Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Aix en Provence, 2017
Mémoire de Master pour l’Obtention du Master Sciences du Management : CCFP
Spécialité « Conseil-Audit-Contrôle » (C.A.C.)
LE ROLE DU PILOTAGE DES RISQUES DANS LA
MISE EN ŒUVRE DU CONTROLE INTERNE : LE
CAS D’UNE SOCIETE SPECIALISEE DANS LES
ACTIVITES BANCAIRES.
Université de la Méditerranée
Faculté de Sciences Economiques et de Gestion
Master Sciences du Management : CCFP –
Spécialité « Conseil-Audit-Contrôle » (C.A.C.)
Année universitaire : 2016-2017
Réalisé par : Erjola SHKURTAJ
Entreprise : MONEXT
Tuteur universitaire : Nicolas QUAGLIA
Tuteur entreprise : Yves JEHANNO
SOMMAIRE
INTRODUCTION …………………………………………………………………….….01
PARTIE 1: PRINCIPES GENERAUX DE PILOTAGE DES RISQUES ET DE CONTROLE
INTERNE…… ……………………………………………………………………….....03
1. Les concepts essentiels du contrôle interne permanent ……………………….03
2. Le cadre conceptuel des risques – Le processus du Risk Management ………18
PARTIE 2: ETUDE DE CAS- LE SYSTEME DU CONTROLE INTERNE CHEZ
MONEXT.................................................................................................................…...29
3. Le rôle et la place du contrôle interne au sein de Monext…………………….30
4. Préconisations…………………………………………………………………44
CONCLUSION …………………………………………………………………………46
BIBLIOGRAPHIE-WEBOGRAPHIE …………………………………………………….48
TABLES DES MATIERES ……………………………………………………………….50
REMERCIEMENTS
Je tiens avant tout à remercier toutes les personnes qui m’ont apporté leur aide durant la
réalisation de ce mémoire.
Je remercie l’ensemble des professeurs du Master 2 « Contrôle, Audit, Conseil » pour
cette dernière année d’étude enrichissante et tout particulièrement Marion VIEU et Liza
SCARDILLI, pour les conseils et le soutien pendante cette année universitaire.
Je remercie également toute l’équipe de MONEXT pour m’avoir accueillie au sein de
leur service. Je remercie essentiellement mon tuteur d’entreprise Yves JEHANNO,
Responsable du contrôle Interne, des Risques Opérationnels et des Audits pour son
professionnalisme et l’aide qu’il m’a apportée tout au long de mon stage et pour les
conseils qu’il a su m’apporter pour la rédaction de ce mémoire universitaire.
Par ailleurs, je tiens spécialement à remercier mes parents, ma sœur et mon frère pour
leur soutien et leurs encouragements à la poursuite de mes ambitions.
Aix en Provence, 7 Juin 2017
1
INTRODUCTION
Dans un environnement en évolution constante, avec un développement technologique
toujours plus complexe, des clients de plus en plus exigeants, et des dispositifs
règlementaires plus contraignants provoquent une mutation importante dans le
fonctionnement des entreprises. Ce changement dû en partie à l’accroissement des
risques auxquels s’expose l’entreprise oblige à un renforcement des contrôles afin de
préserver les intérêts de la structure et de ses clients. C’est pourquoi, la direction a
besoin d’un système de contrôle performant qui leur apporte une assurance raisonnable
pour garantir sa pérennité.
Les décisions et les actions des opérationnels, des managers et des dirigeants structurent
le fonctionnement d’une entreprise. Toutes ces actions ne se font pas au hasard mais
selon un ensemble de références (Bouquin 1986), déterminé par les dirigeants et sous
leur responsabilité explicite selon les lois telles que Sarbanes-Oxley Act 2002 ou Loi
française 2003. Cet ensemble de références fonde le contrôle interne.
A travers cette étude, nous avons tenté d’identifier le meilleur dispositif à utiliser afin de
mettre en place un système du contrôle interne efficace et adapté aux métiers de
l’entreprise.
Diriger c’est prévoir. Cela passe par prévenir les risques qui peuvent remettre en cause
l’activité d’une entité. Identifier les risques c’est identifier les points d’attention dont la
direction doit assurer le pilotage.
À l’évidence, on se doit de poser les deux questions suivantes afin d’évaluer si nos
risques peuvent être maitrisés :
Comment peut-on mettre en place un système de contrôle interne à partir de
l’identification des risques auxquels l’entreprise est vulnérablement exposée ?
En tant que filiale d’un groupe bancaire Monext est obligé de mettre en œuvre
un dispositif qualitatif de gestion des risques opérationnels (exigences Bâle II et
2
arrêté du 3 novembre 2014) et pour cela doit identifier l’organisation de contrôle
interne qui sera déployée. Comment définir une structure de contrôle efficace
satisfaisant à la fois les exigences opérationnelles de l’entreprise, les exigences
des autorités de régulation et les exigences de la maison mère ?
L’intérêt de ce travail réside dans l’analyse de la démarche suivie par une entreprise,
filiale d’un groupe bancaire, pour la mise en place d’un système de contrôle interne qui
apporte à la direction une vision globale sur l’ensemble des risques potentiels et l’aider
à prendre les décisions appropriées.
Afin de répondre à cette problématique, il est utile de déterminer le cadre conceptuel de
la gestion des risques et celui du contrôle interne avant de présenter la démarche
pratique des contrôles dans le pilotage des risques.
Pour réaliser ce travail, j’ai consacré la première partie de ce rapport aux aspects
théoriques du contrôle interne et du risque de management afin d’apporter un
éclaircissement sur ces activités. Cette première partie a pour objectif de montrer
l’importance que revêt l’activité du contrôle interne dans les entreprises.
La seconde partie est illustrée de la pratique du système de contrôle interne au sein de
Monext et apporte les réponses aux questions précédentes.
3
PREMIERE PARTIE : PRINCIPES
GENERAUX DE PILOTAGE DES RISQUES ET DE
CONTROLE INTERNE
1. Les concepts essentiels du contrôle interne permanent
Dans cette section de la première partie nous allons voir les concepts essentiels du
contrôle interne permanent. Le concept du contrôle interne s’est affiné peu à peu et de
nombreux points de vue ont été développés au fil des années. Malgré certaines
divergences, tout le monde se met d’accord sur le fait que le contrôle interne contribue
en autre à la réalisation des objectifs fixés par l’entreprise. La qualité du contrôle
interne conditionne le bon fonctionnement des entreprises depuis la sécurisation des
opérations élémentaires jusqu’à la réalisation des objectifs.
Or, le contrôle interne ne peut pas nous assurer la réalisation de tous les objectifs fixés
par l’entreprise, en raison de ses limites. Le domaine du contrôle interne reste très
subjectif même s’il peut être très bien conçu et appliqué.
Ensuite nous allons voir les différents types et les niveaux du contrôle interne. Quels
sont les acteurs concernés dans chaque niveau du contrôle et quel est leur rôle ?
4
Pour conclure sur les concepts essentiels du contrôle interne permanent nous allons
définir le concept du système de contrôle interne. Qui est en charge de la mise en place
et quelle est la démarche à suivre ?
1.1 Le cadre théorique du contrôle interne
« Entreprendre c’est un risque, un risque mesuré, mais un risque tout de même. Et
quand on prend un risque, on ne peut pas être gagnant à tous les coups »1
La notion du contrôle interne existe depuis toujours, l’être humain en soi a besoin de
contrôler, de réussir, de se protéger. Cela nous le faisons au quotidien sans nous en
rendre compte, d’une façon intuitive, inorganisée, irrationnelle. On se trouve au milieu
du siècle dernier, l’Ordre français des experts comptables et la Compagnie des
commissaires aux comptes ont importé la notion de contrôle en démontrant que la
maitrise des risques essentiels en comptabilité permettait de se donner une assurance
quant à la régularité et la sincérité des comptes. 2
L’euphorie de l’économie américaine dans les années 1990, portée par la globalisation,
la nouvelle économie et les nouveaux instruments financiers, a enregistré sa croissance
la plus longue de l’après-guerre (Rioux, 2003). De l’autre côté, cette évolution s’est
appuyée sur une forte exigence de la part des investisseurs en termes de rentabilités, ce
qui a conduit certains dirigeants à utiliser des pratiques comptables douteuses et
d’employer des méthodes frauduleuses pour satisfaire les exigences des investisseurs.
1 Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude : concepts, aspects
règlementaires, gestion des risques, guide d’audit de la fraude, mise en place d’un dispositif de contrôle interne permanent, référentiels questionnaire, bonne pratiques… », 4éme édition revue et augmentée. 2 Jacques Renard., « Comprendre et mettre en œuvre Le contrôle interne » Groupe Eyrolles, 2012
5
En effet la crise économique que nous avons connue depuis le 2008 résulte d’un
ensemble de facteurs dont le plus apparent est l’imperfection du pilotage du système de
contrôle interne. Il faut comprendre que l’efficacité du système de contrôle interne
s’appuie sur l’application des procédures et des dispositifs existants et qu’en aucun cas
ne peut rester une théorie de fonctionnement basée sur la quantification des contrôles au
détriment de leur qualité et de leur pertinence. Pour cela, il est nécessaire de disposer
d’outils efficaces de suivi de la réalisation des contrôles et de pilotage des plans
d’actions issus des recommandations formulées.
