MEMOIRE DE FIN D’ETUDES CYCLE NORMAL ELABORATION D’UNE CARTOGRAPHIE DES RISQUES OPERATIONNELS CAS DES CYCLES ACHATS ET VENTE DE SONASID NOM ET PRENOM AFERYADI Hasna ENCADRANT M.BIADE OPTION FINANCE ET COMPTABILITE ANNE UNIVERSITAIRE 2010-2011 MEMOIRE DE FIN D’ETUDES CYCLE NORMAL ELABORATION D’UNE CARTOGRAPHIE DES RISQUES OPERATIONNELS CAS DES CYCLES ACHATS ET VENTE DE SONASID NOM ET PRENOM AFERYADI Hasna ENCADRANT M.BIADE OPTION FINANCE ET COMPTABILITE ANNE UNIVERSITAIRE 2010-2011 2 A MES CHERS PARENTS A MON FRERE ET MA SŒUR MERCI POUR VOTRE CONSTANT AMOUR ET SUPPORT 3 Remerciements : Le présent mémoire, qui constitue le fruit à la fois de mes acquis à l’ISCAE et d’une expérience enrichissante au sein de SONASID, n’a pu être réalisé que grâce à l’aide précieux qui m’a été apportée pour guider ma démarche. Toute ma gratitude, estime et reconnaissance à M.BIADE, pour sa collaboration et ses conseils. Je tiens à remercier M. JEMJAM, responsable du département audit interne et risk management à SONASID pour son encadrement et son assistance. Mes remerciements s’adressent aussi à tout le corps professoral de l’Institut Supérieur de Commerce et d’Administration des Entreprises, pour l’intérêt constant qu’ils n’ont pas cessé de porter à notre formation. Enfin, qu’il me soit permis d’exprimer globalement mes remerciements à toutes celles et tous ceux qui, de près ou de loin, ont manifesté leur appui et ont facilité l’élaboration de ce mémoire. 4 Sommaire : Introduction…………………………………………………………………………. ………6 Généralités……………………………………………………………………………………9 Première partie: Le contexte d’élaboration d’une cartographie des risques opérationnels : Chapitre 1: Présentation du secteur de l’acier………………………………………..14 Chapitre 2 : Présentation de SONASID…………………………………………………17 Chapitre 3 : Le recours à la cartographie des risques opérationnels……………21 Section 1 : Notion du risque………………………………………………………………21 Section 2 : La maîtrise des risques……………………………………………………..23 Section3 : La cartographie des risques opérationnels………………………………28 Deuxième partie : Le canevas d’une cartographie des risques opérationnels : Cas des processus achat et vente de la SONASID Chapitre1 : Processus achat ……………………………………………………………..43 Chapitre 2 : Processus vente……………………………………………………………..51 Chapitre 3 : Recommandations…………………………………………………………..60 Conclusion …………………………………………………………………………………..78 Bibliographie et webographie…………………………………………………………… 79 5 Introduction : Les organisations évoluent au sein d'un environnement toujours plus risqué et incertain. Ce constat s'explique notamment au regard de plusieurs facteurs conjoncturels conséquences (changement des des menaces,...) business et models, structurels aggravation des (renforcement des réglementations en matière de gouvernance, complexification et globalisation des activités,...) qui touchent tous les processus de l’organisation (métier ou support). Le système de contrôle interne de toute entreprise est primordial pour la fiabilité de l’information qui alimente les états de synthèse destinés à tous les partenaires (actionnaires, préteurs, Etat…) en termes de sécurité des traitements et des opérations, fiabilisation des informations et sauvegarde du patrimoine. Evidement, une bonne connaissance du contrôle interne de l’entreprise permet à l’auditeur : - d’identifier les types d’erreurs rendues possibles par les lacunes du système - de mesurer le risque de survenance de ces erreurs. Toute faiblesse dans le système de contrôle d’information et dans les processus de l’activité peut exposer l’entreprise à des risques qui peuvent être ingérables. Ainsi, dans l’entreprise, une gestion des risques complète et systématique a pour effet de réduire le nombre d’incidents indésirables tels que pertes, manque d’efficacité, sinistres et accidents. Les dépenses directes et indirectes ainsi que les diminutions éventuelles de recettes dues à ces incidents se réduisent alors nettement et grèvent beaucoup moins le compte de profits et pertes. Le coût global du risque peut être abaissé à la longue, ce qui permet d’obtenir de meilleurs résultats financiers. 6 Depuis quelques années, les entreprises ont fait de la cartographie des risques un véritable outil global de pilotage et sont devenues les principaux commanditaires de l’exercice, permettant en outre de répondre à des questions réglementaires. L’objectif d’un tel exercice est donc bien d’établir un recensement et une évaluation des risques, en vue de diffuser une information qui met en évidence d’éventuelles faiblesses. Si cette information est nécessaire pour assurer un pilotage de l’activité au regard de critères ou de limites quant à l’acceptation de risques que s’est fixés l’établissement, l’élaboration d’une cartographie peut, selon la complexité de l’organisation et le niveau de précision que l’on veut lui donner, constituer un travail fastidieux et coûteux. Étant donné que SONASID dispose uniquement d’une esquisse des risques opérationnels associés à chaque processus, il est nécessaire d’élaborer une véritable cartographie des risques opérationnels permettant de réduire l’exposition des différents processus aux risques et de protéger les pôles de création de valeur. Dans ce présent mémoire, et toujours dans le cadre de la mise en place d’une cartographie des risques opérationnels, il est nécessaire de cerner préalablement, deux notions capitales à savoir l’audit interne et le contrôle interne. Ainsi, je me propose d’élaborer une cartographie pour les cycles achat et vente, dans la mesure où ces deux activités ont une grande importance au sein de SONASID puisque ils constituent les processus métier, pour cela je vais suivre la démarche suivante : Dans une première étape, après une présentation générale de SONASID, son organisation, son historique et ses orientations stratégiques, on va mettre en lumière l’importance de la maîtrise des risques où on va procéder à la présentation détaillée de la notion du risque et de la maîtrise des risques, pour pouvoir aborder par la suite la notion de la cartographie et sa démarche. 7 Et enfin, dans une deuxième étape, on va procéder à l’élaboration des cartographies des risques pour les cycles achat et vente à SONASID et par la suite émettre certaines recommandations pour améliorer la maîtrise des dits processus. 8 Généralités : Audit interne : Définition : Une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité. Démarche : Phase étude : Cette étape, organisée par le plan d’approche, consiste en une étude complète du sujet et aboutit à trois produits successifs : Le tableau des forces et faiblesses apparentes pour analyser les risques. Ce tableau, constitue l’état des lieux des forces réelles ou potentielles d’une part et des faiblesses c’est à dire les pertes subies et les risques encourus d’autre part. Le rapport d’orientation (liste des objectifs d’audit qui en découlent) Il définit et formalise les axes d’investigations de la mission et ses limites, il les exprime en objectifs à atteindre par l’audit pour le demandeur et les audités. Le programme de vérifications (programme de travail pour les atteindre) Il s’agit de la gamme de fabrication à mettre en œuvre pour atteindre les objectifs du rapport d’orientation. C’est un document interne au service d’audit, destiné à définir, répartir dans l’équipe, planifier et suivre les travaux des auditeurs. 9 Phase vérification : Elle est précisée par une feuille de couverture sur laquelle sont reportés les résultats et les conclusions, le détail apparaissant dans les papiers de travail. Chaque section du travail terrain est clôturée en reportant les dysfonctionnements constatés sur une (ou plusieurs) FRAP (feuille de révélation et d’analyse de problème) Phase conclusion : La phase de conclusion commence par une synthèse dans le service d’audit interne qui aboutit à l’ossature du rapport et facilite le compte rendu final. Elle se poursuit avec le rapport d’audit interne et se termine par l’état des actions et progrès (suivi des recommandations) : acceptation des réponses puis éventuellement suivi pour la mise en place des actions prévues. Contrôle interne : Définition du contrôle interne : Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer : - La conformité aux lois et règlements - L’application des instructions et des orientations fixées par la direction générale ou le directoire - Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs - La fiabilité des informations financières 10 Composantes du dispositif du contrôle interne : - Une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des procédures, des systèmes d’information, des outils et des pratiques appropriés. - La diffusion en interne d’informations pertinentes, fiables dont la connaissance permet à chacun d’exercer ses responsabilités. - Un système visant à recenser et analyser les principaux risques identifiables au regard des objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces risques. - Des activités de contrôle : proportionnées aux enjeux propres de chaque processus et conçues pour réduire les risques susceptibles d’affecter la réalisation des objectifs de la société. - Une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement. Cette surveillance, qui peut utilement s’appuyer sur la fonction d’audit interne de la société lorsqu’elle existe, peut conduire à l’adaptation du dispositif de contrôle interne. Les acteurs du contrôle interne : - Le conseil d’administration ou de surveillance 11 - La direction générale ou le directoire - L’audit interne - Le personnel de la société Limites du contrôle interne : - Les incertitudes du monde extérieur - L’exercice de la faculté de jugement ou de dysfonctionnement pouvant survenir en raison d’une défaillance humaine ou d’une simple erreur - Rapport coût/bénéfice 12 Partie I : Le contexte d’élaboration d’une cartographie des risques opérationnels 13 Partie I : Le contexte d’élaboration d’une cartographie des risques opérationnels : Chapitre1 : Présentation du secteur de l’acier - Marché mondial Production mondiale de l’acier : La production mondiale d’acier brut a atteint en Février 2011, 116568 KT. Elle se répartit de la manière suivante : Source: Fédération Française de l'Acier Consommation mondiale de l’acier De 700 millions de tonnes en 1992, la consommation mondiale d’acier a atteint 1,4 milliard de tonnes en 2010. Cette hausse s’explique par la croissance de la population mondiale, l’élévation du niveau de vie, le besoin croissant d’infrastructures et la recherche continue de l’amélioration de la qualité de vie. Les principales régions consommatrices sont l’Union européenne, les ÉtatsUnis, la Chine, le Japon et la République de Corée qui représentent à elles seules 70 % de la consommation mondiale. 14 Marché marocain : En 2010, le Maroc a consommé environ 1,6 millions de tonnes de barres d’acier, alors que la capacité a atteint plus de 2,5 millions de tonnes par an. Le secteur connaît globalement une croissance annuelle moyenne de l’ordre de 10%. Cette industrie relativement récente n’a pratiquement vu le jour qu’en 1984: date de démarrage de Sonasid, acteur majeur du secteur spécialisé dans la fabrication du rond à béton. Ce retard dans le développement est dû non seulement à l’absence de matières premières au Maroc, mais aussi à la faiblesse des moyens financiers et matériels et à la taille du marché national. A lui seul, le secteur de la construction (immobilier et BTP) absorbe plus de 70% de la production globale d’acier. L’industrie automobile, surtout après l’implantation de l’usine Renault à Tanger, devrait également favoriser le développement de l’industrie sidérurgique au Maroc. Les opérateurs misent également sur d’autres secteurs. Il s’agit notamment de l’industrie du tube, le mobilier métallique, les appareils ménagers et agricoles, qui sont appelés à connaître le même essor. Autre secteur fortement demandeur, la construction mécanique. Une industrie qui produit les structures métalliques, les pièces détachées, les réservoirs, …Le secteur de l’emballage n’est pas en reste, l’industrie du packaging qui produit plus de 500 millions de boîtes métalliques par an ainsi que les produits blancs (réfrigérateurs et appareils ménagers) est à son tour en plein développement. En 2008, la consommation nationale d’acier a pesé plus de 2 millions de tonnes, elle est constituée à 70% par les produits longs et 30% par les produits plats. Pour les produits longs, la consommation locale se situe aujourd’hui à environ 1,5 million de tonnes par an. Selon les prévisions, cette demande devrait atteindre 2,3 millions de tonnes en 2013 et environ 3 millions de tonnes en 2018. Pour les produits plats, la consommation est actuellement estimée à environ 500.000 tonnes. Elle devrait atteindre plus de 800.000 tonnes en 2013 et plus de 1 million de tonnes en 2018, Tenant compte du taux de croissance observé depuis plusieurs années, la consommation globale prévisionnelle de l’acier devrait atteindre quelque 3,4 millions de tonnes en 2013 et environ 4,4 millions en 2018. 