rédaction mémoire asmaa VERSION FIN2.doc

FACG LA DEMARCHE DE GESTION DES RISQUES AU SEIN DE L’ENTREPRISE PUBLIQUE

A l’issue de ce modeste travail de recherche je

tiens à remercier, particulièrement :

Le doyen de la faculté des sciences

économiques, juridiques et sociales de Méknes

Mon encadrant de mémoire de fin de mémoire

pour ses conseils précieux et son soutien

inconditionné

Les membres du jury pour leurs appuis et

soutiens

1


Tous les professeurs de la faculté des sciences

économiques, juridiques et sociales de Méknes

Je dédie ce modeste travail à toute personne

qui a contribué de prêt ou de loin à la

réussite de mon stage et principalement à :

Mes parents et ma grande mère pour

leurs amours ;

Mon frère et mes sœurs pour leur

tendresse ;

2


Mes chers amis pour leurs affections ;

Mes professeurs pour leurs soutiens.

INTRODUCTION……………………………………………………………5

PREMIERE PARTIE : LA PRATIQUE DE L’AUDIT INTERNE .........................................................................................10

CHAPITRE I : AUDIT INTERNE : HISTORIQUE, CONCEPTS ET STANDARDS…………………………………………………………………………..11SECTION I : L’évolution historique et le cadre institutionnel de l’auditInterne……………………………………………………………………………...............11SECTION II : Concepts et standard……………………………………………………..15SECTION III : Fonctions voisines………………………………………………………..29

CHAPITRE II : AUDIT INTERNE DES ENTREPRISES PUBLIQUES AU MAROC…………………………………………………………………………..…42SECTION I : Evolution du cadre juridique de l’audit interne au Maroc……………..42SECTION II : Etat des lieux des contrôles mis en place au Maroc………………….48

CHAPITRE III : LES PREALABLES A LA CREATION D’UNE CELLULE D’AUDIT INTERNE…………………………………………………...57SECTION I : Les préalables à l’introduction de l’audit interne au sein de l’entreprise publique……………………………………………………………………………………..58SECTION II : Le plan d’audit et l’organisation des moyens………………………….63SECTION III : La communication et les résultats de l’audit interne…………………67

DEUXIEME PARTIE : L’AUDIT INTERNE ET LA MISE EN PLACE D’UNE DEMARCHE DE GESTION DES RISQUES……………………71

CHAPITRE I : ETAT DES LIEUX : PRATIQUE DE L’AUDIT INTERNE AU MAROC…………………………………………………………………..…………72SECTION I : Organisation du service d’audit interne…………………………………72

3


SECTION II : Méthodologie de conduite d’une mission d’audit interne au sein de l’entreprise publique……………………………………………………………………….87SECTION III : Les défis de l’entreprise publique marocaine................................106

CHAPITRE III : L’AUDIT INTERNE : CONCEPTION D’UN SYSTEME DE PILOTAGE DES RISQUES LIES A L’ACTIVITE PUBLIQUE…….110SECTION I: Fiche signalétique du projet…………………………………………….110SECTION II: La mise en place d’une démarche de gestion desrisques…………………………………………………………………………………….113

CONCLUSION GENERALE………………………………………..125

‘Commençons par le commencement’

4


INTRODUCTION

L'audit interneEnjeu majeur pour une meilleure gestion des

risques des entreprises publiquesL'audit interne est une activité de contrôle et de conseil qui permet d'améliorer le fonctionnement et la performance d'une organisation : activité stratégique, l'audit interne est exercé à l'intérieur de l'organisation, même si le recours à des prestataires extérieurs est parfois nécessaire ; activité indépendante, l'audit interne est rattaché au niveau hiérarchique le plus élevé de l'organisation.

Centré sur les enjeux majeurs de l'organisation, ses missions "d'expression d'assurance" portent sur l'évaluation de l'ensemble des processus, fonctions et opérations de celle-ci et plus particulièrement sur les processus de management des risques, de contrôle et de gouvernement d'entreprise.

Son rôle de conseil auprès des directions opérationnelles et fonctionnelles, qui s'exerce dans le cadre de normes particulièrement exigeantes, contribue grandement à créer de la valeur ajoutée.

L'extension au secteur des entreprises publiques a connu une évolution importante. En effet, limité au départ aux activités stratégiques productives, ce secteur s'est étendu pour englober les différentes activités économiques du pays.

Dans un environnement de plus en plus complexe et en perpétuel changement, l'audit interne ne s'est plus limité à signaler les éventuels dysfonctionnements en matière de contrôle interne; il joue un rôle de dynamisation au sein de l'organisation et apporte une plus-value en s'orientant davantage vers le conseil, le service et la prévention.

Par ailleurs, la modernisation de la gestion des entreprises publiques ne pouvait se faire sans une remise en question du système de contrôle de ces entreprises.

Ainsi plusieurs textes, notamment la circulaire et les décisions ministérielles de septembre 1993 sur l'organisation de la fonction d'audit, ont mis l'accent sur la

5


création d'un environnement favorable, à la promotion de l'audit interne et de la bonne gouvernance au sein des entreprises publiques.

Dans cette perspective, la loi 69-00 entrée en vigueur en 2004, relative au contrôle des entreprises publiques a retenu pour principal objectif de fournir à ces entreprises, un dispositif de contrôle moderne, permettant une large autonomie des organes d'administration et de direction, une transparence de la gestion et une grande maîtrise des risques.

La loi prévoit que les organismes soumis au contrôle d'accompagnement doivent se doter des instruments de gestion suivants :

- Un organigramme fixant les structures organisationnelles de gestion et d'audit interne de l'établissement ainsi que leurs fonctions et attributions.

- Un manuel décrivant les procédures de fonctionnement des structures et de contrôle interne de l'établissement.

Les déclarations gouvernementales soulignent l'engagement constant du gouvernement à jeter les bases d'une administration moderne, efficiente, responsable et citoyenne. Le secteur public a implicitement connu de profonds changements et doit désormais concilier qualité du service délivré et exigences en matière de performance et de transparence, alors même que les grands enjeux de l'économie et des finances bouleversent encore son équilibre.

Les efforts déployés ont porté essentiellement sur la modernisation du contrôle financier, la rationalisation de la gestion, la restructuration d'un certain nombre d'entreprises et le lancement des opérations d'audit ....

Parallèlement un programme de révision des structures et des méthodes de gestion a été entamé. Il vise un double objectif, d'une part doter les gestionnaires de ces entreprises d'une structure d'audit interne, d'autre part, assurer une certaine transparence de la gestion vis à vis des différents partenaires.

Les référentiels traitant l'audit interne existent pour préparer les gestionnaires dans l'accompagnement de la conduite des missions d'audit interne, mais le constat demeure évident qu'il manque relativement des manuels, sur la méthodologie de création d'une structure dédiée et d'outils de planification.

S'agissant d'un secteur complexe, régi par un dispositif légal et réglementaire spécifique, l'élaboration de guides de la pratique d'audit interne et d'outils pour la mise en œuvre d'une méthodologie de gestion des risques conforme aux pratiques internationales est d'une grande utilité.

Le présent mémoire se propose d'apporter sa contribution à cette assistance à travers l'énoncé de mise en place d'une cellule d'audit interne dans l'organisation d'une entreprise publique, de définir l'audit interne, clarifier les concepts, situer son importance, son organisation et son rôle dans la mise en place d’une démarche de gestion des risques.

Ce mémoire, qui a surtout pour objectif de répondre à une problématique très pertinente à savoir : dans quelle mesure la mise en place d’une cellule d’audit interne au sein de l’entreprise publique marocaine permet-elle de doter les gestionnaires d’un dispositif d’outils de suivi et de planification permettant la maîtrise des risques ?, se propose pour aider les gestionnaire à la mise en

6


place d’une démarche de gestion des risques au sein d'une entreprise publique en traitant deux grandes parties :

- PRATIQUES ET MISE EN PLACE DE L'AUDIT INTERNE- DEMARCHE DE GESTION DES RISQUES INHERENTS A L’ENTREPRISE

PUBLIQUE

La première partie du sujet est dédiée à un rappel de la genèse de la discipline d’audit ainsi les concepts clés de l’audit interne, ses caractéristiques, ses objectifs et son référentiel. Ensuite, elle traite des divergences de l'audit interne avec les fonctions voisines : audit externe, contrôle de gestion et inspection et enfin elle met en exergue l'entreprise publique dans son contexte légal en désignant sa nature, ses caractéristiques et les différents contrôles auxquels elle est soumise.

Les thèmes proposés par la seconde partie portent sur le fonctionnement et l'organisation du service d'audit interne, sur la description de l'environnement professionnel - en termes de ressources humaines et matérielles - marqué surtout par les mesures et standards permettant l'amélioration de la gestion des entreprises publiques.

Cette partie est également consacrée à l'élaboration des méthodologies, détaillant ainsi les outils et la démarche à suivre. Elle s'attache à décrire la démarche d'audit à mettre en place afin d'aider l'auditeur dans la conduite et le suivi de ses missions. Les aspects pratiques sont largement abordés afin de répondre aux principales interrogations de l'auditeur, quant à la réalisation des travaux d'audit, à la rédaction des rapports et au suivi des recommandations.

Cette partie a aussi pour objectif de proposer une méthodologie de travail basée sur la mise en place d'une démarche de gestion des risques qui s’articule autour de trois axes : recensement et identification des risques, analyse te traitement des risques et contrôle et suivi des actions de maîtrise des risques.

Les entreprises, quelle que soit leur taille, leur statut juridique, leur localisation, ont dans ce contexte de bouleversements de l'économie mondiale perdu leurs traditionnels repères se retrouvant de ce fait, démunis face aux nouveaux risques auxquels elles sont confrontées.

Les dirigeants, conscients de la menace doivent repenser un « cadre de contrôle » approprié, basé sur les risques et redéfinir le concept de contrôle interne en fonction de l'expansion du champ du risque, entraînant l'audit interne dans une prise en compte plus engagée au niveau de la gestion des risques et l'adoption d'une démarche intégrée de gestion de ces risques, au sein de laquelle la gestion des processus occupe une place majeure.

Les méthodes de gestion des risques classiques sont devenues insuffisantes et inadaptées dans le cadre d'une amélioration continue des performances de l'entreprise à long terme.

L'anticipation des risques ainsi que leur gestion sont parmi les solutions à ces nouvelles problématiques. La maîtrise des risques par les acteurs du secteur public est donc plus que jamais un élément essentiel à prendre en compte dans la conduite des missions.

7


Cette partie incite le management des organisations publiques (directeurs généraux, conseil, directions) à fortement se convaincre de l'intérêt de la gestion des risques et de la nécessité de s'appuyer sur des dispositifs explicités de contrôle interne efficaces. Cela passe par une meilleure intégration de la cartographie dans le pilotage des risques.

Sommairement le mémoire démontre comment l'audit interne trouve sa légitimité à travers l'objectif qu'il vise, à savoir détecter les dysfonctionnement, ajuster les dispositifs de contrôle interne, renforcer et soutenir les centres de responsabilités à maîtriser davantage leurs activités pour atteindre les objectifs et permettre à l'entreprise l'adaptation aux nouvelles données.

L'autre but à atteindre est de sensibiliser les organes délibérants et conseils d'administration, aux atouts que l'audit interne peut leur apporter dans l'exercice de leurs responsabilités.

Mais le principal objectif assigné est le développement de l'audit interne au Maroc à travers ce mémoire destiné pour la promotion de l'audit interne, l'aide aux organisations dans la mise en place de structures d'audit interne spécifiques, la promotion des règles de déontologie, d'éthique, et des normes professionnelles... et à ainsi revenir sur les principes universels remis à l'honneur par la gouvernance d'entreprise.

8


LA PRATIQUE DE L’AUDIT INTERNE

‘Pour tous savoir sur l’audit interne’

9


CHAPITRE I :AUDIT INTERNE : HISTORIQUES, CONCEPTS ET

STANDARDS

L’audit interne est une fonction d’évaluation à la disposition d’une organisation pour examiner et apprécier le bon fonctionnement, la cohérence et l’efficience de son contrôle interne. A cet effet, les auditeurs internes examinent les différentes activités de l’organisation, évalue les risques et le dispositif mis en place pour les maîtriser, s’assurent de la qualité de la performance dans l’accomplissement des responsabilités confiées et font toute recommandation pour améliorer sa sécurité et accroître son efficacité.

Organisé avec méthodes et rigueur, agissant selon un système de pensée ordonné, l’audit interne constitue une méthodologie qui vérifie la conformité du traitement des faits avec les règles, les normes et les procédures du système de contrôle interne, menée par une personne indépendante et compétente. Le respect par celui-ci des normes professionnelles et l’application des standards sont fortement recommandés.

Section 1 : L’évolution historique et cadre institutionnel de l’audit interne

1- Evolution de la fonction :

10


Même si le mot est nouveau, le concept est très ancien. La première forme de l’audit est celle de l’audit comptable et financier ou bien le commissariat aux comptes.

Dés le début du XXè siècle, il s’est avéré que les auditeurs externes n’avaient pas la possibilité matérielle de faire régulièrement et dans le détail un contrôle exhaustif, et des écritures comptables, et du contenu des comptes annuels. La publication du premier manuel à l’intention des praticiens (« auditing » par Lawrence Disksee, en 1985) a consacré, l’orientation vers des contrôles par sondage et des tests représentatifs en matière d’audit externe.

Le dirigeant de l’entreprise avisé et conscient de ses responsabilités aussi bien envers les pourvoyeurs de fonds, que pour la réussite de l’entreprise, n’attendait pas la visite des commissaires aux comptes/auditeurs externes pour vérifier la fiabilité de son système d’information. Dans une structure pyramidale type, chaque chef de service contrôle le travail effectué par les employés placés sous ses ordres autant en comptabilité que dans les activités de fabrication. En matière comptable le travail de vérification était surveillé par le chef comptable lui-même et pouvait s’accompagner d’un système de blâmes et de primes selon les résultats constatés.

D’un système exclusivement hiérarchique, le contrôle comptable allait vers une certaine spécialisation : le contrôleur ne faisait que vérifier le travail du comptable (n’oublions pas que cette séparation nette entre tâches de saisie et tâche de contrôle est toujours respectée dans la plupart des systèmes informatiques). Les cellules de contrôle pullulaient dans toutes les activités et il devenait nécessaire d’y mettre un peu d’ordre.

Et l’on s’est rendu compte que, pour prévenir les risques et les minimiser, il valait mieux miser sur la formation et le perfectionnement du personnel que sur le contrôle a posteriori (perçu comme répressif à l’époque).

Dans les années 1920 et 1930 des services spécialisés de contrôle des fonctions administratives et comptables se sont multipliés. Ils portaient une variété de titres dont en particulier, celui d’audit interne. Ils existaient dans quelques grandes entreprises, notamment aux Etats-Unis. La création de la Securities and Exchange Commission en 1934 (suite au Krach boursier de 1929) et le souci d’améliorer les pratiques de contrôle interne leur ont donné une impulsion particulière.

Du moment que l’utilité d’un service d’audit interne commençait à être reconnue, il s’ensuivit que les responsables de tels services cherchèrent naturellement à se rencontrer pour faire prévaloir le caractère professionnel de leur activité. C’est ainsi naquit en 1941 aux Etats-Unis l’Institute of Internal Auditors.

Il est à signaler dans ce contexte qu’au début, les auditeurs internes n’étaient que des sous traitants des auditeurs externes et ne jouissaient pas d’un grand prestige dans les entreprises. Peu à peu, ils se sont différenciés de leurs homologues de l’audit externe qui se sont cantonnés dans l’examen des documents comptables officiels. Les auditeurs internes étendirent ensuite leur champ d’action pour progressivement s’intéresser à toutes les opérations de gestion.

11


La réorientation de l’audit interne vers les domaines de gestion autre que l’examen classique des comptes a largement contribué à rehausser son image de marque et à prendre de l’importance. Parmi les autres facteurs qui ont favorisé la création de l’audit interne figuraient aussi la taille des entreprises et l’éloignement ou la dispersion géographique des unités les composant.

Ainsi, l’auditeur interne s’est transformé en véritable consultant au service des dirigeant pour répondre à leurs attentes, en leur fournissant des recommandations opérationnelles visant l’amélioration de l’efficacité et de la rentabilité de leurs entreprises.

2- Institutions internationales de l’audit interne1

2-1 l’Institute of Internal Auditors (IIA)

Créé en 1941 à New York (USA), l’Institute of Internal Auditors (IIA) était à l’origine un organisme professionnel américain d’audit interne. Il comptait 11 membres en décembre 1941.

Au début des années 1990, l’IIA compte 50.000 membres également répartis entre l’Amérique du Nord et le reste du monde, organisés dans plus de 175 chapitres, 13 instituts nationaux et 6 clubs.

L’IIA est devenu actuellement une organisation, l’organisation internationale de l’audit interne. Ses instances et personnalités font autorité et ses documents sont les références de base de la profession. L’IIA, à divers titres et échelons, participe à plusieurs organismes américains et internationaux. Il a entre autres, le statut d’organisme consultatif auprès du conseil Economique et social des Nations Unies.

L’IIA publie en 1944, INTERNAL AUDITOR, MEMBRES NEWS BULLETIN, depuis 158, PISTAS de AUDITORIA, et d’autres périodiques et bulletins de liaison. Ses interventions en matière de recherche et de formation font de lui le premier formateur en audit interne dans le monde. L’IIA délivre un certificat : le C.I.A (certified Internal Auditor) qui constitue une référence majeur dans la profession.

La professionnalisation de l’audit interne et l’internationalisation de cette profession sont donc profondément marquées par les conceptions et les pratiques- par la culture, en somme- anglo-saxonnes et , plus particulièrement américaines. Les autres groupements et regroupements régionaux se trouvent dans la nécessité d’assimiler cette culture et de se faire assimiler par elle avant de songer, peut être, à tenir compte de leurs spécificités géographiques et historiques. C’est le cas, par exemple, de la confédération Européenne des Instituts d’Audit Interne (E.C.I.I.A) ou de l’Union Francophone de l’Audit Interne.

2-2 L’institut français des auditeurs et contrôleurs internes (IFACI)

1 J. BECOUR et H.BOUQUIN, (1996) « audit opérationnel efficacité, efficience et sécurité », Economica, PARIS

12


L’institut français des auditeurs et contrôleurs internes Fondé en 1965 sous le statut associatif, l'IFACI fédère 4 000 auditeurs issus de quelque 900 entreprises et institutions publiques.Affilié à l'IIA (The Institute of Internal Auditors ou Institut des Auditeurs Internes), l'IFACI bénéficie d'un réseau de plus de 165 000 spécialistes de l'audit répartis dans 160 pays.

La mission de l' IFACI est d'assurer le "leadership dynamique" de la profession de l’audit interne . Ceci inclut :

Défendre et promouvoir les valeurs que les professionnels de l'audit interne apportent à leurs organisations;

Proposer une formation professionnelle complète et des opportunités de développement personnel ; développer des standards professionnels et des best practices (bonnes pratiques) ; proposer un programme de certification;

La recherche, la dissémination et la promotion auprès des praticiens et des autres parties concernées, des connaissances en matière d'audit interne et de son rôle dans le contrôle interne , dans la gestion des risques , et la gouvernance d'entreprise ;

Former les praticiens et tout public concerné ou intéressé aux meilleures pratiques de l'audit interne;

Réunir les auditeurs internes de tous pays, pour le partage de l'expérience et de l'information relatives à la pratique de l'audit interne.

2-3 la Confédération Européenne des Instituts d’audit (E.C.I.I.A)

La Confédération européenne des Instituts d'audit interne - ECIIA -, fondée en 1982, rassemble aujourd'hui 32 Instituts qui regroupent 33 pays de la grande Europe et du bassin méditerranéen (IIA UK étant constitué du Royaume-Uni et de l'Irlande), dont les pays de l'Union Européenne qui en constituent le socle.

Les deux principales missions de l'ECIIA sont de représenter la profession auprès des instances politiques de l'Union Européenne et de promouvoir l'audit interne auprès des pays émergeants d'Europe et du bassin méditerranéen.

L'ECIIA, Confédération Européenne des Instituts d'Audit Interne, vient de finaliser sa prise de position sur l'audit interne en Europe. La sortie de ce document intervient alors que la Commission Européenne met à jour sa 8ème Directive portant sur le contrôle légal des comptes. Dans ce contexte, l'ECIIA a saisi l'opportunité de mettre en lumière le rôle essentiel que joue l'audit interne dans les processus de management des risques et de bonne gouvernance tout en précisant les relations qu'il entretient avec les autres organes de la gouvernance.

2-4 L’Union Francophone de l’Audit Interne (U.F.A.I)

Sous l’impulsion de Louis VAURS, Président de l’I.F.A.C.I (institut Français des Auditeurs Consultants Internes), les associations, chapitres et instituts d’audit interne des pays où le Français est une langue officielle ou véhiculaire ont constitué en 1988, l’Union Francophone de l’Audit Interne.

13

http://fr.wikipedia.org/wiki/Audit_interne

http://fr.wikipedia.org/wiki/Audit_interne

http://fr.wikipedia.org/wiki/Gouvernance_d'entreprise

http://fr.wikipedia.org/wiki/Gestion_des_risques

http://fr.wikipedia.org/wiki/Gestion_des_risques

http://fr.wikipedia.org/wiki/Contr%C3%B4le_interne

http://fr.wikipedia.org/w/index.php?title=Best-practices&action=edit&redlink=1

http://fr.wikipedia.org/wiki/D%C3%A9veloppement_personnel


L’U.F.A.I constitue un cadre pour les relations bilatérales et multilatérales entre ses membres qui, à l’occasion de ses conférences, conseils d’administration et autres formes de contacts, s’efforcent de promouvoir le dialogue, l’échange et une certaine communauté de pensée du monde francophone de l’audit interne.

L’UFAI a tenu ses deux premières conférences au Maghreb : en 1990 à Tunis et en 1993 à Casablanca.L’union francophone de l’audit interne se propose d’atteindre les objectifs suivants :

- Développer les échanges et mettre en commun les connaissances de tous et les spécificités de chacun ;

- Développer les publications en langue française et élargir leur diffusion ;

- Apporter une aide à la formation des auditeurs internes dans les pays membres où le besoin s’en fait senti ;

- Organiser la traduction pour éviter les redondances et permettre la publication en français d’un plus grand nombre d’ouvrages sur l’audit interne.

Section 2 : concepts et standards

1- Définition et concepts sous jacents

1-1. Définitions et objectifs de l’audit interne 2

Définition1 :

« L'audit interne est un dispositif interne à l'entreprise (organisation concernée) qui vise à :

Apprécier l'exactitude et la sincérité des informations notamment comptables,

Assurer la sincérité physique et comptable des opérations, Garantir l'intégrité du patrimoine, Juger de l'efficacité des systèmes d'information.

Selon la théorie classique, l'audit interne assume par délégation une partie de la responsabilité de contrôle de la direction. Réalisé par un service de l'organisation, l'audit interne consiste à vérifier si les règles édictées par l'organisation sont respectées ».

Définition 2 :

2 Manuel d’audit interne pour les Inspections Générales des Ministères

14


L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.C'est une activité :

d'évaluation indépendante car l'Audit Interne doit être rattachée au niveau le plus élevé de la hiérarchie ; ne peut ni se substituer aux opérationnels pour intervenir à leur place,

d'assistance au management en vue d'optimaliser le fonctionnement de l'organisation et d'encourager un contrôle efficace à des coûts raisonnables qui permet à l'organisation d'atteindre ses objectifs dans la mesure où il propose des recommandations et solutions qui remédient aux dysfonctionnements relevés.

Définition 3 : « L'audit interne est la fonction chargée d'examiner et d'évaluer le contrôle interne dans tous les domaines de l'organisation et à tous les niveaux. Au-delà de ce rôle traditionnel, il peut aussi assurer une fonction de conseil ».

Définition 4 : « L'Audit Interne est une fonction d'expertise indépendante au sein de l'entreprise, assistant la direction de celle-ci pour le contrôle général de ses activités ».

Définition 5 : C'est une fonction d'investigation et d'appréciation du contrôle interne, exercée de façon périodique au sein de l'organisation pour aider les responsables de tous niveaux à mieux maîtriser leurs activités

L'audit interne est à l'intérieur d'une organisation une fonction indépendante d'évaluation périodique des opérations pour le compte de l'organisation.Pour récapituler, l'audit interne est à l'intérieur d'une entreprise (ou d'un organisme), une activité indépendante d'appréciation du contrôle des opérations. Il est au service de l'organisation. C'est dans ce domaine, un contrôle qui a pour fonction d'estimer et d'évaluer l'efficacité des autres contrôles.

La synthèse des définitions

On peut s’appuyer sur les exigences annoncées dans ces diverses définitions pour dégager les caractéristiques d’un audit :

- l’examen méthodologique d’une situation. Cet examen porte sur les états financiers pour un auditeur légal, mais peut s’élargir sur d’autres domaines pour l’auditeur opérationnel ou l’auditeur interne.

- Par une personne indépendante et compétente. La compétence de l’auditeur doit toujours être multidimensionnelle (comptable, juridique, gestion, organisation, sciences humaines et politique générale). De plus, son indépendance vis-à-vis de l’activité soumise à son contrôle doit être au dessus de tout soupçon.

-

15


- Qui s’assure de la validité matérielle des éléments qu’il doit contrôler. L’auditeur ne peut fonder son examen que sur des faits ou sur des estimations statistiques tirées de son expérience professionnelle (et de ses connaissances). Par ailleurs, il décide lui-même de la nature et de l’étendue de son examen.

- Qui vérifie la conformité du traitement de ces faits avec les règles, les normes et les procédures du système de contrôle interne. L’auditeur ne peut jamais vérifier la totalité de l’information se rapportant à une situation. C’est pour cette raison que l’auditeur est obligé de se fier partiellement à la qualité du travail accompli dans l’entreprise.

- En vue d’exprimer une opinion motivée sur la concordance globale de cette situation par rapport aux normes. L’auditeur termine assure son travail, d’examen d’une situation, en exprimant son opinion dans un rapport. En ce qui concerne l’audit légal, le mode d’expression qu’utilise l’auditeur dans son rapport est circonscrit par l’objectif d’informer les actionnaires et les tiers du respect par l’entreprise de ses obligations légales dans la présentation de ses états financiers. En ce qui concerne l’audit interne ou d’autres missions d’audit (de nature contractuelle) les rapports adoptent une plus grande liberté d’expression, mais portent essentiellement sur le respect par l’entreprise (ou l’unité, l’activité ou la fonction) auditée de ses obligations légales, de ses politiques ou de ses objectifs.

Ainsi, láudit interne procède à léxamen direct du système de contrôle interne et recommande des améliorations. La déclaration des responsabilité de láudit interne de lÍnstitute of Internal Auditors indique plus précisément que son objectif est dássister les dirigeants de léntreprise dans léxercice efficace de leurs responsabilités. Dans ce but láudit interne leur fournit des analyses, des appréciations, des recommandations, des avis et des informations concernant les activités examinées. Ceci inclut la promotion du contrôle efficace à un coût raisonnable. Le champ de láudit interne comprend léxamen et l´évaluation de la suffisance et de la réalité du système du contrôle interne de léntreprise, ainsi que la qualité de láction dans la mise en exécution des responsabilités assignées.

Parvenir à cet objectif final implique, selon les normes émises par lÍIA, les activités suivantes :

- Examiner la fiabilité et líntégrité des informations financières et déxploitation, ainsi que les moyens utilisés pour identifier, mesurer, classer et diffuser ces informations ;

-- Examiner les systèmes mis en place pour vérifier la conformité aux normes,

plans, procédures, lois et réglementations susceptibles dávoir un impact significatif sur les activités ou le reporting et sássurer que léntreprise se conforme aux lois et réglementations ;

-- Examiner les moyens utilisés pour assurer la protection des actifs et vérifier l

éxistence desdits actifs ;-

16


- Examiner la façon dont les ressources sont utilisées, afin de sássurer quélles le sont efficacement et sans gaspillage ;

-- Examiner les activités ou programmes pour sássurer que les résultats sont

conformes aux objectifs que lórganisation sést fixées et que ses activités ou programme se déroulent conformément aux prévisions.

Par ailleurs, par rapport au contrôle interne la fonction et l’objectif de l’audit interne sont essentiellement :

- s’assurer de l’existence d’un bon système de contrôle interne qui permet de maîtriser les risques ;

-- veiller de manière permanente à l’efficacité de son fonctionnement ;-- informer régulièrement, de manière indépendante, la direction générale,

l’organe délibérant et le comité d’audit de l’état du contrôle interne.

Enfin l’audit doit s’assurer lors de chacune de ses missions de :

- La réalisation des objectifs de l’organisation ;- La gestion adéquate et rationnelle des ressources humaines ;- L’efficacité et la bonne utilisation des ressources matérielles ;- L’application correcte des lois, décrets, règlements, instructions et

procédures ;- La protection et la sauvegarde du patrimoine ;- L’intégrité, la fiabilité et le caractère exhaustif des informations financières et

opérationnelles ;- L’efficacité et l’efficience du contrôle interne et de la lutte contre la fraude.

1-2 La charte d’audit :

La norme 1000 de l’IIA a la particularité de préciser et d’affiner les objectifs en soulignant : « la mission, les pouvoirs et les responsabilités de l’audit interne doivent être formellement définis dans une charte d’audit interne ». L’existence d’une charte d’audit au sein de chaque organisation permet aux auditeurs internes de se doter et respecter une éthique, informer l’ensemble des parties prenantes sur leurs objectifs et leurs méthodes. Elle représente un support de communication de l’audit interne destiné à tous les partenaires. Elle est élaborée par le responsable de l’audit interne, signé par le conseil d’administration et revu par le comité d’audit.

C’est un document officiel qui constitue l’occasion de formaliser la méthodologie que le responsable de l’audit interne souhaite mettre en œuvre et parallèlement proposer une démarche structurée à la direction générale qui valide la charte au plus haut niveau.

Rôle de la charte d’audit :

La charte d’audit est le document qui spécifie le rôle, les responsabilités et le cadre d’intervention de l’audit interne. Elle permet à la direction générale de

17


préciser l’étendue du champ d’investigation du département d’audit interne ainsi que les droits d’accès aux sources d’information nécessaires à l’accomplissement de sa mission. Elle sert à cadrer les conditions d’intervention de l’audit interne et de les partager avec les audités.

La charte définit le périmètre d’intervention du service, les droits et devoirs des auditeurs, en particulier les devoirs de réserve et de confidentialité. Les devoirs des auditeurs internes en matière de confidentialité sont fixés par le code de déontologie de l’IIA.

La diffusion de la charte d’audit est souvent perçue comme l’acte fondateur du service d’audit interne. Elle offre l’occasion de communiquer sur sa création et de légitimer son intervention. Elle permet à tous les employés et en particulier aux futures audités de se familiariser avec l’approche d’audit interne.

Contenu de la charte d’audit :

La charte d’audit interne est un document interne qui reflète à la fois la culture de l’entreprise et l’approche d’audit. Le ton de la charte diffère sensiblement d’un organisme public et privé, d’un service ayant une fonction de conseil d’organisation, de supervision et d’un service ayant une fonction d’assurance, de contrôle et de détection des insuffisances et de la fraude.

Néanmoins, les contenus des chartes d’audit comportent un certain nombre de similitudes et les points les plus fréquemment abordés sont les suivants :

- Un rappel du cadre de référence International de la pratique professionnelle de l’audit interne ;

- Les droits et pouvoirs des auditeurs et audités ;- Les objectifs et le champ d’intervention de l’audit interne ;- Le positionnement de la fonction au sein de l’organisation, ses attributions

ainsi que sa relation avec les autres organes de contrôle ;- Le rattachement hiérarchique du responsable d’audit interne ;- La nature, la programmation, le déroulement des missions d’audit interne ;- Le processus de suivi des recommandations ;- L’autorisation d’accès aux documents, aux personnes et aux biens,

nécessaires à la réalisation des missions.

1-3 le contrôle interne :

Le contrôle interne concourt à la réalisation d’un objectif général que l’on décline en objectifs particulier. L’objectif général c’est la continuité de l’entreprise dans le cadre de la réalisation des objectifs poursuivis. Cette définition globale par les objectifs admise par la plupart des grandes entreprises a le mérite de mettre certains éléments en évidence :3

- Le contrôle interne n’est pas un ensemble d’éléments statiques, il doit également être apprécié d’une façon dynamique, chacun des éléments qui le composent ayant sa place dans le processus de fonctionnement de l’entreprise ;

3 JACQUES RENARD, (1997) « Théorie et Pratique de l’Audit Interne », Edition Organisation, France

18


- Tous les niveaux de management sont concernés au même titre que la direction générale, tous étant considérés comme des managers ayant à mettre en place un contrôle interne ;

- On assigne de façon réaliste comme finalité l’assurance raisonnable d’atteindre les objectifs. En effet, un contrôle interne qui viserait un fonctionnement parfait pour parvenir à coup sûr aux résultats escomptés serait à la fois paralysant et hors prix, donc irréaliste. Le contrôle interne n’est pas conçu pour garantir la réussite de l’organisation, son objectif est relatif et non absolu.

Pour atteindre cet objectif général, on assigne au contrôle interne des objectifs permanents que l’on retrouve d’ailleurs dans la définition de l’ordre des experts comptables et dans les définitions subséquentes.

Dés 1978, l’institut des auditeurs interne (IIA) définissait cinq objectifs repris dans la norme 300. Selon la définition de l’ordre des experts comptables, le commentateur peut les regrouper sous quatre rubriques :

- Sécurité des actifs,- Qualité des informations,- Respect des directives,- Optimisation des ressources.

la sécurité des actifs :

Les premiers énoncés de la règle parlaient de « la protection et la sauvegarde du patrimoine ». En effet, un bon système du contrôle interne doit viser à préserver le patrimoine de l’entreprise. Mais il faut étendre la notion et comprendre par là non seulement les actifs immobilisés de toute nature, les stocks, les actifs immatériels, mais également deux autres éléments non moins essentiels :

- Les hommes, qui constituent l’éléments le plus précieux du patrimoine de l’entreprise ; et on retrouve ici la notion du risque, au sens le plus large du terme : sécurité, risque social.

- L’image de l’entreprise qui peut se trouver détruite par un incident fortuit dû à une mauvaise maîtrise des opérations

-Enfin, et pour être complet,on peut ajouter dans la liste des actifs qui doivent être valablement protégés par le système de contrôle interne, la technologie ainsi que les informations confidentielles de l’entreprise.

La qualité des informations

L’image de l’entreprise se reflète dans les informations qu’elle donne à l’extérieur et qui concernent ses activités et ses performances. Il est nécessaire que tout soit en place pour que la machine à fabriquer des informations fonctionne sans erreur et sans omissions.

19


Et plus précisément, ces contrôles internes doivent permettre à la chaîne des informations d’être :

- fiables et vérifiables- exhaustives - pertinentes - disponibles-

fiables et vérifiables : Il ne suffit pas qu’une information soit bonne, encore faut t-il que le système permette de vérifier son exactitude. On affirme ainsi que le contrôle interne doit comporter un système de preuve sans lequel n’existe ni garantie ni justification possible. Pour le comptable ce sera le système d’archivage et de conservation des documents, pour le responsable de fabrication c’est l’enregistrement des températures, des pressions et des débits. La boite noire des avions répond à cette préoccupation et est de ce point de vue un élément important du contrôle interne mis en place pour la vérification des informations.

Exhaustives : Il ne sert à rien d’avoir des informations exactes si elles ne sont pas complètes. Ce qui veut dire que le système de contrôle interne doit garantir la qualité des enregistrements à la source des données de base et faire en sorte que tous les éléments soient pris en comptes dans la chaîne de traitement.

Pertinentes : L’information doit être adaptée au but poursuivi, sinon elle est superflue. De nos jours, les bases de données génèrent souvent des informations excessives, une abondance des biens qui en fin de comptes empêche de s’y retrouver et n’améliore donc pas la connaissance.

Disponibles : Chacun connaît des exemples d’informations qui arrivent trop tard ou qui ne sont aisément accessibles. Là également le contrôle interne adapté doit éviter de semblables situations.

Le respect des directives

C’est une notion plus large que le respect des politiques, plans, procédures, lois et réglementations. En effet, les directives englobent naturellement les dispositions législatives et réglementaires, mais elles ne se limitent pas aux politiques, plans et procédures. Or, les dispositifs du contrôle interne doivent éviter que les audits de conformité ne révèlent des failles et des erreurs, ou des insuffisances dues à l’absence du respect des instructions. Les causes premières de ce phénomène peuvent être diverses : mauvaise communication, défaut de supervision, confusion des tâches, ect. Dans tous les cas la qualité du contrôle interne est en cause.

Cet aspect contraignant du contrôle interne qui s’impose de respecter toutes les règles tant internes qu’externes, se trouvera dans l’analyse des dispositifs.

Optimisation des ressources :

Ce que l’IIA énonce en parlant de « l’utilisation économique et efficace des ressources ». C’est le quatrième objectif permanent du contrôle interne, dont la

20


prise en compte est appréciée dans les audits d’efficacité. Est-ce que les moyens dont dispose l’entreprise sont utilisés de façon optimale ? A-t-elle les moyens de sa politique ? Cette adéquation dans le sens de la plus grande efficacité est un élément important que le contrôle interne doit prendre en compte pour permettre aux activités de l’entreprise de croître et de prospérer.

La norme 350 assigne un cinquième objectif au contrôle interne : « réalisation des objectifs fixés aux activités opérationnelles et aux programmes ». Mais cette finalité peut n’être considérée que comme une disposition particulière du « Respect des instructions de la direction »qui englobe à la fois « respect des politiques, plans et procédures…. » Et « réalisation des objectifs ».

Réaliser ces 4 objectifs c’est prendre une optique sérieuse sur la bonne maîtrise des activités. On peut dire dans ce sens, que les quatre objectifs du contrôle interne donnent à la définition du concept sa dimension opérationnelle.

2- Normes et standards de l’audit interne4

La pratique de l’audit interne exige un professionnalisme de très haute qualité que les auditeurs internes ne peuvent atteindre sans faire appel dans l’exercice de leur fonction à un cadre de référence mis au point par leur profession.

L’Istitute of Internal Auditors (IIA) incite ses membres à respecter les critères généralement admis pour une profession en adoptant un corpus doctrinal pour la pratique professionnelle de l’audit interne. Ce corpus comporte :

- la déclaration des responsabilités de l’audit interne ;- le code de déontologie ;- les normes pour la pratique professionnelle de l’audit interne.

2-1 Déclaration des responsabilités de l’audit interne

Approuvée en 1947 par le conseil d’administration de l’IIA ; la déclaration des responsabilités contribue à une compréhension générale de l’audit interne. Elle donne une définition de son objectif et de son champ d’action, explicite sa mission, son autorité et ses responsabilités et souligne, plus particulièrement, la nécessité d’indépendance de l’auditeur interne à l’égard des activités qu’il audite.

En 1971, la déclaration des responsabilités est profondément révisée. L’auditeur interne est désormais appelé à élargir son champ possible d’intervention en partant de la dimension comptable et financière pour atteindre une pleine compréhension des activités examinées dans l’optique de rendre service au management. Cette étape importante renforce la distinction entre l’audit interne et l’audit externe. Les révisions ultérieures de la Déclaration des Responsabilités, en 1981 et 1991, ont renforcé cette distinction.

2-2 Code de déontologie :

4 IFACI - Institut de l'Audit Interne (2009) « Normes Professionnelles de l'Audit Interne »

21


Exigence essentielle pour toute profession, le code de Déontologie de l’audit interne est adopté en 1968 par le conseil d’administration de l’IIA puis révisé en 1998. Il définit des normes de comportement professionnel qui s’appliquent à tous les auditeurs internes à travers le monde.

Les règles de conduite instituées par le code de déontologie engagent les auditeurs internes à faire preuve dans l’accomplissement de leur mission et leurs responsabilités d’honnêteté, d’objectivité et de diligence. Par ailleurs, le code fixe des normes pour la pratique professionnelle de l’audit interne. Les auditeurs internes doivent, en particulier, s’efforcer en permanence d’améliorer leur compétence, l’efficacité et la qualité de leurs travaux et observer un haut niveau de compétence, de moralité et de dignité.