Au début des années 2000, les nombreux scandales financiers qui ont frappé les Etats-
Unis, avec ENRON en tête, WorldCom, Adelphia, Xerox, Parmalat etc, ont entrainé une
réaction du législateur. Il a fallu prendre des mesures pour rétablir la confiance des
investisseurs. Une des principales mesures était l’adoption de la Loi Sarbanes-Oxley3, le
30 juillet 2002 votée par le Congrès des Etats-Unis et ratifiée par le président George
BUSH. 4 « La loi a pour objectif d’augmenter la responsabilité de la société et de
mieux protéger les investisseurs ainsi que leur redonner confiance. »
De l’autre côté, un an plus tard en 2003 dans le contexte de l’adoption de la loi
Sarbanes-Oxley, la Loi de Sécurité Financière a été décrétée en France. Pour autant les
scandales financiers n’ont pas épargné la France (ex : affaire Airbus industrie en 2006 et
affaire Kerviel pour la Société Générale en 2008). Dans ces deux cas il a été confirmé
que les dysfonctionnements se sont produits malgré la présence d’un système de
contrôle interne et de gestion des risques respectueux des lois en vigueur.5
Le système du contrôle interne n’est pas simplement une obligation mais avant tout il
sert de garde-fou contre tous les éventuelles irrégularités. Le contrôle interne comprend
un ensemble de méthodes, de mesures et de moyens pour protéger l’entreprise
notamment en supervisant l’usage et le respect des procédures imposées. Pour autant, le
contrôle interne ne peut fournir l’assurance absolue sur l’élimination des risques
inhérents à l’activité. Le contrôle interne constitue un moyen de réduire l’exposition de
3 La loi peut être citée ne tant que Sarbanes-Oxley, Act of 2002. Elle tient le nom des deux membres du
congrès qui en ont été les rédacteurs (Paul Sarbanes et Michel Oxely) 4 Hervé Stolowy et al., “Audit financier et contrôle interne. L’apport de la loi Sarbanes-Oxley », Revue
française de gestion 2003/6, p.2 5 Cappelletti. L, « Performing an Internal Control Function to Sustain SOX 404 and Improve Risk
Management: Evidence from Europe” p.17
6
l’entreprise aux risques potentiels et s’assurer de la conformité aux réglementations
(techniques, comptables/financières et juridiques).
La mise en place des dispositifs adéquats et adaptés de contrôle interne est devenue une
nécessité afin d’assurer la pérennité et pour renforcer la compétitivité de l’entreprise.
L’élément le plus important est de disposer d’un référentiel des contrôles.
Le référentiel permet de bien définir les objectifs de la démarche et donc les points de
contrôle qui nécessitent la mise en place des dispositifs appropriés. Plusieurs
référentiels se sont imposés. Ils reprennent en général les mêmes principes et restent
assez généraux pour que chaque entreprise puisse les adapter selon le fonctionnement de
son organisation. Ce sont à peu près toujours les même notions et principes que l’on
retrouve et qui servent de référence.
Le premier référentiel de gestion globale du contrôle interne et sur lequel les autres
référentiels se référent est le COSO (le Committee Of Sponsoring Organizations of the
Treadway Commission). Il met plutôt l’accent sur les acteurs de l’organisation. D‘autres
référentiels mentionnent COCO (Criteria of Control Committee) qui priorise les moyens
mises en œuvre ; AMF etc.
La notion de contrôle interne a donné lieu à plusieurs définitions :
Définition du COSO (référentiel de contrôle interne américain) :
« Le contrôle interne est un processus mis en œuvre par le Conseil d’Administration, les
dirigeants et le personnel d’une organisation afin de fournir une assurance raisonnable
quant à la réalisation, dans le cadre de la mission de cette organisation des objectifs
suivants :
- La réalisation et l’optimisation des opérations
- La fiabilité des informations financières
- La conformité aux lois et aux réglementations en vigueur. »
Définition de l’Ordre des Experts comptables (organisme américain) :
7
« Le contrôle interne est l’ensemble des sécurités contribuant à la maitrise de
l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine
et la qualité de l’information, de l’autre, l’application des instructions de la Direction et
de favoriser l’amélioration des performances. Il se manifeste par l’organisation des
méthodes et procédures de chacune des activités de l’entreprise pour maintenir la
pérennité de celles‐ci ».
Définition de l’International Fédération of Accountants (IFAC) :
« Le système de contrôle interne est constitué de l’organigramme et de l’ensemble des
méthodes et procédures adopté par la direction d’une entité lui permettant d’assurer,
autant que possible, la conduite ordonnée et efficace des activités, notamment
l’application de sa politique générale, la protection de son patrimoine, la prévention et la
détection de la fraudes et d’erreurs, l’exactitude et l’exhaustivité des enregistrements
comptables et la préparation dans des délais satisfaisants d’une information financière
fiable »
Définition d’AMF- Autorité des Marchés Financiers :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures
et d’actions adaptés aux caractéristiques propres de chaque société qui contribue à la
maitrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses
ressources, et doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité. Le dispositif vise à
assurer :
La conformité aux lois et règlements ;
L’application des instructions et des orientations fixées par la direction générale
ou le directoire ;
Le bon fonctionnement des processus internes de la société, notamment ceux
concourant à la sauvegarde de ses actifs ;
8
La fiabilité des informations financières et d’une façon générale, contribue à la
maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation
efficiente de ses ressources.
Le contrôle interne reste un concept abstrait dans le but d’assurer la pérennité et de
renforcer la compétitivité de l’entreprise, tout en employant des procédures et des
méthodes permettant d’accroitre l’efficacité dans tous les domaines de l’entreprise.
Ensuite il met l’ensemble du personnel de l’entreprise au centre du processus c’est-à-
dire que le contrôle interne est mis en œuvre par tout le monde, par tous les acteurs de
l’entreprise et deuxièmement lequ’il n’est plus vu seulement comme un dispositif de
sécurité mais comme un projet commun au service de l’entreprise.
1.2 L’intérêt et les limites du contrôle interne
« Le contrôle interne n’est pas une sorte de potion magique dans laquelle on serait
plongé et qui permettrait de vivre tranquillement. »6
Une organisation s’apprécie selon trois niveaux : les actions, le contrôle et enfin, l’audit
(Bouquin 1986). Cette distinction entre ces trois niveaux est fondamentale pour
apprécier l’importance du contrôle interne. Le contrôle interne sert à atteindre un degré
d’assurance raisonnable quant à la fiabilité de l’information financière, à l’efficience
opérationnelle et à la conformité aux lois et aux règlements. En résumé, le contrôle
interne est permanent et présent à toutes les étapes, il accompagne le processus de
management et sert à maitriser l’entreprise. Par conséquent, le contrôle interne est un
moyen pour atteindre ses objectifs, il n’est pas une fin en soi.
6 Jacques Renard., « Le contrôle interne », p.17
9
Jacques Renard dans son ouvrage sur le contrôle interne, considère qu’un contrôle
interne bien conçu doit permettre de veiller à :
La fiabilité et l’intégrité des informations financières et opérationnelles
L’efficacité et l’efficience des opérations
La protection du patrimoine
Le respect des lois, règlements et contrats.
Ces objectifs de contrôle interne peuvent être résumés ainsi :
Permettre aux dirigeants de maitriser leurs entreprises
Assurer la qualité de l’information émise par l’entreprise
Assurer la sauvegarde des actifs
Assurer l’application des instructions de la direction
Favoriser l’amélioration des performances.
Le contrôle interne et la responsabilité des dirigeants : il revient à la direction de définir
et de mettre en place la politique du contrôle interne de s’assurer de son bon
fonctionnement.
En ce qui concerne la qualité de l’information émise par l’entreprise : chaque
information quelle que soit son origine doit être fiable, vérifiable, pertinente, exhaustive
et disponible.
A propos de la sauvegarde des actifs, on ne prend pas en compte seulement la protection
du patrimoine mais aussi tous les biens matériels et immatériels, la protection des
personnes, la sauvegarde de la réputation etc. Il est nécessaire de contrôler l’ensemble
des procédures présentant un risque pour en limiter l’exposition tels que l’erreur
humaine, la négligence, la fraude etc.
Assurer l’application des instructions de la direction : le but de l’organisation quelle que
soit son activité est d’évoluer, et dans ce cadre c’est sous la responsabilité de la
direction de donner les instructions pour atteindre ces objectifs. Le rôle du contrôle
10
interne consiste dans les faits à s’assurer de la bonne application de ces directives par
l’ensemble des employés.
La mise en place des dispositifs adéquats et adaptés de contrôle interne est devenue une
nécessité afin d’assurer la pérennité et de renforcer la compétitivité de l’entreprise,
c’est-à-dire améliorer la performance de l’entreprise. Une bonne application du contrôle
interne conduit à la réalisation des objectifs émis par la direction à moindre coût.
En résumé, le contrôle interne fournit un niveau d’assurance raisonnable quant aux
objectifs financiers (fiabilité des informations financiers), opérationnels (objectifs
stratégiques de l’entreprise dans le sens objectifs de métier cœur) et de conformité
(conformité aux lois et règlements en vigueur). Le contrôle interne, comme on a pu voir
jusqu’à maintenant ne fournit pas une garantie absolue mais doit contribuer à préserver
les intérêts des entreprises. Ce qui fait que le contrôle interne est limité par certains
facteurs.
Quelles sont les principales limites de l’apport d’un dispositif de Contrôle
interne ?7
Tout d’abord, un système de Contrôle interne, si perfectionné soit-il, n’est pas
systématiquement respecté :
Une intention de nuire peut enrayer le processus
Les risques ne sont jamais mis sous contrôle dans leur intégralité
Un processus de Contrôle interne ne prévient pas des erreurs de jugements
Le Contrôle interne ne prévient pas des évolutions externes à l’organisation.
7 Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude : concepts, aspects
règlementaires, gestion des risques, guide d’audit de la fraude, mise en place d’un dispositif de contrôle interne permanent, référentiels questionnaire, bonne pratiques… », 4éme édition revue et augmentée, Edition Maxima, Paris, 2013, p.41
11
Une de ses limites est aussi la pertinence des analyses réalisées lors des contrôles et de
l’évaluation des risques. L’attention doit être portée sur les risques qualifiés d’
« acceptables » et qui théoriquement ne sont pas susceptible de nuire à l’entreprise.
