Centre Africain d’Études Supérieures en Gestion Institut Supérieur de Comptabilité, Master Professionnel en Audit et de Banque et de Finance Contrôle de Gestion (ISCBF) (MPACG) Promotion 5 (2010-2012) Mémoire de fin d’étude THEME Analyse du processus de gestion pérenne des risques : cas de MOOV-CI Présenté par : Dirigé par : Ray Max AOUELY Saran KANTE Chef de service Audit interne Atlantique Télécom-CI Décembre 2013 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI DEDICACE Ce mémoire est dédié à mon père Daouda KANTE, à ma mère Awa DIANE, mes frères (Ibrahim, Bakary, Issiaka) et ma sœur adorée Mariam FOFANA pour l’amouret le soutien qu’ils m’ont apportés durant ma formation. A mes promotionnaires qui ont toujours été à mes côtés. Grâce à leurs soutiens multiformes, j’ai pu achever cette formation. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 1 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI REMERCIEMENTS Au terme de ce travail, mes remerciements vont à l’endroit de: Monsieur Ray Max AOUELY (chef de service Audit Interne),mon directeur de mémoire qui m’a accordé son temps pour m’orienter et me donner ses précieux conseils pour la rédaction du mémoire ; Madame Simone TRAORE, chef de service Reporting et suivi des Opérations de Trésorerie, pour son soutien et ses conseils ; Monsieur N’Ddoumé Alain, contrôleur interne, pour ses précieux conseils ; Monsieur Moussa YAZI, Directeur de l’Institut Supérieure de Banque et de Finance pour tous ses efforts et précieux conseils méthodologiques qui m’ont guidé dans ma rédaction ; Monsieur Abraham ABE, chef de division Qualité Audit Interne ; Madame Annick GERALDO Epouse KANATE, auditeur interne; Madame Estelle AKPA, Responsable Qualité ; Madame Bérénice Flore N’guessan MOH Epouse FALLY, Assistante Qualité. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 2 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI LISTE DES SIGLES ET ABREVIATIONS AI : Audit Interne AMF : Autorité des Marchés Financiers ATCI : Agences des Télécommunications de Côte d’Ivoire AUC : Authentification Center ou centre d’authentification des utilisateurs BSC : Base Station Controller ou contrôleur des stations de base BTS : Base Transceiver Station ou station radio de base CESAG : Centre Africain d’Etudes Supérieures en Gestion CI Côte d’Ivoire : COSO : Committee of Sponsoring Organizations of the Treadway Commission CRA : Compte Rendu D’appel DMR : Dispositif de Maitrise des Risques DGQUAI: Direction Générale Qualité Audit Interne ECIIA: European Confederation of Institutes of Internal Auditors EY Ernst&Young : GGSN : Gateway GPRS Support Node GSM : Global System for Mobile Communication GPRS : General Packet Radio Service HLR : Home Location Register ouEnregistreur de localisationNominale HYB : Hybride IFAC : International Federation of Accountants IFACI: Institut Français de l’Audit et du Contrôle Internes IFRS : International Financial Reporting Standards IIA : Institut of Internal Auditors ISA : International Standards on Auditing ISO : International Standards Organizations MSC : Mobile Switching System ou Centre Commutateur Mobile QCI : Questionnaire de Contrôle Interne SCP : Service Control Point SGSN:Serving GPRS Support Node SIM : Subscriber Identity Module SDP : Service Data Point VLR : Visitors Location Register PCU : Packet Control Unit KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 3 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI LISTE DES TABLEAUX ET FIGURES Liste des tableaux Tableau 1: Récapitulatif des personnes interviewées ..........................................................41 Tableau 2 : La récurrence du constat................................................................................... 60 Tableau 3 : Formalisation graphique du niveau de risque................................................... 60 Tableau 4 : Présentation du plan d’action convenu............................................................. 61 Tableau 5: Statistiques illustrant l’état de mise en œuvre des corrections et des actions correctives de la direction technique. ..................................................................................63 Tableau 6: enquête sur la culture du risque à MOOV-CI.................................................... 71 Tableau 7: Questionnaire relatif à la maîtrise des risques ...................................................73 Tableau 8: questionnaire relatif au contrôle interne ............................................................ 75 Liste des figures Figure 1 : Le modèle d’analyse ...........................................................................................38 Figure 2 : Suivi des écarts d’audit interne ........................................................................... 62 Figure 3 : Graphique illustrant l’état de mise en œuvre des corrections et des actions correctives de la direction technique. ..................................................................................64 Figure 4 : Synthèse du rapport d’audit interne ....................................................................65 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 4 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI LISTE DES ANNEXES Annexe 1 : organigramme générale de MOOV-CI ............................................................. 87 Annexe 2 : Cartographie globale des processus de Atlantique Télécom-CI ....................... 88 Annexe 3 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de maîtrise des risques de MOOV-CI ......................................................................................89 Annexe 4 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de contrôle interne de MOOV-CI............................................................................................. 91 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 5 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI TABLE DES MATIERES DEDICACE......................................................................................................................................... i REMERCIEMENTS ..........................................................................................................................ii LISTE DES SIGLES ET ABREVIATIONS..................................................................................... iii LISTE DES TABLEAUX ET FIGURES ......................................................................................... iv LISTE DES ANNEXES..................................................................................................................... v TABLE DES MATIERES ................................................................................................................ vi INTRODUCTION GENERALE........................................................................................................ 1 PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE........................................................ 6 CHAPITRE 1 : LE PROCESSUS DE MANAGEMENT DES RISQUES........................................ 8 Aperçu général du processus de management des risques............................................... 9 1.1. 1. Définition et objectifs du processus de management des risques................................. 9 2. Les composants du dispositif de management des risques .........................................10 1.1.2.1. Établissement du contexte de management des risques et identification des risques ........................................................................................................................... 12 1.1.2.2. Les méthodes d’évaluation des risques.............................................................. 14 1.1.2.3. Communication et concertation......................................................................... 16 1.1.2.4. Surveillance et revue.......................................................................................... 16 1.2. Les outils de management des risques ............................................................................ 16 1.2.1. Définition de la cartographie des risques ................................................................... 16 1.2.2. Objectifs de la cartographie des risques ..................................................................... 17 1.2.3. Base d’incidents.......................................................................................................... 17 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 6 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1.2.3.1. 1.2.3.2. 1.2.4. 1.3. La mise en œuvre d’une base d’incidents ..........................................................18 Le suivi et le traitement des informations.......................................................... 18 Les indicateurs de risques........................................................................................... 19 Le plan d’action de maîtrise des risques ......................................................................... 19 CHAPITRE 2 : LE ROLE DE L’AUDIT INTERNE DANS LA GESTION DES RISQUES ........ 22 1. Gouvernance, méthodologie et procédures en matière de gestion des risques ............... 23 2.1.1. Gouvernance de la gestion des risques ....................................................................... 23 2.1.2. Méthodologies et procédures en matière de gestion des risques ................................ 23 2. L’audit interne et le management des risques: des méthodes complémentaires............. 24 2.2.1. L’organisation de l’audit interne ................................................................................ 24 2.2.2. Le rôle de l’audit interne auprès des managers .......................................................... 24 2.2.3. 2.3. Le rôle de l’audit interne dans l’identification des contrôles ..................................... 25 Audit interne et gestion des risques ............................................................................... 25 2.3.1. Implication de l’audit interne dans le processus de management des risques ............ 26 2.3.2. L’appréciation du contrôle interne ............................................................................. 27 3. Intégration du contrôle interne dans le dispositif de management des risques........... 28 4.Le rôle de l’analyse des risques dans l’évaluation du dispositif de contrôle interne.. 28 2.3.5. Évaluation du processus de management des risques................................................. 30 2.3.6. Audit du processus de management des risques......................................................... 31 2.4. Examen du dispositif de management des risques mis en place par l’entreprise............ 31 CHAPITRE 3 : METHODOLOGIE DE L’ETUDE ........................................................................ 35 3.1. Le modèle d’analyse ....................................................................................................... 35 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 7 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 3.1.1. La variable dépendante............................................................................................... 36 3.1.2. Les variables indépendantes ....................................................................................... 36 3.1.3. Le modèle d’analyse................................................................................................... 37 3.1.4. Les indicateurs de mesure .......................................................................................... 39 3.1.4.1. Dimension contrôle interne................................................................................ 39 3.1.4.2. Dimension environnement interne..................................................................... 39 3.1.4.3. Dimension plan d’action et pilotage .................................................................. 39 3.1.4.4. Les outils de collecte et d’analyse des données ................................................. 39 Les outils de collecte des données ..............................................................................40 3.2.1. 3.2.1.1. L’analyse documentaire .....................................................................................40 3.2.1.2. L’interview ........................................................................................................ 40 3.2.1.3. Observation physique ........................................................................................ 42 3.2.2. Les outils d’analyse des données................................................................................ 42 3.2.2.1. Les tests de conformité et de permanence ......................................................... 42 3.2.2.2. Questionnaire de contrôle interne ...................................................................... 43 3.2.2.3. Le tableau des risques ........................................................................................ 43 DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE........................................................ 46 CHAPITRE 4 : PRESENTATION GENERALE DE ATLANTIQUE TELECOM-CI .................. 48 4.1. Historique et évolution.................................................................................................... 48 4.2. Missions ..........................................................................................................................49 4.3. Organisation générale de MOOV-CI .............................................................................. 50 4.3.1. KANTE Saran, Direction Technique ...................................................................................................50 MPACG – CESAG, 5ème promotion 2010/2012 Page 8 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 4.3.2. Direction Marketing et Communication..................................................................... 51 4.3.3. Direction Commerciale .............................................................................................. 51 4.3.4. Direction Comptable et Financière............................................................................. 51 4.3.5. Direction Administratives et Ressources Humaines................................................... 52 4.3.6. Direction Système Informatique................................................................................. 52 4.3.7. Direction Clientèle...................................................................................................... 53 4.4. La division Qualité & Audit Interne(DQAI) .................................................................. 53 4.4.1. Missions du service Audit .......................................................................................... 53 4.4.2. Missions du service Qualité....................................................................................... 54 CHAPITRE 5 : PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOV-CI ........... 57 5.1. Description du processus de gestion pérenne des risques de MOOV-CI........................ 57 5.1.1. Élaboration du plan annuel d’audit............................................................................. 57 5.1.2. Établissement du contexte ou environnement interne de MOOV-CI ......................... 58 5.1.3. Analyse partielle des risques par processus................................................................ 58 5.1.4. Évaluation du dispositif de maitrise des risques (DMR) de MOOV-CI..................... 58 5.1.5. Communication des travaux d’audit interne............................................................... 59 5.2. Pilotage des écarts d’audit interne .................................................................................. 59 5.3. Participation à l’élaboration de la cartographie des risques............................................ 66 5.3.1. Le cadrage .................................................................................................................. 66 5.3.2. Identification et évaluation des risques ...................................................................... 67 CHAPITRE 6 : ANALYSE DU PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOV-CI ........................................................................................................................................ 69 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 9 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1.Identification des éléments majeurs du processus de gestion pérenne des risques de MOOV-CI ....................................................................................................................................69 1. Examen et évaluation de l’environnement interne de MOOV-CI .............................. 69 2. Analyse du dispositif de maitrise des risques de MOOV-CI...................................... 72 2.Evaluation du dispositif de contrôle interne mis en place par MOOV-CI pour la gestion pérenne des risques ...................................................................................................................... 74 3. Les forces du dispositif de gestion des risques de MOOV-CI .......................................77 4.Les faiblesses du dispositif de gestion des risques de MOOV-CI ................................. 78 6.5. Recommandations à l’endroit de MOOV-CI ..................................................................79 .......................................................................................................................................................... 83 ANNEXES ....................................................................................................................................... 86 BIBLIOGRAPHIE ........................................................................................................................... 