Le code de la déontologie traite des principes fondamentaux de la profession ainsi que des valeurs et des règles de conduite attendus des auditeurs internes dans l’accomplissement de leur activité. Son but est de promouvoir une culture morale au sein de la profession. Il fixe les principes fondamentaux à respecter par les auditeurs, qui sont au nombre de quatre : intégrité, objectivité, confidentialité, compétence.

L’intégrité :

Les auditeurs internes établissent la confiance en se basant sur leur jugement et doivent accomplir leur mission avec honnêteté, diligence et responsabilité :

- Ils doivent respecter la loi et faire les révélations requises par les lois et les règles de la profession ;

- Ils ne doivent pas sciemment prendre part à des activités illégales ou s’engager dans des actes déshonorants pour la profession d’audit interne ou leur organisation ;

- Ils doivent respecter et contribuer aux objectifs éthiques et légitimes de leur organisation.

L’objectivité :

Elle permet aux auditeurs internes de recueillir, d’évaluer et de communiquer équitablement tous les éléments pertinents examinés et ne pas se laisser influencer dans leur jugement. Ils doivent porter un jugement impartial dans une position où ils ne sont pas susceptibles d’être influencés :

- Ils doivent éviter les activités et les relations qui pourraient être pressenties comme des éléments fragilisant leur objectivité. Ce principe vaut également pour les activités ou relations d’affaires qui pourraient entrer en conflit avec les intérêts de leur organisation ;

- Ils ne doivent rien accepter qui pourrait compromettre ou risquer de compromettre leur jugement professionnel ;

- Ils doivent révéler tous les faits matériels dont ils ont connaissance en interne de l’organisation et qui, s’ils n’étaient pas révélés, auraient pour conséquence de fausser le (leur) rapport sur les activités examinées.

La confidentialité :

22


Les auditeurs internes respectent la valeur et la propriété de l’information qu’ils reçoivent et ne divulguent cette information qu’avec l’autorisation du pouvoir approprié, à moins qu’il n’existe une obligation légale ou professionnelle de la divulguer :

- Ils doivent utiliser avec prudence et protéger l’information recueillie dans le cadre de leurs activités ;

- Ils ne doivent pas utiliser l’information à leur avantage personnel, ou d’une manière qui contreviendrait aux dispositions légales.

2-3 Normes pour la pratique professionnelle de l’audit interne

Dans le cadre des efforts déployés par l’IIA pour créer une unité réelle au sein de la profession à travers le monde- notamment en matière d’établissement de standards- l’apport le plus important a probablement été l’adoption en août 1978 par le conseil d’administration de l’IIA des normes pour la pratique Professionnelle de l’Audit Interne (Standards for the Professional Practice of I nternal Auditing) dans le but :

- de clarifier le rôle et les responsabilité de l’audit interne vis-à-vis de la direction générale, du conseil d’administration, des auditeurs externes et des organismes publique et professionnels ;

- d’instaurer un étalon pour les activités d’audit interne qui soit un instrument de mesure constant pour toutes les entités d’audit ;

- d’encourager l’amélioration de la pratique de l’audit interne ;- d’informer les personnes extérieures à la profession du rôle, du champ

d’action, des performances et des objectifs de l’audit interne ;- de promouvoir la reconnaissance de l’audit interne comme profession.

Revêtant un caractère assez général pour pouvoir être mises en œuvre dans des entreprises de dimensions, de structures et de métiers très différents ; les normes fixent cinq obligations aux auditeurs internes :

objectivité et indépendance par rapport aux activités contrôlées compétence technique et conscience professionnelle ; étendu des travaux d’audit interne gestion de l’entité d’audit interne

Actuellement ces normes se présentent comme suit :

Indépendance :

L’indépendance, selon cette norme, est synonyme de liberté et objectivité de l’auditeur interne dans l’exercice de sa fonction. Cette indépendance, garante de l’impartialité qui permet d’effectuer convenablement les missions d’audit, s’obtient par la position de l’audit au sein de l’organisation et par l’objectivité de l’auditeur.

Pour assurer son indépendance, lui garantir un champ d’investigation couvrant la totalité des fonctions et entités de l’entreprise et une prise en compte adéquate de ses recommandations l’audit doit être rattaché à un niveau hiérarchique suffisamment élevé.

23


L’approbation par la direction générale des activités de l’audit, dans le cadre d’un plan d’audit, est de nature à consolider son indépendance.

La norme précise également que :- l’intervention du conseil d’administration dans la nomination et la révocation

du responsable de l’audit est de nature à favoriser l’indépendance de l’audit interne ;

- Le responsable de l’audit doit pouvoir communiquer avec le conseil d’administration ; une communication régulière avec celui-ci contribuerait à assurer cette indépendance.

Il ressort de ce qui précède que la position naturelle de l’audit est à priori une dépendance, sinon la direction générale, du moins d’une direction opérationnelle, voire de la direction financière.

Mais la norme en envisageant límplication du conseil dádministration en général par líntermédiaire du comité dáudit.

Les principaux rôles du comité dáudit sont :

- de sássurer de la qualité du contrôle interne ;- de sássurer de la fiabilité des informations financières diffusées à léxtérieur

de la société ;- de veiller au respect des règlements et sássurer dúne communication

satisfaisante avec les autorités de tutelle et de la bonne application de leurs recommandations ;

- de suivre láctivité de láudit interne, cést a dire dóbtenir une vue dénsemble des activités du service, de revoir ses travaux et ses conclusions et dáttester aussi de son indépendance et de ses compétences. Le comité est également appelé à superviser la planification des travaux dáudit ;

- De sássurer tout comme láudit interne de líndépendance des auditeurs externes.

Le comité dáudit joue donc un rôle dínterface entre láudit interne et le conseil dádministration, láudit interne étant, sur le plan hiérarchique, naturellement rattachée à la direction générale. Il renforce son indépendance tout en le rendant plus intelligible au regard du conseil dádministration.

Compétence technique et professionnelle :

La compétence professionnelle est, à la fois, la responsabilité du service dáudit et celle de láuditeur interne.

Le responsable de láudit interne doit garantir le niveau de professionnalisme requis par les missions dáudit grâce à la définition et la mise en place dúne politique adéquate dont les objectifs sont :

- la mobilisation des compétences nécessaires pour effectuer de façon appropriée les missions qui lui sont confiées. Ces compétences doivent se conformer à des critères appropries de formation et déxpérience préalablement définis. Láffectation aux missions est définie en fonction des

24


qualifications et des compétences des auditeurs et compte tenu de la nature des travaux et du niveau de responsabilité

- le personnel dáudit interne doit posséder collectivement les compétences techniques nécessaires pour mener à bien les missions dáudit en application des normes, procédures et techniques dáudit. Láction des auditeurs internes peut être renforcée par le recours à des spécialités externes dans la mesure nécessaire a léxercice de leurs responsabilités.

- Le responsable dáudit interne doit sássurer de la qualité des travaux effectués et les superviser a tous les niveaux. Cette supervision consiste a :

planifier la mission dáudit ; veiller au bon déroulement des programmes dáudit ; déterminer si les dossiers de travail étayent convenablement des

faits constatés et les recommandations formulés ; sássurer de la pertinence du rapport dáudit et de son

établissement dans les délais impartis ; sássurer que les objectifs dáudit ont été atteints.

Par ailleurs, dans láccomplissement de leurs missions et leurs responsabilités, les auditeurs doivent respecter les normes de conduite établies par le code de déontologie de lÍIA. Ils doivent faire preuve d´honnêteté intellectuelle, dóbjectivité, de diligence et de loyauté.

Pour garantir la qualité de leurs travaux les auditeurs doivent posséder des compétences techniques et professionnelles relative à :

- lápplication des normes, procédures et technique dáudit ;- láppréhension des principes et techniques comptables ;- la compréhension des principes de gestion ;- lácquisition de connaissances générales dans diverses disciplines.

Les auditeurs doivent, en outre, avoir le sens des relations humaines pour que la mission se déroule sans affrontements ni conflits avec les audités. Ils doivent également être capables de communiquer oralement et par écrit, pour pouvoir exposer les objectifs de leurs missions et leurs appréciations et faire admettre leurs recommandations.

Les auditeurs sont tenus également dáctualiser leurs compétences techniques et se tenir informés des progrès accomplis et des développements en cours dans le domaine des normes, procédures et techniques dáudit. Cette formation continue peut sácquérir par un programme de formation et, surtout, par láutoformation.

Etendu et nature des travaux :

La norme précise que l´étendue et la nature des travaux doivent être déterminées sur la base :

- Dúne évaluation globale de la pertinence et de léfficacité des systèmes de contrôle interne de léntreprise

- Du respect des procédures de léntreprise

25


Cette évaluation séffectue en regard des objectifs essentiels du contrôle interne, mis en exergue par la norme :

- La fiabilité et léxhaustivité des informations- La conformité aux politiques, plans, procédures, lois et réglementations- La protection du patrimoine- Lútilisation économique et efficace des ressources - La réalisation des objectifs fixes aux opérations ou programmes

Ces objectifs ont été regroupés dans la définition élaborée par le groupe de travail Committee of sponsoring Organization of the treadway Commission, en trois catégories :

- La réalisation et lóptimisation des opérations : elle concerne les objectifs de base de léntreprise, y compris ceux relatifs aux performances, à la rentabilité et à la protection des ressources ;

- La fiabilité des informations financières : elle couvre la préparation d´états financiers fiables, incluant les informations financières publiées ;

- La conformité aux lois et aux réglementations en vigueur : elle se rapporte a la conformité aux lois et aux réglementations auxquelles léntreprise est soumise.

Exécution des travaux dáudit :

Les auditeurs internes doivent organiser léxécution de leurs missions afin dátteindre les objectifs déterminés avec le maximum défficacité et dans le respect des normes et standards de la profession. Cette organisation passe par :

- la planification des missions : cette planification consiste notamment en : la définition des objectifs de la mission et de l´étendue des travaux la prise de connaissance de léntité auditée la détermination des ressources nécessaires a léxécution de la

mission l´établissement des programmes dáudit lóbtention de lápprobation du plan de travail

- la collecte et l´évaluation des informations : en relation avec les objectifs des missions et l´étendue des travaux, des informations doivent être rassemblées sur tous les volets. Celles-ci doivent être fiables, pertinentes et utiles pour fournir une base solide aux constations des auditeurs et a leurs recommandations

- la communication des résultats : le rapport dáudit doit présenter des faits revêtant les aspects de conformité, de régularité et défficacité. Présentant des conclusions et des recommandations dámélioration, le rapport dáudit doit être validé par láudité avant sa diffusion. Il doit comporter, dans le cas échéant, le point de vue de ce dernier en cas de désaccord.

- Le suivi des actions correctives : le renforcement du rôle de láudit dans léntreprise passe impérativement par la mise en œuvre des recommandations formulées. Les auditeurs doivent sén assurer par un suivi des actions correctives.

Gestion du service dáudit

26


La norme définit les règles à appliquer pour que le service dáudit soit gèrer efficacement et que ses travaux répondent aux objectifs généraux et aux responsabilités approuvés par la direction et acceptés par le conseil dádministration, dans le respect des principes déontologiques. Ces règles portent sur :

- La définition des objectifs, compétences et responsabilités : les objectifs, compétences et responsabilités de láudit interne doivent être clairement établis, tant à líntérieur du service quáu sein de léntreprise. A cet effet, une charte dáudit interne précisera le rôle, les objectifs, les responsabilités, et les règles de fonctionnement du service dáudit interne et en particulier celles régissant les relations entre auditeurs et audités.

- La planification : láudit interne doit mettre en œuvre un processus de planification articulé autour :

Dún plan à moyen terme, précisant les orientations et les ressources nécessaires ;

Dún plan annuel, précisant les objectifs et les moyens nécessaires.

- La définition des politiques et procédures : celles-ci doivent faire lóbjet de manuels et de guides dáudit interne adaptés à límportance et à la structure du service ainsi qu´à la complexité de ses travaux ;

- La gestion et la formation du personnel : pour garantir la qualité des auditeurs, et par conséquent la qualité de láudit interne, une véritable politique de gestion des ressources humaines doit être mise en œuvre. Une telle politique englobera le recrutement, la gestion des carrières, la formation continue, les systèmes d´évaluation, les promotions et les mesures disciplinaires.

- La relation avec les auditeurs externes : de par leurs objectifs, relativement proches, la coordination des efforts de láudit interne et de láudit externe est nécessaire et ne peut être que fructueuse. Cette coordination implique :

L´élaboration conjointe de plans dáudit Le partage de certains contrôles obligatoires L´échange des rapports dáudit et des dossiers de travail La compréhension mutuelle des techniques et méthodes dáudit

- La qualité des travaux dáudit : pour assurer la qualité requise, le responsable dáudit doit mettre en œuvre un processus permanent d´évaluation de la qualité des travaux effectués.

Section 3 : fonctions voisines

1-Audit externe5

Le spectre d’intervention de l’audit interne est particulièrement large puisqu’il concerne toutes les fonctions, toutes les techniques, toutes les disciplines d’une organisation. Le service d’audit interne doit donc posséder toutes les compétences, connaissances et aptitudes nécessaires à l’exercice de ses 5 www.ifaci.com, « Institut Français d’Audit et de Contrôle Interne »

27

http://www.ifaci.com/


responsabilités. Mais il va de soi que peu de services disposent du personnel possédant collectivement toutes les connaissances et expériences indispensables pour mener correctement l’ensemble des travaux d’audit. Le recours à des prestations externes, au partenariat ou à la sous-traitance de certaines missions peut dés lors s’avérer indispensable.

En effet, le service d’audit interne peut recourir à l’assistance ponctuelle de cabinets externes spécialistes au plan de la formation, de la méthodologie ou du conseil :

La formation auprès d’un consultant externe permettra à l’auditeur interne les fondements de la technique et le langage de son future interlocuteur.L’achat d’une méthodologie développée par un cabinet externe spécialiste du domaine considéré fera gagner beaucoup de temps, permettra de connaître les best practices de la fonction auditée et évitera faux pas et risque inhérent au couple erreur/apprentissage à l’auditeur interne néophyte dans ce domaineL’appui au titre de conseil d’un spécialiste chevronné dans la discipline considérée permettra d’aller rapidement à l’essentiel, d’enrichir les travaux déjà effectués ou de conforter les décisions émises.

De la même façon le service d’audit interne peut avoir recours, s’il l’estime utile, à du personnel en provenance de cabinets externes pour lui apporter un renfort ponctuel d’auditeur généralistes en raison d’une surcharge momentanée de travail ou de personnel spécialisé dans un domaine particulièrement pointu pour lequel le service ne dispose pas des ressources adéquates.

D’après la norme 4610 du nouveau référentiel des normes d’audit marocain « l’auditeur externe doit prendre en compte les travaux d’audit ainsi que leur incidence potentielle sur les procédures d’audit externe »

Cette norme révèle plusieurs points :- la relation entre l’audit interne et l’audit externe- la prise de connaissance et l’évaluation préliminaire des travaux de l’audit

interne- la liaison et coordination avec l’audit interne- l’évaluation des travaux de l’audit interne

1-1 Relation avec l’auditeur externe

La norme 4610 précise : « le rôle de l’audit interne est défini par la direction et ses objectifs diffèrent de ceux de l’auditeur externe qui est nommé pour émettre un rapport indépendant sur les états de synthèse. Les objectifs de la fonction d’audit interne varient selon les exigences de la direction, alors que la priorité pour l’auditeur externe est de vérifier que les états de synthèse ne comportent pas d’anomalies significatives »La coordination entre les services d’audit nécessite des rencontres périodiques pour s’entretenir de questions d’intérêt commun, procéder à l’échange des rapports d’audit et convenir des techniques, méthodes et terminologie communes.Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, par leurs recommandations pour son amélioration, mais ils sont seuls responsables de leur opinion sur les états financiers.

28


L’auditeur externe doit s’aviser des travaux d’audit interne, avoir accès aux rapports pertinents et être tenu informé de tout problème significatif qui pourrait avoir une incidence sur son travail.

1-2 Prise de connaissance et évaluation préliminaire des travaux de l’audit interne

« L’auditeur externe doit acquérir une connaissance suffisante des travaux de l’audit interne pour identifier et évaluer le risque d’anomalies significatives au niveau des états de synthèse et pour concevoir et mettre en œuvre des procédures d’audit complémentaires.L’auditeur externe doit procéder à une évaluation de la fonction d’audit interne lorsqu’il s’avère que celle-ci peut être utile à son évaluation des risques. »

Cette même norme et les normes internationales précisent que les commissaires aux comptes doivent prendre en considération les activités d’audit interne les activités d’audit interne, ainsi que leur incidence éventuelle sur leurs propres procédure d’audit.

En effet, l’existence et l’efficacité d’un service d’audit interne de l’Etat garantit normalement l’efficacité des processus et au final la qualité des comptes. Il ressort que les auditeurs externes accordent une grande importance à la qualité de l’audit interne dans le cadre de leurs propres travaux de certification.

C’est pourquoi l’audit interne s’est très précocement positionné en matière d’audit comptable et financier pour justement aider les gestionnaires et les responsables des processus comptables à se préparer à la certification des comptes. Bien entendu, cette prise en compte de l’audit interne par les auditeurs externes dépend de la compétence et du positionnement de l’audit interne quant à l’objectivité et l’indépendance des conclusions des travaux réalisés par ses services.

1-3 Liaison et coordination avec l’audit interne :

« lorsque l’auditeur externe envisage d’utiliser les travaux de l’audit interne, il aura à prendre en compte le plan portant sur l’audit interne prévu pour la période et à en discuter aussitôt que possible à un stade préliminaire. Lorsque les travaux de l’audit interne jouent un rôle dans la définition de la nature, du calendrier et de l’étendue des procédures d’audit externe, il est souhaitable de convenir à l’avance du calendrier de ces travaux, des domaines couverts par les procédures d’audit, des seuils de signification et des méthodes envisagées pour la sélection des sondages, de la documentation des travaux effectués et de leur revue, ainsi que des procédures de communication des conclusions »L’objet de la norme 4610 rejoint la norme de l’IIA 2050 qui prescrit aussi : « afin d’assurer une couverture adéquate et d’éviter les doubles emplois, le responsable de l’audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d’assurance et de conseil ».

1-4 Evaluation des travaux de l’audit interne :

29


Lorsque l’auditeur externe à l’intention d’utiliser des travaux spécifiques de l’audit interne, il doit évaluer et examiner ces travaux pour confirmer leur adéquation avec ses propres objectifs.

« L’évaluation des travaux spécifiques de l’audit interne nécessite de revoir l’étendue de ces travaux et les programmes de travail y relatifs et si l’évaluation faite des travaux de l’audit interne reste valable. Cette évaluation peut impliquer de déterminer si :

- Les travaux ont été réaliser par des personnes disposant d’une formation technique et d’une expérience suffisantes en tant qu’auditeurs internes et si les travaux des collaborateurs ont été correctement supervisés, revus et documentés ;

- Des éléments probants suffisants et appropriés ont été recueillis pour fonder des conclusions raisonnables ;

- Les conclusions tirées des travaux sont appropriées en la circonstance et les rapports établis sont cohérents avec les résultats de ces travaux ;

- Une solution satisfaisante a été apportée aux exceptions ou aux questions inhabituelles mises en évidence par les travaux de l’audit interne »

Ces orientations et les termes de la norme 4610 indiquent clairement que dans le cadre de leurs missions légales, préalablement à l’émission de l’opinion sur les états financiers, les auditeurs externes sont amenés à s’appuyer sur les travaux effectués par l’audit interne, en matière de procédure de contrôle interne et de gestion des risques. L’utilisation faite par l’auditeur externe s’étend au risque d’anomalies significatives dans le domaine concerné, de son évaluation de la fonction d’audit interne et des travaux spécifiques de celui-ci.

En parallèle, le recours à l’audit externe par une organisation peut prendre plusieurs formes :

- la co-traitance : elle consiste à constituer avec un consultant externe et pour une mission déterminée, une équipe commune placée sous le leadership de l’audit interne. Cette coopération entre auditeurs interne et consultants externes ne peut que être bénéfique car elle associe, à l’étude d’un problème spécifique, des professionnels de haut niveau parlant le même langage, utilisant des méthodes similaires et agissant de manière complémentaire : les uns imprégnés de la culture d’entreprise, apportent leurs connaissances de l’organisation et leurs expériences internes, les autres en contact avec le monde extérieur, leur technicité et leur point de référence.

- La sous-traitance : consiste à confier d'une manière permanente ou ponctuelle à un cabinet externe, l'audit d'un ou plusieurs établissements (par exemple à l'étranger) ou d'une ou plusieurs fonctions ou activités spécifiques (par exemple la sécurité informatique). Dans tous les cas de figure, le cabinet externe agit sous l'autorité du directeur de l'audit interne qui définit le programme d'intervention et rapporte à la Direction Générale et, le cas échéant, au Comité d'audit, les principales conclusions des missions sous-traitées

- L'externalisation : consiste à confier, d'une manière permanente, à un cabinet externe, l’audit de l'ensemble des structures et activités de l'organisation. Si

30


l'organisation conserve en son sein la direction de l'audit interne, on parlera d'externalisation «opérationnelle», dans le cas contraire d'externalisation «totale »

COMPARAISON ET DIVERGENCE AVEC L'AUDITEUR EXTERNE

Auditeur interne Auditeur externe

Mandat

- Par la direction générale pour les responsables de l'entreprise.- salarié - Fonction récente début des années 80.

- Par l'assemblée générale (conseil d'administration) pour les tiers qui requièrent des comptes certifiés. - Contractuel. - Métier depuis le dahir de 1954.

Mission

- Se réfère aux normes et surtout à la politique générale de l'entreprise. - L'amélioration des systèmes et formulation des recommandations. - Lié aux préoccupations de la direction générale : déclenchement sur décision. - Tous les types d'audit et tous les sujets. - La gestion constitue sa principale raison d'être. - Délégation du pouvoir de contrôle de la direction générale qui peut être retirée à tout moment.

- Se réfère aux lois, règlements et normes professionnelles. - Emission d'une opinion sur la qualité des états financiers. - Lié à la certification des comptes : mise en œuvre annuelle. - Audit de régularité et de sincérité. - Ne peut s'immiscer dans la gestion de l'entreprise. - Légale et obligatoire et engage une responsabilité civile et pénale.

»

31


Conclusion

- Constatations approfondies dès qu'il existe un potentiel de dysfonctionnements, pour identifier les causes et définir les actions qu'il y a lieu de mener. - Obligation de résultats

- Constatations succinctes : examen des circuits clés et des montants supérieurs à un seuil de signification pour dresser des constats de carence et informer. - Obligation de moyens

2- Le contrôle de gestion

Le contrôle de gestion peut être au service de l’audit. Ce premier opérant un contrôle par exception, il peut dégager les écarts significatifs. Cela permet de conduire l’audit de manière cohérente en le focalisant tout d’abord sur ces écarts importants; puis, en affinant la recherche, ou en l’élargissant à l’amont ou à l’aval du problème, l’auditeur mène une recherche méthodique des dysfonctionnements. Cet aspect est particulièrement mis en avant dans la conduite de l’audit interne.

Sur un autre plan, la composante humaine des deux métiers est extrêmement forte: un travail efficace ne peut être mené que si les deux spécialistes parviennent à se faire percevoir comme échappant à tous les enjeux de pouvoir. La collaboration de tous viendra de la confiance qui leur est accordée. Pourtant, le contrôleur de gestion est peut-être plus fragile car si sa fonction n’est pas promue par la direction générale, la valeur ajoutée de son travail ne sera pas aussi élevée qu’elle pourrait l’être. Il faut absolument éviter que son rôle se limite à l’animation de la procédure budgétaire. A l’inverse, si l’aspect déontologique du métier de contrôleur de gestion est sans doute aussi fort que celui de l’auditeur, les jugements qu’ils peuvent émettre peuvent différer fortement sur la forme. Il semble en effet important que le premier sache formuler des jugements de valeur et des opinions. Toutefois, celui-ci doit le faire en toute conscience et en sachant se montrer loyal vis-à-vis de l’entreprise. Il faut dépasser la tentation de profiter de cette source de pouvoir que confère la détention d’une information privilégiée: ce sont E.FRIEDBERG et M.CROZIER qui définissent de la sorte le pouvoir dans les organisations. Le second, en revanche doit conserver son indépendance en refusant d’apporter un quelconque jugement sur les décisions de gestion qui sont prises.

Ainsi, une remarque peut être tirée de la comparaison des deux parties pratiques: celle qui portait sur le contrôle de gestion n’avait pas de rappels méthodologiques. Ceci s’explique facilement. Alors que l’audit est un travail très normalisé dans ses méthodes, dans la rédaction du diagnostic, la mise en oeuvre du contrôle de gestion est un peu plus intuitive. La contrepartie de cette non formalisation est la nécessité absolue, pour le contrôleur de gestion, d’être d’une rigueur absolue dans ses jugements.

32


COMPARAISON ET DIVERGENCEAVEC LE CONTROLE DE GESTION

Audit interne Contrôle de gestion

C'est quoi?

- Une activité indépendante et objective. - Il investigue le passé pour trouver ce qu'il y'a de mieux à faire et l'appliquer à l'avenir.

- Un processus de pilotage. - Il analyse les écarts entre ce qui a été prévu et le présent pour maîtriser l'avenir.

Par qui ?

- Assuré par un professionnel qui est rattaché au plus haut niveau de l'entité.

- Assuré par le responsable de l'unité et assisté par un professionnel qui est placé auprès du responsable.

33


Où et à quel niveau ?

- Il démarre au sein d'un ensemble comportant plusieurs responsables opérationnels, au moins deux. - Il va des problèmes rencontrés en pratique à leurs causes et conséquences. - Le responsable de l'ensemble fait procéder à des audits internes pour analyser comment les choses se passent dans les unités qui dépendent de lui. - Il se développe au plus haut niveau de l'organisation, chaque niveau de

- Il démarre dès le niveau opérationnel le plus fin où sont fixés des objectifs de résultats. - Il va des indicateurs généraux aux paramètres particuliers. - Il s'intègre verticalement aux différents niveaux d'une chaîne de responsabilité.- Il sert donc au pilotage, non pas seulement à l'intérieur d'une unité, mais aussi entre unités.

Comment?

- Il fonctionne par des missions temporaires et ponctuelles, effectuées à la demande du responsable de l'entité ou en son nom, portant soit sur l'assurance, soit sur l'assistance (conseil). - Il contrôle l'application des directives, la fiabilité des informations et l'adéquation des méthodes, les processus, les conditions d'obtention des résultats. - Audite la fonction contrôle de gestion. - Il fonctionne par des analyses factuelles et objectives, sur des échantillonnages adaptés.

- Il fonctionne avec des tableaux de bord qui doivent être intégrables pour pouvoir avoir un sens dans les différents niveaux de la chaîne de responsabilité. - Il planifie et suit les opérations et leurs résultats. Conçoit et met en place le système d'information. - Analyse le budget du service d'audit interne. - Il fonctionne par le dialogue de gestion entre les niveaux de responsabilité. - Il fonctionne par la mise en évidence des écarts sur objectifs, ou des risques

Quand ?

- Photo périodique et détaillée. - L'auditeur interne fait un travail à temps plein. - Les interventions se déroulent selon une programmation établie, ou occasionnellement. En principe, pour une entité donnée, l'intervention est à périodicité relativement faible.

- Cinéma continu et global. - Le contrôleur de gestion fait un travail d'analyse et d'interprétation des données à temps plein. - Le responsable de l'entité fait une revue périodique des données du contrôle de gestion, en fonction des données objet de reporting (mensuel, trimestriel ou annuel), avec en général, un temps fort sur les résultats annuels.

3- L’inspection générale

34


La Circulaire du 1er Ministre de septembre 1993 a demandé, aux organismes publics, la création de départements d'audit interne au sein des entreprises à caractère industriel et commercial et la création d'inspections générales au sein des établissements à caractère administratif.

Les objectifs de la fonction sont définis par le guide de l'inspection générale de l'ONU : « L'inspection est une activité de contrôle d'un service conduite sur une base ad hoc lorsqu'il existe des signes ou indications qu'un programme ou une activité est mal gérée ou que les ressources ne sont pas utilisées de façon rationnelle.L'inspection en tant qu'investigation à caractère proactif a pour objet d'identifier les "zones/domaines vulnérables" où une activité à caractère frauduleux a des chances d'advenir en vue d'évaluer les risques encourus afin de les gérer et/ou si nécessaire de les neutraliser. ».

Contrairement à l'audit interne, l'inspection est conduite sur une base ad hoc. Elle suppose des présomptions de dysfonctionnement et ses recommandations sont essentiellement de nature corrective.L'intervention de l'inspection touche les domaines technique, commercial, financier et se matérialise généralement sous la forme d'enquête. Celle-ci est orientée surtout vers les actions jugées nécessaires pour respecter la réglementation et la préservation des actifs ou l'utilisation abusive ou non réglementaire des moyens de production de l'entreprise et son patrimoine. Les domaines d'intervention de cette fonction sont qualifiées de :

- Permanents : contrôles opérationnels comprenant des inspections des installations, de la qualité du service et du comportement du personnelainsi que certains flux financiers ou de transactions commerciales.

- Ponctuels : généralement menés sur instruction de la direction générale àla suite des lettres anonymes ou lors de la révélation d'un fait délictueuxou de fraude.

Certains amalgames peuvent apparaître entre la fonction d'inspection et la fonction d'audit interne. Dans certaines entreprises, il existe des confusions entre ces deux fonctions. L'intervention de l'audit interne est moins sensible que celle de l'inspection. En effet cette dernière créée auprès des services audités, un certain traumatisme. Par contre l'approche préventive, facilite l'intervention de l'audit interne dans les services.

Dans le secteur privé, le département de l'inspection et de l'audit est généralement rattaché au directeur général. Il reçoit ses lettres de mission du Conseil d'administration, qui est également le destinataire de ses rapports. Pour le secteur public les inspections générales peuvent être positionnées à un niveau supérieur, celui du ministre lui-même. Les corps d'inspection ont traditionnellement et statutairement des situations d'indépendance garanties parce que les carrières dépendent relativement peu du donneur d'ordre. C'est un domaine où l'administration semble avoir de l'avance par rapport à l'entreprise privée.

COMPARAISON ET DIVERGENCE AVEC L'INSPECTION

35


Audit interne Inspection

Régularité

- Contrôles basés sur un échantillon aléatoire. - Contrôle le respect des règles et leur pertinence. Interprète et remet en cause les règles et directives.

- Contrôles exhaustifs. - Contrôle le respect des règles sans les interpréter, ni les remettre en cause.

Mandat

- Intervention sur mandat de la direction générale et selon un plan d'audit. - Assuré par un professionnel compétent, intègre et objectif. - Répond aux préoccupations du management soucieux de renforcer sa maîtrise. - Privilégie le conseil et donc la coopération avec

- Intervention peut être spontanée et de son propre chef. - Assumée par des hommes d'expérience, rigoureux, ayant autorité et talent pour s'imposer. - Investigations approfondies. - Privilégie le contrôle et donc l'indépendance des contrôleurs.

Méthode

- Identifie les causes et définit les actions qu'il y a lieu de mener.

- S'en tient aux faits et identifie les actions nécessaires pour les réparer.

Objectifs

- Ses recommandations sont de nature préventive.

- Ses recommandations sont de nature corrective.

Evaluation

- Considère que le chef de service est toujours responsable et donc critique les systèmes et non les hommes. - Evalue le fonctionnement des systèmes.

- Détermine les responsabilités et fait éventuellement sanctionner les responsables. - Evalue le comportement des hommes, parfois leurs compétences et

4- le risk-management 6

Le COSO l’acronyme abrégé de « Committee Of Sponsoring Organizations of the Treadway Commission » organisation fondée aux Etats Unis, définit le management des risques comme « un processus mis en œuvre par le conseil d'administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation ».

6 SCHICK P, (2007) « mémento d’audit interne », DUNOD, PARIS

36


Le COSO est basé sur une vision orientée risques de l'entreprise (Enterprise Risk Management Framework) : processus exploité pour l'élaboration de la stratégie et transversal à l'entreprise, destiné à :

- Identifier les événements potentiels pouvant affecter l'organisation ;- Maîtriser les risques afin qu'ils soient dans les limites du « Risk Appetite

(appétence au risque)» de l'organisation ;- Fournir une assurance raisonnable quant à la réalisation des objectifs de

l'organisation.

Dans un premier temps, le responsable du risque ou risk-manager identifie et évalue la totalité des risques inhérents à l'activité de l'entreprise. Il fournit au final, une vision des risques majeurs de l'entreprise à la direction générale et au management.

Le risk-manager conseille sur la meilleure façon de gérer les risques inhérents et les incidences liées à des décisions stratégiques. Il s'agit de réduire l'impact financier ou l'impact sur l'activité de tous les événements aléatoires qui pourraient survenir.

Avec le COSOII apparaît un autre aspect couplé du risque-enjeu qui semble intéressant. Le risque n'est plus seulement la face négative de la réalisation d'un objectif, c'est aussi l'envers d'une opportunité. Par exemple on peut accepter un petit risque dans un espoir de gain important.

L'identification des risques, également réalisée par l'audit interne, est l'une de ses attributions dans l'accomplissement normal de ses missions. Ce qui pourrait être considéré comme faisant double emploi. Mais la confrontation du résultat des deux démarches complémentaires peut être une source d'enrichissement et donner l'assurance de couvrir tous les risques significatifs.

En parallèle des évaluations réalisées par le risk-manager. S'il n'agit pas de manière coordonnée, le manque de coordination peut conduire l'auditeur à ne pas

37

L'institution de ce processus se réfère aux normes définies par les modalités pratiques d'application de l'audit interne MPA 2100-4 :« Par processus de management des risques, on entend une démarche structurée, organisée, documentée et permanente. Lorsqu'une organisation n'a pas mis en place de processus de management des risques, l'auditeur interne doit attirer l'attention du management sur ce point et formuler des suggestions en vue de la mise en place d'un tel processus.Dans les organisations qui ne sont pas encore dotées de ce processus, les auditeurs internes peuvent, s'ils y sont invités, jouer un rôle proactif en participant à la mise en place initiale d'un processus de management des risques dans l'organisation. »


couvrir tous les risques inhérents. Donc les liens de l'audit interne avec le risk-management sont de l'ordre des échanges sur l'efficacité du processus de gestion des risques.

Le Risk-management comme les autres processus de l'entreprise, fait l'objet d'une surveillance et d'audits réguliers. L'audit interne, sur la base de sa connaissance et de son évaluation des activités de contrôle, apprécie le bon fonctionnement du dispositif de management des risques et en tient compte dans le cadre de sa démarche.

COMPARAISON ET DIVERGENCE AVEC LE RISK-MANAGER

Auditeur interne Risk-managerRattachement

- Nommé par la direction générale. - Rattaché à la direction générale. - Tenu aux règles de confidentialité.

- Relève de la direction générale, dont il est rattaché et supervisé par le conseil d'administration - La direction doit s'assurer que tous les éléments de management des risques sont en Mand

at- Intervention sur mandat de la direction générale et selon un plan d'audit. - Privilégie le conseil et donc la coopération avec les audités. - Assuré par un professionnel indépendant, compétent, intègre et objectif.

- Selon la taille de l'entreprise peut être seul, peut s'appuyer sur une équipe limitée ou organiser un réseau de correspondants au sein des différentes directions - Capacité à être le conseil ou le partenaire de la direction générale - Formé au management des risques, ayant la capacité d'analyse, d'initiative et l’aptitude de résolution des

Responsabilité

- Evaluation du processus de management des risques. - Revue des contrôles, gestion et suivi de leur fonctionnement et formulation de recommandations en vue de les améliorer.

- Reporting des risques majeurs de l'entreprise à la direction générale. - Responsable en termes de directives, de pilotage et de suivi des risques. - Communiquer et gérer la mise en place et le maintien du management des risques de l'organisation, conformément aux

38


Activité et méthode

- Identifier les causes et définit les actions qu'il y a lieu de mener. - Evaluer le fonctionnement des systèmes. - Contrôler la fiabilité des informations, l'adéquation des méthodes et la fonction de management des risques. - Auditer les processus de gestion des risques dans l'ensemble de l'organisation. - fonctionner par des missions temporaires et

- Développer un modèle standardisé d'information du risque et des processus automatisés et s'assurer qu'il est applicable au sein de l'organisation - Transmettre les connaissances et informations et plus généralement contribuer à un management des risques efficace et aider à maintenir une culture du risque adéquate. - Dresser une cartographie des risques et établit une stratégie et un plan d'action de traitement des risques - Suivi de la mise en œuvre des actions décidées : vérification de leur rentabilité et

Objectifs

- Elaborer des recommandations en prenant en compte des risques critiques dans le but d'éviter la réapparition du problème.

- Prend en compte tous les risques en fonction de l'appétence au risque et des objectifs définis par la direction générale - Evaluer le coût des actions de maîtrise à mettre en place.

Evaluation

- Chargé de l'évaluation du suivi des recommandations réalisées par les

- Chargé du suivi du plan d'action avec les directeurs concernés.

Conclusion :

L’administration publique au Maroc connaît des anomalies dans la gestion de ses différents services. En effet, absence de stratégie et de plans d’action dans certains ministères, des fonds dépensés pour des projets non opérationnels, difficultés dans la circulation de l'information, des informations contradictoires d'un service à l'autre, retard dans le traitement et le partage des informations administratives

L'audit, exercé par un auditeur, est un processus systématique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les éléments du système cible satisfont aux exigences des référentiels du domaine concerné.

Il s'attache notamment à détecter les anomalies et les risques dans les organismes et secteurs d'activité qu'il examine. Auditer une entreprise, un service, c’est écouter les différents acteurs pour comprendre et faire comprendre le système en place ou à mettre en place.

39

http://fr.wikipedia.org/wiki/R%C3%A9f%C3%A9rentiel


CHAPITRE II :

AUDIT INTERNE DES ENTREPRISES PUBLIQUES AU MAROC

Pour renforcer la contribution du secteur public au développement du pays, les

40


pouvoirs publics ont entrepris durant la période 1999-2008 un ensemble d’actions de réformes et de restructuration. Ces actions ont porté essentiellement sur l’amélioration de la gouvernance des entreprises publiques et la refonte de leur cadre de gestion et sur la poursuite des politiques de privatisation et de libéralisation, notamment par la conclusion de contrats de gestion déléguée des services publiques.

L’audit des entreprises publiques a connu un développement certain suite à la lettre royale du 19 juillet 1993 au sujet de l’audit de certaine grande EP et à la circulaire de Monsieur le premier ministre n°5/96 du 6 mai 1996 par laquelle les EP ont été appelées à certifier leurs états financiers annules par des auditeurs indépendants préalablement à leur soumission au conseil d’administration pour approbation.

Section 1 : évolution du cadre juridique de l’audit interne au Maroc

1- La réforme du contrôle des entreprises et organismes publics7

L’audit des entreprises et organismes publics a connu un développement certain, suite à ces textes qui ont mis l’accent sur la création d’un environnement favorable à la promotion de l’audit et de la bonne gouvernance au sein des établissements publics et des ministères. Ces mesures ont permis la mise en place effective de nombreuses cellules, dans plusieurs entreprises et organismes. Le recours à l’audit interne ne s’est pourtant pas généralisé de façon systématique à toutes les composantes du secteur public.

Dans certains ministères, les inspections générales ont développé de plus en plus cette activité parallèlement à celle se rapportant à l’inspection pure. Le ministère de l’équipement a institué une cellule d’audit interne, rattachée au secrétaire général qui prend en charge toutes les activités d’audit. Le département de l’habitat a institué un comité permanent de l’audit (CPA) dont le secrétariat est assuré par l’inspection générale. D’autres départements, comme l’agriculture, disposent de divisions d’évaluation des programmes et projets.

Au cours des années 2000 et 2001, cette dynamisation s’est concrétisée- en plus des audits des comptes qui ont un caractère récurrent et annuel- par la réalisation ou le lancement d’audits de performance et d’organisation, dans le cadre des comités permanents d’audit auprès de certains départements.