15 Au Maroc, le dynamisme que connaît le secteur du BTP a un impact direct sur l’industrie du béton : - Programme de construction des logements sociaux, - Aménagement des zones touristiques, - Construction du port de Tanger, - Projet TGV - Aménagement du mobilier urbain… Actualité du secteur : En 2011, le gouvernement marocain a affiché l’intention de diminuer de moitié les frais d’importations de barres d'acier, pour qu'ils atteignent 2,5%. Cette mesure fait craindre aux producteurs locaux une augmentation nette de l’importation des barres d’acier en 2011. La pression sur les producteurs nationaux montera, alors qu'il y a déjà une capacité de production excessive dans le pays. Par conséquent, une concentration du marché local, dominé actuellement par 6 entreprises pourrait avoir lieu à l'avenir. Cette mesure s’inscrit dans la libéralisation du marché de l'acier au Maroc. 16 Chapitre 2 : Présentation de SONASID 1- Fiche technique : Dénomination sociale : Société nationale de sidérurgie Objet social : L'étude, la mise au point, la réalisation, l'exploitation et la gestion directe ou indirecte des projets sidérurgiques, ainsi que toutes opérations industrielles, commerciales, financières, mobilières et immobilières pouvant avoir une relation quelconque avec les buts de la présente société ou simplement de nature à favoriser son développement. Forme juridique : Société anonyme Siège social : Twin Center -Tour A - 18e Et. Bd Zerktouni Casablanca Capital social : 390000000,00 MAD Secteur d’activité : Bâtiment et matériaux de construction Date d’introduction en bourse: 1996 2- Historique : 1974 : Création de SONASID par l’Etat marocain 1984 : Démarrage de la production du Laminoir de Nador 1991 : Libéralisation des importations 1996 : Introduction de 35% du capital en bourse et démarrage de Longométal Industries à Casablanca 1997 : Cession par l’Etat de 62% du capital de Sonasid à un consortium d’investisseurs institutionnels pilotés par la SNI. 1998 : Acquisition de Longometal Industries 1999 : Acquisition de Longométal Armatures 2000 : Lancement des travaux de réalisation du laminoir de Jorf Lasfar. 2001 : Certification ISO 9002 du site de Nador. 2002 : Démarrage du nouveau laminoir de Jorf Lasfar. 17 2003: - Certification ISO 9001 version 2000. - Signature des principaux marchés relatifs à l’aciérie électrique. 2004 : Certification NM (Normes Marocaines) du rond à béton de Jorf Lasfar. 2005 : - Mise en service de l’aciérie électrique de Jorf Lasfar. - Augmentation de la participation de Sonasid dans le capital de Longometal Armatures à 92%. 2006 : - Rapprochement entre Arcelor et Mittal Steel qui a donné naissance au Groupe Arcelor Mittal, N°1 de l’acier. - Mise en place d’un nouveau marquage conforme à la révision des normes. NM 01.4.096 et NM 01.4.007 pour garantir une traçabilité des produits fabriqués par Sonasid. - Arcelor, SNI et les autres actionnaires de référence ont transféré leurs participations respectives dans le capital de Sonasid à une société holding NSI « Nouvelles Sidérurgies Industrielles ». - SNI, Arcelor et les actionnaires de référence Sonasid (MAMDA-MCMA, Axa Assurances Maroc, RMA-Watanya, CIMR et Attijariwafa bank) ont conclu un partenariat stratégique pour le développement de Sonasid. 2007: - Réalisation du projet CTI du Site Nador. - Publication des comptes en normes IFRS - Conclusion du partenariat Sonasid /Nareva pour la création du parc éolien de 50 MW. 2008 : Renouvellement des certificats NM ISO 9001 Ŕ 2000, NM ISO 140012004 et NM 005 801-2007. 18 3- Organigramme : 4- Chiffres clés : 2009 • Chiffre d’affaires : 5,3 milliards MAD • Sites de production : Nador et Jorf lasfar • Collaborateurs : 900 • Part de marché : 65% • Tonnes vendues : 968 175 • Position sur le marché : leader sidérurgique marocain sur les produits longs destinés au BTP et à l’industrie (rond à béton & fil machine). 5- Orientations stratégiques majeures de SONASID : • Renforcer son avance de compétitivité par les coûts, s’agissant tant de ses approvisionnements que de l’ensemble de ses processus 19 • Poursuivre l’enrichissement de son offre en apportant à ses clients marocains la gamme la plus complète de produits et de services et en facilitant l’introduction de nouvelles techniques de construction au Maroc • Augmenter régulièrement sa capacité de production afin de répondre au dynamisme attendu de ses marchés • Développer continuellement les compétences de ses collaborateurs 20 Chapitre 3 : Le recours à la cartographie des risques : Section1 : Notion du risque : 1- Définition : Selon l’IIA et l’IFACI, le risque est la possibilité que se produise un événement susceptible d’avoir un impact sur la réalisation des objectifs. Ainsi, le risque est un concept signifiant la possibilité que la combinaison d’un événement et d’un mode de fonctionnement empêche l’atteinte d’un objectif. Le risque est également une incertitude, menace ou opportunité (résultant d’une action ou inaction) que l’entreprise doit anticiper, comprendre et gérer pour protéger ses actifs, atteindre ses objectifs dans le cadre de sa stratégie et créer de la valeur. Pour pallier aux risques, les managers prennent des mesures de : - Prévention - Détection - Protection 2- Typologie : La 1ère classification comporte les éléments suivants : Le risque inhérent est celui qui existe sans tenir compte des mécanismes de contrôle et de maîtrise présents dans l’entreprise . Le risque de non contrôle, on le définit comme la probabilité qu’une mesure de contrôle ou un mécanisme de contrôle faille à prévenir ou à détecter une menace présente que l’on veut absolument éviter. Le risque de non détection : c’est la probabilité qu’une mauvaise conclusion soit tirée des résultats de travaux d’audit interne ou d’autres analyses effectuées par des personnes habilitées. Le risque résiduel, c’est le risque qui subsiste après l’application des techniques de maîtrise des risques 2ème classification : Selon l'activité, on distingue le risque économique et financier, le risque social, le risque environnemental, le risque opérationnel. 21 Risque opérationnel est le risque de perte résultant : de l’inadaptation ou de la défaillance de procédures, personnes, - systèmes internes, ou résultant d’événements externes (catastrophe, incendie, agressions, changement de lois ou de réglementations, etc.), - à l’exclusion du risque de réputation et du risque stratégique. On distingue deux catégories du risque opérationnel : les risques endogènes et risques exogènes. Les premiers sont internes à l’établissement et comprennent les risques humains (erreurs d’opérateur de saisie par exemple), inhérents au processus (cas ou il n’y a pas de mécanisme de gestion de crise dans le processus) ou inhérents au système lui-même (cas de système d’information indisponible pendant un jour par exemple). Les seconds sont externes à l’activité (incendie dans les locaux, inondation des salles serveurs…) Le risque économique et financier : il englobe les risques qui menacent les flux liés au titre financier et relèvent du monde économique ou réel (risques politiques, naturels, d'inflation et d'escroquerie...). Le risque social : c'est l'ensemble des facteurs internes ou externes à l'entreprise d'origine humaine, sociale, économique, législative, politique, liés à la communication de l'entreprise ou des médias susceptibles d'affecter temporairement, durablement, voire définitivement le fonctionnement de l'entreprise concernée. Le risque environnemental : c'est l'ensemble des facteurs internes et externes liés à l'environnement dans lequel fonctionne l'entreprise et susceptibles d'empêcher l'atteinte de ses objectifs. 22 Section 2 : la maîtrise des risques 1- Définition : La maîtrise des risques est l’ensemble des initiatives souhaitables qu’une entreprise devrait adopter pour faire face aux principaux risques inhérents à ses activités. En d’autres termes, maîtriser les risques c’est prendre les initiatives pour éviter les ennuis et pour ne pas manquer les opportunités. C’est une démarche managériale qui existe souvent mais de manière non globale et non structurée. Sa possession procure un avantage compétitif majeur puisqu’elle permet une meilleure : -Efficacité dans l’atteinte des objectifs -Sécurité dans la protection des actifs -Transparence vis-à-vis des parties prenantes. 2- La valeur de la maîtrise des risques : L’aspect organique La maîtrise des risques est bénéfique à l’organisation puisqu’elle permet de ne maintenir que les dispositifs efficaces. La maîtrise des risques est plus susceptible de couvrir l’ensemble des préoccupations des gestionnaires puisqu’elle fonde son analyse sur les risques plutôt que de repérer et d’analyser les mécanismes de contrôle. Ainsi, la maîtrise des risques permettra de préciser les risques et d’évaluer les moyens qu’empruntent les gestionnaires pour atténuer ceux-ci. En d’autres termes, la maîtrise des risques va permettre de valoriser tout dispositif de contrôle interne adopté et ne sera retenu que le dispositif permettant : - La fiabilisation : elle est atteinte, en adoptant une approche systématique des bonnes pratiques face aux risques identifiés de survenance d’ennuis. - La stimulation : ceci en systématisant les bonnes initiatives face aux risques identifiés de ratage d’opportunité 23 - La simplification : la maîtrise des risques permettra de ne maintenir que les dispositifs utiles et de ce fait, éliminer les contrôles bureautiques ou autres non légitimés par un risque quelconque. - La délégation : en maîtrisant les risques et en adoptant des contrôles internes adéquats, le top management pourra déléguer sans risque les responsabilités. - La transparence : un dispositif de contrôle interne basé sur la maîtrise des risques permet de mieux assurer les actionnaires et les mettre en confiance. L’aspect économique La maîtrise des risques confère un avantage concurrentiel majeur. En effet, en réduisant les coûts évitables futurs, la maîtrise des risques permet de restreindre les coûts liés aux risques inhérents de majoration de coûts normaux prévus ou de minoration de gains normaux prévus. Ainsi, la maîtrise des risques se veut un outil quantitatif de mesure de la valeur économique et permettra à l’ingénierie de maîtrise (assistance à la maîtrise des risques) et à l’ingénierie de fonctionnement (direction générale, stratégie et développement) d’apprécier l’efficacité économique à partir du niveau des coûts liés aux risques futurs. L’aspect financier L’aspect financier de la maîtrise des risques consiste en la mise en place et en une surveillance des principes d’indemnisation financière, sur les risques difficilement maîtrisables, mais assurables. A ce titre, il incombe au directeur financier de gérer ces différents risques, soit de les transférer (cas assurances) ou de les traiter (cas instruments financiers : option, swap). 