Ensuite nous avons tous les cas de défaillance humaine. Le contrôle interne repose sur
le facteur humain et peut donc être soumis à des erreurs de jugement, des mauvaises
interprétations (qui ont souvent pour origine le non-respect d’un règlement), des
manœuvres malveillantes : fraude, détournement, collusion etc.
La tendance administrative conduit généralement à masquer les risques plutôt que de les
prévenir. C’est typiquement le cas lorsque la fonction du contrôle interne est fictive (le
poste est défini dans l’organisation mais n’assure aucune fonction) .
Par ailleurs, les entreprises sont soumises à des contraintes financières importantes. Il
faut qu’il y ait une proportionnalité entre le coût de la mise en œuvre de l’activité de
contrôle et les bénéfices qui peuvent en découler. C’est pour cela que souvent la
direction prend le risque d’omettre certains contrôles à cause des coûts car il est entendu
que le contrôle interne peut réduire le risque mais ne peut pas l’éliminer avec certitude.
1.3 Les types et les niveaux du contrôle interne
“Anticipe le difficile en gérant le facile”8
Les contrôles internes fonctionnent comme des contre-mesures pour les vulnérabilités,
répondant à des risques clairement identifiés. Généralement les activités du contrôle
interne sont classées dans l’un des quatre types suivant :
8 Lao Tzu, “Tao Te Ching”
12
Le contrôle directif, qui est conçu pour réduire la probabilité d’une menace
délibérée ;
Le contrôle préventif, qui protège les vulnérabilités et tentent de prévenir les
menaces ou les erreurs ;
Le contrôle correctif, qui vise à réduire l’effet d’une menace en réparant les
dégâts ;
Le contrôle défectif, qui découvre des problèmes, soit en temps réel, soit après
l’évent, et est conçu pour déclencher des actions préventives ou permettre la
mise en place et l’application des mesures correctives. Le contrôle défectif peut
prévenir les violations ou les tentatives de violation de la politique de sécurité de
l’entreprise.
Pour réaliser son diagnostic de l’efficacité du contrôle interne, le contrôleur interne
évalue la manière avec laquelle les opérationnels exécutent leur travail avec implication,
avec le souci de la qualité pour les l’intérêts de l’entreprise. L’éthique, la discipline, le
respect, la qualité des méthodes et des procédures mises à la disposition de l’entreprise
entrent également dans le périmètre du contrôle interne.
Le comité d’audit doit procéder à un examen de l’existence des éléments constitutifs du
dispositif en considérant les trois niveaux suivants : 9
Premier niveau : Les directions opérationnelles
Les directions opérationnelles évaluent et gèrent les risques. Elles mettent en œuvre les
activités de contrôle dans chaque processus de l’organisation qui font objet d’une
évaluation (auto-évaluation) et qui sont supervisées par des fonctions de surveillance.
Ainsi, elles mettent en place des plans de réponses aux risques identifiés. Ce contrôle
est réalisé par les membres du personnel, jugés les plus pertinents à pouvoir identifier au
9 IFA., « le contrôle interne peut réduire le risque de ne pas atteindre les objectifs fixés mais ne peut pas
éliminer le risque avec certitude » novembre 2010, pg. 9
13
cours de leurs activités quotidiennes des problèmes qui trouvent les solutions qui sont
dans l’ordre du contrôle interne.
Deuxième niveau : Les fonctions de surveillance
Les fonctions de surveillance conçoivent les politiques et les procédures. Elles sont
responsables de l’introduction de bonnes pratiques, du respect des procédures et de
superviser l’efficacité du dispositif. Le contrôle est réalisé par des équipes encadrant les
contrôles permanents c’est-à-dire par ceux qui n’ayant pas exercé eux même les
opérations dans le but de renfoncer la transparence.
Troisième niveau : La fonction audit
Le contrôle de troisième niveau est réalisé par les auditeurs internes en vue d’obtenir un
avis indépendant sur le fonctionnement du système de contrôle interne et de gestion des
risques. Ce niveau de contrôle est complété par des audits externes en collaboration
avec l’audit interne pour permettre l’optimisation des missions d’audit internes et
renforcer la transparence (anticiper les risques liés à la proximité relationnelle des
auditeurs internes avec le personnel). Les conclusions des travaux des auditeurs externes
constituent également un élément d’assurance indépendante.
1.4 La mise en place du système de contrôle interne
« Who watches the watchmen ?»10
La direction de l’entreprise renforce son système de contrôle interne (SCI) : lorsqu’elle
fait l’inventaire des risques auxquels son organisation est exposée, lorsqu’elle établit la
10
Juvénal, Satire 6
14
liste des compétences des différents secteurs ou lorsqu’elle définit les décisions qui ne
peuvent être prises qu’après l’avis d’une seconde personne. Elle améliore ainsi
l’efficacité de son action et réduit ses risques. La responsabilité de l’élaboration et de la
mise en place d’un SCI incombe à la direction de l’entreprise.12
Comme nous l’avons dit dès le début, le système du contrôle interne ne peut pas
garantir une sécurité absolue, mais la simple démarche de mise en place d’un SCI
constitue déjà une mesure préventive importante. La mise en place du SCI implique
plusieurs composants :
Un environnement de contrôle
Un dispositif d’ évaluation et de gestion des risques
L’intégration des activités de contrôle dans les processus
La gestion de l’information et de la communication
La surveillance et le pilotage du SCI
La mise en place d’un environnement de contrôle est la première étape de
l’établissement d’un SCI. La culture de l’entreprise est un élément très important lors de
la mise en place d’un SCI. Elle détermine le niveau d’implication et de sensibilisation
du personnel lors la réalisation des différents contrôles, en imposant discipline et
organisation. Les facteurs qui ont un impact sur l’environnement de contrôle
comprennent la compétence et l’éthique du personnel, le style de management des
dirigeants et la politique de délégation des responsabilités, d’organisation et de
formation.
L’entreprise est confrontée à un ensemble de risques internes et externes qui doivent
être évalués. Autrement dit, on doit identifier et analyser les facteurs susceptibles
d’affecter la réalisation des objectifs fixés, et ensuite déterminer comment ces risques
doivent être gérés. Cette phase d’identification doit être suivie d’une phase d’analyse
afin de déterminer pour chaque risque la probabilité de survenance ainsi que le
12
Contrôle fédérale des finances. « Mise en place d’un système de contrôle interne (SCI) », Seconde édition 2007
15
dommage potentiel. Il s’agit de décider du niveau du risque et du type de traitement
pour : l’ éviter, le réduire, l’assurer ou l’accepter.
Comme on l’a vu, différents risques peuvent affecter la réalisation des objectifs d’une
organisation. Dans ce cas, il s’agit de mettre en place des mesures de prévention et des
contrôles afin que ces mesures soient effectives. Les activités de contrôle impliquent
tous les niveaux de la hiérarchie de l’entreprise et comprennent des différentes actions
comme : approuver et autoriser, vérifier et rapprocher, évaluer les performances,
séparer les fonctions etc.
La séparation des fonctions signifie que cela doit respecter les directives fixées afin
d’éviter d’être juge et partie.
Le recueil d‘informations sur d’éventuelles irrégularités peut permettre d’améliorer
l’efficacité d’un SCI. L’information doit être identifiée, collectée et diffusée dans des
délais qui permettent à chacun d’assumer ses responsabilités. Il est important pour le
bon fonctionnement du SCI que tous les employés comprennent le rôle qu’ils sont
appelés à jouer dans le SCI ainsi que la relation entre leurs propres activités et celles des
autres membres du personnel. Ils doivent être en mesure de faire remonter et
communiquer les informations importantes, telles que données opérationnelles,
financières ou liées au respect des obligations légales et réglementaires qui permettent
de gérer, contrôler et maitriser l’activité.
Un système de contrôle interne n’est pas un instrument que l’on met en place une fois
pour toutes car de nombreux changements dans l’environnement peuvent rendre certains
aspects du SCI inadaptés. C’est pourquoi un système de contrôle interne doit être lui-
même être contrôlé, afin que son efficacité soit évaluée.
On parle ici des niveaux de maturité du SCI :
Peu fiable : il n’existe pas ou pratiquement pas de contrôles internes
Informel : des contrôles internes existent mais ils ne sont pas standardisés
Standardisé : Les contrôles sont régulièrement ajustés lorsque les risques
évoluent.
16
Surveillé : Existence d’un rapport sur l’évaluation du SCI (efficacité, traçabilité,
efficience) les activités de contrôle sont documentées selon un processus
standardisé
Optimisé : La gestion des risques et le SCI sont exploitées comme un système
intégré.
C’est pour cela qu’il convient de mettre en place un système de pilotage permanent.
L’étendue et la fréquence des évaluations dépendront essentiellement du niveau de
risques et de l’efficacité du processus de surveillance permanente. Les faiblesses du
contrôle interne doivent être portées à l’attention de la hiérarchie, les lacunes les plus
graves devront être signalées à la direction.
Schéma 1 : Les composants d’un système de contrôle interne
Source : Contrôle fédérale des finances13
13
IFA., « le contrôle interne peut réduire le risque de ne pas atteindre les objectifs fixés mais ne peut pas éliminer le risque avec certitude » novembre 2010, pg. 9
17
Autrement dit, le plan de contrôle est l’ensemble organisé de contrôles à exécuter
couvrant l’ensemble des processus à une entité ainsi que les processus partagés ou
délégués par une autre entité. L’identification des contrôles qui forment le plan de
contrôle d’une entité doit obéir à une approche systématique d’analyse des risques liés à
chaque processus dont l’entité est responsable. Elle s’appuie donc sur un exercice de
cartographie des risques. Les contrôles sont documentés et formalisés au sein de plans
de contrôles : la constitution de plan de contrôle structure le dispositif. Ce plan
comprend un nombre raisonnable de contrôles majeurs ; une validation formelle par le
management de l’entité est obligatoire. Une mise à jour périodique est nécessaire pour
suivre l’évolution des risques.14
Le plan de contrôle présente les contrôles de deuxième niveau dits « permanents » qui
seront réalisés sur place selon une périodicité déterminée par les équipes du contrôle
permanent. Ces contrôles sont permanents au sens « régulièrement réalisés » selon une
périodicité fonction de la gravité du risque. Ils peuvent à ce titre se dérouler une fois par
an, semestre, trimestre, mois, voire semaine ou jour. Ils consistent en grande partie à
contrôler la bonne exécution des contrôles de niveau 1 par les responsables
d’encadrement.