Depuis 2003, une réforme ambitieuse du contrôle et de la transparence a été décidée par les autorités en vue d'alléger le contrôle classique a priori et de lui substituer pour l'essentiel une forme de contrôle a posteriori pour des entités

7 Direction des études et Prévisions Financières, (1999,2009) « la décennies des réformes et des progrès, pour un Maroc moderne et Solidaire »

41


répondant à des critères permettant de garantir une meilleure fiabilité et une meilleure gouvernance.

En effet, La réforme du contrôle financier de l'État sur les établissements et entreprises publics (EEP) s'inscrit dans un processus de restructuration du secteur public, cette réforme du contrôle financier a été initiée par la loi 69-00 du 11 novembre 2003 modifiant le dahir du 14 avril 1960 tel que modifié en 1962. Les principaux objectifs de cette réforme sont le développement d'une meilleure gouvernance des EEP et la modernisation de leur mode de gestion. La réforme place le gouvernement d'entreprise au cœur du dispositif à travers : la généralisation du contrôle, la modulation et la pertinence du contrôle, la dynamisation du processus du contrôle et la clarification des pouvoirs au sein del'entreprise.

La généralisation du contrôle financier :

La généralisation du contrôle financier vise à étendre le contrôle à toutes les entreprises publiques, quel que soit le pourcentage de la participation publique et la nature juridique de l'entreprise. Ainsi, le contrôle financier de l'État s'applique désormais aux EEP suivants, qui font l'objet d'une nouvelle classification introduite par la loi 69-00 dans ses articles 1,4 et 5 :

- Les établissements publics (EP).

- Les sociétés d'État, sociétés dont le capital est détenu en totalité par les organismes publics : -à participation directe de l'État ou d'une collectivité locale -à participation indirecte de l'État ou d'une collectivité locale.

- Les filiales publiques : les sociétés dont le capital est détenu à plus de la moitié par des organismes publics.

- Les sociétés mixtes : les sociétés dont le capital est détenu au plus à hauteur de 50 % par des organismes publics

- Les entreprises concessionnaires : les entreprises chargées d'un service public en vertu d'un contrat de concession dont l État est l'autorité contractante.

La modulation et la pertinence du contrôle

La modulation du contrôle en fonction de la performance du système d'information et de gestion en place a remplacé le régime antérieur axé sur la seule régularité des dépenses. Les EEP sont désormais soumis à un contrôle financier a priori ou a posteriori, en fonction de leur forme juridique et de leurs modalités de gestion. Ces contrôles sont de quatre types : le contrôle préalable (axé sur la régularité), le contrôle d'accompagnement, le contrôle conventionnel et le contrôle contractuel. En outre, les participations minoritaires de l'État (sociétés mixtes) sont soumises à des obligations de communication annuelle d'informations financières au Ministère des Finances.

La dynamisation du processus du contrôle

42


Outre la migration de certains établissements publics vers le contrôle d'accompagnement, la dynamisation du processus de contrôle consiste également à revoir le type de contrôle exercé, notamment pour les organismes bénéficiant du contrôle d'accompagnement et pour lesquels des insuffisances ont été relevées dans la gestion. Dans ces cas, le contrôleur d'État est habilité par le Ministre des Finances à exercer un droit de visa sur certains actes limitativement définis et pour une durée déterminée et renouvelable jusqu'à redressement de la situation.

la clarification des pouvoirs au sein de l'entreprise

La clarification des pouvoirs au sein de l'entreprise vise à distinguer trois fonctions au sein de l'entreprise incompatibles les unes avec les autres dans le cadre d'une approche centrée sur le gouvernement d'entreprise. En premier lieu, la fonction d'orientation, assurée par le conseil d'administration et portant, principalement, sur la fixation des objectifs. En second lieu, la fonction de gestion, exercée par l'équipe dirigeante et garante de la qualité du management et enfin la fonction de contrôle et d'évaluation, assurée par les organes de contrôle et visant la prévention du risque et l'évaluation des performances. Selon ce modèle, le contrôle financier est appelé, avec les autres organes de contrôle internes et externes de l'entreprise, à remplir cette dernière fonction sans, pour autant, empiéter sur les prérogatives des organes d'orientation et de gestion.

Par ailleurs, la réforme du contrôle a conduit à la mise en place de quatre différentes catégories de contrôle :

Le contrôle préalable (contrôle de régularité),

C’est un contrôle applicable aux établissements publics sous la forme d'un contrôle a priori exercé par le Ministre des Finances, un contrôleur d'État et un trésorier payeur.

La nouvelle réforme accorde un large pouvoir d'approbation au Ministre des Finances pour les actes stratégiques de l'établissement, un pouvoir de visa du Contrôleur d'État en fonction de seuils fixés par instruction et Contrôle de régularité a priori par le Trésorier payeur et signature conjointement avec le directeur de l'établissement sur les moyens de paiement

Le contrôle de performance (contrôle d'accompagnement)

Contrôle applicable aux établissements publics remplissant les conditions d'éligibilité prévues par la loi et aux sociétés d'État à participation directe. Contrôle exercé par le Ministre des Finances avec pouvoir limité d'approbation (plan pluriannuel, budget et affectation des résultats) et le contrôleur d’Etat sans pouvoir de visa a priori, et ne faisant plus intervenir le Trésorier payeur.

Contrôle a posteriori par le contrôleur d’État qui conserve certaines attributions prévues par le contrôle à priori : voix consultative aux séances de l'organe délibérant, droit de communication permanent, avis sur toute opération de gestion

43


et rend compte de sa mission dans un rapport annuel au Ministre des Finances. Par ailleurs, la loi confère au contrôleur d'État un rôle de pilotage et d'évaluation : se prononce sur la conformité de la gestion de l'organisme à la mission et aux objectifs assignés et sur les performances économiques et financières de celle-ci. Les organismes soumis à ce type de contrôle doivent en contrepartie se doter d'instruments de gestion et instituer un comité d'audit.

Le contrôle conventionnel ,

Réservé aux sociétés d'État à participation indirecte et aux filiales publiques, est exercé par un commissaire du Gouvernement dans le cadre des dispositions d'une convention de contrôle conclue entre l'entreprise mère et sa filiale.

Le contrôle contractuel

Se rapproche du contrôle conventionnel mais s'applique aux seules entreprises concessionnaires de l'État.

2- Nouveautés apportées par la loi 69-00 :8

La communication de l'information comptable et financière est renforcée par la loi 69-00 en élargissant l'obligation de communication de l'information au Ministère des Finances dans les six mois suivant la clôture de l'exercice à l'ensemble des établissements et entreprises entrant dans son champ d'application. Par ailleurs, la loi précitée a instauré l'obligation de publication des comptes annuels des établissements publics au bulletin officiel selon des formes arrêtées par décret.

La loi 69-00 a prévu également le renforcement des instruments de gestion et l'instauration de comité d'audit dans le cadre du contrôle d'accompagnement. Les établissements publics et sociétés d'État soumis au contrôle d'accompagnement doivent se doter des mêmes instruments de gestion que ceux requis en matière d'éligibilité des établissements publics. Les organismes soumis au contrôle d'accompagnement doivent également instituer un comité d'audit.

Ce comité, indépendant de la direction, est composé du contrôleur d'État et de deux à quatre membres administrateurs non dirigeants. Son rôle est d'apprécier la qualité de l'organisation, la fiabilité du système d'information et de gestion ainsi que les performances de l'organisme. Pour cela, il diligente et suit les audits internes et externes de l'organisme et s'assure de la mise en œuvre effective des recommandations des auditeurs. Il s'agit d'une novation majeure de la loi dont on doit attendre un véritable contrepoids à l'allègement du contrôle a priori.

En sus, la réforme de l’audit interne a prévu un contrôle d’accompagnement au profit des établissements publics remplissant l’une ou l’autre des conditions suivantes :

- L’EP doit disposer d'un système d'information, de gestion et de contrôle interne opérationnel comportant notamment les instruments suivants approuvés par leur conseil d'administration :

8 La loi 69-00 relative au contrôle financier de l’Etat sur les Entreprise Publiques et autres organismes

44


* Statut du personnel

* Organigramme

* Manuel de procédures

*Règlement des passations des marchés

*Comptabilité certifiée sans réserves significatives par des auditeurs externes

* plan pluriannuel au minimum triennal

* rapport annuel de gestion.

L'EP doit être lié à l'État par un contrat de programme qui définit pour une période pluriannuelle les engagements réciproques, les objectifs techniques, économiques et financiers, les moyens pour les atteindre et les modalités de suivi de leur exécution.

Les établissements publics sont pour l'instant au nombre de huit établissements retenus par la commission en application des critères d'éligibilité au contrôle d'accompagnement sur la base des critères relatifs au système d'information, de gestion et de contrôle interne. Leur liste est fixée par le décret du 28 mars 2006 comme suit : Barid Al Maghrib (BAM), Caisse centrale de garantie (CCG), Conseil déontologique des valeurs mobilières (CDVM), Office chérifien des phosphates (OCP), Office national de l'eau potable (ONEP), Office national de l'électricité ONE), Office national des chemins de fer (ONCF) et Office national des transports (ONT).

Les sociétés d'État à participation directe, qui sont au nombre de 20 en 2006, pour lesquelles le contrôle d'accompagnement est de droit et toutes y ont été soumises dès l'entrée en vigueur de la loi 69-00 en novembre 2003. Ces sociétés ont la forme de sociétés anonymes (SA) et sont soumises à la loi sur les SA, qui offre un cadre satisfaisant pour le fonctionnement des organes de gestion et de contrôle.

Bien que leur nombre représente 3 % des 260 établissements publics, la part des huit établissements dans les principaux indicateurs économiques et financiers de l'ensemble des établissements et entreprises publics est significative et représente plus du tiers de la valeur ajoutée et du total bilan et 40 % des fonds propres.

Toutefois, en supplément de ces huit établissements déjà soumis au contrôle d'accompagnement, d'autres établissements ont migré - ou sont en cours de migration — vers ce type de contrôle du fait de leur transformation en sociétés d'État soumis de droit à ce contrôle.

Outre les 260 établissements, le portefeuille public compte, selon la nouvelle nomenclature, 420 sociétés soumises selon le cas aux contrôles d'accompagnement, contractuel ou conventionnel, ce qui témoigne de l'ampleur des mutations introduites par la loi 69-00 par rapport à la situation où prévalait le contrôle préalable.

45


Il est à préciser qu'aucune EP n'a été soumise au contrôle d'accompagnement par le biais du contrat de programme même si certains établissements ont par ailleurs conclu un contrat de programme avec l'État comme c'est le cas pour l'ONCF. La passation de contrat de programme est cependant appelée à se renforcer. Ainsi, des contrats programmes sont en cours de finalisation avec BAM ou l'ONEP. De même, le plan d'action 2007 prévoit la conduite et le lancement de nouveaux projets avec un certain nombre d'établissements.

Il est à signaler à ce niveau, que La mise en œuvre de la loi 69-00 s'est faite à travers, d'une part l'élaboration d'instruments normalisés de gestion et de contrôle adaptés dans une première phase et d'autre part, l'application du contrôle d'accompagnement au sein des établissements publics sélectionnés dans une seconde phase en mars 2006. Les sociétés d'État à participation directe ont été soumises de droit au contrôle d'accompagnement dès l'entrée en vigueur de la loi. Les contrôles conventionnel et contractuel s'exercent dans le cadre des contrats signés respectivement entre l'État et l'organisme concerné conformément aux dispositions légales et réglementaires et entre l'entreprise mère et sa filiale.

Ainsi, L'ensemble de ces éléments d'information sur la réforme du contrôle du secteur public, encore disparates mais fort bien présentés dans le rapport annuel sur les EEP ( les Etablissements et entreprises publiques) joint au projet de loi de finances déposé au Parlement, pourraient, en première analyse, laisser penser que le risque d'affaiblissement de l'environnement de contrôle s'est accru, notamment pour les organismes qui n'ont pas encore mis en œuvre toutes les mesures compensatoires prévues (comité d'audit, instruments de gestion...). Ce risque n'est pas apparu à l'analyse objective de la situation. Par contre, il semble acquis désormais que cette réforme a eu pour effet, d'une part de moderniser la gestion des établissements qui d'ores et déjà appliquent ces mesures et d'en moderniser les modalités de contrôle interne et, d'autre part de généraliser le contrôle à toute la sphère du secteur public, ce qui n'était pas le cas auparavant. En tout état de cause, la réforme ne saurait en aucun cas conduire à une perte définitive de contrôle du secteur dès lors que l'État dispose toujours au moyen de son représentant d'un droit de regard sur toutes les activités et tous les comptes des entités du secteur public, quel que soit leur statut et quel que soit le type de contrôle a priori ou a posteriori qui s'y applique.

La loi réformant le contrôle financier de l'État, entrée en vigueur il y a tout juste trois ans, est une loi ambitieuse et qui va dans le sens des meilleures pratiques reconnues au plan international. Les efforts réels des autorités pour mettre à disposition des entités concernées les procédures nouvelles et tous les instruments pédagogiques n'ont cependant pas encore été suivis de tous les effets qu'on pouvait en attendre. Il semble cependant que la voie soit tracée et qu'un délai plus long que prévu soit nécessaire.

Ces délais justifient que la Direction des Entreprises Publiques et de Privatisation (DEPP) veille au respect des dispositions de la loi 69-00 pour la mise en place des instruments de gestion au sein des sociétés d'État à participation directe et du comité d'audit au sein des établissements publics et des sociétés d'État à participation directe. De même, le projet de décret fixant les formes de publication par les établissements publics au bulletin officiel de leurs comptes annuels, doit être adopté par le Gouvernement afin de permettre la publication des comptes annuels des établissements publics au bulletin officiel.

46


Le processus d'élargissement du contrôle d'accompagnement, à de nouveaux établissements publics, ne fait pas l'objet d'un calendrier prédéfini de la part de la DEPP. Cette démarche s'inscrit dans une approche pragmatique qui tient compte des capacités et progrès enregistrés par les établissements publics et de la capitalisation de l'expérience acquise auprès des huit établissements publics pilotes.

Section 2 : Etat des lieux des contrôles mis en place au Maroc

En matière d’audit des entreprises publiques, l’amélioration des systèmes de contrôle et d’audit passe par le renforcement du rôle des organes de contrôle qui sont l’Inspection Générale des Finances et la Cour des Comptes.

Le Maroc qui suit les recommandations internationales développe pour sa part le programme des nations unis qui stipule que dans le secteur public, le contrôle à postériorité doit théoriquement se faire dans le cadre de la loi et des règlements, par les inspections générales des finances ou les inspecteurs généraux des ministères ainsi que la cour des comptes.

D’autre part, le Maroc renforce autrement les systèmes de contrôle en se conformant aux normes prévues par les plans d’action proposées par l’union européenne, qui rentrent dans la perspective d’accord d’association.

1- Le contrôle financier9

La nouvelle réforme du contrôle financier de l’Etat sur les entreprises publiques est régie par la loi 69-00 entrée en vigueur en 2004. Elle rejoint les normes et standards internationaux et met l’accent sur les recommandations visant notamment la mise en œuvre des instruments de gestion, au sein des établissements publics. Elle a pour objectif :

-D’assurer le suivi régulier de la gestion des organismes soumis au contrôle financier ;

-De veiller à la régularité de leurs opérations économiques et financières au regard des dispositions légales, réglementaires et statutaires qui leurs sont applicables ;

-D’apprécier la qualité de leur gestion, leurs performances économiques et financières ainsi que la conformité de leur gestion aux missions et aux objectifs qui leur sont assignés ;

9 Dahir N° 1-59-271 - 14 Avril 1960 instituant le cadre légal du contrôle financier de l'Etat sur les entreprises publiques

47


-D’œuvrer à l’amélioration de leur systèmes d’information et de gestion ;

-De centraliser et analyser les informations relatives au portefeuille de l’Etat et à ses performances économiques et financières.

Le contrôle financier qui compte parmi ses attributs- comme l’audit interne- l’amélioration des systèmes d’information et de gestion, sera différencié selon la performance, la qualité d’organisation et de gestion de l’organisme public.

Pour l’entreprise ayant un contrôle interne fiable et ne présentant pas de risque financier majeur, le contrôle sera modulé et orienté vers l’appréciation, à postériorité, des performances et des procédures.

L’objectif est d’accorder une plus grande souplesse à la gestion des entreprises et organismes publics ayant un caractère industriel et commercial. Ceci par l’adaptation du mode de contrôle qui sera modulé selon le type d’organisme, la qualité de son management, de son système d’information, de gestion en distinguant le contrôle préalable, le contrôle d’accompagnement et le contrôle conventionnel.

2- L’inspection Générale des FinancesLa réalisation du contrôle de la dépense publique, doit tenir compte de l'évolution des rôles des acteurs de la dépense publique et de l'articulation entre les contrôles internes, au niveau des services ordonnateurs et les contrôles externes, par les inspections générales des ministères et aussi du contrôle à posteriori exercé par l'inspection générale des finances -IGF- et la cour des comptes.L'inspection générale des finances est un corps supérieur d'inspection des finances publiques qui a été créé par le texte de loi du 14 avril 1960. Depuis, l'IGF a opté pour une nouvelle vision stratégique de son rôle et une rénovation de sa démarche de contrôle axée sur l'évaluation des risques, du degré de maîtrise de la gestion et de la capacité d'optimisation de la dépense publique, dans le sens d'une production de services collectifs priorisés, de meilleure qualité et au moindre coût.L'IGF se démarque ainsi de son rôle traditionnel d'inspection orienté davantage vers la régularité et la conformité. En effet, elle a mis en place un dispositif de normes d'audit comptable et financier conformes aux standards internationaux du secteur privé, en tenant compte des normes d'audit de performance et un référentiel consacré à l'efficacité et la fiabilité du système d'information mis en place, à l'appréciation des risques inhérents au système et aux pratiques de gestion.

En matière de contrôle, d'audit et d'évaluation, le rôle de l'IGF est nettement prépondérant :

- L'IGF est au centre du dispositif d'audit interne de la dépense publique.Elle joue également un rôle dans le soutien, l'orientation et la coordinationde missions d'audit avec les Inspections Générales des Ministères.

- L’IGF effectue les vérifications des services de caisse et de comptabilité, deniers et matières, des comptables publics et de façon générale, des agents de l'Etat et des collectivités locales ;

- Elle assure le contrôle de la gestion des comptables et de la régularité des opérations enregistrées dans les comptes des ordonnateurs de recettes et de dépenses publiques et de tous administrateurs ;

48


- Le contrôle de l'IGF est un contrôle à posteriori sur la gestion comptable etfinancière des administrations publiques, des collectivités locales et desétablissements et entreprises publics.

- Les conclusions des missions de l'IGF constituent un ensemble de rapports adressés au ministre des finances ou au ministre sollicitant l'intervention de l'IGF, seules autorités compétentes pour donner ou non suite aux recommandations contenues dans ces rapports.

2-1 Les spécificités de l'intervention de l'IGF :

Un contrôle programmé :

Les démarches de cette intervention sont tracées par l'instruction relative aux activités de l'IGF en matière de contrôle. Ainsi, elles sont prescrites dans le cadre d'un processus annuel soumis à l'approbation du ministre des finances. Ce programme peut faire l'objet de modifications pour tenir compte des demandes d'intervention adressées à l'IGF, aussi bien par les différentes directions du ministère que par les membres du gouvernement.

A cet effet, les inspecteurs des finances interviennent seuls ou en équipe sous la responsabilité d'un chef de mission ou en plusieurs équipes sous la responsabilité d'un coordinateur.

Un contrôle indépendant et étendu

L'IGF dépend seulement du ministère des finances. Conformément au premier article du dahir précité qui stipule « les inspecteurs des finances sont placés sous l'autorité d'un inspecteur général des finances qui relève directement du ministre ». Son rattachement direct au ministre des finances lui procure une certaine indépendance, la met à l'abri de toute pression et lui attribue son caractère suprême d'organe de contrôle dont le champ d'application de ses compétences et de ses attributions paraît couvrir une dimension générale, large et polyvalente de nature à répondre aux besoins et attentes de contrôle de gestion des finances publiques, et de surcroît à compléter, le cas échéant, les contrôles organisés dépendants des administrations et services publics.

Ces facteurs font de l'IGF une source inépuisable d'informations pour le ministre des finances. En effet, le contrôle sur place et sur pièce qu'elle assure et d'une façon inopinée, ainsi que les enquêtes et les investigations auxquelles elle procède sur tout le territoire national, lui permet de collecter l’information.

2-2 Les attributions de l’IGF : 10

Contrôle des ordonnateurs et comptables :

Par ailleurs, les articles 60, 61, 62, 63, 131 et 132 du Règlement Général sur la Comptabilité Publique (RGCP) soumettent la gestion des ordonnateurs et comptables au contrôle de l'IGF. A cet effet, l'article 61 dispose que « le contrôle de la gestion des ordonnateurs est assuré, selon les règles propres à chaque organisme public, par les corps et commissions de contrôle compétents et par le ministre des finances ». Alors que l'article 62 soumet la gestion des comptables à un contrôle sur place et sur pièce par l'inspection générale. L'article 63 a été plus

10 Le Règlement Général sur la Comptabilité Publique

49


explicite en ce qui concerne le contrôle des ordonnateurs par l'IGF, en stipulant : « le ministre des finances exerce les contrôles prévus aux deux articles précédents par l'intermédiaire de l'inspection générale des finances et des autres corps, agents ou services habilités à cet effet par des textes particuliers ».

Vu que les ordonnateurs et les comptables s'investissent pleinement dans le processus d'un marché de l'Etat, les premiers dans la phase administrative (engagement, liquidation et ordonnancement), et les derniers dans la phase comptable ou de paiement qui entraîne la sortie des fonds de la caisse de l'Etat, par conséquent, l'IGF sera très impliquée à l'occasion du contrôle de la gestion des ordonnateurs et des comptables, dans le contrôle des marchés de l'Etat. Ce contrôle prendra divers aspects, il sera un contrôle de régularité budgétaire et comptable et un contrôle d'opportunité.

En parallèle avec le contrôle classique, l'IGF a pris plus d'élan en s'orientant vers l'audit. En corrélation avec notre thème, l'IGF audite les marchés lancés par le ministère des finances dont le montant est supérieur à 5.000.000 DH, et contribue à auditer les projets financés par les bailleurs de fonds, tels que la Banque mondiale, l'Union européenne...etc.

L'audit des projets financés par les bailleurs de fonds :

A partir de 1985, l'IGF a commencé l'audit des projets financés par les organismes financiers internationaux, notamment la BIRD et la BAD, et ce à la demande expresse des deux parties cocontractantes des accords de prêt : la partie marocaine et le bailleur de fonds.

Le rythme d'audit s'est intensifié à partir de 1990 au point d'atteindre 40 audits par an en moyenne. Ce volume va en s'amplifiant avec le programme de restructuration économique et sociale financé pour un prêt de 250 millions de dollars, par la banque mondiale et pour 348.755.000 dirhams par la banque africaine de développement.

Par ailleurs, il y a lieu de souligner que la pratique de l'audit a introduit une nouvelle dimension dans les interventions de l'IGF. On parle dès lors de « la certification des comptes audités ».

Enfin, à la clôture des prêts, l'IGF procède à la post-évaluation des projets audités. C'est une appréciation de la réalisation des objectifs assignés aux projets, du rythme de réalisation des programmes et des retards constatés, évaluation des coûts et des surcoûts, de l'impact direct et indirect sur le secteur. Bref, c'est une sorte d'audit de la politique sectorielle publique.

3- La cour des comptes11

Le contrôle supérieur des finances publiques est dicté par les exigences de la bonne gouvernance, de la transparence et de la démocratie. C'est ainsi que le Maroc, à l'instar de tous les Etats modernes, à ériger la Cour des comptes en institution constitutionnelle, en lui confiant la mission de contrôle d'exécution des lois de finances, d'assistance au Parlement et au Gouvernement dans les

11 La loi 62-99 formant code des juridictions financières

50


domaines relevant de sa compétence et de rendre compte à sa Majesté le Roi, que Dieu l'Assiste, de l'ensemble de ses activités.

De même, et en vue de promouvoir la politique de décentralisation, la Constitution a institué des Cours régionales des comptes qu'elle a investi des missions du contrôle des comptes et de la gestion des collectivités locales et de leurs groupements.

Les missions dévolues aux Juridictions Financières ont été, ainsi, mieux définies dans l'objectif d'assurer l'exercice d'un contrôle intégré et équilibré sur tous les intervenants dans les différents actes de gestion des finances publiques, à savoir: l'ordonnateur, le contrôleur, et le comptable public.

Il est à signaler qu'à travers ces vérifications, le contrôle exercé par les Juridictions Financières n'est plus focalisé essentiellement, comme par le passé, sur la régularité et la conformité des différents actes de gestion, mais qu'il embrasse dorénavant tous les autres aspects qui leur sont liés, En outre, ce contrôle privilégie l'approche visant l'appréciation des résultats atteints par les entités publiques contrôlées en terme d'efficacité, d'économie, d'efficience, d'environnement et d'éthique (5E).

Tout en poursuivant son objectif fondamental visant à participer activement à la rationalisation et l'optimisation de la gestion des deniers publics, dans un contexte économique et financier en quête de la performance tant à l'échelon national qu'international, ce contrôle s'est élargi à de nouvelles missions portant notamment sur le contrôle des dépenses des partis politiques, le financement des campagnes électorales et la déclaration obligatoire de patrimoine. Cet élargissement va sans aucun doute renforcer la transparence et la moralisation de la vie publique.

En fait, la cour des comptes du MAROC a été créée en 1979 en vertu de la loi 12-79, puis érigée en Institution constitutionnelle chargée du contrôle supérieur des finances publiques conformément aux dispositions de la constitution révisée du royaume du Maroc en 1996 ayant pour mission de participer activement à la rationalisation de la gestion des deniers publics et d’exercer pleinement son rôle entant qu’organe supérieur de contrôle des finances publiques.

En effet, il convient de préciser que ces dispositions constitutionnelles ont été matérialisées par la promulgation en juin 2002 de la loi 62-99 formant code de juridictions financières.

Par ailleurs, il a été prévu également la création des cours régionales des comptes et ce par référence à l’article 98 de la constitution. Cette mesure traduit la volonté du législateur de renforcer le processus de la déconcentration et de la décentralisation ainsi que l’amélioration de la gestion des collectivités locales.

Dans la limite de son ressort, la Cour régionale :

- Juge les comptes et contrôle la gestion des collectivités locales, de leurs groupements et des établissements publics relevant de la tutelle de ces collectivités et groupements ;

51


- Exerce également une fonction juridictionnelle en matière de discipline budgétaire et financière à l'égard de tout responsable, tout fonctionnaire ou agent :

Des collectivités locales et de leurs groupements, Des établissements publics relevant de la tutelle de ces collectivités et groupements, De toutes sociétés ou entreprises dans lesquelles des collectivités locales ou des groupements possèdent séparément ou conjointement, directement ou indirectement une participation majoritaire au capital ou un pouvoir prépondérant de décision. Le wali et le gouverneur sont soumis à la juridiction de la Cour régionale lorsqu'ils agissent en tant qu'ordonnateur d'une collectivité locale ou d'un groupement.

- Contrôle la gestion des entreprises concessionnaires ou gérantes d'un service public local et des sociétés et entreprises dans lesquelles des collectivités locales, des groupements, des établissements publics relevant de la tutelle de ces collectivités et groupements possèdent, séparément ou conjointement, directement ou indirectement, une participation majoritaire au capital ou un pouvoir prépondérant de décision ;

- Contrôle également l'emploi des fonds publics reçus par des entreprises, autres que celles citées ci-dessus, des associations, ou tous autres organismes bénéficiant d'une participation au capital ou d'un concours financier quelle que soit sa forme de la part d'une collectivité locale, d'un groupement ou de tout autre organisme soumis au contrôle de la Cour régionale.

- Concourt au contrôle des actes relatifs à l’exécution des budgets des collectivités locales et de leurs groupements. A ce niveau, le ministre de l’intérieur, le wali ou le gouverneur, dans la limite des compétences qui leur sont déléguées, conformément à la législation et à la réglementation en vigueur, peut soumettre à la Cour régionale, toute question se rapportant aux actes relatifs à l’exécution du budget d’une collectivité locale ou d’un groupement.

Par ailleurs, s’agissant des autres missions, les compétences de la cour et des cours régionales s’étendront à l’ensemble des intervenants dans le processus de la dépense et de la recette publique, à savoir : l’ordonnateur, le contrôleur et le comptable, les organismes de prévoyance sociale, les associations faisant appel à la générosité publique ainsi qu’à l’évaluation des projets publics.

Ces contrôles sont ordonnés et regroupés, selon la nature des justiciables de la cour, en trois catégories :

- Un contrôle intégral sur la gestion des services de l’état, des collectivités locales et de leurs groupements ainsi que sur les autres organismes dans lesquels l’Etat ou des organismes publics possèdent une participation majoritaire au capital ou un pouvoir prépondérant de décision ;

- Un contrôle sur l’emploi des fonds publics gérés par des organismes subventionnés ou à faible participation publique ;

52


- Un contrôle sur l’emploi des fonds collectés par les associations faisant appel à la générosité publique.

En somme, on peut affirmer que les missions dévolues sont mieux définies et mieux articulées dans l’objectif d’assurer l’exercice d’un contrôle intégré, d’instaurer un meilleur équilibre des responsabilités des justiciables et d’aboutir en fin de compte à un régime de sanctions et de poursuite plus équitable envers les justiciables.

Ainsi, la Cour des comptes exerce les compétences suivantes :

Vérification et jugement des comptes :

La Cour vérifie les comptes des services de l'Etat ainsi que ceux des établissements publics et des entreprises dont le capital est souscrit exclusivement par l'Etat ou des établissements publics ou conjointement par l'Etat, des établissements publics et des collectivités locales, lorsque ces organismes sont dotés d’un comptable public.Les comptables publics de ces organismes sont tenus de produire annuellement à la Cour, les comptes ou les situations comptables dans les formes prévues par la réglementation en vigueur.La Cour des Comptes statue sur le compte ou la situation comptable par un arrêt provisoire puis par un arrêt définitif.

Déclaration et jugement de la gestion de fait :

Outre sa compétence en matière d’apurement et de jugement des comptes, la Cour des comptes exerce une fonction juridictionnelle à l’égard de toute personne qui s’immisce sans avoir la qualité de comptable public dans la gestion des deniers publics soit par fraude ou par ignorance et qui devient ainsi comptable de fait.

Discipline budgétaire et financière :

La Cour exerce une fonction juridictionnelle en matière de discipline budgétaire et financière à l’égard de tout responsable, de tout fonctionnaire ou agent de l’un des organismes soumis au contrôle de la Cour, chacun dans la limite des compétences qui lui sont dévolues, qui commet l’une des infractions prévues par le code des juridictions financières. Ces derniers sont passibles de sanctions.

Contrôle de la gestion et de l’emploi des fonds :

- Contrôle de la gestion :

La Cour contrôle la gestion des services et organismes publics qui entrent dans la sphère de ses compétences; afin d’en apprécier la qualité et de formuler, éventuellement, des suggestions sur les moyens susceptibles d’en améliorer les méthodes et d’en accroître l’efficacité et le rendement. Le contrôle de la Cour porte sur tous les aspects de la gestion.

53


Elle peut effectuer des missions d’évaluation des projets publics afin d’établir sur la base des réalisations, dans quelle mesure les objectifs assignés à chaque projet ont été atteints, au regard des moyens mis en œuvre.

- Contrôle de l'emploi des fonds publics :

La Cour contrôle également l'emploi des fonds publics reçus par les entreprises, ou par les associations, ou tous autres organismes bénéficiant d’une participation au capital ou d’un concours, quelque soit sa forme de la part de l’Etat, d’un établissement public ou de l’un des autres organismes soumis au contrôle de la Cour.

- Le contrôle de l'emploi des fonds collectés par appel à la générosité publique.

La Cour peut aussi contrôler, à la requête du Premier ministre, les comptes relatifs à l’emploi des ressources collectées par les associations qui font appel à la générosité publique.

.

CHAPITRE III:LES PREALABLES A LA CREATION D’UNE

CELLULE D’AUDIT INTERNE

La croissance et la complexification de l'entreprise sont les deux raisons principalement avancées pour décider de la création d'un service d'audit interne. Mais des événements extérieurs jouent parfois un rôle de catalyseur dans la prise de décision, tels une évolution de la législation : la loi 69-00 pour les entreprises publiques au Maroc, loi de sécurité financière en France, loi Sarbanes-Oxley au Etats-Unis...

La fonction d'audit interne qui n'est pas généralisée de façon systématique à toutes les composantes des secteurs publics au Maroc est relativement récente.

54


Dans certains ministères, les inspections générales, par exemple, ont développé cette activité parallèlement à celle se rapportant à l'inspection pure. Le ministère de l'Equipement a institué une cellule d'audit interne, rattachée au secrétaire général qui prend en charge toutes les activités d'audit. Le département de l'Habitat a institué un comité permanent de l'audit dont le secrétariat est assuré par l'inspection générale. D'autres départements, tel celui de l'Agriculture, disposent de divisions similaires dénommées d'évaluation des programmes et projets. L'agence nationale de la conservation foncière, du cadastre et de la cartographie (ANCFCC) a récemment mis en place un département d'audit interne directement rattaché au directeur général.

Ainsi, un grand nombre d'entreprises publiques a décidé la création d'une cellule d'audit interne à la suite des initiatives de 1993 des pouvoirs publics (Lettre Royale, circulaire du Premier Ministre, décision DPE 113/70/16), et en 2004 de l'entrée en vigueur de la loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises publiques et les autres organismes. Cette loi a constitué le vrai accélérateur de l'audit interne.

Sur la conception même de l'audit interne, tout se fait de manière progressive, c'est-à-dire commencer par fiabiliser les procédures, le contrôle interne, puis progressivement, lorsque la fiabilité des systèmes est raisonnablement assurée, passer à un échelon supérieur, à des sujets qui touchent aux programmes et à la bonne gestion financière.

Section 1 : les préalables à l’introduction de l’audit interne dans l’entreprise publique

La mise en place d’une entité d’audit interne dans une entreprise publique comme privée ne peut se faire par simple décision hiérarchique et sans étude préalable des conditions optimales de sa réussite.

Dans certains cas des services d’audit ont échoué par manque de préparation. Celle-ci ne concerne pas seulement la sélection et la formation des auditeurs, mais d’abord, la création d’une ambiance réceptive et accueillante dans l’établissement.

1- préalable psychologique :12

La création d’une entité d’audit interne est nécessairement une source de coûts additionnels dans les frais généraux. En espérant que cette dépense soit justifiée, à terme, par une augmentation de l’efficacité et de la productivité, par la réduction des gâchis, des pertes, des vols et des tâches inutiles, il est évident que les frais seront engagés avant que les gains ne soient réalisés.

12 RENARD, J et CHAPLAIN, J-M (2006) «Théorie et pratique de l'audit interne », 6ème édition Editions d'organisation.

55


La rentabilité d’un service d’audit interne n’est ni immédiate ni facilement mesurable, celui-ci est donc particulièrement vulnérable, surtout au début.

La direction générale ou le conseil d’administration doit, donc, entreprendre les démarches nécessaires pour sensibiliser le personnel du rôle crucial que peut jouer l’audit interne dans l’amélioration du fonctionnement et de la maîtrise des activités.

En effet, le principe de l’audit suppose que l’entreprise admet la remise en cause périodique de ce qu’elle fait. C’est en cela que l’audit interne est un outil de compétitivité. Or, il n’est pas toujours facile, ni agréable, de se remettre en question, de se rendre compte que tout ce qui a été entrepris sous notre propre hiérarchie n’a pas toujours respecté les règles, la rigueur, les normes, les procédures que nous avons mis en place et les principes que nous avons voulu faire respecter.

Il est rare que les erreurs, les omissions, soient volontaires ; une vaste panoplie de raisons peut expliquer pourquoi, dans n’importe quelle entreprise les omissions et les erreurs aient pu se produire. Il n’a jamais existé un système parfait et sans failles au contraire.

Le message à faire passer est que l’objectif principal de l’audit n’est pas de critiquer les individus, mais seulement de mettre en évidence les dysfonctionnements des systèmes et des structures opérationnels. A titre de comparaison : l’intervention de l’audit correspond, au niveau mécanique, à l’entretien et à la révision d’un équipement, d’un outillage, sans quoi on n’atteindrait jamais le rendement ni la précision qui ont été fixés objectivement.

C’est avec cette objectivité semblable qu’on fixe les buts des méthodes, procédures et interrelations administratives et opérationnelles. Aussi convient –il d’en assurer le bon fonctionnement.On s’attend que l’auditeur constate les dysfonctionnements, preuves, et analyses à l’appui, formule des recommandations pour améliorer la situation. Mais, il ne lui incombe pas de prendre des décisions à la place de la hiérarchie : elle garde tout son pouvoir de décision et doit être disposée à accepter l’aide de l’auditeur pour confirmer la qualité de ses décisions. Rien de plus.

La création d’un service d’audit interne doit, donc, être l’aboutissement d’une volonté commune de faire face aux problèmes de fond. Sa mise en place exige donc la consultation et l’approbation de toutes les directions concernées. Un consensus immédiat étant rarement obtenu, les contrôles des auditeurs internes ne peuvent s’étendre que progressivement à l’ensemble de l’entreprise. Cependant, il est essentiel à terme qu’aucune porte ne leur reste fermée.

La direction générale doit envisager la mission des auditeurs dans une optique résolument constructive. Il ne s’agit pas, en effet, de sanctionner à posteriori : il est trop facile de critiquer après coup. Il faut au contraire minimiser les risques d’erreurs dans l’avenir. La direction la plus hostile aux contrôles de l’audit interne ne saurait négliger longtemps les compétences mises ainsi gratuitement à sa disposition. C’est le caractère positif de ses recommandations qui fait la réputation d’un service d’audit interne.

56


Ce préalable psychologique peut être obtenu par des réunions préparatoires de toutes les directions concernées. Elles devraient aboutir à une définition du poste d’audit interne et au recrutement des auditeurs.

2- Définition des périmètres d’intervention d’audit 13

2-1 Identification des attentes et objectifs de la mission d’audit interne

La valeur que l'activité de l'auditeur doit créer est le résultat produit par l'entreprise pour répondre aux besoins et aux attentes des parties prenantes. L'étude des besoins et attentes des parties intéressées est préliminaire et essentielle à l'auditeur interne qui doit s'appuyer sur elle avant toute planification. Cette étude qui relève de la direction générale conduit chaque partie prenante à comparer sa propre perception des apports de la valeur de l'entreprise avec ses besoins et ses attentes. C'est pourquoi il est nécessaire de :

- Identifier les besoins, les attentes et le niveau de satisfaction attendus dela part des parties prenantes ;

- Répondre aux besoins et attentes de façon juste et équitable ;- Evaluer le niveau de satisfaction réellement perçu ;- Apprécier le degré de la confiance des parties prenantes de l'organisation.

Il appartient de fait à chaque organisation de bâtir, en fonction de ces éléments, le département d'audit interne le mieux à même de satisfaire ses attentes.

Parties AttentesDirection générale et comité d'audit

- Evaluation et reporting des déficiences en matière de contrôle interne et des risques clés opérationnels. - Recommandations sur l'amélioration des contrôles.

Direction financière

- Fiabilité de l'information financière. - Séparation des pouvoirs entre ordonnateur et comptable.- Garantir la sécurité des actifs.- Couverture des risques financiers.

13 RENARD, J et CHAPLAIN, J-M (2006) «Théorie et pratique de l'audit interne », 6ème édition Editions d'organisation.

57


Les audités, compris les tiers partenaires

- Efficacité et efficience des processus. - Appréciation de la performance.- Souplesse dans l'intervention. - Transparence dans les conclusions. - Réalisation régulière de contrôle de pertinence du bon fonctionnement. - Mieux remplir leurs responsabilités.