94 KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 10 INTRODUCTION GENERALE Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Selon Joss Gillet (2009 :45) l’Afrique est le premier marché de la téléphonie cellulaire au monde enterme de rythme de croissance, représente environ dix(10) pour cent des connexions cellulaires mondiales.Pour le cabinet Ernst&Young (AFP, 2009), le taux moyen de pénétration du mobile en Afrique qui se situait à 37% en 2009 pourrait passer à 61 % d'ici à 2018. André-Michel Essoungou (2011:3) soutient que cette évolution rapide s'explique par trois changements majeurs survenus au cours de cette décennie. Le premier changement est l'adoption massive des technologies de l'information sur le continenttandisqu’à l’aube de l’an 2000,11 millions d'Africains possédaient un téléphone mobile, ils sont estimés à près de 200 millions cinq ans plus tard et sont désormais presque 400 millions. Le deuxième phénomène majeur qui a également contribué à la croissance rapide du secteur c’est la ruée vers l'Afrique des investisseurs étrangers, sensibles aux énormes profits qu’offre le marché africain. Enfin, le troisième changement important enregistré se situe au niveau des politiques et institutions qui ont réussi à encadrer le secteur et ont assuré sa croissance en ouvrant leur marché à la compétition et à l’investissement. Toutefois, l’importance des ressources générées par ce secteur ne s’est pas faite sans la démultiplication de divers risques. Selon des études menées par le cabinet Ernst&Young (2012 :15), dix principaux risques sont à identifier dans le secteur des télécoms : incapacité à migrer d’un modèle économique basé sur les minutes consommées à un modèle basé sur les volumes de données ; décalage face aux évolutions des attentes et comportements clients ; manque de confiance dans les retours sur investissement ; le manque d’information concernant les demandes qui empêche la création de la valeur ; incertitude concernant la réglementation des nouvelles structures de marché ; incapacité à exploiter les nouveaux types de connectivité ; une stratégie de fusions, acquisitions et de partenariats mal formulée ; incapacité à définir de nouveaux outils de mesures de l’activité ; confidentialité, sécurité et résilience ; manque de souplesse organisationnelle. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 1 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI En effet, les risques sont inhérents à toute organisation. Il ne peut exister de croissance, ni de création de valeur, sans prise de risque. Dès lors, s’ils ne sont pas correctement gérés et maîtrisés, ces risques peuvent affecter la capacité de l’organisation à atteindre ses objectifs. Ainsi les organisations vont se doter de service d’audit interne dont le rôle majeur dans le processus de management des risques s’accentue. Aussi, l’identification et l’évaluation des risques sont-elles au cœur de l’activité de l’auditeur interne. Par ailleurs la norme 2100 (IFACI, 2004 :9)précise que l’audit internedoit «évaluer les processus de management des risques et rendre compte de ces évaluations, maintenir un dispositif de contrôle interne approprié et de gouvernement d’entreprise » et contribuer par la même occasion à leurs améliorations sur la base d’une approche systématique et méthodique. Pour tenir compte des crises successives dans les milieux d’affaires (Vivendi, Société Générale, Enron,...),les organisations vont s’imposer une gestion managériale beaucoup plus axée sur la gestion des risques. Elles vont en outre passer d’une évaluation ponctuelle à l'occasion de l’élaboration d'une cartographie des risques vers une véritable gestion des risques, inscrite dans la durée. En raison de l’image de rigueur qu’il arrive à véhiculer, de la complexité des risques qu’il doit gérer, l’audit interne se révèle être incontournable dans les organisations. Atlantique Télécom Côte d’Ivoire, filiale du Groupe Atlantique Télécom dont l’actionnaire principal est le Groupe Etisalat, leader de la téléphonie aux Emirats Arabes Unis a connu en moins de six ans des bouleversements majeurs. En effet, considérée au départ comme une startup dont la rentabilité à court terme laissait perplexe plus d’un averti du monde des affaires en Afrique, Atlantique Télécom s’est rapidement affirmé comme un opérateur incontournable en Côte d’Ivoire. Selon Julien Clemençot (2011 :102) cette montée en puissance s’est traduite par l’amélioration de la profitabilité d’Atlantique Télécom CI. Estimé à 1 300 000 en Décembre 2007, les abonnées Atlantique Télécom Cote d’ivoire sont aujourd’hui à environs 3 700 000, tandis que sa marge EBITDA (indicateur proche de l’excédent brut d’exploitation) est près de 40 %, quand les leaders Orange et MTNsont à 50 %. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 2 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Pourtant, avec sept licences GSM dont cinq actives, la Côte d’Ivoire compte parmi les marchés les plus encombrés d’Afrique, d’où l’urgence pourAtlantique Télécom Côte d’ivoire, d’identifier d’une part les pistes susceptibles de lui assurer un avantage concurrentiel et d’autre part, de mitiger au mieux les risques inhérents à son activité. Ces risques sont multiples et ne cessent de croitre tandis que les investissements en équipements sont considérableset laissent peu de marge au tâtonnement. En réalité MOOV-CI rencontre des problèmes aussi bien d’ordre opérationnels que organisationnels, il s’agit notamment de : lenteur dans l’intervention des équipes techniques lors des incidents; mécontentement des clients du au non-respect de la promesse des services ; détérioration et vol des équipements techniques sur les sites ; perte de données informatiques ; absence de pérennité des modes de fonctionnement (non formalisation ou absence de procédure sur certaines activités) ; confusion dans la chaine hiérarchique. Parmi les facteurs explicatifs nous pouvons citer : la non maitrise des changements organisationnels ; lanon mise à jour des fiches de postes ; l’insuffisance du personnel dédié au contrôle ; l’absence d’illisibilité sur les contrôles clés à mettre en œuvre du fait d’une insuffisance d’identification des risques à mitiger. Au regard de cette situation, nous pensons que l’exploration des pistes suivantes pourrait y remédier: mettre en place un dispositif de gestion des changements ; effectuer une revue de la structure organisationnel et des fiches de postes ; cultiver une approche par les risques à tous les niveaux de l’organisation ; décentraliser la gestion des risques en recrutant par direction une ressource en charge des risques ; créer une direction en charge de la gestion des risques et la doter de moyens suffisants ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 3 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI externaliser la gestion des risques ; protéger tous les actifs sensibles en ayant recours à un contrat d’assurance ; procéder à une analyse du processus de gestion pérenne des risques ; La dernière solution nous apparaît opportune car elle est moins onéreuse et s’inscrit dans la droite ligne des directives de l’IFACI traduite à travers la norme 2100 (normes de travail). Pour aboutir à une plus grande efficacité (performance) de l’audit interne, la question qu’on pourrait se poser est celle-ci : l’audit interne peut-il contribuer à une gestion pérenne des risques ?De cette question de recherche découlent les questions spécifiques à savoir : Est-ce que le processus de gestion des risques mis en place permet-il l’amélioration de la performance de l’organisation ? L’audit interne pourra-t-il organiser sa démarche autour des réelles préoccupations stratégiques de l’organisation ? Le processus de gestion des risques fait-il l’objet d’un suivi périodique? Les recommandations résultantes des audits sont-elles mise en œuvre ? Une évaluation périodique de l’impact des recommandations est-elle effectuée ? La réponse à toutes ses questions motive notre choix pour le thème : « analyse du processus de gestion pérenne des risques ». L’objectif principal de cette étude est d’analyser l’impact des outils de gestion mis en place par l’audit interne dans la gestion pérenne des risques. Les objectifs spécifiques qui en découlent sont : comprendre et cerner les facteurs de survenance du risque; appliquer les outils permettant la gestion pérenne des risques et analyser leur répercussion sur la performance de l'organisation. Cette étude dégage des intérêts : pour AtlantiqueTélécom-CI: Elle permettra à MOOV-CI d’avoir un avis sur le processus utilisé pour gérer ces risques au quotidien. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 4 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI pour nous-mêmes : Cette étude sera l’occasiond’appliquer les connaissances acquises durant nos deux années de formation, d’approfondir nos connaissances sur l’importance de maitriser le processus de gestion des risques. Pour atteindre les objectifs que nous nous sommes fixés plus haut, notre travail s’articulera autour de deux parties essentielles: La première partie, sera consacrée au cadre théorique portant sur la revue de la littérature où nous exposerons le risque et son omniprésence, les éléments mettant en relief l’amélioration de la performance grâce à l’audit interne, les moyens mis en place par l’audit interne dans la prévention du risque ainsi que outils mis en place par l’audit interne quant à la gestion pérenne des risques. La seconde partie sera menée ensuite auprès de MOOV-CI à travers des entretiens, des observations, des questionnaires et l’analyse documentaire. Cela permettra d’avoir une connaissance pratique, des différents processus d’une organisation et de comprendre comment se déclinent les diligences de l’audit interne susceptible de mitiger les risques encourus. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 5 PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE Analyse du processusde gestion pérenne des risques : cas de MOOV-CI L’incertitude est une donnée essentielle de la vie de toute organisation. Elle est source de risques, et d’opportunités. Aussi, l’un des défis fondamentaux pour une organisation réside dans la détermination du degré d’incertitude qu’elle est prête à accepter afin d’optimiser la création de la valeur. Dès lors, tout le monde s’accorde pour dire qu’un processus de management des risques efficace,doit offrir la possibilité d’appréhender une réponse appropriée aux risques et aux opportunités associées aux incertitudes auxquelles l’organisation fait face, renforçant ainsi la capacité de création de la valeur ajoutée. La revue de littérature ci-après, se propose d’une part de présenter les facteurs déterminants d’une gestion pérenne des risques et de faire ressortir d’autre part, l’urgence d’une meilleure implication de l’audit interne dans ce processus. Il circonscrit par la suite la participation de l’audit interne dans le déploiement du processus de management des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 7 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 1 : LE PROCESSUS DE MANAGEMENT DES RISQUES Dans le contexte économique actuel, toutes les entreprises sont confrontées à la nécessité de maîtriser les risques inhérents à leurs activités.Cette préoccupation est d’autant plus à l’ordre du jour les scandales financierstels queles affaires Enron,Worldcom et Tyco, ont fait ressortir les défaillances criardes du dispositif de contrôle interne. Ils ont par ailleurs, mis en exergue le constat de l’inadaptabilité des différents processus de gestion des risques mis en place. La gestion des risques est un processus continu et proactif qui constitue une partie importante des processus de gestion. Elle couvre les questions susceptibles de mettre en danger l’atteinte des objectifs critiques. L’objectif d’une approche de gestion par les risquesest d’anticiper et de mitiger efficacement les risques ayant un impact critique sur l’entreprise. Ainsi la gestion des risques doit prendre en considération à la fois les sources internes et externes de risques concernant le coût, le calendrier et les aspects techniques. Une détection précoce et agressive des risques est importante car c'est typiquement plus facile, et moins coûteux d'apporter des changements, de corriger des efforts de travail durant les premières phases d’une mission que durant ses dernières phases. Ce chapitre vise à comprendre le processus de management des risques, et les dispositifs de maîtrise des risques communément mis en place pour une gestion efficace des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 8 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1. Aperçu général du processus de management des risques Pour mieux appréhender, les facteurs déterminants du processus de management des risques, il convient de bien cerner la notion de management des risques. La synthèse ci-après présentera d’une part la définition du management des risques et son champ d’application d’autre part, les composants du dispositif de management des risques afin de s’inscrire durablement dans le cadre du dispositif mis en place au niveau de l’entreprise. A partir de cette définition, nous mettronsen exergue, les composantes essentielles d’une gestion pérenne des risques, puisnous nous attellerons à expliciter les outils de management des risques. 1. Définition et objectifs du processus de management des risques Selon le COSO (2005 :5) le management des risques est un processus mis en œuvre par le conseil d’administration, ladirection générale, le management et l'ensemble des collaborateurs de l’organisation. Elle est prise en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités del'organisation. Elle est conçue pour identifier les événements potentiels susceptibles d’affecterl’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Elle vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l’organisation. Cette définition met en exergue certains concepts fondamentaux qui sont : la participation de l’ensemble des collaborateurs, à tous les niveaux de l’organisation au processus de management des risques; l’identification des évènements potentiels susceptibles d’affecter l’organisation ; le niveau de risque global auquel l’organisation accepte de faire face, en cohérence avec ses objectifs de création de valeur ou appétence pour le risque ; fournir une assurance raisonnable que la direction et le conseil d’administration sont informés régulièrement de la progression de l’organisation dans l’atteinte des objectifs fixés. Les objectifs dont il s’agit ici sont de quatre(4) ordres : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 9 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI stratégique : objectifs stratégiques servant la mission de l’organisation ; opérationnel : objectifs visant l’utilisation efficace et efficiente des ressources ; reporting : objectifs liés à la fiabilité du reporting ; conformité : objectifs de conformité aux lois et aux réglementations en vigueur. 1.1.2. Les composants du dispositif de management des risques Le dispositif de management des risques comprend huit éléments qui se définissent comme suit selon COSO (2005 :32) : environnement interne : L’environnement interne englobe la culture et l’esprit de l’organisation. Il structure la façon dont les risques sont appréhendés et pris en compte par l’ensemble des collaborateurs de l’entité et plus particulièrement la conception du management ainsi que son appétence pour le risque, l’intégrité, les valeurs éthiques, et l’environnement dans lequel l’organisation opère ; fixation des objectifs : Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier les événements potentiels susceptibles d’en affecter la réalisation. Le management des risques permet de s’assurer que la direction a mis en place un processus de fixation des objectifs et que ces objectifs sont en ligne avec la mission de l’entité ainsi qu’avec son appétence pour le risque ; identification des événements : Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration de la stratégie ou au cours du processus de fixation des objectifs ; évaluation des risques : Les risques sont analysés, tant en fonction de leur probabilité que de leur impact, cette analyse servant de base pour déterminer la façon dont ils doivent être gérés. Les risques inhérents et les risques résiduels sont évalués ; traitement des risques : Le management définit des solutions permettant de faire face aux risques, il s’agit de l’évitement, l’acceptation, la réduction ou le partage. Pour ce faire le management élabore un ensemble de mesures permettant de mettre en adéquation le niveau des risques avec le seuil de tolérance et l’appétence pour le risque de l’organisation ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 10 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI activités de contrôle : Des politiques et procédures sont définies et déployées afin de veiller à la mise en place et l’application effective des mesures de traitement des risques. information et communication : Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la communication doit circuler verticalement et transversalement au sein de l’organisation de façon efficace ; pilotage : Le processus de management des risques est piloté dans sa globalité et modifié en fonction des besoins. Le pilotage s’effectue au travers des activités permanentes de management ou par le biais d’évaluations indépendantes ou encore par une combinaison de ces deux modalités ; En somme, le management des risques est un processus multidirectionnel et itératif par lequel n’importe quel élément a une influence immédiate et directe sur les autres. Par ailleurs, l’efficacité du dispositif de management des risques est tributaire de la mise en place de chacun de ses huit éléments et de leur bon fonctionnement. Toutefois, nous insisterons sur deux des huit éléments fondamentaux du management des risques (l’identification et de l’évaluation des risques) présentés plus haut et de 3 autres éléments complétés par la norme ISO 31000 (établissement du contexte ou environnement interne, communication et concertation, surveillance et revue). Ces éléments demeurent au cœur des préoccupations des professionnels. En effet, pour Barthelemy & al (2002 :19), gérer ses risques, c’est conduire un processus en trois étapes : identifier les risques ; réduire économiquement les risques ; financer la gravité résiduelle des risques. Si la première étape ci-dessus cités s’inscrit explicitement dans la liste des huit déterminants du management des risques, les deux dernières sont toutes aussi pertinentes car elles supposent implicitement une évaluation des risques à l’issue de laquelle les conséquences résiduelles seront financées. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 11 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1.1.2.1. Établissement du contexte de management des risqueset identification des risques L’Établissement du contexte ou environnement interne oblige à définir en amont de ces activités, les paramètres fondamentaux caractérisant l’environnement dans lequel s’effectue le management du risque et les valeurs de ces paramètres. L’environnement est tout d’abord externe à l’organisme. Selon Gilles Motet (2009 :4), des seuils stipulés par une réglementation ou des critères d’appréciation des risques issus des parties prenantes, sont deux exemples de paramètres. L’environnement du management du risque inclut également l’organisme lui-même. Les pratiques propres à l’organisme en sont des exemples de paramètres. La norme ISO 31000 propose d’énumérer ces paramètres et de séparer leur définition de leurs utilisations dans les autres tâches du processus, clarifiant ainsi les différentes responsabilités des intervenants dans le processus de Management du risque.Par principe, l’identification des risques permet la définition du périmètre à analyser (l’ensemble des activités de l’entreprise) et de modéliser les activités de l’entreprise afin d’identifier l’ensemble des risques associés à ces activités. La méthodologie d’identification des risques d’une organisation comprend un vaste éventail de techniques et d’outils. Tandis que les techniques communément utilisées vont de l’inventaire des risques basés sur une check-list à l’identification des risques par tâches élémentaires, les outils quant eux se résument en : questionnaires et enquêtes ; brainstorming ou ateliers d’identification des risques; tableaux d’identification des risques. A. Identification basée sur les check list Pour le COSO (2005 :188), au cours de cette méthode d’identification des risques, le management utilise une liste d’événements potentiels communs pouvant affecter un secteur d’activité ou un domaine fonctionnel spécifique. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 12 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Cette check-list est une liste déjà préconçue qui énumère l’ensemble des risques possibles et peut être fonction des activités. Il s’agit pour chaque risque, de savoir s’il concerne l’entreprise ou pas. B. Identification basée sur la définition des objectifs Cette méthode découle de la définition du risque en tant que « possibilité qu’un événement se produise et ait une incidence défavorable sur la réalisation des objectifs ». Autrement dit, un risque ne se définit qu’à travers un objectif. Ainsi dans cette approche, l’on identifie d’abord les objectifs de l’activité ou de l’organisation pour ensuite leur associer les menaces pesant sur eux d’où l’efficacité de cette approche qui repose sur une identification claire et partagée des objectifs en amont. Toutefois pour Moreau (2002 :137), cette méthode d’identification n’est pas toujours aisée à réaliser dans la réalité. C. Identification basée sur l’analyse des flux de processus L’analyse à effectuer abouti ici à représenter le processus en le découpant en tâches élémentaires, en identifiant les éléments entrants, les résultats et les responsabilités. Il s’agit alors d’identifier les risques ou tout événement susceptible d’impacter le résultat attendu en se demandant qu’est-ce qui se passerait si la tâche élémentaire identifiée est mal exécutée ou n’est pas du tout réalisée. Plusieurs autres méthodes d’identification existent certes mais comme l’affirme Moreau (2002 :137), le succès d’une démarche d’identification des risques dépend du degré de prise en compte de la thématique du risque dans ses orientations. Il s’agit notamment de : l’identification des risques effectuée sur la base des actifs créateurs de valeurs : elle consiste à déterminer les actifs constitutifs de la valeur de l’organisation et à mettre en évidence les risques qui pèsent sur ces éléments de valeur ; l’identification des risques effectuée sur la base de l’historique de l’organisation en terme de risque : pour Desroches & al( 2003 :96),Cette approche dite historique KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 13 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI qui permet l’identification en se basant sur les risques opérationnels déjà survenus au sein de l’entreprise présente l’ inconvénient majeur de ne pas tenir compte des influences tant en internes qu’en externes auxquelles sont soumises les entreprises ; l’identification basée sur l’analyse de l’environnement : cette démarche par contre tient compte des variations que peut subir l’environnement dans lequel se trouve l’entreprise (économique, technologique, concurrentiel,…). Toutefois, la difficulté dans l’application de cette méthode réside dans le fait que les événements provenant de l’environnement sont toujours difficiles à cerner ; En somme, comme l’atteste le COSO (2005 :187), la méthodologie d’identification des risques d’une organisation peut être constituée d’une combinaison de plusieurs des démarches citées plus haut, toutefois, il reste important que cette méthodologie tienne compte aussi bien du passé que du futur de l’entreprise. Par ailleurs, la méthodologie choisie par l’entreprise doit être déployée à travers plusieurs outils dont les entretiens, les ateliers d’identification des risques ou brainstormings, les questionnaires et les tableaux d’identification. 1.1.2.2. Les méthodes d’évaluation des risques Les approches d’évaluation des risques sont généralement constituées d’une combinaison de techniques qualitatives et quantitatives. Alors que les techniques d’évaluation qualitatives sont utilisées lorsque les risques ne se prêtent pas à la quantification, les évaluations quantitatives sont utilisées lorsqu’il existe suffisamment d’informations fiables permettant d’estimer la probabilité d’occurrence ou l’impact d’un risque. L’évaluation des risques s’effectue après l’analyse et l’identification des risques pertinents. A ce niveau, la différence entre le risque et incertitude est importante vu que le risque est mesurable alors que ce n’est pas le cas pour l’incertitude. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 14 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI A. Les méthodes quantitatives d’évaluation des risques Cette méthode consiste à évaluer le risque caractérisant un événement redouté selon sa probabilité et la mesure de sa gravité (Desroches & al, 2003 :59). Généralement précise, elle est utilisée dans les activités plus complexes afin d’apporter un complément aux techniques qualitatives (IFACI, 2006 :78 ; Renard & al, 2006 :180). L’évaluation quantitative se fait lorsque l’on dispose de données fiables et historiques. B. Les méthodes qualitatives d’évaluation des risques La méthode qualitative est utilisée : lorsque le risque ne peut être quantifié ; lorsqu’on ne dispose pas de données fiables ; lorsqu’il n’est pas possible d’obtenir ou d’analyser ces données moyennant un coût raisonnable. L’approche qualitative est utilisée pour identifier le niveau d’impact et la probabilité d’occurrence d’un évènement, pour se faire on procède à des entretiens et des ateliers. Ainsi, nous avons comme types d’appréciation « élevés », « moyens », « faibles » ou encore en « risque majeur », « risque courant » et « risque de non qualité », Coopers& al (2000 :61) En somme, quelle que soit l’approche adoptée pour effectuer l’identification et l’évaluation des risques, ces deux étapes occupent une place importante dans tout processus de gestion des risques. Pourtant, la nécessité d’un outil performant de détermination, d’analyse et de pilotage des risques a renforcé l’idée de cartographier les risques. Selon Moreau (2002 :135), l’idée de cartographier ses risques est aujourd’hui largement diffusée même si les modalités de sa mise en œuvre sont souvent floues. Cette pratique permet notamment : de classer, de comparer, de hiérarchiser des risques entre eux ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 15 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI de mettre en place des plans d’actions pour les gérer en fonction des ressources disponibles ; d’en assurer le suivi ; de communiquer les informations sur les risques de l’organisation. 3. Communication et concertation La communication et la concertation est une tâche qui est en couplage avec l’ensemble des autres tâches du processus de management des risques. Ces échanges concernent aussi bien les parties prenantes externes que celles internes à l’organisme qui gère le risque. Lanorme ISO 31000 mentionne en particulier que cette tâchefacilite la compréhension du contexte et l’intégrationde ses changements par les activités de management des risques. 4. Surveillance et revue La surveillance et la revue est une tâche qui a pour but de réévaluer le déroulement des activités de management des risques. Cette tâche peut ainsi mesurer l’efficacité de l’emploi des moyens mis en œuvre afin d’améliorer leurs utilisations futures. 2. Les outils de management des risques Ils sont mis en œuvre par les dirigeants ou les opérationnels de l’entreprise en vue d’une gestion pérenne des risques. Il existe des outils spécifiques de la gestion des risques à savoir : la cartographie des risques, les bases d’incidents et les indicateurs de risques. 1. Définition de la cartographie des risques Selon le COSO (2005 :221), la cartographie est une représentation graphique de la probabilité d’occurrence et de l’impact d’un ou plusieurs risques. Il s’agit de permettre une schématisation claire des risques les plus significatifs (probabilité et/ou impact la ou le plus élevé(e)) et les moins significatifs (probabilité et/ou impact la ou le plus faible). La cartographie ou « riskmapping » est un outil qui permet notamment de mesurer régulièrement la progression de la maîtrise des risques. Pour Moreau & al (2002 :123), une cartographie des risques peut être désignée comme un outil de management qu’une KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 16 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI entreprise peut mettre en œuvre pour avoir une vision d’ensemble des risques auxquels elle s’expose. 1.2.2. Objectifs de la cartographie des risques Dans l’élaboration d’une cartographie, la clarté des objectifs est nécessaire. Pour Maders et Masselin (2006 :52), la cartographie sert de : boussole aux dirigeants avec l’assistance du riskmanager ; outil de travail et de reporting pour les directions des risques ; guide de planification pour les auditeurs, car elle permet d’inventorier, d’évaluer, et de classer les risques de l’organisation. Pour cela, étant un véritable moyen de pilotage des risques de l’organisation, elle permet selon Pequignot (2007 :7) de : contribuer à améliorer le plan stratégique ; affecter ou redéployer des ressources selon les risques prioritaires ; calculer le score de chaque risque. Selon Christian Jimenez& al (2008 :64), la cartographie n’est toutefois qu’une photographie des risques à un instant donné. Selon la typologie des risques (à fréquence ou non) les informations disponibles pour corroborer l’évaluation seront disponibles et aideront les analyses, en particulier en matière de fréquence et d’impact. 1.2.3. Base d’incidents La base d’incident est un outil qui permet d’historiser les risques et leur évolution dans le temps. Nous nous attèlerons donc à expliquer la mise en œuvre et le suivi des informations contenues dans une base d’incidents. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 17 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1.2.3.1. La mise en œuvre d’une base d’incidents La construction d’une base d’incidents est rendue complexe par les différents objectifs qui président à son déploiement : accompagner les utilisateurs dans la gestion des incidents sur leur périmètre propre, en facilitant le suivi des plans d’actions qui visent à renforcer le dispositif et les processus de gestion et de réduction des risques ; caractériser les incidents, en évaluant notamment les impacts financiers y afférents ; analyser l’évolution des profils de risque en utilisant les reportings associés ; disposer de tableaux de bord de pilotage des risques opérationnels ; collecter et historiser des données permettant de quantifier les risques opérationnels, d’allouer les fonds propres et de mieux intégrer la composante assurance dans le dispositif. Selon Christian Jimenez& al (2008 :104), il est important de concevoir la base d’incidents en ayant à l’esprit les différents objectifs et de définir les différents points à traiter : conception et structuration de la base ; gestion des alimentations (automatisées ou manuelles) ; définition des modalités de gestion de la base ; définition des restitutions ; modalités de déploiement et d’accès des utilisateurs. 1.2.3.2. Le suivi et le traitement des informations Une base d’incidents doit être considérée comme un outil de gestion à part entière et pas seulement comme un outil de collecte de données statistiques ou à vocation de reporting. Les fonctionnalités de base d’un tel outil doivent donc intégrer des éléments tels que : acheminement des incidents opérationnels depuis l’utilisateur jusqu’aux personnes à même de traiter et de résoudre ces incidents ; aide au diagnostic (base de connaissance incidents/causes) ; suivi de la résolution des incidents, rappels automatiques ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 18 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI transfert des dossiers dans la ligne hiérarchique si le dossier est non résolu depuis un délai déterminé ; analyses/ synthèses dynamiques (vue dynamiques de listes d’items par type, statuts, origine) ; constitution d’indicateurs de situation et d’évolution du traitement des incidents. Une fois le processus de capture d’un incident (identifiant, date, source), on entre dans une procédure de traitement qui doit permettre de clôturer au plus tôt l’incident en minimisant ses effets (Christian Jimenez& al, 2008 :106). 1.2.4. Les indicateurs de risques Selon Dan Chelly & al (2008 :111), les indicateurs de risques sont produits et suivis par les utilisateurs/ entités opérationnels afin de compléter le dispositif d’alerte et d’anticiper les pertes potentielles futures. A notre sens trois (3) types d’indicateurs peuvent être utilisés : les indicateurs à valeur qui visent à suivre l’évolution du risque lui-même ; les indicateurs de niveaux qui visent à suivre le dispositif de maitrise du risque en tant que tel et sa chronologie par étape de mise en œuvre ; les indicateurs à score qui servent eux à suivre la complétude d’un dispositif de maitrise des risques. Les indicateurs doivent pouvoir être reliés à la nomenclature des risques afin de permettre d’initier si besoin des plans d’actions et une réactualisation de la cartographie des risques. 1.3. Le plan d’action de maîtrise des risques Son objectif est de préciser le planning des améliorations que les responsables doivent mettre en œuvre. En effet, ils dresseront des stratégies afin d’atténuer ou de prévenir et prendront des mesures en fonction de la position du risque sur la matrice suivant Baspt& al (2002 :12). KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 19 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION CHAPITRE 1 En somme, la revue de littérature effectuée montre que le management des risques ne peut être efficace que si les conditions ci-dessous sont mises en place et fonctionnent efficacement : un environnement interne maitrisé axé sur une culture du risque bien développée, bien comprise et remportant l’adhésion du personnel et l’appétence pour le risque ; une fixation des objectifs en adéquation avec l’appétence pour le risque une identification des événements potentiels susceptibles d’avoir un impact négatif ou positif sur la réalisation des objectifs, prenant en compte aussi bien le passé que le futur : cette identification sert de socle à l’évaluation et au traitement des risques. une évaluation des risques mise en œuvre sur la base de méthode qualitative ou quantitative et aboutissant à une estimation de la probabilité d’occurrence et de l’impact aussi bien des risques inhérents que des risques résiduels ; un traitement des risques prenant en compte toutes les solutions susceptibles d’être retenues : évitement, acceptation, réduction ou partage ; des activités de contrôle privilégiant une veille proactive sur la réalité de la mise en œuvre des traitements de risque convenus ; des informations et communications pertinentes circulant de manière multidirectionnelle, ascendante, descendante et transversale ; un pilotage réalisé soit par le biais d’un dispositif fonctionnant en continu, soit par le biais d’évaluations spécifiques aboutissant à un reporting sur les défaillances du dispositif de management des risques. L’efficacité du processus de management des risques requiert en outre, l’implication de tous les acteurs de l’entreprise. Les uns en tant que propriétaires des risques, les autres en tant qu’évaluateurs du processus. Toutefois, malgré les opportunités qu’offrent un tel processus de management des risques, certaines limites subsistent. Ces dernières résultent notamment: d’une erreur de jugement dans la prise de décision ; du nécessaire arbitrage à effectuer entre les couts des traitements de risques envisagés et les bénéfices attendus ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 20 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI de contrôles susceptibles d’être déjoués par collusion entre deux ou plusieurs individus ; de faiblesses potentielles dans le dispositif dues aux défaillances humaines. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 21 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 2 : LE ROLE DE L’AUDIT INTERNE DANS LA GESTION DES RISQUES Aujourd’hui, les organisations ont une attente forte sur la qualité des prestations fournies par chacune des fonctions qui les composent et ces attentes évoluent. Face à ces enjeux, L’audit interne joue un rôle essentiel dans la recherche de la performance. En effet, cette fonction a connu une nette et profonde évolution ces dernières années : D’abord perçu comme un organe de contrôle, de vérification voire de sanction, l’AI a su apporter de la valeur ajoutée à travers des missions qui lui confère une véritable force de proposition et de conseil Toutefois, la réalisation des objectifs de performance et de rentabilité de toute organisation demeure tributaire d’un dispositif de management des risques pertinent et met à l’ordre du jour, l’implication de l’audit interne dans ce processus. C’est donc à juste titre que Barbier (1999 :22) précise que « la bonne fin des objectifs que se fixe l’organisation est soumise à des risques sans cesse renouvelés qu’il convient d’identifier et de gérer au mieux » La définition de l’AI présenté par l’IIA situe clairement l’AI comme partie prenante dans la dynamique de maitrise des risques de toute organisation. Pour RENARD (2010 :103) l’objectif prioritaire de l’audit interne reste l’évaluation du processus de management des risques donc l’évaluation du contrôle interne qui en est le produit fini. Il s’agit pour l’auditeur notamment d’émettre un « avis indépendant » sur l’adéquation, l’application et l’efficacité du dispositif de gestion des risques mis en place. Pourtant la convergence entre les fonctions d’audit interne et de « risk managers » demeure flagrante et laisse entrevoir la nécessité d’une bonne délimitation même si les frontières ainsi tracées ne sont pas immuables d’une organisation à l’autre. Ce chapitre nous permettra d’une part le rôle de l’audit interne dans le management des risques et d’autre part de circonscrire son action dans la gestion des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 22 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 1. Gouvernance, méthodologie et procédures en matière de gestion des risques La gestion de risques a fait l’objet de préoccupations et d’une attention grandissantes et il est devenu de plus en plus évident qu’une ligne directrice soit suivi afin d’identifier, évaluer et gérer les risques en toute efficacité. Cette section s’articulera autour de 2 thèmes : la gouvernance et les méthodologies et procédures en matière de gestion des risques. 