Dans le cadre de la mise en place d’un système de contrôle interne, les activités de
contrôle viennent à la suite du processus d’évaluation des risques pouvant nuire à la
réalisation des objectifs fixés.
14
Maders.HP, Masselin.JL, Fratta.H, « Auditeur interne et contrôleur permanent », pg. 309
18
Schéma 2 : L’interaction Activité de contrôle et Gestion des Risques
Source : République et Canton de Genève Département des finances
2. Le cadre conceptuel des risques –Le processus du Risk
Management
Peu importe le domaine d'application, les deux principaux composants liés à la gestion
des risques sont les menaces et les vulnérabilités. Ce sont les composants fondamentaux
d'une approche de gestion des risques, car le risque est défini comme le potentiel qu'une
menace donnée exploite les vulnérabilités d'un actif ou d'un groupe d'actifs pour
provoquer des pertes ou des dommages.
Une menace est une cause potentielle d'un incident indésirable qui peut nuire à
l’organisation. Une vulnérabilité est une faiblesse, susceptible d'être utilisée par une
menace. Les vulnérabilités peuvent être des failles, des faiblesses ou des défauts
humains, ou, par extension, tout ce qui n'est pas conforme à l'état prévu pour l’activité.
19
Les paires menaces/vulnérabilités conduisent à des événements indésirables, dont la
probabilité doit être estimée ou mesurée. La probabilité qu'une vulnérabilité soit
exploitée par une menace entraîne des dommages.
Au cours de cette partie nous allons définir le concept de risque et ensuite la typologie et
les niveaux des risques. Il est important pour le bon fonctionnement de l’organisation de
connaitre et de classer les types des risques auxquels l’entreprise est exposée afin de
prendre en compte le coût de ces menaces et identifier avec les acteurs concernés les
scenarii de contrôles pour les prévenir.
Ensuite, nous réaliserons la cartographie des risques. Il y a plusieurs façons de
construire une cartographie de risques en restant dans la démarche de l’identification,
l’évaluation et traitement des risques. Dans cet article j’ai choisi d’utiliser l’approche
qui a été effectué par Bernard.F, Gayraud.R et Rousseau.L dans leur ouvrage sur le
contrôle interne. J’ai estimé que dans cet ouvrage on arrive mieux à comprendre la
démarche à suivre afin de construire la cartographie des risques pour ensuite l’adapter à
l’organisation concernée.
Pour résumer il est important d’identifier pour chaque objectif fixé les risques associés.
Dans la partie précédente nous avons vu que les objectifs principaux d’une entreprise
sont les objectifs financiers, opérationnels et de conformité. Selon cette logique les
risques respectifs vont être le risque financier (la fiabilité comptable), le risque
opérationnel (de la performance) et le risque de non-conformité (de la sécurité et de la
régularité).
En conclusion de cette partie nous allons évaluer l’importance du pilotage de risque
dans la mise en place d’un système de contrôle interne. Comment et quand le contrôle
interne est devenu Risk Management ?
20
2.1 Typologie et niveaux des risques
« Si certains risques sont évidents, d’autres le sont moins »
Il est donc nécessaire de procéder à une revue systématique afin d’identifier, évaluer et
classer les risques les uns par rapport aux autres. Ceci est d’autant plus vrai qu’il n’est
pas possible de tout contrôler et qu’il faudra donc procéder à des choix, alors, autant
faire les bons ! 16
D’une façon théorique la notion de risque peut se décrire comme : « Le risque est la
possibilité qu’un événement se produise et ait une incidence défavorable sur la poursuite
et/ou l’atteinte des objectifs et/ou sur les actif de l’entreprise. L’événement doit être
potentiel et sa potentialité de survenance doit être évaluée. »17
Par ailleurs, Bernard.F, Gayraud.R et Rousseau.L dans leur ouvrage sur le contrôle
interne, considèrent qu’on peut classer les risques selon deux origines et trois grandes
catégories :
Celles dues au hasard : aléas naturels
Celles dues à l’homme : erreurs et malveillance (externe et interne)
La possibilité de l’occurrence d’un risque repose sur l’existence de causes de menaces
potentielles qui peuvent affaiblir l’organisation. Il est important dans un premier temps
16
Maders.HP, Masselin.JL., « Contrôle interne des risques », Editions Eyrolles, 2014 17
Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude : concepts, aspects règlementaires,
gestion des risques, guide d’audit de la fraude, mise en place d’un dispositif de contrôle interne permanent,
référentiels questionnaire, bonne pratiques… », 4éme édition revue et augmentée, Edition Maxima, Paris, 2013
pg.73
21
de classer les types des risques auxquels l’entreprise est exposée afin de prendre en
compte les menaces et d’identifier avec les acteurs concernés les scenarios de contrôles
pour les faire prévenir.
Les aléas naturels : sont compris tous les risques auxquels l’organisation est exposée
mais qui sont dues au hasard comme :
Catastrophes naturelles (pollution naturelle ; orages-perturbations ;
inondation…)
Accidents (de travail ; incendie ; explosion…)
Pannes (de réseau ; franche de matériel ; dysfonctionnements ; de fluide-
alimentation…)
Aléas conjoncturels (baisse/hausse imprévue de la demande…)
Défaillance en matière de personnel (maladie contagieuses ; démission de
personnel stratégique…)
Les erreurs : sont par contre des risques auxquels l’organisation est exposée mais qui
sont dues à une erreur humaine volontaire ou pas :
Erreur de saisie (mauvaise saisie, oubli…)
Erreurs de transmission (courrier, mail…)
Erreurs d’application de la réglementation
Erreurs de manipulations.
Et au final la malveillance : sont tous les risques qui sont dues à une attaque pour nuire
à l’entreprise :
Sabotages (temps perdu ; des programmes informatiques ; des données …)
Agression (verbales ou physiques du personnel en vue de voler des valeurs…)
Vols (des biens matériels ; fraudes par accumulation progressive …)
Atteintes à la confidentialité (vol de données ; consultation/copie illicite de
données ; piratage informatique)
Comme nous l’avons déjà explicité, l’objectif est de faire en sorte que chacun des
collaborateurs soit capable de gérer ses propres risques, pour ce qui le concerne et dans
22
toutes les circonstances. Les risques peuvent être de différents niveaux, ils sont évalués
et classés en trois catégories sur la base de deux critères traditionnels : 18
La gravité du risque qui mesure les conséquences pour l’entreprise
La probabilité de réalisation du risque qui détermine le taux d’occurrence.
A partir de ces deux critères nous sommes en mesure de classer les risques dans trois
catégories :
Risques majeurs : probabilité faible/gravité forte
Risques courants : probabilité moyenne/gravité moyenne
Risques mineurs ou de non-qualité : probabilité forte/gravité faible
Comme nous l’avons vu, l’importance réside sur le fait de connaitre les causes des
risques et leurs impacts sur l’activité de l’organisation pour que l’on puisse associer les
responsables dans la gestion de chaque risque. Il est important aussi de comprendre que
la responsabilité de chacun ne signifie pas la responsabilité de tout le monde. Plusieurs
actions sont mise en place afin de réduire les menaces brutes (qui correspondent à un
risque évalué avant mise en œuvre de tout dispositif de réduction de l’exposition au
risque) pour arriver à un risque résiduel (un risque évalué après avoir apprécié le
dispositif aux risques maîtrisables) le plus faible possible :
Atténuer: concevoir et effectuer des activités de contrôle qui permettent de
réduire le risque à un niveau acceptable pour l’organisation. C'est l'approche qui
donne lieu à des activités traditionnelles de contrôle interne.
Éviter: dans certaines circonstances, l'évaluation d'un risque conduit à la
conclusion que la réponse la plus appropriée est d'éviter les activités qui
entraînent une exposition à ce risque.
Accepter: dans d'autres circonstances, l'analyse du risque peut aboutir à la
conclusion que même si le risque et présent, les conséquences potentielles de ce
risque sont suffisamment faibles pour que le risque puisse être accepté sans
qu'une action soit prise.
18
Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude : concepts, aspects règlementaires, gestion des risques, guide d’audit de la fraude, mise en place d’un dispositif de contrôle interne permanent, référentiels questionnaire, bonne pratiques… », 4éme édition revue et augmentée, Edition Maxima, Paris, 2013 pg.76
23
Transférer le risque à un tiers : dans certaines circonstances on peut financer le
risque par une assurance ou alors sous-traiter l’activité pour laquelle le risque est
identifié.
2.2 L’identification et l’évaluation des risques
“Le savant n'est pas l'homme qui fournit de vraies réponses; c'est celui qui pose les
vraies questions ”19
Identifier les risques c’est identifier les points d’attention dont la direction doit assurer
le pilotage. Afin de mettre en place un système de contrôle interne efficace il est
important d’identifier l’univers des risques applicable à l’ensemble de l’organisation et
de ses activités.
Un processus de gestion des risques au sein de la société, comprend trois étapes :
Identification des risques : Identifier les événements potentiels susceptibles d’affecter
la réalisation des objectifs de l’organisation - étape permettant de recenser et de
centraliser les principaux risques, menaçant l’atteinte des objectifs. Il s’agit d’être en
mesure de déterminer les risques de l’organisation en rapport avec le périmètre défini.
Chaque risque est décrit selon ces attributs :
La classe de risque (image, social, information opérationnel, etc.)
L’origine des causes (naturelles, humaines, techniques, etc.)