Les organes de contrôle (Cour des comptes, commissaire aux comptes, IGF, contrôleur d'Etat, etc.)

- Sécurisation juridique, conformité (lois et règlementations). - Fiabilité de l'information financière - Garantir la sécurité des actifs. - Couverture des risques. - Maintenir une correcte séparation des tâches et responsabilités.

L'activité de l'audit interne, dans sa définition, est une activité créatrice de valeur ajoutée qui apporte à la direction générale et au comité d'audit un éclairage sur les risques et les systèmes de contrôle interne (mission d'assurance) et à l'organisation une réelle contribution à la gouvernance d'entreprise (mission de conseil).

Le véritable enjeu de l'auditeur interne s'inscrit dans la stratégie de l'entreprise, et donc de la direction générale, pour garantir la création et la protection de valeur et satisfaire les parties intéressées préalablement identifiées. La direction générale attend un diagnostic précis et des recommandations pragmatiques permettant de faire évoluer l'entreprise de manière tangible.

Création de valeur :

Contribution à la valeur future, amélioration des performances opérationnelles et évaluation du futur processus de gestion des risques. L'auditeur interne vise ainsi à accroître les performances. Il cherche à ce que l'organisation obtienne dans le futur, des performances meilleures, plus qu'elle n'en a dans le présent ou qu'elle n'en a eu dans le passé.

Protection de valeur :

Évaluation des risques actuels de l'entité. La mission est reprise dans la Charte d'audit interne qui doit être une pratique prédominante dans toute entreprise. Elle formalise le rôle et le fonctionnement de l'audit interne et définit son périmètre d'audit. Cette charte est validée par les plus hautes instances de l'entreprise et sa publication donne lieu à une communication plus large sur la création de la cellule d'audit interne.

La charte d'audit de l'entreprise publique définit clairement sa mission et son champ d'intervention, son autorité, son rôle, ses responsabilités et ses relations avec la direction générale et avec les autres corps de contrôle.

58


2-2 Etablissement du plan stratégique

Le plan de développement stratégique propose dans le temps une méthodologie de travail à adopter et un calendrier de mise en place de la cellule et définit enfin le plan de communication destiné aux parties prenantes.

Les objectifs attendus de l'audit interne dans le temps :

L'objectif consiste à déterminer les types de missions et leur nombre qui seront conduites par la fonction audit interne. Généralement l'audit interne se consacre plus à des missions d'audit du contrôle interne (d'assurance) que celle du conseil.

Missions d'assuranceLa grande proportion des missions réalisées par l'audit interne sont des missions tournées vers l'assurance. Ces missions concernent, par ordre de priorité et d'importance :

- L'évaluation du contrôle interne sur des processus opérationnels.- L'évaluation du contrôle interne sur des processus financiers et comptables.- L'audit de conformité aux lois et réglementations.- L'évaluation des processus de management des risques.- L'audit et fraude...

Missions de conseil

En matière d'activité de conseil, l'audit interne réalise des missions classiques tournées principalement sur le conseil en organisation, sur la participation à des projets à durée déterminée ou à des comités permanents et sur les actions de formation au contrôle interne.

L'organisation de la fonction d'audit interne dans le temps

- Sensibiliser les managers et les gestionnaires responsables à l'audit, lesformer aux règles du contrôle interne et en particulier aux systèmes demaîtrise des risques.

- Recenser et évaluer les besoins en auditeurs, identifier les profils poureffectuer les missions définies dans le temps imparti, avec la fréquencesouhaitée.

- Convenir avec les auditeurs les objectifs de progression personnelle :maîtrise de la méthodologie, tâches formatrices, contribution aux objectifsde service.

- Planifier les besoins dans un calendrier.

Le plan de communication aux parties prenantes

Le plan vise l'élaboration d'un plan de communication rigoureux, mis en œuvre par le responsable d'audit, dont l'objectif est de relayer la stratégie de l'entreprise en matière d'audit interne, définir la fonction pour susciter l'adhésion du personnel, créer du lien et développer une culture commune d'audit.

59


L'organisation a besoin de rendre régulièrement compte à ses parties prenantes de ses politiques de gestion des risques, leur efficacité du point de vue de ses objectifs et améliore du même coup la performance de la fonction, il la fait mieux comprendre et mieux connaître.

SECTION 2 : Le plan d'audit et l'organisationdes moyens

1- Evaluation des risques et plan d'audit14

La préparation du plan d'audit résulte de la charte d'audit interne, de l'analyse des risques, des attentes du management et du niveau de maturité en matière de contrôle interne. Elle prend en compte la méthodologie d'audit pour la durée des missions et les compétences du service d'audit.

Le plan d'audit est construit en s'appuyant sur les demandes spécifiques de la direction et du comité d'audit, sur l'évolution particulière de l'organisation, sur les audits précédents, sur leur fréquence. Ce plan comprend les thèmes et objectifs des missions, leur durée, les dates d'intervention, les compétences et ressources.

La tendance actuelle est au plan pluriannuel qui n'est pas élaboré en une seule fois, une mise à jour est nécessaire pour successivement le compléter et l'enrichir. Le plan pluriannuel couvre tous les services susceptibles d'être audités. Ce plan repose aussi sur l'analyse de risque qui va faire varier la fréquence des missions d'audit interne : par exemple, tous les ans pour les services les plus exposés, tous les deux ans pour d'autres et tous les trois ans pour les risques acceptés.

L'élaboration et l'évaluation de la cartographie des risques protège le patrimoine de l'organisation et crée de la valeur pour celle-ci et ses parties prenantes. Les risques sont les éléments clés et les fondements du plan d'audit. L'audit interne dispose ainsi d'un instrument de mesure, d'une technique permettant de porter un jugement sur l'importance du risque dans la zone auditée

L'évaluation permet à l'audit interne d'identifier, mesurer les profils de risques existant au sein de l'organisation, et de les hiérarchiser, compte tenu de chaque entité et des différentes activités. Elle permet donc d'élaborer le plan d'audit en fonction des zones de risques identifiées et de les inscrire en priorité dans le champ de révision en fonction du degré plus ou moins élevé du risque déterminé. L'autre objectif de la cartographie des risques est de déterminer la fréquence des interventions.

2- Etablissement des budgets à moyen terme

Construction à partir des besoins

Le premier exercice budgétaire est relativement délicat dans la mesure où il est difficile de le prévoir de façon précise. Le plan d'audit et la cartographie des

14 J. BECOUR et H.BOUQUIN, (1996) « audit opérationnel efficacité, efficience et sécurité », Economica, PARIS

60


risques permettent de donner cette vision à court et moyen terme pour établir un budget annuel ou sur deux ou trois ans, avec un plan d'action associé. Il est élaboré sur la base des besoins exprimés par les responsables des différents services et sur l'analyse des attentes des parties prenantes. Une fois la liste des missions établie, les chefs de service sont à nouveau consultés avant de fixer les budgets appropriés soumis à l'approbation de la direction générale, au comité d'audit ou à la direction à laquelle est rattaché le service d'audit interne.

Prise en compte de tous les facteurs

Le budget d'un service d'audit interne comporte au préalable un nombre limité de lignes de dépenses, mais doit prendre en compte tous les facteurs contenus dans le plan d'audit pour son établissement. Il prend en compte principalement :

- Les effectifs et le type de profils recherchés ;- Les frais de formations et de perfectionnement ;- Les frais d'assistance et de conseil, s'il est nécessaire de faire appel à

des cabinets ou à l'intervention ponctuelle de personnes spécialistes ;- Les coûts relatifs à la logistique et à l'équipement utilisé.

Le budget nécessaire au fonctionnement du département d'audit interne, à périmètre constant, est généralement stable et se détermine à partir du plan d'audit pour pouvoir justifier les moyens réellement engagés.

Après la première année de mise en place de la fonction, l'audit interne donnera des informations importantes qui vont aider à l'appréciation réelle de budgets sur plusieurs exercices. Ces budgets sont définis en instaurant un dialogue de gestion honnête et équitable avec les gestionnaires, en les rendant aussi autonomes, libres et responsables que possible. Ne pas oublier que les budgets ont une incidence sur la capacité de l'auditeur de s'acquitter de ses fonctions.

Procéder à un arbitrage

La programmation des missions par rapport à l'optimisation des moyens et aux restrictions budgétaires, les écarts et inadéquations flagrantes entre les objectifs et les moyens pour les réaliser, ainsi que les conséquences et les risques encourus de ces écarts peuvent susciter la préparation des arbitrages. Ces réunions d'arbitrage au niveau des missions retenues portent sur les éléments de performance des budgets alloués à chaque poste.

Le processus d'arbitrage permet d'intégrer les déclinaisons formulées, de fixer les allocations définitives des ressources et de les communiquer aux acteurs concernés.

3- Identification des ressources et des compétences

En matière de conduite des missions, les auditeurs internes doivent faire preuve d'excellence, aller à l'essentiel, ne pas se contenter de pointer un questionnaire de contrôle interne, mais prendre du recul par rapport à ce qu'ils constatent, afin d'en tirer des enseignements utiles, sources de valeur ajoutée pour toute l'organisation.

61


Le responsable de l'audit interne doit bien identifier les profils nécessaires adaptés au bon fonctionnement du département sur la base de compétences avérées, des critères manifestes de sélection et d'auditeurs professionnels qui connaissent un ou plusieurs métiers de l'organisation, ainsi que les techniques, méthodologies, outils de l'audit interne et du contrôle interne. Ces auditeurs devraient être en mesure d'affirmer leur rôle et leurs responsabilités dans la gouvernance et démontrer par les missions qu'ils effectuent, qu'ils apportent dans leur domaine une véritable valeur ajoutée à l'organisation.

Le fait de bien choisir le responsable du service d’audit interne constitue un facteur primordial de réussite pour cette fonction au sein de l’entreprise. En effet, si la personne est mal appréciée par les dirigeants, les prestations de son équipe- aussi pertinentes qu’elles puissent être- risquent bien peu d’être appréciées à leur juste valeur, et la réserve envers le service d’audit pourrait rapidement dégénérer en conflit ouvert.

Quelles sont donc, les qualités requises chez un responsable du service d’audit interne ?

Elles sont de deux sortes : des qualités humaines et des compétences techniques

Qualités humaines :

L’idéal est de trouver une personne qui réponde au signalement suivant :

- La modestie : le responsable du service d’audit interne doit être conscient du fait qu’il intervient pour servir l’intérêt de l’entreprise ;

- Le respect : envers tous les membres du personnel de l’entreprise quels que soient leur grades, leurs qualités….. et leurs défauts ;

- Le sens de contact et de communication : il doit savoir expliquer et convaincre des objectifs de ses missions, des ses démarches et de son approche de problèmes ainsi que des propositions et suggestions qu’il formule pour éviter les erreurs de fonctionnement dans les activités auditées

- L’esprit pédagogique : il doit toujours agir avec la conviction que la fonction qu’il exerce évolue sans cesse et que seul un effort soutenu d’information et de formation, individuelles et collectives, permettront à son équipe et à lui-même de suivre le rythme de cette évolution.

- Le réalisme et le bon sens : il doit bien se rendre compte que les responsables et le personnel d’une entreprise ne peuvent pas prétendre à la perfection par les vertus d’une simple mission d’audit. Mais il doit garder la conviction qu’une mission bien accomplie et bien suivie peut générer des améliorations et perfectionnements significatifs.

- La rigueur et la méthode : le responsable d’un service d’audit doit savoir planifier, documenter et contrôler le travail de son équipe ;

62


- La curiosité et l’ouverture : il doit savoir écouter (comme le nom de sa fonction l’indique) pour bien comprendre le mode te les mécanismes de fonctionnement de chaque activité, de chaque fonction de l’entreprise ;

- L’esprit d’analyse et de synthèse : il doit être capable d’analyser globalement et dans le détail, les phénomènes qu’il étudie, percevoir les liens entre le tout et les parties et faire la part de l’essentiel et de l’accessoire.

Compétences techniques :

On ne peut pas s’attendre à trouver un homme qui soit qualifié danq tous les domaines d’activité d’une entreprise. Mais il vaut mieux alors chercher une personne ayant des compétences dans les domaines suivants :

- Comptabilité : il doit être à l’aise dans la lecture des documents et registres comptables et bien comprendre leur signification ;

- Finance : il doit être apte à analyser la situation financière d’une activité, sa responsabilité et son financement ;

- Contrôle de gestion : il doit pouvoir analyser et expliquer les écarts entre une prévision et une réalisation et comprendre l’importance opérationnelle des indicateurs clés d’une activité ou d’une fonction ;

- Administration : il lui faut maîtriser les interrelations entre les diverses fonctions d’une entreprise et les méthodes et techniques de communication entre elles ;

- Techniques d’audit : il doit connaître les techniques utilisées habituellement par l’auditeur, mais sans avoir nécessairement une expertise éprouvée dans l’utilisation de chacune d’elles. Il convient mieux qu’il sache que l’auditeur peut utiliser toutes les techniques qui existent pour obtenir les preuves dont il a besoin.

- Macro - économie : il doit connaître les influences internes et externes sur la réussite économique d’une entreprise

Pour effectuer le choix du responsable du service d’audit, la direction générale d’une entreprise donnera une pondération à chaque critère cité ci-dessus pour s’assurer que le profit de la personne sélectionnée est le plus adapté au style de management de l’entreprise.

SECTION 3 : La communication et les résultatsde l'audit interne

1- Etablissement d'un axe de communication

63


Il appartient au service de l'audit interne de développer les compétences de son équipe, comme il a l'obligation d'établir un plan et une stratégie de communication destinée à toute l'organisation.

Communication de la direction pour le lancement de la fonction

Au moment où la direction prend la décision de mettre en place la fonction d'audit interne, elle doit communiquer cette décision et sensibiliser l'ensemble de son personnel sur le rôle, la valeur ajoutée et la nécessité que cette fonction apporte à l'organisation. La charte de l'audit interne peut représenter le document central de cette information, parce qu'elle définit la mission, les pouvoirs et les responsabilités de cette nouvelle activité.

Communication de l'audit interne vers la direction générale :

La fonction d'audit interne a pour obligation de rendre compte aux organes délibérants de tous les actes et actions qu'elle entreprend et notamment des missions et des dysfonctionnements relatifs au dispositif de contrôle interne.

Appliquée à un processus donné, cette fonction applique une méthodologie pour aboutir à des rapports qui regroupent des conclusions et des recommandations qui permettent de construire positivement.

L'indispensable confiance qui doit exister entre la direction générale et l'audit interne implique l'absence d'autocensure dans la rédaction des rapports d'audit dont une note de synthèse est toujours communiquée à la direction. L'auditeur interne devra être totalement transparent vis-à-vis de la direction générale, du comité d'audit et des audités.

Communication de l'audit interne vers les audités :

La relation entre les auditeurs et les audités, doit se caractériser par une confiance mutuelle pour être créatrice de valeur ajoutée. Elle s'inscrit dans un esprit d'échange, de consensus et ne relève pas d'un quelconque rapport de force.

Les rapports des missions d'audit, à l'état de projet, sont transmis à la hiérarchie des audités qui prend connaissance de son contenu. Les réunions de validation auxquelles participent auditeurs et audités, permettent un accord sur le contenu des constats et des recommandations avant leur communication finale. Cette communication satisfait à un des principes essentiels de l'audit interne qui veut que tout gestionnaire audité doit pouvoir s'informer et recueillir les conclusions de l'intervention.

2- Les indicateurs de mesure des résultats15

Pour chaque mission, l'auditeur interne précise son champ, son objet, formalise complètement son programme de travail, fixe, suit les étapes de réalisation et rend compte de ses constatations dans un rapport, de façon exacte, objective, claire, concise, et constructive.

15 BARBIER, E. (2001) « Mieux piloter et mieux utiliser l'audit, l'apport de l'audit aux entreprises et aux organisations ».

64


Les instruments de mesure des résultats sont des indicateurs essentiels quantitatifs et qualitatifs qui reflètent les objectifs mesurables donnés à la fonction :

• Degré de réalisation du plan d'audit• Recommandations suivies• Satisfaction des audités• Délais d'émission des rapports

Degré de réalisation du plan d'audit

L'exécution et la performance du plan d'audit qui programme toutes les missions dans le temps et définit les moyens et ressources assignés doivent être mesurées pour s'assurer de la bonne exécution du plan. La mesure des résultats du plan permet d'identifier les missions reportées, celles réalisées et celles qui ont été engagées en dehors du plan. L'analyse de ces écarts permet de mettre en évidence la qualité du plan. Si celui-ci a été bien conçu, il ne devrait être modifié que de façon marginale. Il faut également s'assurer que les décisions prises et les actions mises en œuvre dans le plan ont été relevées lors des missions d'audit interne déjà effectuées, si celles-ci ont eu lieu.

La mesure de réalisation du plan d'audit permet d'indiquer d'autres résultats, comme le nombre de recommandations avec leur degré de priorité ou leur impact, le nombre de plans d'actions mis en œuvre, le respect des délais de mise en œuvre ... Elle identifie les difficultés qui ont pu avoir une influence sur le plan : retards, blocages, surcroît de travail sur un dossier, sous estimation du travail à effectuer...etc

Suivi des recommandations

L'acceptation des recommandations de l'audit interne et la mise en œuvre des plans d'actions pour remédier aux dysfonctionnements relevés est la finalité de toute mission d'audit. L'audit interne n'assume pas la responsabilité de la mise en œuvre des recommandations qu'il émet dans les délais validés. Cette responsabilité incombe aux audités. Néanmoins, et conformément aux normes pour la pratique professionnelle de l'audit interne, l'auditeur interne peut jouer un rôle de consultant dans ce domaine, si nécessaire.

Lorsque des déficiences de contrôle sont révélées, le service d'audit a cependant les attributs de lancer de véritables missions de suivi qui portent sur les déficiences identifiées précédemment.

Si la vocation de l'audit interne est d'impulser des changements, le suivi met en relief le taux de mise en œuvre des recommandations déclarées (reporting) ou vérifiées, à l'issue de la mission sous un délai de 3 mois.

Satisfaction des audités

L'auditeur interne doit être le partenaire parfait de l'audité et le rendre partie prenante d'un audit de qualité: adopter des attitudes pour faire partager sa vision auprès des audités et atteindre ainsi ses objectifs, créant une valeur ajoutée par ses approches, ses conseils pratiques et par son degré de maîtrise des opérations. Ses performances et les attitudes conciliantes face aux préjugés de

65


toutes sortes restent des facteurs déterminants dans la satisfaction des audités et dans la capacité de l'auditeur à se faire apprécier. Mais c'est la réussite totale de la fonction qui suscite l'adhésion de l'ensemble du personnel aux objectifs de l'audit interne.

Indicateurs de mesure

Il existe plusieurs indicateurs de mesure de la valeur ajoutée apportée par l'audit interne. Ils s'inscrivent dans une démarche qualité d'amélioration du processus d'audit et visent à mesurer l'apport global de la mission d'audit.

Les critères de mesure sont dans l'ordre les taux de mise en œuvre des recommandations, de réalisation du plan d'audit, d'acceptation par les audités des recommandations émises et le délai moyen de sortie du rapport. D'autres critères méritent d'être signalés :

- Le taux de mise en œuvre des actions correctives.

- Le support de la direction générale.

- Tableau de bord prospectif.

- Questionnaire de satisfaction annuelle.

- Enquête de satisfaction individuelle.

- Ratios de rendement, d'efficacité et de coût...

Evaluation des performances

Afin d'intéresser les auditeurs internes et les faire adhérer aux évolutions à entreprendre pour améliorer et motiver leurs méthodes de travail, le développement des outils de mesure des performances appropriés est nécessaire, comme par exemple :

Prévoir et planifier les promotions d'auditeurs junior en auditeurs senior et éventuellement chef de mission, c'est être en mesure d'évaluer la performance de chacun ;

Evaluer la qualité et l'efficacité des techniques et des moyens utilisés par l'auditeur pour proposer d'éventuelles améliorations ;

Evaluer le comportement et l'image des auditeurs et les réactions que cela suscite pour mettre en évidence des demandes de modifications et non des jugements de valeur blessants ;

Ces méthodes d'évaluation peuvent se faire, soit par le cumul d'évaluation propre à chaque mission, soit par une évaluation annuelle réalisée en fonction des objectifs du plan d'audit.

66


67


L’AUDIT INTERNE ET LA MISE EN PLACE DE LA DEMARCHE DE

GESTION DES RISQUES

‘Remédier aux risques, est un art ‘

CHAPITRE I :

ETAT DES LIEUX : PRATIQUE DE L’AUDIT INTERNE AU MAROC

L’audit interne tel qu’il est organisé et pratiqué aujourd’hui au Maroc et dans le reste du monde, résulte du besoin de maîtrise des directions générales, confrontées à la taille de leur entreprise, à l’augmentation du volume d’informations et à la pression de l’environnement. Ce chapitre a pour objectif de fournir un cadre d’analyse théorique et pratique de la création de la fonction

68


d’audit interne et un aperçu des approches organisationnelle et méthodique de l’audit interne des entreprises publiques marocaines.

SECTION 1 : organisation du service d’audit interne

1- Positionnement de l'audit interne

Par l'importance de sa fonction dans la réalisation des différents objectifs de l'organisation, l'audit interne est généralement situé à un niveau élevé de la hiérarchie. La fonction contrôle de l'audit interne ne peut se concevoir sans indépendance vis-à-vis de l'entité contrôlée. De même les recommandations de l'audit interne ne peuvent pas être pertinentes si elles n'émanent pas d'un organe hiérarchiquement élevé.

Les normes internationales de l'IIA -notamment la norme 1100- qui régit le positionnement de la fonction est impératif : « L'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité ». La norme 1110 précise: « Le responsable de l'audit interne doit relever d'un niveau hiérarchique suffisant au sein de l'organisation pour permettre au service d'audit interne d'exercer ses responsabilités». Les normes professionnelles sont prudentes en matière de rattachement puisqu'elles ne précisent pas, l'organe auquel la fonction audit interne doit être rattachée. En revanche, les modalités pratiques d'application de ces normes de l'IIA recommandent un rattachement de la fonction au comité d'audit.

Cependant l'IFACI, par exemple, considère que seul un rattachement hiérarchique à la direction générale, doublé d'un rattachement fonctionnel au comité d'audit, peut donner à l'audit interne efficacité et indépendance, tout en lui facilitant un champ d'investigation assez étendu. Le double rattachement à la Direction Générale et au Comité d'audit réduit les risques d'interférence implicites ou explicites sur le choix des missions ou la formulation des recommandations et confère aux auditeurs internes une liberté importante, voire totale pour la réalisation de leurs missions, même si pour 19% des répondants (35,7% pour le secteur public) les missions sont toujours décidées par la Direction générale (IFACI enquête 2005).

Dans le secteur public, Il existe une grande diversité d'organismes dont le degré de complexité varie, mais il n'existe pas de modèle de rattachement unique qui puisse convenir à tous ces organismes. Les liens hiérarchiques au sein de l'entreprise publique ont une réelle incidence sur l'indépendance de l'auditeur et sur l'étendue de son travail. Les auditeurs internes ne peuvent se situer n'importe où au sein d'un organisme quelque soit sa structure, pour préserver son indépendance. Sa position ne doit pas entraver la capacité des auditeurs d'exécuter leur travail et de rendre compte des résultats obtenus de façon objective.

Si la cellule est généralement rattachée à la direction générale et au comité d'audit... on la trouve intégrée aussi à des directions fonctionnelles, à la direction administrative et financière, à la direction contrôle de gestion ou à l'inspection générale et au secrétariat général.

69


1-1 Le rattachement hiérarchique de l'audit interne 16

Il est difficile d'admettre qu'un auditeur, nommé et révocable par le conseil d'administration, puisse être quand même indépendant. L'auditeur doit être en position de faire remarquer à un directeur, même à un ministre, que leur système est défectueux et pouvoir leur recommander des solutions qu'ils devraient accepter. En réalité, pour atteindre cette indépendance, il convient d'insister en premier sur la confiance qui est placée en l'auditeur et méritée par ses compétences, et en deuxième lieu sur un statut élevé, suffisamment prestigieux à tous les niveaux : rémunération, hiérarchique, formation, carrière...ect.

Cependant il existe quelques inconvénients quant au rattachement. Du point de vue opérationnel, si la direction générale dispose de peu de temps à consacrer à l'audit, le responsable de l'audit interne doit être suffisamment autonome et expérimenté pour gérer le service et ne faire remonter que les points critiques à la direction générale.

Quant au rattachement à une direction financière, il peut créer de réels problèmes. Comment traiter une anomalie comptable ou financière sérieuse due à une insuffisance de contrôle de cette direction. En plus, ce rattachement peut limiter l'audit à une revue des processus financiers et lui ôter la légitimité nécessaire pour intervenir sur d'autres problématiques auprès des autres directions : organisation commerciale, stratégie informatique,... Les autres directions accepteraient assez mal d'être contrôlées par une direction de même niveau hiérarchique. En cas de rivalités ou de conflits, l'accusation d'usage de l'audit interne à des fins partisanes est alors facile. Par ailleurs, le rattachement à une direction opérationnelle rendrait l'audit interne dépendant de celle-ci, et le placerait en position délicate pour la juger.

Voici pourquoi le rattachement au plus haut niveau et l'autorité qui en découle ne peuvent que faciliter la réalisation de tous les objectifs de l'audit interne.

1-2 Le rattachement fonctionnel de l'audit interne

La création d'un comité d'audit, organe de contrôle et de surveillance, qui comprend des membres du conseil d'administration, va dans le sens d'une autorité accrue. Le double rattachement hiérarchique à la direction générale et fonctionnel au comité d'audit confère aux auditeurs internes l'indépendance nécessaire et réduit les risques d'interférence implicites ou explicites sur le choix des missions et la formulation des recommandations.

Au Maroc, la loi n° 69-00 habilite le comité d'audit à apprécier la régularité des opérations d'audit, la qualité de l'organisation, la fiabilité et la bonne application du système d'information ainsi que les performances de l'entreprise. Il est une émanation du conseil d'administration, composé du contrôleur d'Etat et de deux à quatre membres, n'ayant aucune responsabilité de gestion au sein de l'organisme.

16 JACQUES RENARD, (1997) « Théorie et Pratique de l’Audit Interne », Edition Organisation, France

70


Malgré l'importance et l'utilité d'un comité d'audit, une certaine réticence quant à sa mise en place persiste. Ceci est dû généralement à une mauvaise compréhension de la mission de cette structure, souvent perçue comme une défiance vis-à-vis des dirigeants des organisations ou même une limitation de leurs attributions.

2- Dimensionnement de l'audit interne

Il appartient à chaque organisation de bâtir, en fonction de la mission de l'audit interne, son mode d'organisation, les moyens mis en œuvre, la structuration du département d'audit interne la mieux adaptée pour satisfaire ses attentes.

2.1 L'organisation du service d'audit interne

L'organisation dépend évidemment de la taille souhaitée, mais surtout des objectifs et du périmètre d'intervention du service.

La structure de l'audit interne

La structure du service d'audit interne dépend de la dimension de l'entreprise. Ainsi, dans un service de taille moyenne, la configuration adoptée est celle d'un service centralisé. Si la taille est grande le service d'audit interne est décentralisé. La structure mixte (moitié centralisée et moitié décentralisée) est adaptée aux différentes tailles des organismes.

Compte tenu du caractère indépendant de la structure d'audit interne, le modèle prédominant est celui d'une équipe directement rattachée à la direction de l'audit interne, qu'elle soit centralisée ou décentralisée.

- Service d'audit centralisé :

Une seule unité pour toutes les institutions auditables. Le service d'audit comporte plusieurs auditeurs itinérants chargés d'un certain nombre d'institutions. Il permet un fonctionnement intégré et plus harmonieux de l'équipe d'audit. Il facilite les progrès méthodologiques, entretient des liens entre l'ensemble des auditeurs et les enrichit par des échanges d'expérience plus divers et variés.

C'est une conception polyvalente où les tâches ne sont pas prédéterminées et le chef service ne dispose pas d'un effectif précis et permanent. Compte tenu de chaque mission, l'équipe est composée en fonction des disponibilités et des capacités de chacun. A terme elle peut ne pas favoriser l'extension du champ d'application de l'audit, mais rend plus aisée la gestion interne du personnel du service.

Cette organisation a l'avantage de regrouper des équipes au niveau du service central, tout en maintenant des affectations régionales aux missions, par zone géographique. Elle permet ainsi de réduire relativement les coûts. Dans cette organisation, l'effectif peut se caractériser par des profils spécialisés par domaine et dans chaque équipe. Cette formule a plusieurs avantages :

71


- Elle permet de profiter du redéploiement du personnel de l'organisation.Les équipes peuvent être renforcées par des spécialistes qui ont déjàtravaillé dans les domaines à auditer ;

- Le travail est effectué par des spécialistes et donc une meilleure efficacité.

Chaque mission regroupe les auditeurs avec une formation approfondie qui exercent leurs activités dans un secteur spécifique. On distingue les auditeurs scientifiques et techniques, les auditeurs comptables et financiers ou encore les auditeurs en système d’information.

L'intérêt d'une telle structure est de faciliter l'intégration de spécialistes au sein de l'audit interne, lorsque l'importance de l'entreprise le justifie. Cette spécialisation, à la différence des profils polyvalents, exige des échanges de compétences d'une mission à l'autre, d'où une gestion plus complexe et plus délicate du personnel et du plan de travail.

- Service d'audit décentralisé :

Il existe des services d'audit interne dans chaque institution (entité) où des auditeurs permanents (un ou plusieurs) sont mis durablement dans les services les plus importants avec un responsable à la tête de chaque mission.

Direction Générale

Direction de l’Audit Interne

Equipe chargée du

processus X

Equipe chargée du

processus Y

Equipe chargée du

processus Z

Autres fonctions

72

Service d’audit interne

Chefs de mission

Auditeurs seniors

Auditeurs juniors


Une telle organisation, d'un point de vue géographique, est difficilement concevable dans un service de taille restreinte. Les auditeurs seraient alors amenés à intervenir toujours dans la même entité et sur les mêmes problématiques, perdant le regard neuf qu'un auditeur se doit de porter sur l'activité qu'il évalue.

Cette organisation consiste à avoir pour chaque ensemble ou pour un ensemble d'entités extérieures, une équipe d'audit interne, rattachée au service central d'audit mais décentralisée et affectée à ces services.

Cette organisation de proximité a l'avantage de rapprocher les auditeurs qui sont en permanence près des audités et leur permet de mieux remplir leurs missions. Cependant, cette formule requiert :

- Un nombre important d'équipes d'audit autonomes et indépendantes etchacune centralisée dans une région ;

- L'existence d'auditeurs par région maîtrisant tous les domaines d'actions ;

- Un coût élevé pour la mise en œuvre d'un plan de formation des auditeurspar entité géographique.

- Les services mixtes d'audit interne :

Présentent une structure double : un service central et des services décentralisés, organisés par domaines ou par zones géographiques où les auditeurs sont répartis entre des auditeurs itinérants, chargés d'un certain nombre d'institutions et des auditeurs permanents, mis durablement en résidence, dans les entités les plus importantes.

Direction Générale

Direction de l’Audit Interne

Equipe chargée du

processus X

Equipe chargée du

processus Y

Equipe chargée du

processus Z

Autres fonctions

73


Ce modèle permet l'existence d'une agence centrale unique, permettant de regrouper facilement tous les bénéfices de la formation. Il permet l'adoption d'un système de répartition souple et évolutif des ressources, avec la prise en compte de l'impératif du travail d'audit en équipe.

La structure hiérarchique du service d'audit interne :

Les services d'audit interne fonctionnent en majorité avec des ressources localisées au même département, avec dans tous les cas, un rattachement direct au responsable de l'audit interne. Les équipes en générale adoptent une structure semblable à celle des cabinets d'audit, avec au moins deux niveaux et des rotations au niveau du chef de mission.

Les auditeurs sont organisés, selon l’effectif, en deux ou en trois fois niveaux et même quatre pour un service d’audit décentralisé avec beaucoup d’effectif.

le service comprenant 2 à 5 personnes est organisé en deux niveaux, auditeurs seniors et juniors souvent généralistes et un responsable de service, interlocuteur de la direction générale et qui définit la méthodologie et le plan d’audit.

Le service comprenant 6 à 20 personnes organisé en trois niveaux, responsable de service, auditeurs (seniors ou juniors)et le chef de mission, forme les auditeurs et réalise les tâches les plus complexes.

Les auditeurs internes n’ont pas lien hiérarchique avec leur chef de mission sauf sur la durée de celle-ci.

Le responsable de l’audit interne dans l’entreprise a en charge toutes les missions. Il signe les rapports, supervise tous les documents et toutes les pièces. Dans les grandes structures, le responsable est parfois assisté d’un adjoint qui gère les tâches d’organisation courante et procède à l’élaboration et à la mise à jour des méthodes.

Les chefs de missions sont les piliers de l’audit interne. Leur rôle est d’animer la progression des travaux, d’assurer leur qualité et d’assumer l’interface avec les audités. Ils sont responsables du sucées de la mission, vis-à-vis du service d’audit interne et des audités. En principe, on est auditeur ou chef de mission selon les besoins, les spécificités et l’expérience requise.

2-2 Le comité d’audit :

La réforme du contrôle financier sur les établissements publics au Maroc rejoint les normes, les standards internationaux et les pratiques de gouvernance d’entreprise. Elle met l’accent sur la volonté de renforcer le pouvoir de contrôle des organes délibérants, en instituant des comités d’audits au sein des entreprises publics.

Les entreprises publiques qui justifient la mise en œuvre effective d’un système d’information, de gestion et de contrôle interne, sont soumises au contrôle d’accompagnement et implicitement doivent instituer un comité d’audit. Chaque entreprise publique devrait évaluer sa structure de gouvernance pour justifier si

74


elle est soumise au contrôle d’accompagnement, condition préalable à l’institution d’un comité d’audit.

Il est nécessaire que l’organe délibérant, avant de créer un tel comité, définisse très clairement sa composition, son rôle, ses missions et ses pouvoirs dans un document écrit.

Cadre juridique :

Plusieurs textes ont mis l’accent sur la notion de comité, constitué par les organes d’administration, avant l’avènement de la loi 69-00 relative au contrôle financier de l’Etat sur les entreprises publiques et autres organismes, qui a défini clairement la composition, la mission et les modalités de fonctionnement du comité d’audit.

Composition :

La composition et la nomination du comité d’audit sont effectuées par l’organe délibérant ou le conseil d’administration. Il comprend le contrôleur d’Etat et au moins deux à quatre membres du conseil d’administration, indépendants de membres de l’exécutif ou mandataires nommément désignés par eux.

Mission :

Les principales missions que le comité d’audit réalise concernant la fonction audit interne sont les suivantes :

- Approbation de la charte d’audit

- Examiner le programme d’audit interne

- S’assurer que l’audit interne dispose des ressources adéquates

- S’assurer que le rattachement hiérarchique de l’audit interne ne nuit pas à son indépendance

- Recevoir des rapports réguliers concernant les résultats des travaux des auditeurs internes, notamment les anomalies ou déficiences relevées, ainsi que les mesures correctives envisagées.

- Examiner et contrôler la prise en compte par la direction des conclusions et des recommandations des auditeurs internes.

- Contrôler et évaluer le rôle et l’efficacité de l’audit interne

- Apprécier la qualité de l’organisation et la qualité de l’information comptable et financière communiquée aux tiers

- Apprécier la qualité du contrôle interne et notamment du système de mesure et de surveillance des risques

- Se réunir régulièrement et rendre compte de ses travaux au conseil d’administration ou à l’organe délibérant.

75


Pouvoirs :

Constitué par les organes délibérants, le comité d’audit détient des pouvoirs très élargis :

- L’accès à toutes les sources d’information et l’audition de toute personne susceptible de l’éclairer ;

- Proposer la nomination et la révocation du directeur de l’audit interne ;

- Approuver la nomination des auditeurs internes et la résiliation de leur mandat ;

- Le pouvoir de diligenter des missions particulières ;

- Disposer de conseils auprès d’experts indépendants de l’organisme ;

- Le pouvoir de prendre les décisions de mise en œuvre nécessaires.

Rôle du comité d’audit :

Le comité d’audit contribue fortement au renforcement de l’indépendance, de l’intégrité et de l’efficacité des services d’audit interne dans le secteur public, en assurant une surveillance objective des plans et des résultats des missions d’audit interne, en évaluant les besoins en ressources et en jouant le rôle de médiateur entre les auditeurs, les audités et l’organisation.

Le comité d’audit s’assure également que chaque recommandation d’amélioration ou de mesure corrective est prise en compte ou réglée.

En général lorsqu’un comité d’audit est mis sur le pied, il devrait :

- Exercer ses fonctions suivant un mandat officiel, établi de préférence par la législation, lui conférant des pouvoirs suffisants pour s’acquitter de ses responsabilités ;

- Comprendre des membres indépendants qui, en tant que groupe, possèdent une connaissance suffisante de l’audit, de la finance, des risques et des contrôles ;

- Etre dirigé par un membre qui n’est pas la personne de qui relève le responsable de l’audit sur le plan administratif ;

- Evaluer l’efficacité de la gouvernance de l’organisation, ainsi que la conformité aux lois et à la réglementation ;

- Superviser les normes d’information financière et de comptabilité de l’organisation.

2- Evaluation des ressources disponibles

76


Le nécessaire développement de l’audit interne, implique de former et de rassembler les compétences et d’affecter des moyens en fonction de la taille du service, des objectifs fixés et du périmètre confié à l’audit.

Adopter une approche progressive lors de la création d’un service d’audit interne est sans doute une démarche pragmatique. Ainsi, un service limité de personnes pourra remplir très efficacement son rôle pendant quelques années. Par la suite, une fois que la valeur ajoutée de l’audit interne aura été établie, la taille du service pourrait évoluer pour accompagner la croissance de l’entreprise. Mais le besoin en effectif dépend de la complexité de l’organisation, du niveau de risque et du degré d’appétence pour le risque.

2-1 Les moyens humains

L’équipe d’audit interne devra comporter des cadres chevronnés, appréhendant parfaitement un ou plusieurs métiers de l’organisation et dotés de grandes qualités. Il existe trois niveaux de compétences d’expertise : le niveau des compétences fondamentales (au regard des normes), le niveau des compétences d’expertise ponctuelle (en fonction du besoin et assistance externe) et le niveau des compétences spécifiques (compétences pour couvrir les risques informatiques, les risques industriels et les risques produits). Ces compétences, on peut les avoirs au départ, les acquérir en cours de route, et de les améliorer tout au long de la progression du service.

Quelque soit son secteur d’activité, tout auditeur doit posséder les compétences fondamentales qui forment la base de l’audit interne :

- Connaître les normes de la profession ;

- Répondre à des objectifs de savoir faire en terme de méthodologie ;

- Découper une activité en processus et définir les objectifs de ces processus ;

- Identifier les risques qui empêchent d’atteindre les objectifs ;

- Identifier les points de contrôle qui vont permettre de maîtriser et d’avoir une bonne vision de la maîtrise d’activité.

Les références qualitatives sur lesquelles s’appuie la sélection des auditeurs sont constituées par :

- Un code déontologique qui fixe les principes fondamentaux à respecter : intégrité, objectivité, confidentialité et compétence ;

- Des normes de qualification qui se définissent dans les missions d’un service d’audit interne, de conscience professionnelle, d’assurance et de qualité, d’indépendance par rapport au service audité (non influençable) ;

- Les compétences techniques et de qualification à fort potentiel.

Le recours à des compétences et à des prestataires externes est dû à la difficulté de recrutement des auditeurs spécialisés, notamment en système d’information ou maîtrisant suffisamment les activités de l’entreprise. Il est rare de trouver un

77


auditeur opérationnel qui réunit plusieurs compétences : en audit, en informatique, en organisation, en finances. La formation continue et la réunion des compétences complémentaires au sein d’une équipe peut seule assurer polyvalence. Pour réunir les conditions qui contribuent à atteindre le degré de performance attendu, la cellule doit se doter :

- D’une équipe qui maîtrise les techniques, les outils, et la méthodologie de l’audit interne, respecte la loi et les normes de la profession, au courant des meilleures pratiques de la profession et suit les évolutions technologiques ;

- D’un responsable d’audit interne qui a le souci de l’efficacité de son équipe et de la maîtrise de ses coûts de fonctionnement, et fait preuve de créativité, d’ouverture au changement et de sens de la communication ;

- D’un personnel qui répond aux besoins et attentes des parties prenantes.

