de l’entreprise :

- Avoir une idée sur l’ensemble des procédures de gestion et le contrôle interne,
- Aider à identifier les objectifs de la mission,
- Identifier les problèmes essentiels de la fonction auditée,
- Organisation des opérations d’audit.
 Outils :
-- Questionnaire de prise de connaissance

Phase d’identifcation des risques :
Identifier les zones ou les risques sont susceptibles de se produire, cette étape va permettre à
l’auditeur de construire son programme et le construire de façon modulée.
La défintion des objectifs :
C’est un contrat passé avec l’audité et qui va préciser objectifs et champ d’action de la mission d’audit.
A ce stade, le contenu du contrat est élaboré par l’audit interne et porté à la connaissance de l’autre
partie et soumis à son approbation lors de la réunion d’ouverture.

La phase de réalisation
La réunion d’ouverture :
Cette réunion marque non pas le début de la mission mais plutôt le commencement des opérations de
réalisation et on ne peut la tenir tant qu’il y’a pas un « programme » à présenter à l’audité.
Le programme d’audit :
Planning du travail
Appelé aussi « programme de vérification », il s’agit du
document interne au service et dans lequel on va procéder à la
détermination et à la répartition des tâches. Son contenu est
essentiellement technique:
Objectifs
Fil Suivi des

conducteur travaux

Le questionnaire du contrôle interne :
C’est un guide pour l’auditeur pour réaliser son programme, il inclut toutes les bonnes questions à se
poser pour réaliser une observation complète .
Le travail sur terrain :

Rappel de la démarche logique;
Programme Vérification
• Définition des de travail • Questionnement terrain • Chaque
objectifs sur chaque point anomalie va
• Planning des du programme • Vérification sur le donner lieu à
tâches terrain des points une FRAP
fort théorique via
des tests.
Rapport
Q.C.I FRAP*
d’orientation
*FRAP: Feuille de révélation et d’analyse des
problèmes
La preuve en audit interne :

Tout élément permettant d’affirmer un constat d’audit :
Preuves
Preuve Preuve Preuve Preuve

physique testimoniale documentaire analytique
Ce qu’on voit, ce Témoignage : Pièce comptable, Calcul,

qu’on constate. preuve la plus PV, procédure… comparaison,
faible. déduction..
Cohérences et validations:
L’auditeur s’assure par un travail de synthèse de la cohérence de ses observations.

La phase de conclusion
Projet de rapport d’audit :

1- Les observations qu’il contient n’ont pas encore fait l’objet d’une validation générale,
2- ce document, s’il comporte déjà les recommandations des auditeurs, ne comprend pas les réponses
des audités. C’est donc un document incomplet.
La réunion de clôture: les 5 principes :

Le principe du « livre ouvert »: C’est l’affirmation que rien ne saurait être écrit dans le rapport d’audit
qui n’ait été au préalable présenté aux audités,
Le principe de la « fil d’attente »: Le premier servi en matière d’information est l’audité et le
responsable direct.
Le principe de « ranking »: les recommandations sont présentées en fonction de leur importance
(classement par conséquence du FRAP),
Le principe de l’action immédiate: dès que l’audité est informé, on doit l’encourager à prendre les
mesures correctives sans attendre la publication officielle du rapport,
La connaissance commune: la participation de l’auditeur/audité à cette validation générale permet de
créer une synergie de groupe.
La phase de conclusion
Le rapport d’audit :
• Pas d’audit interne sans rapport d’audit interne,
• Document final,
• Présentation préalable aux audités,
• Droit de réponse de l’audité,
• La forme : page de garde et lettre d’envoi, introduction et synthèse, le corps du rapport, conclusion et plan
d’action.
• Annexes.
Audit Interne – Suivi des recommandations
• L’audit interne doit mettre en place un processus de suivi de la mise en place

des recommandations :
• Fixer des délais de réponse du Management,
• Mettre en place une évaluation de ces réponses : questionnaires, vérification sur
le terrain, planification de mission de suivi, …
• Etablir un rapport de suivi des recommandations,
• Informer le Comité d’audit de l’état d’avancement.
D) Les normes : leur finalité, leur rôle, leur évolution