3- Frontière de la maîtrise des risques au sein du management global des risques La maîtrise des risques s’inscrit dans le cadre de la gestion des risques qui vise à identifier les risques à l’échelle de l’entreprise, à mesurer financièrement l’ensemble des risques, à prendre en compte cette mesure du risque dans 24 l’appréciation des performances des activités et à mettre en place des processus de suivi des risques intégrés à la gestion des opérations. Ceci nécessite au préalable, la mise en place d’une architecture de gestion globale des risques afin de doter l’entreprise de moyens nécessaires pour réussir l’intégration de la gestion des risques dans les processus de la gestion opérationnelle et stratégique de l’entreprise. A défaut de ce dispositif, les risques ne peuvent être analysés, divulgués, comparés et gérés d’une manière cohérente et efficace à tous les niveaux de l’organisation considérée dans son ensemble. Les principaux éléments d’un dispositif de management des risques sont : - Des politiques et des directives claires et cohérentes en matière de management des risques. - Des moyens adaptés à la diffusion d’information sur les risques et à leur analyse - Une définition claire des responsabilités et des pouvoirs en matière de gestion des risques, et leurs attributions à des personnes clés. - Des procédures et des programmes de gestion des risques adéquats un dispositif adéquat de suivi et de revue des processus de management des risques (audit) permettant notamment de tirer en permanence les enseignements de l’expérience acquise au sein de l’entreprise. La maîtrise des risques est l’un des trois thèmes du management global des risques qui sont : l’économie des risques (RISK ECONOMICS), la maîtrise des risque elle même, et le financement du risque (RISK FINANCING). L’économie des risques intervient lors de la prise de décision sur les choix des investissements et projets arrêtés par l’entreprise, avec l’assistance de la direction de la stratégie, l’économie des risques a pour objet de traiter les aspects stratégiques de l’entreprise ainsi que les nouvelles orientations. Le support est assuré par la direction de la stratégie et l’objectif étant d’évaluer le couple (risque / opportunité). Une fois les décisions prises, la maîtrise des risques intervient pour veiller à ce que les objectifs tracés initialement (lors de la prise de décision) soient atteints. L’objectif est, à cet effet, d’évaluer les risques susceptibles d’entraver la réalisation des objectifs et d’élaborer les plans d’action. 25 Le support de la maîtrise des risques est assuré par la direction business control ou contrôle général. Le financement du risque par contre, se situe directement après la maîtrise des risques puisqu’il tâchera de gérer tout risque jugé non maîtrisable (difficile). Ainsi, le financement des risques pourra faire l’objet d’un transfert du risque (Sous-traitance) ou un financement pur moyennant un contrat d’assurance ou une provision pour risque, le support du financement du risque est assuré par la direction financière. 4- le sens de la démarche de la maîtrise des risques Tout dirigeant désireux de structurer la maîtrise des risques se pose les questions suivantes : comment initier la démarche ? Où commencer ? La mise en place de la maîtrise des risques s’appuie en premier lieu sur la définition du risque. Sur la base de cette définition, les risques seront dans un premier temps identifiés, analysés, évalués, de manière subjective par les managers de l’entreprise en faisant appel aux quatre notions suivantes : objectifs, risques, contrôle et alignement. Les objectifs Dans la mesure où les risques sont définis comme des éléments pouvant avoir un impact sur la capacité de l’entreprise à réaliser ses objectifs, il est important de commencer par répertorier les objectifs qui concernent l’ensemble soumis à l’examen : l’entreprise dans sa globalité, la fonction, l’unité opérationnelle ou le processus .ils sont ensuite comparés à ceux du niveau inférieur ou supérieur, et ainsi de suite selon une approche pyramidale. Cette première étape permet notamment de s’interroger sur la cohérence effective entre les objectifs des différents niveaux de l’organisation et de mettre en évidence le cas échéant les risques liés à une situation d’incohérence, de flou dans la définition ou d’incompréhension des objectifs. Les risques Les risques sont ensuite identifiés sur la base des objectifs répertoriés lors de la phase précédente. Il est procédé ainsi pour chaque niveau d’organisation de l’entreprise, en partant du niveau le plus global sans pour autant atteindre les sous processus élémentaires au risque d’alourdir le processus d’identification 26 des risques, après synthèse et mise en cohérence, les risques sont évalués puis hiérarchisés en considèrent leurs probabilités d’occurrence et leurs conséquences potentielles. Le contrôle La notion de contrôle recouvre d’une part les réponses apportées par le management pour gérer le risque et d’autre part le dispositif de contrôle donnant l’assurance au management que ces réponses sont effectives, les réponses aux risques comprennent les dispositifs de prévention, de protection et de transfert du risque sur autrui ou l’acceptation pure et simple du risque. L’alignement Il convient enfin de s’assurer de la cohérence entre objectifs, risques et contrôles à un niveau donné ou d’un niveau à l’autre de l’organisation ou encore entre unités comparables de l’entreprise. En effet, une approche globale des risques implique toutes les activités et tous les niveaux de l’organisation dans l’entreprise. Pour éviter les zones non couvertes et les redondances dans le dispositif global d’identification et d’évaluation des risques, il faut s’assurer que chaque activité et chaque niveau de l’organisation agissent dans le même sens. Tous les éléments nécessaires au diagnostic d’ensemble sont alors réunis et il s’ensuit, le cas échéant, un plan d’action pour améliorer la situation. Le processus de la maîtrise des risques suppose un dispositif de maîtrise des risques global et construit sur la base d’éléments structurés et adaptés au contexte de l’entreprise. Il s’agit d’établir un cadre, de recenser les processus, d’identifier les risques, les évaluer, les hiérarchiser (cartographie des risques) et de traiter ces dits risques. Ce processus est continuellement amélioré, il permet de faire évoluer la cartographie des risques (identification …hiérarchisation) préétablie et de faire passer les risques d’une zone de criticité à une zone de couverture. Aussi, il s’agit d’effectuer des revues d’audit interne pour évaluer le dispositif de maîtrise des risques selon la figure ci-dessous : 27 Section 3 : Cartographie des risques opérationnels 1- Définition : La cartographie des risques consiste à recenser, évaluer et analyser à l’aide de techniques de représentation, les risques pesant sur une organisation. Elle constitue une référence qui permet à l’entreprise d’élaborer sa stratégie de gestion globale des risques. L’exploitation des résultats lui permet de se fixer des objectifs de réduction des risques, puis de définir, mettre en œuvre et assurer le suivi des moyens nécessaire à ces objectifs (protection, prévention, transfert financier du risque, etc.) Elle aide également à déterminer les axes de communication interne et externe relative à la gestion des risques. La cartographie des risques est également, un outil de référence dans le domaine du management des risques ayant comme objectifs généraux d’anticiper, évaluer, visualiser, agir ; et contribue à : - Améliorer la robustesse de la stratégie et de l’image durable de la société 28 - Optimiser le potentiel technique, financier et humain consacré à la maîtrise des risques - Réduire les vulnérabilités en identifiant et anticipant les risques majeurs et en évaluant leur niveau de traitement. - Contribuer à identifier les compétences, les fonctions et les processus critiques - Exploiter les opportunités (processus, produits.) 2- Objectifs : La cartographie des risques opérationnels doit permettre de : - Évaluer périodiquement les risques portés par les processus au sein des métiers, - Établir une synthèse dégageant les risques majeurs et/ou les processus les plus sensibles, - Surveiller les processus sensibles à l’aide d’indicateurs - Orienter les décisions sur le plan d’actions d’amélioration de la maîtrise des risques, 3- Utilisateurs : Direction générale Connaissance de l’exposition aux risques opérationnels Pilotage et décisions stratégiques, suivi des plans d’action majeurs Comparaison des profils de risque des activités Les responsables départements des différents Mise en évidence des principaux risques Analyse des risques opérationnels et évaluation des contrôles Mise en œuvre et suivi de plans d’actions correctrices L’audit interne Vérification de la fiabilité et de l’exhaustivité des évaluations de profils de risques 29 Priorisation des missions d’audit sur les entités les plus exposées Les actionnaires Information sur le profil de risque 4- Approches : Pour la conception de la cartographie des risques, nous pouvons utiliser quatre approches : • L'Approche Bottom-up Cette approche, dite ascendante consiste en l'identification des risques par les opérations qui sont les plus impliquées dans les processus. Ces risques sont ensuite soumis à la hiérarchie (audit ou risk management) dont le rôle est de déterminer l'importance et la politique de maîtrise de chacun des risques. Pour MARESCHAL, il s'agit donc d'effectuer une remontée des risques du terrain vers les personnes en charge de l'élaboration de la cartographie. • L'Approche Top-down L'Approche Top-down ou descendante, comme son nom l'indique, procède de haut en bas ; elle se présente comme l'inverse de la première. C'est la hiérarchie (auditeur ou risk manager) qui détecte les risques et les soumet pour avis aux collaborateurs opérationnels. • L'Approche combinée C'est la méthode qui combine les approches Bottom-up et Top-down ; selon cette approche, l'identification des risques est faite parallèlement par la hiérarchie et les opérationnels ; l'ensemble des risques répertoriés est soumis ensuite à la direction. • L'Approche par le benchmarking C'est une approche qui consiste à mener une campagne de collecte des meilleures pratiques en matière d'identification et de gestion des risques. Elle permet à l'audit interne d'avoir une idée générale des risques à prendre en compte. 30 5- Démarche: 1- Définir un cadre de référence Avant toute mise en place d’une cartographie des risques, il convient de définir la stratégie et les attentes de l’opération de cartographie proprement dite, notamment le périmètre à l’intérieur duquel les risques doivent être analysés et la profondeur de l’analyse. Ainsi, on débute par : - Définir le contexte de la cartographie - Déterminer les objectifs pris en considération pour la cartographie - L’horizon temporel retenu pour la cartographie - Les parties prenantes prises en considération afin de prendre en compte leurs objectifs et leurs perceptions des risques - les limites à l’exhaustivité du recensement des risques. Si l’un des éléments du contexte évolue (par exemple, révision de certains objectifs, réorganisation, fusion, acquisition, nouvelle partie prenante), les éléments de la cartographie doivent être révisés en effectuant une revue des choix faits lors de cette étape. 