Le comportement des auditeurs internes

Dans le secteur public, les principes déontologiques qui sont des valeurs fondamentales de l’audit interne, sont moins formalisés et moins écrits par rapport au secteur privé, mais leurs esprits s’applique. La promotion de la culture morale et des compétences demeure un critère fondamental.

Les auditeurs doivent disposer des pouvoirs adéquats qu’ils doivent tenir directement de l’autorité suprême qui est l’organe délibérant, et la charte d’audit. Les principaux pouvoirs sont les suivants :

- Pouvoir intervenir de sa propre initiative dans toutes les unités opérationnelles ou fonctionnelles ;

- Pouvoir de communiquer le résultat de ses investigations à toute personne de l’entreprise notamment aux membres des organes délibérant et au comité d’audit ;

- Avoir un accès permanent auprès des plus haute autorité de l’établissement.

Dés qu’il y a un engagement, la partialité de l’audit interne peut être soupçonnée et son efficacité amoindrie. Les quelques attitudes ci-dessous peuvent contribuer à cette impartialité :

- Les auditeurs provenant d’un service opérationnel devraient s’abstenir d’effectuer des missions dans ce service durant une certaine période ;

- Rotation du personnel dans la mesure du possible au sein de la fonction ;

- Eviter d’intervenir dans les opérations et dans la mise en place de procédures opérationnelles ou de contrôle. En revanche, le rôle de conseil en matière de contrôle interne n’est pas exclu par exemple lorsqu’une nouvelle organisation ou un nouveau système informatique mis en place.

la gestion des auditeurs internes 17

17 ARRIGNON, J-L - LESNE, C. (2001) « Evaluation de la compétence dans la pratique de l'audit interne ».

78


Gérer la carrière d’un auditeur entre son arrivée et son départ, c’est le recruter, le former, l’évaluer, planifier son travail et préparer sa sortie. Cela rend nécessaire une collaboration étroite avec la direction des ressources humaines.

- Recrutement : Dans chaque organisation, il existe une politique et des procédures de recrutement à respecter. La direction des ressources humaines décrit les besoins prévus, évalue les dossiers des candidats, organise des entrevues entre les candidats et les auditeurs, pour tester le niveau de professionnalisme et s’assurer de leur bonne intégration dans l’équipe.

- Formation : l’auditeur est considéré comme un agent utile et un acteur actif dans le processus du changement et d’amélioration. Il doit en conséquence améliorer durablement ses connaissances, aptitudes et compétences, par un perfectionnement professionnel continu, exigé par la nature des missions qui lui sont assignées et par l’élargissement du champ des interventions.

- Affectation- sortie : la direction des ressources humaines s’attache aussi à étudier les perspectives de carrière des auditeurs sortants pour identifier les postes opportuns à leurs réorientations, dans d’autres responsabilités pour maintenir les compétences dans l’organisation.

La diversité des missions, la nécessité de s’adapter à des changements incessants, l’organisation des sorties, des congés, des absences et des voyages, tout cela exige une planification du travail de l’auditeur et une intervention régulière de la direction des ressources humaines.

2-2 Les moyens matériels :

Les activités nécessitant l’acquisition de moyens matériels qu’il faut évaluer et améliorer constamment. Les outils informatiques dédiés à l’audit interne restent assez répandus et constituent le principal support de l’activité.

Outils informatiques :

Dans un univers de plus en plus informatisé, la technique informatique a particulièrement intégrée les compétences de chaque auditeur interne qui doit pouvoir s’appuyer sur des processus informatiques, clairement définis, afin de pouvoir obtenir, de manière structurée, indicateurs statistiques, mesures de performances et différents types de rapports permettant de documenter ses conclusions et recommandations.

Effectivement la connaissance des outils informatiques apporte à l’auditeur une très grande richesse de techniques d’investigation autant du point de vue de la régularité que de celui de la performance. En tant, qu’auditeur, il est indispensable d’avoir une compétence informatique qui puisse aller au cœur du système d’information, découvrir, au profit du contrôleur, une cartographie applicative, localiser les fichiers intéressants, savoir comment les extraire.

Le processus d’audit étant totalement informatisé, l’auditeur interne doit s’adapter à la mise en place d’un projet informatique dans les différentes phases de sa mission. Ainsi, il pourra utiliser des logiciels de gestion, de la phase de l’élaboration du plan d’audit jusqu’aux suivi de ses recommandations.

79


Parmi les outils informatiques de base que l’auditeur interne doit maîtriser figurent : traitement de texte, logiciel de présentations graphiques, d’interrogation de fichiers, de diagrammes de circulation…ect. Ces programmes développés pour la gestion interne du service d’audit sont des outils standards :

- Tableur pour le plan d’audit, le planning, le tableau de bord, l’exploitation des données, pour la réalisation des programmes de travail, des diagrammes de flux, le suivi des recommandations ainsi que la cartographie et la matrice des risques ;

- Présentation pour les supports des réunions de restitution des travaux ;

- Visio- conférence pour réaliser des diagrammes de flux ;

- Base de données pour des analyses poussées, pour le traitement d’un grand nombre d’enregistrements ou pour la détection de la fraude.

Grâce à ces outils, prise de notes, rédaction de FRAP, feuille de travail, dessin de flow- charts, projets de rapports et rapports définitifs sont produits directement sur support informatique.

Supports et dossiers de travail : 18

Une activité telle que l’audit interne a besoin de supports propres à chaque mission. Ces supports sont consultés par les auditeurs en fonction de leurs besoins.

Les supports doivent être conservés pour constituer un élément important d’appréciation du contrôle interne, de la qualité et l’étendue des travaux effectués et tenus à la disposition des éventuels contrôle externes.

- Manuel d’audit :

Le manuel d’audit est un support d’informations permettant à l’auditeur interne de refléter l’organisation et le cadre de travail du service d’audit interne. Il permet de s’assurer de la conformité des pratiques et actes de gestion courante par rapport aux référentiels de procédures, de normes et de réglementations en vigueur. C’est le principal référentiel pour l’auditeur parce qu’il comporte toutes les données théoriques de base que doit maîtriser un auditeur interne en matière de méthodologie, de technique et d’outils d’audit interne. Il représente le guide de l’audit interne, l’outil et le cadre qui orientera les travaux des auditeurs interne sur le terrain.

Ce cadre d’activité est formalisé par la norme 2040 de l’IIA qui précise : « il incombe au responsable de l’audit interne d’établir des règles et procédures fournissant un cadre à l’activité d’audit interne ». La forme et le contenu des règles et procédures dépendent de la taille, de la manière dont est structuré l’audit interne et de la complexité de ses travaux.

Le manuel est un document destiné à l’usage interne du service- tout comme la documentation à la disposition des auditeurs- destiné à enrichir constamment chaque mission d’audit. Il doit remplir 3 objectifs :

18 Manuel d’audit interne de l’Inspections Générale des Finances

80


Définir le cadre de travail : il présente l’organigramme du service avec son rattachement. Il comporte l’indicateur des pouvoirs et latitudes dévolus aux différents membres du service. Il mentionne aussi les conditions générales de travail (horaires, dispositions relatives aux déplacements et aux remboursements de frais, installation matérielle……)

Aider à la formation de l’auditeur débutant : le premier contact de celui-ci avec le service d’audit doit être le manuel dont on lui remet un exemplaire. C’est à la lecture de ce document qu’il va découvrir les objectifs et spécificités de fonctionnement du service. Ce sont les procédures de travail de l’audit interne.

Servir de référentiel : il comporte un rappel des normes de l’IIA et indique les normes spécifiques au service d’audit de l’entreprise, et plus précisément : le rappel des règles d’engagements et de gestion des auditeurs (exigences requises en compétence et règles suivies pour la formation professionnelle) et les règles appliquées pour les voyages et les déplacements.

L’élaboration et la révision du plan : décrire la méthode retenue par le service pour élaborer le plan d’audit et l’usage qui en est fait.

La méthodologie : les règles précisées porteront sur l’ordre de missions, l’analyse des risques, la définition des objectifs, la réalisation des observations et bien évidement les normes à retenir pour la présentation, la diffusion des rapports d’audit et le suivi des recommandations.

Normes régissant les dossiers d’audit et le suivi des recommandations

Procédures budgétaires et de reporting.

- Guide d’audit :

Les guides d’audit sont la composante principale de la documentation interne. Ils doivent être élaborés pour chaque mission.

Guide méthodologique qui présente le programme de travail à effectuer, le questionnaire de contrôle interne et le tableau d’identification des zones à risque pour chaque processus. Les guides d’audit représentent une aide appréciable pour les auditeurs et constituent également un moyen de formation et d’information pour les auditeurs juniors. Ces guides ne doivent pas être utilisés comme des check-lists, et doivent à chaque fois être revus, corrigés et mis à jour.

- Dossier de la mission :

Un mémoire qui réunit tous les éléments relatifs à la mission, depuis la phase de préparation jusqu’à l’émission du rapport final. Il reste un document de consultation et de renseignements utiles pour l’auditeur junior. Le dossier de travail doit clairement traduire les travaux effectués et les étapes suivies. Généralement, il est institué sous une structure normalisée et des feuilles de travail qui retracent les opérations sélectionnées pour le sondage, les contrôles effectués, les anomalies relevées et les conclusions.

Plus pratiquement les documents de travail ont pour principal objectif :

81


- De fournir la principale justification de l’opinion formulée ;

- De permettre en cas d’audit récurrent de disposer d’une base d’information de départ pour la nouvelle mission.

Par convention, le contenu de ces dossiers est le suivant :

Le dossier d’analyse : doit comporter tous les travaux effectués par l’auditeur pendant la phase de réalisation. Il doit contenir les éléments suivants :

- Programme de mission ;

- L’ordre de mission ;

- Les feuilles de couverture de test ;

- Feuilles d’interviews et compte rendu des réunions ;

- Les questionnaires renseignés ;

- Le papier de travail matérialisant les tests effectués ;

- Les FRAP.

Le dossier de synthèse : doit permettre de renseigner les auditeurs pour les missions à venir. Il doit contenir les éléments suivants :

- Les deux derniers rapports d’audit

- Le rapport d’orientation

- Le tableau d’identification des zones de risques et le programme de travail, actualisés à la fin de mission, dont une copie doit être insérée au niveau du guide d’audit.

- Le questionnaire de prise de connaissance renseigné

- Les correspondances (suivi et mis en œuvre des recommandations, bordereaux d’envoi des FRAP aux audités pour la réunion de clôture….)

SECTION 2 : Méthodologie de conduite d’une mission d’audit interne au sein de l’entreprise publique

Au sein des établissements publics, la mission d’audit interne suit en théorie la méthodologie utilisée sur le plan international.

Les différentes missions réalisées sont les suivantes :

82


Une méthodologie standard qui a pour principaux objectifs :

- D’étudier la pratique et la réalité du fonctionnement au niveau des entités auditées ;

- De repérer les faits significatifs ;

- De déterminer les causes engendrant ces faits ;

- De démontrer les conséquences engendrées par ces faits ;

- De proposer des recommandations ou des solutions pour remédier ou éviter ces conséquences ;

- D’examiner les programmes d’action et d’assurer le suivi de leur mise en place.

Des règles déontologiques, tirées des normes internationales pour la pratique professionnelle de l’audit interne de l’IIA

1- Phasage de la méthodologie de conduite des missions d’audit :19

La méthodologie de conduite des missions d’audit interne s’articule autour des phases suivantes :

- Phase 1 : phase d’étude- Phase 2 : phase de vérification- Phase 3 : phase de conclusion

1-1 Phase de préparation :

La phase d’étude est enclenchée par une étape consistant en la prise de connaissance du domaine audité et l’identification des risques et opportunités d’amélioration.

Ces deux étapes constituent le plan de la phase d’étude et permettent à travers un programme ficelé de définir :

- Les domaines, fonctions ou activités à examiner ;- Les structures (division ou service) à visiter ;- Les interviews à réaliser ainsi que les personnes à rencontrer ;

19 LEMANT, O (1995) « La conduite d'une mission d'audit interne méthodologie élaborée par un groupe de recherche » Paris : Dunod.

83


- Et les informations (données pertinentes) à recueillir ainsi que les points critiques à bien comprendre.

Cette phase permet :

- D’une part, de découper en stades chronologique la fonction, le processus ou la procédure auditée afin de déterminer pour chaque stade (étape), les objectifs spécifiques ainsi que les risques y afférents ;

- Et d’autre part, de vérifier l’exhaustivité des préoccupations de la hiérarchie par une approche qualité.

Ces éléments peuvent être observés, constatés par l’auditeur et comparé au référentiel des procédures. L’auditeur interne pourra donc déterminer si les caractéristiques de fonctionnement réelles permettent ou non d’atteindre les objectifs et d’éviter les risques encourus.

plan d’approche :

Le plan d’approche conclut la phase de reconnaissance du domaine défini par l’ordre de mission. Il définit les objectifs de la phase d’étude et les modalités de mise en œuvre de l’analyse des risques correspondante.

Ce plan d’approche consiste en l’organisation logique des travaux de l’auditeur pour répondre aux attentes de la hiérarchie supérieure de l’entité auditée, en évaluant les risques réels d’un dysfonctionnement donné.

Le plan d’approche organise la phase d’étude : il associe à la prise de connaissance du domaine à auditer et à l’identification de ses éventuels risques et opportunités d’amélioration, une décomposition du sujet de la mission en objet auditables.

Un objet auditable est constitué par l’ensemble des éléments qui peuvent être observés ou constatés par l’auditeur et comparés au référentiel des procédures.

Le découpage en objet auditables peut être réalisé selon les deux approches suivantes :

- Découpage au stade chronologique (1 ère approche) :

- Déterminer pour chaque étape, les objectifs spécifiques et les risques y afférents ;

- Déterminer les modalités de fonctionnement et définir dans quelle mesure elles permettent l’atteinte des objectifs escomptés.

- Découpage par arborescence des facteurs qualifiables (2 ème approche) :

- Effectuer une analyse sémantique arborescente jusqu’à des objets auditables ;- Vérifier l’exhaustivité des préoccupations par l’approche qualité.-

Prise de connaissance du domaine audité :

84


Cette prise de connaissance (collecte d’informations et de données) du domaine à auditer débute par l’élaboration d’un programme d’intervention concernant :

- Les domaines à examiner ;- Les sites (divisions ou services) à visiter ;- Les interviews à réaliser et les personnes à rencontrer ;- Les informations à recueillir ;- Les points critiques à bien comprendre ;- Les dates de début et de fin de la phase d’étude.

Cette prise de connaissance permet de bien cerner les préoccupations majeures de la mission et ce, en assurant :

- La recherche de tout élément de définition et d’analyse de l’activité à cerner sur des documents propres de l’entité auditée ;

- La consultation de bases documentaires (bases de données informatiques ou tous autres fonds documentaires) de l’entité auditée ;

- La détection des points marquants de l’histoire du domaine audité ;- L’identification des chiffres saillants ainsi que les données importantes ;- L’identification des méthodes de gestion et des systèmes d’information propres

à l’entité auditée ;- La collecte des rapports antérieurs d’audit (interne ou externe) ou d’inspection ;- L’établissement d’un organigramme et l’analyse des définitions des postes de

l’organigramme impliqués dans le processus audité.

Identification des risques et des opportunités d’amélioration

Cette étape permet aux auditeurs internes de prendre conscience des risques et des opportunités d’amélioration qui se matérialisent par le tableau des forces et des faiblesses apparentes.

L’objectif étant de prendre en compte les préoccupations (problème réels, dysfonctionnements, résultats non atteints) de la hiérarchie supérieure et du responsable de l’entité auditée.

Cette étape de reconnaissance (prise de connaissance et de conscience) doit éclaircir les exigences requises dans l’ordre de mission et permettre l’analyse des données collectées. Le résultat en est la formalisation dans un plan d’approche.

Le plan d’approche doit s’appuyer sur des préoccupations claires et documentées, intégrant notamment celles exprimées par l’entité à auditer (demandeur). Il doit également servir de base de discussion entre le chef de mission et le responsable de l’entité auditée pour valider les orientations proposées.

Quand le plan d’approche est formalisé et approuvé, il engage le travail de l’équipe d’audit interne et sert de guide pour la phase d’analyse des risques.

Le plan d’approche clôt la phase de reconnaissance et synthétise l’ensemble des informations et données collectées par les auditeurs interne, à savoir :

- L’origine et les circonstances de la demande d’audit, et les principales préoccupations de l’entité auditée ;

85


- La description du domaine audité : données chiffrées, évolution de ces données chiffrées, décomposition en objet auditables et limites de la mission ;

- La démarche de travail pour la suite de la mission ainsi que le personnel alloué à la mission.

Analyse des risques : tableau des forces et faiblesses apparentes (T.F.F.A)

Le tableau des forces et des faiblesses apparentes conclut la phase d’analyse des risques, réalisée sur la base des objectifs définis dans le plan d’approche. Il a pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l’entité ou activité auditée.

L’analyse des risques est une étape particulièrement importante. En effet, du sérieux de sa préparation dépend le succès de la mission tant au niveau du temps passé dans la pertinence des recommandations.

Le tableau des forces et faiblesses apparentes reprend les thèmes suivants :

- Le domaine/ ou l’opération auditée : le thème ainsi que la structure concernée ou impliquée dans le traitement du processus ;

- Les objectifs du contrôle : la situation théorique du bon fonctionnement du processus ;

- Les risques : les conséquences ou les éléments redoutés en cas de dysfonctionnement ;

- Les indicateurs qui traduisent de manière correcte et détaillée les critères d’évaluation ;

- Les forces et les faiblesses par rapport à un objectif de contrôle interne ou à une caractéristique assurant le bon fonctionnement ou l’atteinte d’un résultat escompté ;

- La conséquence ou le degré de gravité ;- Et les commentaires supplémentaires sur les risques s’il y a lieu.

En termes de régularité, les forces et faiblesses s’expriment qualitativement et quantitativement par rapport à des règles, procédures et systèmes existants.

En terme d’efficacité, les forces et faiblesses s’expriment qualitativement et quantitativement par rapport à des résultats attendu et à leurs conditions d’obtention.

Une force ou une faiblesse doit s’exprimer par rapport à un objectif de contrôle interne ou une caractéristique normalement attendue (par rapport à une norme) pour assurer le bon fonctionnement d’une organisation ou l’atteinte d’un résultat escompté.

Pour chaque objectif de l’analyse, l’auditeur doit apprécier l’aptitude des dispositions de gestion et de contrôle mise en place à atteindre les objectifs du contrôle interne et à contribuer au résultat attendu. L’appréciation du risque repose sur deux estimations :

- Le degré de gravité de la perte pouvant en résulter (ou des conséquences directes et indirectes) ;

- La probabilité ou la possibilité de réalisation du risque : notion quantifiée formellement ou documentée par référence à l’expérience de l’auditeur.

86


La mesure du risque doit être effectuée selon deux axes et doit permettre :

- De situer l’importance des faiblesses de synthèse ou de l’insuffisance de résultats constatés en termes de conséquences réelles ou potentielles ;

- D’apprécier le degré de confiance qu’à l’auditeur du point analysé à la date d’établissement du TFFA.

L’analyse des risques et de ce fait l’établissement du T.F.F.A nécessite de se rendre sur le terrain (à l’entité auditée). La description des systèmes d’information et de pilotage, est analysée dans la phase d’étude des risques pour remplir le TFFA. Toute description de l’organisation faite a pour objectif de formuler une opinion sur l’atteinte des objectifs de contrôle préalablement définis.

Enfin, le tableau des forces et faiblesses apparentes (TFFA) présente de manière synthétique les opinions de l’auditeur sur chaque thème analysé. Il permet de hiérarchiser les risques dans le but de préparer le rapport d’orientation. Un classement des principales forces et faiblesses rencontrées pourra être établi pour amorcer l’orientation des phases suivantes de la mission.

Rapport d’orientation

A l’issu de la phase de reconnaissance, le chef de mission entame la rédaction du rapport d’orientation qui précise les axes d’investigation et les limites d’intervention des auditeurs ainsi que les objectifs à atteindre par l’équipe des auditeurs internes.

Le rapport d’orientation reprend les conclusions issues de l’analyse des risques, résumées dans le tableau des forces et faiblesses apparentes (TFFA) et oriente les travaux en terme :

De sécurité en faisant toutes les vérifications que nécessitent :- la certification de l’existence des forces ;- la confirmation de la présence d’une faiblesse ;- la qualification du risque attaché à une faiblesse (nature du résultat,

probabilité, gravité).

D’efficacité en formulant rapidement des solutions aux dysfonctionnements majeurs.

Le rapport d’orientation constitue le contrat des prestations de services précisant les axes et la charge d’investigation des auditeurs et si possible les limites de la mission.

Le rapport d’orientation consistera essentiellement :

- A déterminer les modalités pratiques de l’intervention des auditeurs internes- A aider l’auditeur qui intervient en véritable consultant interne, à rechercher,

reconnaître et rectifier toute ou en partie (selon les moyens qui lui sont attribués) les faiblesses identifiées.

87


Le choix des orientations de la mission doit être effectué à partir du tableau des forces et faiblesses apparentes et matérialisé sous forme de rapport d’orientation signé par le responsable de l’audit.

Le rapport d’orientation doit définir la mission en termes d’objectifs à atteindre par l’audit. L’objet n’étant pas de décrire les travaux ou techniques spécifiques qui seront définis dans le programme de travail, mais de préciser les services qui vont être rendus à l’audité.

Pour être pertinent, le rapport d’orientation reprendra les conclusions retenues du tableau des forces et faiblesses apparentes, les priorités d’actualité et les préoccupations du management ou de la hiérarchie supérieure.

Pour être percutant, le rapport d’orientation doit être formulé en termes d’objectifs à atteindre pour l’entité auditée, et donc doit être rédigé en faisant abstraction des futurs travaux d’audit qu’il implique.

Le rapport, d’orientation définit la mission en termes d’objectifs à atteindre par l’audit, exprimés clairement afin qu’ils soient aisément perceptible et compréhensibles par les audités.

Programmes de vérification :

Le programme de vérification est la gamme de moyens à mettre en œuvre pour atteindre les objectifs du rapport d’orientation.

C’est un document interne, destiné à définir, répartir, planifier et suivre les travaux des auditeurs internes.

Le programme de vérification traduit la liste des travaux à réaliser par l’auditeur. En effet, le programme de vérification (programme de travail) est :

D’abord, la traduction de l’ensemble des tâches à fournir, c'est-à-dire :- Les travaux à effectuer ;- Les investigations à mener ; - Les questions à se poser et à poser à l’entité auditée lors des

entretiens ;- Les pratiques de bonne gestion à rechercher ;- Les pratiques de gestion non- conformes à la réglementation en

vigueur ;- Les études et les tests à réaliser ;- Les risques et les contrôles à valider.

Les actions d’audits (les moyens et outils) pour assurer :- Une planification dans le temps ;- Une répartition équitable des tâches entre les auditeurs selon les

compétences de chacun ;- Une maîtrise de la gestion des missions d’audit.

88


Le programme de vérification a pour avantage d’assurer l’efficacité des missions d’audit, à travers les points cités ci-dessous :

- Assurer l’objectivité de l’audit interne ; - Assurer le responsable d’audit interne que toutes ses préoccupations

seront prises en compte par l’équipe des auditeurs ;- Permettre au superviseur ou au chef de mission d’évaluer et de

répartir les tâches entre les auditeurs internes ;- Préparer et assurer le suivi du planning de la mission depuis le

lancement jusqu’à la rédaction du rapport d’audit interne ;- Guider l’auditeur dans ses travaux ;- Documenter le déroulement de la mission (trace, tableau synoptique,

tableau d’orientation) ;- Capitaliser l’expérience et le savoir faire.

1-2 phase de réalisation :

La phase de réalisation fait beaucoup appel aux capacités d’observation, d’analyse, de dialogue, de communication et au sens de la déduction de l’auditeur. L’unité d’audit met en œuvre les orientations retenues dans le rapport d’orientation en utilisant les techniques d’observation, de description et d’analyse qui lui sont propres.

L’auditeur doit dérouler son programme de travail sur le terrain pour atteindre les objectifs fixés dans le rapport d’orientation. L’auditeur peut parfois changer le programme de travail, sous réserve de sa validation par le chef de mission. Il procède aux observations et constats qui vont lui permettre de relever tout dysfonctionnements ou problèmes rencontrés.

Les travaux sont réalisés sous la forme d’entretiens avec les principaux acteurs, ainsi que par la réalisation de tests sur pièces, orientés sur la base d’une analyse de risques préliminaire. Les constats réalisés à l’occasion de ces interviews et tests sont formalisés et donnent lieu à une phase de validation contradictoire avec les audités.

Réunion d’ouverture :

La réunion d’ouverture coïncide avec le lancement de la mission et se tient sur les lieux même où celle-ci doit se dérouler- est la première réunion de travail entre les audités et les auditeurs.

Elle permet d’exposer les objectifs de la mission, de présenter les auditeurs, d’expliquer la méthodologie d’audit et de définir les rôles et responsabilités de chacun. Elle permet également de mieux cerner l’environnement et le mode de fonctionnement du processus audité.

L’ordre du jour pour la réunion d’ouverture doit être établi et envoyé avec le rapport d’orientation à l’audité, suffisamment à l’avance (au moins une semaine) pour l’informer de la date de la réunion sur le terrain et de son contenu. Ces documents envoyés permettront à l’audité de connaître les objectifs de la mission, le programme de travail qui va être déroulé pour les atteindre et les différentes phases de la mission.

89


Parmi les principaux points qui peuvent être abordés lors de la réunion d’ouverture, il y a lieu de citer :

- les droits et devoirs des auditeurs (accès à l’information et confidentialité) ;

- présentations des auditeurs et tâches respectives ; - rappel des objectifs et des périmètres de la mission ;- présentation et discussion du rapport d’orientation ;- interlocuteurs et personne à contacter ;- l’approche d’audit qui va être mise en œuvre lors de la mission ;

(interviews, tests de cheminement, tests substantifs….) ;- les modalités de communication des résultats de l’audit (points

réguliers à date, réunion de clôture, rapport, suivi de la mission) ;- une revue de l’activité auditée (organigramme, effectifs, objets, rôles

et responsabilités….) ;- une revue des principaux risques et des processus audités ;- les attentes spécifiques des audités.

Feuille de couverture :

Pour chaque procédure l’auditeur doit établir un programme de travail consigné dans la feuille de couverture. Elle met en évidence les résultats obtenus et les conclusions qui en découlent. Elle précise et spécifie les modalités de mise en œuvre d’une tâche, définie dans le planning de réalisation ou programme de vérification. La feuille de couverture contient :

- Les objectifs à atteindre- Les tests à effectuer en commençant par le questionnaire du

contrôle interne à remplir.- Les conclusions des tests effectués-

Feuille de révélation et d’analyse des problèmes (FRAP)

La feuille de révélation et d’analyse des problèmes « FRAP » constitue le papier de travail par lequel l’auditeur présente et documente chaque risque ou dysfonctionnement révélés. Ce document est la mise en forme rigoureuse et efficace de la norme2320 selon laquelle « les auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées. »

La méthodologie employée consiste à formuler le problème, les faits qui le prouvent, les causes qui l’expliquent, ses conséquences et les recommandations pour le résoudre. C’est donc un document normalisé. Pour le remplir l’auditeur doit respecter l’enchaînement suivant :

- Constat- Causes- Conséquences- Recommandations- Problèmes

90


Au fur et à mesure du déroulement du questionnaire de contrôle interne, l’auditeur décrira ses constats.

Les anomalies, les erreurs et les dysfonctionnement soulevés au niveau de la FRAP et cherchera ensuite à identifier les causes. L’identification des causes ne consiste pas à identifier la défaillance mais l’origine de la défaillance.

L’auditeur doit déterminer ensuite les conséquences de ces constats selon leur nature :

- conséquences financières ;- conséquences juridiques ;- conséquences matérielles ;- conséquences économiques ;- conséquences informationnelles ;- conséquences partenaires.

Une fois les conséquences déterminées, l’auditeur avant de synthétiser les travaux dans les FRAP au niveau de la partie « problème », agira sur l’origine de la défaillance, en proposant un projet de recommandations pour aider l’audité à surmonter les lacunes relevées.

EXEMPLE DE FEUILLES DE REVELATIONS ET ANALYSES DES PROBLEMES

FRAPRéférence papier de travail…………….. FRAP N°……..

Problème :………………………………………………………………………………………….Constat :………………………………………………………………………………………….Causes :………………………………………………………………………………………….Conséquences :……………………………………………………………………………………Recommandations :……………………………………………………………………………….

Etabli par : ………. approuvé par :………………..

1-3 phase de conclusion :

La phase de conclusion est la dernière phase dans une mission d’audit interne. Elle permet de présenter les résultats de l’intervention de l’auditeur dans le cadre d’un rapport d’audit interne.

Ossature du rapport :

91


L’ossature du rapport, élaborée à partir des problèmes figurant sur les FRAP et des conclusions figurant sur les feuilles de couverture est l’enchaînement des messages que l’auditeur interne veut délivrer dans le rapport concluant la mission.

L’équipe d’audit doit structurer sa réflexion et organiser son discours avant de rendre compte de ses conclusions aux principaux responsables audités et à la direction concernée par la mission d’audit (présentation orale ou par écrit).

L’ossature du rapport reprend les énoncés des problèmes, classés par thème et par ordre d’importance, avec éventuellement les titres de regroupement sous lesquels ils apparaissent dans le rapport.

L’ossature du rapport sera utilisée :

- Pour auto diagnostiquer la cohérence des conclusions de la mission d’audit

- Comme guide de montage du projet de rapport d’audit interne (provisoire ou définitif) quand ce dernier est constitué de FRAP

- Comme guide de relecture par le responsable de l’audit- Comme support de la présentation des résultats de la mission sur

site

Rapport d’audit interne :

Le rapport d’audit interne communique aux principaux responsables concernés, pour action, et à la hiérarchie supérieure pour information, les conclusions d’audit concernant la capacité de l’entité à accomplir sa mission, en mettant l’accent sur les dysfonctionnements pour que se soient développées des actions de progrès.

Le rapport d’audit est le document le plus important, émis par l’audit interne et engageant le responsable d’audit interne. Il se distingue du compte rendu au site et de l’ossature du rapport par le fait qu’il est complet, conclusif, écrit et final.

Le rapport d’audit interne doit être présenté aux responsables audités en version projet, puis discuté avec eux et validé, avant sa remise à la hiérarchie supérieure.La réunion de validation du projet de rapport a pour but de rendre indiscutable le contenu du rapport définitif. En effet, les constats, raisonnements et conclusions doivent être compris et les audités doivent les reconnaître exacts.

Le rapport d’audit interne constitue le point culminant de la mission et non sa fin. Il permet en effet de déclencher les réflexions de la hiérarchie supérieure et les actions de progrès des responsables directement concernés

Dans ce rapport, le diagnostic des faiblesses est précis et détaillé. Les risques sont mis en évidence le plus clairement possible. Les recommandations en revanche sont relativement globales et ouvertes.

Le rapport doit satisfaire un certain nombre de critères et doit être objectif, impartial, clair, logique, concis, utile et convaincant.

92


Le rapport d’audit interne est un acte de communication destiné à la hiérarchie supérieure.

Le rapport d’audit interne permet d’analyser une situation mais comme un devis de réparation, il met l’accent sur les dysfonctionnements pour faire développer des actions de progrès.

Le rapport d’audit interne contient des recommandations. Une recommandation n’est pas une critique et n’implique pas de faute professionnelle. C’est une solution proposée au responsable en vue de résoudre les dysfonctionnements constatés.

Le rapport d’audit interne est généralement organisé par thème ou fonctions abordés selon un ordre logique. Le corps du rapport sera précédé par une introduction en trois parties :

- Les circonstances et les objectifs de la mission : origine de la demande, raisons ayant motivé la mission, et objectifs recherchés.

- L’étendue des travaux et notamment leur limite et leur date : il s’agit de faire comprendre aux lecteurs de quoi l’audit se porte garant et sur quoi il n’émet aucune garantie. Il n’est pas nécessaire d’exposer les méthodes et techniques utilisées pour l’audit.

- Une présentation de l’entité ou de la fonction auditée (description de l’organisation actuelle, caractéristiques, chiffres clés…)

Par ailleurs, le rapport d’audit interne communique aux responsables concernés les plans d’action à mettre en œuvre et met l’accent sur les dysfonctionnements pour que soient développées des actions de progrès à entreprendre. Il est transmis également pour information aux organes dirigeants de l’organisation : conseil d’administration, comité d’audit, direction générale….

Le rapport répond à une structure qui concilie les impératifs suivants :

- Note de synthèse : document d’information qui doit rappeler les points du rapport d’orientation (objectifs, champs d’activités), donner des informations générales sur l’entité auditée avec indication des moyens humains et matériels. A la fin de la note de synthèse l’auditeur doit donner son opinion sur le degré de maîtrise des opérations par l’entité auditée.

- Résultats de l’audit : outil de travail qui comprend le détail des constats, anomalies relevées suite à la non application et à l’insuffisance des procédures, qui présente des recommandations précises et concrètes en mesure de définir les actions à entreprendre.

2- Les outils de l’audit interne :20

Les outils utilisés par l’auditeur ne sont pas employés de façon systématique. Chacun choisit l’outil le mieux adapté à son objectif. Ils ne sont pas spécifiques à l’audit 20 SCHICK P, (2007) « Mémento d'audit interne », Dunod, Paris

93


interne, mais utilisés par beaucoup de professions. Plusieurs critères de classement des outils d’audit peuvent être utilisés. Le critères rentrant dans chacune des phases préparation et réalisation semble le plus admis.

2-1 la phase de préparation :

Le questionnaire de prise de connaissance

Le questionnaire est indispensable à la connaissance du domaine et/ou du processus à auditer. L’auditeur utilisera les questionnaires qui existent déjà dans le guide d’audit et/ou le dossier de synthèse après les avoir mis à jour.

Si pour un processus le questionnaire n’existe pas, l’auditeur doit le concevoir selon la structure globale ci-dessous :

Activités :- niveau général d’activité- activité continue ou saisonnière- activité homogène ou diversifiée- ratios clés et statistiques d’exploitation- exigences et problèmes en matière d’environnement

Entité :- Organigramme- Dirigeants (expérience, réputation, rotation)- Effectifs et rotation- Environnement informatique- Méthodes et procédures- Informations réglementaires- Organisation spécifique de l’entité- Système d’information- Problème passées ou en cours- Réformes en cours ou prévues

Le tableau des risques

Le tableau sert à appréhender les objectifs dont les dispositifs de contrôle ont été identifiés comme zones à risques « objectifs spécifiques » qui seront transcris dans le rapport d’orientation et qui feront l’objet d’un examen approfondie. L’auditeur doit mettre à jour les tableaux des risques qui existent déjà dans le guide d’audit et/ou le dossier de synthèse.

Si pour un processus, le tableau n’existe pas, l’auditeur doit le concevoir en respectant les étapes suivantes :

- Découper l’activité en taches - Indiquer l’objectif en face de chacune des taches- Indiquer les risques essentiels encourus si la tâche n’est pas

correctement effectuée- Evaluer sommairement ces risques attachés à cette tâche,

abstraction faite du dispositif de contrôle existant (élevé, moyen et faible)

94


- Indiquer le dispositif de contrôle de référence qui devrait théoriquement être mis en place

- Apprécier le dispositif de contrôle mis en place par rapport au référentiel

Les zones à sélectionner ensuite pour un examen approfondi peuvent être :

- Les zones à risques élevés avec un dispositif de contrôle faible- Les zones à risques spécifiques élevés- Les zones à risques élevés avec un dispositif de contrôle

nouvellement mis en place ou en cours.- Les zones à risques élevés avec un dispositif de contrôle élevé mais

qui n’ont jamais été sélectionnés pour un examen.

2-1 Phase de réalisation

le questionnaire du contrôle interne

Il permet grâce à un certain nombre d’interrogations précises, de déceler les forces et les faiblesses du contrôle interne et d’apprécier si les tâches sont bien faites et bien maîtrisées. L’auditeur doit mettre à jour les questionnaires du contrôle interne qui existent déjà dans le guide d’audit et/ou le dossier de synthèse.

Si pour un processus le questionnaire du contrôle interne n’existe pas, l’auditeur doit le concevoir, il s’agit d’élaborer les questions qui permettront d’identifier, pour chaque procédure à auditer, les dispositifs spécifiques de contrôle essentiels.

Les sondages :

En raison de l’impossibilité matérielle de vérifier l’exhaustivité des opérations, l’auditeur fait appel à la technique du sondage qui consiste à appliquer une procédure de contrôle à une partie limitée (l’échantillon) d’un ensemble d’éléments (la population) selon une méthode statistique. Les résultats obtenus sur l’échantillon contrôlé doivent être susceptibles d’être extrapolés à l’ensemble de la population totale, objet du contrôle, pour aboutir à une conclusion sur le risque d’erreur.

On distingue deux types de sondages selon l’objectif à atteindre :

- Le sondage d’estimation, permettant de mesurer selon une méthode statistique, si les erreurs relevées à des séries importantes de données font courir un risque significatif global

- Le sondage de détection, visant à vérifier si les anomalies apparentes sont réelles

Les interviews :

Les questions à poser lors des entretiens doivent être préparé à l’avance afin qu’aucune question essentielle ne soit omise. Elles doivent être élaborées en fonction

95


de type d’information recherchées par l’auditeur et dirigées principalement sur l’identification des dispositifs de contrôle qui existent ou/et devraient être exister.L’auditeur utilisera les questionnaires qui existent déjà dans le guide d’audit et/ou le dossier de synthèse après les avoirs mis à jour.

La narration :

Il existe deux sortes de narration, toutes les deux utilisées en audit interne :

- La narration par l’audité permet à l’auditeur de rapporter des faits et des événements à partir du récit et des déclarations et descriptions orales de son interlocuteur : l’auditeur se contente d’écouter et de noter le récit. Par opposition à l’interview qui est préparé et recueilli pour des points précis, la narration ne fait que décrire un cadre général.

- La narration par l’auditeur consiste à transcrire la narration orale. Elle représente une mise en ordre de renseignements obtenus par ailleurs. L’approfondissement de la compréhension d’un point d’une procédure, de la constations de dysfonctionnement et d’autres faits relevés en relation avec l’audité sont des sources de reproduction narratives d’auditeurs.

L’observation physique

L’observation physique d’un élément est un moyen au service de l’auditeur. C’est le moyen le plus sûr de vérifier la véracité et l’existence de certains éléments. Cette observation peut être utilisée pour apprécier l’application d’une procédure sur le terrain. Elle permettra à l’auditeur de compléter sa compréhension de la procédure, de relever les insuffisances et/ou les dysfonctionnements d’application.

L’auditeur doit saisir toutes les occasions pour aller sur le terrain et observer. Tout est observable : les processus, les biens, les documents et même les comportements. L’auditeur peut utiliser à titre d’exemple, l’observation pour confirmer la réalité d’une livraison ou l’existence d’un élément d’actif (stock immobilisations espèces en caisse, chèque en caisse).

Les grilles d’analyse des tâches

Les grilles d’analyses permettent d’identifier l’ensemble des tâches effectuées par une personne dans un processus donné et d’apprécier ce dernier par rapport au principe d’organisation auquel s’appui le contrôle interne, notamment la séparation des tâches.La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité un même agent cumule :

- Les fonctions de décision (ou opérationnelles)- Les fonctions de détention des valeurs et des biens- Les fonctions d’enregistrement (saisie et traitement)- Les fonctions de contrôle

96


Ou même simplement deux d’entre elles. Un tel cumul favorise les erreurs, les négligences, les fraudes et leurs dissimulations.

Pour concevoir la grille, l’auditeur doit établir un tableau à double entrée qui permet d’effectuer l’inventaire des différentes opérations réalisées et de repérer en particulier les cumuls de fonctions.

