La Contribution de L'audit Interne Dans La Gestion Des Risques Opérationnels Via L'élaboration D'une

Mémoire de fin d’études
Thème :
La contribution de l’audit interne dans la

gestion des risques opérationnels via
l’élaboration d’une cartographie des risques au
processus achat (cas ONCF)
Rédigé par : Oumayma BEDRAOUI
Encadré par :BOURQUIA Nezha
Suffragant : M. Hassainate Saber
Année universitaire : 2014/2015
1
Avant-propos
On dit souvent que la pratique est complémentaire à la théorie, elle permet de vérifier sinon
supporter l’hypothèse. Partant de ce constat la formation des cadres en finance, en marketing
et en audit à l’Institut supérieur de commerce et d’administration des entreprises (ISCAE),
est complétée par des stages professionnels au sein des entreprises. Ces stages permettent
aux étudiants de la grande école d’enrichir leur formation académique et les préparent à leur
insertion dans le monde professionnel.
Le projet de fin d’études assure un rôle intégrateur pour les étudiants de la troisième année,
durant lequel l’étudiant peut exécuter des tâches effectives au sein des départements de
l’organisme d’accueil, s’approprier un objectif ou une mission à réaliser et s’initier ainsi à
son rôle de manager avec toutes les dimensions que dénote une telle expérience. Ce stage
doit permettre aux étudiants de se confronter aussi bien aux contraintes temporelles et
économiques, qu’humaines en matière de savoir être.
D’une durée de 4 mois débutant en mi- janvier, ce stage offre à l’étudiant l’occasion
d’exercer et mettre à l’épreuve les connaissances vues pendant ses trois années d’études à
l’ISCAE, ce qui lui permet de concevoir une idée plus précise, quant à l’usage des
différentes disciplines acquises en dehors de l’enceinte scolaire, et d’allier la théorie et la
pratique dans un cadre purement organisationnel.
La situation actuelle impose au futur manager, d’avoir des compétences qui dénotent de sa
capacité à évoluer dans des environnements et cultures différentes, pour suivre ainsi, un
besoin en compétence qui aujourd’hui, va au-delà des frontières territoriales des pays.
C’est dans cette optique que j’ai mené mon stage de fin d’études, qui m’a permis de vérifier
les compétences organisationnelles et managériales des entités étatiques marocaines, et de
témoigner l’évolution de ces dernières.Le thème retenu pour ce stage est « L’Elaboration de
la Cartographie des Risques Opérationnels du processus achat ».
2
Remerciements
«Si j’ai pu voir plus loin que les autres, c’est parce que je me suis juché
sur des épaules de géants ». Discours d’Albert Einstein lors de la cérémonie de remise
des prix de Nobel à Berlin 1922.
Aucune œuvre humaine ne peut se réaliser sans la contribution d’autrui. Pour cela, il
est donc inadmissible de passer sans remercier les personnes qui m’ont encouragé et qui
ont été devant la réussite de mon stage de fin d’études.
Je tiens à remercier dans un premier temps, toute l’équipe pédagogique del’Institut

supérieur de commerce et d’administration des entreprises et les intervenants
professionnels responsables de la formation, pour avoir assuré la partie théorique de
celle- ci et qu’ils m’ont permis de me familiariser à l’audit et de découvrir les plaisirs
de ce métier. Je remercie également Monsieur El Qasmi Jaouad, Directeur de
l’ISCAE Rabat, mon encadrante,Mme BourquiaNezha, pour son aide et ses conseils
concernant les missions évoquées dans ce rapport, pour ses recommandations et son
suivi, ses compétences et sa disponibilité. Je tiens à remercier tout particulièrement et à
témoigner toute ma reconnaissance aux personnes suivantes, pour l’expérience
enrichissante et pleine d’intérêt qu’elles m’ont fait vivre durant ces quatre mois au sein
de l’ofiice national des chemins de fer, Mr. Maorouane Ait Mouzoune chef de
missions d’audit interne pour son temps, son encadrement et ses sages instigations,Mr.
Ahmed Errami, Mr .Jalal Tribak, Mme .SafaeBoukanssa, Mr .Abdellatif Kmad,
ainsi que l’ensemble du département audit interne pour leur soutien et leurs
recommandations qui m’ont permis de rédiger un rapport de stage de qualité.
3
J’adresse ainsi mes sincères remerciements à Mr. Ali Sadiqui, directeur du
département de contrôle et sécurité pour m’avoir accordé ce stage, à Mr. Abdelaziz
AMOKRANE, directeur des achats au Groupe ONCF, pour m’avoir consacré autant
de temps et d’effort afin de me permettre de mieux assimiler étape par étape, mot par
mot les particularités des achats dans les marchés publics, pour ses conseils à la fois
pédagogiques et organisationnels et son suivi minutieux de l’évolution de notre
mission à Mr. Fouadi, Mr. Hasnaoui, Mr Lahnaoui ainsi que l’ensemble des
acheteurs pour m’avoir consacré leur temps pour les entretiens et les éclaircissements .
Je tiens finalement à exprimer mes sincères gratitudes pour tous ceux qui ont
contribué, de près ou de loin, au bon déroulement de mon stage et à l’aboutissement de
ce travail.
4
SOMMAIRE
AVANT PROPOS
REMERCIEMENTS
SOMMAIRE
LISTE DES ABREVIATIONS
LISTE DES TABLEAUX
LISTE DES FIGURES
INTRODUCTION GENERALE
PARTIE I : CADRE THEORIQUE DE LA MISSION :
• Chapitre1 : cadre référentiel de la mission d’audit et de la gestion des

risques opérationnels.
• Chapitre 2 : Démarche d’élaboration d’une cartographie de risque.
• Chapitre 3 : Audit interne et pratiques du risque management dans un
établissement public
PARTIE II : CADRE EMPIRIQUE DE LA MISSION:
• Chapitre 1 : gestion des risques opérationnels cas de l’ONCF

• Chapitre2 : problématique, objectif de la mission et méthodologie de
travail.
• Chapitre 3 : cartographie des risques du processus achat selon le
référentiel COSO 2
CONCLUSION
BIBLIOGRAPHIE
TABLE DES MATIERES
ANNEXES
5
LISTE DES ABREVIATIONS:
• ONCF : office Nationale des chemins de Fer
• IFACI : L'Institut Français des Auditeurs et Contrôleurs Internes
• AMRAE : Association pour le Management des Risques et des
• COSO : Committee of Sponsoring Organisation
• GGR : Gestion Globale des Risques.
• PO : Probabilité d’occurrence.
• RO : Risques opérationnels.
• SI : Systèmes d’information.
• VAR : Value At Risk.
• AO : Appel d’Offre
• AOO : Appel d’Offre Ouvert
• AOR : Appel d’Offre Restraint
• PAN : Procédure Achat Négocié
• BN : Bon de Commande
• MOD : Maître d’Ouvrage
• DAO : Dossier d’Appel d’Offre
• SWOT :Strengths ,Weaknesses ,Opportunities ,Threats
• DAO : dossier d’appel d’offre
• CPS :Cahier des prescriptions spécifiques
6
LISTE DES TABLEAUX :
TABLEAU 1 : Comparaison entre audit interne et contrôle interne.............. 24
TABLEAU 2 : Identification des risques selon RENARD..................................34
TABLEAU3 : Tableau des forces et faiblesses apparentes (TFfA)..................34
TABLEAU 4 : Exemple d’identification e risque selon renard ........................35
TABLEAU 5 : Exemple d’un plan d’action........................................................39
TABLEAU 6 : Grille de séparation de tâche pour AOO...................................55
TABLEAU 6 : Grille de séparation de tâche pour AOR..................................56
TABLEAU 7 : Grille de séparation de tâche de la procédure négociée……..57
TABLEAU 8 : Analyse SWOT du processus achat...........................................58
TABLEAU 9 : Notation des niveaux de probabilité des risques ......................69
TABLEAU 10 : Notation des niveaux d’impact des risques ...........................69
TABLEAU 11 : Notation des niveaux d’évaluation des risques ......................69
TABLEAU 12 : Organisation des fiches de risques ..........................................70
TABLEAU 13 : Identification des risques et leurs impact par phases……....79
TABLEAU 14 : Tableau d’évaluation et notation des risques selon la méthode
COSO ....................................................................................................................85
7
LISTE DES FIGURES :
FIGURE 1 : Type des risques opérationnels...............................................16
FIGURE 2 : présentation de la cube de COSO2 ........................................20
FIGURE 3 : Exemple d’une cartographie de risques selon AMAR ….... 37
FIGURE 4 : Exemple d’un plan d’action ....................................................39
FIGURE 5 : Phase d’analyse et de gestion des risques ...............................39
FIGURE 6 : Organigramme du Groupe ONCF ..........................................44
FIGURE 7 : Fiche signalétique.......................................................................46
FIGURE 8 : Organigramme du pôle sécurité et contrôle..........................48
FIGURE 9 : Organigramme du processus achat .......................................49
FIGURE 10 : Nomenclature du processus achat ........................................51
FIGURE 11 : Mode de passation de marché ................................................52
FIGURE 12 : Flow chart AOO.......................................................................59
FIGURE 13 : Flow chart AOR......................................................................60
FIGURE 14 : Flow chart procédure négociée ............................................61
FIGURE 15: Flow chart achat par bon de commande ...............................62
FIGURE 16 : Représentation de la méthode DMAIC ...............................66
FIGURE 17 : Micro phases du processus achat............................................77
FIGURE 18 : Modèle de la cartographie de risque adopté.........................89
Figure 19 : cartographie livrée avec évaluation des risques ......................90
8
Introduction générale
Entre échec et réussite, seule une fine marge existe. Celle séparant bonne et mauvaise
gouvernance. Les entreprises d’aujourd’hui sont toutes focalisées sur les impératifs de
profitabilité et d’efficacité, face à des conditions économiques de plus en plus
concurrentielles et exigeantes. Une profitabilité qui demeure conditionnée par une prise de
risque consciente et recherchée.
Une telle démarche est encore plus conséquente lorsqu’il s’agit d’une activité phare ou d’un
secteur levier de l’économie d’un pays donné. Cela est notamment le cas pour le secteur
ferroviaire. De par son rôle dans l’augmentation du PIB marocain, la réussite de ce secteur
est en effet un souci national d’importance cruciale offrant place à une nécessité
d’amélioration continue.
En effet, entre les années 1970 et 2010 les entreprises ont connu beaucoup de faits
marquants, dont la faillite d’ENRON et de WOLDCOM, ainsi que deux crises financières
importantes. Ces expériences douloureuses ont poussé les théoriciens ainsi que les praticiens
à prendre l’initiative et à créer un modèle économique ne se limitant pas aux seul contrôle
des entreprises mais convergeant vers une nouvelle optique basée sur « la gestion du risque
» et ce en donnant naissance aux COSO21 le référentiel de base du risk management dans le
monde.
Une initiative à laquelle le Maroc adhère pleinement à travers l’adoption de ces dispositions
de gestion de risques éditées par le COSO 2. Un processus d’identification et de gestion des
risques est ainsi envisagé au sein des entités marocaines ; Support stratégique de la prise de
décision.
Ce référentiel s’appuie en grande partie sur la notion de risque opérationnel, risque interne
considérée comme interne et donc longtemps négligé (on s’attend moins à une menace
provenant de l’intérieur du système).
Le risque opérationnel est généralement défini comme étant « le risque de pertes directes ou
indirectes dues à une inadéquation ou à une défaillance des procédures de l'établissement,
des systèmes internes ou à des risques externes »2.
Plusieurs approches d’identification, d’évaluation et de gestion effective du risque peuvent

être citées. Toutefois, l’outil le plus commun reste celui de la Cartographie des Risques : il
s’agit d’un « outil ayant pour objectif de classer, comparer et hiérarchiser les risques
attribués à un processus, en adéquation avec les ressources disponibles, tout en assurant le
suivie en communication nécessaire »3.
Partant de ces contexte et suivant la démarche du COSO 2, nous avons choisi de nous fixer
un objectif pratique qui relève de la gestion des risques du Groupe ONCF, et ayant pour
9
finalité d’élaborer la cartographie des risques opérationnels liée au processus achat du
groupe ONCF.
L’objectif de cette mission est de pouvoir outiller l’entité audit qui se charge de la gestion
des risques au groupe ONCF d’un dispositif à aspect préventif d’une part ,pouvant anticiper
les zones à forte aversion pour le risque, en terme d’occurrence et de gravité de réalisation ,
et curatif d’autre part en cas de première mise en place de ce processus.
L’ensemble des éléments précités pose les fondements de la question de recherche que nous
nous engageons à traiter et qui interroge l’apport de l’audit interne à la gestion des risques.
Le traitement de ce questionnement global permettra d’éclairer le cas particulier au
département Achats ONCF en apportant une meilleure compréhension et contrôle des
risques opérationnels auxquels il peut être exposé.
Pour atteindre un tel objectif, il est nécessaire de passer par plusieurs étapes, que nous
pouvons énumérer de la manière suivante :
En premier lieu, il s’agit de concevoir le cadre conceptuel à travers lequel nous allons définir
le cadre réglementaire général de gestion globale des risques, suivant un déroulement en
cascade, qui commencera par :
* Définir la notion de risque, le cadre référentiel utilisé par sa gestion, et la place de l’audit
dans la gestion des risques
* Expliciter la notion de cartographie des risques et son utilité
* Spécifier les particularités de la pratique de l’audit dans les établissements publics
Ensuite il s’agira d’expliciter le cadre empirique de notre mission, dans laquelle nous allons
présenter :
* Le système de gestion des risques attribué à notre organisme d’accueil ;
* L’objectif de mission, la méthodologie suivie et les outils de recherche utilisés pour

atteindre l’objectif ;
* Les phases de réalisation et de présentation détaillée de la cartographie des risques

opérationnels du processus achat.
Et finalement, en guise de conclusion, nous allons proposer des pistes d’amélioration que
nous estimons avoir un impact positif en matière d’élaboration de cartographie des risques.
10
Première partie : Cadre conceptuel
L’objectif de cette première partie vise d’une part à délimiter le cadre

réglementaire et référentiel qui régit la pratique de l’audit interne et le processus
de gestion de risque connu sous le nom de COSO2.
D’autre part, il s’agit d’expliciter les notions nécessaires à la bonne

appréhension, l’analyse, et la production d’outils de gestion de risques.
De ce fait, nous allons commencer par présenter le cadre référentiel de

maitrise des risques en mettant l’accent sur les risques opérationnels et en
exposant la démarche d’audit nécessaire à cette fin
.
Ensuite nous exposerons la démarche d’élaboration de la cartographie de
risques de processus qui fera l’objectif principal de notre apport et contribution à
l’entreprise, et finalement nous allons étaler les spécificités de la pratique d’audit
et du risque management au secteur public.
11
Chapitre 1 : La gestion des risques opérationnels
Le manque ou le non existence d’informations fiables par rapport aux différents

processus de l’entreprise, mènera sans aucun doute à des erreurs de prise de décisions
stratégiques et opérationnelles flagrantes engendrant la perte de valeur et de l’image de
marque de l’entreprise en question.
Ainsi pour permettre à un processus d’opérer convenablement, il est

indispensable de mieux gérer les risques affectant ses performances. Pour ces fins, nous
allons exposer dans ce chapitre la notion de risques, ses dimensions et classifications en
mettant l’accent sur les risques opérationnels, ensuite nous allons traiter le déroulement et
les enjeux des missions d’audit conçus pour cette fin, et finalement nous allons expliciter le
référentiel COSO2 qui permet de mieux appréhender la gestion des risques.
12
1- La notion de risque
Cette section traite du risque en général, pour comprendre l’évolution de cette notion dans le
temps, ses notions voisines et ses dimensions (gravité, probabilité), ainsi que les dispositifs
de maitrise y afférant à savoir, le risk management.
1-1 Historique et évolution du concept de risque
Le concept de risque trouve ses origines dans le mot latin « resecum », cette origine est la
plus répandue et la plus pratiquée par tous les dictionnaires. Toutefois, le sens donné au
concept de risque a connu une évolution au fil du temps, il faut bien comprendre cette
évolution pour avoir une compréhension radicale sur le concept de risque.Pour ce, Le Robert
l’a résumé comme suit : « Risque n. m. est emprunté (1557) à l’ancien italien risco
(aujourd’hui plus souvent rischio), qui représente le bas latin risicus ou riscus. Certains
rapprochent ce mot du latin resecare “enlever en coupant”, par l’intermédiaire d’un latin
populaire *resecum “ce qui coupe” et, de là, “écueil”, puis “risque que court une
marchandise en mer”. Bien que ce développement sémantique soit partiellement corroboré
par l’esp. riesgo “rocher découpé”, d’où “écueil”, et que le mot latin médiéval corresponde
bien à l’idée d’un danger encouru en mer par une marchandise», Dictionnaire Historique de
la langue française, 3260. Le terme « risque » serait ainsi natif du substantif grec byzantin
« rizikon » au sens « le hasard, le destin » puisque ce terme est « attribué une solde de soldat
gagnée par chance ».
1-2 Définition du risque
Possibilité hasardeuse d'encourir un mal, avec l'espoir d'obtenir un bien. Prendre un risque,
cela veut dire s'exposer volontairement à un danger pour parvenir à un résultat, c’est un
événement dont l'arrivé aléatoire, est susceptible de causer un dommage aux personnes ou
aux biens ou aux deux à la fois.
Directive Seveso 2 : ''probabilité qu'un effet spécifique se produise dans une période donnée
ou dans des circonstances déterminées. En conséquence, un risque se caractérise selon deux
composantes : la probabilité d'occurrence d'un événement donné, la gravité des effets ou
13
conséquences de l'événement supposé pouvoir se produire.''
Le risque résulte donc de la combinaison d’un danger dû à la propriété ou à la capacité
intrinsèque d’un agent dangereux (équipement, substance, déchet) ou d’une situation
dangereuse (contexte de travail), difficilement modifiable, et de l’exposition à ce danger qui,
elle, peut-être maîtrisable.
Quant à Dominique Vincenti1, il a défini le risque en tant qu’une « menace qu’un événement
ou qu’une action ait un impact défavorable sur la capacité de l’entreprise à réaliser ses
objectifs avec succès », complétons cette définition par celle du lexique « les mots de
l’audit » : « Le risque est un ensemble d’aléas susceptibles d’avoir des conséquences
négatives sur une entité et dont le contrôle interne et l’audit ont notamment pour mission
d’assurer autant que faire se peut la maitrise »
1-3 Risque et notions voisines2
1-3-1 Aléa
Un événement ou un phénomène potentiellement dangereux qui se produise dans un milieu

déterminé, on connait généralement la nature de cet événement ainsi que le mécanisme mais
il reste imprévisible.
Toutefois, on peut définir le risque comme étant le produit d’un aléa, le risque est mesuré
comme suit : Risque = Vulnérabilité × aléa
Alors, le risque dépend de ces deux événements, si l’aléa même s’il est fort probable, se
produise dans un lieu vide de toute présence humaine, elle se multiplie avec une
vulnérabilité égale à 0, ce qui donne donc un risque nul. Par contre, si un aléa, même peu
probable, se produise dans une zone fortement peuplée représente un risque élevé puisque la
vulnérabilité est en son maximum dans ce cas.
1
DOMINIQUE VINCENTI ; « Dresser une cartographie des risques », Revue Audit, n°144
2
Larousse 2012, le petit Robert 2010
14
1-3-2 Danger
On confond souvent danger et risque. Des notions certes cousines. Cependant, un danger
peut être définit comme étant toute origine éventuelle de dommage, de dégât ou atteinte qui
peut entrainer des effets nuisibles à l’attention d’une personne ou d’une organisation, alors
que le risque est la probabilité qu'une personne subisse ce dommage.
1-3-3 Incertitude
Il y a une importance dissemblance entre le risque et l’incertitude, cette différence se justifie

dans le degré de mesurabilité, toutefois, le risque est mesurable, alors que l’incertitude est
non mesurable.
Knight définit la notion d’incertitude comme « un futur dont la distribution d’états n’est pas
connu, et ne peut être connue. Le phénomène mis en jeu reste indéterminé, non par manque
d’information mais de par sa nature même. »
1-3-4 Menace
La menace peut être définit comme étant l’attaque possible d’un individu ou d’un élément
naturel sur des biens, ce qui entraine des conséquences éventuellement négatives. La menace
est alors tout acte anticipant un dommage. De ce fait, le risque nait de la combinaison d’une
menace et des dégâts qu’elle peut générer.
1-4 Les dimensions de risque