2- Définition des processus : Dans tout entreprise, on distingue trois types de processus à savoir : les processus de réalisation, les processus support et les processus de pilotage. Puisque le projet consiste à élaborer une cartographie des risques opérationnels donc nous allons nous focaliser sur les processus de réalisation. Les processus de réalisation se définissent comme suit : les activités qu’une entreprise doit mettre en œuvre pour transformer la demande de ses clients en produits ou prestations qui satisfont cette demande. Ainsi, l’identification d’un processus consiste à repérer et à cerner les différentes chaînes d’activités qui caractérisent le fonctionnement de l’entreprise et qui contribuent à un objectif commun. Le principal enjeu de cette phase est donc de disposer de processus décrits avec un niveau de granularité permettant de mettre en évidence les éventuelles zones de risque et de conduire l’analyse de ces risques. Cette étape pourra être menée sous la forme : 31 - d’une revue de la documentation interne éventuellement déjà existante telle que des organigrammes, des descriptions de processus, des rapports d’inspection... - d’entretiens avec les responsables de services opérationnels et avec les collaborateurs concernés. - d’ateliers de travail. 3- Recensement des risques inhérents Avant que les risques puissent être contrôlés, ils doivent être identifiés ; pour cela, nous devons lister tous les risques susceptibles d'affecter la réalisation des objectifs fixés. Cette liste sera plus ou moins détaillée en fonction de la cartographie que nous voudrons dresser. Il sera important que les événements de risque soient décrits de façon factuelle et que leurs causes et conséquences soient analysées afin de permettre l’identification des impacts (financiers, de réputation...) en fonction des conséquences et par suite l’élaboration des plans d’actions à mettre en œuvre en fonction des causes. Dès lors, chaque événement de risque doit pouvoir être rattaché à une cause de dysfonctionnement. Plusieurs méthodes permettent d'identifier les risques : • L'identification basée sur l'atteinte des objectifs Selon ALEXANDRE, il s'agit d'identifier d'abord les objectifs de l'activité ou de l'entreprise pour ensuite leur affecter la menace correspondante. • L'identification par l'analyse historique Elle consiste à remonter les risques qui ont menacé l'entreprise dans le passé et d'en tenir compte lors de la mise à jour ou de la conception de la cartographie des risques. • L'identification par l'analyse de l'environnement Selon Mc NAMEE, c'est une méthode dans laquelle la détermination des risques se fait en fonction des variétés que peut subir l'environnement dans lequel se trouve l'entreprise. • L'identification par les tâches élémentaires Selon Jacques RENARD, c'est la méthode que l'auditeur utilise pour construire son questionnaire de contrôle interne. Il s'agit de se poser la question suivante 32 « Que se passerait-il si une tâche est mal effectuée ou n'était pas effectuée du tout ? «. • L'identification par processus ou fonctions Elle consiste d'abord à identifier les différentes fonctions de l'entreprise, puis affecter à chacune les risques correspondants. Pour identifier les risques, le recueil des avis des personnes suivantes est indispensable : • top management • opérationnels et techniciens • experts et risk managers • auditeurs internes De plus, l’identification des risques est d’abord un travail de brainstorming qui se base sur : • Prise en compte des mesures prises par l’organisation pour maîtriser les risques • Contrôle interne • Plans d’actions • Couverture d’assurances • Plans de crise… 4- Définition des critères d’évaluation des risques : L’évaluation des risques nécessite la définition d’un barème qui permet d’objectiver et d’homogénéiser l’appréciation qui en est faite. Seule la définition d’une échelle commune à l’ensemble des directions pourra permettre d’obtenir des résultats cohérents et exploitables. Dès lors, l’évaluation des risques peut être effectuée selon une notation chiffrée pour laquelle il conviendra de fixer les règles. L’observation des pratiques dans ce domaine permet d’identifier les critères suivants : 33 situations de risque. C’est le concept de risque brut. la capacité de l’entreprise à identifier et à réagir face aux évènements de risques. C’est la notion de dispositif de maîtrise des risques. : c’est la probabilité d’apparition des situations de risque. Il s’agit du concept de fréquence des événements. Pour établir cette probabilité il convient de recenser les incidents intervenus sur la période et de constituer une base d’historiques qui interviendra dans le processus décisionnel. Les critères retenus sont l’impact potentiel des conséquences et de la probabilité d’occurrence de ces risques. Cette évaluation peut être menée avec l’aide d’experts, par le recours à des bases de données externes, ou par la définition de scénarios pour lesquels l’impact financier du risque devra être évalué de la manière la plus précise possible. Lorsque on ne dispose pas de données statistiques suffisantes pour réaliser une évaluation précisément chiffrée, une méthode consiste à disposer d’intervalles permettant de coter les événements de risques afin de les hiérarchiser, du risque le plus fort au risque le plus faible. Cette méthode aura l’avantage de visualiser les éléments de risques et les processus majeurs, au regard des risques potentiels qu’ils pourraient générer (sans tenir compte des dispositifs de contrôle interne déjà en place). Critères de quantification de la probabilité d’occurrence : Evénement attendu dans la plupart des cas > 90% Très probable 5 Evénement probable dans la plupart des cas 50-90% probable 4 Evénement devant se produire 30-50% Possible 3 34 Evénement risquant de se produire à un moment donné 10-30% Peu Probable 2 Evénement risquant de se produire uniquement dans des cas exceptionnels < 10% Très improbable 1 Critères de quantification de l’impact : Insignifiant 1 Faible 2 Moyen 3 Elevé 4 Critique 5 35 Récapitulatif de la démarche de la cartographie des risques opérationnels : La réussite d'élaboration d'une cartographie des risques nécessite le respect d'un certain nombre de conditions : L'implication active de la Direction Générale : Elle se traduit par la décision de la Direction Générale d'élaborer une cartographie des risques, son implication dans cette élaboration donne de l'importance et sensibilise les personnes concernées par l'identification des risques. La définition explicite des objectifs : Les objectifs d'élaboration d'une cartographie des risques doivent être précisés et communiqués aux personnes impliquées afin qu'elles comprennent «pourquoi« on élabore cette cartographie. 36 La désignation d'un responsable : Ce dernier aura la charge d'orienter la démarche de réalisation de la cartographie selon les objectifs définis, dont la réussite dépendra de sa compétence, et de soumettre à la Direction Générale les risques répertoriés. La mise en place des moyens d'action : La cartographie des risques reste un projet qui nécessite des moyens humains, financiers et matériels. La constitution d'un groupe de travail : Ce groupe doit comporter, en plus de responsables et auditeurs, des opérationnels compétents capables de ressortir aisément les risques liés à leurs activités. Il est garant de la qualité de la cartographie. Ainsi, SONASID devrait dresser la liste de ses risques pour être en mesure de mettre en place une gestion efficace des risques. Pour y faire, on a recours à une cartographie qui va présenter les risques selon leur degré d’importance. 37 Partie II : Le canevas d’une cartographie des risques opérationnels Cas des processus achat et vente de SONASID 38 Partie II : Le canevas d’une cartographie des risques opérationnels : Cas des processus achat et vente de la SONASID Pour se développer sur leurs marchés, les entreprises doivent constamment améliorer la maitrise de leurs risques et leur efficacité opérationnelle. Parallèlement, elles sont soumises à des obligations réglementaires accrues en matière de contrôle interne (Sarbanes-Oxley ActSOA, loi de sécurité financière-LSF, …). Dés lors, il leur faut la mise en place ou l’amélioration de leur dispositif de gestion des risques et d’audit interne. Cela nécessite souvent le déploiement de ressources et de moyens importants. Les fonctions de Risk management et d’audit interne sont sollicitées avec une intensité accrue et doivent parfois complètement redéfinir leur rôle. Certes que SONASID qui opère dans le secteur sidérurgique ne va pas faire l’exception. En effet, plusieurs facteurs tels que le contexte concurrentiel qui nécessite une maitrise des coûts et une gestion efficace de risque, la réglementation internationale devenue de plus en plus sévère, ainsi que la difficulté et la complexité des procédures et de processus font du recours à une cartographie des risques une urgence immédiate. Dans ce contexte, notre exercice portera sur l’élaboration d’une cartographie des risques opérationnels des processus achat et vente de cette aciérie en vue de mettre en exergue ses zones de faiblesses.. La méthodologie suivie est détaillée comme suit : - Élaborer une grille de questionnement Cette grille sert de support à l’entretien qui sera réalisé avec chaque responsable. Elle est transmise préalablement à chaque responsable afin de lui permettre de préparer, s’il le souhaite, l’entretien qui sera mené. Un prototype de la grille sera testé sur 2 ou 3 entretiens, pour en tester la robustesse. - Arrêter la liste des responsables à interviewer 39 La liste découle de la 1ère étape d’identification des processus et de leur responsable. Des choix peuvent être faits en fonction du nombre de personnes incluses dans le panel (30, maxi 40). Le nombre de quarante constitue un maximum compte tenu du délai de réalisation et des moyens mobilisés. La direction générale de SONASID est bien entendu incluse dans le panel, même si ses membres ne sont pas identifiés comme directement responsables d’un processus. - Définir un plan de communication : Préparer des supports et formats de communication en direction des responsables de l’entreprise qui seront interviewés et de l’encadrement en général (sur les finalités, la démarche, les résultats…) - Réunion de « lancement » de la démarche réunissant les responsables qui seront interviewés, pour expliquer la démarche, les objectifs, la méthode, l’exploitation, les concepts, les outils. - Entretiens Avec chaque responsable de processus inclus dans la liste et sur la base de la grille de questionnement qui lui aura été diffusée 2 semaines avant l’entretien, on peut : - Identifier les processus dont il est responsable - Identifier les grands objectifs des processus - Identifier les facteurs de risques pouvant empêcher l’atteinte des objectifs - Evaluer et coter les impacts des risques - Evaluer et coter la fréquence des risques - Evaluer le degré de maîtrise des risques - Elargir le périmètre en interrogeant chaque responsable sur sa perception des 5 ou 10 risques majeurs de SONASID, indépendamment de son propre domaine. - Agrégation des résultats individuels Exploitation quantitative des résultats, premiers constats et classements - Restitution à l’ensemble des responsables interviewés Ateliers de hiérarchisation des risques pour aboutir au classement des principaux risques 40 Information/sensibilisation à la gestion des risques des responsables concernés (choix de gestion des risques, différentes actions de maîtrise envisageables, prévention/détection/protection…) - Mise en forme et validation de la cartographie Après hiérarchisation des risques identifiés, mise en forme de la cartographie et validation par la direction : identification des risques devant faire l’objet d’un plan d’action - Perspectives de pérennisation de la démarche Déterminer les modalités et moyens de mise à jour périodique de la cartographie des risques opérationnels, afin d’en faire un outil dynamique de pilotage de SONASID et de l’inscrire dans la durée (pérennisation de la démarche) Mise en place d’une « base incidents » permettant de recueillir des informations sur l’occurrence des risques identifiés (ou d’une façon plus large, des anomalies ou dysfonctionnements) afin de disposer d’éléments quantitatifs permettant de déterminer de façon plus objective la probabilité des risques.