Le tableau d’analyse des tâches

Taches

Re

spo

ns

ab

le

cou

rrie

r

Re

spo

ns

ab

le a

cha

t

Co

mp

tab

le

Fo

nd

é d

e

po

uvo

ir

…..

1- Réception Ex

2-Rapprochement facture/BC

C

3-Comptabilisation

En

4- Signature du chèque

A

5- Etablissement du chèque

Fn

6- …..

Ex : ExécutionA : AutorisationEn : Enregistrement comptable

97


Fn : FinancièreC : Contrôle (vérification)

Diagramme de circulation

Le diagramme de circulation ou flow-chart est un instrument graphique de description des procédures. Il représente une suite d’opérations dans laquelle les différents documents, postes de travail, de décisions, de responsabilités, d’opérations sont représentés par des symboles dont la signification est connue.

Il définit la circulation des documents entre les différentes fonctions et les responsabilités, indique leur origine et leur destination, et donc donne une vision complète du cheminement des informations et de leurs supports. Ses objectifs sont de :

- Donner une description des procédures et systèmes de l’entreprise et mettre en relief les aspects importants du contrôle interne ;

- Etre une base pour l’audit de conformité qui sert à vérifier que les procédures sont bien appliquées

Les outils informatiques d’analyse et d’extraction des données

Les auditeurs sont confrontés à un volume croissant de données informatiques et doivent faire face à des opérations qui consistent à :

- Effectuer des tests répondant aux objectifs de l'audit ;- Transformer les masses de données en informations ;- Automatiser les travaux d'audit habituellement effectués manuellement ;- Pratiquer l'audit par les données ;- Identifier des fraudes éventuelles.

Trois catégories d'outils informatiques peuvent être utilisées.

- Les outils de travail de l'auditeur : logiciels de traitement de textes, dedessins, de représentation graphique et les tableurs, ...

- Les outils de réalisation des missions qui comprennent ceux méthodologiques pour concevoir les tableaux de risques, formaliser les FRAP...et ceux d'interrogation et d'extraction des fichiers. Un logiciel d'extraction est nécessaire pour pouvoir faire des analyses et des extractions interactives de données. Ce logiciel permettra de disposer des statistiques (moyenne, nombre de valeurs positives, nombre de valeurs négatives....) et d'effectuer des jointures entre différents fichiers (ex : rassembler dans un seul fichier les informations issues de deux autres fichiers : valorisation des stocks avec quantités dans l'un et prix de revient dans l'autre).

- Les outils de gestion du service qui concourent à la gestion de la fonction.

Vérifications diverses

98


- L'examen analytique

Les procédures d'examen analytique présentent la caractéristique de pouvoir être utilisées à différents niveaux de la mission de l'auditeur : lors de la prise de connaissance générale de l'entité, de la planification de la mission, dans l'identification des domaines de risques, et lors de la phase de réalisation de la mission pour la détection des anomalies apparentes.

La comparaison des données absolues. Cette technique consiste à faire des analyses de données par rapport à :

- Celles des périodes antérieures pour déterminer si l'évolution est cohérente ;

- Celles issues d'un budget pour savoir si les objectifs fixés ont été atteints, sinon pour en connaître les motifs :

- Aux mêmes données dans des entités comparables.

La comparaison des données relatives. Il s'agit principalement de déterminer et d'analyser les ratios significatifs (ratios d'exploitation, ratios de structure de bilan, ratios de rotation).

La revue de vraisemblance. Consiste à procéder à un examen critique des composantes d'un solde pour identifier celles qui sont à priori anormales.

- L'examen des documents

Le contrôle formel : qui se fait généralement à l'occasion d'autres contrôles, permet à l'auditeur de s'assurer que les pièces justificatives sont correctement établies, qu'elles ne portent aucune trace d'altération ou de surcharge. En fait qu'elles n'ont pas été falsifiées.

Le contrôle substantiel : est un contrôle qui permet d'apprécier si l'opération faisant l'objet d'une pièce justificative entre bien dans le cadre de l'objet social et y trouve sa justification.

Les contrôles par recoupement : plus les sources d'information sont différentes, meilleure est la véracité d'un élément. En effet, l'auditeur pourra être pleinement satisfait, lorsque l'authenticité d'une opération sera confirmée grâce au rapprochement de chiffres ou de faits provenant de sources différentes.

On distingue deux types de contrôle par recoupement, l'un interne, l'autre externe :

- Les contrôles par recoupement interne: Ces contrôles se font par rapprochement d'informations interne provenant de différentes origines.

- Les contrôles par recoupement externe : La confirmation directe est une procédure qui consiste à solliciter les tiers ayant des liens d'affaires avec l'entité.C'est un autre moyen de validation des constats. Les tiers à consulter sont à titre d'exemple : les avocats, les banques, les fournisseurs...

99


SECTION III : les nouvelles défis de l’entreprise publique marocaine

Après une période marquée par une stratégie de libération du pays du joug du colonialisme et par de largesses financières, dues à la hausse des cours du phosphate, principale matière d’exportation, sur le marché international, le Maroc, suite à la conjugaison de plusieurs facteurs tant internes qu’externes, allait connaître une crise financière difficile, l’obligeant à tomber dans le cercle d’endettement et à réviser sa politique économique dans un sens plus libérale. Du fait de cette crise au niveau des paiements extérieurs, le Maroc allait s’efforcer de s’insérer davantage dans l’économie mondiale et encourager, donc, les activités tournées vers l’extérieur dans le seul souci du rétablissement des équilibres extérieurs et agrégats macroéconomiques. Cette gestion de la crise- souci du court terme- est de nature est de reléguer au second plan les préoccupations du développement.

1- Le plan d’ajustement structurel : 21

La philosophie de l’ajustement structurel s’appuie sur l’idée que le bilan de l’intervention étatique dans l’économie a été globalement négatif. Les déséquilibres entraînés par la mise en place de politique volontariste ont engendré de déficits extrêmement coûteux. Et l’intervention de l’Etat sur les marchés a engendré des distorsions qui ont désorienté et bridé l’investissement privé. Le rétablissement des grands équilibres macroéconomiques doit être complété par un processus de réformes qui restaure les conditions permettant au secteur privé de manifester son dynamisme.

L’ajustement avait donc un double objectif : créer une situation qui empêche la répartition des déficits, et réduire ou éliminer les distorsions qui bridaient ou déviaient le potentiel économique du secteur privé. Le premier objectif s’inscrit dans le droit fil de la stabilisation ; et le second est de modifier les structures économiques de façon à permettre la mise en route d’un processus de croissance durable faisant une place centrale au secteur privé.

Pour permettre la reprise d’une croissance saine, il faut donc modifier certains paramètres clés. Lorsque ceux-ci auront retrouvé des valeurs raisonnables, le système d’incitation à investir et à produire et les mécanismes d’allocation des ressources productives reflèteront la disponibilité réelle des ressources et les avantages comparatifs du pays. Une meilleure allocation des ressources est vue comme incompatibles avec les interventions correctives et de soutien de la part de l’Etat. Il

21 Magazine MASSALIK numéro double 13-14/2010, (2010) « Politique économique et perspective de développement au Maroc», CASABLANCA

100


s’agit essentiellement de créer un cadre, « un environnement macroéconomique », propices à la reprise de l’investissement et de l’initiative privée.

A cet effet, les actions mises en œuvre concernaient l’assainissement de la situation des entreprises publiques. L’option libérale des organisations internationales conduit à privatiser les entreprises publiques qui ne jouissent pas d’un monopole « naturel » ou ne gérant pas un bien public. Les programmes d’ajustement s’amorcent donc presque toujours par un audit du portefeuille de l’Etat, qui conduit à distinguer les entreprises qui ne peuvent être privatisées, mais dont la gestion doit être améliorée, et les entreprises qui doivent sortir du portefeuille de l’Etat.

Condamné par son inefficacité, critiqué pour ses pesanteurs ou encore sa coûteuse omniprésence, le secteur public s’est retrouvé dans l’inconfortable position de bouc émissaire, désigné comme le responsable de tous les malheurs. La privatisation de celui-ci apparaît comme une réforme curative nécessaire et indispensable : « guérir le mal public par une médication privée » telle a été l’objectif du fond monétaire d’investissement.

Privatisation, transfert, démantèlement, autant de termes qui évoquent un état d’esprit et une position vis-à-vis de l’entreprise publique jugée défaillante et accusé de tous les maux : mauvaise gestion, inefficacité ; lenteur…..etc. Par ailleurs, le secteur public marocain regroupe un ensemble d’entreprises sous diverses formes juridiques. Cet ensemble est un potentiel économique, financier et social considérable qui a constitué une partie intégrante du paysage socio-économique national.

Depuis l’indépendance, son poids et ses dimensions économiques et financières n’ont pas cessés de croître et de s’étendre à toutes les branches de l’activité économique. En 1992, le secteur des entreprises publiques représente plus de 20% de formation brute du capital fixe, 15% du PIB et 7% de l’emploi urbain.

Ainsi, face aux défis de la privatisation dans le cadre du plan d’ajustement structurel, les entreprises publiques marocaines doivent se doter des moyens de gestion et de contrôle efficaces pour pouvoir être à la hauteur des ambitions du royaume et du fond monétaire d’investissement qui ne cesse à imposer ses instructions au pays sous développés coupable d’être incapable d’honorer leurs engagements en matière de la dette externe.

2- La mondialisation et les défis de la concurrence

Dans le contexte de la mondialisation, de nouveaux consensus, en matière de finances publiques, sont admis à l'échelle planétaire prônant l'adoption de politiques budgétaires et financières rigoureuses.

Dans ce sens, l'attractivité de notre pays a commandé, en premier lieu, la stabilité du cadre macro-économique en vue de donner une visibilité à long terme aux investisseurs nationaux et étrangers.

101


Mais le maintien des équilibres fondamentaux n'est pas une fin en soi et n'est pas suffisant pour déclencher la dynamique de création des richesses.Notre pays a été appelé à engager des réformes structurelles pour moderniser son tissu économique.

Il a inscrit, depuis le milieu des années 80, sa stratégie économique dans ce contexte de mondialisation comme en témoignent son adhésion à l'OMC ou son accord de libre-échange avec l'Union européenne qui prévoit une harmonisation de sa législation avec cet ensemble à l'horizon 2012 ou encore l'accord de libre-échange en cours négociation avec les Etats-Unis d'Amérique.

Depuis le plan d’ajustement structurel (PAS), le Maroc a suivi une politique constante de libéralisation de son économie et d'encouragement de l'investissement privé.

Les plans nationaux successifs se sont attachés à mettre en place les conditions d'une croissance économique forte et durable seule à même de générer des emplois et de résorber les déficits sociaux.

Des réformes et des actions structurantes ont été engagées en vue de l'exploitation au mieux des avantages comparatifs du pays, la diversification des débouchés à l'extérieur, l'assouplissement de contrainte foncière, l'élaboration de stratégies sectorielles cohérentes et volontaires ainsi que la modernisation de la législation et la réduction du coût des facteurs de production.

Les services publics ont toujours été au centre des réformes entreprises vu qu'ils constituent un critère clé de l'attractivité du territoire “ Maroc ” mais présentent le risque de peser lourdement sur les finances publiques, du fait des investissements capitalistiques qu'ils exigent.

La problématique du secteur public n'a pas toujours été bien posée car “ service public ” a été longtemps et fréquemment considéré, à tort, comme devant être assumé par une entreprise publique et vice-versa, c'est-à-dire qu'une entreprise est présumée assurer un service public.

la question qui se pose est : Quel positionnement du secteur public dans le contexte de la mondialisation ?

La mondialisation soulève la question du repositionnement du secteur public dans le nouvel environnement au sein duquel elles doivent évoluer.Les services publics constituent un facteur déterminant pour renforcer la capacité concurrentielle de l'économie marocaine, rehausser les avantages comparatifs du pays aux yeux des investisseurs étrangers et améliorer la couverture et la qualité de prestations essentielles pour satisfaire les besoins des entreprises et des populations.

Grâce à la concurrence, il est permis de s'attendre, pour les entreprises publiques en mesure de participer à cette compétition, à une offre de services publics de qualité et à des prix abordables tout en désengageant l'Etat du fardeau budgétaire de transferts financiers au profit des entreprises publiques et lui permettre de se concentrer sur ses missions régaliennes.

Pour réussir la mutation, il faudrait engager des stratégies à 3 niveaux :

102


• La libéralisation des services public et la restructuration des entreprises publiques assumant ces services ;

• L’accélération du programme de privatisation des entreprises publiques et de désengagement de l'Etat ;

• La modernisation de la gouvernance de ces entreprises.

En outre, l'environnement, de plus en plus concurrentiel, tant sur le plan interne que sur le plan international, impose aux entreprises publiques une gestion plus active privilégiant l'assainissement et la restructuration opérationnelle et/ou financière. .La libéralisation des services publics et l'attrait d'investisseurs privés devraient par la même atténuer l'endettement extérieur du secteur des entreprises publiques.

Conclusion:

Le schéma suivant illustre le degré de complexité dans lequel opère l’entreprise publique marocaine :

Mesure de degré de complexité :

Matrice d’analyse bi- dimensionnelle :

Trè

s é

lev

ée

Ele

vée

Mo

yen

ne

As

sez

bie

n

Trè

s f

aib

le

Niveau de diversité (concurrence

Niveau d’évolution

Stable

Lente

Moyenne

Rapide

Très rapide

De ce constat, On constate donc que l’entreprise publique marocaine opère dans un environnement complexe caractérisé par une concurrence acharnée et de nombreuses incertitudes inhérentes à son contenu.

103


Ainsi, la situation instable de l’environnement socio-économique, dans lequel opèrent les entreprises marocaines, implique l’intégration dans un processus de maîtrise des risques.

CHAPITRE III :L’AUDIT INTERNE : CONCEPTION D’UN SYSTEME

DE PILOTAGE DES RISQUES LIES A L’ACTIVITE PUBLIQUE

Les objectifs d’une mission d’audit sont déterminés en fonction des résultats de l’évaluation préliminaire des risques liés à l’activité soumise à l’audit, auquel doit procéder l’auditeur interne. C’est l’énoncé même de la norme 2210, stipulé par les normes internationales pour la pratique professionnelle de l’audit interne, qui dicte que le respect des normes est essentiel pour que les auditeurs internes puissent s’acquitter de leurs responsabilités. La manière de se conformer aux normes permet surtout d’assurer à la mission un niveau minimum de performances.

Les normes définissent des exigences obligatoires applicables en matière d’audit. Les missions confiées à l’audit couvrent systématiquement le domaine très sensible des risques, de leur identification et de leur évaluation.

C’est une vision étendue du rôle de l’audit interne qui ne doit pas simplement se focaliser sur le contrôle interne, mais aussi sur les risques et le traitement des déficiences.Le présent chapitre sera consacré à la proposition d’une démarche active de gestion de risque.

104


Section 1 : fiche signalétique du projet

1- Intitulé du projet :

La mise en place d’une démarche de gestion des risques au sein de l’entreprise publique.

2- l’objet du projet :

L’entreprise publique est exposée à divers risques. Elle est confrontée à de nouveaux défis : environnement de plus en plus interconnecté et complexe, efficacité accrue requise en matière de fourniture des prestations, gestion administrative responsable, diversité du catalogue des tâches des organisations et restrictions budgétaires.

En effet, le risque est une donnée intrinsèque à la vie de l’entreprise. Le concept de risque en audit interne se définit, dans le glossaire des normes de l’IIA comme la possibilité que se produise un événement d’origine interne ou externe susceptible d’avoir un impact défavorable sur la réalisation des objectifs. Même les événements dont la probabilité d’occurrence est faible sont pris en compte, s’ils ont un impact significatif sur la réalisation d’un objectif majeur.

Il est à signaler que des lois et des réglementations sont instaurées aux Maroc imposant aux entreprises publiques et privées de renforcer leur gouvernance d’entreprise et d’avoir une meilleur réactivité en matière d’analyse des risques. La loi 69-00 relative au contrôle financier de l’Etat sur les entreprises publiques et autres organismes prévoit dans son article 14 « le comité d’audit adresse directement au directeur de l’organisme un rapport retraçant le résultat de chaque intervention effectuée ainsi que les recommandations qu’il estime utiles pour l’amélioration de la gestion et la maîtrise des risques économiques et financiers de l’organismes ».

Par ailleurs, toute activité économique entraîne des risques, que les dirigeants doivent identifier et évaluer. Les évaluations portant sur les risques et les activités de contrôles, réalisées par les auditeurs internes, donnent au conseil d’administration une vision objective du dispositif de management des risques et jouent un rôle clé, dans le pilotage et le fonctionnement de la direction.

Pour pallier les risques, la mission d’auditeur interne consiste à les rechercher, à les démontrer, et à élaborer des solutions pour convaincre les responsables.

Ainsi, cette démarche de gestion de risque, proposée ci-dessous, vise essentiellement l’instauration d’un système d’identification, analyse, maîtrise et suivi des risques actuels et potentiels pouvant entraver le bon fonctionnement de l’entreprise publique.

3- Intérêts du projet :

L’environnement au sein duquel évoluent les entreprises marocaines est de plus en plus caractérisé par des changements fréquents ce qui est de nature à imposer à celles-ci d’adapter constamment leurs procédures de gestion en fonction de leurs contraintes stratégiques. Une telle adaptation ne peut se faire en méconnaissance des processus de gestion des risques.

105


Le but est de faire en sorte que le processus de gestion métier de l’entreprise contienne une dimension orientée vers la prise en considération du processus du risque.

4- Objectifs du projet :

Avec la politique de gestion des risques, l’entreprise publique poursuivra les buts suivants :

- Exécution des tâches axées sur les résultats, la rentabilité et l’anticipation ;- Maintien du bon fonctionnement de l’organisation publique en tous temps ;- Garantie d’un niveau élevé de sécurité physique pour les personnes et les

valeurs patrimoniales ;- Soutien des instances dirigeantes au moyen d’information sur les risques

complète, transparente et actualisée ;- Contrôle et réduction au maximum des coûts des risques ;- Fournir un cadre méthodologique qui permet à toute activité future d’être

mise ne place d’une façon cohérente et maîtrisée ;- Améliorer le processus des décisions, leur planification et leur

hiérarchisation par une compréhension exhaustive et structurée des activités de l’organisation, de la volatilité de ses résultats et par l’analyse des opportunités ou menaces sur ses projets ;

- Contribuer à l’optimisation de l’utilisation/allocation du capital et des ressources dans l’organisation.

5- Méthodologie de mise en place du projet :

D’une manière générale, on peut proposer une décomposition du processus de gestion de risques comme suit :

Phases Contenu Commentaire

1

Recensement des facteurs susceptible de constituer des menaces pour la bonne marche de l’entreprise.

Il s’agit de faire état de tous les risques possibles d’en faire une évaluation objective compte tenu des éléments suivants :

- Nature- Origine- Occurrence

2

Analyse des risques Il s’agit d’une définition de la typologie des risques et d’une estimation de l’impact de risques dénombrés sur l’organisation afin d’en mesurer l’importance compte tenu d’une échelle de valeur retenue

3 Actions de maîtrise et de contrôle des risques

Il s’agit de délimiter les actions à envisager et à entreprendre pour réduire l’impact des risques et d’en réduire l’occurrence ainsi que les actions de contrôle ou de suivi d’exécution et d’appréciation de l’envergure des actions

106


entreprises.

Section 2 : la mise en place d’une démarche de gestion des risques :

1- Recensement des facteurs susceptible d’entraver l’activité de l’entreprise publique

Le recensement des risques vise à identifier l’exposition de l’organisation à l’incertitude. Elle requiert une connaissance précise de l’organisation, des marchés où celle-ci opère, de son environnement juridique, social, politique et culturel. Elle requiert également de développer une solide compréhension de ses objectifs stratégiques et opérationnels, des facteurs critiques de succès et des menaces et opportunités qui s’y rapportent. 22

L’identification des risques requiert une approche méthodique pour garantir que chaque activité significative de l’organisation a été identifiée et que chaque risque qui en découle a bien reçu une définition. Toute volatilité sera identifiée et classée dans une catégorie.

En effet la description des risques consiste à présenter les risques identifiés, dans un format structuré, comme par exemple un tableau. Le tableau de description des risques, proposé ci-dessous, facilitera la description et l’évaluation de certains risques.

Nom du risque …………………………………………………

Portée du risqueDescription qualitative des événements, taille, type, nombre et interdépendances

Nature de risqueEn général stratégique, opérationnelle, financière, liée aux connaissances ou à la conformité

Parties prenantes Parties prenantes et leurs attentes

Quantification du risque Importance et probabilité

Tolérance/ appétence pour le risque

Perte potentielle et impact financier du risqueValeur à risqueProbabilité et amplitude des gains/pertes potentielles

Traitement du risque et mécanisme de maîtrise

Principaux moyens par quoi le risque est actuellement géré Degré de confiance dans les moyens de maîtrise en place

22 RENARD, J (2002) « Audit Interne : ce qui fait débat » Editions d'organisation.

107


Ainsi, dans la gestion des risques, l'action de l'audit interne repose sur l'identification des événements potentiels, susceptibles d'avoir un impact négatif, sur la mise en œuvre de la stratégie ou sur la réalisation des objectifs.

L'identification des risques n'est pas un exercice limité dans le temps. C'est un exercice permanent, car les risques évoluent avec les changements de l'environnement interne ou externe. De nouveaux risques apparaissent, notamment lors de la création d'un nouveau produit ou d'une nouvelle activité, un changement d'organisation ou de système, des changements économiques, financiers, sociaux, législatifs et réglementaires. Les risques sont souvent identifiés en combinant :

Des questionnaires ouverts adressés à tous les cadres dirigeants ainsiqu'aux collaborateurs responsables sur leur perception des risquespouvant affecter tant l'organisation dans son ensemble, qu'un périmètrerestreint à leurs propres activités.

Des entretiens individuels afin de développer le contenu du questionnaireet de mieux connaître les causes des risques et les moyens éventuels poury remédier ou en atténuer l'impact.

Les risques soulevés sont recensés et regroupés par famille de risques, dans un tableau qui détermine les risques clés, dont l'impact est significatif. C'est une évaluation plus quantitative et chiffrée de chacun des risques. L'auditeur interne procède ensuite à l'appréciation des mesures prises par la direction à l'égard de ces risques pour dresser une cartographie des risques et planifier ensuite les missions d'audit.

1-1 Classification et affectation des risques :

La typologie des risques peut s'envisager sous plusieurs angles. Le découpage suivant peut être utilisé :

• L'objet du risque (élément sur lequel porte le risque) :- Les ressources humaines- L'environnement- La réglementation, le droit et la politique- Les clients

Les biens matériels ou immatériels- Les systèmes informatiques et logistiques- Les activités productives (processus)- Les systèmes de synthèse et reporting- Les finances et l'économie

• Les causes de risque (éléments à l'origine du risque) :- Les grèves, revendication, accidents du travail- Les événements naturels ou accidentels- Les malveillances- Les erreurs (internes à l'entreprise)- Les pannes ou dysfonctionnements techniques dans les processus

108


- Les événements d'ordre réglementaire et juridique

• Les conséquences de risque (expression de l'impactdu risque) :

- Pertes financières directes ou indirectes- Dommages aux personnes- Dommages aux biens- Sanction légale- Perte d'image- Fraude

Le passage en revue des différentes approches, la combinaison de l'objet, des causes et des conséquences de risques, ainsi que l'utilisation de modèles conduisent à définir une typologie de risques et les différents portefeuilles de risque.

Par ailleurs, l'affectation des risques consiste à rattacher les risques identifiés à un ou plusieurs portefeuilles de risques. Pour optimiser cette affectation, l'auditeur interne doit revenir aux événements passés, imaginer les risques potentiels qui pourraient survenir, pour chaque portefeuille, qualifier le risque de façon précise, par rapport à l'activité ou à l'objectif sur lesquels il porte.

Cette affectation permet de s'assurer que tous les risques possibles ont été couverts et s'apparentent à un portefeuille. Le défaut d'affectation peut signifier que le risque n'est pas significatif ou que la typologie est incomplète. C'est pourquoi le choix d'un modèle standard de grille d'analyse des risques est particulièrement préconisé. L'affectation permet aussi de zoomer sur un portefeuille en particulier et d'avoir une vision globale des risques concernant seulement ce portefeuille.

Les risques recensés à partir d'un cas pratique sont affectés à un portefeuille de risque dans « la grille d'analyse des risques ». Ensuite évalués dans « l'inventaire des risques » pour définir la gravité et le niveau de maîtrise qui permettent l'élaboration de la cartographie des risques.

Exemple de tableau proposé pour un rattachementdes risques

Grille d'analyse des risques

PR

OC

ES

SU

S

RISQUES RECENSES

(non exhaustifs)

TYPOLOGIE (PORTEFEUILLES) DE RISQUES

Soc

ial

Tec

hn

olo

giq

ue Info

rmat

iqu

e

Fin

anci

er

Par

ten

aire

s

Clie

nt

En

viro

nn

emen

t

Po

litiq

ue

Infr

astr

uct

ur

e Juri

diq

ue

109

FACG LA DEMARCHE DE GESTION DES RISQUES AU SEIN DE L’ENTREPRISE PUBLIQUE A

ch

ats

et

réc

ep

tio

nDéfauts techniques ou mauvaise qualité des produits sélectionnés

X x

Bon de commande erroné X X

Non respect des délais de réalisation de l'affaire

X x x X

Re

sso

urc

es

h

um

ai

ne

s

L'âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l'expertise peuvent disparaître

X x

Fin

an

cie

rs e

t C

om

pta

ble

s

La crise financière limite les possibilités de faire appel aux marchés à des conditions acceptables.

X x

Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d'un risque d'erreur matériel ou de

X X X

Ge

sti

on

d

e l

a s

éc

uri

té

Accès au système informatique non sécurisé (virus, piratage...)

X X

Vols ou endommagement de marchandises

X X x x

1-2 Recensement des risques liés à l’entreprise publique

Dans le secteur public, le risque « humain» est plus exposé dans la mesure où il est lié à l'usage d'une ressource doté d'une volonté propre qui peut diverger de sa direction. En effet, plus une activité est intense en capital humain et plus les salariés représentent un facteur de risque.

Le tableau ci-dessous résume les risques liés à chaque portefeuille, leurs causes et leurs conséquences.

Typologie de risques

RISQUES CAUSES ET CONSEQUENCES

110


Risque social

Personnel Grève, conflits sociaux, revendications, politique de rémunération, instabilité d'emploi, droits et liberté de la personne, discrimination, harcèlement...

Humain Interruption de production, erreur, disparition (décès, retraite, licenciement ou démission), indemnisation, accident de travail...

Compétences Manque d'expérience, stabilité, habileté en communication ou en technologie...

Risque technologique

Processus de production Formation inadaptée du

personnel, non optimisation des outils de production, défaut d'homogénéité dans les pratiques de gestion de la qualité... Processus basé sur la technologie : non-protection du savoir-faire, contrefaçon, non suivi des innovations....

Obsolescence Les technologies en rapide évolution rendent la technologie choisie obsolète.

InnovationLa technologie prévue n'est pas utilisée de façon adéquate.

Risque informatique

Transmission d'information

Risque économique de nature organisationnelle (communication non optimale), de nature logistique (stocks, approvisionnements), manque de formation des utilisateurs...

Système Défaillance ou survenance d'erreur, réputation due à la cybercriminalité, virus, écrasement de disque dur, erreur utilisateur, dommage aux logiciels et au matériel,...

Risque financier

Placements financiers et investissements

Gestion des portefeuilles inefficace, fluctuation des cours boursiers, volatilité des cours de change...

Règlements créances clients

Insolvabilité et incapacité de règlement des clients

111


Ethique comptable et activité de contrôle

Mauvaise évaluation des provisions, détournement de fonds, signature non autorisée...

Manque de ressources

Incertitude du financement, ressources inadéquates, manque d'expertise en gestion de ressources complexes...

Risque partenaires

Formes de collaboration

Entente ou contrats inadéquats, sélection des partenaires inappropriée, gestion déléguée, valeurs et/ou éthique non compatible.

Processus de collaboration

Problèmes relatifs à la communication, cultures différentes, inertie, dépendance, méfiance, manque de consensus ou d'implication.

Fournisseur Défaillance, non approvisionnement, marchandise défectueuse.

Multiplication des intermédiaires

Confusion dans les responsabilités; manque de traçabilité

Caractéristiques

Manque d'implication, difficultés de communication.

Risque client

Commercial Insatisfaction des usagers du service, conditions de vente non respectées, mauvaise anticipation des besoins des clients au service vente et marketing.

Caractéristiques des clients

Résistance au changement, niveau d'éducation inapproprié, attentes irréalistes.

Changement dans la demande

Evénement imprévu augmentant ou diminuant la demande du service.

Changement dans les attentes des citoyens

Plus d'exigence en termes de qualité et de coûts des services offerts.

Risque environnement

Environnement Air, eau, terre, induisent un risque environnemental de pollution, d'inondation de séismes...

Politiques et sociaux

Gêne des usagers, riverains,...

Compétition Le service est offert ailleurs ou un service substitut existe.

112


Envergure du projet

Universalité ou spécialisation du service, nombre de partenaires, nombre de clients, taille du budget.

Définition et structure du projet

Objectifs imprécis, spécification mal définie, changements dans l'envergure du projet..

Stratégie de gestion

Support et contrôle organisationnels inadéquats, absence de leader, non disponibilité d'outils et de processus de gestion.

Risque politique

Eléments politiques

Election de nouveaux responsables politiques, embargo sur les produits, guerre, protectionnisme.

Objectifs conflictuels

Objectifs conflictuels avec d'autres organismes ou supportent des moyens différents pour les atteindre.

Lois ou réglementations

Projet affecté par des exigences légales ou réglementaires nouvelles ou modifiées.

Risque infrastructure

Matériel Incendie, inondation, attentat, vol ou dégradation de l'outil de travail...

Expertise technologique

Absence ou inadéquation des infrastructures et des compétences technologiques.

Risque juridique

Réglementaire Hausse des impôts, adoption de nouvelles lois, non respect des obligations léqales...

Contractuelles Litige, non respect d'engagement, contrat ou marché mal négocié...

Elément de responsabilité civile

Risque de mauvaise qualité ou absence d'assurance...

2- Analyse et traitement des risques :

La démarche de l'auditeur interne, repose sur l'identification et l'analyse des risques. Elle conduit à l'évaluation de l'importance du risque, la probabilité de survenance de ce risque et des mesures qu'il convient de prendre ou qui existent déjà.

L'analyse des risques comme l'identification constituent pour les entreprises un processus continu et répétitif. Elle demeure un élément clé d'un système de contrôle interne efficace. L'analyse et la représentation visuelle (cartographie) des risques ont pour objectif de faire un état des lieux des forces et faiblesses réelles ou potentielles de l'organisme, afin d'orienter les travaux détaillés de l'auditeur.

113


L'analyse des risques permet à l'auditeur interne de faire un état des lieux des forces et faiblesses apparentes ou potentielles de l'entité ou de l'activité auditées. Le degré d'une force ou d'une faiblesse combiné au degré de gravité du risque vont guider ses travaux ultérieurs.23

2.1. L'évaluation des risques

Les risques sont généralement évalués en fonction de deux critères majeurs :- La probabilité de survenance du risque.- L'impact du risque en cas de survenance.

Le croisement de ses deux critères permet d'évaluer la gravité du risque. Il est nécessaire, avant d'estimer la gravité, que les décideurs définissent ce qu'ils entendent par grave : une perte financière, humaine, des dégâts environnementaux, sanitaires ...

Gravité = Probabilité x Impact

L'entreprise définit son propre système d'évaluation : une note de 1 à 5 permettra d'évaluer la probabilité de survenance et une autre note de 1 à 5 évaluera l'impact potentiel du risque s'il se matérialise. Une note globale combinant les deux précédentes mettra en évidence les risques les plus significatifs.

Cette échelle de cotation permettra d'obtenir une première hiérarchisation des risques qui sera ensuite soumise et validée par la direction générale, si elle n'est pas impliquée dans la cotation.

La probabilité de survenance du risque

L'auditeur interne définit au préalable des critères de cotation des niveaux de probabilité ou de fréquence de survenance du risque. Ensuite il essaie d'adapter ces niveaux de probabilité au contexte de l'organisation et au choix de la méthode (par objectif / par processus). Il déterminera ensuite le nombre de niveaux de probabilité selon le degré de précision souhaitée.

Ci-dessous une proposition de deux exemples de grille d’évaluation de la probabilité de survenance des risques.

Exemple I :

GRILLE DES NIVEAUX DE PROBABILITE

Cotation Evénement opérationnel (niveau)1 Improbab

le1 fois par an

2 Rare Tous les 3 mois

3 Peu fréquent

Tous les mois

4 Occasionnel

Chaque semaine

23 FERMA, (2003) « Cadre de référence de la gestion des risques » Revue

114


5 Fréquent Chaque jour

Exemple II :Notation Evénement « exceptionnel » (nive

1 Improbable

Evénement risquant de se produire uniquement dans des cas exceptionnels

< 10%

2 Rare Evénement risquant de se produire à un moment donné

10-30%

3 Peu fréquent

Evénement devant se produire à un moment donné

30-50%

4 Occasionnel

Evénement probable dans la plupart des cas

50-90%

5 Fréquent Evénement attendu dans la plupart des cas

> 90%

L'évaluation de l'impact

L'auditeur interne évalue le niveau d'impact pour chaque risque identifié, par rapport à la nature et le niveau d'affectation des objectifs. Le niveau d'impact peut résulter d'un seul et de plusieurs impacts.

EXEMPLE DE GRILLE DES NIVEAUX D’IMPACTS POUR 5 CRITERES « HABITUELS »

No

tati

on

Critères de quantification de l’impact

Financier

Environnement

Réputation

Réglementatio

n

Degré d’implicati

on de la direction

1

FA

IBL

E

Impact inférieur à 1% ou nul

Risques pour l’environnement sur site maîtrisés immédiatement

Impact qui n’est pas visible qu’en interne

Manquements mineurs de la part de personnel isolé

Evénement dont l’impact peut être absorbé par l’activité normale

115


2

MIN

EU

R

Impact de 1 à 3%

Risques pour l’environnement sur site maîtrisés moyennant des efforts soutenus

Impact invisible par le client/partenaire

Absence d’amende et d’interruption des services programmés

Evénements dont les conséquences peuvent être absorbées mais impliquent l’intervention de la direction pour en minimiser l’impact

3

MO

YE

N

Impact de 3 à 10%

Risques pour l’environnement sur site maîtrisés en recourant à une assistance externe

Série d’articles dans la presse locale/spécialisés du secteur

Amende, mais absence d’interruption des services programmés

Evénement majeur pouvant être géré dans des circonstances normales

4

MA

JE

UR

Impact de 10 à 25%

Risques pour l’environnement hors site maîtrisés en recourant à une assistance externe

Couverture négative de grande ampleur par les médias locaux

Amende et interruption des services programmés

Evénement critique supportable moyennant une gestion correcte

5

FO

RT

Impact supérieur à 25%

Risques pour l’environnement hors site se traduisant par des effets dommageables

Couverture négative de grande ampleur par les médias nationaux

Interruption importante et prolongée des services programmés

Désastre susceptible de provoquer l’effondrement de l’entreprise

116


L'évaluation de la gravité

L'évaluation du niveau de risque se fait en combinant la probabilité de survenance et l'impact de la survenance.

A la suite de leur évaluation, les risques potentiels sont synthétisés dans un tableau afin de les pondérer selon leur fréquence et leur impact, et pouvoir ainsi mesurer leur gravité, avant de construire une cartographie des risques. Si la probabilité de survenance d'un risque et du niveau de son impact sont cotés selon la pondération de la grille d'analyse des risques établie précédemment, la gravité des risques peut être catégorisée selon le schéma suivant :

3- Actions de maîtrise et de contrôle des risques évalués :

3-1 L'analyse des actions de maîtrise des risques 24

24 Magazine MASSALIK numéro double 13-14/2010, (2010) « Politique économique et perspective de développement au Maroc», CASABLANCA

117

Probabilité

Impact

5

4

3

2

1

1 2 3 4 5

Gravité élevée : 3Gravité moyenne : 2Gravité faible : 1


L'analyse des actions de maîtrise des risques permet à l'auditeur de mettre au regard le niveau de risque inhérent identifié et le niveau de maîtrise afin de discerner le risque résiduel.

Les éléments de maîtrise sont indispensables pour garantir la maîtrise des risques. Quand aucun élément n'existe, les risques sont tous inhérents. Seuls les éléments de maîtrise existants, efficaces et approuvés, sont pris en compte dans l'analyse de la maîtrise.

Pour positionner les éléments de maîtrise des risques, trois facteurs sont retenus : la prévention (cerner les causes), la détection (déceler la manifestation), la protection (se prémunir contre les conséquences).

Les procédures de gestion des risques, émanant des activités de contrôle, sont des éléments de maîtrise propres à chaque processus et conçues pour réduire les risques - de risque brut à résiduel - susceptibles d'affecter la réalisation des objectifs de la société. L'analyse des éléments de maîtrise est réalisée selon la méthodologie suivante:

Recensement des éléments de maîtrise :

Les conséquences ou l'impact de risque peuvent être la résultante de la déficience d'un point de contrôle au niveau des ressources humaines, matérielles et immatérielles. Pour chaque risque inhérent, les activités de contrôle décrivent les moyens qui sont mis en œuvre, par le contrôle interne pour éviter les causes des risques inhérents et donner une assurance que le processus est maîtrisé.

Le COSO définit les activités de contrôle comme l'application des normes et procédures destinées à assurer l'exécution des directives émises par la direction en vue de maîtriser les risques susceptibles d'affecter la réalisation des objectifs. Il existe plusieurs types d'éléments de maîtrise à tous les niveaux de l'organisation :

- Eléments de maîtrise : activités de contrôle

- Analyses effectuées par la direction de l'entreprise : sur lesperformances réalisées afin d'évaluer dans quelle mesure les objectifs sont atteints.

- Traitement des données : contrôles effectués afin de vérifier l'exactitude,l'exhaustivité et l'autorisation des transactions.

- Contrôles physiques : concerne la sécurité physique et les inventairesphysiques comparés aux données figurant sur les documents comptables.

- Indicateurs de performance : l'analyse combinée de différents ensemblesde données (opérationnelles ou financières), la revue des variations dedifférents indicateurs et la mise en œuvre d'opérations correctivesconstituent des activités de contrôle.

- Séparation des tâches : afin de réduire les risques d'erreur etd'irrégularité, les tâches sont reparties entre employés.

- Autres éléments de maîtrise :

- Action de sécurité / sûreté.

118


- Formation.- Automatisation.- Suivi de la stratégie (indicateurs de performance).- Assurance...

Cotation des éléments de maîtrise :

Pour chaque élément de maîtrise, et en fonction de sa nature, il faut évaluer le niveau d'efficacité de cet élément, au regard du risque identifié. Il peut y avoir plusieurs éléments de maîtrise pour chaque risque.

Il est utile d'apprécier l'efficacité conjuguée des éléments de maîtrise, par rapport à la nature du risque, en dressant une grille d'analyse avec une synthèse de cotation. Afin de réaliser la synthèse des éléments de maîtrise pour chaque risque, une notation globale des actions de maîtrise devra être réalisée, compte tenu de leurs niveaux et de leurs natures.