1. Gouvernance de la gestion des risques La gestion des risques est l’une des composantes de la stratégie et de la culture de l’entreprise. A cet égard, il importe d’accorder une place prépondérante aux questions relatives à la sélection, à la mesure et au suivi des risques générés par l’activité. Pour cela, l’entreprise doit désigner un responsable de la mesure, de la surveillance et de la maitrise des risques pour l’ensemble de l’entreprise. Ce dernier est indépendant et doit avoir une expérience suffisante pour influer sur le processus de décision. L’entreprise, pour avoir une gouvernance d’entreprise efficace doit se doter de ses bons usages suivants : renforcer l’implication des organes exécutifs et délibérants ; déterminer la tolérance aux risques ; mettre en place un dispositif de mesure, de surveillance et de maitrise des risques ; indiquer le rôle du responsable de la filière risques ; mettre à disposition les ressources de la filière risques ; diffuser une culture développée du risque au sein de l’entreprise. 2.1.2. Méthodologies et procédures en matière de gestion des risques L’entreprise doit mettre en place des systèmes et procédures internes aussi efficaces et fiables que possible lui permettant de mesurer, surveiller et gérer l’ensemble des risques encourus. Ce dispositif aura pour objectif de favoriser la vision transversale des risques à travers les différentes entités, lignes de métier et portefeuilles. L’entreprise doit veiller à l’existence de systèmes et procédures qui favorisent une circulation effective des informations. Cela s’explique à travers: l’identification et la mesure des risques ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 23 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI l’intégration des risques ; la titrisation et produits structurés. 2. L’audit interne et le management des risques: des méthodes complémentaires Il est de plus en plus admis que l’audit interne doit créer de la valeur ajoutée pour l’entreprise, et qu’à cet effet il doit s’aligner étroitement sur les principales préoccupations des cadres dirigeants et concentrer ses efforts sur les points qui sont essentiels pour la réussite de l’entreprise. Selon l’IFACI (2002 :25), les auditeurs internes doivent devenir des « conseillers spécialistes des risques et des contrôles». Ils contribuent donc à créer de la valeur en aidant activement les dirigeants à identifier et à évaluer les risques, et à mettre au point les stratégies appropriées en vue de les maitriser ou de les atténuer. 1. L’organisation de l’audit interne L’organisation de l’audit interne a été définie pour répondre aux enjeux de la gestion des risques. L’évolution de cette organisation, soulève un certain nombre de problèmes complexes notamment en ce qui concerne ses répercussions sur l’indépendance et l’objectivité de l’audit interne. En effet l’objectivité de l’audit interne n’est pas compromise lorsqu’il est amené à recommander la mise en place de procédures et de systèmes de contrôle interne ou à examiner des procédures avant leur mise en application. L’indépendance permet à l’audit interne de porter des jugements sans partialité et sans préjugé, ce qui est l’essentiel de la bonne conduite des audits. Par contre, la conception, la mise en place, l’exploitation de systèmes ne sont pas du ressort du service d’Audit Interne. 2. Le rôle de l’audit interne auprès des managers L’audit interne peut aider les managers à fixer les objectifs et à établir les systèmes, en déterminant si les hypothèses de base sont correctes, si les informations utilisées sont exactes, à jour et pertinentes, et si des contrôles appropriés ont été intégrés aux opérations et programmes facilitant la gestion des risques inhérents. Il existe une nette différence entre le fait de fournir une assistance à ceux qui sont chargés de concevoir et d’élaborer de nouveaux systèmes et de nouvelles procédures, et le fait d’assumer ou de prendre les principales décisions concernant la conception et l’élaboration KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 24 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI de ces systèmes ou procédures. A cet égard, les responsabilités des auditeurs internes sont similaires à celles des consultants. 2.2.3. Le rôle de l’audit interne dans l’identification des contrôles L’audit interne peut participer à l’identification des contrôles ou à l’évaluation des risques à plusieurs titres. Les auditeurs internes peuvent intervenir notamment : en qualité de consultants chargés de guider les dirigeants et le personnel à travers le processus, généralement dans le cadre d’un programme d’auto évaluation. Leur rôle consiste alors à organiser et à animer les discussions dans le cadre de groupes de travail, sans nécessairement s’impliquer dans le processus; en qualité de membres d’une équipe. Ils font alors partie de groupes plus importants qui rassemblent souvent des personnes possédant une connaissance concrète des questions de gestion opérationnelle et des personnes possédant une compétence technique spécifique; en qualité d’analystes spécialistes des risques et des contrôles. Ils conseillent alors les dirigeants sur l’analyse des risques liés à l’activité, et sur la conception et l’élaboration des stratégies visant à maitriser ou à atténuer les risques; pour mettre à la disposition des dirigeants des techniques ou des outils utilisés par l’audit interne pour effectuer l’analyse des risques et des contrôles; en vue de constituer un centre d’expertise spécialisé dans le management des risques. L’audit interne intervient dans ce cas, comme une troisième ligne de défense en évaluant les dispositifs de gestion des risques et de contrôle permanent mis en place par le management. 2.3. Audit interne et gestion des risques L’évaluation des risques, la détermination de niveaux de risque acceptables ou tolérables et la définition de stratégies de contrôle adéquates font partie des principales responsabilités des dirigeants. Le rôle de l’audit interne est d’émettre un avis indépendant sur l’adéquation, l’application et l’efficacité du dispositif mis en place par les dirigeants. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 25 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Ainsi, recommander la mise en place de procédures, de système de contrôle et d’optimisation du dispositif de management des risques font normalement partie des objectifs prioritaires de l’audit. Toutefois la modalité d’Application 2100-3 précise que le rôle de l’audit interne dans le processus de management des risques d’une organisation peut évoluer dans le temps et revêtir les formes suivantes : aucune intervention ; audit du processus de management des risques dans le cadre du programme d’audit interne ; soutien actif et continu, et participation au processus de management des risques, notamment dans le cadre de comités de surveillance, d’activités de suivi et de l’émission de rapports concernant le processus ; gestion et coordination du processus de management des risques. Nous présenterons ci-dessous, différentes déclinaisons du rôle de l’audit interne dans la gestion des risques. 2.3.1. Implication de l’audit interne dans le processus de management des risques Selon la Modalité Pratique d’Application 2100-4, en l’absence de processus de management des risques « les auditeurs internes peuvent, s’ils y sont invités, jouer un rôle proactif en participant à la mise en place initiale d’un processus de management des risques au sein de l’organisation. » A cet effet, la participation de l’audit interne au cours du projet de cartographie des risques se résume généralement en : donnant l’assurance sur la présence effective d’un processus de management des risques ; donnant l’assurance que les risques sont correctement évalués ; évaluant les processus de management des risques d’entreprise ; évaluant le reporting des risques principaux ; revoyant le management des risques principaux. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 26 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Toutefois, il convient de différencier le rôle proactif de l’auditeur dans la mise en place et la gestion d’un dispositif de management des risques, du rôle de « responsables des risques ». Au risque d’être juge et parti et d’altérer son indépendance. 2.3.2. L’appréciation du contrôle interne La définition du contrôle interne montre les objectifs préalables que l’audit devrait chercher à atteindre. Pour ce faire, évaluer le contrôle interne de l’entreprise vise à s’assurer que, à tous les niveaux de l’entreprise, les objectifs de contrôle sont atteints par la mise en place de procédures appropriées définies dans le cadre du manuel de procédure et effectivement appliquées par le personnel(BARRY,2009 :16). En outre BARRY (2009 :1617) ajoute que l’évaluation du contrôle interne permet la détection : des points forts du système de contrôle mis en place par l’entreprise ; des zones de faiblesse du contrôle interne qui sont susceptibles d’entrainer des dysfonctionnements dans l’entreprise et avoir des impacts négatifs sur la fiabilité des informations. Selon OBERT (2004 :69), la démarche utilisée par l’auditeur dans son appréciation du contrôle interne relatif aux principaux cycles d’opérations et d’éléments d’actifs ou de passifs qui en résultent comporte deux phases essentielles : l’appréciation de l’existant : elle consiste à comprendre les procédures de traitement des données et les contrôles internes manuels et informatisés mis en place dans l’entreprise. Elle se déroule comme suit : prise de connaissance détaillée du système ; vérification par des tests que les procédures décrites et les contrôles indiqués sont appliquées ; évaluation des risques d’erreurs ; identification des contrôles internes ; évaluation des contrôles internes ; l’appréciation de la permanence du contrôle interne : elle consiste à vérifier le fonctionnement des contrôles internes sur lesquels l’auditeur doit s’appuyer pour effectuer sa mission. Elle se réalise ainsi : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 27 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI vérification par des tests de l’application permanente des procédures (test de permanence) ; formulation définitive du jugement à partir de l’évaluation des conclusions des précédentes phases. L’évaluation des dispositifs de contrôle est effectuée par l’utilisation de trois techniques à savoir : les examens de l’évidence du contrôle à travers l’inspection des documents ou les tests d’existence, les tests de cheminement et l’observation de l’existence du contrôle de premier niveau. 3. Intégration du contrôle interne dans le dispositif de management des risques Le contrôle interne fait partie intégrante du dispositif de management des risques qui constitue ainsi un solide référentiel conceptuel pour la direction. Selon l’IFACI in COSO II (2005 :312) Le management des risques élargit la notion de contrôle interne tout en s’appuyant sur celui-ci pour former un concept plus solide, axé d’avantage sur le risque. Le contrôle interne et le management des risques prévoient trois catégories d’objectifs : opérationnels, d’information financière et de conformité. Au niveau de l’information financière, le management des risques va plus loin que le contrôle interne(information financière=fiabilité des états publiés) en intégrant tous les rapports produits par une organisation, diffusés en interne comme en externe. Le management des risques prévoit une nouvelle catégorie d’objectifs d’un niveau plus élevé : les objectifs stratégiques. Ces derniers découlent de la vision de l’organisation et les objectifs opérationnels de reporting et de conformité doivent être en adéquation avec les premiers. Il fait aussi partie intégrante de tous les travaux visant à l’atteinte des objectifs des trois autres catégories (opérationnels, d’information financière et de conformité). 4. Le rôle de l’analyse des risques dans l’évaluation du dispositif de contrôle interne L’analyse des risques a toujours été un élément clé, implicitement du moins, du processus d’évaluation du dispositif de contrôle interne. Un processus d’évaluation axé sur les risques comporte nécessairement les phases suivantes : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 28 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI analyse de l’activité concernée ; identification et évaluation des risques inhérents encourus ; vérification de l’existence des contrôles internes, constitution d’une documentation et évaluation de la qualité de ces contrôles notamment à l’aide de tests ; évaluation des points faibles rédaction d’un rapport et émission de recommandations en vue de l’amélioration du dispositif le cas échéant. Selon l’IFACI(2002: 32),les principales étapes de la phase d’évaluation du dispositif de contrôle sont : identifier les contrôles ou les stratégies d’atténuation des risques qui peuvent être mis en œuvre pour contrer les principaux risques recensés. Cette étape peut consister à dresser la liste des contrôles possibles dont on suppose l’existence, ou faire l’inventaire des contrôles qui sont censés exister ou dont on prétend qu’ils existent ; déterminer quels sont les contrôles réellement en place, et quels sont ceux qui paraissent les plus importants autrement dit les contrôles clés ; vérifier si les contrôles sont appliqués, et s’ils sont suffisants, fiables et efficaces en pratique. Mesurer leurs limites et évaluer le degré d’assurance qu’ils permettent d’obtenir. Rapprocher les contrôles en place avec les éléments suivants : lois, réglementations, normes externes, contrôles attendus selon les meilleures pratiques, technologies disponibles etc.… ; contrôles qui sont censés exister ou dont on prétend qu’ils existent en fonction des référentiels internes ; risques évalués et zone de vulnérabilité ; coût prévisionnel de la mise en place des contrôles comparé aux avantages de la réduction des risques en fonction du degré et des types de risques jugés tolérables par les dirigeants. L’analyse des risques est une étape fondamentale de l’évaluation du contrôle interne. L’audit interne contribue au management des risques, en intégrant dans ses travaux l’identification des risques et la recommandation de contrôles appropriés, même lorsque les dirigeants n’ont pas expressément mis en place un processus de management des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 29 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 2.3.5. Évaluation du processus de management des risques L’évaluation du processus de management des risques prend souvent la forme d’autoévaluation. La personne en charge d’une fonction rend compte de l’efficacité du dispositif de management des risques de son périmètre d’activités. Évaluer le dispositif de management des risques revient à s’attacher en premier lieu à la pertinence du dispositif puis de son fonctionnement. Pour ce faire, une méthodologie doit être adoptée par l’entreprise et cela lui permettra de mettre en place plus aisément le processus de management des risques. L’auditeur interne viendra en appui pour s’assurer de la bonne compréhension de cette méthodologie par les agents de l’entreprise. Il doit aussi s’assurer que le processus de management des risques respecte ces 5 objectifs : les risques découlant des stratégies et des activités de l’organisation sont identifiés et hiérarchisés ; le management et le conseil ont déterminé un niveau de risque acceptable pour l’entreprise ; des mesures d’atténuation des risques sont définies et mises en place ; un suivi permanent des activités est effectué afin de réévaluer périodiquement les risques et les contrôles permettant de les gérer ; des rapports concernant les résultats sur les processus de management des risques doivent être produits et adressés périodiquement au conseil et au management. La Modalité Pratique d’application 2110-1(2006 :84) stipule que l’auditeur interne doit disposer d’éléments suffisamment probants pour acquérir l’assurance que les 5 objectifs des processus de management des risques sont bien remplis. Pour recueillir ces éléments, celui-ci peut recourir aux procédures d’audit suivantes : rechercher et examiner des documents de référence sur les méthodes de management des risques et apprécier si ils sont en accord avec les meilleures pratiques du secteur d’activité ; examiner les procédures ainsi que les procès-verbaux afin de déterminer la stratégie de l’entreprise, son approche du management des risques, son appétit pour le risque et son acceptation du risque ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 30 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI examiner les rapports d’évaluation des risques antérieurs établis par les auditeurs internes et externes ; organiser des entretiens avec les responsables et les managers afin de déterminer les objectifs de chaque branche d’activité, les risques correspondant et les mesures de suivi et de contrôle mis en place à cet effet ; s’assurer que tous les risques sont traités de façon exhaustives par le management ; apprécier l’efficacité du processus d’auto évaluation mis en œuvre par le management au moyen d’observations et de tests. 2.3.6. Audit du processus de management des risques Selon l’IFACI (2002 :27), pour apprécier si le dispositif mis en place par l’organisation est suffisant pour permettre une évaluation correcte des risques, l’auditeur interne doit rechercher : dans quelle mesure des objectifs ont été fixés et communiqués au personnel, tant au niveau des organisations de l’entreprise qu’au niveau des activités, et s’ils sont étayés par des stratégies, des plans et des budgets cohérents ; s’il existe des dispositifs appropriés permettant d’identifier, d’analyser et d’atténuer les principaux risques liés à l’activité et provenant tant de sources externes que de sources internes ; s’il existe des dispositifs permettant d’identifier les changements courants ou exceptionnels susceptibles d’affecter la capacité de l’organisation à atteindre ses objectifs, et d’y apporter des réponses. C’est en cela que le management des risques doit être considéré comme un sujet à part entière de l’audit interne dans tous les domaines d’activité de l’organisation. 2.4. Examen du dispositif de management des risques mis en place par l’entreprise Un management efficace des risques nécessite la mise en place d’un dispositif au niveau de l’entreprise. A défaut de dispositif, les risques ne peuvent être analysés, divulgués, comparés et gérés d’une manière efficace et cohérente à tous les niveaux de l’organisation. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 31 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI L’IFACI (2002 :28) stipule que les principaux éléments d’un dispositif de management des risques sont les suivants : des politiques et des directives claires et cohérentes en matière de management des risques ; des moyens adaptés à la diffusion d’informations sur les risques et à leur analyse ; Une définition claire des responsabilités et des pouvoirs en matière de management des risques, et leur attribution à des personnes clés ; des programmes et des procédures de management des risques cohérents ; un dispositif adéquat de suivi et de revue des processus de management des risques permettant de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise. L’audit interne du processus de management des risques consiste à examiner le dispositif global dans le cadre duquel sont exercées les responsabilités liées au management des risques, ainsi que quelques cas précis sélectionnés à travers l’organisation entière. C’est dans le cadre des éléments cités ci-dessus que chaque entreprise doit définir ses propres critères d’évaluation ainsi que les solutions adaptées à sa situation, à sa culture et à son style de management. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 32 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION CHAPITRE 2 Il était indispensable de présenter l’AI pour bien comprendre son fonctionnement et de montrer les fondements de son implication dans la maitrise des risques. Nous avons ainsi remarqué que c’est une fonction dont la pratique nécessite des moyens aussi bien humains, matériels que financiers. De la qualité du personnel, de la disponibilité des moyens matériels et financiers dépendra de son efficacité. Nous avons aussi montré que l’AI est une fonction en pleine évolution, centré sur les enjeux majeurs de l’entreprise. Le rôle des auditeurs internes dans la gestion pérenne des risques est tributaire de la maturité du processus de gestion des risques mis en place dans l’organisation. Il peut dès lors aller d’une absence totale de participation à une trop forte prise en charge de ce processus au détriment de son indépendance. Toutefois les limites de son implication demeurent incontestableset nécessitent une attention particulière des auditeurs afin d’éviter de se substituer aux gestionnaires des risques. Ainsi l’IIAprécise que la gestion des risques par l’auditeur interne ne devrait outrepasser : la définition du périmètre de l'appétit pour le risque; la prise des décisions sur les réponses aux risques; la mise en œuvre des réponses au risque; la responsabilité de la gestion des risques incombe au riskmanager. Par ailleurs l’audit interne est impliqué dans le développement des dispositifs de contrôle et dans la recherche de l’efficacité et de la performance. Pourtant les professionnels s’accordent pour dire que le rôle de l’audit interne dans le cadre du management des risques devrait se limiter à formuler une opinion sur l’adéquation du dispositif de management des risques lorsque celui-ci existe. Pour Renard(2009 :103)l’objectif prioritaire de l’audit interne reste l’évaluation du processus de management des risques, donc l’évaluation du contrôle interne qui en est le « produit fini ». Pour ce faire, l’audit interne s’implique dans les sections suivantes : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 33 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI fournir une assurance raisonnable quant à la conception et à l’efficacité du processus de management des risques ; fournir une assurance raisonnable quant à la correcte évaluation des risques ; évaluer le processus de gestion des risques ; évaluer le reporting sur le statut des principaux risques ; faire la revue des contrôles susceptibles de mitiger certains risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 34 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 3 : METHODOLOGIE DE L’ETUDE Le présent chapitre se propose d’élaborer un modèle d’analyse sur la base de la revue de littérature effectuée dans les chapitres précédents. Les différentes opinions passées en revue nous ont permis de découvrir les facteurs d’une gestion pérenne des risques et de comprendre l’action de l’audit interne dans le processus de gestion des risques. A présent il convient de présenter une méthodologie de recherche qui nous permettra de voir comment l’audit interne prend part à la gestion pérenne des risques à MOOV-CI. Ce chapitre est subdivisé en trois sections et présente dans un premier temps le modèle d’analyse, dans un second temps les variables étudiées, et enfin les outils de collecte des données. 3.1. Le modèle d’analyse Le modèle proposé a pour objet d’une part de définir les étapes du processus de management des risques et d’autre part de mettre en exergue des pistes d’amélioration de la performance dudit processus. L’hypothèse retenue est qu’une analyse efficace du processus de gestion pérenne des risques s’apprécie à travers : l’évaluation du contrôle interne, par la définition des priorités d’action sur la base de la cartographie des risques, l’adoption d’une approche par les risques lors de l’établissement des plans d’actions correctifs. Cette hypothèse a été retenue car elle met en évidence la démarche la plus appropriée à utiliser dans une optique de gestion pérenne des risques par l’audit interne. En effet cette hypothèse décrit les étapes à suivre par l’audit interne afin de s’assurer que les ressources dont dispose l’entreprise sont mises à contribution afin de gérer au mieux les risques. Notre modèle repose sur deux types de variable d’actions : une variable dépendante ; des variables indépendantes. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 35 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 3.1.1. La variable dépendante Notre variable dépendante qui est la gestion des risques, peut être analysée sur trois (3) axes : identification des risques à partir des objectifs de l’entreprise ; mesure des risques et de leur impact sur la réalisation des objectifs prédéfinis ; les stratégies les mieux appropriées afin de traiter les risques : l’acceptation du risque ; la réduction du risque ; l’évitement du risque ; le partage du risque. En effet, nous comptons mettre en exergue ces trois axes qui constituent le processus de gestion des risques. Ces principaux axes de notre variable dépendante, nous permettent de déterminer les facteurs qui influent le processus de gestion des risques. 3.1.2. Les variables indépendantes Elles sont constituées d’éléments qui influencent effectivement le processus de gestion des risques. L’un des éléments caractéristiques des variables indépendantes est que l’organisation peut agir sur ces dernières. Ces variables indépendantes sont : contrôle interne : ensemble de procédures mis en place afin d’assurer la protection du patrimoine ; environnement interne: il constitue le fondement structurel sur lequel peuvent s’appuyer tous les autres éléments du dispositif de management des risques ; plan d’action /pilotage : mise en place des actions correctives et de surveillance. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 36 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 3.1.3. Le modèle d’analyse Sur la base de la revue de littérature, nous avons représenté schématiquement ci-dessous la façon dont notre étude sera menée. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 37 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Figure 1 : Le modèle d’analyse PROCESSUS PHASES ETAPES Préparation de l’étude Notions sur le management des risquesLectures des statuts et des Prise de connaissance de l’entité rapports de MOOV-CI L’interview Observation physique OUTILS Analyse documentaire Analyse de la mission Diagramme de circularisation Les tests de conformité La réalisation La description de la gestion des risques QCI L’analyseL’analyse du processus de gestion des risquesvariable dépendanteLe tableau des risques Analyse de la gestion des risques Variables indépendantes - contrôle interne - environnement interne - plan d’action/ pilotage La finalisation Les recommandations Source : nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 38 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 4. Les indicateurs de mesure Atteindre l’objectif de recherche, dépend du choix des variables. Pour mesurer ces variables indépendantes, nous utiliserons les indicateurs suivants : 1. Dimension contrôle interne Ses indicateurs de mesures sont: existence d’un organigramme général et par direction, existence d’un manuel de procédures; existence d’un comitéd’audit, existence d’un conseil d’administration, existence d’objectifs, existence de contrôles afférents, existence d’outils deprévention et de détection de mauvais comportement de nouveaux recrus, existence d’unestructure de formation, existence de budgets, existence de structure chargée du contrôle et dusuivi des budgets, existence d’une cartographie des risques. 2. Dimension environnement interne Ses indicateurs de mesures sont : existence d’une culture en matière de management des risques, l’appétence pour le risque, la surveillance exercée par le Conseil d’Administration, l’intégrité, les valeurs d’éthiques, la compétence du personnel, la politique de délégation de pouvoirs et de responsabilités. 3. Dimension plan d’action et pilotage Ses indicateurs de mesures sont: existence de dispositif d’autocontrôle par les métiers, existence de pilotage en continu et d’évaluation spécifique, existence des résultats provenant du pilotage en continu, de la compétence et de l’expérience du personnel. 4. Les outils de collecte et d’analyse des données Notre étude qui s’est déroulée à la Division Qualité&Audit Interne de MOOV-CI, nous a permis de rencontrer les personnes impliquées dans le processus de facturation. Nous avons utilisé différentes méthodes pour la collecte de nos informations à savoir : interview, l’observation physique, l’analyse documentaire, le questionnaire de contrôle interne, la grille de séparation des tâches, les tests de conformité et de permanence, la feuille d’analyse et de révélation des risques etc. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 39 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Les outils de collecte des données 1. Les outils de collecte des données sont des méthodes et techniques utilisées en vue d’obtenir un maximum d’information sur MOOV-CI, particulièrement sur le rôle de ‘audit interne dans la gestion pérenne der risques à travers le processus de facturation. Nous avons utilisé à cet effet, l’analyse documentaire, l’interview et l’observation physique. 1. L’analyse documentaire Nous avons consulté durant notre stage les documents suivants : Les procédures sur la facturation (mise à jour en 2012) ; l’architecture du réseau (24/09/12) ; guide des activités de contrôle (2011) ; le manuel qualité (23/03/11) ; la cartographie des processus (23/03/11) ; l’organigramme (mis à jour en 2012). A travers l’étude de la documentation de MOOV-CI nous identifierons les différents concepts liés à son activité de facturation faites aux clients et les différentes mesures prises en matière de contrôle interne. L’analyse des documents nous permettra d’avoir un aperçu sur l’importance et le fonctionnement du processus de facturation ainsi que les risques qui lui sont liés et le mode de gestion de ces risques. 3.2.1.2. L’interview L’interview est un entretien avec une personne en vue de l’interroger sur ses activités, ses idées, etc., dans le but de recueillir ses opinions. Cet outil est très déterminant dans notre étude pour une bonne qualité des informations spécifiques recherchées ou détenues par des personnes ressources.Les interviews réalisées auprès des agents ont eu pour objectifs d’une part, de nous amener à connaître et à comprendre les activités au sein de l’entreprise et d’autre part, d’avoir une idée duprocessus de facturation tout en appréhendant ses risques et les dispositifs de contrôle interne existants. Ces entretiens ont souvent pris la forme de questionnaires libres en raison de la disponibilité des interlocuteurs. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 40 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 1: Récapitulatif des personnes interviewées Service Responsabilité Effectif de Effectif l’échantillon total % Objectifs de l’entretien L’objectif principal est de se familiariser avec l’environnement de contrôle du processus à contrôler. Prendre connaissance des contrôles de Chef de service 1 12 supervision mis en Opérations œuvre dans son activité Comprendre les interactions entre son Responsable activité et la production facturation 1 4 Opérations des factures par la 7,33% Direction des Systèmes d’Information. Comprendre la méthodologie de Responsable commande, provisionning et les activation 1 6 risques liés au sous et livraison processus commande, activation. Chef Revenue de Lister les contrôles mis service en œuvre par le revenu revenue assurance 1 assurance 4 25% assurance sur le processus facturation. Chef de Mieux appréhender le service dispositif de génération production Production 1 4 25% des factures postpaid via le billing. Source : nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 41 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 3.2.1.3. Observation physique L’observation physique nous permettra d’une part de comprendre et de valider les informations recueillies lors de l’interview sur les différentes étapes du processus de facturation (qui débute par la commande, l’activation et la livraison des services et se termine par la facturation en elle-même) ; et d’autre part elle consistera à travers l’examen du traitement de certaines opérations de facturation, d’appréhender les différents risques et d’avoir une idée du respect des procédures mis en place par MOOV-CI. Ainsi nous observerons attentivement les tâches effectuées par les différents acteurs du processus, cela nous permettra de comparer ce qui est décrit lors de l’interview et ce qui est réellement fait. 3.2.2. Les outils d’analyse des données La collecte des données terminée, il faut passer à leur analyse par le biais de questionnaire de contrôle interne adéquat et précis et les récapituler dans un tableau des risques, à partir de test d’existence et de permanence. Les outils que nous avons utilisés sont : les tests d’existence et de permanence ; le questionnaire de contrôle interne ; le tableau des risques. 3.2.2.1. Les tests de conformité et de permanence Ces tests seront très utiles pour s’assurer d’une part que les dispositifs de contrôle interne ont été appliqués, ainsi ils permettront de remonter à la source en passant par toutes les phases intermédiaires, et d’autre part ils permettront de s’assurer que les opérations sont toujours traitées conformément à ce qui a été décrit lors des entretiens. A travers la méthodologie de recherche nous avons défini les différents outils qui nous seront nécessaires pour corroborer l’implication de l’audit interne dans le processus facturation, dont nous aborderons les aspects pratiques dans la deuxième partie de notre étude. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 42 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 2. Questionnaire de contrôle interne Le questionnaire de contrôle interne vise la détermination des forces et faiblesses apparentes du contrôle interne. Pour limiter les risques de surfacturation ou d’erreurs sur les factures, et assurer du caractère suffisant des moyens de protection mis en œuvre, nous ferons usage d’un questionnaire de contrôle interne. Ce questionnaire nous permettra d’évaluer le dispositif de maitrise des risques de MOOV-CI en matière de facturation. Il sera rempli à l’issue des interviews exécutées. 3. Le tableau des risques Le tableau des risques nous a servi pour l’identification des risques opérationnels. Il nous a permis d’associer à chaque tache, les risques potentiels lorsque l’objectif n’était pas atteint. Devant chaque tache, ils seront exposés l’enjeu fixé, le risque ou les risques encourus, la ou les conséquences opérationnelles et le niveau de risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 43 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION CHAPITRE 3 Ce chapitre nous a permis d’illustrer notre modèle d’analyse qui comprend une variable dépendante, la gestion des risques, sur laquelle des variables indépendantes ont un impact. En agissant sur ces variables indépendantes, nous pourrions améliorer la gestion pérenne des risques de MOOV-CI. Des techniques et outils tels que les questionnaires, interviews, observations, les tests de conformité, nous permettront d’analyser le processus de gestion des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 44 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION DE LA PREMIERE PARTIE De plus en plus, des chefs d’entreprises se soucient de la maîtrise des risques qui gravitent autour de leurs activités et veulent avoir plus d’informations fiables et actualisées sur ces risques, afin de motiver leur choix dans leur prise de décision. C’est dans ce cadre, que le rôle de l’auditeur devient incontournable dans l’assistance au management, dans la déclinaison de sa stratégie et dans ses opérations courantes. Il met en évidence les failles du contrôle interne et aide à limiter la tendance issue du « toujours plus vite » ou « du moins de contrôle ». En effet l’audit interne à travers les éléments de management des risques, contribue à la réalisation des objectifs de performance, de rentabilité de l’organisation et à la minimisation des pertes. Ce faisant, le management des risques protège l’image de l’entité et lui épargne les conséquences néfastes d’une perte de réputation. Un déploiement correct d’un dispositif de management des risques, permet à l’organisation d’être mieux armée pour atteindre ses objectifs et éviter les écueils et les impondérables. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 45 DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE Analyse du processusde gestion pérenne des risques : cas de MOOV-CI L’Afrique est à la croisée des chemins, l’accès aux télécoms a nettement progressé et a pris une ampleur considérable dans l’économie de l’Afrique et de la Cote d’Ivoire en particulier. Dans ce contexte marqué par un regain d’activité du secteur de la téléphonie mobile, les opérateurs et les fournisseurs de contenus mobiles doivent désormais faire face aux enjeux et aléas que cet essor leur impose. Il s’agira pour eux de : répondre aux attentes des professionnels qui ont un besoin réel de nouveaux outils de communication; mettre en place un mode de facturation qui sera plus adaptée aux besoins de la population ; réussir l’évolution technologique avec l’introduction de la 3G. Pour faire face aux aléas inhérents à la croissance de son secteur MOOV-CI, a besoin de solutions adéquates pour juguler cet autre type de challenge et atteindre ses objectifs. Ainsi, elle s’est dotée d’une fonction « Revenue Assurance » qui a pour objectif essentiel : la réduction des risques de pertes de revenue. Pour se faire, la deuxième partie se décompose en trois chapitres. Le chapitre 4 va être consacré à la présentation d’AtlantiqueTélécom(MOOV-CI). Le chapitre 5, quant à lui, décrit de façonsuccinctel’analyse du processus dans la gestion pérenne des risques de MOOV-CI. Enfin le chapitre 6, s’intéressera d’une part à l’analyse du dispositif de maîtrise des risques au sein de ladite structure,base essentielle de notre travail, et d’autre part à l’évaluation du dispositif et des recommandations découlant de notre étude. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 47 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 4 : PRESENTATION GENERALE DE ATLANTIQUE TELECOM-CI Ce chapitre est consacré à la description générale d’Atlantique Télécom Côte d’Ivoire. Son objectif est de situer son environnement afin de mieux cerner l’importance de la démarche de l’audit interne dans la gestion pérenne des risques. Cette description est faite à partir de ses structures et de son organisation en générale et par le fonctionnement de la division Qualité et Audit interne. 4.1. Historique et évolution Atlantique Télécom CI, est une filiale du Groupe Atlantique Télécom dont l’actionnariat est détenu à 100% par le Groupe Etisalat (leader de la téléphonie aux Emirats Arabes Unis). Spécialisé dans le secteur de la téléphonie mobile, le Groupe Atlantique Télécom est aujourd’hui, présent sur plusieurs marchés dont la population totale avoisine les 60 millions de personnes et est implanté dans les pays suivants : Niger Bénin Centrafrique Gabon Côte d’Ivoire Togo A ce jour, selon, Jeune Afrique (2011), la base d’abonnés du Groupe Atlantique Télécom dépasse les 6 millions en Afrique et sa part de marché atteint 43% au Togo, 31% au Bénin, 22% en Côte d’ivoire et au Gabon, 18% en Centrafrique et 14 % au Niger. Atlantique Télécom– CI a procédé au lancement de ses activités en juillet 2006, à travers sa marque commerciale MOOV. Avec un capital de 20.000.000.000 de F.CFA, il revendiquait au 31 Décembre 2011, plus de 3 700 000 abonnés. Doté d’un parc d’abonnés constitués à plus de 80 % d’abonnés prepaid, Atlantique Télécom-CI génère un chiffre résultant à 99 % de vente de trafic et à 1% de ventes de Kits et de terminaux. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 48 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Conformément à la pratique dans le secteur de la téléphonie, Atlantique Télécom – CI effectue de nombreux investissements afin de se doter d’un réseau performant : au 31 décembre 2011, plus de 800 sites avait déjà mis en service pour couvrir près de 500 localités en Côte d’Ivoire. Afin de tirer profit de l’explosion prévisible des échanges de données informatiques, Atlantique Télécom – CI a obtenu la licence 3G (haut débit mobile) qu’il compte exploiter dès le dernier trimestre 2012. 4.2. Missions La compétence de MOOV-CI dans le domaine de la télécommunication n’est plus à démontrer. MOOV-CI opte pour la diversification de son offre tout en innovant sur chaque segment. Cela se manifeste par une différenciation horizontale au niveau prix et du produit, une différenciation verticale de la technologie et la tarification. Son atout principal est le fait de mettre à la disposition de la clientèle un réseau non saturé doté de toutes dernières avancées technologiques. Tout ce qui est fait de mieux et de futuriste dans le domaine de la technologie en matière de télécoms se retrouve sur le réseau MOOV: images, sons, téléchargements, MMS, SMS, etc. Depuis début juin 2008, MOOV-CI innove avec la technologie Satellite pour permettre à ses clients de joindre et d’être joignable quel que soit la localité sans tenir compte de couverture réseau. Ces aspects sont déterminants pour offrir aux clients une qualité de communication exceptionnelle. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 49 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI La mission de MOOV-CI est de permettre aux clients de profiter : d’une expérience technique unique et d’un savoir-faire qui a fait ses preuves ; de l’accès à des technologies de pointes, et notamment les technologies GPRS et EDGE ; des innovations, notamment MOOVSatellite ; des Tarifs Ultra compétitifs grâce à des synergies entre deux groupes Leaders ; desServices à Valeur Ajoutées. Cette mission est exécutée par des ressources dont nous donnerons un aperçu de l’organigramme ci-après. 4.3. Organisation générale de MOOV-CI Atlantique Télécom–CI a une structure pyramidale et est organisé en sept(7) grandes directions, chacune composées de divisions (annexe 1). Selon Yvon MOUGIN (2004 ; 7) nous ne devons plus considérer une organisation comme un ensemble disjoint d’activités mais comme un ensemble de processus étroitement corrélés. C’est en cela que MOOV-CI a su intégrer l’approche processus pleinement dans sa structuration (annexe 2).Les processus nécessaires au bon fonctionnement du Système de Management de la Qualité de Atlantique Télécom-CI sont répartis en 3 catégories principales : les processus de management :utilisés par la direction pour le pilotage de l’entreprise et du système de Management de la qualité ; les processus de réalisation : constituent le cœur métier de Atlantique Télécom-CI et apportent une valeur ajoutée directement perceptible aux produits et/ou services ; les processus supports : fournissent les ressources (humaines, matérielles, etc.) nécessaires au fonctionnement des autres processus. 4.3.1. Direction Technique La direction technique(DT) de MOOV-CI a pour mission principale : la planification et la réalisation des travaux d’études ; de construction et d’optimisation du réseau ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 50 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI la gestion des travaux d’exploitation de maintenance, d’extension et d’optimisation du réseau. Les processus nécessaires au bon fonctionnement de la DT sont au nombre de 2 à savoir : la planification et la construction du réseau ; l’exploitation et la maintenance du réseau. 4.3.2. Direction Marketing et Communication La direction Marketing et Communication assure : l’élaboration et la mise en œuvre de la politique Marketing et Communication ; la gestion des relations commerciales avec les autres opérateurs partenaires et carriers. Les processus de la direction Marketing et Communication sont : la conception, le développement et le déploiement des offres ; la vente et l’achat de trafic aux opérateurs et partenaires. 4.3.3. Direction Commerciale La direction commerciale avec 80 chargés de la vente, assure les missions suivantes : la gestion et l’administration de la clientèle ; la gestion des opérations et de la facturation ; la coordination des activités clientèles des agences commerciales. La vente est l’unique processus sur lequel la direction commerciale se focalise. 4.3.4. Direction Comptable et Financière Elle a pour mission de : fournir des informations fiables et dans le délai pour la prise de décisions ; la gestion de la trésorerie, suivi des engagements et la recherche de financements et l’optimisation des ressources ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 51 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI contrôler et piloter l’économie de la filiale ; acquérir des biens et services, le recouvrement des créances et la garantie des revenues. La Direction financière et comptable comprend 3 processus dont : la gestion comptable et financière ; l’acquisition des biens et services ; le recouvrement ; le revenu assurance. 4.3.5. Direction Administratives et Ressources Humaines La direction Administratives et des Ressources Humaines(DRH) atrois (3)missions principales qui sont : la gestion des ressources humaines ; la gestion des biens mobiliers et immobiliers ; la gestion de la sécurité des personnes, des biens et des transactions. Les principaux processus de la DRH sont : gérer les ressources humaines ; gérer les moyens généraux. 4.3.6. Direction Système Informatique la Direction Système Informatique assure : la gestion de l’outil de production informatique ; la définition et la mise en œuvre de la politique de sécurité informatique ; l’assistance aux utilisateurs ; le pilotage des projets informatiques Son unique processus est la gestion du système d’informations. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 52 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 4.3.7. Direction Clientèle Elle s’occupe de : la gestion et de l’administration de la clientèle ; la gestion des opérations et de la facturation ; coordination des activités clientèles des agences commerciales. Les processus nécessaires à son fonctionnement sont : la facturation ; la gestion des requêtes. 4. La division Qualité & Audit Interne(DQAI) C’est cette division qui nous a reçu pour effectuer notre étude, il a aussi constitué l’essentiel des travaux réalisés. 1. Missions du service Audit Les missions du service Audit se déclinent comme suit : de mettre en place un planning annuel d’audit ; d’établir les programmes détaillés d’audit donnant les priorités d’investigation pour l’amélioration du contrôle interne et pour guider ce qui pourrait être fait en matière d’autoévaluation du contrôle interne ; d’effectuer des contrôles ponctuels sur les différents domaines opérationnels (Identifier et évaluer les risques inhérents à l’activité) ; de superviser l’évaluation des procédures opérationnelles existantes afin de les rendre plus efficaces ; de superviser la préparation des audits externes : Holding, Etisalat, Organisme de certification ISO, Auditeurs Ernst & Young, CAC, etc... ; de suivre la mise en œuvre des recommandations issues des audits internes et externes. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 53 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Notre passage au niveau de la division qualité&audit interne nous a permis de prendre connaissance du déroulement d’une mission d’audit interne.la division audit interne assure aussi : la supervision et l’évaluation des procédures opérationnelles afin de les rendre plus efficaces ; la supervision et l’évaluation des processus afin de s’assurer que des dispositions sont décidées, planifiées et mises en œuvre pour en assurer l’efficacité ; la mise en place des contrôles et missions ad hoc afin d’avoir une assurance raisonnable que tous risques inhérents à l’activité sont couverts ; la définition avec les responsables des structures concernées les travaux nécessaires pour la préparation des audits externes et s’assurer de la mise en œuvre des actions définies avant l’audit ; le suivi des recommandations issues des audits internes et externes ; toutes les tâches administratives demandées par la hiérarchie afin de contribuer à la bonne marche de la Division. 4.4.2. Missions du service Qualité Les missions du service Qualité sont : élaborer la politique qualité et ses objectifs afin de s’assurer de la déclinaison des objectifs validés par le Directeur Général à travers les autres structures de l’entreprise (directions, divisions,…) et processus ; élaborer une planification annuelle du Système de Management Qualité (SMQ) et des objectifs Qualité ; élaborer avec les pilotes de processus, la planification des objectifs Qualité et suivre la mise en œuvre des plans d’action qui en découlent ; assurer l’animation du Système de Management Qualité et le bon fonctionnement des groupes de progrès ; mettre en place le référentiel de procédures et enregistrements ; assurer la mise à jour et l’évolution du Manuel de procédures et enregistrements ; s’assurer par des plans d’action, de la conformité des processus aux exigences spécifiées ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 54 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI s’assurer de l’évolution des processus à travers des revues de performances des processus ; rendre compte de l’avancement du SMQ au moyen des revues de directions ; assurer la préparation des éléments d’entrée de la revue de Direction, élaborer le rapport et faire le suivi des actions ; sensibiliser et de former le personnel à la Qualité ; contribuer à l’élaboration de tableau de bord de l’entreprise et analyser les indicateurs de performance. Notre passage au niveau de la division qualité & audit interne nous a permis de prendre connaissance du déroulement d’une mission d’audit interne et de mieux appréhender le processus de gestion pérenne des risques mis en place. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 55 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION DU CHAPITRE 4 Ce chapitre nous a permis d’avoir une connaissance générale de MOOV-CI.Vue l’environnement concurrentiel dans lequel il évolue, MOOV-CI se doit d’être performant. Mais, peut-on être performant, si l’on n’est pas en mesure de maitriser les risques liés à ses processus ? Ces interrogations nous amène à envisager la piste d’amélioration qu’est la consolidation du niveau de performance déjà acquis à travers les différentes actions de l’audit interne. Il s’agira donc d’analyser le processus de gestion des risques à travers des actions concrètes qui feront l’objet du prochain chapitre. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 56 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 5 : PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOVCI La profession de l’audit interne est en pleine mutation. Sous l’effet de nouvelles réglementations, le rôle de l’audit interne au sein de MOOV-CI est devenu absolument central dans création de valeur et la prévention de la destruction de cette même valeur.Alors même que le champ de ses investigations n’a de cesse de s’étendre (gouvernance, éthique, responsabilité sociétale) l’audit interne de MOOV-CI doit confirmer son rôle, tout en maintenant la relation de confiance qui l’unit à la direction générale. Dans ce chapitre, nous allons décrire en amont le processus de gestion pérenne des risques de MOOV-CI en identifiant à chaque étape le rôle de l’audit interne et en aval sa participation à la mise en place de la cartographie des risques. 1. Description du processus de gestion pérenne des risques de MOOV-CI Dans cette section, nous donnerons le rôle de l’audit interne dans la gestion pérenne des risques de MOOV-CI à sa démarche et de la mise en place de la cartographie des risques. 1. Élaboration du plan annuel d’audit L’audit interne de MOOV-CI établit un plan d’audit fondé sur l’analyse de l’ensemble des risques de l’entreprise. Pour élaborer le plan d’audit annuel, l’auditeur interne dégage 2 (deux) axes de recherche : Le système de management des risques : ce premier axe porte essentiellement sur les outils et les méthodes d’identification et d’analyse des risques de l’entreprise par le management des risques (cartographie des risques) ; L’appétence pour le risque : ce deuxième axe se révèle être un plus dans l’identification des risques et in fine dans l’élaboration de la cartographie des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 57 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 5.1.2. Établissement du contexte ou environnement interne de MOOV-CI L’environnement interne de MOOV-CI a un impact significatif (positif ou négatif) sur la manière dont la gestion des risques est implanté et mis en œuvre de façon pérenne. L’audit interne à travers ces missions et de la charte d’audit, inculque aux opérationnels de l’entreprise : l’importance de la culture du risque : de l’élaboration de la stratégie globale déclinée en objectifs jusqu’à sa mise en œuvre au quotidien ; l’intégrité et les valeurs d’éthiques : qui sont les fondamentaux du comportement de l’auditeur interne, donnent le ton et influence le comportement des collaborateurs. 3. Analyse partielle des risques par processus Au sein de MOOV-CI l’identification et évaluation des risques sont effectuées par les responsables métiers (chef de service/ département) en collaboration avec la division maitrise des risques. Quant à l’audit interne, pour mettre en œuvre ces diligences il favorise l’approche par les risques en élaborant une fiche d’analyse des risques faisant partie du dossier de travail de chaque audit. Cette fiche précise par tâche élémentaire comme illustrée dans l’annexe 10 l’objectif du contrôle mis en place, permet à l’audit interne de rattacher les risques opérationnels à la tâche d’une activité et propose un dispositif de maitrise des risques en fonction de la cotation du risque. 4. Évaluation du dispositif de maitrise des risques (DMR) de MOOV-CI Sur la base de la fiche d’analyse des risques, l’audit interneréévalue le DMR afin de donner une assurance raisonnable sur : son effectivité ; son efficacité ; son efficience. Il se base donc sur plusieurs éléments qui peuvent se traduire par : la politique en matière de gestion des risques définie et documentée par la Direction Générale ; un dispositif d’identification et de gestion des risques au quotidien ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 58 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI la mise en place d’indicateurs avancés pertinents assurant des alertes sur toute perturbation d’un processus donné ; des reporting adaptés au profil de risques de l’entité ; des évaluations régulières du dispositif par les personnes en charge de son animation ; un seuil de signification pour évaluer et comparer chaque dispositif afin d’améliorer le dispositif de contrôle interne globale. Toutefois, l’amélioration de la formalisation des travaux demeure une préoccupation du service d’audit interne. 5.1.5. Communication des travaux d’audit interne Les travaux d’audit interne sont présentés et communiqués au audité (chef de service/ département) pour action et à la direction générale pour information.Le rapport d’audit s’accentue dans un premier temps sur les risques majeurs du service audité et dans un second temps émet des recommandations afin d’améliorer l’activité. 5.2. Pilotage des écarts d’audit interne A l’issue des missions d’audit, l’auditeur interne, se doit de suivre l’exécution des plans d’action issues des recommandations .Ce suivi permet de mesurer l’efficacité de ses travaux, d’alimenter les dossiers d’audits et de parfaire les audits ultérieurs. La méthodologie de suivi des écarts d’audits mise en œuvre à MOOV-CI s’articule autour d’une matrice tenant compte des critères suivants : la récurrence du constat; le niveau du risque; la mise en œuvre des plans d’actions convenues. Ces critères e déclinent en indicateurs visuels (symboles) et en indicateurs quantitatifs (cotations) comme suit : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 59 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 2 : La récurrence du constat Formalisation Libellé Cotations graphique Ce constat n'avait jamais été relevé 0 auparavant Ce constat a déjà été relevé au moins 1 une fois Ce constat est fréquent 2 Source : Service d’Audit Interne Atlantique Télécom-CI Tableau 3 : Formalisation graphique du niveau de risque Formalisation Libellé Cotations graphique Pas de risques 0 Risques mineurs 1 Risques majeurs 2 Source : Service d’Audit Interne Atlantique Télécom-CI la mise en œuvre du plan d’action convenue : les actions convenues se répartissent en deux types d’actions : les actions correctives et les corrections. L’évaluation de la mise en œuvre d’un plan d’action se fait selon le principe fondamental suivant : le traitement complet d’un écart consistera à: déterminer la cause du dysfonctionnement ou du constat effectué (les facteurs ayant occasionnés le dysfonctionnement) ; définir une correction : pour éliminer le dysfonctionnement constaté à l’endroit où le constat a été effectué (afin de rétablir le service) ; définir une action corrective : visant à éliminer la cause du dysfonctionnement afin de prévenir sa réapparition sur d’autres sites ou activités similaires. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 60 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 4 : Présentation du plan d’action convenu Libellé Formalisation graphique Plan d’action non réalisé Plan d’action réalisé à 25% Plan d’action réalisé à 50% Plan d’action réalisé à 75% Plan d’action réalisé à 100% Source : Service d’Audit Interne Atlantique Télécom-CI Conformément à la procédure DG.QUA.05 : conduite d’une mission d’audit interne, après la réunion d’acceptation du rapport d’audit et la publication du dit rapport , l’état de suivi des écarts d’audit est renseigné par un membre du service audit et transmis à l’équipe audité pour définir les plans d’actions (corrections et actions correctives) susceptible de mitiger chacun des risque mis en exergue. L’audité se fait généralement assister par l’équipe afin de remplir au mieux les différentes colonnes de l’état de suivi. Cet état se présente comme suit : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 61 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Figure 2 : Suivi des écarts d’audit interne Source : Service d’Audit Interne Atlantique Télécom-CI KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 62 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI A l’issu du suivi effectué, l’audit interne ressort deux types de reporting : un reportingbi-hebdomadaire à l’attention du chef de service audit et du chef de division, qui est axé sur les écarts d’audits classés comme suit : récurrence du constat :Constat est fréquent ; niveau du risque : Risque majeur ; mise en œuvre des plans d’actions convenues :plan d’action réalisé à moins de 50%. Ce reporting permet d’attirer l’attention sur la réactivité des opérationnels sur les traitements des risques critiques à travers un suivi de la mise en œuvre des corrections. Il est le préalable au second reporting qui est décliné par la direction et qui se veut plus global. un reporting mensuel émit par le chef de division Qualité et Audit Interne à l’attention du Comité de direction. Il présente par direction le taux de mise en œuvre des actions correctives et s’illustre comme suit : Tableau 5: Statistiques illustrant l’état de mise en œuvre des corrections et des actions correctives de la direction technique. 2. Actionsda’ uditsrelatifsàlaDirectionTechnique POURCENTAGE CORRECTION NombreTotald'actions Actionsencours Actionssoldés Actionsechuesnonsoldés Actionsnonechues&nonsoldés 57 13 44 7 6 100% 23% 77% 12% 11% ACTIONCORRECTIVE 57 21 NombreTotald'actions Actionsencours Actionssoldés Actionsechuesnonsoldés Actionsnonechues&nonsoldés 36 12 9 Source : Service d’Audit Interne Atlantique Télécom-CI KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 63 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Figure 3 : Graphique illustrant l’état de mise en œuvre des corrections et des actions correctives de la direction technique. Source : Service d’Audit Interne Atlantique Télécom-CI Les états ci-dessous donnent lieu à l’émission d’un rapport dont nous présentons ci-dessous une synthèse au 8 octobre 2012 : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 64 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Figure 4 : Synthèse du rapport d’audit interne Source : Service d’Audit Interne Atlantique Télécom-CI KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 65 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI En somme, la méthodologie de suivi des écarts d’audit adoptée a plusieurs avantages qui lui permettent de s’inscrire dans le processus d’une gestion pérenne des risques : une actualisation continue de l’évaluation des risques détectés lors un processus d’audit ; une évaluation continue des pistes d’amélioration issue des travaux d’audit ; mise en place d’un historique de défaillances sur lequel les risques pourraient capitaliser pour affiner leur évaluation prochaine des risques ; mise en place d’une base de constats à revisiter avant tout nouvel audit sur le processus. 5.3. Participation à l’élaboration de la cartographie des risques Comme signalé dans la revue de littérature, l’auditeur interne peut être sollicité pour participer à l’élaboration ou à la mise à jour de la cartographie des risques. Pour élaborer sa cartographie, AtlantiqueTélécom-CI a choisi de se faire accompagner par le cabinet Deloitte& touche, nous présenterons ci-dessous, l’approche méthodologiqueadoptée et les étapes pendant lesquellesl’implication de l’audit interne sera importante. Le projet de cartographie ayant pour vocation de couvrir l’ensemble des enjeux et risques majeurs auxquels MOOV-CI est confronté, l’approche méthodologique adoptée seradécomposée en quatre (4) étapes : le cadrage ; l’identification et l’évaluation des risques ; l’élaboration de la cartographie des risques; le suivi des risques et transfert de compétences. 5.3.1. Le cadrage Cette phase permettra de préparer la mise en place du processus de cartographie des risques. Lors de cette étape, l’auditeur interne fera partie de l’équipe projet et mettra à disposition sa base documentaire (plan et rapport d’audit existants,…) et pourra faire KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 66 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI profiter l’équipe projet de sa connaissance de l’environnement de contrôle interne existant lors des briefings sur chaque processus. 5.3.2. Identification et évaluation des risques Cette phase qui comprend deux grandes parties constitue l’étape où l’audit interne sera le plus sollicité. Tandis que la première partie de cette phase permettra d’identifier les objectifs et les risques inhérents, la seconde quant à elle sera l’occasion de préciser les risques résiduels, puis d’utiliser des matrices de cotations homogènes et pertinente et enfin d’hiérarchiser les risques selon les deux critères identifiés (fréquence-vulnérabilité/gravité-impact). L’équipe d’audit interne sera notamment sollicité pour permettre sur la base des travaux déjà exécutée, d’identifier et de qualifier le niveau d’efficacité des points de contrôle existants. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 67 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION DU CHAPITRE 5 Ce chapitre nous a permis de décrire le processus de gestion des risques de MOOV-CI. Quelle est la démarche à adopter pour une analyse efficace du processus de gestion pérenne des risques ? Nous répondrons à cette question en analysant le processus de gestion des risques de MOOV-CI. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 68 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CHAPITRE 6 : ANALYSE DU PROCESSUS DE GESTION PERENNE DES RISQUES DE MOOV-CI L’entreprise se défini comme une unité économique qui produit des biens et des services en vue de les vendre afin de couvrir ses charges et de dégager éventuellement un profit. La clientèle de MOOV-CI est composée de grandes entreprises, des abonnés et des utilisateurs roaming qui attendent de recevoir un service de qualité. Cette partie pratique nous permettra d’analyser le processus de gestion pérenne des risques de MOOV-CI. 6.1. Identification des éléments majeurs du processus de gestion pérenne des risques de MOOV-CI Dans cette section seront présentés les trois (3) processus de la gestion des risques à savoir : l’environnement interne ; le dispositif de maitrise des risques ; le plan d’audit et les diligences d’audit interne. 6.1.1. Examen et évaluation de l’environnement interne de MOOV-CI L’environnement interne reflète le style d’une organisation. Il constitue le fondement structurel sur lequel peuvent s’appuyer tous les autres éléments du dispositif de management des risques. Les éléments de l’environnement interne de MOOV-CI comprennent : la culture du risque (point focal) ; l’appétence pour le risque ; la surveillance exercée par la direction générale ; l’intégrité et les valeurs d’éthiques ; la politique de délégation de pouvoirs et de responsabilités. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 69 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Pour savoir à quel point la culture du risque est intégrée à la culture de l’organisation, nous avons réalisé une enquête portant sur la culture du risque afin de mesurer la présence et les attributs clés en matière de risque. Elle a été réalisée sur un échantillon de 50 agents repartis dans les directions suivantes : direction des Risques ; direction Administrative et des Ressources humaines ; direction Commerciale. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 70 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 6: enquête sur la culture du risque à MOOV-CI " Question Attribut Les responsables de mon service donnent un exemple 1 positif en matière de comportement éthique Je comprends la mission et la stratégie globale de 2 l’organisation Des mesures disciplinaires sont prises à l’encontre de 3 ceux dont le comportement n’est pas professionnel Le turn over n’a pas eu d’impact significatif sur notre 4 capacité à atteindre nos objectifs 5 Les responsables de mon service sont réceptifs à toutes les informations relatives aux risques (impact positif ou négatif) Notation -- - = + ++ Leadership et stratégie 1.42 Elevée 50 1 3 5 8 34 Leadership et stratégie Responsabilité et support 1.05 50 0 7 10 20 13 0.21 Bonne Mesure nécessaire 36 3 20 5 3 5 Ressources Humaines 0,81 Avertissement 40 4 2 4 20 10 Management des risques 0.99 Bonne 50 1 3 5 26 15 Source : Nous -mêmes KANTE Saran, Effectif MPACG – CESAG, 5ème promotion 2010/2012 Page 71 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Chaque question est notée selon une échelle allant de -2 à +2 qui s’analyse comme suit : -2 pas du tout d’accord (--) ; -1 pas d’accord (-) ; 0 ni d’accord, ni pas d’accord (=) ; +1 d’accord (+) ; +2 Tout à fait d’accord (++). Cet écart est mesuré sur la base du niveau de consensus entourant une question : plus cet écart est réduit, plus le consensus sur une question est fort, à l’inverse, un écart important signale un manque de consensus. Au sein de MOOV-CI l’appétence pour le risque est prise en compte dans la définition de la stratégie dans la mesure où les résultats de la stratégie doivent être en ligne avec l’appétence de l’organisation pour le risque. Elle est considérée d’un point de vue qualitatif, en fonctions de certains critères (élevé, moyen et faible). Cette enquête et les éléments constitutifs de l’environnement interne nous permettent d’affirmer que l’approche risque est inscrite dans la ligne directrice du dispositif de management des risques mis en place par MOOV-CI. 6.1.2. Analyse du dispositif de maitrise des risques de MOOV-CI Le dispositif de maîtrise des risques est constitué des politiques et procédures qui permettent de s’assurer que les mesures de contrôle existent et que les traitements des risques souhaités par la Direction Générale ont été effectivement mis en place. Il englobe un éventail d’activités aussi diverses que la validation, la vérification, la sécurité des actifs ou la séparation des tâches. Souvent, une combinaison de plusieurs contrôles est mise en place afin de répondre aux traitements des risques. A l’aide du questionnaire relatif à la maitrise des risques (annexe 3), nous avons procédé à l’évaluation du dispositif de maitrise des risques existant. Après la soumission du questionnaire nous avons eu les réponses suivantes : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 72 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 7: Questionnaire relatif à la maîtrise des risques Réponses Questions Numéro Oui Non d’ordre 1. Existe-il des séparations de tâches entre X la personne qui initie une opération et celle qui la valide ? 2. Existe-il un organigramme par X service ? 3. Les moyens humains sont-ils adaptés à X votre activité ? 4. Existent-ils des fiches de poste ? X 5. Les délégations de pouvoirs sont-elles X claires et diffusés au sein de MOOV ? 6. Le système d’information est-il adapté X à votre activité ? 7. Existent-ils des contrôles de premier X niveau ? 8. Si oui, sont-ils formalisés ? 9. Existent-ils des contrôles de second X X niveau ? si oui sont-ils formalisés ? 10. Des reportings sont-ils rédigés et X transmis régulièrement à la Direction Générale ? 11. Existe-il un comité de suivi des risques X au sein de MOOV ? 12. Existe-t-il une assurance en cas de X sinistre (destruction du magasin de cartes de recharge…)? Source : Nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 73 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Il ressort du questionnaire que le dispositif de maitrise des risques mis en place par MOOV-CI est globalement performant. 6.2. Evaluation du dispositif de contrôle interne mis en place par MOOV-CI pour la gestion pérenne des risques Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise des risques de l’entité. Il a pour but d’une part d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, et d’autre part l’application des instructions de la Direction et de favoriser l’amélioration des performances. C’est l’ensemble des dispositifs mis en œuvre par les responsables de tous niveaux pour maîtriser le fonctionnement de leurs activités. L'examen du contrôle interne est une phase prépondérante dans l'approche d'audit. Cette phase permet aux auditeurs d'intervenir sur l'ensemble des procédures de l'établissement et d'identifier ainsi les zones de risques potentielles. Comme nous l’avons précisé plus haut, cette étape vise à évaluer la qualité du dispositif de contrôle interne mis en place par la division Qualité & Audit Interne pour faire échec aux risques. L’évaluation permet d’établir de manière synthétique que les contrôles mis en œuvre en vue de couvrir les risques majeurs de l’entreprise sont conformes aux attentes de l’entreprise. A l’aide du questionnaire relatif au contrôle interne(annexe 4) et à partir de l’étude des documents réalisés précédemment, nous avons procédé à l’évaluation du dispositif de contrôle interne existant. Après la soumission du questionnaire nous avons eu les réponses suivantes : KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 74 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Tableau 8: questionnaire relatif au contrôle interne Réponses Questions Numéro Oui Non d’ordre 1. MOOV dispose-t-il d’un langage X commun en matière de risques (typologie, homogène, d’analyse et de suivi) ? 2. Existe-t-il une charte d’audit à MOOV- X CI ? 3. MOOV a-t-il mis en place des objectifs X en matière de gestion des risques ? 4. Existe-t-il un processus d’identification X des principaux risques ? une organisation a-t-elle été mise en place à cet effet ? 5. Pour les principaux risques identifiés, X MOOV réalise-il une analyse des incidences potentielles et du degré de maitrise estimé ? 6. L’analyse des risques tient-il compte X des évolutions internes ou externes de MOOV ? 7. Ces analyses donnent-elles lieu à des X actions spécifiques ? la responsabilité de ces actions est-elle définie ? 8. Une politique et des procédures de gestion des principaux risques ont-elles x été définies, validées par la direction générale et mises en place au sein de MOOV ? KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 75 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 9. Des moyens spécifiques sont-ils x consacrés à la mise en œuvre et à la surveillance des procédures de gestion de risques ? 10. Les responsabilités en matière de X gestion des risques sont-elles définies et communiqués aux personnes concernées ? 11. Les expériences passées de MOOV en X matière de gestion des risques sontelles prises en considération ? 12. La direction reçoit-elle une information X sur les caractéristiques essentielles des actions engagées pour gérer les principaux risques de MOOV(couverture en place, assurances, montant des garanties….) 13. Existe-il un plan de continuité des X activités au sein de MOOV ? 14. Existe-il un mécanisme permettant si X nécessaire d’adapter les procédures de gestion des risques à une évolution des risques, de l’environnement externe, des objectifs ? 15. Existe-il un dispositif permettant X d’identifier les principales faiblesses du dispositif de gestion des risques mis en place par MOOV ? 16. Le conseil d’administration a-t-il été X informé des grandes lignes de la politique de gestion des risques ? Source : Nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 76 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut fournir une garantie absolue quant à la réalisation des objectifs de l’entreprise. La probabilité d’atteindre ces objectifs ne relève pas de la seule volonté de l’entreprise. Il existe en effet des limites inhérentes à tout système de contrôle interne. Ces limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison d’une défaillance humaine ou d’une simple erreur. 6.3. Les forces du dispositif de gestion des risques de MOOV-CI Après étude du dispositif de maitrise des risques mis en place par MOOV-CI nous recensons les forces suivantes : l’existence d’une « charte de contrôle » avec la désignation des acteurs, délégation de pouvoirs et la hiérarchisation des procédures.Cela facilite le contrôle : ce qui est une force en ce sens qu’il est primordial pour toute structure d’avoir des textes qui définissent clairement la politique de contrôle ; l’existence de manuel de contrôle de premier niveau et formalisation de contrôle de premier niveau effectué par les chefs de service opérationnels ; la séparation des fonctions au cours des différents processus d’activités érigés au sein de MOOV-CI : ce qui minimise Les risques opérationnels ; les impayés des clients Pospaid sont centralisés et examinés par un responsable qui procède aux relances : permet ainsi à MOOV-CI de réduire l’importance des engagements en souffrance ; mise en place de la cartographie des risques par activités : permet d’établir un plan d’audit axé sur les risques majeurs ressortis par la cartographie ; conformité aux instructions de l’ATCI quant à la permanence des services (continuité des services), la qualité des services offerts et les performances techniques (qualité d’écoute téléphonique) ; existence de questionnaire administré au audité sur la qualité du travail d’audit après chaque mission d’audit : permet d’améliorer l’approche des auditeurs au fil des missions ; l’établissement de rapports périodiques sur l’évolution des abonnées MOOV-CI transmit à l’ATCI. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 77 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 6.4. Les faiblesses du dispositif de gestion des risques de MOOV-CI Au nombre des faiblesses du dispositif relevées nous avons : non mise en œuvre à chaque cycle de facturation, de contrôles susceptibles d’apporter l’assurance raisonnable que tous les abonnés postpaid facturables ont été effectivement facturés ; exécution partielle des missions d’audit planifiées (plan d’audit) ; mise en œuvre partielle des recommandations d’audit par les audités ; formalisme inexistant des contrôles de premier niveau exécutés par les opérationnels ; inexistence d’une charte d’audit régissant la politique, les normes d’audit appliquées au sein de MOOV-CI ; absence de revue périodique de la grille tarifaire par les personnes appropriées (direction commerciale et/ou revenue assurance) ; l’inexistence de revue périodique des habilitations permettant d’accéder aux fonctions de modification, de création, suppression de tarifs dans le système ; l’inexistence d’un expert en gestion des changements et implémentation des tarifs (postpaid et prepaid) dans le système ; l’inexistence de procédure de gestion des changements et implémentation des tarifs dans le système ; l’existence partielle d’indicateurs de performance ne permettant pas d’évaluer la performance d’un service. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 78 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 6.5. Recommandations à l’endroit de MOOV-CI Une meilleure analyse du dispositif de gestion pérenne des risques ne sera possible que si certains problèmes de MOOV-CI sont résolus. Cependant, l’éradication des causes se trouvant à la base des différents problèmes identifiés ne pourra être complète que si certaines dispositions sont prises pour garantir une efficacité des solutions à mettre en œuvre. C’est ce qui nous pousse au terme de notre étude qui a sur l’analyse du processus de gestion pérenne des risques : cas de MOOV-CI, à formuler les recommandations suivantes en vue de l’amélioration du dispositif de contrôle et de maîtrise des risques mise en place : sensibiliser le personnel de MOOV-CI afin d’améliorer la perception que les opérationnels ont de l’audit interne : des initiatives en ce sens sont en cours ; suggérer la rédaction et la diffusion d’une charte d’audit et d’un code de déontologie ; instaurer d’autre indicateur de performance afin d’améliorer l’efficacité du service. Les indicateurs utilisés à ce jour sont en cours de finalisation : Une réflexion devra être menée sous les différents types d’indicateurs ci-dessous : la perception des audités sur les travaux d’audit : une grille d’évaluation est envoyé à chaque service audité afin de recueillir sa perception sur les diligences d’audit déployées lors des travaux d’audit. taux d’implémentation des corrections et des actions correctives ; réalisation du planning d’audit : cet indicateur permet de mesurer l’amélioration apportée en termes de réduction de nombre de jours d’écart entre les dates prévisionnels et les dates réels de réalisation des missions. améliorer la collaboration entre le service Audit Interne et la division Maitrise des Risques à travers : la mise en place d’un cadre formalisé de coopération et de partage d’expérience ; la mise en œuvre de réunion périodique entre les 2 entités ; envoi des rapports d’audit à la division Maitrise des Risques. mettre en place un suivi et une intégration des plans d’actions issus des missions d’audit dans l’actualisation de la cartographie des risques ; KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 79 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI mettre en place un tableau de rapprochement entre la cartographie des risques et les recommandations d’audit ; mettre en place un monitoring des plans d’actions issus des missions d’audit interne à travers un outil informatique pour avoir un suivi en temps réel des plans d’actions et ainsi actualiser la cartographie des risques ; formaliser les contrôles de premier niveau de chaque entité audité ; rédiger un manuel regroupant l’ensemble des contrôles de premier niveau par métier ; Procéder au recrutement d’un agent supplémentaire au service d’Audit Interne afin de permettre l’exécution totale du plan annuel d’audit ; Engager un expert en gestion des changements et implémentation des tarifs (postpaid et prepaid) dans le système ; mettre en œuvre à chaque cycle de facturation, des contrôles susceptibles d’apporter l’assurance raisonnable que tous les abonnés postpaid facturables ont été effectivement facturés ; mettre en place un calendrier de revue périodique de la grille tarifaire par les personnes appropriées (direction commerciale et et/ou revenue assurance) ; restreindre Les habilitations permettant aux utilisateurs d’accéder aux fonctions de modification, création, suppression de tarifs postpaid aux administrateurs en charge seulement de la facturation ; rédiger une procédure formelle (écrite) de gestion des changements et implémentation de tarifs postpaid. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 80 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI CONCLUSION DEUXIEME PARTIE L’intérêt de cette deuxième partie a été depasser en revue le processus de gestion pérenne des risques de MOOV-CI. L’analyse du dispositif de contrôle interne et de maîtrise des risques mis en place par MOOV-CI comme tout autre dispositif à aussi bien des points forts que des points faibles. Ainsi, Le suivi des actions d’audit déployé à ce jour à MOOV-CI est certes bien élaboré mais demeure encore non automatisé d’où ne permet pas d’actualiser en temps réel l’identification des risques et leur cotation. Dès lors il revient à MOOV-CI de s’en servir pour corriger les défaillances observées dans l’organisation de ses processus et dans l’amélioration continue du dispositif de management des risques. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 81 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 82 CONCLUSION GENERALE Analyse du processusde gestion pérenne des risques : cas de MOOV-CI La question des interactions entre l’audit interne et le management des risques dans le cadre d’une gestion pérenne des risques demeure au centre des débats. Même si pour les uns, la nécessité d’une mutualisation de leurs actions reste lointaine, pour les autres, des liens fréquents entre les fonctions d’audit interne et de management des risques permettent inéluctablement de tirer un meilleur parti de l’interdépendance naturelle de leurs travaux. Souhaitables tout au long de l’année, ces liens sont indispensables au moment de l’élaboration du plan annuel d’audit et de l’actualisation de la cartographie des risques. Les dispositions prises pour optimiser la valeur ajoutée de l’audit interne dans le processus de management des risques se traduisent notamment sur la mise en œuvre des bonnes pratiques ci-dessous : un rapprochement du management des risques et de l’audit interne au sein d’une même direction susceptible d’offrir une meilleure coordination entre les 2 (deux) fonctions ; un rattachement cohérent et explicite entre les missions d’audit et les risques contenus dans la cartographie des risques, illustré à travers un tableau permettant d’avoir une vision synthétique des risques majeurs couverts et non couverts. Leur suivi par l’audit interne est donc primordial pour avoir une vision précise de la mise en place des contrôles permettant de modifier la cotation des risques dans la cartographie des risques. Malgré la variété des missions à assurer des compétences à mobiliser, l’auditeur interne sans être le pilote privilégié du processus de management des risques, ne saurait être significativement contourné si l’on se propose de mettre en place un processus efficace et continu des risques. Notre démarche nous a permis d’atteindre les objectifs spécifiques que nous nous étions fixés au début de notre mémoire. Il appartient désormais à la Direction Générale de MOOV-CI d’avoir à sa disposition notre document afin de l’enrichir et surtout d’analyser son dispositif de contrôle interne. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 84 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Enfin, même si les pratiques tendent à rendre irréfutable la maîtrise duprocessus de gestion pérenne des risques reste encore à le déployer plus largement au sein de l’entreprise. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 85 ANNEXES Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Annexe 1 : organigramme générale de MOOV-CI Directeur Général Chef d e Division juridique et Réglementaire Directeur Financier et comptable Chef d e Division Qualité et Audit Interne Directeur Technique Directeur S y s tèm es d’informatique Directeur Clientèle Directeur Commercial Directeur Marketing et Communication Directeur Administratif et Ressources H u m a i nes Chef d e Division Perf ormances S o us Directeur Comptabilité Chef d e division Contrôle d e Gestion Chef d e Division Trésorerie S o us Directeur Vente d’Abidjan S o us directeur Etudes et Développements Chef d e Division Exploitation inf ormatique Chef d e Division Infrastructure et Support Chef d e Division Corporate Chef d e Division infrastructures et Sites Chef d e Division Planification Chef d e division Maitrise des risques Chef d e Division Etudes et D é v e loppem ent Chef d e Division Sécurité S y s tèm es d’information Sous Directeur Exploitation et Maintenance Chef d e Division Maintenance Chef d e Division NSS Chef d e Division Corporate VIP Chef d e Division Opérations Support Chef d e Division Ventes Intérieurs Chef d e Division Support et Ventes Chef d e Division Marketing Stratégique Chef d e Division Communication et Ma r q u e Chef d e Division Administration d u personnel Chef d e Division Produits et Services Chef d e Division PPS & VAS Chef de Division Administration & Mo y e ns G é nér aux Chef d e Division C o n sum er C a r e Chef d e Division Marketing Corporate Source: Atlantique Telecom Chef d e Division Marketing G r a nd Public KANTE Saran, Chef d e Division D é v e loppem ent des Ressources H u m a ine MPACG – CESAG, 5ème promotion 2010/2012 Page 87 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Annexe 2 : Cartographie globale des processus de AtlantiqueTélécom-CI CARTOGRAPHIEDESPROCESSUS Source : Service d’Audit Interne Atlantique Télécom-CI KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 88 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Annexe 3 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de maîtrise des risques de MOOV-CI Bonjour Mademoiselle/Madame/Monsieur. Nous sommes étudiante stagiaire à MOOV-CI et nous réalisons actuellement dans le cadre de notre mémoire de fin de formation au Centre Africain d’Etudes Supérieures en Gestion (CESAG), Filière : Master Audit et Contrôle de Gestion, une étude sur :L’analyse du processus de gestion pérenne des risques : cas de MOOV-CI Nous vous prions à cet effet de bien vouloir nous accorder quelques minutes de votre précieux temps pour répondre à ces questions. Réponses Questions Numéro Oui Non d’ordre 1. Existe-il des séparations de tâches entre la personne qui initie une opération et celle qui la valide ? 2. Existe-il un organigramme par service ? 3. Les moyens humains sont-ils adaptés à votre activité ? 4. Existent-ils des fiches de poste ? 5. Les délégations de pouvoirs sont-elles claires et diffusés au sein de MOOV ? 6. Le système d’information est-il adapté à votre activité ? 7. Existent-ils des contrôles de premier niveau ? 8. Si oui, sont-ils formalisés ? 9. Existent-ils des contrôles de second niveau ? si oui sont-ils formalisés ? KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 89 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 10. Des reportings sont-ils rédigés et transmis régulièrement à la Direction Générale ? 11. Existe-il un comité de suivi des risques au sein de MOOV ? 12. Existe-t-il une assurance en cas de sinistre (destruction du magasin de cartes de recharge…)? Source : nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 90 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI Annexe 4 : Guide d’entretien de la DQUAI et la Direction des Risques sur le dispositif de contrôle interne de MOOV-CI Bonjour Mademoiselle/Madame/Monsieur. Nous sommes étudiante stagiaire à MOOV-CI et nous réalisons actuellement dans le cadre de notre mémoire de fin de formation au Centre Africain d’Etudes Supérieures en Gestion (CESAG), Filière : Master Audit et Contrôle de Gestion, une étude sur : L’analyse du processus de gestion pérenne des risques : cas de MOOV-CI Nous vous prions à cet effet de bien vouloir nous accorder quelques minutes de votre précieux temps pour répondre à ces questions. Réponses Questions Numéro Oui Non d’ordre 1. MOOV commun dispose-t-il en matière d’un langage de risques (typologie, homogène, d’analyse et de suivi) ? 2. MOOV a-t-il mis en place des objectifs en matière de gestion des risques ? 3. Existe-t-il un processus d’identification des principaux risques ? une organisation a-t-elle été mise en place à cet effet ? 4. Pour les principaux risques identifiés, MOOV réalise-il une analyse des incidences potentielles et du degré de maitrise estimé ? 5. L’analyse des risques tient-il compte des évolutions internes ou externes de MOOV ? 6. Ces analyses donnent-elles lieu à des actions spécifiques ? la responsabilité KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 91 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI de ces actions est-elle définie ? 7. Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la direction générale et mises en place au sein de MOOV ? 8. Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion de risques ? 9. Les responsabilités en matière de gestion des risques sont-elles définies et communiqués aux personnes concernées ? 10. Les expériences passées de MOOV en matière de gestion des risques sont- elles prises en considération ? 11. La direction reçoit-elle une information sur les caractéristiques essentielles des actions engagées pour gérer les principaux risques de MOOV (couverture en place, assurances, montant des garanties….) 12. Existe-il un plan de continuité des activités au sein de MOOV ? 13. Existe-il un mécanisme permettant si nécessaire d’adapter les procédures de gestion des risques à une évolution des risques, de l’environnement externe, des objectifs ? 14. Existe-il un dispositif permettant d’identifier les principales faiblesses du dispositif de gestion des risques mis en KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 92 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI place par MOOV ? 15. Le conseil d’administration a-t-il été informé des grandes lignes de la politique de gestion des risques ? Source : nous-mêmes KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 93 BIBLIOGRAPHIE Analyse du processusde gestion pérenne des risques : cas de MOOV-CI OUVRAGES 1. Alain Desroches (2003), la gestion des risques : principes et pratiques, EditionLavoisier, 286pages. 2. Bapst Pierre Alexandre et Bergeret Florence (2002), Pour un management des risques orienté vers la protection de l’entreprise et la création des valeurs, Revue française d’Audit Interne, N° 162 : 10-12. 3. Becourt Jean Charles et Bouquin Henri(2008), audit opérationnel : entreprenariat, gouvernance et performance, Edition Economica, 3ème édition,425pages. 4. Bernard Barthélémy(2000), gestion des risques méthodes d’optimisation globale, Edition d’Organisation, 335pages. 5. Chistophe Villalonga (2007), l’audit qualité interne, Éditions Dunod, 197 pages. 6. Christian Jimenez, Patrick Merlier et Dan Chelly (2008), Risques opérationnels : De la mise en place du dispositif à son audit, Edition revue banque, 271 pages. 7. Coopers & Lybrand (2000), La nouvelle pratique du contrôle interne, Edition d'organisation, 378 pages. 8. IFACI (2005), Le management des risques de l’entreprise, Edition d’Organisation, Paris, 338 pages. 9. IFACI (2006), Guide d’Audit, Cartographie des risques, Groupe Professionnel Assurance, Paris, 70 pages. 10. IFACI (2001), Management des risques, Prise de position professionnelle n° 13 de l’IIA, Paris, 62 pages. 11. IFACI (2003), Guide d’audit : Etude du processus du management et de cartographie des risques, conception, mise en place et évaluation, Paris, 90 pages. 12. Jacques Renard(2002), Ce qui fait débat, Edition maxima, 267pages. 13. Maders Henri Pierre et Masselin Jean Luc (2006), Contrôle interne des risques, 2ème Edition, Edition d’organisation, Paris, 260 pages. 14. Obert Robert et Mairesse Marie-Pierre (2007), Comptabilité et audit, Manuel et applications, Edition Dunod, Paris,569 pages. 15. Olivier Lemant (1995), la conduite d’une mission d’audit interne, 2ème édition, Dunod, Paris, 180pages. 16. Péguignot, Vincent (2007), La gestion du risque : un facteur d’efficacité dans une démarche de contrôle et d’audit interne, Revue Française de l’audit interne, N°185 : 95. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 95 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI 17. Pige Benoit (2001), Audit et contrôle interne, Edition EMS, Paris, 212 pages. 18. Renard Jacques (2010), Théorie et pratique de l’audit interne, Editions d’Organisation, 469pages. 19. Renard Jacques Chaplain (2006), Théorie et pratique de l’audit interne, 6ème édition, Edition d’organisation, Paris,486 pages. 20. Sambe Oumar et Ibra Mamadou (2003), le praticien, Système comptable OHADA, Edition Comptable et Juridiques, Dakar,1055 pages. 21. Schick Pierre et Lemant Olivier (2001), guide de self-audit, 184 items d’évaluation, 2ème édition, Edition d’organisation,Paris, 217 pages. 22. Thierry Colatrella(2004), pénalement responsable : le contrôle interne qui dérange, Éditions d’Organisations, 192pages. 23. TURBA Victoria (2007), Comment échapper aux scandales financiers?,Edition L’HARMATTAN, Paris, 188 pages. 24. Yvon MOUGIN(2004), la cartographie des processus, 2eme édition, Éditions d’Organisation, 331pages. 25. Franck Moreau (2002), Comprendre et gérer les risques, Edition d’Organisation, Paris, 221 pages. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 96 Analyse du processusde gestion pérenne des risques : cas de MOOV-CI WEBOGRAPHIE 26. AFP(2009), Boom de la téléphonie mobile en Afrique, www.jeuneafrique.com/Article/DEPAFP20090622T154446Z/-technologieTélécommunications-revolution-Boom-de-la-telephonie-mobile-en-Afrique-.html. 27. André-Michel Essoungou (2011), www.un.org/fr/africarenewal/vol25no1/africasrising-information-economy.html. 28. Ernst&Young (2012), Top 1O des risques pour le secteur télécoms en 2012, www.ey.com/FR/fr/Industries/Télécommunications/Top-10-des-risques-dans-le- secteur-Télécoms-en-2012. 29. Joss Gillet(2009), Infrastructures technologiques et services TIC en Afrique,www.africaneconomicoutlook.org/fr/indepth/internet_Télécom_ict_africa/technology-infrastructure-and-services-inafrica/box-8-mobile-telephones-in-africa-the-impact-of-the-crisis/. 30. Julien Clemençot(2011), Télécoms : Moov sur la bonne trajectoire, www.jeuneafrique.com/Article/ARTJAJA2649p066-067.xml0/. 31. Lenel Olivier et Nogaret François (2009), 10 réponses sur la cartographie des risques, site : http : www.mazard.fr. 32. UTELLI, Christophe & MERTENAT (2001), les défis et les enjeux du risquemanagement, www.aso- organisation.ch/rdvjuinOl/utellimertenadfisenjeuxfinal. KANTE Saran, MPACG – CESAG, 5ème promotion 2010/2012 Page 97