=> nouveau projet à mettre en place. Cadre de référence : Après avoir constaté que SONASID ne dispose pas d’une véritable cartographie des risques opérationnels pour chaque processus, j’ai trouvé opportun de suivre cette démarche et j’ai choisi d’établir une cartographie pour les cycles achat et vente puisqu’ils constituent les activités créatrices de valeur ajoutée d’une part et présentent des risques imminents d’autre part. L’objectif général étant de promouvoir la démarche de la maîtrise des risques et permettre aux auditeurs internes d’évaluer et d’enrichir le processus de maîtrise des risques. En effet, pour ce qui est des cycles achat et vente, la mise en place d’une cartographie des risques permettra d’avoir un référentiel exhaustif des risques 41 des deux processus, et d’améliorer l’efficacité des opérations d’audit concernant ce volet, au sein de SONASID. Pour la réalisation de ces deux cartographies, l’approche suivie est l’approche top-down par laquelle l’auditeur interne recense les risques et les soumet aux opérationnels pour les évaluer. 42 Chapitre1 : Processus achat L’approvisionnement de SONASID en matières premières (produits semi-finis en réalité) concerne essentiellement les billettes et la ferraille nécessaires à la fabrication de ronds à béton et de fils machines. L’approvisionnement en matières et pièces est sous la responsabilité du directeur des achats. En effet, lorsque les fiches de stock font apparaître un stock minimum, le chef magasinier établit une demande d’approvisionnement. Celle-ci est transmise au Directeur technique pour visa avant d’être adressée à l’acheteur. L’acheteur établit, en le signant, un bon de commande numéroté en 4 exemplaires indiquant: le nom, adresse et numéro de référence du fournisseur la qualité et référence de l’article commandé De ces 4 exemplaires : le 1er est expédié au fournisseur, le 2ème est adressé au service comptabilité où il sera classé en l’attente de la facture, le 3ème est envoyé au service «réception de marchandises» où il sera classé alphabétiquement, par fournisseur en attente de l’arrivée des marchandises. le 4ème est conservé La réception des marchandises se déroule comme suit : Prenons l’exemple de la ferraille achetée localement. Celle-ci doit être livrée par camions vidant équipés de bennes, le déchargement sera à la charge du fournisseur qui supportera la responsabilité des dommages éventuels causés au personnel et aux installations de la SONASID ainsi qu’au tiers, du fait des opérations de déchargement. Le poids de chaque chargement sera établi sur le pont à bascule de la SONASID en effectuant systématiquement les opérations suivantes : - Enregistrement du poids brut (camion+marchandise) à l’arrivée du véhicule - Enregistrement de la tare du véhicule après déchargement 43 - Calcul du poids net par déduction de la tare au poids brut Un contrôle qualité est effectué à la réception des ferrailles par les agents de la SONASID. Dans l’éventualité ou le défaut de conformité serait constaté après un déchargement partiel ou total du lot, le fournisseur aura la possibilité de procéder au rechargement de la dite marchandise. La signature du bon de réception par le chef réceptionnaire, représente la garantie que l’ensemble des contrôles ont été effectués. Une fois, complétés, les bons de réception sont affectés de la manière suivante : - le 1er exemplaire est envoyé au responsable des stocks avec la marchandise. Il permet à celui-ci de mettre à jour la fiche de stock. Après cette opération le bon est classé numériquement. - Le 2ème exemplaire est envoyé au service comptabilité. Le 3ème exemplaire et dernier exemplaire est conservé, en cas de litige ou contrôle éventuel. Les entrées ou sorties de marchandises ne peuvent être faites que sur la base de bons dûment approuvés. Des inventaires tournants sont faits dans l’année, accompagnés d’un inventaire physique annuel. Pour les achats divers ne concernant pas la fabrication: Le département intéressé établit une demande sur l’autorisation du chef de la section qu’il transmet au service achat. Ce dernier, examine la demande et remplit un bon de commande. Une fois la facture est reçue, un certain nombre de contrôles doivent être effectués. La première phase de ces contrôles consiste à ressortir le bon de commande et le bon de réception correspondant pour comparaison avec la facture. La personne chargée de cette vérification va s’assurer que l’achat a été autorisé, la réception conforme et qu’il y a similarité entre prix facturé et prix commandé. Cette personne va ensuite s’assurer de la correction des différents calculs (multiplications, additions, TVA). Elle va enfin parapher cette facture. Lorsqu’il 44 y a des doubles de la copie un tampon y est apposé pour les distinguer de l’originale. A leur échéance, les factures sont ressorties par la section fournisseurs et elles sont transmises au service règlement qui procède à un rapprochement du fond de dossier (facture, bon de commande, bon de livraison) avant l’émission du chèque. Une fois le chèque émis, il est envoyé respectivement auprès du Directeur Financier et du Vice président pour visa avant qu’il ne soit envoyé au fournisseur. Une mention « payé » est apposé sur les factures pour éviter le double paiement. 1- Définition du processus achat : Le processus achat peur être découpé en sous processus suivants : Sous processus Finalité Expression du besoin/ initiation de l’acte d’achat Pertinence de la demande : L’achat correspond à un besoin réel de l’entreprise. Le besoin (DA) correspond à un budget ou à une autorisation de dépense. Ce besoin est validé par une personne autorisée. Spécification (précise et complète) de la demande : L’expression technique du besoin est correctement formalisée (conforme aux exigences requises par le secteur) Toutes les solutions internes ont été recherchées avant d’exécuter l’achat - Pertinence du système d’information fournisseurs - Qualité des procédures de consultation des fournisseurs, d'AO et de négociation - Respect du principe de mise en concurrence loyale (garanti notamment par la non connaissance des offres et la négociation équitable) - Respect des procédures de consultation, d'AO et de négociation Les critères de choix des fournisseurs sont Spécification du besoin Recherche de solution interne Connaissance du ou des marchés Pré sélection des fournisseurs Choix du fournisseur 45 Décision d’engagement Commandes, Contrats et avenants Suivi des commandes en cours Contrôle des livraisons Mise à disposition des marchandises Réception des factures Règlement fournisseurs 2- pertinents, clairement définis et respectés L’engagement est autorisé, les commandes existent, sont complètes et correctement autorisées Les commandes en cours font l’objet d’un suivi adéquat Le contrôle des livraisons ou de la prestation est correctement effectué (conformité avec la commande) La rapidité de la mise à disposition des marchandises Qualité de la procédure de réception des factures Régularité du paiement des factures Identification des risques : Risque 1 : Demandes d'achats non-autorisées : Si les personnes autorisées à valider les demandes d’achat ne sont pas préalablement désignées, ce risque devient très possible. Risque 2 : Expression du besoin mal formulée : Lorsqu’un service a un besoin, il doit le spécifier d’un point de vue technique et le décrire de la manière la plus précise possible pour éviter l’achat de biens ou de services dont l’entreprise n’a pas besoin. Risque 3 : Risque de fournisseurs potentiels non consultés : Normalement à SONASID, la consultation des fournisseurs se fait sur la base des offres des fournisseurs, mais il existe un risque qu’un fournisseur potentiel n’est pas consulté et perdre ainsi la possibilité de bénéficier d’un coût moindre ou d’une qualité meilleure. Risque 4 : Risque juridique sur contrats : SONASID s’approvisionne beaucoup à l’international de ce fait elle doit connaitre la législation de ces pays et vérifier qu'il n'existe pas une réglementation supranationale à laquelle le fournisseur étranger adhère 46 d'office de par son appartenance à une communauté économique internationale. SONASID se prémunit contre ces risques via une assurance mais c’est difficile et ce risque peut survenir donc SONASID doit toujours être attentive à ce risque qui peut lui être fatal. Risque5 : Non-conformité DA et BC : Lorsqu’on passe de la demande d’achat qui matérialise le besoin d’achat validé au bon de commande on peut se tromper sur les termes de la commande (quantité, prix…). Risque 6 : Commandes d'achat non-livrées : Le bon de commande est envoyé, mais l’entreprise attend toujours la livraison. Un tel risque ne pourra que provoquer des problèmes commerciaux avec les clients qui à leur tour attendent leurs marchandises, l’entreprise encourt le risque de perdre le client voire mettre en péril la continuité d’exploitation de l’entreprise. Risque 7 : Omission d'entrée en stock : Lorsque le responsable reçoit la marchandise, il autorise son entrée en stock après plusieurs vérifications, avec le processus qui est informatisé ce risque se présente de moins en moins mais il reste envisageable. Risque 8 : Factures fournisseurs non-justifiées : Une facture fournisseur doit être attachée au bon de réception lui correspondant sinon elle n’est pas justifiée et cela ne permet pas d’identifier les livraisons non encore facturées. Risque 9 : Factures non-réglées : La facture est reçue, elle est comptabilisée mais si elle n’est pas transmise au service règlement ce risque se présente et peut créer des problèmes avec les fournisseurs. Risque 10 : Paiements fournisseurs sans pièce justificative (facture fournisseur) correspondante : Si le responsable de recouvrement ne classe pas les factures avec leurs paiements, ce risque peut se présenter ce qui va rendre difficile le contrôle des factures non payées. 47 3- Evaluation des risques : Pour évaluer les risques, il existe deux approches : Approche statistique: Elle consiste à collecter les pertes opérationnelles de l’entité par type de risque, éventuellement à partir d’un seuil prédéfini, puis créer une distribution de fréquences et d’impacts par couple [type de risques/ligne métier] Applicable aux évènements récurrents, Inopérante pour les évènements rares, Approche faisant l’hypothèse implicite que le passé permet d’expliquer l’avenir Fortement pénalisante en cas de survenance d’un évènement majeur, Ne tient pas compte de l’amélioration des dispositifs de maitrise des risques, Approche d’expert: - Obtenir une estimation d’expert de la fréquence moyenne devenant le paramètre de la distribution de fréquences - Obtenir une estimation de l’impact d’un évènement unitaire dans les cas typique (impact le plus courant) et extrême afin d’évaluer les paramètres des distributions d’impacts C’est l’approche adoptée par SONASID un panel d’experts est constitué des responsables suivants : o Directeur des achats o Responsable de trésorerie (règlement) o Responsable des livraisons o Responsable des stocks o Responsable du système d’information L’évaluation des différents risques a donné lieu aux résultats suivants : 48 Risque Cotation Classemen t Impact Probabilité Demandes d'achats non-autorisées 3) moyen 2) peu probable 6 3 Expression du besoin mal formulée 3) moyen 3) possible 9 1 Risque de fournisseurs potentiels non consultés 2) faible 2) peu probable 4 4 Risque juridique sur contrats 4) élevé 2) peu probable 8 2 Non-conformité DA et BC 3) moyen 2) peu probable 6 3 Commandes d'achat non-livrées 3) moyen 2) peu probable 6 3 Omission d'entrée en stock 3) moyen 2) peu probable 6 3 Factures fournisseurs nonjustifiées. 3) moyen 2) peu probable 6 3 Factures nonréglées. 