La cotation porte sur l'évaluation du niveau d'efficacité des éléments de maîtrise au regard de la gravité des risques évalués précédemment. Pour chaque risque identifié, les éléments de maîtrise peuvent se décliner selon la matrice suivante :

Matrice de cotation des éléments de maîtrise

Maîtrise faible (peu efficace par rapport au risque)

119

Absence d’actions de maîtrise

Maîtrise forte (efficace par rapport au risque)

Maîtrise moyenne (efficacité moyenne ou partielle par rapport au risque)

+

Efficacité

-

- Existence +


La cartographie des risques : 25

La cartographie des risques, point essentiel de la mise en œuvre d'une gestion des risques structurée et du processus de management des risques est une représentation visuelle des résultats obtenus en amont, qui permet de repérer rapidement et plus facilement les zones de risques à traiter en priorité. Il constitue un outil de travail qui permet :

- D'obtenir une vision globale des risques de l'entreprise ;- De mieux apprécier et cerner les risques majeurs de l'entreprise ;- De vérifier la pertinence des risques couverts par le dispositif de maîtrise

en place et de l'ajuster en fonction des enjeux, évitant ainsi les situationsde contrôle faible ou d'insuffisance du contrôle ;

- A l'entreprise de prioriser les actions à mettre en œuvre au regard de sastratégie et des zones de risques identifiées ;

- De communiquer au comité d'audit, comité des risques et conseild'administration.

La cartographie des risques est un document qui permet de façon substantielle de :- Renforcer leurs processus de gestion des risques par une approche

structurée et formalisée ;- Fournir un outil et une méthode de recherche et de hiérarchisation des risques qui

facilitera notamment l'élaboration des plans d'audit annuel et pluriannuel, la détermination des actions et missions prioritaires ;

- Répondre à certaines obligations légales visant l'amélioration de la gestionet de la maîtrise des risques (loi 69-00, loi de sécurité financière, ouautres...).

Le but est de visualiser de façon synthétique les zones à risque pour l'entreprise, en distinguant les risques les plus forts, dans une démarche de prévention. Il montre les risques encourus par toute la chaîne hiérarchique, de nature à renforcer la légitimité pratique de l'audit interne et à promouvoir ensuite la mise en œuvre des dispositifs de contrôle.

Du point de vue de l'auditeur, l'intérêt est double. Programmer les interventions du service selon une approche annuelle ou pluriannuelle, en fonction du niveau de finesse retenu. Réguler l'activité du service et l'optimiser, en affectant les bonnes compétences aux spécificités requises, par chacune des missions programmées.

La cartographie contribue aussi à rationaliser ou à expliciter l'intervention de l'audit qui se déroule dans un contexte serein, puisque les raisons de l'intervention sont connues du service concerné. Elle est aussi l'occasion d'amorcer un dialogue avec les directions opérationnelles, pour évaluer avec les responsables les zones à risque inhérentes à leurs activités. Ce dialogue ouvert, sensibilise les services de l'entreprise au bien-fondé du contrôle interne, et facilite les interventions des auditeurs.

25 Siham SAMHANE (2007) « L'élaboration d'une cartographie détaillée des risques spécifiques au secteur du transport maritime Marocain. Cas du transport des marchandises (CARGO) », mémoire d'expertise comptable, Maroc.

120


La cartographie des risques sert de guide pour la maîtrise des risques de chaque processus. La catégorisation des risques obtenue, présentée sous forme graphique, donne une vision sommaire partagée par les managers sur tous les risques de l'entreprise. Ces risques sont synthétisés et classés par l'auditeur interne dans trois catégories qui mettent en évidence trois situations.

- Situation de Zone de risque critique :

Les risques sont considérés comme critiques et peu ou mal maîtrisés. Ils font l'objet d'actions prioritaires.

Elle regroupe les risques les plus sensibles en termes d'impact. Le niveau de maîtrise de ces risques est considéré faible.

Le secteur public s'inscrit alors dans une démarche de mise en place de dispositifs de protection en amont ou de détection en aval afin de limiter les conséquences de ces risques.

- Situation de Zone de surveillance :

Ces risques peuvent être évalués comme ayant un impact moindre pour les organisations. Ils sont parallèlement jugés mieux maîtrisés. Ou Ils ont une importance jugée intermédiaire, avec un niveau de maîtrise élevé.

- Contrôle : les risques sont considérés comme critiques mais relativement

121


bien maîtrisés. Il conviendra de s'assurer qu'ils demeurent sous contrôle.- Suivi : les risques sont moins importants, mais perçus comme peu

maîtrisés. Il conviendra de les suivre sans trop focaliser sur ces derniers.

- Situation de Zone d'optimisation :

Les risques sont considérés comme peu importants et correctement maîtrisés. Elle regroupe des risques estimés à faible impact.

3-2 Les dispositifs de contrôle à mettre en œuvre

La pérennité de la démarche de gestion des risques nécessite la mise en place d’un dispositif de contrôle des risques pour les mettre toujours sous surveillance et maîtriser par conséquent leur impact. Ci-dessous tout un ensemble d’états proposés permettant de formaliser ce dispositif de contrôle des risques.

INVENTAIRE DES RISQUES

Pro

cess

us

Risques recensés (non exhaustifs)

Description des Contrôles / Eléments de

Maîtrise

Ac

ha

t e

t ré

ce

pti

on

R1: Défauts techniques ou mauvaise qualité des produits sélectionnés

Procédure d'appel d'offre pour les investissements. Contrôle des réceptions, Commandes par le responsable des achats et le DAF

R2: Bon de commande erroné Processus d'achat : c o n s e r v a t i o n d e s documents

R3: Non respect des délais de réalisation de l'affaire

Procédure d'appel d'offre pour les investissements

Re

sso

ur

ces

hu

m

R4: L'âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l'expertise peuvent disparaître

Plan de succession validé pour tous les postes clé. P r o c é d u r e s d e recrutements performants et bien définies

122


Fin

an

cie

rs e

t C

om

pta

ble

sR5: La crise financière limite les possibilités de faire appel aux marchés à d e s c o n d i t i o n s acceptables.

Examen mensuel, par la direction, des prévisions é c o n o m i q u e s e t comparaison avec la posit ion f inancière p r é v i s i o n n e l l e d e l'organisme.

R6: Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d'un risque d'erreur matériel ou de fraude

Evaluation du contrôle i n t e r n e e t e x a m e n semestriel des comptes

Ge

sti

on

sé

cu

rité

R7: Accès au système informatique non sécurisé (virus, piratage...)

Procédure de sauvegarde du SI

R 8 : V o l s o u endommagement de marchandises

Contrôle des réceptions commandées par le responsable des achats et le DAF

EXEMPLE DE TABLEAU DE SUIVI OPERATIONNEL DES ACTIONS DE MAITRISE DES RISQUES

Processus

Risques identifiés

Durée & dates Prévision

Ressources assig

CommentairesProc

essus

Achat et réce

Défauts techniques ou mauvaise qualité des produits sélectionnés

25 février-25 mars

M.X Chef de MissioBon de commande

erronéProcessus Ressource

s humaines

L'âge moyen des cadres dirigeants est supérieur à 50 ans, le savoir faire et l'expertise peuvent disparaître

15 janvier-15 février

M.X Chef de mission M.Y Audite

Processus Financiers

et comptables

La crise financière limite les possibilités de faire appel aux marchés à des conditions

20 janvier-20 février

Mme Z Chef de missio

Les mécanismes du contrôle interne relatifs à la clôture des comptes ne permettent pas de se prémunir d'un risque d'erreur matériel ou

123


Processus Gestion de

la sécur

ité

Accès au système informatique non sécurisé (virus, piratage...)

20 avril - 20 juin

Mme W Responsable du PGS M.T Auditeur

Mission nécessitant des déplace

Vols ou endommagement de marchandises

EXEMPLE DE TABLEAU DE SUIVI PLURIANNUEL DES ACTIONS DE SUIVI DES RISQUES :

Audits des

années

N° de mission d’audi

PROCESSUS

GRAVITE DES

RISQUES

Années

Anné

Temp

2010

2011

2012

2013

2014

1 2 -Processus Achat et réception :- Risque 1 - Risque 2

-Risque significatif et peu maîtrisé-Risque significatif et mal maîtrisé

X

X

X X X

3 4 -Processus Ressourcehumaine :Risque 3 Risque 4

-Risque significatif et mal maîtrisé -Risque moyen et non maîtrisé

X X X X

5 6 -Processus financiers et Comptables- Risque 5 - Risque 6

-Risque moyen et non maîtrisé -Risque significatif et peu maîtrisé

X X X

-Processus Gestion de la sécurité

……

124


Conclusion :

L’orientation vers l’analyse par processus se révèle plus pertinente dans la démarche à adopter pour mettre en place une cartographie des risques. L’approche par objectif selon la nature globale des risques (juridique, financier, pénal, voire d’image), peut ne pas donner une garantie sur l’exhaustivité de la démarche et s’avérer peu lisible par les service opérationnels.

La première étape consiste à segmenter les différents métiers et activités exercés en processus, pour identifier les risques liés à chaque processus.

La seconde étape consiste à noter et évaluer les risques ainsi obtenus pour réduire le nombre de risques résiduels et se focaliser sur les plus forts et les plus probables. Le risque maximum état évidemment celui à fort impact ayant une haute probabilité de se réaliser. Cette analyse relève aussi du degré de qualité et de fiabilité du contrôle interne au sein de l’entreprise publique.

La troisième étape consiste à hiérarchiser ces risques pour établir une programmation des interventions d’audit interne. Seuls les risques les plus forts sont pris en compte.

La quatrième étape consiste à représenter la cartographie des risques : différentes formes de représentations sont possibles :

- Sous forme d’une matrice dans laquelle on va restituer les résultats obtenus lors des évaluations des risques et des actions de maîtrise. Ces résultats sont pressés sous forme de nuage de points, les risques inhérents sont placés sur l’axe des ordonnées et l’efficacité des actions de maîtrise sur l’axe des abscisses.- Sous forme d’un graphique radar- Sous forme d’un tableau d’évaluation des risques

L’importance des risques et le degré de maîtrise des contrôles mis en place pour chaque processus doivent être synthétisés dans un inventaire des risques qui sert à élaborer la cartographie.

125


‘La fin’

126


CONCLUSION GENERALE

Un développement très différencié

Reconnu dans le monde entier, enrichi par ses plus récents développements liés aux technologies de l'information, aux changements sociaux, culturels, à la mondialisation, l'audit interne connaît un nouveau rebondissement dû à la dimension qu'il a prise dans l'aide à la réalisation des performances. Parce qu'il intègre dans son processus toutes les diverses activités et les contrôles que l'entreprise réalise en interne et en externe, l'audit interne participe à la prise de décision de toute nature et ses appréciations déterminent entre autres :

♦ Si les risques majeurs de l'entreprise sont identifiés et réduits au minimum.♦ Si les réglementations externes ainsi que les politiques et procédures

internes sont respectées.♦ Si des critères d'exploitation satisfaisants sont remplis.♦ Si les ressources sont utilisées de manière efficace et économique.

Ces contrôles ont pour but d'aider l'institution à atteindre effectivement ses objectifs. Toutes les institutions devraient en conséquence avoir une fonction d'audit interne. Outre ses avantages propres. Elle aide ses membres à remplir efficacement leurs fonctions et leur apporte assurance sur le fonctionnement de l'institution et des conseils pour l'améliorer. Cet élargissement de l'audit interne correspond à l'approche partenariale de la gouvernance d'entreprise exprimée dans la définition et au rôle qu'il joue réellement dans l'appréciation des risques.

Avec le management des risques, l'audit interne vise non seulement la protection des ressources financières, humaines, image, mais également la continuité d'activité ou de service et enfin la conformité aux lois. La discipline concourt au fait à l'amélioration de la performance, en ce sens elle vise à optimiser les ressources face aux risques. Les risques dans les entreprises changent de nature. Les processus dépendent de plus en plus des nouvelles technologies et systèmes d'information (causes de nouvelles vulnérabilité : virus, fuite d'informations confidentielle...) des cadres réglementaires, de la qualité du climat social, des exigences des clients...

Tous ces éléments sont pris en considération et font que les démarches d'audit se développent dans le secteur privé, comme dans les entreprises publiques. Leur champ d'action est partout renforcé, étendu et adapté à des attentes toujours accrues...L'audit interne a donc évolué de manière très forte vers les risques opérationnels et a entraîné une montée en puissance des comités d'audit. Ceci se formule par la réforme opérée du contrôle financier sur les entreprises publiques, qui rejoint les normes et standards internationaux, et qui met l'accent, sur les recommandations visant

127


notamment la mise en œuvre des instruments de gestion et l'institution des comités d'audit au sein de ces organismes.

Même si une majorité d'organisations publiques déclarent disposer d'une fonction audit interne, elle n'est pas toujours tenue par un service dédié, mais par d'autres acteurs: le contrôle de gestion est le département le plus utilisé pour assurer la fonction d'audit interne.

♦ Il s'agit donc pour l'audit interne, sur la base de ce constat, de pénétrer lesorganisations encore « hésitantes ».

♦ Il s'agit de bannir la méfiance à l'égard du contrôle.♦ Il s'agit pour le haut management d'intégrer dans ses préoccupations la

nécessité de mettre en place un audit interne performant qui répond auxnormes de positionnement et de dimensionnement.

♦ Il s'agit de permettre à la maîtrise des risques de devenir un des premiersobjectifs pour les entreprises publiques.

♦ Il s'agit aussi de valoriser la méthodologie d'application des valeurs del'audit interne, de capitaliser les ressources.

♦ Il s'agit de la nécessité de renforcer la formation et le perfectionnementdes membres des comités d'audit, des structures d'audit, pour lutter contrele déficit en auditeurs internes, dont souffre la plupart des entreprisesmarocaines, alors que les auditeurs internes constituent une population trèsmobile et difficile à fidéliser.

♦ Il s'agit de l'acquisition de nouvelles compétences qui devrait s'imposer àtoutes les organisations soucieuses de créer de la valeur.

♦ Il s'agit de se réadapter à l'environnement de l'audit interne en constanteévolution: compléter les compétences traditionnelles en matière d'audit pard'autres aptitudes adaptées à la démarche d'analyse par les risques, àl'audit interne en temps réel, aux innovations technologiques, à lagouvernance d'entreprise, aux principes d'éthique et de conformité, pourêtre en mesure de répondre aux enjeux d'aujourd'hui et aux enjeux dedemain, dont les nouvelles réglementations.

♦ Il s'agit de disposer d'une autonomie budgétaire.♦ Il s'agit surtout de créer les conditions, au-delà du cadre réglementaire,

d'instaurer une dynamique et une culture de contrôle avérées, au sein desorganismes publics.

La réforme de l'Etat axée sur la gestion de la performance, est une tendance probablement irréversible, déclenchée pour une série de raisons. L'entreprise publique doit prendre conscience qu'elle est confrontée à des exigences de clients, à une nécessaire mutation dans une démarche globale de qualité et vers un certain nombre de valeurs dont le souci de l'éthique, du développement durable, du sentiment citoyen.

Cette prise de conscience est d'autant plus nécessaire dans un environnement économique particulièrement incertain où le rôle de l'audit interne prend sa véritable dimension majeure, de détection de risques critiques que les entreprises doivent obligatoirement limiter.

♦ Il s'agit donc aussi pour les entreprises publiques de prévenir et maîtrisertout impact négatif sur les objectifs. C'est désormais sur un plan d'audit axésur les risques que reposent les activités de l'audit interne.

128


Les périodes de crise et les climats de fortes incertitudes viennent rappeler combien est nécessaire le champ de compétence de l'audit interne. Ils montrent aussi que les processus de gestion des risques s'accentuent, gagnent en importance et font apparaître de nouvelles approches qui se répandent de plus en plus, dans le domaine de l'amélioration des performances pour accompagner l'audit interne.

Des sociétés privées citent aujourd'hui l'existence dans leur organisation d'une fonction gestion des risques dédiée, indépendante dans son concept, à l'instar de l'auditeur.Les dirigeants des services publics tout en prenant conscience des risques opérationnels de leur entreprise n'ont pas tous atteint la maturité de créer une fonction dédiée et surtout d'entreprendre le véritable «projet d'entreprise» qui consiste à déployer le management des risques, en s'appuyant sur la fonction audit interne et encore moins celle de gestion des risques ou risk-management.

Une politique efficace de management de risques doit être formalisée et reposer sur des rôles et des responsabilités bien définis en interne et des processus d'évaluation, de reporting et de surveillance.

L'audit interne, le risk-management et leur mise en œuvre ne rendent pas les processus plus complexes. Les vrais freins demeurent la lourdeur administrative, le manque de ressources en interne, de gouvernance d'entreprise, le manque de structure du contrôle interne.

L'audit interne est certes en pleine expansion, le risk-manager en devenir, les deux concepts constituent actuellement la meilleure parade pour se protéger des risques. Il faut juste expliciter leur champ réel d'action pour ne plus observer un embrouillement dans les concepts et pour que ne ressort plus cette confusion sur les périmètres, les rôles, les missions et les responsabilités...

L'audit interne est une profession qui va encore plus se centrer sur les processus de gestion des risques, le risk- manager constitue le partenaire indispensable. Leurs apports communs, la conjugaison de leurs efforts entraînent des avantages et des bénéfices appréciables dans la gestion des risques : meilleure sensibilisation, identification plus rapide, amélioration certaine des performances des processus et des activités, une meilleure allocation des ressources et un renforcement de planification stratégique.

Le management du risque prendra sûrement une importance capitale dans le quotidien de l'entreprise. Déjà on lui prédit de devenir une discipline de premier plan comme la finance, le marketing, les ressources humaines. Du fait que l'application sur le terrain, s'opère au Maroc, à un rythme encore trop lent, l'idéal serait que la réalité de la pratique de l'audit interne dans nos entreprises publiques puisse un jour correspondre à celle observée dans les pays avancés.

Les efforts que nous fournissons tous intervenants, auditeurs, chercheurs, experts et managers doivent tendre à démystifier l'aspect contraignant qui peut peser sur le renforcement des mécanismes de contrôle interne, en aidant au développement de mise en place de services d'audit interne structurés.

129


Ce travail ou son apport espère contribuer à accompagner les démarches, lever quelques ambiguïtés, présenter les référentiels et les bonnes pratiques, fournir des éléments clé de la méthodologie à mettre en œuvre, éclairer sur les difficultés spécifiques à l'environnement de l'entreprise publique et de l'audit interne. En somme faciliter la mise en place d'une cellule d'audit interne dédiée à la gestion des risques au de l'entreprise publique.

1- LA LOI 69-00

2- NORMES INTERNATIONALES DE L’AUDIT INTERNE

3- MODELE DE CHARTE D’AUDIT

4- EXEMPLE DOSSIER D’AUDIT

5- EXEMPLE DE LETTRE DE MISSION

6- EXEMPLE DE RAPPORT D’AUDIT

7- MODELE DE TYPOLOGIE DES RISQUES

130


ANNEXE 1 : Loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises publiques et autres organismes

Chapitre premier : De la mission du contrôle financier de l'Etat Article premier : Généralités et définitionsAu sens de la présente loi, on entend par :

- organismes publics : l'Etat, les collectivités locales et les établissements publics ;- sociétés d'Etat : les sociétés dont le capital est détenu en totalité par des

organismespublics ;

- filiales publiques : les sociétés dont le capital est détenu à plus de la moitié par desorganismes publics ;

- sociétés mixtes : les sociétés dont le capital est détenu au plus à hauteur de 50% pardes organismes publics ;

- entreprises concessionnaires : les entreprises chargées d'un service public en vertud'un contrat de concession dont l'Etat est l'autorité contractante.

Le capital détenu s'entend de la participation directe ou indirecte, exclusive ou conjointe,des organismes publics.

Article 2 : Mission du contrôle financierLe contrôle financier de l'Etat est exercé sur les établissements publics, sociétés et entreprises visés à l'article premier ci-dessus, a priori ou a posteriori, selon leur forme juridique et les modalités de leur gestion et ce, dans les conditions prévues par la présente loi ainsi que sur les organismes soumis au contrôle financier de l'Etat en vertud'une loi particulière.Ce contrôle a pour objet, selon les cas :

- d'assurer le suivi régulier de la gestion des organismes soumis au contrôle financier ;

- de veiller à la régularité de leurs opérations économiques et financières au regard des dispositions légales, réglementaires et statutaires qui leur sont applicables ;

- d'apprécier la qualité de leur gestion, leurs performances économiques et financières ainsi que la conformité de leur gestion aux missions et aux objectifs qui leur sont assignés ;

- d'œuvrer à l'amélioration de leurs systèmes d'information et de gestion ;- de centraliser et analyser les informations relatives au portefeuille de l'Etat et à

ses performances économiques et financières.

Chapitre Il : Du champ et des types de contrôle

Article 3 : Contrôle des établissements publicsLes établissements publics sont soumis à un contrôle préalable qui est exercé par leministre chargé des finances, un contrôleur d'Etat et un trésorier payeur, conformément

131


aux articles 7, 8, 9 et 10 ci-dessous.Toutefois, les établissements publics qui répondent aux conditions prévues aux articles17 ou 18 ci-dessous sont soumis, par dérogation à l'alinéa ci-dessus, au contrôled'accompagnement prévu au chapitre IV de la présente loi.La liste des établissements publics soumis au contrôle préalable ou au contrôled'accompagnement est fixée et révisée périodiquement par décret. Elle est jointe auxdocuments annexés au projet de loi de finances lors de sa présentation au Parlement.

Article 4 : Contrôle des sociétés d'Etat à participation directeLes sociétés d'Etat dans lesquelles l'Etat ou une collectivité locale détient uneparticipation directe sont soumises à un contrôle d'accompagnement qui est exercé par leministre chargé des finances et un contrôleur d'Etat conformément aux dispositions duchapitre IV de la présente loi.

Article 5 : Contrôle des sociétés d'Etat à participation indirecte et des filiales publiquesLes sociétés d'Etat dans lesquelles I'Etat ou une collectivité locale ne détient pas une participation directe ainsi que les filiales publiques peuvent être soumises à un contrôle conventionnel exercé par un commissaire du gouvernement conformément aux dispositions du chapitre V de la présente loi.

Article 6 : Contrôle des entreprises concessionnairesLes entreprises concessionnaires sont soumises à un contrôle financier qui est défini dans le contrat de concession et exercé par un commissaire du gouvernement nommé auprès de l'entreprise concessionnaire.

Chapitre III : Des modalités d'exercice du contrôle préalable

Article 7 : Actes soumis à l'approbation du ministre chargé des financesLes décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des finances :

- les budgets ;- les états prévisionnels pluriannuels ;- le statut du personnel ;- l'organigramme fixant les structures organisationnelles et leurs attributions ;- le règlement fixant les règles et modes de passation des marchés ;- les conditions d'émission des emprunts et de recours aux autres formes de

créditsbancaires, telles qu'avances ou découverts ;

- l'affectation des résultats.Sauf dérogation accordée par le ministre chargé des finances, les fonds disponibles des établissements publics sont déposés au Trésor.

Article 8 : Organisation financière et comptable des établissements publics En application des dispositions de l'article 3 ci-dessus, le ministre chargé des finances fixe les modalités d'application de la présente loi, par établissement ou groupe d'établissements publics et arrête, à cette fin, les procédures de préparation, d'adoption et de visa des budgets et états prévisionnels pluriannuels, les modalités de tenue de la comptabilité de l'ordonnateur, les diligences devant être effectuées par le contrôleur d'Etat ainsi que les registres et autres supports devant être tenus par le trésorier payeur. Les budgets visés à l'article 7 ci-dessus sont les actes par lesquels sont prévus, chiffrés et autorisés, au titre de l'exercice suivant, les opérations d'exploitation, de financement, de trésorerie et les investissements. Ils comportent notamment un budget d'exploitation ou de fonctionnement, un budget d'investissement ou d'équipement et un plan de financement. Ils sont détaillés selon le plan de comptes de l'organisme. Le directeur de l'établissement public ou la personne habilitée est l'ordonnateur du budget. Il est chargé d'engager, de liquider et d'ordonnancer les opérations prévues dans le budget. Il est soumis, à ce titre, à la législation relative à la responsabilité des ordonnateurs.

132


Article 9 : Le contrôleur d'EtatLe contrôleur d'Etat assiste, avec voix consultative, aux séances du conseil d'administration ou de l'organe délibérant ainsi qu'aux réunions des commissions ou comités constitués en application des dispositions législatives, réglementaires, statutaires ou conventionnelles relatives à l'organisme contrôlé.Il dispose d'un droit de communication permanent tant auprès de l'organisme que de ses filiales et participations et peut effectuer, à tout moment, sur pièces et sur place, toutes vérifications et tous contrôles qu'il juge opportuns et peut se faire communiquer toutes les pièces qu'il estime utiles à l'exercice de sa mission telle que définie à l'article 2 ci-dessus et notamment tous contrats, livres, documents comptables, registres et procès-verbaux.Il peut obtenir, sous couvert du ministre chargé des finances, toutes informations utiles à l'exercice de sa mission auprès des tiers qui ont accompli des opérations avec l'organisme.

Le contrôleur d'Etat dispose, dans la limite des seuils fixés par le ministre chargé des finances, d'un pouvoir de visa préalable sur les acquisitions immobilières, tous contrats ou conventions de travaux, de fournitures et de services ainsi que sur l'octroi de subventions et dons. Il exerce également un droit de visa préalable des actes de gestion du personnel dans les établissements publics ne disposant pas d'un statut du personnel approuvé dans les conditions visées à l'article 7 ci-dessus. Les seuils visés au présent alinéa sont déterminés selon l'importance de l'organisme et en fonction du nombred'opérations concernées et de leur montant.En cas de refus de visa, le ministre chargé des finances décide en dernier ressort.Le contrôleur d'Etat peut, également, donner son avis sur toute opération relative à lagestion de l'organisme, à l'occasion de l'exercice de ses fonctions et qu'il fait connaîtrepar écrit, selon le cas, au ministre chargé des finances, au président du conseild'administration ou de l'organe délibérant ou à la direction.Il rend compte de sa mission dans un rapport annuel qu'il adresse au ministre chargé desfinances et qui est soumis au conseil d'administration ou à l'organe délibérant.

Article 10 : Le trésorier payeurLe trésorier payeur en tant que comptable public est responsable de la régularité desopérations de dépenses, tant au regard des dispositions légales et réglementaires, quedes dispositions statutaires et budgétaires de l'organisme.Il doit s'assurer que les paiements sont faits au véritable créancier, sur un créditdisponible et sur présentation de pièces régulières établissant la réalité des droits ducréancier et du service fait.Toutefois, la responsabilité du trésorier payeur est dégagée lorsque, après avoir adresséun rejet motivé au directeur de l'organisme, il est requis par ce dernier de viser unmoyen de paiement. Il est tenu de se conformer à cette réquisition qu'il annexe à l'ordrede paiement. Il en avise sans délai le ministre chargé des finances.Le trésorier payeur signe, conjointement avec le directeur ou la personne habilitée del'organisme, les moyens de paiement tels que chèques, virements et effets de commerce.Pour les établissements publics gérant des régimes de retraite et de prévoyance sociale,des arrêtés du ministre chargé des finances préciseront, pour chaque organisme, leslimites des attributions du trésorier payeur.Le trésorier payeur peut être habilité, par arrêté du ministre chargé des finances, àeffectuer un contrôle des recettes.

Chapitre IV : Des modalités d'exercice du contrôle d'accompagnement

Article 11 : Le ministre chargé des financesLes décisions du conseil d'administration ou de l'organe délibérant, portant sur les actes ci-après, ne sont définitives qu'après leur approbation par le ministre chargé des finances ;- les budgets ;- les états prévisionnels pluriannuels ;

133


- l'affectation des résultats.Toutefois, les budgets des établissements publics qui ne reçoivent pas de subvention del'Etat, deviennent définitifs dès leur approbation par le conseil d'administration oul'organe délibérant à l'unanimité de ses membres.

Article 12 : Le contrôleur d'EtatLe contrôleur d'Etat accomplit les attributions prévues aux alinéas 1, 2, 3, 6 et 7 del'article 9 ci-dessus.En outre, il apprécie la conformité de la gestion de l'organisme à la mission et auxobjectifs qui lui sont assignés ainsi que les performances économiques et financièresdudit organisme.Lorsque de graves insuffisances sont constatées par le conseil d'administration oul'organe délibérant, le contrôleur d'Etat, le comité d'audit ou par tout organe de contrôlecompétent, dans la gestion de l'organisme soumis au contrôle, le ministre chargé desfinances peut habiliter, par décision, le contrôleur d'Etat à exercer un droit de visapréalable sur certains actes limitativement définis et pour une durée déterminéerenouvelable une ou plusieurs fois jusqu'à redressement de la situation.Le contrôleur d'Etat soumet, à cet effet, un rapport motivé au conseil d'administration ouà l'organe délibérant, en vue de prendre les mesures nécessaires pour le redressementde la situation.

Article 13 : Les instruments de gestionLes organismes soumis au contrôle d'accompagnement doivent se doter des instrumentsde gestion définis à l'article 17 ci-dessous dûment approuvés par le conseild'administration ou l'organe délibérant.

Article 14 : Le comité d'auditLes organismes soumis au contrôle d'accompagnement doivent instituer un comitéd'audit.Le comité d'audit est composé, outre le contrôleur d'Etat, de deux à quatre membresnommés par le conseil d'administration ou par l'organe délibérant parmi les membresnon-dirigeants ou de mandataires nommément désignés par eux à cet effet.Le comité d'audit est habilité, à travers les opérations d'audit, à apprécier la régularitédes opérations, la qualité de l'organisation, la fiabilité et la bonne application du systèmed'information ainsi que les performances de l'organisme. Il a pour mission de faireprescrire et réaliser, aux frais de l'organisme, les audits internes et externes ainsi que lesévaluations qui lui paraissent nécessaires. Il peut, en outre, inviter tout expertindépendant à participer à ses travaux.Le comité d'audit adresse directement au directeur de l'organisme un rapport retraçant lerésultat de chaque intervention effectuée ainsi que les recommandations qu'il estimeutiles pour l'amélioration de la gestion et la maîtrise des risques économiques etfinanciers de l'organisme. Ce rapport est soumis au conseil d'administration ou à l'organedélibérant.

Chapitre V : Des modalités d'exercice du contrôle conventionnel

Article 15 : Convention de contrôlePeuvent être soumises au contrôle conventionnel :

- les filiales publiques à participation directe majoritaire de l'Etat ou d'une collectivitélocale à travers une convention de contrôle à conclure avec l'Etat dont le suivi est assuré par un commissaire du gouvernement nommé auprès de la filiale publique ;

- les filiales publiques autres que celles visées au paragraphe ci-dessus et les sociétésd'Etat dans lesquelles l'Etat ou une collectivité locale ne détient pas une participation directe, dans le cadre d'une convention de contrôle à conclure avec l'entreprise mère dont le suivi est assuré par le commissaire du gouvernement nommé auprès de la filiale publique ou la société d'Etat.

134


L'entreprise mère, prévue au présent article, doit conclure, avec chacune des filiales publiques et sociétés d'Etat visées au paragraphe ci-dessus, une convention approuvée par leurs conseils d'administration ou organes délibérants respectifs qui détermine les modalités de contrôle que l'entreprise mère doit exercer sur lesdites filiales publiques et sociétés d'Etat.Au sens du présent article, l'entreprise mère est celle qui détient le plus fort pourcentage du capital public au sein de la société d'Etat ou de la filiale publique. La convention de contrôle doit comporter les obligations de la société d'Etat ou de la filiale publique contractante notamment en ce qui concerne les actes à soumettre à l'autorisation préalable de son conseil d'administration ou celui de son entreprise mère, les comités devant être créés auprès de son conseil d'administration, les procédures de contrôle interne à mettre en place ainsi que les informations à communiquer à l'entreprise mère.

Article 16 : Le commissaire du gouvernementLe commissaire du gouvernement accomplit les attributions prévues aux alinéas 1, 2, 3 et 6 de l'article 9 ci-dessus.Il établit un rapport annuel sur l'état d'exécution de la convention visée à l'article 15 ci-dessus qu'il adresse au ministre chargé des finances qui est soumis au conseil d'administration ou à l'organe délibérant.

Chapitre VI : De l'application du contrôle d'accompagnement auxétablissements publics et des contrats de programmeArticle 17 : Etablissements publics soumis au contrôle d'accompagnementSont soumis au contrôle d'accompagnement en substitution au contrôle préalable, les établissements publics justifiant de la mise en œuvre effective d'un système d'information, de gestion et de contrôle interne, comportant, notamment, les instruments suivants, dûment approuvés par le conseil d'administration ou l'organe délibérant :

- un statut du personnel fixant en particulier les conditions de recrutement, derémunération et de déroulement de carrière du personnel de l'établissement ;- un organigramme fixant les structures organisationnelles de gestion et d'audit internede l'établissement ainsi que leurs fonctions et attributions ;- un manuel décrivant les procédures de fonctionnement des structures et de contrôleinterne de l'établissement ;- un règlement fixant les conditions et formes de passation des marchés ainsi que lesmodalités relatives à leur gestion et à leur contrôle ;- une comptabilité permettant l'établissement d'états de synthèse réguliers, sincères etcertifiés, sans réserves significatives, par un ou plusieurs auditeurs externes habilités àexercer la profession de commissaire aux comptes ;- un plan pluriannuel couvrant une période d'au moins trois ans, actualisé annuellement,devant comporter, notamment, par activité et sous forme consolidée, les programmesphysiques et les projections économiques et financières ;- un rapport annuel de gestion établi par le directeur de l'établissement.Les modalités et formes d'établissement de ces instruments sont fixées par le ministrechargé des finances.

Article 18 : Contrats de programmeSont soumis au contrôle d'accompagnement en substitution au contrôle préalable, lesétablissements publics liés à l'Etat par des contrats de programme.Les établissements publics et sociétés d'Etat soumis au contrôle d'accompagnement etliés à l'Etat par des contrats de programme sont dispensés de l'approbation préalable desactes prévus aux articles 7 et 11 de la présente loi.Les contrats de programme sont conclus entre d'une part l'Etat et d'autre part lesétablissements publics ou les sociétés d'Etat ou les filiales publiques dans lesquelles l'Etatou une collectivité locale détient une participation directe, lorsque l'importance et lanature de leur activité le justifient.Les contrats de programme définissent, pour une période pluriannuelle, notamment les

135


engagements de l'Etat et de l'organisme contractant, les objectifs techniques,économiques et financiers assignés à l'organisme et les moyens pour les atteindre ainsique les modalités de suivi de leur exécution.Les contrats de programme sont signés, au nom de l'Etat, conjointement par le ministrede tutelle et le ministre chargé des finances et, pour l'organisme, par le président duconseil d'administration ou de l'organe délibérant ou par le directeur s'il reçoit délégationdudit conseil ou organe.

Chapitre VII : Des obligations des organismes soumis au contrôle financier del'EtatArticle 19 : Appel à la concurrenceLes établissements publics et les sociétés d'Etat sont tenus pour l'exécution de leursdépenses aussi bien que pour la réalisation de leurs produits, sauf exception justifiée, defaire appel à la concurrence, en vue d'assurer la transparence dans les choix du maîtred'ouvrage, l'égalité d'accès aux commandes de l'organisme ainsi que l'efficacité desdépenses et l'optimisation des recettes de l'organisme.

Article 20 : Obligations à l'égard du ministre chargé des finances

Dans les six mois suivant la clôture de l'exercice, les établissements publics, les sociétésd'Etat, les filiales publiques et les entreprises concessionnaires doivent communiquer, auministre chargé des finances, les documents suivants :- les états de synthèse annuels ou les comptes annuels ;- le rapport annuel de gestion ;- l'état de répartition du capital social pour les sociétés d'Etat et les filiales publiques ;

- le rapport des commissaires aux comptes ou des auditeurs externes pour lesorganismes soumis à l'obligation d'audit ;- les comptes consolidés, l'état des filiales et participations, le cas échéant, pour lesétablissements publics, les sociétés d'Etat et les filiales publiques.Ils doivent répondre, en outre, à toute demande d'information d'ordre technique, économique et financier, émanant du ministre chargé des finances, dans le mois suivant la réception de cette demande.

Dans les six mois suivant la clôture de l'exercice, les sociétés mixtes visées à l'article premier de la présente loi doivent adresser au ministre chargé des finances les documents suivants :- les états de synthèse annuels ;- l'état des filiales et participations ;- l'état de répartition du capital social.Le ministre chargé des finances exerce les droits et pouvoirs revenant à l'Etat, en saqualité d'actionnaire, dans les sociétés soumises au contrôle financier.

Autres obligationsLes comptes annuels des établissements publics font l'objet de publication au Bulletinofficiel selon les formes arrêtées par décret.

Chapitre VIII : Des Obligations des agents chargés du contrôle financier

Article 21 : Le contrôleur d'Etat et le commissaire du gouvernementLes fonctions du contrôleur d'Etat et du commissaire du gouvernement sont incompatibles avec tout mandat d'administrateur représentant l'Etat aux conseils d'administration ou organes délibérants des établissements publics, sociétés et entreprises visés à l'article premier de la présente loi.Ils sont tenus aux règles du secret professionnel sur toutes les informations dont ils disposent à l'occasion de l'exercice de leurs fonctions. Le secret professionnel ne peut être opposé aux auxiliaires de la justice, agissant dans le cadre de leurs fonctions.

Article 22 : Le trésorier payeur

136


Le trésorier payeur et ses fondés de pouvoirs sont tenus aux règles du secret professionnel sur toutes les informations dont ils disposent à l'occasion de l'exercice de leurs fonctions. Le secret professionnel ne peut être opposé aux auxiliaires de la justice, agissant dans le cadre de leurs fonctions.

Chapitre IX : Dispositions diverses et transitoires Article

23 : ExclusionsA l'exception de l'article 20 ci-dessus, n'entrent pas dans le champ d'application de la présente loi, les organismes suivants qui demeurent soumis aux contrôles prévus par les textes qui les régissent :- Bank Al-Maghrib ;- la Caisse de dépôt et de gestionles établissements et sociétés régis par le dahir portant loi n° 1-93-147 du 15moharrem 1414 (6 juillet 1993) relatif à l'exercice de l'activité des établissements decrédit et de leur contrôle ;- les entreprises régies par la législation relative à l'assurance et la réassurance ;- les établissements publics qui, à la date de publication de la présente loi, n'étaient passoumis aux dispositions du dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960)organisant le contrôle financier de l'Etat sur les offices, établissements publics et sociétésconcessionnaires ainsi que sur les sociétés et organismes bénéficiant du concoursfinancier de l'Etat ou de collectivités publiques.-Article 24 : AbrogationsLa présente loi abroge toutes dispositions législatives relatives au même objet en vigueurà la date de sa publication, notamment :- le dahir n° 1-59-271 du 17 chaoual 1379 (14 avril 1960) organisant le contrôlefinancier de l'Etat sur les offices, établissements publics et sociétés concessionnaires ainsique sur les sociétés et organismes bénéficiant du concours financier de l'Etat ou decollectivités publiques ;- le dahir n° 1-62-113 du 16 safar 1382 (19 juillet 1962) relatif au statut des personnelsde diverses entreprises ;- le dahir n° 1-63-012 du 12 ramadan 1382 (6 février 1963) sur les conditions de dépôtdes fonds disponibles des établissements publics et des sociétés concessionnaires.

137


ANNEXE 2 : Normes Professionnelles de l'Audit Interne Applicables au 1er janvier 2009

NORMES DE QUALIFICATION

1000 - Mission, pouvoirs et responsabilitésLa mission, les pouvoirs et les responsabilités de l'audit interne doivent être formellement définis dans une charte d'audit interne, être cohérents avec la définition de l'audit interne, le Code de Déontologie ainsi qu'avec les Normes. Le responsable de l'audit interne doit revoir périodiquement la charte d'audit interne et la soumettre à l'approbation de la Direction Générale et du Conseil.

1000.A1 - La nature des missions d'assurance réalisées pour l'organisation doit être définie dans la charte d'audit interne. S'il est prévu d'effectuer des missions d'assurance à l'extérieur de l'organisation, leur nature doit être également définie dans la charte d'audit interne.1000.C1 - La nature des missions de conseil doit être définie dans la charte d'audit interne.

1010 - Reconnaissance de la Définition de l'Audit Interne, du Code de Déontologie ainsi que des Normes dans la charte d'audit interneLe caractère obligatoire de la Définition de l'Audit Interne, du Code de Déontologie ainsi que des Normes doit être reconnu dans la charte d'audit interne.Le responsable de l'audit interne présente la Définition de l'Audit Interne, le Code de Déontologie ainsi que les Normes à la Direction Générale et au Conseil.