Evaluation des risques : étape consistant à examiner les conséquences potentielles des
principaux risques (conséquences qui peuvent être notamment financières, humaines,
juridiques, ou de réputation) et à apprécier leur possible occurrence. Pour réaliser
19
Claude LéviZStrauss
24
l’évaluation des risques on a besoin d’un référentiel commun qui nous permettra
d’interpréter de manière pertinente les résultats obtenus. L’évaluation des risques
sélectionnés peut être effectuée selon plusieurs critères qui varieront en fonction des
spécificités de l’organisation et de la problématique traitée, par exemple:
L’occurrence
La gravité
Les conséquences induites (pertes d’exploitations, etc.)
Les ressources affectées (financières, humaines, etc.)
Le niveau de maitrise
Traitement du risque : étape permettant de choisir les plans d’action les plus adaptés à
la société. Pour maintenir les risques dans les limites acceptables, plusieurs mesures
peuvent être envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un
risque. Le choix de traitement s’effectue notamment en arbitrant entre les opportunités à
saisir et le coût des mesures de traitement du risque, prenant en compte leurs effets
possibles sur l’occurrence et/ou les conséquences du risque.
Il est essentiel d’identifier les risques présents dans l’entreprise, afin de mieux en
mesurer les impacts éventuels et définir les meilleures stratégies de couverture à mettre
en œuvre. Nous ne pouvons pas déployer une démarche d’identification et d’évaluation
des risques si on ne connait pas certains élément essentiel de l’organisation comme :
l’environnement de l’entreprise, les différents métiers au sein de l’entreprise, le
fonctionnement interne, qualités, compétences, stratégie de l’entreprise etc.
Il s’agit d’une démarche complexe, visant à relier à chaque niveau opérationnel et
décisionnel, pour chaque entité et pour chaque processus, c’est pour cela qu’elle reste
unique pour chaque organisation.
Autrement dit la cartographie des risques doit permettre de :20
20
Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude : concepts, aspects
règlementaires, gestion des risques, guide d’audit de la fraude, mise en place d’un dispositif de contrôle
25
Recenser les risques de la manière la plus exhaustive possible et de les classifier
Identifier les risques critiques pour la mise en place de dispositifs de maitrise
adaptés
Décrire les risques majeurs auxquels l’organisation est confrontée, le plus
précisément possible
Adapter les actions de réduction des risques les plus efficaces
Accompagner chaque décideur (au niveau groupe, par métier, par entité) dans
l’évaluation et la réduction de ses vulnérabilités significatives et majeurs.
Comme nous l’avons mentionné, il s’agit d’une démarche itérative, récurrente dont
l’entreprise doit impérativement se servir pour renfoncer la culture du risque au sein de
son établissement. Tout d’abord, il faut bien cerner l’ensemble des facteurs de risques
de l’entreprise et ensuite, apprécier l’adéquation des démarches de réduction des risques
en mettant en place des dispositifs de prévention, de protection, de plan de continuité
d’activité, etc.
2.3 L’appréciation du Risk management par le contrôle interne
« Un système est efficace dès lors qu’il répond aux objectifs pour lesquels il a été
créé. »
Le système de gestion des risques et le processus de contrôle interne doivent
fonctionner de manière imbriquée et coordonnée pour atteindre l’objectif de maîtrise
des risques qui leur sont assignés. L’efficacité du système de gestion des risques et du
interne permanent, référentiels questionnaire, bonne pratiques… », 4éme édition revue et augmentée,
Edition Maxima, Paris, 2013
26
contrôle interne passe par une bonne coordination des dispositifs autour d’activités-
clés :
Cartographie et évaluation des risques
Définition et évaluation des activités de contrôle
Plan de remédiation
Pilotage et diffusion de l’information
Supervision continue
Schéma 3 : Système de contrôle interne et de gestion des risques
Source : FR-ACI-IFA
L’ensemble du dispositif doit être adapté aux caractéristiques propres de chaque entité.
Néanmoins, quelle que soit l’organisation considérée, la mise en œuvre des certaines
pratiques pourrait garantir l’efficacité du système.
27
Politique et stratégie : dans un grand groupe l’appétence aux risques est définies par le
conseil et les responsabilités en matière de gestion des risques et sont clairement
définies et diffusées au sein de l’entité.
Analyse de l’exposition aux risques : le recensement des événements potentiels
susceptibles d’avoir un impact sur les objectifs de la société est réalisé de manière
exhaustive et les événements négatifs, internes ou externes pouvant générer des risques
sont analysés.
Evaluation des risques : une fois les risques et leurs incidences potentielles évalués,
les réponses aux risques sont élaborées. L’analyse des risques est réalisée en lien avec le
niveau de risque acceptable défini par le conseil.
Activités de contrôle : les activités de contrôle sont mises en œuvre dans chaque
processus de l’organisation et font l’objet d’une évaluation ou auto-évaluation. Ces
contrôles sont supervisés par des fonctions de surveillance. L’évaluation des activités de
contrôle fait l’objet d’une revue indépendante.
Pilotage : des indicateurs clés de performances relatives au dispositif de gestion des
risques sont définies et suivis. Les objectifs et la stratégie du dispositif sont adaptés à la
stratégie de l’organisation et sont régulièrement mis à jour.
Suivre l’efficacité d’un système revient à suivre le niveau de réalisation de ses objectifs,
cela suppose qu’il en existe une mesure, une évaluation.
Les activités de management des risques servent à identifier, évaluer, gérer et contrôler
les risques dans toutes les situations et pour tous les événements. Autrement dit, le
management des risques est un processus structuré, cohérent et continu, opérant dans
toute l’organisation. Il permet d’identifier et d’évaluer les risques, de décider des
mesures à réaliser et de prendre en compte les opportunités et les menaces qui peuvent
affecter la réalisation des objectifs de l’organisation. Tous les collaborateurs ont leur
rôle à jouer pour que la gestion du risque soit efficace à l’échelle de l’organisation, mais
c’est à la direction que revient la responsabilité première d’identifier les risques et de les
gérer.
28
Cela permet d’élaborer une démarche progressive d’amélioration continue de chaque
étape du dispositif de contrôle interne. L’importance et l’intérêt de la mise en œuvre
d’un système de contrôle interne par le pilotage de risques est liée à plusieurs facteurs.
Premièrement la maîtrise des coûts : nous sommes conscients que nous ne pouvons pas
tout contrôler et qu’il faut identifier les risques les plus importantes pour réaliser ensuite
les contrôles adéquats. Deuxièmement, il faut éviter la déresponsabilisation des acteurs
opérationnels. Comme nous l’avons vu, l’importance d’un système de contrôle efficace
réside précisément sur le fait que tous les acteurs de l’organisation sont concernés dans
le processus et que chacun est responsable pour sa partie.
Nous pouvons mentionner aussi des autres avantages comme par exemple : 21
Meilleures chances d’atteindre ses objectifs
Prise de risque et décision maîtrisées
Capacité d’accepter des risques supérieurs, pour des avantages supérieurs
Meilleures chances de faire aboutir les changements
Moins de surprises ou de crises
Meilleure compréhension des principaux risques et de toutes leurs conséquences
etc.
Pour conclure cette partie il est nécessaire de préciser que les dispositifs de gestion des
risques et de contrôle interne participent de manière complémentaire à la maitrise des
activités de l’entreprise. 22
Le dispositif de gestion des risques vise à identifier et analyser les principaux risques de
la société. Les risques, dépassant les limites acceptables fixées par l’entreprise, sont
traités et le cas échéant, font l’objet de plan d’action. Ces derniers peuvent prévoir la
mise en place de contrôles, un transfert des conséquences financières (exp. l’assurance)
ou une adaptation de l’organisation. Les contrôles à mettre en place relèvent du
dispositif de contrôle interne. Ainsi, ce dernier concourt au traitement des risques
auxquels sont exposées les activités de l’organisation. De son côté, le dispositif de
21
The Institut of Internal Auditors., « Le role de l’audit interne dans le management des risques de l’entreprise” , Septembre 2004, pg. 4 22
AMF- Autorité des Marchés Financiers : Cadre de références sur les dispositifs de gestion des risques et de contrôle interne (2010), pg.7
29
contrôle interne s’appuie sur le dispositif de gestion des risques pour identifier les
principaux risques à maitriser. En outre, le dispositif de gestion des risques doit lui-
même intégrer des contrôles, relevant du dispositif de contrôle interne, destinés à
sécuriser son bon fonctionnement.
L’articulation et l’équilibre conjugués des deux dispositifs sont conditionnés par
l’environnement de contrôle, qui constitue leur fondement commun, notamment la
culture du risque et du contrôle propres à la société et ses valeurs éthiques.
DEUXIEME PARTIE : ETUDE DE CAS-
LE SYSTEME DU CONTROLE INTERNE CHEZ
MONEXT
Dans cette deuxième partie nous allons nous intéresser à Monext, une entreprise
spécialisée dans la fourniture de prestations de service pour les banques. C’est une
filiale du Groupe Credit Mutuel ARKEA. A partir de l’analyse faite en première partie,
nous pensons qu’il est intéressant de mettre en évidence le système du contrôle interne
et la gestion des risques dans cette société. Bien que n’étant pas un établissement
bancaire, MONEXT, en tant que filiale d’un groupe bancaire doit mettre en œuvre un
dispositif qualitatif de gestion des risques opérationnels (exigences Bâle II23
et arrêté du
3 novembre 2014).
Nous allons dans une première sous partie mettre en évidence la démarche de gestion
des risques qui doit déployer l’entreprise sur son périmètre ainsi quelle organisation du
contrôle interne présent chez Monext. Pour ce faire, nous nous appuierons sur les
23
Bâle II : impose la mise en œuvre d’un dispositif qualitatif de gestion des risques opérationnels
30
modèles que nous avons présentés dans la première partie. Ensuite nous tenterons de
proposer une amélioration de l’organisation du contrôle permanent annuel chez Monext.
Notre analyse sera basée sur des documents publiés par l’entreprise et les témoignages
récoltés auprès des collaborateurs.