Le risque est mesurable à travers ses composantes, mises en évidence par sa définition, il
s’agit de :
• la gravité ou conséquence de l’impact en cas d’apparition
• la probabilité ou la fréquence de cette apparition de l’événement.
Autant dire : seule la combinaison de ces deux paramètres permet d’estimer raisonnablement
le niveau de risque. Un risque, considéré comme majeur s’il répond à une forte probabilité et
ou un impact élevé.3
3
RENARD &al (2006 :139) et IFACI (2006 :22)
15
1-5 Le risk management
Le risk management (ou gestion de risque) n’est pas présent dans toutes les organisations en
tant que fonction individualisée et spécifique. Mais, le risque est toujours géré et pris en
charge, soit d’une façon diffuse par tous les acteurs de l’organisation, soit spécifiquement
comme complément à une autre fonction(assurance, audit interne, assurance…)
Le risk manager4 est un métier qui permet la prise des risques maitrisés, il met à la
disposition de l’organisation des moyens pour réduire la zone de risques inacceptables au
bénéfice de la zone de risques acceptables le risk manager identifie les risques, en dessine la
cartographie, les mesures et à partir de là, définit la politique qui sera appliquée, le
management opérationnel applique cette politique et met en place les moyens pour maitriser
les risques inacceptables et limiter les risques acceptables.
Le risk management permet une animation du dispositif de la gestion des risques en

proposant des solutions de traitement optimisés afin de permettre aux dirigeants de prendre
des décisions stratégiques.
Cela dit, là où il n’y a pas de fonction de risk management, il n’est pas surprenant de voir se
créer des confusions, mais en dépit de ces confusions le principe demeure et qu’est
essentiel : la démarche de l’audit interne est une approche par les risques.
4
J. Renard, Pratique de l'audit interne, 2008, Eyrolles, éditions d'organisation
16
1- Les risques opérationnels dans l’entreprise
Cette section traite le risque au sein des entreprises, ainsi que ses types et classification selon
leurs provenances, leur niveau et leur nature pour finir avec une présentation des risques
opérationnels, sujet de notre étude, aussi que les politiques de traitement des risques.
2-1 L’entreprise : univers de risque
L’incertitude est une donnée liée à tout type d’organisation, déterminer le degré
d’incertitude acceptable lié aux opérations, à l’univers et à l’avenir des entreprises constitue
le principal défi des dirigeants cherchant constamment à optimiser la création de valeur,
objectif de base du management des risques. Néanmoins il faut souligner que l’incertitude
peut être source de risques comme elle peut être source d’opportunités et devenir facteur de
création ou de perte de la valeur dans une entreprise. Le management de risque permet
d’offrir une réponse favorable aux différents risques ainsi qu’aux opportunités associées
aux incertitudes en vue d’apporter à l’entreprise les outils nécessaires pour leur faire faire
et optimiser la capacité de création de valeur.
L’entreprise donc vit avec le risque, il constitue une composante inséparable de son
environnement interne et externe, ainsi le négliger représente une tentative de suicide et le
gérer rationnellement assurera sa survie et sa compétitivité
2-2 Typologie de risque

Les risques peuvent survenir des facteurs externes ou internes de l’entreprise. Pour les
décideurs, leur classification constitue un repère important pour savoir les aborder.
Les classifications des risques sont diverses et changent le plus souvent d’un auteur à un
autres. Pour des fins de simplifications, nous pouvons penser que les risques peuvent être
groupés : selon leur provenance, selon leur niveau, selon leur nature.
17
2-2-1-classification des risques selon leurs provenances
L’IFACI 2006,21 recense deux catégories majeures de risques pouvant être rencontrées par
rapport à l’activité de l’entreprise, qui sont :
Les risques endogènes

Les risques exogènes
Les risques endogènes : concernentles risques propres à l’activité de l’entreprise, ils sont
dus à une défaillance de son propre processus, son organisation, son système d’information
ou encore son style de management.
L’entreprise peut alors y faire face par un dispositif de maîtrise au quotidien.
Les risques exogènes : sont des risques qui proviennent de l’environnement de l’entreprise,
de ses clients, de ses fournisseurs, et ses concurrents exerçant une influence négative sur les
objectifs et les stratégies de l’entreprise. L’entreprise, généralement, n’as pas la maîtrise sur
leur occurrence.
2-2-2- Classification des risques selon leur niveau
Selon IFACI, 2006,21. Les risques peuvent se décliner en 3 catégories selon leur niveau
d’expression :
risques avérés ;
risques potentiels ;
risques non identifiés ou ignorés ;
Les risques avérés : sont des risques déjà matérialisés dans le passé. Ils peuvent avoir être
déjà identifiés, connus et même maitrisés, mais ont réapparus après avoir pris des
proportions imprévus en se combinant à d’autres phénomènes
Les risques potentiels : désignent ceux qui sont connus mais n’étant pas encore perçus. Ces
risques sont susceptibles de se constituer si aucun effort n’est réalisé pour les empêcher ou
les détecter. Ils sont identifiés à partir des expériences des auditeurs.
18
Les risques non identifiés ou ignorés : représentent des risques qui sont soit inconnus, soit
aperçus que par des experts et personnes averties. Ces incertitudes représentent des risques
nouveaux issus de l’évolution technique, économique et humaine et ne sont donc pas pris en
compte faute de manque d’information de sensibilisation ou de prise de conscience, en
d’autres termes ces risque sont dont à l’impasse stratégique.
2-2-3 Classification des risques selon leur nature dans l’entreprise 5
Risque bancaire : ce terme est utilisé par les spécialistes des prêts bancaires, pour faire
référence à une partie d’emprunteurs qui ne pourront pas faire face à leurs échéances
Risque de trésorerie : les directeurs financiers doivent veiller à ce que la trésorerie
suffisante soit disponible à tout moment y compris la trésorerie exceptionnelle pour faire
face aux conséquences des dommages accidentels.
Risque de change : concerne les variations du taux d’intérêt et de taux de changes sur les
découverts ou placements en devise.
Risque de santé : les responsables des services de santé publique s’intéressent aux moyens
de contrôler les épidémies ou pandémies, de veiller à l’hygiène publique, et à l’état de santé
des habitants d’une région.
Risque de projet : concerne surtout le risque de non-respect des calendriers des réalisations
et les incidents pouvant retarder la date de mise à route.
2-3 les risques d’audit :
La norme CNCC 2-301 contient les définitions suivantes :

6
Le risque d’audit désigne le risque que le commissaire aux comptes donne une opinion
incorrecte du fait d’anomalies significatives contenues dans les comptes : il subdivise en 3
composantes : le risque inhérent, risque lié au contrôle et le risque de non détection.Le
« risque Inhérent » lié à l'existence d'erreurs significatives dans les états financiers (audités)
d'une entreprise, ces erreurs étant dues à l'environnement externe de l'entreprise (cela en
supposant que les procédures de contrôle interne ne soient pas opérationnelles).
5
Sophie Gautier-Gaillard, Jean-Paul Louisot, Diagnostic des risques, édition Afnor, 2007, p 47
6
Compagnie nationale des commissaires aux comptes :évaluation des risques et contrôles
19
Le « risque lié au contrôle » désigne le risque qu’une anomalie significative dans un solde
de compte ou dans une catégorie d’opérations, prise isolément ou cumulée avec d’autres
anomalies dans d’autres solde de compte ou catégorie d’opération, ne soit ni prévenue, ni
détectée par les systèmes comptable et de contrôle interne et donc non corrigé à temps
voulu.
Le « risque de non détection » fait référence au risque que les contrôles mis en œuvre par le
commissaire aux comptes ne parviennent pas détecter une anomalie significative dans un
solde de compte ou catégorie d’opérations, qu’elle soit prise séparément ou cumulée à
d’autres anomalies.
2-3 les risques opérationnels :
Les risques opérationnels peuvent être définis comme étant : « l’ensemble des incidents
pouvant résulter de carences ou de défaillances attribuables à des procédures, à du
personnel, à des systèmes internes ou à des événements extérieurs ».
Ces risques peuvent être d’origine des faits imprévus qui peuvent se produire et portant
atteinte aux entreprises de différends secteurs. , ils recouvrent un certain nombre de risques,
parmi lesquels on peut citer : les fraudes externes et internes, les vols…
20
Personnes:
Fraude des
employés
Integrité
Abscences
Compétences
Systéme:
Evénements
extérieurs: Obsolescence
Risques Défaillance
RIsque
souverains Sécurité
Opérationnel
Evolution de la Erreurs de
réglementation Programmation
Processus :
Conformité des
Opérations
Erreurs de Saisie
Sous-traitance.
Figure 1 : J-L SIRGUGUET, E. FERNANDEZ et L. KOESSLER, Le contrôle interne et la fraude, Paris, Dunod, 2006,
p 102.
2-4 Les politiques de traitement des risques :
• Evitement des risques : risques considérés trop élevés, ils présentent une menace
importante et cruciale pour l’entreprise vue leur gravité, pour cela l’entité est obligé
d’éviter ce type de risque qui influence l’atteinte de ses objectifs.
• Partage du risque avec des tierces parties afin de les gérer de manière collective et
de partager la responsabilité et les conséquences.
• Transfert du risque à une assurance qui supporte les conséquences. L’entreprise
décide de transférer le risque à un sous-traitant qui a une meilleure connaissance
dans le domaine afin de prendre les actions adaptées.
• Réduction du risque :Réduction de l'impact d'un risque de manière à ce que le risque
soit acceptable.
21
• Acceptation du risque (riskacceptance) : il s’agit d’accepter le risque et de le
conserver après l’analyse des coûts de traitement des risques face aux coûts de
reconstruction, la direction générale prend la décision de conserver le risque après
avoir une connaissance parfaite des causes telles que le manque de budget, contrainte
de temps…
Les risques ne peuvent être identifiés, traités ou même évités sans la contribution des
missions d’audit qui permettent de mettre les points sur les principales anomalies de tout
système ou processus, et dont le champ de bataille n’est rien d’autre que l’univers de risque,
dans les partiessuivantes nous allons définir l’audit interne ainsi que ses missions et enjeux.
22
2- L’audit interne
Dans cette section, on présentera le champ d’intervention de l’audit interne, pour cela, on
définira d’abord l’audit interne aussi que ses objectifs, pour déceler la différence entre audit
interne et contrôle interne ainsi, on présentera le référentiel avec lequel on a travaillé tout au
long de cette étude, COSO2, et pour avoir une vision plus claire sur l’audit, on expliquera
les phases de déroulement d’une mission d’audit interne.
3-1 Définition de l’audit interne
La définition de l’audit interne a connu à fur et à mesure de l’évolution de l’environnement

de l’entreprise, des modifications et des changements. Ainsi la définition première élaborée
par l’IIA7 a subi des révisions en 1947, 1957 et 1971. De ce fait, l’aspect comptable et la
recherche de la fraude ne seront plus l’objectif exclusif de l’audit. La fonction va élargir son
champ d’action pour s’intéresser à toutes les activités de l’entreprise et partant, va s’orienter
vers la recherche de l’efficacité et de l’efficience de celle-ci.
Le texte de 1971 de l’IIA, définit l’audit interne comme « une activité indépendante
d’appréciation du contrôle des opérations au service de la direction. C’est un contrôle
directorial qui a pour fonction d’estimer et d’évaluer les autres contrôles».
Quant à l’IFACI8, il a retenu la définition suivante : « L'Audit Interne est une activité indépendante
et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations,
lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique,
ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant
des propositions pour renforcer leur efficacité. ».
Le rôle de l’audit interne n’est pas de dénoncer ou d’accuser, mais d’arbitrer « les règles de
jeu » du groupe et surtout de faire pratiquer les 3R : remédier, reconnaitre et rechercher les
faiblesses de l’organisation. Il l’aide à anticiper les problèmes et se placer dans une
démarche vertueuse d’amélioration continue.
7
The Institute of InternalAuditors
8
Institut français des auditeurs et contrôleurs internes
23
L’audit interne intervient mandaté par la direction pour aller examiner et établir :
• Un diagnostic attestant de son plus ou moins bon fonctionnement
• Un pronostic alertant les responsables de l’organisation
• Des recommandations visant la sécurité des actifs et la fiabilité des informations ainsi que
l’efficacité des opérations et la compétitivité de l’organisation.
En effet, Le rôle de l’audit interne est de s’assurer de l’atteinte des objectifs du contrôle
interne. Le référentiel du COSO I, distingue trois types d’objectifs de contrôle interne :
− les objectifs opérationnels (optimisation et réalisation des opérations : la réalisation
des opérations se traduit par l’amélioration des performances et la sécurité du
patrimoine ; l’optimisation des ressources suppose une utilisation économique et
efficace des ressources aussi bien financières, humaines, informationnelles,
matérielles que structurelles) ;
− les objectifs de fiabilité des informations financières ;
− les objectifs de conformité aux lois et aux réglementations en vigueur.
À ces trois objectifs de contrôle interne, le COSO9 II (traduction IFACI/ Price Waterhouse
CoopersLandwell, 2005), dans une approche entière de management des risques, convoque
au contrôle interne quatre catégories d’objectifs : les objectifs stratégiques, les objectifs de
réalisation et d’optimisation des opérations qui incluent des objectifs de performance et de
rentabilité, les objectifs de fiabilité des informations financières et nonfinancières, externes
et internes, enfin les objectifs de conformité aux lois et aux réglementations en vigueur.
On peut ainsi parler des formes d’audit connu aujourd’hui, et qui sont de trois : l’audit
comptable, l’audit opérationnel ainsi que l’audit de direction.
L’audit comptable et financier : L’auditeur interne est chargé au sein de l’entreprise, de

vérifier la conformité des états financiers ainsi que l’exactitude des informations comptables
et financières.
9
The Committee of Sponsoring Organizations of the Treadway Commission (COSO)
24
L’audit opérationnel : Cet audit porte sur toutes les activités de l’entreprise et sur le
contrôle des opérations, systèmes et fonctions. Son but est de s’assurer du respect et de
l’application des procédures mises en place à l’intérieur de l’entreprise(audit marketing,
audit social…)
L’audit de direction : c’est le domaine le plus réservé et le moins fréquenté par les
auditeurs internes, dans la mesure où il se situe à un niveau élevé et touche la politique
générale de l’entreprise. L’audit de direction est « ce que ferait un président s’il avait le
temps et s’il avait la maitrise des techniques d’audit » SAWYER 2007 :85.
3-2 Les Objectifs de l’audit interne
« L'audit est l'examen auquel procède un professionnel compétent et indépendant en vue

d'exprimer une opinion justifiéesur la régularité et la sincérité et l'image fidèle des états
financiers d'une entreprise. »ONEC10
Les objectifs de l’auditeur peuvent varier selon le type de la mission (légale,
contractuelle…). Toutefois, pour atteindre son objectif final, l’auditeur doit s’assurer que les
comptes annuels répondent aux critères :
- Exhaustivité
- Propriété
- Information
- Evaluation
- Existence
- Comptabilisation.
• Exhaustivité : Il s’agit de vérifier que toutes les opérations et tous les évènements qui
auraient dû être enregistrés l'ont été.
• Propriété : Ce critère signifie que les actifs qui apparaissent au bilan, appartiennent
vraiment à l’entreprise et alors ne font pas objet de contrat de crédit-bail.
• Information : Ce critère signifie que les informations présentées par les états
financiers représentent l’image fidèle de l’entreprise.
• Evaluation : Il s’agit d’évaluer et d’enregistrer l’ensemble des opérations
comptables conformément aux principes comptables admis.
10
Ordre national des experts comptables
25
• Existence : S’assurer de la réalité physique des éléments matériels et de la traduction
réelle des autres éléments actifs, passifs, charges et produits.
• Comptabilisation : s’assurer que toute opération est bien comptabilisée sous les bons
intitulés.
L’audit interne, quel que soit le référentiel d’audit, permet de répondre à 5 objectifs :
• Examiner la conformité du référentiel (normes, textes réglementaires…) de

l’entreprise à ses exigences.
• Evaluer l’établissement et l’application des dispositions organisationnelles et
opérationnelles.
• Examiner La capacité du domaine audité à atteindre les objectifs
• Identifier les recommandations pour aider l’entreprise à s’améliorer.
• Reconnaitre les bonnes pratiques examinées afin d’encourager les équipes.
L’audit interne à lui seul ne peut pas assurer la gestion de risques, pour cela se congédier à
un référentiel de gestion de risque est indispensable. Dans notre cas nous avons opiné de
travailler sur le COSO2.
3-3 Le référentiel COSO 2
Apartir du COSO2, les différents éléments identifiés ont été affinés et complétés en
approfondissant plus particulièrement le ventre mou de la pyramide, c’est-à-dire l’évaluation
des risques. On lui substitue alors une notion nouvelle, celle d’entreprise risk management
(ERM), ou gestion globale du risque, l’approfondissement des travaux du COSO2 a en effet
montré que c’est ce processus, pris en sa globalité, qui peut le plus efficacement permettre
l’implantation d’un bon contrôle interne lequel ne saurait exister sans une gestion globale
des risques.
26
Figure 2 ; présentation du cube COSO2.
Environnement de contrôle : Fondement de toutes les autres composantes du contrôle,