Les normes : leur finalité, leur rôle, leur évolution

Référence indispensable pour tout connaître sur l’audit interne, elles permettent de :
 Définir les principes de base de la pratique idéale de l’audit interne,
 Fournir un cadre pour l’exécution et la promotion d’un large éventail d’activités d’audit interne apportant une valeur
ajoutée,
 Etablir une base pour évaluer la performance de l’audit interne,
 Favoriser des opérations et processus organisationnels améliorés.
Définissent les caractéristiques des structures et

Qualification parties réalisant des activités d’audit interne
Normes Décrivent la nature des activités d’audit interne et

déterminent les critères en fonction desquels la
Fonctionnement réalisation de ces services peut être évaluée.
Les normes : leur finalité, leur rôle, leur

évolution
Normes
Fonctionnement
Qualification
1000 Mission, pouvoirs et responsabilités 2000 Gestion de l’audit interne

1100 Indépendance et objectivité 2100 Nature du travail
1200 Compétence et conscience professionnelle 2200 Planification de la mission
1300 Programme d’assurance et d’amélioration qualité 2300 Accomplissement de la mission
2400 Communication des résultats
2500 Surveillance des actions de progrès
2600 Acceptation des risques par la direction générale
E) Déontologie et objectivité de l’auditeur interne

Déontologie et l’objectivité de l’auditeur interne

Pourquoi ?
• Fournir aux professionnels les principes leur permettant de guider leur pratique dans le contexte
particulier qui est le leur.
• Expliciter et illustrer les notions d’indépendance et d’objectivité,
• Témoigner du niveau élevé d’intégrité de l’audit interne,
• Contribuer à la qualité des résultats en rappelant l’exigence de confidentialité et de compétence.
De quoi il s’agit ?
• Intégrité : Confiance, crédibilité des auditeurs internes,

• Objectivité : le plus haut degré d’objectivité par une démarche professionnelle,
• Confidentialité : Respect de la valeur et la propriété des informations reçues,
• Compétence : Les auditeurs internes utilisent et appliquent les connaissances, les savoir-faire et
expériences requis pour la réalisation de leurs travaux.
F) Les qualités relationnelles de l’auditeur interne

Les qualités relationnelles d’un auditeur interne

• La personnalité de l’auditeur interne est fondamentale, compte tenu de la nature de son travail qui consiste à observer,
analyser, évaluer et recommander. Pour cela, il doit gagner le respect, l’estime et la collaboration de l’ensemble du
personnel.
• L’esprit positif : encourager la critique constructive et éviter le négativisme. Éviter les jugements de valeur.
• L’esprit d’équipe : Un bon auditeur interne doit être affable et capable de travailler en équipe.
• L’imagination et le sens pratique : L’auditeur interne doit avoir la perspicacité nécessaire pour distinguer les faits
importants des banalités. Il doit faire preuve d’imagination et de sens pratique pour que ses recommandations soient
utiles et applicables.
• Le sens des relations humaines et l’écoute : L’auditeur interne doit savoir écouter. Il doit avoir l’aptitude à
communiquer efficacement verbalement ou par écrit. Il doit maintenir de bonnes relations avec les personnes verifiees. Il
doit savoir non seulement expliquer et convaincre, mais aussi transcender pour mieux avancer.
• Le soin professionnel et la discipline : être sans cesse à la recherche d’informations probantes, suffisantes et
adéquates pour appuyer ses conclusions et ses recommandations. Mettre le soin professionnel nécessaire pour
analyser et présenter les informations.
• Le jugement professionnel : ne pas confondre jugement personnel et jugement professionnel. Accepter que ses points
de vue soient questionnés et trouver des arguments objectifs pour défendre ses points de vue ou pour convaincre ses
interlocuteurs. Le jugement est professionnel lorsqu’il est émis sur la base de connaissances et principes établis et pour
autant qu’il puisse être objectivement justifié ou défendu.
84
Les qualités relationnelles d’un auditeur interne
Etude menée aux USA par The Korn/Ferry Institute et The Institute of Internal Auditors – 2010, que le poste de responsable
d’audit interne peut être occupé par d’autres profils que les profils standards : expert comptable, auditeur interne de
formation et de carrière. Ex : contrôle de gestion, finance, risque et conformité ou encore opérationnel.
Les Sept qualités indispensable à un responsible d’audit interne :