1100 - Indépendance et objectivitéL'audit interne doit être indépendant et les auditeurs internes doivent effectuer leurs travaux avec objectivité.

1110 - Indépendance dans l'organisationLe responsable de l'audit interne doit relever d'un niveau hiérarchique suffisant au seinde l'organisation pour permettre au service d'audit interne d'exercer ses responsabilités.Le responsable de l'audit interne doit confirmer au Conseil, au moins annuellement,l'indépendance de l'audit interne au sein de l'organisation.

1110.Al ~ L'audit interne ne doit subir aucune ingérence lors de la définition de son champ d'intervention, de la réalisation du travail et de la communication des résultats.

1111 - Relation directe avec le ConseilLe responsable de l'audit interne doit pouvoir communiquer et dialoguer directement avec le Conseil.

1120 - Objectivité individuelle

138


Les auditeurs internes doivent avoir une attitude impartiale et dépourvue de préjugés, et éviter tout conflit d'intérêt.

1130 - Atteinte à l'indépendance et à l'objectivitéSi l'indépendance ou l'objectivité des auditeurs internes sont compromises dans les faits ou même en apparence, les parties concernées doivent en être informées de manière précise. La forme de cette communication dépendra de la nature de l'atteinte à l'indépendance.

1130.A1 Les auditeurs internes doivent s'abstenir d'auditer des opérationsparticulières dont ils étaient auparavant responsables. L'objectivité d'un auditeurinterne est présumée altérée lorsqu'il réalise une mission d'assurance pour uneactivité dont il a eu la responsabilité au cours de l'année précédente.

1130.A2 - Les missions d'assurance concernant des fonctions dont leresponsable de l'audit a la charge doivent être supervisées par une personne nerelevant pas de l'audit interne.

1130.C1 - Les auditeurs internes peuvent être amenés à réaliser des missions deconseil liées à des opérations dont ils ont été auparavant responsables.1130.C2 - Si l'indépendance ou l'objectivité des auditeurs internes sontsusceptibles d'être compromises lors des missions de conseil qui leur sontproposées, ils doivent en informer le client donneur d'ordre avant de les accepter.

1200 - Compétence et conscience professionnelleLes missions doivent être conduites avec compétence et conscience professionnelle.

1210 - CompétenceLes auditeurs internes doivent posséder les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de leurs responsabilités individuelles. L'équipe d'audit interne doit collectivement posséder ou acquérir les connaissances, le savoir-faire et les autres compétences nécessaires à l'exercice de ses responsabilités.

1210.A1 - Le responsable de l'audit interne doit obtenir l'avis et l'assistance depersonnes qualifiées si les auditeurs internes ne possèdent pas les connaissances,le savoir-faire et les autres compétences nécessaires pour s'acquitter de tout oupartie de leur mission.1210.A2 - Les auditeurs internes doivent posséder des connaissances suffisantespour évaluer le risque de fraude et la façon dont ce risque est géré parl'organisation. Toutefois, ils ne sont pas censés posséder l'expertise d'unepersonne dont la responsabilité première est la détection et l'investigation desfraudes.1210.A3 - Les auditeurs internes doivent posséder une connaissance suffisantedes principaux risques et contrôles relatifs aux technologies de l'information, etdes techniques d'audit informatisées susceptibles d'être mises en oeuvre dans lecadre des travaux qui leur sont confiés. Toutefois, tous les auditeurs internes, nesont pas censés posséder l'expertise d'un auditeur dont la responsabilité premièreest l'audit informatique.1210.C1 - Le responsable de l'audit interne doit décliner une mission de conseilou obtenir l'avis et l'assistance de personnes qualifiées si les auditeurs internesne possèdent pas les connaissances, le savoir-faire et les autres compétencesnécessaires pour s'acquitter de tout ou partie de la mission.

1220 - Conscience professionnelleLes auditeurs internes doivent apporter à leur travail la diligence et le savoir-faire que l'on peut attendre d'un auditeur interne raisonnablement averti et compétent. La conscience professionnelle n'implique pas l'infaillibilité.

1220.A1 - Les auditeurs internes doivent apporter tout le soin nécessaire à leur pratique professionnelle en prenant en considération les éléments suivants :

139


• l'étendue du travail nécessaire pour atteindre les objectifs de la mission ;• la complexité relative, la matérialité ou le caractère significatif des

domaines• auxquels sont appliquées les procédures propres aux missions d'assurance

• l'adéquation et l'efficacité des processus de gouvernement d'entreprise, de• management des risques et de contrôle ;• la probabilité d'erreurs significatives, de fraudes ou de non-conformité;• le coût de la mise en place des contrôles par rapport aux avantages

escomptés.

1220.A2 - Pour remplir ses fonctions avec conscience professionnelle, l'auditeurinterne doit envisager l'utilisation de techniques informatiques d'audit et d'analysedes données.1220.A3 - Les auditeurs internes doivent exercer une vigilance particulière àl'égard des risques significatifs susceptibles d'affecter les objectifs, les opérationsou les ressources. Toutefois, les procédures d'audit seules, même lorsqu'elles sontmenées avec la conscience professionnelle requise, ne garantissent pas que tousles risques significatifs seront détectés.1220.C1 - Les auditeurs internes doivent apporter à une mission de conseiltoute leur conscience professionnelle, en prenant en considération les élémentssuivants :

• les besoins et attentes des clients, y compris sur la nature, le calendrier etla communication des résultats de la mission ;

• la complexité de celle-ci et l'étendue du travail nécessaire pour atteindreles objectifs fixés ;

• son coût par rapport aux avantages escomptés.

1230 - Formation professionnelle continueLes auditeurs internes doivent améliorer leurs connaissances, savoir-faire et autres compétences par une formation professionnelle continue.

1300 - Programme d'assurance et d'amélioration qualitéLe responsable de l'audit interne doit élaborer et tenir à jour un programme d'assurance et d'amélioration qualité portant sur tous les aspects de l'audit interne.

1310 - Exigences du programme d'assurance et d'amélioration qualitéLe programme d'assurance et d'amélioration qualité doit comporter des évaluations tant internes qu'externes.

1311 - Évaluations internesLes évaluations internes doivent comporter :- une surveillance continue de la performance de l'audit interne ;- des revues périodiques, effectuées par auto-évaluation ou par d'autres personnes de

l'organisation possédant une connaissance suffisante des pratiques d'audit interne.

1312 - Évaluations externesDes évaluations externes doivent être réalisées au moins tous les cinq ans par un évaluateur ou une équipe qualifiés, indépendants et extérieurs à l'organisation. Le responsable de l'audit interne doit s'entretenir avec le Conseil au sujet :- du besoin d'augmenter la fréquence de ces évaluations externes ;- des qualifications de l'évaluateur ou de l'équipe d'évaluation externes ainsi que de leur

indépendance y compris au regard de tout conflit d'intérêt potentiel.

1320 - Rapports relatifs au programme d'assurance et d'amélioration qualitéLe responsable de l'audit interne doit communiquer les résultats du programme d'assurance et d'amélioration qualité à la Direction Générale ainsi qu'au Conseil.

140


1321 - Utilisation de la mention « conforme aux Normes internationales pour lapratique professionnelle de l'audit interne »Le responsable de l'audit interne peut indiquer que l'activité d'audit interne est conduite conformément aux Normes internationales pour la pratique professionnelle de l'audit interne seulement si, les résultats du programme d'assurance et d'amélioration qualité l'ont démontré.

1322 - Indication de non-conformité

Quand la non-conformité de l'activité d'audit interne avec la Définition de l'Audit Interne, le Code de Déontologie ou encore les Normes a une incidence sur le champ d'intervention ou sur le fonctionnement de l'audit interne, le responsable de l'audit interne doit informer la Direction Générale et le Conseil de cette non-conformité et de ses conséquences.

N O R M E S D E F O N C T I O N N E M E N T

2000 - Gestion de l'audit interneLe responsable de l'audit interne doit gérer efficacement cette activité de façon à garantir qu'elle apporte une valeur ajoutée à l'organisation.

2010 - PlanificationLe responsable de l'audit interne doit établir une planification fondée sur les risques afin de définir des priorités cohérentes avec les objectifs de l'organisation.

2010.A1 - Le plan d'audit interne doit s'appuyer sur une évaluation des risques documentée et réalisée au moins une fois par an. Les points de vue de la Direction Générale et du Conseil doivent être pris en compte dans ce processus. 2010.C1 - Lorsqu'on lui propose une mission de conseil, le responsable de l'audit interne, avant de l'accepter, devrait considérer dans quelle mesure elle est susceptible de créer de la valeur ajoutée, d'améliorer le management des risques et le fonctionnement de l'organisation. Les missions de conseil qui ont été acceptées doivent être intégrées dans le plan d'audit.

2020 - Communication et approbationLe responsable de l'audit interne doit communiquer à la Direction Générale et au Conseil son plan d'audit et ses besoins, pour examen et approbation, ainsi que tout changement important susceptible d'intervenir en cours d'exercice. Le responsable de l'audit interne doit également signaler l'impact de toute limitation de ses ressources.

2030 - Gestion des ressourcesLe responsable de l'audit interne doit veiller à ce que les ressources affectées à cette activité soient adéquates, suffisantes et mises en œuvre de manière efficace pour réaliser le plan d'audit approuvé.

2040 - Règles et procéduresLe responsable de l'audit interne doit établir des règles et procédures fournissant un cadre à l'activité d'audit interne.

2050 - CoordinationAfin d'assurer une couverture adéquate et d'éviter les doubles emplois, le responsable de l'audit interne devrait partager des informations et coordonner les activités avec les autres prestataires internes et externes d'assurance et de conseil.

2060 - Rapports à la Direction Générale et au ConseilLe responsable de l'audit interne doit rendre compte périodiquement à la Direction Générale et au Conseil des missions, des pouvoirs et des responsabilités de l'audit interne, ainsi que du degré de réalisation du plan d'audit. Il doit plus particulièrement rendre compte :

141


- de l'exposition aux risques significatifs (y compris des risques de fraude) et descontrôles correspondants ;- des sujets relatifs au gouvernement d'entreprise et ;- de tout autre problème répondant à un besoin ou à une demande de la DirectionGénérale ou du Conseil.

2100 - Nature du travail

L'audit interne doit évaluer les processus de gouvernement d'entreprise, de management des risques et de contrôle et contribuer à leur amélioration sur la base d'une approche systématique et méthodique.

2060 - Gouvernement d'entrepriseL'audit interne doit évaluer le processus de gouvernement d'entreprise et formuler des recommandations appropriées en vue de son amélioration. À cet effet, il détermine si le processus répond aux objectifs suivants :

- promouvoir des règles d'éthique et des valeurs appropriées au sein de-l'organisation ;-garantir une gestion efficace des performances de l'organisation, assortie d'une obligation de rendre compte ;-communiquer aux services concernés de l'organisation les informations relativesaux risques et aux contrôles ; - fournir une information adéquate au Conseil, aux auditeurs internes et externes et au

management, et assurer une coordination de leurs activités.

2110.A1 - L'audit interne doit évaluer la conception, la mise en œuvre et l'efficacité des objectifs, des programmes et des activités de l'organisation liés à l'éthique. 2110.A2 - L'audit interne doit évaluer si la gouvernance des systèmes d'information de l'organisation soutient et supporte la stratégie et les objectifs de l'organisation. 2110.C1 - Les objectifs de la mission de conseil doivent être en cohérence avec les valeurs et objectifs généraux de l'organisation.

2120 - Management des risquesL'audit interne doit évaluer l'efficacité des processus de management des risques etcontribuer à leur amélioration.

2120.A1 - L'audit interne doit évaluer les risques afférents au gouvernement d'entreprise, aux opérations et aux systèmes d'information de l'organisation au regard de:

• la fiabilité et l'intégrité des informations financières et opérationnelles ;• l'efficacité et l'efficience des opérations ;• la protection des actifs ;• le respect des lois, règlements et contrats.

2120.A2 - L'audit interne doit évaluer la possibilité de fraude et la manière dontce risque est géré par l'organisation.2120.C1 - Au cours des missions de conseil, les auditeurs internes doiventcouvrir les risques liés aux objectifs de la mission et demeurer vigilant vis-à-vis del'existence de tout autre risque susceptible d'être significatif.2120.C2 - Les auditeurs internes doivent utiliser leurs connaissances des risquesacquises lors de missions de conseil pour évaluer les processus de managementdes risques de l'organisation.2120.C3 - Lorsque les auditeurs internes aident le management dans laconception et l'amélioration des processus de management des risques, ils doivents'abstenir d'assumer une responsabilité opérationnelle en la matière.

2130 - ContrôleL'audit interne doit aider l'organisation à maintenir un dispositif de contrôle approprié en évaluant son efficacité et son efficience et en encourageant son amélioration continue.

142


2130.A1 - L'audit interne doit évaluer la pertinence et l'efficacité du dispositif de contrôle choisi pour faire face aux risques relatifs au gouvernement d'entreprise, aux opérations et systèmes d'information de l'organisation. Cette évaluation doit porter sur les aspects suivants:

• la fiabilité et l'intégrité des informations financières et opérationnelles ;• l'efficacité et l'efficience des opérations ;• la protection des actifs ;• le respect des lois, règlements et contrats

2130.A2 - Les auditeurs internes devraient déterminer dans quelle mesure desbuts et objectifs concernant les opérations et les programmes ont été définis et sices buts et objectifs sont conformes à ceux de l'organisation.2130.A3 - Les auditeurs internes devraient passer en revue les opérations et lesprogrammes afin de déterminer dans quelle mesure les résultats suivent les butset objectifs établis et si ces opérations et programmes sont mis en oeuvre ouréalisés comme prévu.2130.C1 - Au cours des missions de conseil, les auditeurs internes doiventexaminer les dispositifs de contrôle relatifs aux objectifs de la mission et êtreattentifs à l'existence de tout problème de contrôle significatif.2130.C2 - Les auditeurs internes doivent utiliser leurs connaissances desdispositifs de contrôle acquises lors de missions de conseil lorsqu'ils évaluent lesprocessus de contrôle de l'organisation.

2200 - Planification de la missionLes auditeurs internes doivent concevoir et documenter un plan pour chaque mission. Ce plan de mission précise les objectifs, le champ d'intervention, la date et la durée de la mission, ainsi que les ressources allouées.

2201 - Considérations relatives à la planificationLors de la planification de la mission, les auditeurs internes doivent prendre en compte : les

objectifs de l'activité soumise à l'audit et la manière dont elle est maîtrisée ; les risques significatifs liés à l'activité, ses objectifs, les ressources mises en oeuvre et ses tâches opérationnelles, ainsi que les moyens par lesquels l'impact potentiel du risque est maintenu à un niveau acceptable ;la pertinence et l'efficacité des processus de management des risques et de contrôle de l'activité, en référence à un cadre ou modèle de contrôle approprié ; les opportunités d'améliorer de manière significative les processus de management des risques et de contrôle de l'activité.

2201.A1 - Lorsqu'ils planifient une mission pour des tiers extérieurs à l'organisation, les auditeurs internes doivent élaborer avec eux un accord écrit sur les objectifs et le champ de la mission, les responsabilités et les attentes respectives, et préciser les restrictions à observer en matière de diffusion des résultats de la mission et d'accès aux dossiers.2201.C1 - Les auditeurs internes doivent établir avec le client donneur d'ordre un accord sur les objectifs et le champ de la mission de conseil, les responsabilités de chacun et plus généralement sur les attentes du client donneur d'ordre. Pour les missions importantes, cet accord doit être formalisé.

2210 - Objectifs de la missionLes objectifs doivent être précisés pour chaque mission.

2210.A1 - L'auditeur interne doit procéder à une évaluation préliminaire desrisques liés à l'activité soumise à l'audit. Les objectifs de la mission doivent êtredéterminés en fonction des résultats de cette évaluation.2210.A2 - En détaillant les objectifs de la mission, les auditeurs internes doiventtenir compte de la probabilité qu'il existe des erreurs significatives, des cas defraudes ou de non-conformité et d'autres risques importants.2210.A3 - Des critères adéquats sont nécessaires pour évaluer le dispositif decontrôle. Les auditeurs internes doivent déterminer dans quelle mesure lemanagement a défini des critères adéquats pour apprécier si les objectifs et lesbuts ont été atteints. Si ces critères sont adéquats, les auditeurs internes doivent

143


les utiliser dans leur évaluation. S'ils sont inadéquats, les auditeurs internesdoivent travailler avec le management pour élaborer des critères d'évaluationappropriés.2210.C1 - Les objectifs d'une mission de conseil doivent porter sur les processusde gouvernement d'entreprise, de management des risques et de contrôle dans lalimite convenue avec le client.

2220 - Champ de la mission

Le champ doit être suffisant pour répondre aux objectifs de la mission.2220.A1 - Le champ de la mission doit couvrir les systèmes, les documents, le personnel et les biens concernés, y compris ceux qui se trouvent sous le contrôle de tiers.2220.A2 - Lorsqu'au cours d'une mission d'assurance apparaissent d'importantes opportunités en termes de conseil, un accord écrit devrait être conclu pour préciser les objectifs et le champ de la mission de conseil, les responsabilités et les attentes respectives. Les résultats de la mission de conseil sont communiqués conformément aux normes applicables à ces missions.2220.C1 - Quand ils effectuent une mission de conseil, les auditeurs internes doivent s'assurer que le champ d'intervention permet de répondre aux objectifs convenus. Si, en cours de mission, les auditeurs internes émettent des réserves sur ce périmètre, ils doivent en discuter avec le client donneur d'ordre afin de décider s'il y a lieu de poursuivre la mission.

2230 - Ressources affectées à la missionLes auditeurs internes doivent déterminer les ressources appropriées et suffisantes pour atteindre les objectifs de la mission. Ils s'appuient sur une évaluation de la nature et de la complexité de chaque mission, des contraintes de temps et des ressources disponibles.

2240 - Programme de travail de la missionLes auditeurs internes doivent élaborer et documenter un programme de travailpermettant d'atteindre les objectifs de la mission.

2240.A1 - Le programme de travail doit faire référence aux procédures à appliquer pour identifier, analyser, évaluer et documenter les informations lors de la mission. Le programme de travail doit être approuvé avant sa mise en œuvre. Les ajustements éventuels doivent être approuvés rapidement. 2240.C1 - Le programme de travail d'une mission de conseil peut varier, dans sa forme et son contenu, selon la nature de la mission.

2300 - Accomplissement de la missionLes auditeurs internes doivent identifier, analyser, évaluer et documenter les informations nécessaires pour atteindre les objectifs de la mission.

2310 - Identification des informationsLes auditeurs internes doivent identifier les informations suffisantes, fiables, pertinentes et utiles pour atteindre les objectifs de la mission.

2320 - Analyse et évaluationLes auditeurs internes doivent fonder leurs conclusions et les résultats de leur mission sur des analyses et évaluations appropriées.

2330 - Documentation des informationsLes auditeurs internes doivent documenter les informations pertinentes pour étayer lesconclusions et les résultats de la mission.

2330.A1 - Le responsable de l'audit interne doit contrôler l'accès aux dossiers de la mission. Il doit, si nécessaire, obtenir l'accord de la Direction Générale et/ou l'avis d'un juriste avant de communiquer ces dossiers à des parties extérieures. 2330.A2 - Le responsable de l'audit interne doit arrêter des règles en matière de conservation des dossiers de la mission et ce, quelque soit le support d'archivage utilisé. Ces règles doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre. 2330.C1 - Le responsable de l'audit interne doit définir des procédures concernant la protection et la conservation des dossiers de la mission de

144


conseil ainsi que leur diffusion à l'intérieur et à l'extérieur de l'organisation. Ces procédures doivent être cohérentes avec les orientations définies par l'organisation et avec toute exigence réglementaire ou autre appropriée.

2340 - Supervision de la missionLes missions doivent faire l'objet d'une supervision appropriée afin de garantir que les objectifs sont atteints, la qualité assurée et le développement professionnel du personnel effectué.

2400 - Communication des résultatsLes auditeurs internes doivent communiquer les résultats de la mission.

2410 - Contenu de la communicationLa communication doit inclure les objectifs et le champ de la mission, ainsi que lesconclusions, recommandations et plans d'actions.

2410.A1 - La communication finale des résultats de la mission doit, lorsqu'il y alieu, contenir l'opinion globale des auditeurs internes et/ou leurs conclusions.2410.A2 - Les auditeurs internes sont encouragés à faire état des forcesrelevées, lors de la communication des résultats de la mission.2410.A3 - Lorsque les résultats de la mission sont communiqués à desdestinataires ne faisant pas partie de l'organisation, les documents communiquésdoivent préciser les restrictions à observer en matière de diffusion etd'exploitation des résultats.2410.C1 - La communication sur l'avancement et les résultats d'une mission deconseil variera dans sa forme et son contenu en fonction de la nature de lamission et des besoins du client donneur d'ordre.

2420 - Qualité de la communicationLa communication doit être exacte, objective, claire, concise, constructive, complète et émise en temps utile.

2421 - Erreurs et omissionsSi une communication finale contient une erreur ou une omission significative, le responsable de l'audit interne doit faire parvenir les informations corrigées à tous les destinataires de la version initiale.

2430 -Utilisation de la mention « conduit conformément aux Normesinternationales pour la pratique professionnelle de l'audit interne »Les auditeurs internes peuvent indiquer dans leur rapport que leurs missions sont « conduites conformément aux Normes internationales pour la pratique professionnelle de l'audit interne» seulement si les résultats du programme d'assurance et d'amélioration qualité le démontrent.

2431 - Indication de non-conformitéLorsqu'une mission donnée n'a pas été conduite conformément au Code de Déontologie ou aux Normes, la communication des résultats doit indiquer :

les principes ou les règles de conduite du Code de Déontologie, ou les Normesavec lesquelles la mission n'a pas été en conformité ;la ou les raisons de la non-conformité ;l'incidence de la non-conformité sur la mission et sur les résultats communiqués.

2440 - Diffusion des résultatsLe responsable de l'audit interne doit diffuser les résultats aux destinataires appropriés. 2440-A1 -

Le responsable de l'audit interne est chargé de communiquer les résultats définitifs aux destinataires à même de garantir que ces résultats recevront l'attention nécessaire.2440-A2 - Sauf indication contraire de la loi, de la réglementation ou des statuts, le responsable de l'audit doit accomplir les tâches suivantes avant de diffuser les résultats à des destinataires ne faisant pas partie de l'organisation :

• évaluer les risques potentiels pour l'organisation ;

145


• consulter la Direction Générale et/ou, selon les cas, un conseil juridique ;• maîtriser la diffusion en imposant des restrictions quant à l'utilisation des

résultats.

2440-C1 - Le responsable de l'audit interne est chargé de communiquer les résultats définitifs des missions de conseil à son client donneur d'ordre. 2440-C2 - Au cours des missions de conseil, il peut arriver que des problèmes relatifs aux processus de gouvernement d'entreprise, de management des risques et de contrôle soient identifiés. Chaque fois que ces problèmes sont significatifs pour l'organisation, ils doivent être communiqués à la Direction Générale et au Conseil.

2500 - Surveillance des actions de progrèsLe responsable de l'audit interne doit mettre en place et tenir à jour un système permettant de surveiller la suite donnée aux résultats communiqués au management.

2500-A1 - Le responsable de l'audit interne doit mettre en place un processus de suivi permettant de surveiller et de garantir que des mesures ont été effectivement mises en oeuvre par le management ou que la Direction Générale a accepté de prendre le risque de ne rien faire.2500-C1 - L'audit interne doit surveiller la suite donnée aux résultats des missions de conseil conformément à l'accord passé avec le client donneur d'ordre.

2600 - Acceptation des risques par la Direction GénéraleLorsque le responsable de l'audit interne estime que la Direction Générale a accepté un niveau de risque résiduel qui pourrait s'avérer inacceptable pour l'organisation, il doit examiner la question avec elle. Si aucune décision concernant le risque résiduel n'est prise, le responsable de l'audit interne doit soumettre la question au Conseil aux fins de résolution

146


ANNEXE 3 : MODELE DE CHARTE D'AUDIT INTERNE

La présente charte définit et précise la mission, les pouvoirs et les responsabilités del'audit interne au sein de « nom de l'organisation ».Les droits et devoirs des auditeurs et audités, sont également définis afin de garantir lerespect des règles éthiques, déontologiques et organisationnelles applicables au sein de« nom de l'organisation ».Cette charte d'audit interne se réfère aux Normes Internationales pour la pratiqueprofessionnelle de l'audit interne.

L'audit interne est une activité indépendante et objective qui donne à une organisationune assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils pourles améliorer, et contribue à créer de la valeur ajoutée.Il aide cette organisation à atteindre ses objectifs en évaluant, par une approchesystématique et méthodique, ses processus de management des risques, de contrôle, etde gouvernement d'entreprise, et en faisant des propositions pour renforcés leurefficacité.

Le rôle et les responsabilités de l'audit interne

Le service d'audit interne procède à l'évaluation des processus de gouvernement d'entreprise, de management des risques et de contrôle, tels qu'ils sont définis au sein de « nom de l'organisation ». Par ses propositions, il contribue à leur amélioration et à l'optimisation des performances globales de l'organisation. Les missions de l'audit interne permettent notamment de :

• Identifier et maitriser les risques par une approche structurée et focalisée sur lesenjeux de « nom de l'organisation » et de ses métiers.

• Evaluer la pertinence et l'efficacité de ces processus par rapport à leur conformitéavec les règles, normes, procédures, lois et réglementations en vigueur.

• Evaluer la maitrise des processus opérationnels, fonctionnels ainsi que laréalisation des opérations au regard des préoccupations de l'organisation, enmatière stratégique, opérationnelle et financière.

• Vérifier l'intégrité, la fiabilité, l'exhaustivité et la traçabilité des informationsproduites (comptables, financières, de gestion...).

• Proposer des axes d'amélioration ou de progrès pour l'organisation.• Participer, le cas échéant, à certaines missions de conseil demandées par la

direction générale.

Le rattachement et l'organisation de l'audit interne

Le service d'audit interne est rattaché hiérarchiquement à la direction générale et de façon fonctionnelle au comité d'audit. Afin d'assurer l'indépendance du service d'audit interne, le responsable de l'audit interne a un accès libre au conseil et/ou au comité d'audit.Le responsable de l'audit interne rend compte annuellement aux organes dirigeants du niveau global de maitrise des opérations et des problèmes significatifs constatés au niveau des processus de management des risques, de contrôle et de gouvernement d'entreprise de l'organisation et de ses filiales ou aux améliorations potentielles de ces processus.

147


Le responsable de l'audit interne communique régulièrement à la direction générale et au conseil les informations sur le degré d'avancement et les résultats du plan d'audit annuel et sur le caractère suffisant des ressources du département.

Le périmètre de l'audit interne

Le périmètre d'intervention du service d'audit interne s'étend à l'ensemble de l'organisation et de ses filiales, sur le territoire.ainsi qu'à l'étranger (« à adapter en fonction des prérogatives confiées au service d'audit interne dans l'organisation »). Pour assurer une bonne exécution de sa mission et conformément à son indépendance, le service d'audit interne intervient sur la base d'une planification dont il a l'initiative et qui prend en compte les requêtes spécifiques qui lui sont adressées par les dirigeants. Il intervient dans tous les domaines ou processus administratifs, comptables et financiers, fonctionnels ou opérationnels.Le responsable et l'équipe d'audit interne ne sont pas autorisés à accomplir des tâches opérationnelles pour l'organisation ou ses filiales.

La coopération avec les audités

Les services opérationnels et fonctionnels de l'organisation susceptibles d'être audités, doivent mettre à disposition du service d'audit interne l'ensemble des informations, documents, locaux, biens et personnes qui ont un rapport direct ou indirect avec l'objet de la mission d'audit.Les documents et les informations confiés à l'audit interne durant les missions seront traités avec le niveau de confidentialité et d'intégrité requis.

Le code de conduite des auditeurs internes

Conformément au Code de Déontologie de l'IIA (www.ifaci.com ), il est attendu des auditeurs internes qu'ils respectent et appliquent les principes fondamentaux suivants :

• Intégrité : L'intégrité des auditeurs internes est à la base de la confiance et de lacrédibilité accordées à leur jugement.

• Objectivité : Les auditeurs internes montrent le plus haut degré d'objectivitéprofessionnelle en collectant, évaluant et communiquant les informations relativesà l'activité ou au processus examiné. Les auditeurs internes évaluent de manièreéquitable tous les éléments pertinents et ne se laissent pas influencer dans leurjugement par leurs propres intérêts ou par autrui.

• Confidentialité : Les auditeurs internes respectent la valeur et la propriété desinformations qu'ils reçoivent ; ils ne divulguent ces informations qu'avec lesautorisations requises, à moins qu'une obligation légale ou professionnelle ne lesoblige à le faire.

• Compétence : Les auditeurs internes utilisent et appliquent les connaissances,les savoir-faire et expériences requis pour la réalisation de leurs travaux.

Le déroulement d'une mission d'audit interne

Un plan d'audit prévoyant les missions récurrentes et spécifiques à réaliser est établi annuellement par le service d'audit interne. Il s'appuie sur une analyse des risques de l'organisation.

La réalisation d'une mission d'audit se décompose en plusieurs phases :• Une lettre de mission est établie avant toute intervention. Cette lettre est

adressée au responsable de l'entité ou du service audité. Elle définit le cadre de lamission et précise les éléments nécessaires à une compréhension réciproque entrel'auditeur et les services audités (objet, cadre, date et durée de la mission).Cette lettre permet de simplifier l'organisation de la mission et notamment defaire coïncider son planning de travail avec celui de l'auditeur interne. Lesrencontres et réunions nécessaires à la réalisation de la mission seront plusfacilement planifiables.

• Avant toute investigation sur le terrain, une phase préparatoire permet derechercher et de recueillir des informations et de prendre connaissance dudomaine ou du service audité à partir d'entretiens et d'analyses documentaires.

148


• Pendant la phase de vérification et d'analyse, le service d'audit interne identifie les forces et les faiblesses du domaine audité et procède à une analyse contradictoire des causes et des conséquences des risques identifiés. Tout au long de sa mission, le service d'audit interne informe régulièrement l'audité de ses constats et de son diagnostic.

• La conduite des investigations terminée, le service d'audit interne établit un rapport rendant compte de la situation constatée et des propositions d'amélioration. Une version provisoire du rapport est analysée avec les audités et les services concernés qui font état de leurs remarques avant la diffusion définitive du document.

• Les services ou entités audités valident les comptes rendus des entretiens réalisés par les auditeurs internes et donnent une analyse objective des conclusions de l'audit interne qui les concernent.

• Consécutivement aux recommandations établies dans le rapport d'audit, un plan d'action est défini et décidé par la direction de l'entité ou des services audités. Selon les organisations ou la nature des recommandations (transverses ou majeures), la direction générale participe à la définition du plan d'action. Le plan d'action définit les moyens avec lesquels les recommandations émises seront mises en œuvre par les responsables identifiés.

• Le responsable de l'audit interne doit s'assurer de la mise en œuvre des recommandations en s'informant de l'état d'avancement des plans d'actions.

La présente charte a été approuvée par le comité d'audit le .../.../...A..., le.../ . . . / . . . Signature

149


ANNEXE 4: EXEMPLE DE CONTENU DE DOSSIER d’audit

Mission N° Lieu : Date : Objet de la mission :

A Rapport d'audit • Rapport préliminaire • Réponse des audités • Rapport définitif

Index

A10 A20

B Information relative à la mission • Lettre de mission • Correspondances (y compris les e-mails) • Compte rendu de la réunion d'ouverture • Compte rendu de la réunion de clôture

Index

B10 B20 B30

C Information relative à l'entité auditée • Organigramme, descriptions de fonction • Etats financiers et rapport des auditeurs externes • Rapports du conseil d'administration ou des autorités de tutelle • Statuts de l'entreprise • Tableaux de bord et/ ou indicateurs et objectifs • Principales procédures

Index

C10 C20 C30 C40

D Informations pratiques sur l'organisation de la mission • Adresse des sites audités et horaires • Adresse des hôtels, restaurants,...

Index

D10 E Revue du processus d'achat • Mémo d'audit présentant les

conclusions des auditeurs • Comptes rendus des entretiens • Tests y compris pièces justificatives

Index E10 E20 E30-

F Revue du processus de gestion des décaissements • Mémo d'audit présentant les conclusions des auditeurs • Comptes rendus des entretiens • Tests y compris pièces justificatives

Index F10 F20 F30-

G Gestion de l'encours fournisseurs • Mémo d'audit présentant les conclusions des auditeurs • Comptes rendus des entretiens • Tests y compris pièces justificatives

IndexG10 G20 G30-G70

150


ANNEXE 5 : EXEMPLE DE LETTRE DE MISSION

A l'attention de : Date :

Objet : Mission d'audit interne

Madame, Monsieur,

Nous vous informons qu'une mission d'audit interne ayant pour objet l'analyse des processus d'achat, se déroulera du 15 septembre au 30 octobre 200X sur le site de AA. Elle aura pour principaux thèmes :

-l'analyse et la revue des processus d'achat de matières premières ;-la gestion des décaissements ;-le suivi des encours fournisseurs ;-les accès et contrôles informatisés.

Cet audit sera réalisé par XXX, auditeur interne, aidé d’YYY, sous la supervision de ZZZ responsable de l'audit interne.

La mission s'articulera autour des étapes suivantes :-étape 1 : Examens préliminaires, entretiens et diagnostic (analyse derisques) aboutissant à la définition d'un programme de tests ;-étape2 : Entretiens, mise en œuvre des contrôles définis dans le programmede tests sur le site de AA.-étape 3 : Rédaction du rapport d'audit. Présentation des constats etrecommandations à la direction des achats.

Le rapport d'audit définitif sera transmis aux personnes concernées le . . / . . / ....

Conformément aux instructions de la charte d'audit interne, les responsables desservices audités doivent prendre toute mesure pour faciliter cette mission etmettre à la disposition des auditeurs tous les documents nécessaires au travaild'analyse. Les auditeurs devront être également en mesure de s'entretenirdirectement avec l'ensemble des collaborations des services audités.Les auditeurs assurent la confidentialité des données fournies dans le cadre deleurs investigations. Les constats d'audit font systématiquement l'objet d'unevalidation conjointe avec les responsables des services audités avant diffusiondes rapports.A l'issue de la mission, des préconisations d'audit seront émises et suivies par lesauditeurs. Il appartiendra aux équipes du site AA de les mettre en œuvre

Nous vous remercions par avance pour votre contribution ainsi que celle de vos équipes au bon déroulement de cet audit.

P.J : charte d'audit interne

151


ANNEXE 6 : EXEMPLES DE RAPPORTS D'AUDIT

Nom de l'entrepriseDate du rapport

Objectifs de la mission : Description sommaire de la mission

Liste de distribution (non exhaustive) : Comité d'audit Direction Générale Direction auditée

PLAN

Le rapport d'audit doit être structuré et doit pouvoir être lu par lecteurs de profils différents. Tout rapport est accompagné généralement d'une synthèse susceptible d'être adressé à des personnes informées et sensibilisées mais qui n'ont pas à résoudre des dysfonctionnements relevés. Le corps du rapport doit être quant à lui le plus complet et technique possible afin d'apporter toutes les informations utiles aux responsables audités et aux responsables des actions à entreprendre.

IntroductionL'introduction présente le cadre général du sujet d'audit et doit permettre au lecteur de « rentrer » dans le sujet. A cet effet, elle contient les seule s informations nécessaires à la compréhension du rapport. Il ne s'agit pas d'une présentation exhaustive de l'entité auditée.

I - Contexte, objectifs et périmètre de la mission d'audit internePrésenter le contexte de l'entreprise, (présentation de l'entité auditée) ; Présenter les objectifs de la mission d'audit ; Présenter le champ de la mission d'audit ;

II- Constats des processus audités (step-by-step)Cette partie doit présenter une description claire et objective de l'ensemble des processus audités. Les points forts, les points faibles ainsi que les risques liés aux déficiences identifiées doivent être mis en avant pour chaque processus audité.

III-Recommandations (avec détail du niveau de criticité conformément au cahier)Les recommandations doivent être exprimées en terme s de solutions par rapport aux constats réalisés. Elles sont présentées selon un ordre logique. On peut par exemple, distinguer ces recommandations en fonction de leur degré d'urgence et d'importance :- Améliorations mineurs ;- Renforcement des processus existants ;- Action critique à mettre en œuvre d'urgence.

IV- Calendrier de mise en œuvre des recommandations/ suivi des recommandations

Cette partie doit reprendre pour chacune des recommandations effectuées, le délai dans lequel cette dernière sera lise en œuvre.

152


OUVRAGES

- RENARD, J et CHAPLAIN, J-M (2006) «Théorie et pratique de l'audit interne », 6ème

édition Editions d'organisation.- SCHICK P, (2007) « Mémento d'audit interne », Dunod, Paris- IFACI - Institut de l'Audit Interne (2009) « Normes Professionnelles de l'Audit

Interne »- LEMANT, O (1995) « La conduite d'une mission d'audit interne : méthodologie

élaborée par un groupe de recherche » Paris, Dunod.- ARRIGNON, J-L - LESNE, C. (2001) « Evaluation de la compétence dans la

pratique de l'audit interne ».- J. BECOUR et H.BOUQUIN, (1996) « audit opérationnel efficacité, efficience et

sécurité », Economica, PARIS- JACQUES RENARD, (1997) « Théorie et Pratique de l’Audit Interne », Edition

Organisation, France

MEMOIRES

- ZIRARI, E (2006). « Apport de la circulaire N°6 de Bank AL Maghrib et ses incidences sur l'organisation et l'audit des établissements de crédit », mémoire d'expertise comptable, Maroc.

- Mlle Siham SAMHANE (2007) « L'élaboration d'une cartographie détaillée des risques spécifiques au secteur du transport maritime Marocain. Cas du transport des marchandises (CARGO) », mémoire d'expertise comptable, Maroc.

- MAKHLOUF, A. (2001). « Audit interne des entreprises publiques, réalités et perspectives », mémoire d'expertise comptable, Tunisie.

- WANE, O. (2007). « L'audit interne de la fonction achat dans une entreprise de BTP : cas de la CSE (Compagnie Sahélienne d'Entreprises) » mémoire de Maîtrise Professionnalisée de Gestion des Entreprises et des Organisations CESAG Dakar Sénégal.

- MONCEF BELOULIED, 2009 « la mise en place d’une cellule d’audit interne au sein de l’entreprise publique », mémoire d'expertise comptable, Maroc.

TEXTES OFFICIELS

- Lettre Royale - Août 1993 relative à la soumission des établissements publics et les administrations à l'audit.

- Circulaire du 1er ministre - Septembre 1993 relative à la création de département d'audit interne au sein des établissements publics à caractère industriel et commercial.

- Décision n° DPE 113/70/16 - 23 Septembre 1993 organisant la fonction d'audit des entreprises publiques.

- Dahir N° 1-59-271 - 14 Avril 1960 instituant le cadre légal du contrôle financier de l'Etat sur les entreprises publiques

- Dahir N° 1-59-271 - 14 Avril 1960 instituant l'inspection générale des finances. I.G.F

- Dahir N° 1-62-270 - 14 Avril 1960 instituant une commission nationale des

153


comptes, modifié par le dahir N)1-62-96 du 30/06/1962.- Loi relative à l'institution de la Cour des Comptes et des Cours des Comptes

Régionales.- Loi n° 69-00 relative au contrôle financier de l'Etat sur les entreprises

publiques et autres organismes.- Manuel des normes Marocain : Audit légal et contractuel - Manuel d’audit interne pour les Inspections Générales des Ministères- Direction des études et Prévisions Financières, (1999,2009) « la décennies des

réformes et des progrès, pour un Maroc moderne et Solidaire

SITES INTERNET

- www.theiia.org IIA - Institut of Internal Auditors, Etats-Unis- www.finance.gov.ma ministère des finances- www.ifaci.com « IFACI : Institut Français de l'Audit et du Contrôle Internes »- www.oecd.org « AMACI - Maroc : Institut des Auditeurs Internes

154

Documents

rédaction mémoire asmaa VERSION FIN2.doc