élément de l’organisation favorisant la sensibilité au contrôle de chacun, ses facteurs
comprennent : l’intégrité, l’éthique, la compétence, l’autorité et la responsabilité.
Définition des objectifs : Il s’agit de bien déterminer et identifier les objectifs stratégiques
que l’entreprise vise d’atteindre.
Identification des événements : Identifier les événements qui sont source de risque ou
d’opportunité.
Evaluation des risques : consiste en l’identification et l’analyse des risques correspondants,

afin de remplir les objectifs de l’entité.
Traitement des risques : Il s’agit ici, d’identifier sélectionner et mettre en œuvre les mesures
devant permettre de réduire les risques à un niveau acceptable.
Activités de contrôle : Politiques, procédures qui garantissent que les directives du

management sont bien appliquées.
Information et communication : L’information pertinente est identifiée, enregistrée, et

communiquée de manière opportune.
Pilotage : Evaluation de la performance d’un système de contrôle sur une période donnée.
27
3-4 Différence entre audit interne et contrôle interne
Il est usuel de dire que le contrôle interne est un procédé, mis en œuvre par les dirigeants et
le personnel d’une organisation, à quelque niveau que ce soit, destiné à leur donner en
permanence une assurance raisonnable que :
Les opérations sont, sécurisées, réalisées, optimisées et permettent ainsi à l’entreprise

d’atteindre ses objectifs de base, de rentabilité, deperformanceet de protection du
patrimoine.
Les informations financières et opérationnelles sont fiables et les lois, réglementations et les
directives de l’organisation sont respectées.
Le contrôle interne est un état à atteindre et maintenir et non pas une fonction, C’est un
moyen et non pas un but.
Le contrôle interne est « un processus mise en place par le conseil d’administration, les
dirigeants et le personnel d’une organisation destinée à fournir une assurance quant à la
réalisation des objectifs suivants : la réalisation et l’optimisation des opérations, la fiabilité
des informations financières et la conformité aux lois et aux réglementations en
vigueur »COSO 2010.
La définition du Trumbull, elle, est la suivante : « Un système de contrôle interne englobe

les politiques, processus, tâches, comportements et autres aspects d’une entreprise qui,
combinés :
• facilitent l’efficacité et l’efficience des opérations en aidant la société à répondre de
manière appropriée aux risques commerciaux, opérationnels, financiers, de conformité et
tout autre risque, afin d’atteindre ses objectifs ; ceci inclut la protection des actifs contre un
usage inapproprié, la perte et la fraude, et l’assurance que le passif est identifié et géré ;11
• assurent la qualité du reporting interne et externe afin de maintenir des processus qui
génèrent les flux d’informations pertinentes et de conserver les enregistrements appropriés.
• assurent la conformité aux politiques internesainsi qu’aux lois et règlements relatives à la
conduite des affaires. »
11
E. Bertin, Audit interne : enjeux et pratiques à l'international, 2007, Eyrolles, éditions d’organisation, p104
28
Selon le COSO, le contrôle interne est composé de cinq éléments interdépendants et qui
doivent être présents au sein de chaque entreprise :
• L’environnement de contrôle
• L’évaluation des risques
• Les activités de contrôle
• L’information et la communication
• Le pilotage
Le dispositif de contrôle interne, est ajusté aux particularités de chaque entreprise, doit
prévoir :
• La clarté des responsabilités et la disposition des compétences et ressources
appropriées et conformes aux besoins de l’organisation tout en s’appuyant sur les
systèmes d’information.
• La connaissance et le partage des informations adéquates au sein de l’organisation.
• La gestion des risques à fin de les identifier, les traiter et les analyser.
• Effectuer un contrôle à fin de réduire les risques susceptibles d’influencer
négativement la réalisation des objectifs de l’organisation.
• La surveillance continue du dispositif de contrôle interne à travers l’audit interne.
On peut faire une comparaison entre l’audit interne et le contrôle à travers le tableau
suivant :
Audit interne Contrôle interne

Périodicité *Missions ponctuelles mais *Permanent
régulières
*Préventif ou défectif
Acteurs *Cellule Audit Interne *Toutes personnes de l'organisation
Domaines *Evaluation du respect des *Toutes activités
procédures et du management
des risques dans une optique
d'amélioration
Conséquences *Diagnostique, *Détection ou prévention des
recommandations irrégularités
29
3-5 La conduite d’une mission d’audit interne
La mission de l’auditeur est bien ce travail « temporaire » qu’il sera « chargé d’accomplir
dans l’intention … de la direction générale ». C’est un travail temporaire car le travail
permanent de l’auditeur n’est constitué que par une succession, en principe interrompue de
missions diverses, ces dernières sont à apprécier selon deux critères.
Mission d’audit
Champ La durée
Une mission
Objet Fonction d’audit peut durer
10 jours à 10
Distinguer Distinguer les
semaines tout est
les missions missions unies
fonction de
spécifiques ou pluri
l’importance de la
des missions fonctionnels
mission
générales
Toute mission d’audit interne doit être inscrite dans le programme et le plan d’audit préparés
et agréés par la direction. Une mission d’audit interne se déroule en trois grandes phases :
Etude (ou « planification »), vérification et conclusion.
La phase d’étude
La phase d’étude ou de préparation ouvre la mission d’audit, exige des auditeurs une
capacité importante de lecture, d’attention et d’apprentissage. Elle exige une bonne
connaissance de l’entreprise car il faut savoir où trouver la bonne information et à qui la
demander.
30
Le droit d’accès ou l’ordre de mission :
Toute mission d’audit commence par un mandat, ce qui fait, l’auditeur n’a droit d’accès aux
informations que lorsqu’il est mandaté, et après la mission il n’a plus accès.
Toutefois, la direction générale ou le comité d’audit décide de consacrer une mission d’audit
des fois sur suggestion du département de l’audit interne s’il s’agit d’une activité répétée qui
contient un risque. Cette mission se tient par un document qui fasse comprendre à ses
destinataires sur quoi porte le droit d’accès des auditeurs et leurs droit de communications
aux autres auditeurs, tout en recueillant une première idée sur le sujet à auditer.
La décomposition en objetsauditables
Il s’agit d’effectuer une décomposition du sujet de la mission en objets auditables afin de

produire le référentiel d’audit, les auditeurs internes étudient toutes les informations utiles
collectées concernant la société ou les activités à auditer, développent des questionnaires et
mènent quelques interviews auprès de principaux responsables identifiés.
Facturer
Toutes les Conditions tarifaires Dans des délais brefs

prestations en vigueur
Conditions de Conditions de
paiement prix
Moyens de Délais de
paiement paiement
31
L’élaboration du référentiel consistera pour chaque objet à dresser l’inventaire des objectifs
et des risques puis pour chaque couple objectif-risques, développer les modalités de
fonctionnement qui garantissent l’atteinte de ces objectifs en évitant ces risques.
L’élaboration du référentiel d’audit : TARIR (tableau des risques référentiels)
Tableau des risques - Référentiel
Finalités Scénarios Points de Impacts/conséquences Bonnes pratiques :

d’empêchemen contrôle
t
Objectifs
de contrôle Objets à Risque si étape clé Critères de satisfaction
interne : Risques que contrôler : défaillante/ déficiente des objets auditables :
Etre sûr les finalités ne E : • Adoptées
que telle soient pas Exhaustivité • Adaptées
finalité atteintes E : Exactitude • Disponibles
sera D : Délai • Performantes
atteinte. S : Suivi
Qu’est-ce que
l’auditeur va
contrôler et
vérifier que
c’est exhaustif,
exact, dans les
délais…
Le tableau des risques constitue l’outil de référence qui permet à l’auditeur d’une part de
définir le champ et les limites de ses investigations, et d’autre part, de structurer la
présentation de ses analyses et conclusions, notamment pour renseigner les causes des faits
constatés ainsi que leurs conséquences. Ce tableau organise la phase d’étude et conduit à
l’élaboration du rapport d’orientation.
32
L’analyse et le discernement des risques
Cette analyse a pour objectif de faire un état des lieux des forces et faiblesses réelles ou
potentielles de l’entité ou du domaine audité afin d’orienter les travaux détaillés. La phase
d’analyse des risques s’effectue sur le terrain. Elle commence donc par une réunion de
présentation auditeurs-audités : « La réunion d’ouverture ».
Le rapport d’orientation :
Le rapport d’orientation assure la pertinence des travaux par la concertation avec les
principaux responsables audités et le demandeur, c’est le contrat que l’audit interne passe
avec eux, il assure aussi l’objectivité de la démarche : découpage, objectifs, risques, bonnes
pratiques, analyse des risques, ciblage/choix.
La phase de vérification :
La phase de vérification fait beaucoup plus appel aux capacités d’observation, de dialogue et
de communication, c’est à ce stade que l’on fait le plus appel aux capacités d’analyse et au
sens de la déduction.12
C’est en effet, à ce moment que l’auditeur va procéder aux observations et constate qui vont
lui permettre d’élaborer la mission.
Le programme de vérification
Le programme de vérification s’établit sur le rapport d’orientation, c’est la gamme de

fabrication à mettre en œuvre pour atteindre les objectifs du rapport d’orientation. C’est n
document interne au service d’audit interne, destinés à définir, répartir, planifier et suivre les
travaux des auditeurs par le biais des feuilles de couverture. Ce programme indique les
taches à effectuer, des investigations à mener, les travaux sont décomposés en taches
distinctes pour pouvoir être attribués aux auditeurs.
Le programme de vérification est un document majeur qui procure cinq bénéfices :
1) L’assurance de la prise en compte de toutes les préoccupations sur le sujet.

2) L’évaluation des taches par le chef de mission et la répartition de ces taches entre les
auditeurs ainsi que l’établissement du planning de la mission jusqu’au rapport.
12
P. Schick, Mémento d'audit interne, 2007, Dunod, p110
33
3) Guide aux auditeurs
4) Documentation sur le déroulement de la mission
5) Capitalisation du savoir-faire du service pour servir d’exemple aux autres missions.
La feuille de couverture
La feuille de couverture est le document qui fait la description les modalités de mise en
œuvre d’une tache définie dans le programme de vérification, puis la mise en évidence les
conclusions tirées.
La feuille de révélation et d’analyse de problème

La FRAP est le papier de travail synthétique par lequel l’auditeur présente et documente
chaque dysfonctionnement. Elle facilite la communication avec l’audité concerné.
La phase de conclusion
Elle exige également et avant tout une grande faculté de synthèse et une aptitude certaine à
la rédaction, encore que le dialogue ne soit pas absent de cette dernière période. C’est le
temps des engagements et de planification.
L’ossature du rapport
L’ossature du rapport est l’enchainement des messages que l’auditeur interne veut délivrer
dans le rapport concluant la mission, elle est élaborée à partir des « problèmes » figurant sur
les FRAP, cette ossature peut donc servir du support à la présentation, guider le montage du
corps du rapport et à la rédaction de son résumé.
Le compte rendu final au site

C’est la présentation orale par le chef de mission au principal responsable de l’entité auditée,
des observations les plus importantes, il est effectué à la fin du travail terrain.
Le rapport d’audit et sa validation

Le rapport d’audit interne communique aux principaux responsables concernés pour action,
et à la direction pour information, les conclusions de l’audit concernant la capacité de
l’organisation auditée à accomplir sa mission, en mettant l’accent sur les
dysfonctionnements pour que soient développées des actions de progrès. Il constitue le point
culminant de la mission, mais non sa fin.
34
Quant à la réunion de validation, elle est tenue entre auditeurs et audités. Cette réunion a
pour objet de recueillir l’avis des audités sur les constats, raisonnements et conclusions de
façon à rendre le rapport incontestable.
Les recommandations et leur suivi
Les destinataires des recommandations majeurs doivent identifiés dans le rapport d’audit
doivent proposer en contrepartie un plan d’actions avec un responsable désigné et une date
cible de mise en œuvre.
3-6 Le rôle de l’audit interne dans la gestion des risques
L’application de la gestion des risques, l’audit interne et le contrôle interne doit être
permanente au sein de l’organisation. Pour ce, L’évaluation des risques doit suivre un
processus continu, le rôle de l’auditeur est donc d’apporter une « appréciation
indépendante » de l’efficience, de l’efficacité et de l’application des dispositifs de contrôle
interne. L’audit interne contribue alors à la facilitation de l’identification et l’évaluation des
risques. Pour cela, l’entreprise doit disposer de procédures et de normes claires et cohérentes
en matière de risque.
35
3- Evaluation du dispositif d’audit interne
« L’audit interne est à l’intérieur d’une entreprise ou d’un organisme, une activité
indépendante d’application du contrôle des opérations, il est ou service de la direction …
c’est un contrôle qui a pour fonction d’estimer et d’évaluer l’efficacité des autres
contrôles… »13
Pour ce faire la vérification du dispositif de contrôle doit respecter l’acheminement suivant :
4-1 La prise de connaissance générale de l’entreprise
L’ISA14 315, 2, énonce que l’auditeur doit acquérir une connaissance de l’entité et de son
environnement, y compris de son audit interne, qui soit suffisante de lui permettre :
• D’identifier et évaluer le risque que les états financiers contiennent des anomalies
significatives, que celles-ci résultent de fraudes ou d’erreurs.
• De concevoir et de mettre en œuvre des procédures d’audit complémentaire.
La connaissance de l’entité est un processus interactif qui continue durant toute la durée de
l’audit.
L’ISA 315 énonce dans ses paragraphes 22, 25, 28,30 et 35 que :
• L’auditeur doit acquérir la connaissance du secteur d’activité concerné, de l’environnement

réglementaire et des autres facteurs externes, y compris le référentiel applicable.
• L’auditeur doit acquérir la connaissance sur les objectifs stratégiques de l’entité, ainsi que
des risques relatifs, liés à l’activité qui peuvent engendrer des anomalies significatives dans
l’organisation.
4-2 descriptions des procédures
Cette phase s’effectue en référence à des informations collectées lors de la phase précédente.
Elle permet de savoir comment sont accomplies les opérations étudiées. Pour ce faire le
réviseur a le choix entre le narratif ou leflowchart.
13
Lionel collins et gerardvalin : audit et contrôle interne, oper et stat.page 23
14
ISA : Internationalstandards on auditing
36
4-3 Vérification de l’existence des procédures
Cette phase vise àvérifier que les descriptifs établis dans l’étape précédente représentent bien
la procédure telle qu’elle est prévue et voulue par l’entreprise. Pour cette fin, l’auditeur
prend une quantité restreinte d’opération et examine que les contrôles envisagés sont
procédé. On parle alors de test d’existence ou de conformité
4-4 évaluations préliminaires des procédures.
Cette phase permet à l’auditeur d’exprimer une opinion vis-à-vis la qualité des procédures.
Elle lui permet également d’apprécier l’adéquation des traitements et contrôles mis en
œuvre. Il estime à ce stade la capacité des procédures à éliminer les risques de fraude et de
perte. En déterminant les points forts et faibles résultants de la conception de ces dernières.
Pour cette raison, l’auditeur doit recourir au questionnaire de contrôle interne(QCI) et à la
grille d’analyse.
4-5 Vérification des points forts
Elle se fait par le teste de permanence et permet de s’assurer que les points forts ont
fonctionné de façon constante. Il sort de ce test : les faiblesses d’application des procédures.
Aussi, l’auditeur choisit au hasard un nombre significatif d’opérations entièrement traitées à
l’aide des procédures étudiées.
4-6 évaluations définitives du dispositif
Elle fait suite aux différents tests de contrôle effectués. Le réviseur est ainsi amené à faire la
synthèse des points forts et points faibles, découlant soit d’un défaut de conception ou soit
d’une mauvaise application du système.
Cette synthèse va lui permettre de déterminer l’impact de ces forces et faiblesses sur la
qualité des informations requise et décider de la confiance à accorder au dispositif de
contrôle.
37
Chapitre 2 : La cartographie des risques
Le manager a pour première motivation, d’avoir une avance par rapport aux événements qui
peuvent confronter son environnement de travail, pour mieux réagir. L’identification du
risque, et l’appréciation de son incidence est de ce fait, la seule et unique formulation de
maîtrise des risques en entreprise.
Pour ce fait, le Manager doit être outillé d’un support de mesure suffisamment efficace, pour
déterminer, analyser et piloter la gestion des risques d’un point de vue opérationnel. On
parle alors de la cartographie des risques.
La cartographie des risques est aujourd’hui d’actualité, vu qu’elle représente à la fois : un

outil de représentation/hiérarchisation des risques, un mode de management stratégique et
une aide à la prise de décision.
Dans cette partie, nous allons comprendre au mieux la notion de « Cartographie de risque
opérationnel », ses approches et ses étapes d’élaboration.
38
1- La notion de cartographie de risques
Pour que les états financiers répondent aux objectifs et caractéristiques qui leurs sont
assignés, il va falloir que les risques opérationnels du processus à l’origine de son
élaboration soient à même maîtrisés. Pour cela, ces risques doivent être préalablement
identifiés, évalués puis structurés. Une des solutions privilégiées, dans ce cas, est l’usage de
la cartographie des risques. Cette dernière constitue une étape préparatoire à la définition
d’un processus de management des risques. Sa mise en place requiert l’appel à plusieurs
méthodes et à plusieurs outils. Ce chapitre essayera de nous éclaircir sur cette notion et de
nous présenter les différentes étapes de son élaboration.
1-1 définition de la cartographie de risque
« La cartographie des risques est un instrument de gestion des risques introduit récemment
dans la panoplie de risk-manager. Son développement a été une conséquence directe de
l’approche globale ou holistique introduite au cours des dix dernières années aux Etats Unis
sous l’acronyme ERM (Entreprise-wideRisk Management), dont la meilleure traduction en
français est, de notre point de vue, ‘’gestion stratégique des risques »15
Une cartographie des risques peut être désignée comme un outil de management qu’une
entreprise peut mettre en œuvre pour avoir une vision d’ensemble des risques auxquels elle
s’expose. Elle se présente sous forme d’un graphique à laquelle sont représentés les risques
et leurs paramètres. De la sorte, il est aisé d’identifier les plus significatifs et les moins de
significatifs.16
Il existe plusieurs formes de cartographie, adaptées en fonction des objectifs fixés, et selon
l’organisation et le mode de communication de l’entreprise. Toutefois, ces représentations
ce sont que des lieux des risques à un moment donné « Sur le plan pratique, la carte de
risques à un instant donné est un tableau à double entrée, figurant sur un axe les probabilités
de survenance d’un risque (fréquence ou vraisemblable), et sur l’autre la gravité des
conséquences impact ».
15
,Jean Paul Louissot, Diagnostic des risques, AFNOR :98.
16
RENARD, IFACI, 2006 :221.
39
1-2 objectifs de la cartographie de risques
La cartographie des risques permet d’atteindre les objectifs suivants17 :
• inventorier tous les risques ;