3) moyen 2) peu probable 6 3 Paiements fournisseurs sans pièce justificative (facture fournisseur) correspondante. 3) moyen 2) peu probable 6 3 Cependant cette méthode reste subjective en particulier pour l’estimation de la fréquence qui est difficile à justifier. D’où la solution suivante : o Utiliser une méthodologie robuste d’évaluation d’expert des risques pour les évènements rares o Documenter les évaluations d’expert 49 o Combiner l’approche statistique et l’approche d’expert pour les évènements courants 4- Cartographie des risques opérationnels associés au cycle achat R01 : Expression du besoin d’achat mal formulé R02 : Risque juridique sur contrats fournisseurs R03 : Demandes d’achat non autorisées R04 : Non-conformité DA et BC R05 : Commandes d’achat non livrées R06 : Omission d’entrée en stock R07 : Factures fournisseurs non justifiées R08 : Factures non réglées R09 : Paiement fournisseurs sans pièce justificative R10 : Risque de fournisseurs potentiels non consultés 50 Chapitre2 : Processus vente Fonctions Généralement le cycle vente dans n’importe quelle entreprise correspond aux fonctions suivantes : Fonction « Définition de la politique de vente » La définition d'une politique générale des ventes est nécessaire pour éviter un pilotage à vue ; cette politique relève du domaine de la Direction Générale qui doit l'inclure dans la politique stratégique. Les grandes lignes d'une politique de vente comprennent : > Définir les tâches de chaque unité par rapport aux objectifs fixés, > Prendre connaissance des besoins des clients, > Veiller à la satisfaction des bons de commande clients, > S'assurer de la qualité et de la disponibilité des biens et/ou services fournis. Fonction « Budgétisation des ventes » La fonction reprend les opérations de prévision des ventes (données quantitatives et prix) mensuelles sur l'année. Ce budget des ventes conditionne dans une large mesure les autres budgets (Dépenses Achats, Production Stocks, Trésorerie,...). Fonction « Agrément des clients » Elle regroupe les opérations d'autorisation des crédits, par la Direction Générale et les responsables concernés. Fonction « Réception et acceptation des bons de commande » Cette fonction reprend les opérations de centralisation des commandes et d'approbation, par les responsables concernés, des montants de commandes passées par les clients. 51 Fonction « Traitement de la commande » Elle regroupe toutes les opérations de préparation de la livraison : déstockage, emballage et chargement. Fonction « Livraison de la commande » Elle reprend les opérations de mise à disposition du client de marchandises ou produits commandés, ou de fourniture de prestations de services. C'est une fonction particulièrement importante car elle rend la vente parfaite et consacre le transfert de propriété lorsque la vente est stipulée. Fonction « Facturation » Elle reprend les opérations d'établissement et de transmission des factures aux clients et aux services concernés de l'entreprise (Service Recouvrement, Services Comptables) Fonction « Octroi d'avoirs aux clients » Elle concerne les opérations d'établissement et d'agrément des notes de crédit établies en faveur des clients à l'occasion des retours de marchandises, pour redresser des erreurs de facturation ou par suite de réductions accordées hors facture. Fonction « Encaissement des règlements des clients » C'est une fonction concernée par les opérations d'encaissement des règlements effectués par les clients à hauteur de leurs créances vis-à-vis de l'entreprise. Fonction « Suivi des créances / Recouvrements » 52 Elle regroupe les opérations de surveillance des échéances de règlement, de relance des clients en cas de retard dans le paiement et de déclenchement des actions judiciaires à l'encontre des clients particulièrement défaillants. 1- Définition du processus : SONASID produit et distribue des produits d’acier longs sous forme de barres ou de bobines. Plus de 75% de la production est déroulée en bobines (commande normale), les 25% restants correspondent à des demandes spécifiques de clients (commande spécifique). Sur la base de l’analyse des procédures de vente à SONASID, Le processus vente qui fait partie du macro processus commercial peut être découpé en sous processus, on peut les énumérer comme suit : - La gestion du compte client : pour chaque nouveau client, un compte client est crée comportant toutes les informations le concernant et qui est visé par le directeur commercial et marketing. - Traitement des offres et des contrats : un contrat qui est conclu avec le client est valable pour une année à l’issue duquel le client bénéficie d’un certain nombre de réductions sur prix. - Gestion des commandes : Une fois la commande est reçue, elle est traitée, l’exactitude des données est vérifiée ensuite elle est saisie dans le système. - Expédition : Il existe deux modes de livraison : départ qui signifie que c’est le client qui envoie ses propres camions pour enlever la marchandise ou rendu c'est-à-dire que c’est SONASID qui s’occupe du transport qu’elle facture au client. L’agent du pont à bascule vérifie l’identité des transporteurs, compare le poids net avec les quantités existantes sur le bon d’enlèvement ensuite un bon de livraison est émis en trois exemplaires : un est envoyé au service facturation, un pour le client qu’il doit signer et un pour le responsable des stocks. - Facturation : Une fois le service facturation reçoit le bon de livraison, il établit une facture en trois exemplaires. Un exemplaire de la facture est adressé au client, le deuxième exemplaire est classé dans le dossier du client et le troisième est transmis à la comptabilité clients. 53 Ainsi chaque sous processus a une finalité à atteindre qui constitue le critère qui renseigne sur le degré de sa maîtrise. Sous processus Finalité Gestion du compte client Les créances anciennes et douteuses sont correctement traitées L’efficacité du traitement des litiges clients La fiabilité du compte client L’efficacité du suivi des comptes clients Traitement des offres et des contrats Les conditions générales de conclusion des contrats sont définies Les personnes autorisées à négocier sont déterminées Gestion des commandes Toutes les commandes sont formalisées, contrôlées et autorisées Qualité du dossier de suivi des commandes clients Les conditions d’attribution des escomptes sont correctement définies Expédition Toutes les sorties de stock sont justifiées et correctement enregistrées A toute expédition correspond une commande ou un contrat et toute commande et contrat fait 54 l’objet d’une expédition Optimisation des opérations de transport Facturation Toutes les factures correspondent à des expéditions Grâce à ce découpage, on a pu identifier les risques d’une part, et de les mettre en relation avec les objectifs du contrôle interne d’autre part. Il est à noter également qu’on a essayé de dresser une liste de tous les risques possibles et imaginables qu’on peut rencontrer dans le cycle vente, cependant par souci de clarté dans la cartographie on s’est contenté d’y représenter les 10 risques les plus importants. 2- Identification des risques : Pour identifier les risques, j’ai adopté la méthode de l’identification par processus ou fonction c'est-à-dire découper chaque processus en sous processus et recenser tous les risques qui peuvent se présenter. Risque n°1 : Ouverture de comptes clients par des personnes non autorisées L’ouverture d’un compte client est effectuée par un agent commercial qui maîtrise la procédure d’ouverture de compte et qui mentionne son identité dans le formulaire de demande d’ouverture du compte pour faciliter le contrôle en cas d’erreur. L’ouverture de compte clients par des personnes non autorisées peut arriver pour les raisons suivantes : - Absence de séparation des tâches qui est due à une mauvaise définition du périmètre des responsabilités de chaque acteur dans le département vente - Absence de vérification de l’identité de la personne qui a ouvert le compte avant validation par le directeur commercial et marketing. 55 Risque n°2 : Données erronées sur le client Le compte client comporte un certain nombre d’informations qui donnent une idée sur sa situation financière et sa solvabilité, Un tel risque ne pourra que provoquer des problèmes avec le client. Risque n°3 : Dépassement de crédit pour certains clients (encours clients) Si l’entreprise ne fixe pas les limites à ne pas dépasser dans l’octroi des crédits, ce risque peut lui créer beaucoup de problèmes. Risque n°4 : Caution bancaire non conforme ou expirée Avant d’effectuer une vente, SONASID exige une caution bancaire pour se couvrir en cas de défaillance du client en cas de non surveillance de cette caution celle-ci peut expirer ce qui peut mettre en péril la situation financière de l’entreprise surtout s’il s’agit d’un client important. Risque n°5 : Commandes clients non autorisées Ce risque peut se manifester lorsque les personnes habilitées à valider les commandes clients ne sont pas déterminées. Risque n°6 : Difficultés pour suivre les commandes clients non-livrées Chaque commande doit normalement être livrée dans le délai fixé mais s’il y a pas de suivi on peut se trouver avec des commandes non livrées. Risque n°7 : Bon de commande non cacheté par le client Le bon de commande doit contenir un certain nombre d’éléments dont la signature et le cachet du client qui prouvent que celui-ci a pris connaissance des termes de la commande. Risque n°8 : Erreur sur les paramètres de la commande (produit, quantité…) Un rapprochement entre la demande d’achat et le bon de commande est nécessaire, à défaut, ce risque peut surgir et créer dommages pécuniaires à SONASID. 56 Risque n°9 : Sorties de marchandises non-autorisées Dans l’absence d’une liste des personnes autorisées à expédier et au cas où le responsable des stocks ne vérifie pas si le bon d’enlèvement qu’il a reçu correspond à la sortie de marchandise. Risque n°10 : Régularisation des BL en mode manuel en cas de panne système Normalement le délai de livraison est fixé au préalable mais au jour de la livraison, s’il y a eu une panne dans le système et le client attend la livraison l’entreprise peut émettre des BL manuellement ainsi ce risque se présente si la régularisation n’a pas été effectuée après la reprise du système. 