3. Le rôle et la place du contrôle interne au sein de Monext
Le secteur du paiement électronique étant très exposé aux menaces de fraudes externes
(par exemple de fraudes bancaire), de nombreux dispositifs innovants et des normes de
sécurité (ex : PCI DSS24
) sont mis en places afin de pérenniser la confiance des clients
des banques propriétaire de carte bancaire. La société MONEXT est positionnée sur un
marché de niches soumis à plusieurs réglementations monétiques imposées par les
réseaux (GIE CB, Visa, Mastercard, etc..). Elle doit appliquer des normes strictes en
terme de sécurité et nécessite de disposer des compétences d’expertises nécessaires :
réglementation monétique, sécurité SI et monétique, infrastructure IT, etc.
Il s’agit ici de mettre en évidence l’organisation de la fonction de contrôle permanent
au sein de MONEXT et le rattachement hiérarchique du responsable du contrôle
permanent.
24
PCI-DSS (Payment Card Industry Data Security Standard) : Il s’agit d’un standard de sécurité des
données pour les entreprises de cartes et de moyens de paiement.
31
Schéma 4 : Organigramme
Source : Monext
L’article 3 de l’arrêté du 3 novembre 2014 relatif au contrôle interne, qui se substitue au
règlement CRBF N° 97-02, indique que le contrôle interne d’une entreprise assujettie
comprend notamment :
un système de contrôle des opérations et des procédures internes ;
des systèmes de mesure des risques et des résultats ;
des systèmes de surveillance et de maîtrise des risques ;
un système de documentation et d’information.
L’ACPR (Autorité de contrôle prudentiel et de résolution) supervise également le
dispositif de contrôle interne. Ce travail se fait par référence à un texte fondateur, le
règlement CRBF 97-0225
qui pose les grands principes du contrôle interne : 26
L’organisation pour le contrôle permanent et le contrôle périodique
25
CRBF 97-02 : encadre la filière risque et les activités de contrôle permanent 26
Maders.HP, Masselin.JL, Fratta.H, « Auditeur interne et contrôleur permanent », pg. 52
32
Le système de contrôle des opérations et des procédures internes
L’organisation comptable et traitement de l’information
Les systèmes de mesure des risques et des résultats
Les systèmes de surveillance et de maitrise des risques
Le rôle des organes exécutifs et délibérant et du régulateur (ACPR)
La continuité d’activité (obligation de disposer d’un PCA)
Le dispositif évolue régulièrement depuis 1997 :
En 2005 une reforme structurante avec la séparation entre le contrôle permanent et
contrôle périodique (identification plus claire des niveaux 2 et du niveau 3).
Entre 2009 et 2010, huit modifications au texte, portant sur le reporting des incidents
significatifs, le suivi des actions de correction, la liquidité, la troisième directive
européenne sur la lutte anti-blanchiment, la politique de rémunération, la filière risque.
Le contrôle interne porte sur tous les aspects d’activité de la société et sur tous les
risques. Les services de contrôle permanent sont souvent ciblés sur les risques dits
opérationnels là où les gestionnaires des risques vont mesurer et surveiller les risques
relevant de leur zone d’expertise. Le comité de Bale a défini sept types d’évènements de
risque :
La fraude interne
La fraude externe
Les pratiques sociales et la sécurité sur le lieu de travail
Les clients, les produits et les pratiques commerciales
Les dommages aux actifs matériels
L’interruption d’activité et la défaillance de systèmes
L’exécution, la livraison et la gestion des processus.
Au regard de ce contexte réglementaire et des dispositions de la charte de contrôle
interne du CM Arkéa MONEXT doit déployer sur son périmètre et pour l’ensemble de
ses activités (y compris celles externalisées), un dispositif dédié de gestion des risques
opérationnels et de contrôle permanent lui permettant d’assurer la surveillance et la
maîtrise de ses zones de risques majeures.
33
3.1 Présentation de la démarche de gestion des risques
La fonction gestion des risques a pour enjeu d’assurer la compatibilité du niveau des
risques encourus avec les orientations et politiques fixées par l’organe de surveillance
du groupe.
En matière de fonction gestion des risques, le Groupe Crédit Mutuel Arkéa s’est fixé les
objectifs prioritaires suivants :
exercer ses activités dans des limites compatibles avec sa stratégie de
développement, ses capacités financières et les exigences réglementaires en la
matière ;
délivrer une information de qualité, pertinente, contrôlée, aux dirigeants effectifs
et à l’organe de surveillance des entités du Groupe ainsi qu’aux autorités de
tutelle, chaque entité du Groupe étant responsable de la gestion de ses propres
risques.
MONEXT veille à respecter ces objectifs pour son périmètre d’activité. Dès son rachat
par le Crédit Mutuel Arkéa en janvier 2010, Monext a dû, en tant que filiale du groupe,
mettre en œuvre un dispositif qualitatif de gestion des risques opérationnels. Au regard
du contexte réglementaire (Bale 2 et arrêté du 3/11/2014 (CRBF)), Monext a dû
déployer sur son périmètre et pour l’ensemble de ses activités (y compris celles
externalisées), un dispositif dédié de gestion des risques opérationnels lui permettant
d’assurer la surveillance et la maitrise de ses zones de risques majeures.
34
N’étant pas acteur bancaire (mais prestataire de services monétiques27
), les exigences de
maitrise de risques ne sont pas différents de celles d’ une banque. L’essence même du
contrôle interne chez Monext, c’est la maitrise des risques opérationnels pouvant
résulter de l’inadéquation ou de la défaillance de processus interne (pouvant entrainer
une perte et ou un manque à gagner pour l’entreprise). Les dispositifs pouvant faire
l’objet de risques de fraude interne et externe sont également contrôlés.
Schéma 5 : Une vision d’ensemble de la cartographie des risques opérationnels de Monext
Source : Monext
Tableau 1 : Les 7 catégories de risques opérationnels Bâle
EL1 Fraude interne (Activité non autorisée, vol, tromperie,…)
EL2 Fraude externe (Vol, tromperie, systèmes de sécurité…)
EL3 Politique de l’emploi et sécurité du travail (Ressources Humaines, sécurité de l’environnement
EL4 Relation avec la clientèle (pratique professionnelle abusive, défauts de produits, divulgation et
déontologie, parrainage et exposition, …)
EL5 Dommages causés à des biens corporels (Désastres et autres évènements)
EL6 Perturbations du fonctionnement et échecs des systèmes (systèmes d’information)
EL7 Exécution, livraison et gestion de processus (saisie de transactions, maintenance, suivi et
reporting, gestion des comptes clients, partenaires et fournisseurs,…) Source : Monext
27
La monétique désigne l’ensemble des technologies et règles mises en œuvre pour l’utilisation des cartes bancaires.
35
3.2 La démarche PRDC
L’ensemble des missions s’appuie sur le PRDC : Processus, Risques, Dispositifs et
Contrôle. Un travail constant est réalisé par le responsable du contrôle interne sur cet
outil. Pour l’ensemble des fonctions et en coopération avec les responsables
hiérarchiques des différentes fonctions, un recensement des processus, des risques
potentiels et des dispositifs a été effectué. Suite à la mise en œuvre du PRD, des
contrôles sont créés par le contrôleur, ayant pour finalité la vérification de l’existence,
de la conformité et de l’efficience des dispositifs (mis en place en vue d’atténuer,
supprimer ou prévenir les risques) dictés par les responsables.
Schéma 6 : Référentiel PRDC
Source : Monext
36
Afin de répondre aux exigences imposées par l’arrêté du 3 novembre 2014 (ex CRBF
n°97-02) et le texte de Bâle, le Crédit Mutuel Arkéa a initié au sein du Groupe, la
démarche PRDC. Cette démarche est structurée comme suit :
Processus (P) : description et modélisation des processus métiers / fonctions du
Groupe;
« Un processus est une succession de tâches chronologiques, nommées « étapes clés »
qui concourent à l’élaboration, à la production ou au traitement d’informations, de
produits ou de services. Ces « étapes clés » sont menées par des acteurs (internes ou
externes) et mises en œuvre grâce à des ressources ou supports (matériel / systèmes
d’informations) ».
Risques (R) : cartographie des risques opérationnels et hiérarchisation des zones
de risques majeures;
Dispositif de maîtrise des risques (D) : identification et description des
dispositifs de maîtrise de risque;
Contrôles permanents de 2nd niveau (C) : identification, description et
planification des contrôles permanents de second niveau, afin d’apprécier
l’efficacité des dispositifs de maîtrise existants.
Les principes structurants du PRDC sont les suivants :
- Principe participatif et itératif
Le dispositif PRDC est décliné dans les métiers / fonctions du Groupe. Il est élaboré
notamment sur la base d’entretiens / ateliers avec les experts opérationnels acteurs des
processus qui sont consultés.
- Collecte des informations à dires d’experts
Les données recueillies dans le cadre du PRDC sont des données collectées à dires
d’experts. Elles peuvent être documentées et faire l’objet d’une piste d’audit avec les
justificatifs appropriés le cas échéant.
37
La démarche du Groupe qui dispose d’une structure de pilotage par filiale. Le pilotage
du PRDC est assuré par un cartographe des risques opérationnels. Celui-ci s’appuie sur
la cartographie des processus pour identifier les risques opérationnels et les moyens mis
en œuvre pour les maitriser et les contrôler. Ce travail s’effectue en collaboration avec
le contrôleur interne de la filiale qui apporte son expertise opérationnelle.
3.3 Management de risque MONEXT
Un dispositif de management du risque est mis en place par Monext. Ce dispositif est
issu de la convergence de 2 méthodes :
Méthode « PRD » qui est issue du dispositif de maitrise des Risques
Opérationnels du groupe Crédit Mutuel ARKEA.
Méthode « ISO 27005 » orientée DIC (Disponibilité, Intégrité, Confidentialité) à
laquelle s’ajoute la prise en compte des Risques liés à la conservation des
preuves.