• les hiérarchiser ;
• fournir une vision d’ensemble aux décideurs ;
• orienter les stratégies d’action ;
• suivre l’efficacité des actions mise en œuvre ;
• communiquer les résultats.
1-3 les motivations d’établissement d’une cartographie
Plusieurs facteurs peuvent enthousiasmer les dirigeants d’entreprises à élaborer une

cartographie des risques plutôt qu’à chercher d’autres outils de gestion des risques. Parmi
ces facteurs nous pouvons mentionner que :18
• la cartographie sert de boussole pour les organisateurs et informaticiens, d’outils de travail et
de reporting pour les directions des risques et de guide et de planification pour les auditeurs.
• A l’aide de la cartographie permet à l’organisation de prendre conscience de l’étendue de
son exposition au risque. Et pilote ainsi ses efforts de réduction /gestion de risque.
• En termes de communication, la cartographie des risques est utile pour justifier l’ordre de
priorité des différentes actions à entreprendre.
1-4 les facteurs clés de succès d’une cartographie des risques :

Plusieurs éléments facteurs peuvent participer à la réussite d’une cartographie des risques.
Ils se présentent comme suit :19
• Le degré de prise en compte de la thématique du risque dans les orientations.
• l’appui et l’implication de la Direction générale, qui doit donner l’élan à l’ensemble du
dossier, et surtout créer les conditions et procurer les moyens nécessaires pour réaliser cette
cartographie des risques, ce qui passe inévitablement par l’allocation de ressources dédiées ;
17
RENARD &al 2006 :14 et JIMENEZ & al 2008 :116
18
KERBEL, 2009 :52 ; CUBARA &al, 2009 :160 :
19
(Lenel&al,2009 :4 ;IFACI,2066 :13 ;moreau&al,2002 : 136 ; lacroix&al,2007 :31)
40
• la capacité à mobiliser les partenaires sur une période restreinte ;
• la création d’un climat de confiance au sein de l’équipe projet, appuyé par une
communication efficace autour du caractère « auto évaluatif » de l’exercice ;
• la clarification au préalable des objectifs poursuivis, permet d’avoir une vision cohérente de
la démarche à adopter ;
• La désignation d’un Risk Manager pour guider les interlocuteurs ;
• La définition d’un langage spécifique à la gestion des risques, elle permet de ne pas
amplifier les différences de perception de risques entre collaborateurs impliqués ;
• Le coût et le temps, besoin d’optimiser organisation, planning et méthodologie ;
• Le recours à des consultants en tenant compte du temps imparti ;
1-5 les types de cartographie
Plusieurs types de cartographies des risques peuvent exister dans une entreprise, et le choix
du type dépend du type de risque mené. Pour cela, deux grandes options se présentent. Lenel
& al, 2009 :5, Mareschal, 2003 :17
• La cartographie globale :vise à recenser tous les risques qui pèsent sur une entité
(service, entre, groupe). Elle permet de réunir, classifier, et comparer des risques
différents pour une même organisation.
• La cartographie thématique :contrairement à celle globale la cartographie
thématique se limite à un domaine spécifique. Elle peut être réalisée, par exemple,
sur les risques des systèmes d’information, les risques juridiques, les risques liés aux
achats, les risques de change, ou encore les risques de projet.
C’est sur ce second type de cartographie que nous allons mettre l’accent car nous
n’allons aborder dans la suite du rapport que les risques du processus d’achat,
cependant nous pouvons signaler qu’il existe plusieursformede cartographie à savoir
le spectre, le polygone, la matrice, o encore le tableau.
41
2- La démarche d’élaboration d’une cartographie de risques
Cette section traite la démarche d’élaboration d’une cartographie des risques, selon les
différentes approches, ainsi que les étapes de d’élaboration d’une cartographie à partir de
l’identification des risques jusqu’à leur évaluation.
2-1 Les différentes approches de cartographie des risques

Pour un développement du contrôle du risque, l’organisation doit commencer par
l’identification des risques et de ses facteurs internes qui pouvaient l’empêcher d’atteindre
ses objectifs. Pour élaborer cette identification, il faut tout d’abord comprendre et analyser
les éléments opérationnels de l’organisation, et ce, par l’une des manières suivantes :
identification bottom-up, identification top down et identification combinée20.
• Approche de Bottom-up
L’approche de Bottom-up, est une approche qui consiste en l’identification des risques à
partir les opérationnels, en les considérant comme étant les plus proches aux activités et au
processus de l’organisation, pour remonter ensuite vers les responsables afin d’élaborer la
cartographie. Pour identifier les risques selon cette approche, on utilise généralement les
entretiens et les interviews. Cette approche aide à une bonne connaissance de l’organisation,
puisque l’identification des risques se fait par les opérationnels qui sont plus proches aux
activités d’où vient le risque.
• Approche d’Up-down
L’approche d’Up-Down se fait à travers des questionnaires qui sont élaborés par les
responsables de l’élaboration de la cartographie des risques, il s’agit dans cette approche de
chercher les informations auprès des opérationnels, au lieu que les informations montent
vers les responsables.
• Approche par identification combinée
Selon cette approche, afin d’assurer une identification bien déterminée des risques,
l’approche du Bottom-Up et d’Up-Down deviennent complémentaires, il s’agit de faire une
combinaison des deux approches, et alors d’identifier les risques à travers à la fois des
20
Mahieddine&Feghali (2004 : 52-53) ; Renard (2003 : 100-101)
42
questionnaires établit par les responsables pour assurer une identification des risques
globaux, et par les opérationnels pour assurer une identification des risques locaux.
2-2 Etape d’élaboration d’une cartographie de risque
Dans cette partie nous allons présenter une revue de littérature en la matière. Les étapes d’ordre
pratique en relation avec l’organisme d’accueil seront présentées dans la deuxième partie de ce
rapport.
La réalisation d’une cartographie des risques, passe par plusieurs phases, qu’on peut simplifier en
une succession d’étapes ordonnées suivant une méthodologie bien précise de recherche, a savoir :
• La phase de préparation
La phase de préparation est une phase d’une grande importance, elle permet la définition de
la thématique à étudier, le périmètre d'activité ou processus à couvrir, le seuil de pertinence
(importance des risques), cette étape permet ainsi la bonne structuration de la cartographie et
la méthodologie de son élaboration.
• La phase de réalisation
Début de la mise en marche effective de la démarche, cette phase constitue la plus

importante du processus selon les neuf auteurs précités, puisqu'elle permet aux dirigeants de
prendre des décisions en matière de gestion des risques et également prendre en compte les
priorités du management. Selon la synthèse des points de vue de Maders&Masselin (2006
:6), Renard (2006 :141-144), Baspt et Bergeret (2002 :12) et Belluz (2002: 3) cette phase
comprend plusieurs étapes, à savoir: l'identification des risques, l'évaluation des risques
identifiés, la hiérarchisation des risques et formalisation de la matrice des risques,
identification et évaluation du dispositif de maîtrise des risques.
• Identification des risques opérationnels
Cette étape permet l’identification des événements à risques qui peuvent avoir des
conséquences sur le déroulement du processus de l’organisation. On peut utiliser plusieurs
techniques d’identification des risques, p, on utilise plusieurs techniques d'identification des
risques potentiels dont nous citons ici quelques-unes :
43
• l'identification basée sur les actifs créateurs de valeurs :Il s’agit de déterminer les actifs
créatifs de valeur et en dégager les risques liés.21
• l'identification basée sur l'atteinte des objectifs: Il est crucial de dissocier les objectifs
de contrôle interne en trois divisions, à savoir : les objectifs de fiabilité comptable, les
objectifs de sécurité et de régularité, et enfin les objectifs de performance;22
• l'identification basée sur les check-lists:Cette étape permet de s’assurer qu’aucun risque
n’est négligé, après avoir fait un état de l’ensemble des risques possibles en se basant sur les
activités.
• l'identification par analyse historique:Il s’agit de revenir sur les risques déjà apparus au
sein de l’organisation, tout en tenant compte des autres risques qui peuvent survenir à cause
des changements et des facteurs externes et internes.
• l'identification basée sur l'analyse de l'environnement : Il s’agit de déterminer

lesrisques liés à l’environnement dans lequel évolue l’organisation.
• l'identification par analyse des activités: Il s’agit de faire un découpage des activités de
l’entreprise en tâches faciles à observer. Pour ce, chaque tâche non effectuée sera rattachée à
ses risques.23
Pour mettre en place ces techniques d’identification, il est nécessaire de mettre en œuvre les
outils suivants :
Le questionnaire : Il s’agit de déterminer les risques tout en obtenant des informations

concernant l’exécution des tâches ainsi que l’identification de celles mal comprises par les
exécutants.24
L’interview : cet outil se fait par la détermination d’une grille qui permet l’assurance que
les risques sont évoqués lors de l’interview.25
• les tableaux d'identification :Il existe plusieurs tableaux d’identification des risques dont
on citera celui de Renard et le tableau des forces et faiblesses.
21
(Bapst, 2003 : 13);
22
Maders&Masselin (2006 :47),
23
Renard (2006 :220--222).
24
Maders&Masselin (2006: 57)
25
(De Mareschal, 2003 : 16)
44
Tableau 1 : Identification des risques selon Renard
> I=Risque important, M=Risque moyen, f=Risque faible
> Dispositif de contrôle interne devant exister pour faire échec au risque identifié
> Existence Oui ou Non du dispositif identifié
Tableau 2 : Tableau des forces et faiblesses apparentes (TFfA)
• Identification des risques
Exemple :
Tâches Objectifs Risques Evalua Dispositif de Constat

tion contrôle *
interne*
Valorisation S’assurer que -Valorisation des F Existence des Non
des stocks les stocks sont stocks erronée. règles
correctement -Provision M formalisées en
valorisés erronée. matière de Oui
I valorisation des
stocks.
I=Risque important, M= risque moyen F= Risque faible
45
*dispositif de contrôle interne devant exister pour faire face au risque identifié.
** existence oui ou non du dispositif identifié.
Source : inspiré de Renard (2006 : 226) et Schick (2001 :118).
• Evaluation des risques
Les risques analysés et identifiés doivent être évalués. Pour estimer le risque deux méthodes
existent :
La méthode quantitative et celle qualitative… et aucune d’elles ne s’impose. On trouve de

tout : du bon comme du mauvais.» 26
Méthode quantitative :
Cette méthode consiste à évaluer le risque caractérisant un événement redouté en mesurant

le couple probabilité, gravité. Généralement précise, elle est utilisé dans les activités plus
complexe afin d’apporter un complément aux techniques qualitatives. Pour ce faire elle fait
recours à des moyens statistiques rigoureux qui réclament constamment des analyses et
tableaux de plus en plus subtiles et exhaustives.
Néanmoins, la méthode quantitative reste difficile à appliquer en raison de diversité des

risques, et également compte tenu du fait qu’elle peut s’avérer inadaptée dans certains cas
comme lors d’insuffisance de données de pilotage des risques.
Méthode qualitative :
Pour chaque risque, l’évaluation se réalise au regard de :
o L’appréciation de sa fréquence de survenance (probabilité).
26
(CURABA ,2009 : 45).
46
o L’appréciation de son impact potentiel (gravité).
A cet égard, l’évaluation d’un risque consiste donc à produire des informations justifiables
sur ses paramètres. Pour cela, elle doit être précédé d’un ensemble de travaux de recherche
et d’analyse d’informations dans le but de confirmer ou d’étayer le résultat obtenu.
• Hiérarchisation des risques.
Cette étape est basée sur une doctrine qui parle de l’inexistence du concept du « Risque
zéro », car il n’y a pas de moyen pour contrôler et éliminer tous les risques, et de ce fait on
admet que le risque est inhérent aux affaires de manière générale. La considération des
risquespasse par une certaine hiérarchisation de ces derniers, car de ce fait on est entrain de
faire part de notre aversion à l’importance du risque, et que chaque risque a un poids
différent par apport à l’autre, en termes d’occurrence et d’impact.
¨Pour bien les gérer, les risques identifiés et évalués doivent être hiérarchisés. Cette
hiérarchisation « du risque le plus fort eu risque le plus faible, tient compte de leur
criticité(probabilité/ impact).
• Matrice des risques :
Pour chaque couple de gravité et de probabilité, on retient un risque auquel on joigne une
criticité. Les risques et leurs criticités sont exposés sous forme d’un tableau, une matrice ou
polygone, et classifiés selon leurs gravités. Ceci permet d’avoir rapidement une vision
intégrale des éléments susceptibles d’empêcher la bonne marche de l’activité et le degré de
leur maîtrise estimé.
47
La cartographie des risques est présentée le plus souvent sous la forme d’une matrice. Son
déchiffrage et son interprétation va permettre de prévoirdes stratégies de prévention et de
correction de risques. Ces derniers sont classés puis communiqués à tous les niveaux de
l’entreprise, devenant ainsi un véritable outil de pilotage interne27. Les risques ou activités
jugés trop risqués devant être traités en priorité après leur identification. Des mesures
adéquates peuvent alors être prises pour les ramener à un niveau acceptable, ce qui n’est pas
sans conséquences dans la mise en œuvre du dispositif.
Avoir construit la matrice des risques représente donc une étape essentielle dans la mise en
œuvre du dispositif. Toutefois, « elle ne meut être le résultat en soi. Le véritable succès de
son utilisation doit être des plans d’action dont le suividevant permettre de réduire
l’exposition au risque ».28
7
6
5
4 Critical Risk
3 High Risk
2 Medium Risk
1 Lowrisk
Impact
0 1 2 3 4 5 6 7
Probabilités
Figure 3 : exemple d’une cartographie de risque .
Via ce classement des risques, et utilisant de la formule = probabilité x impact, nous retenons que les
risques faibles ont une valeur comprise dans l’intervalle 1 à 7, ceux qui sont moyens se retrouvent
dans la fourchette de 9 à 20, ceux qui sont forts entre 25 et 30, et enfin les risques critiques ont une
cotation allant de 36 à 49.
27
(IFACI, 2006 :18 ; BAOST, 2002 :36
28
AMAR ,2003 : 69).
48
On note que différentes méthodes de notation peuvent être déployés, mais qui sont utilisés à la base
pour les activités bancaires complexes à « The AbsoluteRanking », ou encore les 5 niveaux « The
Relative Ranking
2-3 La phase d’action :
La phase d’action définit l’étape au cours de laquelle toutes les actions d’amélioration vont
être mises en œuvre en vue de modifier le profil des risques existant sur la matrice, les
risques les plus élevé constitueront les premiers risques à être traités. Cette étape permettra
ainsi de ramener les risques résiduels à un niveau acceptable. Cela va se traduire sur le
niveau pratique par la définition et la mise en place du plan d’actions qui définit les
mesures retenues, les responsables derrière l’application de ces mesures et les délais de
réalisation.
Les responsables choisis auront la lourde charge de rendre compte de l’état de l’état
d’avancement du plan en se servant de fiches de suivi, de tableau de bord ou en produisant
des rapports. Quant au délai, celui-ci ne devra pas être trop long entre la date de l’annonce et
celle de la mise en œuvre des actions.
Toutefois, tout ceci requiert un degré de prise en compte de la gestion du risque dans les
objectifs du management. Il sera donc intéressant que ces différentes actions soient prises en
compte au niveau des objectifs individuels des managers, et que les acteurs devant le mettre
en œuvre puissent évidemment le faire fonctionner.
. Ci-dessous un exemple de plan d’action tel que définie par le guide méthodologique AMARIS29 de
plan d’action :
Plan d’Action de l’année 20XX

Processus majeur :
N° : Actions à mener : Responsabilité : Période de Avancement :
réalisation :
Objectifs Moyens mis Indicateur de Etat
en œuvre suivi
Figure 4 : exemple d’un plan d’action .
29
L’association nationale des communes pour la maîtrise des risques technologiques majeurs – France.
49
2-4 La phase de reporting sur les risques et recommandations :
Cette phase consiste à établir un reporting des risques et des performances de manière à
relever, en temps réel, des différents engagements de l’entreprise également de son soutien
par la prise de décision. Le reporting doit donc permettre de suivre les risques30. De ce fait
lereporting va constituer une première remontée, aux instances de l’entreprise,
d’informations relatives aux risques et à recommandations opinées. Ces informations
devront être de ce fait pertinentes et fiables de telle sorte qu’une fois délivrées à ses
destinataires, ceux-ci parviennent à déployer les meilleurs parties de leurs efforts en matière
de management.
2-5 La phase de vérification de l’efficacité des recommandations :
Un suivi et un contrôle du degré de mise en œuvre et d’application des plans d’action, doit
être organisé afin de permettre de vérifier leur existence, leur état d’avancement leur
efficacité et leur efficience. Et cela va de l’intérêt de la cartographie de risque qui doit être
constamment modifiée et mise à jour. En entreprise, le Risk Manager, les auditeurs ou même
le responsable de la sécurité sont impliqués dans la réalisation de cette phase.
Au cours de cette phase, les différentes actions de progrès mises en place sont guidées, et le
rapport d’avancement du plan analysé doit être rédigé à chaque vérification. Ceci peut
s’effectuer particulièrement en procédant par une réévaluation périodique des risques
identifiés ou encore à travers des vérifications sur le terrain du rapport d’avancement
adressé,en procédant par des audits, tests et contrôles. A cet effet, les résultats des travaux
vont devoir décider de la suite à donner au travail : la mise à jour si nécessaire du plan
d’action ou de celle de la cartographie.
2-6 Amélioration et mise à jour de la démarche
Avoir finalisé la cartographie des risques de son entreprise représente une étape essentielle
dans la mise en œuvre du dispositif d’audit interne. Encore faut-il ensuite, faire vivre cette
cartographie des risques en l’actualisant régulièrement. «A défaut, en compte tenu de la
rapidité de l’évolution e la vie de l’entreprise, cette cartographie deviendrait rapidement
inopérante et l’entreprise perdait le bénéfice de l’investissement réalisé eu départ 31
Par ailleurs, cette actualisation sera facilitée s’il existe notamment :
30
(PIGE ,2011 : 100),
31
(JIMENZER , 2008 :103) .
50
• Un comité des risques au niveau de l’entreprise ;
• Un responsable des risques au sein de chaque entité opérationnelle.
Enfin, des facteurs tels les révolutions réglementaires, les nouveaux risques, les incertitudes
croissantes liées à l’environnement, rendent indispensable cette actualisation.
Figure 5 : phases d’analyse et de gestion des risques.
51
Chapitre3 : Audit interne et pratiques du risque management dans les
établissements public
Le secteur public représente plusieurs spécificités en termes d’organisation, procédures,