3- Evaluation des risques Pour évaluer les risques, on a adopté la même approche que celle utilisée dans le cycle achat ainsi, un panel a été constitué comportant les responsables de la gestion des différents éléments composant le département vente en vue de leurs expériences et leur vécu, ainsi que ceux des auditeurs à partir de leurs missions concernant ce cycle. Ce panel est constitué des personnes suivantes : - Responsable du département vente et marketing - Chef de ventes - Service facturation - Agent commercial Un certain nombre de techniques permettent toutefois de structurer l’approche d’évaluation au titre desquelles on peut citer le recours à des outils de vote qui permettent, par l’affichage immédiat des résultats obtenus, d’établir un consensus rapide sur un niveau de risque. Tout cela a donnée lieu à ce tableau qui récapitule les résultats des évaluations : Risque Impact Probabilité Cotation* ouverture de comptes 2) faible 1) très 2 clients par des Classeme nt 7 improbable 57 personnes non autorisées dépassement du 4) élevé 2) peu probable 8 3 4) élevé 3) Possible 12 1 3) moyen 2) peu probable 6 4 Difficultés pour 1) 1) très 1 8 suivre les Insignifiant improbable 3) moyen 3) Possible 9 2 4) élevé 2) peu probable 8 3 4) élevé 1) très 4 5 2) peu probable 6 4 1) très 3 6 plafond de crédit pour certains clients (Encours clients) caution bancaire non conforme ou expirée Commandes clients non-autorisées commandes clients non-livrées BC incomplet, non cacheté par le client Erreur sur les paramètres de la commande (produit, quantité…) Sorties de marchandises non- improbable autorisées. Régularisation des BL 3) moyen en mode manuel en cas de panne système Expéditions non facturées 3) moyen improbable * La cotation consiste à faire le produit des résultats des deux critères pour chaque risque 58 4- Cartographie des risques opérationnels associés au cycle vente R1 : Caution bancaire non conforme ou expirée R2 : BC incomplet, non cacheté par le client R3 : dépassement du plafond de crédit pour certains clients (Encours clients) R4 : Erreur sur les paramètres de la commande (produit, quantité…) R5 : Régularisation des BL en mode manuel en cas de panne système R6 : Contournement des contrôles concernant l’approbation des offres ou contrats R7 : Sorties de marchandises non-autorisées. R8 : Expéditions non facturées. R9 : Ouverture de comptes clients par des personnes non autorisées R10 : Difficultés pour suivre les commandes clients non-livrée 59 Chapitre 3 : Recommandations I- Recommandations au bon déroulement des processus achat et vente Processus achat Sous processus Expression du besoin/ initiation de l’acte d’achat Bonnes pratiques Anticipation de l’expression de besoin : - Plan d'approvisionnement ou sourcing plan (planification) - L’anticipation du besoin par le donneur d’ordre est suffisante pour optimiser l’acte d’achat en QCD (Qualité, Coût, Délai) Justification et nécessité du besoin exprimé : - Inscription au plan de progrès - Volonté de pallier à une faiblesse identifiée - Nécessité d’amélioration ou de mise à niveau - Réponse à un souci d’amélioration - Instructions de la D.G. - Besoin exprimé au niveau des budgets ou des plans stratégiques Chiffrage des économies (ou retour sur investissement) attendues Formalisation de l’expression du besoin : - Emission d’une DA - Pré numérotation des DA et vérification de la séquence numérique par les achats - Circuit de l’imprimé (différents exemplaires : 1 conservé par le service émetteur, 1 suivant le circuit signature, puis envoyé au service achats et conservé, saisie SI) - Contrôle des DA (visa formalisé) avant émission du BC DA pouvant être valorisée ou comportant un titre estimatif permettant un contrôle budgétaire avant autorisation du 60 gestionnaire : - Budget (ou projet) spécifique par type d’achats et par service - ou autorisation de dépense (dépassement justifié) Approbation : le besoin est validé conformément aux seuils de délégation de pouvoirs en vigueur Spécification du besoin Existence d’un cahier de charges technique ou fonctionnel ou d’une spécification technique d'achat (Description du produit, service, de l’immobilisation...) Existence d’un aval supplémentaire pour certains types d’achats (informatique, investissement, maintenance et entretien…) Absence de mention d'une marque ou d'un fournisseur sauf si cela est justifié Existence d’informations suffisantes sur : - Le service demandeur - La référence du produit - La consommation annuelle et la périodicité - La nécessité d’une garantie SAV - Le stock minimum - Le délai, la quantité et la qualité désirés Recherche de Définition du niveau d’expertise requis solution interne Preuves que les Directions Expertes ont été sollicitées Conclusions formalisées sur la disponibilité des ressources internes Décision Make or Buy Décision d’acheter auprès d’un fournisseur ou prestataire imposé (conditions) : - Décision de la Direction Générale (écrite) - Travaux similaires ou identiques déjà réalisés par ce tiers 61 - Monosourcing ou expertise unique notoire Connaissance Connaissance du ou des marchés Régional, marocain, du ou des international marchés et Visites aux fournisseurs Pré sélection Temps consacré à la réception des représentants des Existence d’une fiche standard du compte-rendu des fournisseurs relations avec les fournisseurs remplie par les acheteurs. Bases de données (Panel) tenues à jour et consultées, comportant : - Identification du fournisseur - Les articles offerts - Qualité des produits - Délais - Services, renseignements divers (financiers, marché, …). - Notation Procédure de référencement Commission d’agrément avec procès verbal (incluant obligatoirement le PDG (ou le DG) et le directeur des achats pour les fournisseurs avec un volume d’affaires annuel supérieur à 500 KDH) Fiche d’agrément comprenant notamment : - L’identification complète du fournisseur y compris son numéro de patente - Des indicateurs sur son assise financière (CA, actionnariat,…) - Sa capacité de production sur les références sur lesquelles il sera agréé 62 - Des indications commerciales : principaux clients, tarifs, … Cette fiche servira de base à l’ouverture d’un compte en comptabilité Panel formalisé consultable : - Le panel est formalisé sur l’ensemble des familles d’achat - Les fournisseurs homologués et consultables sont systématiquement distingués dans le panel - Système de notation des fournisseurs clair et diffusé (notamment pour les produits stratégiques ou avec des normes techniques obligatoires) - Le niveau de dépendance des fournisseurs homologués et consultables est systématiquement indiqué (précision : taux de dépendance en termes de CA avec la société ou avec d’autres clients) Une justification des fournisseurs présélectionnés pour consultation doit être réalisée (critères de présélection documentés) Remarque : la consultation d’un fournisseur unique, l’absence de consultation préalable, la consultation d’un fournisseur nouveau, sont formellement justifiées par une stratégie achats ou par une situation spécifique dûment validées. Dans le cas de la consultation d’un fournisseur non inscrit ou panel, un plan d’action doit être défini pour garantir son intégration au panel lors de la décision d’affectation. Les critères de déréférencement sont clairement définis et connus des fournisseurs (ex: en fonction des 63 indicateurs de performances des fournisseurs, notation insuffisante,...) Décision de déréférencement prise par la commission d’agrément avec procès verbal de réunion (et fermeture du compte comptable) Décision d’acheter auprès d’un fournisseur ou prestataire imposé : - Décision de la Direction Générale (écrite) - Travaux similaires ou identiques déjà réalisés par ce tiers - Monosourcing ou expertise unique notoire Dans le cas des prestations intellectuelles (cabinets, architectes, auditeurs, ….) le principe de la rotation des fournisseurs doit être observé Le fichier croisé produit/fournisseur ou la liste des fournisseurs à consulter est correctement validée (conformément à la procédure de délégation, dans le respect des délais et des règles de confidentialité, et ce avant de débuter toute consultation, nomenclature produits, au moins trois fournisseurs agréés pour chaque référence...) Choix du Le choix du fournisseur est formalisé fournisse systématiquement à travers une fiche de choix ou un ur rapport de choix standard (adaptée au domaine d’achat) Le choix du fournisseur est systématiquement et explicitement justifié : Critères définis préalablement à la consultation ou de l'AO des documents pour tous les fournisseurs (avec diffusion préalable à la présidence) - Conformité des réponses aux détails de l’AO - Respect des dates de réponse et d’ouverture des plis 64 - Offre technique : * Qualité technique * Possibilité du contrôle de la continuité de la qualité * Compétences techniques mises sur le chantier * Existence d’un « juge » de la qualité (utilisateur final, acheteur) - Offre commerciale : * Détermination du prix complet en tenant compte des frais d’approche et des conditions de paiement * Justification économique du choix (prix d’acquisition / prix du marché) - Situation du fournisseur (santé financière, capacité d’adaptation, localisation géographique) - Délais de livraison - Etude du risque de rupture d’approvisionnement accepté et couvert - Synthèse finale du choix et tableau comparatif selon les critères de choix (bilan comparatif commenté ou grilles comparatives…) Le choix des fournisseurs est correctement autorisé (niveau de délégation respecté, choix réalisé avant le début des travaux, choix validé de manière collégiale : une fiche de choix n’est jamais signée par une seule personne) L’avis des directions clientes figure systématiquement sur la fiche de choix Engagement sur les délais Clause d’audit (éventuellement) Possibilité de négocier Décision Formalisation : Formulaire interne standardisé d’engagement (commande, BC, fiche d’engagement, contrat) numéroté et 65 Commandes, comportant exhaustivement les conditions générales Contrats et d’achat, notamment : avenants - Quantité, prix, frais d'approche, délai et lieu de livraison, facturation… - Conditions de paiement - Conditions de transport (fret, port…) - Clause de révision de prix - Pénalités de retard - Clause d’audit - Tribunal compétent en cas de litige - Clause prévoyant un rapport de conclusions pour les prestations - Contrôle du BC au vu de la DA (intégration entre DA et BC) Rapidité : lancement de la commande à la seule condition d‘une DA complète (indicateur : délai de traitement d’une DA normale et d’une DA urgente) Conformité de la commande avec les budgets Signature habilitée Engagement des frais généraux et des frais de publicité visés par le contrôle de gestion Respect de la chronologie et absence de commande régularisation Incrémentation automatique du BC (sans possibilité de modification) Annulation du BC informatique en cas de refus de signature Les modifications significatives des termes d’une commande après édition donnent lieu à l’annulation de cette commande et l’émission d’une nouvelle commande (avec maintien du lien avec le n° DA et le n° du 1er BC) 66 Protection /SI : - Menu de création d’une commande - Modification des fichiers demandeurs, signataires et fournisseurs - Système de commande d’autres sites (cas d’une société multisites) - Procédure de mise à jour régulière des fichiers des demandeurs, des signataires et des fournisseurs à partir d’informations fiables. - Fiabilité et responsabilité des informations du fichier fournisseurs : conditions de paiement et code taxe Revue des aspects juridiques : - Revue formalisée des contrats et avenants par la Direction Juridique - Elimination du risque de délit de marchandage - Informer le service de trésorerie des engagements en cours pour préparer la couverture de change pour les achats à l’import Suivi des Diffusion de l’information de la passation de la commandes en commande au service demandeur, au service cours comptabilité fournisseur, et au service réception Classement du BC en attente de réception Contrôle systématique du retour des Accusés de Réception Rapprochement entre BC et ARC Visa de contrôle et date de réception sur l’ARC Existence d’un fichier ou d’un tableau de suivi des commandes en cours (édité et analysé régulièrement par un responsable pour action) Procédure d’apurement des commandes anciennes non soldées 67 SI : limitation d’accès à la fonctionnalité d’apurement des commandes Procédure de relance des fournisseurs Suivi des chantiers : - L’opérationnel (demandeur) suit le chantier en termes d’avancement - De même, en termes de qualité de chaque phase des prestations fournies et des intervenants affectés Contrôle des livraisons Réception des livraisons en des lieux définis Emission systématique d’un bon de réception (BR) pré numéroté (lien avec n° BC) BC conservé au service réception Rapprochement du BC avec le BR par le service Réception Rapprochement avec le BL Séparation des fonctions Achat/réception Si écarts constatés, relance du fournisseur et information diffusé au service utilisateur (et aux achats) Contrôle qualité effectué par les services compétents (service utilisateur si le contrôle est très spécifique ou s'il s'agit d'une prestation de service, ou existence d’un service de contrôle qualité, ce qui évite une collusion possible utilisateur/fournisseur) Existence d’un état