1. Un sens aigu de l’activité de l’organisation : comprendre les aspects liés à l’activité de l’entreprise et pouvoir les
intégrer dans la démarche d’audit. Environnement, marché, organisation de l’entreprise, … pour pouvoir être une force de
proposition efficace en matière de gestion des risques et optimisation des ressources affectées aux activités de contrôle et
de pilotage, …
2. De réelles qualités de communicant : être en mesure de transmettre un message clair, concis et pertinent. Savoir
transmettre les messages clairement. Entretenir des relations fortes avec le Conseil, la direction générale, les auditeurs
externes. Savoir encadrer ses équipes.
3. Une intégrité et une déontologie sans faille : donner l’exemple.
4. Une expérience variée : disposer de compétences techniques de niveau, d’une solide connaissance des risques et du
contrôle. Disposer des certifications (CIA ou CPA, notamment). Mise en place de système de rotation interne et externe au
service.
5. Une excellente connaissance des risques de l’entreprise : S’appuyer sur des techniques d’identification et
d’appréciation des risques. Prendre conscience des limites des ressources de l’entreprise. Possibilité de s’appuyer sur
l’audit interne dans les projets stratégiques de l’entreprise.
6. Un don pour développer les talents : pépinière pour les futurs managers de l’entreprise
7. Un courage inébranlable.

Analyse Critique de La Pertinence de L - Audit Fiscal

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Analyse Critique de La Pertinence de L - Audit Fiscal

Enviado por

Direitos autorais:

Formatos disponíveis

ENCG Casablanca - 2015 1

E) Déontologie et objectivité de l’auditeur interne

F) Les qualités relationnelles de l’auditeur interne

 Normes de l’IIA pour l’exercice de cette activité

Audit Interne - Définition

Audit Interne - Définition

Audit Interne - Définition

 Approche systématique et méthodique :

Audit Interne – Rôles

N’est pas dans son périmètre :

• Prendre des décisions stratégiques et/ou opérationnels,

Audit Interne - Rôles

Audit Interne – Rôles

Audit Interne - Outils

Cadre de référence international des pratiques

Audit Interne – Conditions d’exercice (Indépendance)

L’indépendance de l’audit interne doit se traduire :

Audit Interne – Conditions d’exercice (Indépendance)

Conseil d’administration Attachement hiérarchique

Direction Comité d’audit

Fonction de l’audit interne

Le RAI doit être rattaché :

Audit Interne – Conditions d’exercice (Indépendance)

Audit Interne – Conditions d’exercice (Indépendance)

Audit Interne – Conditions d’exercice (Indépendance)

B) Les champs d’évaluation de l’audit interne

- Contrôle interne- cadre de référence : le COSO I

• 1992  Référentiel du contrôle interne  COSO I

Contrôle interne – cadre de référence COSO I

Les 5 composants du contrôle interne.

Contrôle interne – cadre de référence COSO I

L’environnement de contrôle constitue le milieu dans lequel les personnes

Le processus complet fait l’objet d’un pilotage et de modifications le cas

 Pour répondre aux 3 objectifs du contrôle interne.

Contrôle interne – cadre de référence COSO I

Philosophie et style de Niveau de risques accepté par les dirigeants,

Contrôle interne – cadre de référence COSO I

Contrôle interne – cadre de référence COSO I

Identification et l’évaluation des facteurs susceptibles d’affecter la réalisation des objectifs.

Evaluer les risques : Son importance, Sa probabilité

Elaboration de la cartographie des risques :

Contrôle interne – cadre de référence COSO I

Contrôle interne – cadre de référence COSO I

 Production de rapports de performance répondant aux critères définis par l'entreprise,

Contrôle interne – cadre de référence COSO I

 Évaluation périodique des contrôles internes,

Contrôle interne – cadre de référence COSO II

– « Un processus mis en œuvre par le conseil d administration, la direction générale, le management

Contrôle interne – cadre de référence COSO II

Objectifs du Management de risques :

• Stratégique objectifs stratégiques servant la mission de l’organisation,

Contrôle interne – cadre de référence COSO II

Contrôle interne – cadre de référence COSO II

Contrôle interne – cadre de référence COSO

Contrôle interne – cadre de référence COSO

Mise en œuvre à partir du 16 décembre 2014.

Contrôle interne – cadre de référence COSO

Fiabilité des informations financières Le Reporting : externe et interne, financier et non

17 Principes de contrôle interne et 81 points d’attention pour la

Contrôle interne – cadre de référence COSO

Contrôle interne – cadre de référence COSO

Contrôle interne – cadre de référence COSO

Contrôle interne – cadre de référence COSO