culture d’entreprises, contrôle,objectifs et enjeux de l’organisation. Pour ces raisons nous
allons consacrer le chapitre ci-dessous à l’étude des particularités de l’audit et du
management des risques au secteur public.
52
1- Les raisons de la mise en place de l’audit au sein du secteur public
L’audit interne est devenu dans nos jours, une fonction nécessaire au sein de chaque entité,
auparavant, cette fonction se présentait dans les grandes entreprises privées, cependant
aujourd’hui, cette fonction fait part aussi des entreprises publiques pour la valeur ajoutée
qu’elle leur attribue. Cette section traite alors les différents raisons de la mise en place de
l’audit au sein du secteur privé.
1-1 La privatisation
La privatisation d’une société n’est pas qu’un simple transfert de propriété, elle peut aussi
s’accompagner d’un changement des dirigeants, ce qui nécessite l’évaluation des
organisations publiques, afin de donner une clarté efficace de l’opération.
1-2 Le processus d’ouverture internationale
L’audit fait partie aujourd’hui de l’internalisation des échanges à travers l’introduction de

nouvelles pratiques managerielles.
1-3 Nécessité d’une bonne gouvernance
Afin d’assurer une bonne gouvernance au sein de l’organisation, l’audit public est considéré
comme étant un facteur clé de succès à travers l’’évaluation objective et opérante de la
gestion des ressources publiques afin d’atteindre les objectifs voulus. Les auditeurs
permettent aux organisations d’opérer de façon responsable.
Pour cet effet, une lettre royale de sa majesté le Roi feu Hassan II a été envoyée au premier
ministre concernant l’audit au sein des entreprises publiques, et recommandant l’importance
d’un audit efficace afin de vérifier les états financiers pour s’assurer de l’image fidèle des
entreprises.
53
2- La place de l’audit au sein du secteur public
Cette section traite de la place de l’audit au sein du secteur public, pour contrôler
l’utilisation que les fonctionnaires ont fait des ressources et de la mesure dans laquelle les
objectifs du principal ont été atteints. Pour cela, on peut relever certains points à éclaircir :
2-1 Risques sur le plan éthique, conflits d’intérêts
Les agents peuvent utiliser les ressources et les pouvoirs qui leur sont confiés pour
favoriser leurs propres intérêts plutôt que ceux du principal.
2-2 Éloignement
Les activités peuvent échapper physiquement à la surveillance directe du principal.
2-3 Complexité
Le principal ne possède pas nécessairement l’expertise technique nécessaire pour superviser

l’activité.
2-4 Conséquences des erreurs
Des erreurs peuvent être coûteuses lorsque les agents se voient confier la gérance de
quantités importantes de ressources et sont responsables de programmes ayant des
répercussions sur la vie et la santé des citoyens.
54
3- Les rôles de l’audit au sein du secteur public
En tant qu’un élément important au sein de l’organisation, l’audit public affermit les rôles de
surveillance, d’information et de prévoyance de la gouvernance.
1-1 La Surveillance
Le rôle de l’auditeur est ainsi un rôle de surveillance, dans la mesure où il est chargé
d’évaluer le travail des entreprises publiques si elles exercent leur travail comme il le faut et
conformément aux réglementations, les audits chargés sur la surveillance visent à assurer et
vérifier l’image fidèle de l’entreprise à travers ses états financiers afin de s’assurer de la
performance et de la situation financière de cette entité.
1-2 La Détection :
Il s’agit de détecter et d’identifier les anomalies, les abus, les fraudes et les déviations
produits afin de prendre les décisions judiciaires et disciplinaires ainsi que correctionnelles.
De ce fait, les formes de détection peuvent se résumer ainsi :
• Audits visant l’identification des actes de fraude et des déviations à partir de des plaintes ou
des éléments suspects
• Audits par cycles, comme par exemple, achats, stocks, immobilisation.
• Audits visant de vérifier et d’analyser les états financiers afin de servir comme fondement
lors de l’établissement de preuve au cas d’actions judiciaires.
• Vérification du climat de travail lors de l’établissement et la mise en place des lois et
réglementations contre tout conflit d’intérêt.
1-3 La Dissuasion
Il s’agit d’identifier et d’opprimer toute condition conceptrice de corruption en assurant une
évaluation des contrôles exercés sur les fonctions existantes, ainsi que d’examiner les lois et
réglementations appliquées.
55
1-4 L’Information
La communication des informations acquises par les auditeurs facilite la prise de décisions.
Toutefois, l’audit constitue un modèle d’apprentissage continu qui permet aux gestionnaires
d’être à jour et de dresser des politiques de gestion qui permettent la modification des
pratiques déjà établis et qui connaissent des déviations dans leur fonctionnement.
1-5 La Prévoyance
Le métier d’auditeur n’est pas seulement d’aider à des actions correctionnelles, mais
toutefois de prévenir et aider à regarder à l’avant en se focalisant sur les enjeux à venir avant
d’atteindre l’état d’anomalie. L’audit peut à travers l’analyse des facteurs internes et
externes à l’environnement de l’organisation d’élaborer des actions préventifs en identifiant
les risques et les menaces provenant du progrès technique et scientifique.
56
Conclusion
En matière de gestion de risque, l’audit présente plusieurs méthodes

de contrôle, prévoyance, et gestion de risques, ceci émane du souci que porte les
auditeurs vis-à-vis l’amélioration des performances de leur organisation, et
également des dangers éventuels auxquels ont exposés les entreprises de façon
permanentes de la part de leur environnement interne ou externe. C’est pourquoi
les théoriciens ont produit des référentiels et outils d’analyse pertinents assurant
ces missions.
Le secteur public offre place à des technicités d’audit bien distinctes
qui rendent le métiers des auditeurs ou des riskmanager encore plus exigeantes
et pertinentes. Dans la partie qui suit nous allons expérimenter en pratiques les
différentes assertions théoriques étudiées dans la partie théorique, et ce, en
traitant le cas pratique du Groupe ONCF
57
Deuxième partie : cadre empirique
Cette deuxième partie est consacrée à la mise en place concrète de la gestion

du risque opérationnel, à travers l’adaptation de l’un de ses outils les plus
performants à savoir : la cartographie des risques.
De ce fait, nous allons commencer par la présentation du groupe ONCF autant

qu’organisme d’accueil ; ensuite nous allons parler de l’organisation générale
d’audit et sécurité, ensuite nous allons aborder et évaluer l’entité achats,et son
modèle adapté pour la gestion du risque.
D’autre part nous allons toucher l’essentiel de notre mission, ses objectifs, la
méthodologie suivie ainsi que les outils de recherche utilisés ; pour présenter le
résultat final, celui de l’Elaboration de La Cartographie des Risques
Opérationnels du processus achat.
58
Chapitre 1 : Présentation du Groupe ONCF
Le chapitre ci- dessous sera dédié à la présentation de l’organisme d’accueil et des services
qui ont constitué le sujet de notre mission.
Cette présentation va nous permettre d’identifier le concept général lié au stage et à la

mission que nous avons réalisée, chose qui permettra de mieux assimiler la problématique et
les particularités liées à son traitement.
59
1 Présentation du Groupe ONCF
Cette section présente l’organisme d’accueil, les missions du groupe ONCF ainsi que les
missions des services sujet de notre stage.
1-1 Organigramme
60
1-2Historique
La construction du réseau des chemins de fer du Maroc remonte au début du 20ème siècle.
En effet, les premières lignes construites à voie de 0,60m ont été établies à partir de 1916 et
ce n'est qu'en 1923 que la construction des voies à écartement normal a été confiée à trois
Compagnies concessionnaires privées.
Ces dernières se partagèrent le trafic ferroviaire, en exploitant chacune la partie du réseau

qui lui était concédée, jusqu'en 1963. La même année, le Gouvernement Marocain a décidé
l’acquisition des concessions et la création de l'Office National des Chemins de Fer (ONCF)
qui est un établissement public à caractère industriel et commercial doté de la personnalité
civile et de l'autonomie financière et placé sous la tutelle administrative du Ministère de
l’équipement et du transport et sous la tutelle financière du ministère des finances et de la
privatisation.
1-3Mission
Le groupe ONCF mène des actions vigoureuses sur les plans commerciaux, organisationnels
et techniques dans le but d'améliorer la qualité de ses prestations, parfaire ses méthodes de
gestion, consolider sa position dans le marché national des transports et par voie de
conséquences développer le réseau ferroviaire en tant qu’outil incontournable de relance
socio-économique.
• Mission sur le plan commercial :
Le groupe ONCF met en œuvre une nouvelle démarche orientée vers les clients. Celle-ci
vise une meilleure maîtrise des coûts et le développement de l'activité de l'entreprise par une
connaissance approfondie des besoins de la clientèle afin de définir rigoureusement les
services à offrir et les créneaux à promouvoir.
61
• Mission sur le plan technique :
Le groupe ONCF focalise son effort technique essentiellement sur :

Le doublement et la rectification du tracé sur l'axe Sidi-Kacem – Fès ;
Le renforcement des installations de sécurité et de signalisation ;
L’acquisition de nouvelles rames voyageurs de haut standing ;
une formation rigoureuse du personnel et du contrôle permanent ;
la maintenance et la modernisation des installations fixes.
• Mission sur le plan organisationnel :
Les efforts de Le Groupe ONCF sont d’autant plus importants et se présentent comme suit :
La mise en œuvre de mesures organisationnelles et de méthodes de gestion modernes
visant l'efficacité, l'économie et l'optimisation des moyens de production ;
L'allégement des structures et des procédures et la décentralisation des
responsabilités ;
L'optimisation de la gestion des stocks et des charges de fonctionnement en
maîtrisant les coûts de maintenance des installations fixes et du matériel roulant ;
La valorisation des ressources humaines et la rationalisation des effectifs avec
refonte du cadre de travail ;
L'adoption d'une culture d'entreprise fondée sur l'esprit de rentabilité et le principe de
recherche de gisements de progrès pour la satisfaction du client ainsi que le renforcement
des canaux et circuits de communication internes et externes ;
L’amélioration de l'image de marque de Le Groupe ONCF en associant son nom à la
compétence, la qualité, la sécurité et à l'efficacité… de sorte à inciter le citoyen pour
voyager à penser d'abord au train.
62
1-4- Fiche signalétique32
32
Wikipédia
63
2-Présentation du pole sécurité et contrôle
Cettesection présente le pole sécurité et contrôle dans lequel s’est déroulé le stage, pour ce,
on présentera l’organigramme du pole ainsi que ses missions.
2-1 Organigramme
Pôle Sécurité & Contrôle

Direction
Missions
Inspection
d’Inspection
Sécurité
Qualité /
Politique Générale Audit & Inspection
Environnement /
Sécurité & Sûreté Sécurité / Sûreté
Audit
Service Service Audit &

Règlement, Inspection
Méthodes & Veille Missions d’Audit
Sécurité / Sûreté
technologique
Service Analyse Service de la
Service Sûreté et Retour Politique Qualité
Ferroviaire d’expérience / Environnement
2-2 Objectifs du pôle
Les objectifs de performance de ce pôle sont listés comme suit :
• Réduction du nombre d’incidents Sécurité / Sûreté
• Réduction du niveau de gravité de ces incidents
• Certification Qualité des activités du périmètre de la démarche.
64
Comme il est clair sur le schéma, ce pôle comprend deux volets :
2-2-1 Un volet Sécurité & Sûreté :
Il est en charge de la définition de la Politique de Le Groupe ONCF en matière de sécurité

ferroviaire et de sûreté des biens et des personnes : évaluation du niveau de sécurité dans le
réseau, identification des grands risques résiduels et pilotage du système de management de
la sécurité : suivi des indicateurs, définition des plans d’actions d’amélioration.
Il procède à des audits de sécurité à son initiative ou à la demande de la Direction Générale

ou de l’une des Directions concernées par la sécurité.
Son domaine d’action englobe les deux volets de la sécurité :
La sécurité des circulations, des personnes et des biens transportés ;
La sécurité du personnel de Le Groupe ONCF.
2-2-2 Un volet Contrôle, Qualité & Environnement
Il anime l’implémentation du Système de Management de la Qualité et d’Environnement et

assure l’évaluation régulière, pertinente de son efficacité ;
Il évalue le système de contrôle interne au sein du groupe ONCF pour promouvoir son
efficacité au meilleur coût.
Enfin, le Pôle assure, sur requête de la Direction Générale, des missions d’Inspection (hors
périmètre Sûreté / Sécurité) afin d’instruire les affaires dites « spéciales » (fraude,
malversation, détournement, …). Les ressources nécessaires à ces missions sont nommées
de manière ad hoc par le Directeur Général.
2-3 Missions du service d’audit interne
L’équipe d’audit a pour mission :
Conception :
• Elaborer la Charte d’Audit ;
• Etablir et mettre à jour la cartographie des risques de l’organisation ;
• Élaborer les outils / méthodologies pour mener les missions d’audit (Manuel d’Audit,
guide d’audit..) ;
65
• Assurer une veille en matière de normes et pratiques nationales et internationales de l’audit
interne ;
• Elaborer le plan d’audit en fonction des demandes de la Direction Générale, des autres
directions, et des zones de risques identifiées :
-Mission d’audit assurance;
- Mission d’audit conseil.
Réalisation des audits et post-audit :
• Superviser la conduite des missions d’audits menés par des services spécialisés et les
auditeurs externes ;
• Réaliser les audits conformément au plan d’audit et aux demandes de la direction générale,
visant à s’assurer :
− du respect des systèmes de pilotage de l’entreprise ;
− des procédures, des règles, des principes de gestion ;
− de la fiabilité des informations financières et de gestion ;
− des dispositions prises pour assurer la sécurité physique des différents types d’actifs.
• Evaluer le dispositif de contrôle interne mis en place et promouvoir son efficacité ;
• Proposer des pistes d’amélioration visant la performance des structures et des processus ;
• Assister les managers à maitriser les risques associés au pilotage de leurs activités pour
l’atteinte de leurs objectifs ;
• Effectuer des diagnostics / évaluations / appréciations permanents de la performance des

processus métier de l’entreprise ;
• Suivre la mise en œuvre des recommandations des missions d’audit ;
• Formaliser le reporting nécessaire au suivi et au pilotage de l’activité Audit.
• Participer au Comité d’audit et à la rédaction du rapport d’activité annuel du contrôle

interne.
66
3-Etude du processus achat
Dans cette partie nous allons décortiquer les principaux axes liés au processus achat, à
savoir : l’organigramme, les missions, les enjeux, les classifications, et les modes de
passation de marché. Vu que ce processus constituera notre sujet d’étude et notre cible de
mission, nous avons résolu de le traiter avec plus minutie et profondeur. Avant le 1er Avril
2013, l’entité achat à l’ONCF était décentralisée (chaque pole avait sa propre entité achat),
d’où la création d’une direction achat centralisée.
3-1 Organigramme du processus achat
Directeur général
Directeur Achats
Département Département
Département Département
Etudes et fournitures et
travaux global sourcing
prestations équipements
Prestations de
service SI achat et
services et Projets Fournitures
reporting
moyens généraux
Prestations service relation

Equipements et
intellectuelles et Travaux fournisseurs et
matériels
SI marketing achat
67
3-2 Missions et enjeux
Les missions de la direction achat se résument dans les points suivants :
• Réaliser les objectifs fixés par la Direction Générale.

• Elaboration de la politique Achats en adéquation avec les orientations stratégiques de
la Direction Générale.
• Validation des procédures de fonctionnement interne de la Direction Achats,
• Mettre en place un plan de formation pour les Acheteurs
• Assurer le pilotage de la Direction Achats et assurer les outils du suivi.
• Formalisation de la politique des achats, du cadre règlementaire, des procédures
internes relatives aux achats et des contrats types.
• Elaboration des tableaux de bord Achats, suivi et mesure de la performance Achats
• Gestion du panel fournisseurs, suivi et mesure de la performance fournisseurs,
référencement des fournisseurs
• Suivi administratif des travaux de la commission d’appel d’offres
• Appui juridique (conseil, litige etc.)
• Déploiement de la politique Achats
• Consolidation prévisions d’achats : recensement et consolidation des besoins
d’achats des Pôles/Directions support, planification des actes d’achats,…
• Préparation consultation : élaboration du cahier des charges sur la base de
l’expression de besoin technique des utilisateurs, choix de la meilleure modalité de
consultation dans le respect de la règlementation,…
• Consultation : lancement des appels d’offres, participation à la commission des
marchés et analyse des offres, négociation avec les fournisseurs,…
• optimisation des coûts des achats.
3-2 Types d’achat
Les achats de Le Groupe ONCF sont répartis en trois catégories : les fournitures, les
services et les travaux. Cette distinction est importante pour le choix des procédures à
appliquer.
68
• Les marchés de fournitures tout contrat ayant pour objet l'achat, la prise en crédit-
bail, la location ou la location-vente avec ou sans option d'achat de produits ou
matériels entre un maître d'ouvrage et un fournisseur.
• Les marchés de services tout contrat ayant pour objet la réalisation de prestations de
services qui ne peuvent être qualifiés ni de travaux ni de fournitures.
• Les marchés de travaux tout contrat ayant pour objet l'exécution de travaux liés à la
construction, à la reconstruction, à la démolition, à la rénovation ou la réparation d'un
bâtiment ou d'une structure…
Dans un souci d’optimisation, les achats de Le Groupe ONCF sont divisés en 10 segments,
qui regroupent les familles, les sous-familles et les références. L’objectif de classer les
achats réalisés en fonction de leur nature permet d’éviter le risque de saucissonnage des
achats publics.
Cette nomenclature se présente de la façon suivante:
1- Services 2- Prestations 4- Système