des réceptions partielles Exploitation effective de cet état Envoi d’un double du BR au service comptable dès acceptation de la marchandise ou réalisation de la prestation, pour classement des BR en attente de facture Si retard de livraison, relance du fournisseur par les 68 services des achats Le bilan des contrôles permettent d'alimenter les panels des fournisseurs (indicateur de performance des fournisseurs, notamment pour les prestataires) Protection des accès à l’enregistrement des réceptions Saisie réception avec N° BC Nécessité de validation d’un responsable en cas d’écart entre BC et BR> à une quantité et/ou valeur à déterminer Edition périodique d’un état des réceptions partielles ou en anomalie et revue régulière Impossibilité d’enregistrer une réception relative à une commande déjà livrée Interface automatique entre saisie réception et incrémentation du niveau des stocks L’enregistrement du BR vaut bon à payer (BAP) technique ; possibilité de réception partielle informatique Séparation des fonctions entre l’encodage des DA (émission des BC) et l’enregistrement des BR (qui vaut BAP technique) Mise à Respect des délais de livraison prévus disposition des Délai de mise à disposition pour les utilisateurs marchandises Degré de satisfaction des utilisateurs Existence d’une fiche d’entrée en stock Entrée en stock sur écran formalisée et contrôlée par rapprochement avec le BR 69 Contrôle prévu pour la mise à jour des prix des stocks Réception des Les factures originales sont adressées à la factures comptabilité et non à l’acheteur ou au demandeur Dès l’arrivée de la facture, apposition de la date, d’un N° de réception, du tampon facture originale, et du tampon duplicata sur les doubles Contrôle systématique de la facture par le service comptabilité : - Aspect formel et correct de la facture - Date récente et calculs exacts - Rapprochement de la facture avec le BR (qualité, quantité) et le BC (prix) Procédure de circulation des factures (enregistrement, bon pour accord, BAP, règlement) Suivi des factures en circulation Matérialisation de l’acceptation de la facture originale par un « Bon à Payer » signé et daté, seule la comptabilité donne le Bon à Payer. Suivi des factures en attente de réception Suivi des BR en attente de facture (Achats/Magasins Ŕ Comptabilité). Classement des factures dans un échéancier en attente de paiement 70 Règlement Procédure d’autorisation des règlements (« BAP ») fournisseurs L’ordonnancement des factures est fondé sur un « bon pour service/ produit reçu conforme » du demandeur Les systèmes comptables d’ordonnancement des factures sont fiables (techniques de contrôle de prévention bloquantes) Signature du document de paiement uniquement au vu de la facture originale revêtue de la mention « BAP » Contrôle des escomptes pour paiement comptant Apposition d’une mention « payé » (tampon, poinçon) sur la facture avec indication du N° du règlement (chèque, virement…) Absence d’émission de chèques signés d’avance et en blanc Conservation des chèques annulés Impossibilité d’émettre un règlement pour une facture n’ayant pas de BAP technique (contrôle des réceptions…) Les règlements émis tiennent compte des avoirs reçus Les retenues de garanties sont prélevées Les avances et acomptes sont déduits en temps utile Achats par Bons d’Enlèvement (à adapter aux petites fournitures, travaux de sous-traitance…) : - Procédure d’autorisation des règlements (BAP formalisé, liste des personnes autorisées…) 71 - Indication de la référence de l’enregistrement et du règlement sur la facture - Procédure de signature des ordres de paiement Billetterie/location de voitures/frais d’hôtel et de restaurant payés directement par le site : - Existence d’un nombre limité d’agences de voyage agréées par le site - Existence d’une feuille de mission - Existence d’une procédure sur les frais de déplacement incluant la partie billetterie - Existence de BC standards pré numérotés, contenant toutes les mentions requises - Validation formalisée du BC par une personne autorisée - Classement en attente de réception - Envoi d’un exemplaire à la comptabilité - Procédure d’autorisation des règlements - Indication de la référence de l’enregistrement et du règlement sur la sur la facture - Procédure de signature des ordres de paiement Processus vente Sous processus Bonnes pratiques 72 Gestion du compte client - Formalisation des conditions de vente (prix, avances, délais de livraison et de paiement, quantités, qualité, réserves, devises). - Existence de formulaires standards pré numérotés - Liste des personnes autorisées - Règles de signature - Contrôle par échantillonnage du respect de ces règles - Etude de la solvabilité de chaque nouveau client. - Fixation d’un crédit maximum. - Pertinence des éléments pris en compte dans la formule de calcul du dépassement. - Existence d’un clignotant pout tout dépassement. - Existence de visas pour autorisation de dépassements. Gestion des commandes - Contrats d’assurance exhaustifs et à jour. - Liste des visas nécessaires aux différents stades de la commande - Circulation du bon de commande conforme/visa nécessaire. 73 - Délai entre la commande client et l’envoi de la confirmation - Existence d’une procédure de modification de commande - Possibilité de consulter sur informatique l’état d’avancement de la commande - Edition et exploitation d’un état des commandes en cours ou non soldées. Expédition - Liste des personnes autorisées à expédier - Existence de bons de sortie pré numérotés. - Contenu précis du bon d’enlèvement (poids, nature, destinataire…). - Rapprochement entre les bons (entrées/sorties) et mouvements de stock - Rapprochement bon de sortie/bon d’expédition/bon de commande. - Visa obligatoire du client sur le bon lors e l’enlèvement de la marchandise - Existence de documents numérotés servant et générant la facturation (bon de prestation, bon de livraison). - Concordance entre les données du bon de 74 commande et du bon de livraison. - Signature du bon de livraison par le client. - Liste des personnes habilitées à effectuer des bons de livraison. - Identification et suivi des commandes traitées partiellement. Facturation - Contrôle de la séquence des factures - Envoi systématique des BL au service facturation. - Numérotation chronologique des factures. - Référence de la livraison sur la facture. - Etat de contrôle entre les expéditions et les factures émises. - Procédures relatives aux facturations particulières révision de prix, avances, acomptes). - Existence d’une procédure de relance (relance préventive ou relance curative). - Mise à jour des échéances dans les comptes. - Liste des conditions nécessaires pour accorder des propagations d’échéances. - Suivi du montant des échus, nombre de 75 relances, nombre de recouvrements effectifs. Suivi des délais réels de règlement et intérêts - liés aux retards. II-Recommandations à l’approche de gestion des risques Les approches traditionnelles créent des risques fantômes et sous-estiment l’importance des risques réels pour les entreprises, ces derniers doivent être une priorité dans la stratégie de gestion. L’erreur commise par les méthodes traditionnelles dans l’estimation de la sévérité est de résumer un risque à un point en lieu et place d’une distribution. Le risk management vise à gérer et donc à identifier les risques élevés. Ces risques sont caractérisés par une sévérité élevée et une fréquence faible. Une autre faiblesse de ces approches vient du manque d’objectivité des méthodes d’auto-évaluation : est-il raisonnable que le docteur demande au patient de se diagnostiquer ? Le risk manager doit se comporter en docteur qui maîtrise l’ensemble des maladies basées sur une connaissance des pertes que l’on a pu recenser à travers le monde. À l'instar des établissements leaders en matière de gestion des risques opérationnels, la mise en place d’une approche globale et pragmatique basée avant tout sur l’analyse des pertes nous paraît essentielle. Dès lors, une estimation correcte des risques permettra de réaliser des arbitrages sur les contrôles à effectuer basés sur une analyse en coûts/bénéfices. Les pertes sont les seuls éléments factuels de l’environnement de la gestion des risques opérationnels. Leur analyse, qu’elles proviennent de données internes ou externes, permet d’aboutir à une quantification économique. Une fois les risques exceptionnels potentiels connus, il est désormais possible de déterminer les risques opérationnels qui nécessitent un pilotage précis. Le principal moyen d’action est la mise en place de contrôles. Les méthodes traditionnelles sont proches de la démarche qualité et ont tendance à multiplier les contrôles et donc le coût lié à la gestion des risques opérationnels 76 (sans compter les coûts de mise en œuvre dus à une analyse systématique des processus). Il nous semble très important de mettre en place ces contrôles en prenant en compte les risques exceptionnels, ce qui implique de se concentrer sur les zones réellement sensibles. L’utilisation d’une méthode coûts/bénéfices implique une fois de plus une appréciation correcte des risques. Après avoir établi le profil, de risques des différentes activités par catégorie d’événements, il devient possible de déterminer les contrôles cibles à effectuer. Dès lors, l’évaluation des contrôles devient essentielle en vue de la mise en place d’un programme efficace de réduction des risques. Conclusion 77 En guise de conclusion, on peut dire que maintenant SONASID dispose d’une véritable cartographie des risques opérationnels des deux cycles achat et vente et qui va servir de base pour l’équipe d’audit interne de la SONASID pour l’élaboration d’un programme détaillé d’audit par processus en élargissant les échantillons de travail, en fonction du seuil de signification. Les travaux d’audit qui seront effectués et les conclusions y afférentes vont permettre une focalisation sur les risques et une proposition des solutions envisageables pour y remédier. Ainsi, les travaux guidés par type de risque et élaborés par l’équipe d’audit interne vont faciliter la mise à jour périodique des risques et la mise en évidence de leur importance et leur degré de réalisation. Par conséquent, le département audit interne proposera un plan d’audit pluriannuel tenant compte de cette hiérarchisation, afin d’auditer en priorité les processus présentant les risques les plus élevés. Cependant l’élaboration de la cartographie de risques n’est pas un exercice aisé, l’auditeur ou le risk manager ou l’auditeur interne fait face à plusieurs difficultés : Le principal écueil consiste à réaliser une cartographie des risques parce que c’est à la mode, sans clarifier au préalable les objectifs poursuivis : la cartographie n’est pas un objectif en soi, et ne constitue que le point de départ de nombreuses démarches de management des risques et de contrôle interne. Dans la réalisation de l’exercice proprement dit, des maladresses dans la communication interne (perception de l’exercice comme un audit ou une inspection), et la difficulté à identifier les interlocuteurs les plus adaptés, sont souvent des freins importants pour aboutir à un résultat pertinent. Bibliographie et webographie 78 - Mémento d’audit interne : Pierre Schick ,dunod, paris 2007 - Self audit Pierre Schick ,Dunod - www.sonasid.ma - www.acier.org - DELOITTE note sur le Risk management et audit interne réalisée en 2005. - La conduite d’une mission d’audit interne : Olivier Lemant - www.theiia.org - www.ifaci.com - Article paru à la revue française de l’audit interne n° 138, sous thème : « L’audit basé sur les risques » de David McNamee. - Pierre BUSTAMANTE et Olivier RIVIERE de Price Waterhouse Coopers « évaluation du contrôle interne et gestion des risques opérationnels » banquemagazine n°657/Avril 2004 - La Gestion des risques opérationnels Présentation du 14.05.2010 : Laurent Oudin 79