La méthodologie appliquée est la suivante :
La prestation est découpée en « Domaines Fonctionnels » et en « Processus ».
Pour tous les Processus identifiés, sont définis les Risques qui peuvent entraver
le bon déroulement du Processus.
Pour tous les Risques identifiés, sont définis les Dispositifs mis en œuvre pour
maitriser, réduire ou détecter le risque.
38
Processus
Risque
Dispositif
Succession de tâches chronologiques qui concourent à la production
Défaillance entravant le bon fonctionnement du processus
Mesure prise pour pour maitriser, réduire ou détecter un risque. Les
dispositifs peuvent être de plusieurs natures :
- 1 Assurances
- 2 Contractualisation
- 3 Certification
- 4 Contrôle Niveau 1
- 5 Documentation
- 6 Formation
- 7 Indicateurs
- 8 Organisation
- 9 Outils
- 10 PCA
D Disponibilité
I Intégrité
C Confidentialité
R Réglementaire
Offrir un niveau satisfaisantes d'accès et de préservation des données sensibles
Garantir le fonctionnement des outils pour la continuité des services aux utilisateurs
Mise à disposition de données de qualité et conforme
Garantir la conformité à la réglementation
Tableau 2 : La méthodologie PRD
Source : Monext
Pour tous les Risques, sont identifiés :
Le Type de Risque : Disponibilité, Intégrité, Confidentialité, Preuve, Règlementaire.
L’Impact du Risque : calculé en fonction de la Fréquence et de la Gravité.
Tableau 3 : Les différents niveaux de Fréquence et de Gravité
39
Tableau 4 : Le classement de l’impact du risque
- La matrice de hiérarchisation des Risques permet de définir l’Impact du Risque :
Tableau 5 : La matrice de hiérarchisation des Risques
L’Impact du Risque sera évalué :
Avant la mise en place des Dispositifs : On parle alors de « Risques Initiaux ».
Après la mise en place des Dispositifs : On parle alors de « Risques Résiduels ».
3.4 Le traitement du risque
En fonction de leur Criticité, les Risques sont classifiés selon l’échelle suivante :
0 1 2 3 4 5 6 7
0
1
2
3
4
5
6
7
8
9
Frequence
Gra
vite
40
Les Risques Résiduels qui sont classifiés en I0, I1 et I2 doivent impérativement être
traités.
Les traitements possibles sont les suivants :
Réduction du Risque : Réduction du Risque à un niveau acceptable par la mise
en place de dispositifs.
Refus du Risque : Suppression de l’activité ou de la situation concernée par le
Risque.
Partage du Risque : Partage du Risque avec un tiers capable de gérer le Risque
plus efficacement.
Maintien du Risque : Ne rien faire de supplémentaire vis à vis du Risque
Le choix du type de traitement du Risque résiduel est de la responsabilité de la
Direction de MONEXT.
3.5 Le système du contrôle interne
Le contrôle permanent de second niveau a pour objectif de mesurer l’efficacité d’un
dispositif de maîtrise des risques (la vérification de l’efficacité d’une alerte, d’un
indicateur ou d’un contrôle de premier niveau par exemple).
En fonction de l’indépendance de la personne qui le réalise, le contrôle permanent de
2nd niveau peut être qualifié :
- de contrôles permanents de 2nd niveau "métiers" : contrôle permanent de
second niveau opérés par une personne qui n'appartient pas à la filière "contrôle
permanent" (les responsables hiérarchiques dans la majorité des cas) ;
41
- de contrôle permanent de 2nd niveau "RCP" : contrôles permanents réalisés par
la filière "contrôle permanent".
Dans le cadre du « PRDC », le Responsable du Contrôle Permanent dans les métiers/
fonctions a la responsabilité de l’identification des contrôles permanents de 2nd niveau.
La Direction du contrôle permanent et de la conformité s’inscrit comme le garant
méthodologique des contrôles permanents de 2nd niveau.
Afin de garantir une homogénéité dans la granularité des contrôles permanents de 2nd
niveau, à identifier dans le cadre de la mise en œuvre du PRDC, et permettre une
consolidation des données a posteriori, un document présentant les Typologies de
Contrôle permanents de 2eme niveau ("C") au regard des Dispositifs de maitrise des
risques ("D") a été élaboré et est mis à disposition de chaque entité. Il est décliné par
nature de dispositif de maîtrise des risques et illustré par des questions ciblées qui
pourront être utilisées pour identifier dans un premier temps et décrire dans un second
temps les contrôles permanents de 2nd niveau.
Ce catalogue présente 6 typologies de contrôles permanents de 2nd niveau associés aux
dispositifs de maîtrise des risques :
- Existence
- Actualisation
- Accessibilité
- Couverture / périmètre
- Adéquation aux contraintes réglementaires / organisationnelles / règles de
gestion internes
- Respect
42
Tableau 7 : Typologies de Contrôle permanents de 2eme niveau
Source : Monext
43
3.6 Organisation du contrôle par niveau
Une organisation du contrôle interne à trois niveaux est mise en place pour chaque
structure du Groupe y compris Monext :
Schéma 7 : L’organisation du contrôle par niveau
Source : Monext
Premier niveau : contrôle opérationnel, lors de l’exécution du processus
proprement dit, que le contrôle soit fait par l’opérateur lui-même ou qu’il soit
44
confié à une tierce personne. Il s'agit dans ce cas de dispositifs de maîtrise des
risques.
Second niveau : contrôle permanent effectué après la fin normale de l’opération
concernée par un acteur différent de celui qui a réalisé l’opération. Ce second
niveau est à son tour divisé en deux types de contrôle en fonction de
l'indépendance de la personne qui le réalise :
o Contrôles permanents de 2nd niveau « métiers » : contrôles permanents
de second niveau opérés par une personne qui n'appartient pas à la filière
"contrôle permanent" ;
o contrôles permanents de 2nd niveau RCP : contrôles pris en charge par le
responsable du contrôle permanent directement rattaché au responsable
de la structure.
Troisième niveau (contrôle périodique) : organisé selon le mode centralisé et
hiérarchique au sein d’une direction qui exerce son activité directement sur les
structures du Crédit Mutuel Arkéa et par voie de conventions de délégation
d’exercice du contrôle périodique dûment établies avec chacune des filiales du
Groupe : la Direction de l’Inspection Générale et du Contrôle Périodique
(DIGCP).
4. Préconisations
A partir de l’analyse du rôle et de la place du contrôle interne et des conclusions de la
première partie, nous pouvons établir quelques préconisations pour les sociétés filiales
des grands groupes bancaires et plus particulièrement pour MONEXT.
45
4.1 Dysfonctionnements constatés
I. Outillage non adapté pour la production de reporting efficace et donc le pilotage
exhaustif de l’activité de contrôle.
II. Typologie des contrôles à revoir pour être en phase avec la réalité de l’entreprise
car certains contrôles proviennent de la maison mère qui est une banque et ne
sont pas forcément applicable dans l’entité.
III. Méconnaissance de la charge inhérente aux contrôles par certaines équipes
opérationnelles qui tardent à produire les éléments de preuve
4.2 Plan d’amélioration
Je pense que le mode de fonctionnement actuel est performant dans le sens ou les
objectifs fixé par la société mère sont atteints. Malgré les dysfonctionnements constatés,
le système du contrôle interne assure le bon fonctionnement et le respect de la
règlementation en vigueur. Le fait que les opérationnels participent à la fourniture des
preuves nécessaires aux contrôles permet de relever les dysfonctionnements de leur
service et accélère la mise en œuvre des recommandations corrigeant les imperfections..
Cependant, il pourrait être intéressant pour l’entreprise de mettre en avant l’utilité des
contrôles permettant de réduire au maximum l’exposition aux risques avérés. Pour cela
nous avons conclu que le moyen le plus efficace serait :
I. Mise en œuvre d’un outil spécifique qui agrège l’ensemble des systèmes
d’information mis à disposition par le groupe. Cet outil génère en automatique
les contrôles à réaliser et permet au contrôleur de focaliser son attention sur
l’analyse des preuves transmises
46
II. Amélioration de la démarche de suivi des risques en se concentrant sur ceux
dont l’impact financier et l’impact d’image sont les plus importants
III. Identifier les prestations pour lesquelles les risques sembles les plus important et
rendre spécifique l’analyse afin d’identifier précisément les risques qui sortent
d’un cadre générique.
En étant au cœur des enjeux d’une société obligée d’appliquer des normes strictes en
terme de sécurité et nécessitant de disposer des compétences d’expertises nécessaires :
réglementation monétique, sécurité SI ,cryptographie, infrastructure IT, etc. le contrôle
interne sera plus efficace pour assurer la surveillance et la maîtrise de ses métiers
stratégiques.
CONCLUSION
L’atteinte des objectifs fixés par l’entreprise passe avant tout par la gestion et la maitrise
du fonctionnement de l’entreprise. Afin de prévenir les risques qui peuvent remettre en
cause l’activité de la société, un service de contrôle interne est mis en place. Il s’appuie
sur plusieurs dispositifs qu’il faut utiliser à bon escient pour donner aux contrôles toute
la valeur nécessaire à la protection de l’entreprise. Le contrôle interne est un processus
qui concerne tous les services. A cet égard, il ne doit pas être considéré comme une
contrainte pour les employés car au contraire il offre une garantie et une protection
contre les risques de chaque activité. Les contrôles doivent être réalisés naturellement et
constituent un gage de qualité et de sécurité pour les clients.
Ce mémoire montre l’importance du contrôle interne et du risk management puis définit
ce qu’est une structure de contrôle efficace pour satisfaire à la fois les exigences
opérationnelles de l’entreprise, les exigences des autorités de régulation et les exigences
de la maison mère.