3- Fournitures
généraux de service d’information
7- Matériel 8- Travaux
5- Travaux BTP 6- Equipements
roulant ferroviaires
9- Travaux de
10- Prestations
télécom et de
intellectuelles
réseau
3-3 Classification
Les marchés peuvent être définit comme étant des contrats écrits sur lesquels les cahiers de
charges désignent les conditions dans lesquelles les marchés sont exécutés. Les cahiers des
charges comprennent les cahiers des clauses générales CCG (pour les travaux (CCGT) et
pour les prestations de services (CCGS)),
69
les cahiers des prescriptions communes (CPC) et les cahiers des prescriptions spéciales
(CPS).33
Les cahiers des clauses générales (CCGT et CCGS) fixent les dispositions
administratives applicables à tous les marchés de travaux, fournitures ou services ou à
une catégorie particulière de ces marchés.
Les cahiers des prescriptions communes fixent essentiellement les dispositions
techniques applicables à tous les marchés portant sur une même nature de travaux, de
fournitures ou de services ou à tous les marchés passés par Le Groupe ONCF.
Les cahiers des prescriptions spéciales fixent les clauses propres à chaque marché et
comportent la référence aux textes généraux applicables et l'indication des articles des
cahiers des prescriptions communes et, le cas échéant, de ceux des cahiers des clauses
administratives générales auxquels il est éventuellement dérogé en vertu des
dispositions desdits cahiers.
Les CPS sont signés par l’autorité compétente de Le Groupe ONCF, son délégué avant le
lancement de la procédure de passation du marché.
Les marchés doivent contenir les mentions suivantes :
• Le mode de passation ;
• La référence expresse aux alinéas, paragraphes et articles du règlement des achats de
Le Groupe ONCF en vertu desquels le marché est passé ;
• L'indication des parties contractantes, les noms et qualités des signataires agissant au
nom du maître d'ouvrage et du cocontractant ;
• L'objet avec indication de la ligne ferroviaire ou la gare du lieu d’exécution de la
prestation
• L'énumération par ordre de priorité des pièces incorporées au marché ;
• Le prix, sous réserve des dispositions concernant les marchés à prix provisoires ou
les modalités de détermination du prix pour les prestations rémunérées sur la base de
dépenses contrôlées ;
33
Manuel interne des achats de l’ONCF ,p :45
70
• Le délai d'exécution ou la date d'achèvement du marché ;
• Les conditions de réception et, éventuellement, de livraison des prestations ;
• Les conditions de règlement conformément à la réglementation en vigueur ;
• Les clauses de nantissement, le cas échéant ;
• Les conditions de résiliation ;
• L'approbation du marché par l'autorité compétente.
3-4 Modes de passation des marchés
Il existe en général 4 modes de passation des marchés publics à Le Groupe ONCF qui sont :
• L'appel d'offres ;
• Le concours ;
• La procédure négociée ;
• La demande de devis pour les cas des bons de commande.
Le processus général de passation des marchés au Groupe ONCF est simplicité par le
schéma suivant :
L'appel d'offres peut être ouvert, restreint ou avec présélection. Il est dit « ouvert » lorsque
tout candidat peut avoir le dossier de consultation et présenter sa candidature.
71
Il est dit «restreint» lorsque seuls les candidats que le maître d'ouvrage a décidé de
consulterqui peuvent remettre des offres. L'appel d'offres est dit « avec présélection »
lorsque seuls les candidats présentant les capacités suffisantes sont autorisés à présenter des
offres, après avis d'une commission d'admission, notamment du point de vue technique et
financier.
Le concours met en concurrence des candidats sur les prestations qui sont appréciées après
avis d'un jury et qui préfigurent celles qui seront demandées au titre du marché.
La procédure négociée permet au maître d'ouvrage de négocier les conditions du marché

avec un ou plusieurs candidats sous des conditions régies par le règlement des achats.
72
4- Modélisation des risques opérationnels liés aux achats
En vue de réussir la cartographie de risques, il est primordial d’effectuer une analyse de

l’existant, qui ciblera les méthodes de modélisation des risques opérationnels déjà établies
par le Groupe ONCF. Cette étape nous a permis de puiser les informations essentielles pour
notre nouvelle cartographie. Pour ce faire, nous avons commencé par analyser leur grille de
séparation de tâche qui nous a aidé de comprendre le découpage du processus achat, et
d’identifier les cas de réalisations de tâches incompatibles par une même personne, , ensuite
l’analyse SWOT nous a aidé à identifier les forces et faiblesse de ce processus, chose qui
nous a permis de projeter la lumière sur quelques risques important, le flowchart quant à lui
nous a servi pour comprendre le déroulement du processus les contrôles mis en place par les
auditeurs pour accroître les performances du processus achat, et finalement l’étude de
l’ancienne cartographie de risques a aidé à identifier et corriger les erreurs qui ont causé sa
défaillance dans la nouvelle cartographie.
4-1 Grille de séparation des tâches
La grille d’analyse des tâches est un dispositif qui permet aux auditeurs de découvrir les
infractions liés à la séparation des tâches afin d’y porter remède et de faciliter la répartition
du travail. La grille contient un découpage unitaire de toutes les opérations liées à une
fonction ou un processus. Cette grille nous aidera également à détecter les
dysfonctionnements liés au cumul de fonctions ainsi que les tâches incompatibles.
Pour réaliser une grille de séparation de tâches concernant les appels d’offres, on a fait une
réunion avec le directeur des achats à l’ONCF, le directeur des achats qui nous a expliqué le
déroulement du processus achat, étape par étape ainsi que les responsables et les personnes
chargés pour chaque phase. Pour ce, notre grille de séparation aura tant de lignes que de
tâches ainsi que les personnes concernées pour chaque tâche.
Pour ce, on a établi une grille de séparation des taches pour chaque type d’appel d’offres :
appels d’offres ouverts, appels d’offres restreints, avec présélection et procédure négociée.
73
Pour les appels d’offres ouverts
Il est à noter que pour les Appels d’Offres ouverts qui doivent être ouverts en petite
commission, le COD est remplacé par le Service achat concerné.
74
Pour les appels d’offres restreints
Il est à noter que pour les Appels d’offres restreints qui doivent être ouverts en petite
commission, le COD est remplacé par le Service achat concerné.
75
Pour la procédure négociée
4-2 L’analyse SWOT
L’analyse SWOT permet d’auditer une organisation ou un service au sein de cette dernière.
Elle prend compte de son environnement interne et externe, et permet d’identifier les
facteurs clés de succès afin de définir un plan d’action stratégique. L’analyse SWOT est très
appréciée, car elle est rapide et facile à utiliser.
De notre part, nous avons opiné d’évaluer le service achat à l’aide de la matrice SWOT en
vue de porter un œil vigilent sur ce dernier, et de pouvoir spécifier :
• Les facteurs qui affectent positivement la performance du service et des acheteurs

pour veiller à les orner et exploiter.
• Les vulnérabilités qui bloquent le développement du processus et des acteurs qui y
opèrent pour les éviter. Ces faiblesses peuvent constituer des risques déjà identifiés
mais non maîtrisés face au quels le groupe ONCF doit agir pour limiter leurs
détriments
• Les opportunités qu’offre l’environnement externe pour les saisir.
76
• Et finalement les menaces qui risquent de nuire à la performance du groupe ONCF,
et qui représentent des risques probables non encore matérialisés.
D’après nos exploitations des donnés secondaires édités dans les rapports d’audit
précédents, et suite aux réponses présentés par les différents acheteurs, à leur tête le chef
de département achat lors des entretiens semi directifs que nous avons dirigé, nous
avons constitué l’analyse explicitée dans la matrice SWOT qui suit :
Forces
-très bonne expérience du groupe
Faiblesse
-marchés très important -non travail avec une cartographie de
risques achats .
--travail régit par un décret de marché public et le
règlement des achats de l'ONCF -retard de délais inhérents aux achats par
-Les personnes habilitées à valider les demandes marché public ( lourdeur des procédures )
d’achat sont bien identifiés -retard de paiement
-centralisation des achat depuis 2013
-tout besoin exprimé fait l'objet d'une demande.
-existence d'une charte de déontologie des achats.
- mise en place d'une politique d'achat solide
processus achat
Menaces
Opportunités
-enquête sur la satisfaction des -Cout d’importation élevé (barrières
fournisseurs. douanières)
-S I des achats en cours de préparation -chagement réglementaire possible, si un
-développement de la filimale ferrovière nouveau décret est publié par l'Etat.
-mise en place de la gestion éléctronique --restriction de nombre de concurrents
des documents . soumissionnaire et augmentation des prix
des offres suite au retard de paiement
-dématérialisation de l'acte d'acaht
conformément à la règlementation .
77
Ainsi les faiblesses et les menaces présentées sur la matrice SWOT définissent
préalablement quelques risques à intégrer dans la cartographie que nous souhaitons élaborer,
les forces et opportunités offrent des pistes à consolider et optimiser dans les
recommandations que nous allons présenter pour assurer une meilleure prouesse du
processus achat .néanmoins l’analyse SWOT à elle seule n’est po suffisante pour évaluer la
performance du processus achat , et sa capacité de gestion de risque :D’autres outils d’audit
doivent coordonner pour assurer cette fin , dont on peut citer le Flowchart.
4-3 Flowchart
Leflowchart ou le diagramme de circulation est un document utilisé lors des missions

d’audit qui permet la description du circuit d’informations en vue d’assurer une prise de
connaissance rapide des procédures, et assurer la bonne circulation des flux d’informations
entre les responsables. Cet outil permet alors la compréhension de l’organisation des
services audités.
De notre part, et dans l’objectif d’élaborer une cartographie des risques opérationnels du
processus achat, nous avons établi des flowcharts pour le processus d’appel d’offre, , les
flowcharts ont été réalisés afin de garantir la bonne compréhension du processus et d’avoir
une visibilité claire et précises de l’enchaînement des opérations dédiées aux appels d’offres,
cet outil nous a aussi permis de détecter les différents contrôles mis en place par le groupe
ONCF pour éviter certains risques et les vulnérabilités du processus pouvant déclencher
d’autres risques futurs :par exemple dans le cadre des appels offres retreint la direction des
achats choisis les fournisseurs sujet de l’appel, ce choix n’est soumis aucun contrôle
postérieur, ce qui peut déclencher un risque de collusion entre un fournisseur et les
acheteurs.Les informations traduites en signes sur le Flowchart ont été tirées d’un rapport
d’audit interne qui a ciblé le processus achat réalisé en Mars 201534, et ont été produite grâce
au logiciel « EDRAW Max» qui consacré à la conception des diagrammes et des schémas.
Nous avons produits deux Flowchart différentes comme suit :
34
Rapport d’audit interne « mesure de la performance du processus achat : MARS 2015
78
Le processus d’achat par appel d’offres ouvert, débute par un document décrivant
l’expression de besoin , qui donne lieu à la publication d’un dossier d’appel d’offre à
l’ensemble et s’achevant par la contractualisation , ce processus est soumis à 4 contrôles
différents , qui sont la vérification du DAO, la validation du jugement, la vérification de
la conformité de l’acte d’achat et l’approbation.
79
Le processus d’achat par appel d’offres restreint est pratiquement similaire à celui ouvert
sauf en terme de publicité qui fait appel dans ce cas à une lettre circulaire envoyée en
recommandé avec accusé de réception le jour même à tous les concurrents que le Maître
d’ouvrage décide de consulter :
80
La procédure négociée est un mode de passation des marchés en vertu duquel une
commission de négociation, choisit l’attributaire du marché après consultation d’un ou
plusieurs concurrents et négociation des conditions du marché. Dans cette procédure seuls
deux contrôle sont établis à savoir la vérification de l’acte d’achat et l’approbation ce qui
peut engendrer plus de risque par rapport à l’AOO, c’est pourquoi cette procédure n’est
utilisé qu’en cas de besoin urgent, vu qu’elle permet une réponse plus courte à ce dernier.
81
L’achat par bon de commande, est dédié à l’achat de fournitures, les pôles concernés par le
besoin sont les parties qui interviennent le plus dans ce type d’achat, ces phase sont semblables
à cette de la procédure négociés sauf que dans ce cas on traite des commandes et non pas des
marchés.
82
4-4 Présentation de l’ancienne cartographie des risques
L’élaboration d’une cartographie de risque est un travail d’expert réalisé généralement par
un riskmanager. Ce dernier doit se guider obligatoirement par un référentiel ou approche
approuvé de gestion de risque.
Ne disposant pas d’un manager de risque interne, le Groupe a fait l’appel aux compétences
d’un expert externe, qui, dans une durée de 6 mois et ayant libre accès aux informations
confidentiel de l’office a pu réaliser une cartographie contenant 120 risques opérationnels
dont 28 liés au processus achats.
Cependant, lors des missions d’audits postérieurs, les auditeurs décelaient à plusieurs
reprises des risques non identifiés sur la cartographie élaborée par l’expert, ce qui prouve
que la règle d’exhaustivité des risques n’était pas respectée lors de la réalisation de la
cartographie.
D’autant plus le risque manager externe n’a pas présenté un référentiel de maîtrise de risque
spécifié, qui suivant lequel il aurait dû constituer sa démarche de recherche et de
présentation de la cartographie , sa méthodologie consistait uniquement à traiter les risque
par nature à savoir : risques budgétaires, risques liés au manque de fiabilité administrative
du processus achat, risques liés aux services, risques liés aux livraisons, risques
technologiques , risques relationnels et risques liés au stockage et de demander aux
interviewés d’identifier les risques qu’ils trouvent liés aux différents types de risques qu’il a
choisi d’étudier sans pour autant procéder par un inventaire préalable de tous les risques
possibles liés aux achat et de permettre aux interviewés de les valider et évaluer.
De manière synthétique l’ancienne cartographie contenait la description des risques, les

contrôles et dispositions mis en place, ainsi que l’impact de ces risques et leur probabilité
d’occurrence notés de 1 à 4.
Vu que la cartographie de l’expert contenait des anomalies qui limitaient voire éliminaient
son rôle à assurer la fluidité, l’exhaustivité des missions d’audit et la bonne maîtrise des
risques, et faute de non existence d’un risque manager chargé de mettre à jour les
informations de la carte de risques. L’ancienne cartographie fut délaissée, les missions
83
d’audit ont continué de travailler selon les méthodes usuelles qui leur coûtaient plus de
temps et d’effort.
Aujourd’hui le Groupe ONCF est en cours de création d’un poste de risk manager , le
recrutement est lancé pour déclencher cette nouvelle fonction ce qui met l’accent sur la
nécessité de rectifier les anciennes cartographie de processus en commençant par ceux les
plus critiques et les plus exposés aux risques opérationnel, par exemple : les achats.
84
Chapitre 2 : Objectifs de la mission et méthodologie de travail
Dans cette partie nous allons présenter l’essentiel de la mission, objet de notre thème de
stage ; ensuite il s’agit de présenter la méthodologie suivie pour la réalisation de cette
mission et les outils de recherche tout en motivant le pourquoi de leurs choix.
L’aboutissement du travail sera présenté dans le chapitre suivant (Chapitre 03).
85
1- Problématique
Choisir une problématique appropriée à notre parcours universitaire et à la structure de Le
Groupe ONCF et son contexte constitue l’objectif primordial que nous avons convoité au
début du stage. Pour cette raison nous avons consacré nos premiers jours au siège de Le
Groupe ONCF à l’observation de la structure, en apportant une attention particulière aux
activités réalisés par le service d’audit.
Les auditeurs nous ont généreusement communiqué leur explications concernant le
déroulement de leurs fonctions, et les différents services de Le Groupe ONCF, vue que les
missionsd’audit interne qu’ils réalisent leur ont permis d’avoir une visibilité claire et
générale sur l’ensemble départements de l’office. Dans l’intention d’apporter l’amélioration
continue de leur organisation, les auditeurs nous ont aussi fait part des problèmes qu’ils
constatent généralement à Le Groupe ONCF et des perfectionnements qu’ils souhaitent
entretenir :Assurer une maîtrise pertinente et rigoureuse des différents risquesérige
l’ambition fondamentale des auditeurs, qui selon leurs expérience approfondie dans le
domaine jugent possible d’augmenter leur performance s’ils se munirent d’outils de risques
plus développés et congrus.
Partant de ces constats nous avons opiné de traiter la problématique suivante : la
contribution de l’audit interne dans la bonne gestion des risques opérationnels.
Pour ce faire nous allons essayer de répondre à la question de recherche suivante : En quoi
l’audit interne permet-il la maitrise des risques opérationnels ?Etquels outils pourrons-
nous juger nécessaires pour améliorer d’avantage le rendement des prochaines
missions d’audit. Cet objectif sera concrètement abordé en testant l’outil de maîtrise du
risque le plus exhaustive et le plus alambiqué qui est : la cartographie de risque.
Pour des fins de simplification et vu la contrainte de temps lié à la courte période de stage
nous allons nous focaliser sur le cycle achat-fournisseur à Le Groupe ONCF Rabat, qui fera
l’objet de notre étude et pour lequel une cartographie de risque va être adressée en fin de
mission.
86
2- Justificatif de choix
Certes, « le risque est la condition de tout succès 35» car le risque est indispensable au sein
de toute entité, mais c’est la gestion du risque qui peut transformer ce risque en un succès,
pour cela, il est devenu essentiel au sein de chaque entreprise d’avoir une cartographie de
risques afin de les bien gérer en tant qu’un moyen préventif.
La cartographie de risque de Le Groupe ONCF telle qu’elle était élaborée par le consultant
externe n’était pas exhaustive et pratique ce qu’il a rendu son application par les auditeurs
internes difficile voire inexécutable.
Le choix d’un sujet pour le projet de fin d’études est un choix rigoureux et qui nécessite une
bonne réflexion de la part de l’étudiant, notre choix ne peut être justifié que par la volonté
d’avoir une contribution réelle et qui peut constituer un aide concrète à l’organisme
d’accueil. Pour cela, l’absence d’une cartographie de risque sur laquelle peuvent dépendre
les auditeurs dans leurs missions nous a constitué une motivation pour la choisir comme
thème pour notre stage de fin d’études.
Vu que la réalisation d’une cartographie de risque qui respecte l’ensemble des conditions
(exhaustivité, réalité, pratique...) et qui s’étale sur l’ensemble des processus de l’entreprise
ne peut être établi que pendant une durée allant de 6 mois à 2 ans ; ce qui nous a obligé de
choisir un seul processus sur lequel on peut travailler, le choix du processus achat s’est fait
après avoir visiter l’ensemble des processus afin de choisir celui ayant plus de risque pour
transférer une contribution maximale à l’office.
35
Louis de Broglie Mathématicien et physicien français du XXème siècle, prix Nobel de chimie en 1929.
87
3- Objectifs de la mission
Les auditeurs internes de Le Groupe ONCF sont chargés d’effectuer des travaux par
missions, pour cela, avant de commencer chaque mission, les auditeurs internes sont censés
revenir sur une cartographie de risque pour avoir une idée sur les risques liés à la mission
dont ils sont chargés.
La cartographie de risque est élaborée par un consultant externe, afin d’analyser les risqueset
de les gérer vu sa capacité à faciliter la prise de décision pour les Managers, et ce à travers
cette vue d’ensemble que procure la cartographie. Cependant, l’élaboration d’une
cartographie de risque pour tous les processus est un travail qui peut être effecteur pendant
une période s’étalant entre 6 mois et 2 ans. Pour cela, on est chargé d’établir la cartographie
du processus d’achat.
La mission du projet de fin d’études s’articule dans le cadre de la gestion des risques
opérationnels à travers deux procédures :
• La procédure de collecte des incidents.

• La procédure de cartographie des risques.
L’objectif de cette mission est d’élaborer une cartographie de risque du processus achat
exhaustif et réel qui peut être pris en considération par les auditeurs en tant qu’un outil
pratique qui présente un aspect préventif et anticipatif aux risques liés à leurs missions tout
dépendant de la probabilité de réalisation et de la gravité du risque.
88
3 Méthodologie suivie
La réalisation d’un tel objectif nécessite une maîtrise rigoureuse du concept de gestion de
risque, dans son volet opérationnel. La tâche est d’autant beaucoup plus difficile lorsqu’il
s’agit d’une mise en place de solution adaptée, de ce fait le travail implique une
connaissance des standards avec lesquels on travail au sein du secteur public, chose qui nous
a motivé à lire minutieusement « le décret des marchés publics », du « règlement des
achats au sein de Le Groupe ONCF » ainsi d’autres ouvrage traitant la gestion de risque ,
les achat et les règles d’élaboration des cartographies de risques était indispensable en vue
de nous initier au jargons des achat et aux technique de gestion de risque.
Plusieurs méthodologies peuvent être envisageables pour atteindre nos objectifs nous avons
36
opiné de travailler avec la méthode DMAIC en combinaison avec le référentiel COSO
2qui constitue le cadre référentiel de gestion de risque, précédemment détaillé dans la partie
théorique, peut être applicable à n’importe quel type de processus.
La méthode DMAIC quant à elle se présente comme suit :
Figure 16 : étapes de la méthode DMAIC .
36
Méthode en 5 étapes pour l’étude des processus
89
Le COSO 2présente une technique de mise en œuvre bien déterminée, sa présentation
générale induit intuitivement à un enchainement d’étapes qui, une fois combinées combiné
au DMAIC, peut facilement se traduire en une méthodologie simple et pratique.
De ce fait, et après revus de la littérature en question, notre méthodologie adapté peut se

présenter comme suit :
a. définition du contexte
A cet effet nous avons commencé par l’utilisation de l’information interne au département
Audit et Sécurité du groupe ONCF, pour comprendre l’objectif de la mission, et pour avoir
une idée sur la nature de l’information à chercher suivant d’autres sources. De ce fait on a
utilisé « le référentiel de mission et le règlement achat du Groupe ONCF» et « Le flowchart,
la grille de séparation de tâches et la matrice SWOT » pour avoir une idée générale. Ce qui
nous a conduits à la nécessité d’avoir un cadre référentiel spécifique de gestion de risques
qui est le COSO 2 , ainsi que les différentes méthodes d’élaboration de cartographie de
risque ; chose qu’on a pu avoir grâce aux revues de littératures, des ouvrages, des livres et
des articles spécialisés disponibles37 à la bibliothèque NATIONALE de Rabat , la
bibliothèque AL SAOUD à Casablanca, la médiathèque HASSAN 2 à Casablanca ainsi que
l’ensemble des références internet.
b. « Identification & Mesure des paramètres étudiés» :38
Etape 01 - Identification du processus objet de l’étude :
Notre travail se focalise sur l’étude du processus « achat ». Le choix s’est fait vue l’urgence
opérationnelle que peut présenter ce genre de processus quelque soit la nature de l’activité
en question. L’identification du processus consiste en la détermination de l’entité générale
du service en question, comprendre l’interaction hiérarchique qui la réglemente et identifier
37
Voir bibliographie
38
Frederic Bernard et Eric Salviac, Fonction Achat :Contrôle et gestion des risques ,2008:154.
90
les différentes missions qui lui sont attribuées pour faciliter la réalisation de la deuxième
étape.
Etape 02 - Identification des Macro-processus :
Il s’agit du 1er niveau d’identification et qui a pour objectif de scinder le processus en

plusieurs « Macro-processus », qui détermine ainsi les grandes lignes des interactions des
éléments du processus et qui permettent de réaliser les tâches en question.
Etape 03 - Recensement de l’information-processus :
Ensuite il s’agit de pouvoir décortiquer les Macro-processus en plusieurs «Processus Clés»,

qui vont nous permettre de comprendre les composantes de chaque Macro-processus (car
souvent trop complexes à première vue), et ainsi pouvoir leurs attribuer des risques en
fonction des informations recensés et des « retours d’expériences » des acheteurs.
Etape 04- identification des objectifs :
Cette étape vise à recenser les principaux objectifs liés au processus achat et d’associer
chacun de ces objectifs au processus clé ou à la micro phase qui le concerne, cette
identification permet de mettre en évidence, par la suite, les évènements susceptibles
d’influencer négativement l’atteinte des objectifs visés par les achats et qui sont connus
sous le nom : risque
Etape 05 – Identification des risques :
En fonction du processus en question, on a essayé de lui affecter un ou plusieurs risques qui

peuvent faire l’objet d’incidents manifestés, déterminés par les travaux précédemment
réalisés, ou d’une survenance éventuelle ou systémique.
Le risque doit être clairement cité et facile à comprendre et à faire comprendre, pour éviter
toute ambigüité.
Etape 06 – Evaluation et mesure du risque résiduel :
Trois critères construisent la base de l’évaluation des risques :
91
Le critère « Impact ou gravité » : Habituellement surévalué pour sensibiliser les agents
opérationnelles de la gravité du risque et de l’importance du travail réalisé et de son
contrôle. L’évaluation consiste alors en l’attribution d’une note suivant un barème simple :
Impact Note
Fort 5
Modéré 4
Moyen 3
Faible 2
Rare 1
Le critère « Probabilité d’occurrence » : Il s’agit de la probabilité de réalisation d’un risque

donné, elle est effectuée grâce à une fiche d’incident, dans laquelle on identifie le nombre de
survenance de l’incident sur une période donnée, pour lui attribuer un degré de probabilité
suivant le même barème :
Probabilité Note
Très fréquent 5
Fréquent 4
Possible 3
Rare 2
Très rare 1
92
De ce fait le risque peut être calculé de la manière suivante :
Risque = Impact ou gravité * Probabilité d’occurrence
Ce dernier doit aussi faire objet d’une notation qui suit le même barème présenté ci-dessus ;
dans ce cas si :
Risque Note
Critique 5
Très important 4
Important 3
Moyen 2
Faible 1
Une fois que cette partie est réalisée, on peut directement procéder à l’élaboration de la
cartographie des risques, suivant le critère standard du couple Impact/Probabilité dont la
méthodologie est présentée dans La Partie 1.
L’objectif recherché à travers l’analyse des risques et l’élaboration de la cartographie est de

pouvoir se prononcer sur les impacts qui engendrent une probabilité de réalisation élevée, et
de pouvoir concentrer l’effort de réduction sur ces éléments. Cette analyse pourrait servir en
aval pour le compte rendu final, ou encore servir de base pour les prochaines mises à jour
des cartographies des risques, et les prochaines missions d’audit, pour évaluer les états des
lieux entre deux périodes successives.
93
4- Outils de recherche
Dans cette partie nous allons parler de l’essentiel des outils de recherche, que nous avons
utilisés de manière graduelle et en parallèle avec l’évolution des phases de notre travail et le
besoin en information.
Phase 01 « Etude du contexte » :
Il est question dans cette phase de se familiariser avec la notion de gestion des risques, et
ensuite de pouvoir suivre une succession d’étapes bien ordonnée de par leurs objectifs et le
temps allouer à chacune d’elles.
Pour cela on a choisi de travailler sur un logiciel de gestion de projet en Java : GANTT
PROJECT. L’outil permet la planification d'un projet à travers la réalisation d'un diagramme
de Gantt Il permet aussi de créer des diagrammes de Gantt, des diagrammes de ressources et
des réseaux PERT c’est outil nous ont permis de planifier les actions à entreprendre durant
la réalisation de notre mission en collaboration avec le département audit et le département
des achats au Groupe ONCF.
D’autre part nous avons déployés des outils d’évaluation de contrôle à savoir la Flowchart
que nous réalisé à l’aide du logiciel EDRAW MAX , le SWOT, la grille de séparation des
tâches, l’ancienne cartographie du processus achat, en vue de décrire la procédure de
contrôle et de gestion de risque dédiée du processus des achats et de formuler une idée
générale sur l’organisation du processus, ses objectifs, ses points de force, et les anomalies
qui pourraient y surgir.
Phase 02 « Identification & Evaluation des risques » :
Dans cette phase l’objectif principal été de pourvoir recenser l’information concernant les
processus à analyser, auprès des agents opérationnels du département des achats pour
donner plus de sens au travail déjà réalisé par le département d’audit.
De ce fait on a choisi d’utiliser « l’entretien semi-directif » comme outil adapté à notre

mission, vue d’une part la facilité d’élaboration qu’il présente, l’exhaustivité des
94
informations qu’il peut procurer et sur tout l’effet interactif qu’il peut produire entre
l’intervieweur et l’interviewé de sorte que cela peut induire à un enrichissement de l’objectif
même de l’intervieweur.
A cet effet, et pour gagner plus de temps en terme de collecte d’information, nos entretiens
semi-directifs se terminent par la réalisation d’une « Fiche de Risque », remplis d’une part
par l’interviewer, et qui nous permettait par la suite d’attribuer une notation d’impact, de
fréquence et de contrôle pour chaque risque détecté.
Notre contribution dans le remplissage de la fiche de risque à été élaboré en se basant sur les
dires d’experts vue la non disponibilité de donnée chiffrés concernant le taux de survenance
des risques et leur probabilités au Groupe ONCF.
Notre démarche constituait à déterminer pour chaque risque identifié une note de 1-5 par
rapport à sa probabilité et une autre note de 1-5 pour l’impact selon si le risque est fort
modéré moyen faible ou rare.
La notation des risques était faite en donnant une même liste à différentes personnes du
service achat comportant les risques déjà identifiés, en leur demandant d’attribuer la note
qu’il juge significative selon leurs expériences et expertises dans leur domaine et ensuite de
procéder à un croisement entre les différentes notations obtenues et parvenir finalement à
compléter chaque fiche de risque par la notation probabilité- impact la plus convenable.
95
Chapitre 3 : Cartographie des risques du processus achat selon le référentiel
COSO2 :
Dans ce chapitre nous allons concrétiser les méthodes et outils explicités dans le chapitre ci-
dessus, en réalisant une cartographie respectant les différentes étapes précitées
L’enchainement des parties de ce chapitre répondent exactement aux exigences et aux
phases éditées par le COSO2 pour cela nous allons commencer par la présentation du
processus, le découpage de ce dernier, l’identification des objectifs , l’ inspection des risques
et leurs évaluations, le testing ou l’examen de la nouvelle cartographie, et finalement , la
suggestion d’un plan de recommandations adéquat pour remédier aux risques forts .
96
1- Présentation du processus
Le processus d’achat opérationnel permet de visualiser l’ensemble des étapes formant l’acte
d’achats, suivant le narratif des acheteurs nous avons pu décrire ce processus de la façon
suivante :
Le processus achat se déclenche par l’expression d’un besoin (en fournitures, services ou
travaux) par l’un des12 pôles du Groupe ONCF, à ce stade le maître d’ouvrage est tenu de
déterminer exactement les spécifications technique que doit valider le besoin exprimé et ce
à travers le cahier des clauses technique (CCTP), le maître d’ouvrage ou prescripteur est
tenu également d’établir une estimation des coûts des prestations à réaliser sur la base de la
définition et de la consistance des prestations demandées et des prix pratiqués sur le marché
en tenant compte de toutes les considérations et sujétions des conditions et le délai
d’exécution. L’estimation doit être consignée sur un support écrit et signé par le maître
d’ouvrage qui est aussi tenu en collaboration avec les acheteurs à spécifier les clauses
administratives et le délai d’exécution des travaux. Ces étapes donnent lieu à la réalisation
du cahier des clauses administratives particulières. La somme des deux cahiers donne lieu au
CPS : cahier de prescriptions spéciales.
Via ces documents, le groupe ONCF exige à ses fournisseurs de présenter un dossier
administratif qui comprend toutes les informations nécessaires :
• Une déclaration sur l’honneur qui doit indiquer la raison sociale, la forme juridique
de la société, le capital social et la qualité en laquelle il agit ;
• L’engagement du concurrent à couvrir les risques découlant de son activité
professionnelle ;
• L’attestation qui n’est pas en liquidation ou redressement judiciaire et qu’il est
autorisé par l’autorité judiciaire compétente à poursuivre l’exercice de son activité ;
97
• L’engagement de ne pas recourir par lui-même ou par personne interposée à des
pratique de fraude ou de corruption des personnes qui interviennent dans les
différentes procédures de passation, de gestion et d’exécution des marchés .
• L’attestation de référence qui consiste à approuver la capacité du fournisseur à
exécuter le marché
• L’attestation de la caution provisoire doit être présentée.
Une fois le dossier technico- administratif , le cahier de charge technique et l’estimation

financière est assuré et avant l’engagement du marché, une demande d’approbation est
communiquée au contrôle de gestion dans le but de s’assurer de la disponibilité du budget
pour la passation du marché et de son opportunité avant son engagement même si elle est
déjà budgétisée.
Le service achat s’assure des deux signatures des approbateurs à savoir le responsable du
contrôle de gestion et le directeur du pôle concerné, l’accord du Directeur général ou
directeur du pôle ou directeur concerné dans la limite des délégations accordées est
nécessaire. Ensuite le service achat publie l’appel d’offre (mode de passation)
Il est essentiel de rappeler que les achats peuvent s’effectuer par appel d’offre ouvert,
restreint, par marché négocié, ou par passation de commande. Il est dit ouvert lorsque tout
candidat peut présenter sa candidature et tout appel d’offre doit faire l’objet d’un avis qui
fait connaitre l’objet de l’appel d’offre avec indication, le cas échéant le lieu d’exécution,
l’autorité qui procède à l’appel d’offres, le lieu et la date fixée pour la tenue de la séance
publique d’ouvertures des plis etc....
La publication de l’avis d’appel d’offre doit intervenir 21 jours au moins avant la date fixée
pour la réception des offres. Dans ce cas l’appel d’offre est publié dans 2 journaux
nationaux, dans le portail des marchés publics et le portail du Groupe ONCF.
Il est dit restreint, les acheteurs du Groupe ONCF sont tenus de sélectionner et gérer le
panel fournisseur (base de donnée fournisseurs) sur la base d’une analyse à priori des
capacités des fournisseurs, ce panel fait référence à un groupe de fournisseurs référencés,
accrédités, potentiels et regroupés en famille de fournisseurs opérant dans un même secteur
98
d’activité mis en concurrence continu sur la base de contrats à moyen, long terme. Et qui
fera l’objet d’un suivi particulier de la part du pilotage des achats.
L’étape qui suit fait l’objet d’une circulaire adressée par lettre recommandée avec accusé
de réception le même jour à tous les concurrents que le maître d’ouvrage a décidé de
consulter. L’envoie précitée doit être effectuer quinze jours au moins avant la date prévue
pour la séance d’ouverture des plis.
Il est dit en procédure négociée : lorsque l’on négocie l’achat avec un ou quelques
concurrents déterminés lorsque le besoin est urgent et son montant est inférieur à 2 millions
de DH
Dans les trois types de marchés l’étape qui suit l’envoie des offres ou la publication des
appel des offres et la réception des questions d’éclaircissement demandés par les éventuels
fournisseurs, leur réponse doit être envoyés à l’ensemble des concurrents qui ont tiré retiré le
dossier d’offre et ce dans un délai ne dépassant pas les 7 jours avant l la réception des plis .
Ces derniers doivent envoyer leur réponses dans une enveloppe comportement 3 sous
enveloppes : dans la première on trouvera l’analyse technico-administrative, la deuxième
comportera l’offre technique et la troisième sera destinée à l’offre financière.
Après avoir reçu les offres des concurrents, une commission sera chargé de l’étude
technico-administrative pour veiller à ces que les offres sont conformes aux normes
homologuées et valider l’existence des documents exigés aux fournisseurs et qui sont
précités dans la page précédente. Ensuite une sous-commission est alors chargée de vérifier
les offres techniques déposées, par rapport aux CPS préétabli, l’examen des offres
techniques concerne les seuls candidats admis à l’issue de l’examen des dossiers
administratifs et technique. La commission d’appel d’offre peut éliminer les
soumissionnaires qui ont présenté des offres techniques non conformes aux spécifications
exigées par le règlement et qui ne satisfont pas aux critères qui y sont prévus.
La note minimale que doit acquérir le soumissionnaire est de 6o points pour qu’il soit
susceptible de passer à l’étude financière. Après examen de l’offre technique et
administrative, La commission de jugement porte son choix sur l’offre le moins disant et le
plus avantageux.
99
Dans le cas ou plusieurs offres jugées les plus avantageuses la commission procède à une
comparaison entre les soumissionnaires afin d’émettre son avis sur celui qui présente la
meilleure offre.
Lorsqu’il s’agit des marchés d’études, une pondération technico-financière est nécessaire et
le fournisseurs ayant la meilleure note finale sont sélectionnés pour prendre le marché.
Pour les marchés de travaux et fournitures, la sélection du fournisseur titulaire ayant

l’admissibilité technique et présentant l’offre le moins disant par rapport aux concurrents.
Le choix final du fournisseur doit faire l’objet d’un PV, il faudra indiquer les critères retenus
avec un paragraphe de justification du choix qui sera communiqué signé par les participants
est en fonction des conditions précitées.
Une notification par ordre de service est adressé au fournisseur, l’avis de notification doit
comprendre essentiellement la date de commencement de réception des biens tout en
respectant le délai apposé dans le cahier de charge, la période entre la date de notification du
contrat et la date de commencement de livraison est minimum de 15 jours jusqu'à 70 jours
maximum.
Le service achat s’engage, au nom du Groupe ONCF, à passer un contrat avec le

fournisseur sélectionné. Le contrat doit faire référence à toutes les conditions clairement
définies tels que la date limite d’exécution et la date d’achèvement du marché, à défaut de
respect des clauses de pénalité sont apposées dans le contrat afin d’éviter de litige avec le
fournisseur. Le contrat doit contenir également, dans le respect des prescriptions du cahier
de charge, les modalités de paiement, les conditions de résiliation et l’approbation du
marché par l’autorité compétente…
Dans le cas des achats par commande qui est destinée aux achats ayant un montant
inférieur à 500 000 DH hors taxe on ne parle pas de contractualisation mais de passations de
commande et d’approbation de devis .A ce stade il est impératif d’effectuer consiste à
effectuer le rapprochement entre le bon de commande et le bon de livraison pour contrôler la
conformité des biens aux exigences du cahier de charge. En cas d’écart entre le bon de
livraison et le bon de commande, des actions correctrices sont forcément prises pour pallier
tout problème vis-à-vis des utilisateurs.
100
Pour tous les types de marchés les factures originales sont transmises au service
comptable pour passer l’enregistrement et doivent comprendre la date de réception afin
d’éviter le paiement non justifié et dupliqué.
Après la réception des factures, la comptabilisation est établie tout en respectant les
principes de la comptabilité en vue de donner une image fidèle de la situation financière du
Groupe ONCF.
Le paiement des factures se fait, qu’après une vérification de la conformité des factures par
rapport au bon de livraison (contrôler si le montant mentionné dans la facture correspond
correctement à la livraison des biens), par le service trésorerie. La vérification des factures
est assurée par le service mandatement des tiers fournisseurs.
Enfin le dossier de contrat et l’appel d’offre est sauvegardé au archive pour servir de preuve
ou de rappel par la suite.
101
2- Découpage du processus achat
La description faite par les acheteurs nous a permis de tirer le découpage du processus
achat en 20 phases comme suit :
Traitement amont
1- Expression du besoin par l’utilisateur.

2- Analyse du besoin par l’acheteur.
3- Choix de la procédure d’achat à adopter (appel d’offre direct, appel d’offre restreint,
procédure négociée, bon de commande).
4- Préparation du cahier de charge technique par le maître d’ouvrage.
5- Constitution cahier de charges administratif par l’acheteur
6- Autorisation du budget (vérification de la disponibilité du budget par les contrôleurs
de gestion).
Au cours de l’achat*
7- - Sélection de la base de données fournisseurs.