47
A travers la revue de littérature, j’ai déterminé qu’il était nécessaire de mettre en place
d’un système de contrôle interne par le pilotage des risques. Le pilotage des risques,
dans une entreprise qui est filiale d’un grand groupe bancaire, est très important et
critique car les règlementations sont contraignantes et vérifiées par les législateurs.
L’objectif du contrôle interne est de permettre à l’entreprise d’atteindre les engagements
qu’elle a fixé à partir du cahier des charges des actionnaires et d’être conforme aux
contrats qu’elle a signé avec ses clients. Il concerne l’intégralité de l’entreprise et
nécessite une participation active de l’ensemble de ses salariés (collaboration aux
différents contrôles). Le contrôle interne doit rester concentré sur le périmètre de
l’ensemble de ses activités et adapter le système du contrôle avec la réalité de
l’entreprise.
Dans ce type d’entreprise, la mise en place d’un SCI ce n’est pas simplement une
obligation imposé par la maison mère, mais également un garde-fou pour tous les
risques éventuels. Il reste néanmoins un risque non couvert qui concerne la défaillance
du contrôle interne. Ce risque supervisé par les contrôleurs de la maison mère impose
des connaissances précises sur la filiale or ce n’est pas toujours le cas.
Le contrôle interne doit aller au-delà du contrôle de conformité, il doit fournir des
analyses et des recommandations pertinentes dans le cadre de la stratégie fixée par
l’entreprise. Il doit apporter une plus-value à l’organisation en termes de performance.
L’importance du contrôle interne dans une entreprise n’est plus à démontrer. Le
contrôle interne est l’affaire de tout le monde et n’est pas réservé au seul contrôleur
interne. Le contrôle interne est un processus structurant permettant de réaliser les
objectifs, d’améliorer la performance et peut-être de mieux connaitre les métiers de
l’entreprise. Certains managers et responsables des services ne se rendent pas compte de
l’importance d’anticiper les conséquences d’un risque sur une activité jusqu’au moment
ou un incident arrive alors qu’ils auraient pu l’éviter.
Pour conclure, une entreprise qui contrôle ses procédures et ses services contrôle surtout
son avenir et celui de ses collaborateurs.
48
BIBLIOGRAPHIE
OUVRAGES
Bernard, F, Gayraud. R, Rousseau, L, « Contrôle interne, lutter contre la fraude :
concepts, aspects règlementaires, gestion des risques, guide d’audit de la fraude, mise en
place d’un dispositif de contrôle interne permanent, référentiels questionnaire, bonne
pratique », 4éme édition revue et augmentée, Edition Maxima, Paris, 2013
Jacques Renard. « Comprendre et mettre en œuvre le contrôle interne » Groupe
Eyrolles, 2012
Maders Henri-Pierre et Masselin Jean-Luc, « Contrôle interne des risques » Groupe
Eyrolles 2014
Maders Henri-Pierre, Masselin Jean-Luc, Fratta Hervé, « Auditeur interne et contrôleur
permanent » Groupe Eyrolles, 2015
Mikael Ouaniche, « La fraude en entreprise », Maxima 2015
ARTICLES
Laura F. Spira, Michael Page, (2003) ‘Risk management: The reinvention of internal
control and the changing role of internal audit’, Accounting & Accountability Journal,
Vol. 16 Issue: 4, pp. 640-661.
Cappelletti. L, « Performing an Internal Control Function to Sustain SOX 404 and
Improve Risk Management: Evidence from Europe”, Mismanagement Accounting
Quately, Summer 2009, Vol.10, NO.4
49
Hervé Stolowy et al. “Audit financier et contrôle interne. L’apport de la loi Sarbanes-
Oxley », Revue française de gestion 2003/6 (nr° 147), p.133-143.
CAPPELLETTI Laurent, ”Vers une institutionnalisation de la fonction contrôle
interne”, Comptabilité, Contrôle et Audit Tom 12, Volume 1 (p.27 à 43) (2005).
ETUDES ET RAPPORTS
AMF- Autorité des Marchés Financiers : Cadre de références sur les dispositifs de
gestion des risques et de contrôle interne (2010)
IFA., « Le suivi de l’efficacité des systèmes de contrôle interne et de gestion des
risques » Novembre 2010
Contrôle fédérale des finances. « Mise en place d’un système de contrôle interne
(SCI) », Second édition 2007
The Institut of Internal Auditors., « Le rôle de l’audit interne dans le management des
risques de l’entreprise”, Septembre 2004
PWC Audit Committee Guide, « Risk management & internal control » July 2015
SITES INTERNET
Association française d’audit informatique (AFAI) : www.afai.fr
Institut français de l’audit et du contrôle internes (IFACI) : www.ifaci.fr
Autorité des marchés financiers : www.amf-france.org
http://audit-fraudes-finances.over-blog.com/2016/04/les-risques-d-entreprise.html
50
TABLE DE MATIERES
INTRODUCTION ……………………………………………………………………….01
PARTIE 1: PRINCIPES GENERAUX DE PILOTAGE DES RISQUES ET DE CONTROLE
INTERNE…… ………………………………………………………………………....03
1. Les concepts essentiels du contrôle interne permanent ……………..……………03
1.1. Le cadre théorique du contrôle interne .......................................................….04
1.2. L’intérêt et les limites du contrôle interne …………………………………...08
1.3. Les types et les niveaux du contrôle interne……………………………….….11
1.4. La mise en place du système de contrôle interne……………………………...13
Schéma 1 : Les composants d’un système de contrôle interne ……………….16
Schéma 2 : L’interaction Activité de contrôle et Gestion des Risques ……….18
2. Le cadre conceptuel des risques – Le processus du Risk Management ………..…18
2.1. Typologie et niveaux des risques……………………………………………..20
2.2. L’identification et l’évaluation des risques …………………………………..23
2.3. L’appréciation du Risk management par le contrôle interne……………........25
Schéma 3 : Système de contrôle interne et de gestion des risque ……………26
PARTIE 2: ETUDE DE CAS- LE SYSTEME DU CONTROLE INTERNE CHEZ
MONEXT.................................................................................................................…...29
3. Le rôle et la place du contrôle interne au sein de Monext……………………..….30
Schéma 4 : Organigramme……………………………………………………31
3.1. Présentation de la démarche de gestion des risques………………….………33
Schéma 5 : Une vision d’ensemble de la cartographie des risques opérationnels
de Monext……………………………………………………………………..34
Tableau 1 : Les 7 catégories de risques opérationnels Bâle ………………….34
3.2. La démarche PRDC……………………………………………….………….35
Schéma 6 : Référentiel PRDC ………………………………………………..35
3.3. Management de risque Monext………………………………………………37
Tableau 2 : La méthodologie PRD …………………………………………..38
Tableau 3 : Les différents niveaux de Fréquence et de Gravité ……………..38
Tableau 4 : Le classement de l’impact du risque …………………………….39
Tableau 5 : La matrice de hiérarchisation des Risques……………………….39
3.4. Le traitement du risque ………………………………………………………39
3.5. Le système du contrôle interne…………………………………………….…40
Tableau 7 : Typologies de Contrôle permanents de 2eme niveau ……………42
3.6. Organisation du contrôle par niveau …………………………………………43
Schéma 7 : L’organisation du contrôle par niveau …………………………..43
4. Préconisations………………………………………………………………..……44
4.1. Dysfonctionnement constatés…………………………………………….......45
4.2. Plan d’amélioration …………………………………………………………..45
CONCLUSION …………………………………………………………………………46
BIBLIOGRAPHIE-WEBOGRAPHIE …………………………………………………….48
TABLES DES MATIERES ……………………………………………………………….50
51
LE ROLE DU PILOTAGE DES RISQUES DANS LA MISE EN ŒUVRE DU
CONTROLE INTERNE : LE CAS D’UNE SOCIETE SPECIALISEE DANS LES
ACTIVITES BANCAIRES.
RESUME
Dans un environnement en évolution constante le potentiel est grand, les attentes sont
élevées, et les risques sont importants. L’accroissement des risques auxquels s’exposent
les entreprises oblige à un renforcement des contrôles afin de préserver les intérêts de la
structure et de ses clients. D’où le besoin d’un système de contrôle performant qui
apporte une assurance raisonnable pour garantir sa pérennité. Diriger c’est prévoir. Cela
passe par prévenir les risques qui peuvent remettre en cause l’activité d’une entité.
Identifier les risques c’est identifier les points d’attention dont la direction doit assurer
le pilotage.
Ce mémoire a pour objectif d’explorer la nature de la structure du contrôle interne
efficace, satisfaisant à la fois les exigences opérationnelles de l’entreprise, les exigences
des autorités de régulation et les exigences de la maison mère suivant un processus de
pilotage de risques.
MOTS-CLES
Contrôle interne ; Pilotage Des Risques ; PRDC ; Conformité ; Activités Bancaires
52
THE ROLE OF RISK MANAGEMENT IN THE IMPLEMENTATION OF INTERNAL
CONTROL: THE CASE OF A SPECIALIZED COMPANY IN BANKING
ACTIVITIES.
ABSTRACT
In a constantly changing environment the possibilities are great, the expectations are
high, and the risks significant. The increased risk to which companies are exposed
requires a strengthening of controls in order to safeguard the interests of the structure
and its customers. From where the need for an efficient control system, that provides
reasonable assurance to ensure its durability. To lead is to foresee. This means
preventing risks that may challenge the activity of the entity. Identifying risks means
identifying the points of attention for which management must ensure control.
This thesis sets out to explore the nature of the structure of an effective internal control,
satisfying both the operational requirements of the company, the requirements of the
regulatory authorities and the requirements of the head company following a risk
management process.
KEYWORDS
Internal Control; Risk Management; PRDC; Compliance; Banking
Master Sciences du Management : CCFP
Spécialité « Conseil-Audit-Contrôle » (C.A.C.)
Faculté des Sciences Economiques et de Gestion - Université de la Méditerranée
14 Avenue Jules ferry 13100 Aix-en-Provence
Tel.: 0033(0)4 42 91 48 34
Email: [email protected]