8- Rédaction et publication des offres.
Pour AOO : publication de l’appel d’offre dans deux journaux
internationaux, dans le portail des marchés publics, et le portail du Groupe
ONCF
Pou AOR : envoie de l’appel d’offre aux concurrents présélectionnés lors
de l ‘appel d’offre restreint.
Pour les Procédures Négociées : envoie de la demande à quelques
fournisseurs et ce dans le cas de commandes de bien urgents ou pour les
marchés strictement inférieur à 2 millions de DH.
Pour l’achat par Bon de Commande : demande de devis et transfert de bons
de commandes pour les achats ayant un montant strictement inférieur à
500 000 DH.
102
9- Communication et réponses aux questions techniques, et administratives des
fournisseurs éventuels.
10- Réception et ouverture des plis par une commission d’appel d’offre.
11- Analyse technico- administrative des offres.
12- Analyse de l’offre technique.
13- Analyse financière des offres.
14- Jugement des offres.
15- Approbation du marché.
16- Exécutiondu contrat.
17- Etablissement des avenants éventuels.*
Traitement aval
18- Réception du bien ou service

19- Réception des factures.
20- Comptabilisation.
21- Paiement des factures.
22- Classement et archivage du dossier d’exécution de contrat et le dossier d’appel
d’offre.
Le traitement en amant et aval donne lieu à des étapes présentes quel que soit le type de passation
de marché choisi, le traitement en cours quant à lui diffère selon le type de marché : des explications
sont données pour chaque phase au milieu du découpage
*l’avenant est un complément de marché, on l’utilise si durant l’exécution du contrat, le

maître d’ouvrage décide, par nécessité, de d’augmenter la masse (quantité) des biens
demandés ou exige des travaux supplémentaires non prévus durant l’expression du besoin
initial. L’avenant doit porter sur les accessoires de base du marché. Dans le deux cas le
montant total de l’avenant ne doit pas dépasser 10% du prix globale du marché, cette
fraction n’est pas cumulable.
103
préparation du
Expression du besoin Analyse du besoin choix de la procédure
cahier de charges
par l’utilisateur par l'acheteur achat à adopter
technique
préparation du cahier sélection de la base rédaction et

de charge Fixation du budget de donnée publication de l'appel
administratif fournisseurs d'offre
réception et
Réponse aux Analyse technico-
ouverture des plis par Analyse technique de
questions des administrative des
une commission l'offre
condidats éventuels offres
d'appel d'offre
Approbation du
Analyse financière Exécution des
Jugement marché et
des offres contrats
contractualisation
établissemnt des Réception des

Réception des biens Comptabilisation
avenats éventuels factures
Classement et
Paiement des
archivage des
factures
dossiers
Figure 17 : micro phases du processus achat.
104
3- Identification des objectifs
Les micros phases précités dans le chapitre précédent émanent de la nécessité de valider les objectifs
d’achat suivant :
1- Assurer la fonction approvisionnement.

2- Choix des procédures et modalités d’achats à adopter
3- Lancement de l’acte d’achat
4- Optimisation du coût d’achat.
5- Achat au meilleurs prix.
6- Assurer la continuité d’exploitation.
7- Définir un panel fournisseurs à la hauteur de la demande.
8- Diversification des sources d’approvisionnement.
9- Assurer la transparence dans la gestion des achats.
10- Simplification des procédures achat pour une meilleure compréhension des offres.
11- Amélioration des conditions de vente.
12- Assurer et améliorer la qualité des achats.
13- Evaluation des performances des fournisseurs.
14- Achat au meilleur prix..
15- Respect des délais contractuels avec les fournisseurs.
16- Négociation des contrats d’achat.
17- Vérifier la conformité en termes de qualité, délais, quantité de livraison.
18- Assurer la performance des fournisseurs.
19- Réception de bien identifiés.
20- Entrée de la marchandise dans l’actif de l’entreprise.
21- Assurer la performance des fournisseurs
22- Figuration de l’acte d’achat dans les états de synthèse pour une meilleure transparence
des actions entretenues par l’entreprise.
23- Règlement des dettes fournisseurs.
24- Organiser et conserver les documents et justificatifs de l’acte d’achat.
105
4- Identification des risques
Le tableau ci-dessous vise à identifier les risques liés au processus achat de façon exhaustive, et
générale, puis d’associer chaque groupe de risques à la phase qui les concerne.
Phase du processus Risques opérationnels
Expression du besoin -expression fictive du besoin

- achatsanarchiques
- achats non autorisés
-besoin mal exprimé
Analyse du besoin par l’acheteur -absence de visa pour valider les démarches
(procédures...) d’achat
-absence de règles et de procédures formalisées
-analyse erronée du besoin
Constitution du cahier de charge -explication incomplète ou erronés des

technique caractéristiques du besoin demandé
Autorisation du budget -non maîtrise des dépassements budgétaires

-retard dans la confection du besoin
-dépassement du budget annuel autorisé
Sélection des candidats potentiels -absence des fichiers fournisseurs
(panel fournisseurs) -non consultation des fournisseurs potentiels
-création d’un fournisseur fictif.
-absence de challenge entre les fournisseurs
existants et nouveaux pouvant apporter des
nouvelles solutions et conditions tarifaires,
106
- absence ou mauvaise définition des critères de
présélection des fournisseurs,
- choix de fournisseurs incomparables, collusion
avec des fournisseurs récurrents,
- présélection de fournisseurs inappropriés,
absence de connaissance des fournisseurs clés,
Rédaction et publication des appels -mauvaise supervision des différentes étapes de

d’offre. l'AO, absence et réexamen périodique de fichier
fournisseurs,
-répartition inadéquate des tâches dans le
processus d'AO,
·-fixation du prix par rapport à celui
antérieurement établi sans référence au prix du
marché
-absence de fichiers article
-participation de l'un des fournisseurs
présélectionnés à l'élaboration du DAO,
- rédaction orientée du cahier des charges
techniques pour qu'un seul fournisseur soit
sélectionné,
- inexistence de certains éléments importants dans
le DAO (délai de réponse du fournisseur par
rapport à la demande, adresse du lieu de remise de
l'offre),
- incompétence de l'acheteur à réaliser le DAO,
-collusion entre l'acheteur et le fournisseur au
107
détriment de l'intérêt de l'entreprise,
-réduction du délai de publicité et de dépôt des
offres afin de favoriser un fournisseur informé du
contenu du DAO à être le seul en mesure de
répondre à l'AO,
-absence de publicité, publication tardive du DAO
et frustration du fournisseur,
- modification des dates limites de remise des
offres,
·-absence de liste émargée des fournisseurs ayant
procédé au retrait du DAO
Communication et réponses aux -diffusion d'informations incomplètes ou
questions techniques, et imprécises, pour privilégier un fournisseur par

administratives des fournisseurs. rapport aux autres concurrents.
-Retard communication des réponses jusqu’à fin du
délai de remise des
réponses aux offres par les fournisseurs
-malentendu avec les fournisseurs
Réception et ouverture des plis inexistence de bureau de réception des offres,

-inexistence de responsable chargé de la réception,
- confusion des offres avec les autres courriers de
l'entreprise,
- absence de liste émargée par les
soumissionnaires au dépôt des offres
-absence de comité de dépouillement
-risques liés au dépouillement des offres pour
éliminer arbitrairement un ou des fournisseurs
-non maîtrise du DAO par les membres de la
commission de dépouillement
Analyse technico- administrative -mauvaise pondération des éléments techniques

du dossier d'appel d'offres (DAO)
Analyse de l’offre technique
108
Analyse financière des offres. -non sélection des fournisseurs offrant le meilleur
ratio qualité/prix
- ignorance du fournisseur le mieux disant en
terme de prix, qualité et attitude administrative
Jugement des offres. -non-respect de la procédure de comparaison des
offres,
-absence de critères de comparaison des offres
(comme le prix, les conditions de paiement, le
transport)
- mauvais ratio ; qualité /pris / délais de livraison
-absence d’outil de mesure des performances des
fournisseurs.
-choix arbitraire des fournisseurs
-absence de listes de fournisseurs interdits

-absence de publication de l'attribution du marché
Non approbation du marché au fournisseur
présentant le meilleur avantage comparatif
Contractualisation. -non respect du fournisseur des termes du contrat.

-absence de suivi et contrôle de ses engagements
-résignation du contrat par le fournisseur sans
préavis
Passation des commandes. -erreur dans l’élaboration des bons de commande

-retard dans l’élaboration des bons de commande
Non contrôle de l’établissement des bons de
commandes.
-fraudes sur commande
-omission de transmission des bons de commande
Réception des biens provisoires. -Non contrôle des biens reçus.

-Continuer de travailler avec le fournisseur
disqualifié
Réception définitive du bien. -incapacité de livraison du fournisseur
109
-non réception de la commande dans les délais
-absence ou omission du contrôle du bien
-perte de bien
-cumul de fonction (le réceptionniste est celui qui
commande)
-acceptation de bien non commandés ou non
conforme à la commande.
-réception de bien non conformes aux standards
qualités de référence
-non établissement d’un bon de réception interne
-livraison non conforme BL différent du BC
Réception des factures. -surévaluation des factures.

-absence de contrôle des factures dès réception.
-non réception des factures
-non-conformité de la facture avec le bon de
commande
-non-conformité de la facture avec le bon de
livraison
-absence de contrôle de la conformité
Comptabilisation. -omission de comptabilisation

-enregistrement de factures fictives.
-Retard dans la comptabilisation
-absence de contrôle des enregistrements
-erreur de comptabilisation
Paiement des factures -paiement des produits non reçus

-risque de paiement dupliqué
-paiement non justifiés.
-retard de préparation des paiements
-omission de paiement
-non-respect du délai de paiement
-omission de la mention bien reçue du règlement
110
Classement et archivage -perte justificatifs de l’acte d’achat
-perte justificatif des états financiers
-mauvais classement des documents archivés
5- Evaluation des risques
Le tableau ci-dessous reprend la démarche COSO2 en associant chaque risque aux objectifs
et phases qui le concernent puis de demander à des acheteurs, auditeurs, chef de mission, et
le directeur des achats de noter leur évaluation de ces risques via la méthode « des dires
d’expert ».
Sur une échelle de 1-5 les personnes précédemment cités ont filtré les risques du processus
achat en général et n’ont gardé que les risques qui sont liés et concrétisés à l’ONCF, ensuite
selon leur expérience et suivant le barème exposé dans les pages 68-69 du rapport, ils ont
donné une note concernant la probabilité de survenance des risques retenus et la gravité de
leur impact, nous avons intervenu par la suite, pour calculer la notation finale , qui est la
moyenne arithmétique des différentes évaluation tout en privilégiant la notation donnée
par le Directeur des achats , vu qu’il représente la personne ayant le plus de visibilité
concernant le processus étudié.
Evaluation
Objectifs Phases Risques Prob Gravité
abilit
é
o Assurance de la Expression et 1. Expression fictive du besoin -- --
fonction analyse du besoin Achats anarchiques -- --
approvisionnemen Achats non autorisés -- --
t Absence de visa pour valider les démarches -- --
d’achat
Besoin mal exprimé 3 5
Absence de procédure de planification des -- --
besoins
o Choix de Modalités 2. Absence de règles et de procédures -- --

procédures, et d’achat : formalisées
modalités d’achats Par appel 3. Risque de recours fréquent à 1 5
à adopter. d’offre ouvert l’entente directe par une mauvaise
Par appel planification du besoin
d’offre 4. Risque de choix de procédures -- --
restreint inadaptées
Par procédure
négociée
Par bon de
111
commande
o Lancement de Préparation du 5. Rédaction incomplète ou erronée des 1 5
l’acte d’achat cahier de charge caractéristiques techniques au besoin
demandé
6. Mauvaise estimation du maitre 1 5
d’ouvrage
7. CPS orienté -- --
8. Risque de commande en sur-qualité 1 4
9. Risque de déclarer l’AO infructueux 1 3
10. Annulation de l’AO 1 3
o Optimisation du Fixation budget 11. Retard dans la confection du budget 2 2

cout d’achat/ 12. Dépassement du budget autorisé 1 5
achat au meilleur 13. Risque d’annulation/différé de la 1 4
prix commande suite au manque du
o assurer la budget
continuité
d’exploitation
o Définition une Sélection de bas 14. Absence des fichiers concurrents -- --
base de données à de données 15. Non consultation des concurrents 1 3
la hauteur des fournisseurs potentiels
besoins 16. Absence de réexamen périodique du 1 3
fichier fournisseur
17. Absence ou mauvaise définition des 1 5
critères de présélection des
concurrents
18. Présélection des concurrents 1 3
inappropriés, absence de
connaissance des concurrents clés
19. Absence de mise à jour de base de -- --
données des fournisseurs
o Diversification des Elaboration et 20. Mauvaise indication des différentes -- --

sources publication des étapes de l’AO
d’approvisionnem appels d’offres 21. Rédaction orientée du cahier de 1 5
ent. charges techniques pour qu’un seul
o Assurance de la concurrent soit sélectionné
transparence dans 22. Omission de certains éléments -- --
la gestion des importants dans le DAO (délai e
achats réponse du concurrent par rapport à
la demande, adresse du lieu de
remise de l’offre) 1 5
23. Absence de critères d’évaluation -- --
adéquats
24. Incompétence de l’entité achat à
réaliser le DAO conformément à la -- --
réglementation en vigueur
25. Collusion entre l’acheteur et le -- --
concurrent au détriment de l’intérêt
de l’entreprise
26. Réduction du délai de publicité et de -- --
dépôt des offres afin de favoriser un
112
concurrent au détriment de l’intérêt
de l’entreprise
27. Réduction du délai de publicité et de 1 2
dépôt des offres afin de favoriser un
concurrent informé du contenu du
DAO à être seul en mesure de
répondre à l’AO
28. Délai insuffisant pour permettre aux 1 5
concurrents d’établir un appel
d’offres bien étudié
29. Non-respect des délais de publication -- --
des offres
30. Absence ou non-respect de la charte -- --
éthique
31. Cahier de charge non bien rédigé 1 3
32. Annulation de l’appel d’offre par -- --
l’entité compétente
o Simplification des Réponse aux 33. Diffusion d’informations incomplètes -- --

procédures achat questions des ou imprécises, pour privilégier un
pour une fournisseurs fournisseur par rapport aux autres
meilleure concurrents
compréhension 34. Retard communication des réponses -- --
des offres/ jusqu’à la fin du délai de remise des
amélioration des réponses aux offres par les
conditions de fournisseurs
vente 35. Malentendu avec les fournisseurs -- --
pouvant conduire à la non
compréhension du besoin en
question
36. Absence de liste émargée des -- --
concurrents ayant procédé au retrait
du DAO
o Assurance et Réception et 37. Inexistence de responsable chargé de -- --
améliorationde la ouverture des plis la réception
qualité des achats par la commission 38. Mauvais classement des offres reçues -- --
o Evaluation d’appel d’offres 39. Absence de liste émargée par l’ONCF -- --
performance des au dépôt des offres
concurrents 40. Risques liés au dépouillement des -- --
o Achat au meilleur offres pour écarter plusieurs
prix concurrents lors de l’examen du
dossier administratif et technique
41. Non attribution de l’accusé de -- --
réception des offres lors de leur
dépôt
Analyse technico- 42. Mauvais interprétation du dossier 1 1

administrative administratif/technique déposé par
des offres le concurrent
43. Risque d’écarter l’offre du concurrent 1 2
à tort
113
Analyse 44. Mauvaise interprétation de l’offre -- --
technique des technique par la sous-commission
offres 45. Risque d’écarter l’offre du concurrent -- --
à tort
Analyse 46. Non sélection des concurrents -- --
financière des offrant le meilleur ratio qualité/prix
offres 47. Ignorance du concurrent le mieux -- --
disant en terme de prix, qualité et
attitude administrative
Jugement 48. Choix arbitraire des concurrents -- --
49. Absence de critères d’évaluation 2 3
adéquats
50. Etude technique mal faite par la 1 5
sous-commission
51. Risque de reporter la date de 2 3
jugement
52. Mauvais choix de l’attributaire -- --
53. Risque de déclarer l’appel 2 3
infructueux
54. Jugement à tort suite à non -- --
vérification arithmétique des
bordereaux des prix par la
commission de dépouillement
Approbation 55. Absence des listes des concurrents -- --
marché exclus de la base de données par
l’administration
56. Marché attribué sans vérification -- --
arithmétique des bordereaux de prix
57. Dépassement du délai de validité des 3 5
offres
58. Marché rédigé non conforme aux 1 5
dispositions de l’appel d’offre et
l’offre de l’attributaire -- --
59. Seuil d’approbation non respecté
o Respect délais Exécution des 60. Ordre de service non adressé par le -- --
contractuels avec contrats MOA dans les délais réglementaires
les concurrents 61. Non-respect par les fournisseurs des 2 2
termes du contrat
62. Absence de suivi et contrôle des -- --
engagements contractuels
63. Mauvaise interprétation des clauses -- --
du contrat par les deux parties 5 P.S39
64. Pénalités pour retard 2 2A.P40
65. Absence d’une gestion de projet -- --

adaptée à la réalisation des
prestations objet de marché
66. Résiliation du contrat suite au non- 2 5
o
respect des clauses réglementaires
39
Projet Stratégique
40
Autres projets
114
par le fournisseur -- --
67. Résiliation à tort du contrat 3 5 P.S
68. Glissement de la date d’exploitation 2 A.P
69. Litiges 1 5
o Négociation du Etablissement 70. Mal expression du besoin lors de 1 5

contrat d’achat des avenants et l’établissement de la première
marchés commande
négociés 71. Contrat mal établit par le MOA 2 5
éventuels :
o Vérification la Réception des 72. Non contrôle de la qualité/quantité 2 3

conformité en biens des biens reçus par le MOA
termes de la 73. Continuer de travailler avec le -- --
qualité, délais fournisseur disqualifié
quantité de la 74. Non mise à jour de la base de -- --
livraison données des fournisseurs
o Assurance de la 75. Non réception de la commande dans 3 5 P.S
performance des les délais 2A.P
fournisseurs
o Réception de bien 76. Acceptation de bien non conforme à -- --
identifié la commande par le MOA
o Entrée de la
marchandise dans
les actifs de
l’entreprise
o Figuration de Réception des 77. Surévaluation des factures -- --
l’acte d’achat dans factures 78. Absence de contrôle des factures dès 2 2
les états de leur réception
synthèse pour une 79. Non réception des factures 1 1
meilleure 80. Non-conformité de la facture avec le 2 1
transparence des bon de livraison
actions 81. Absence de contrôle de la conformité 1 2
entretenues par Comptabilisation 82. Omission de comptabilisation 2 1
les entreprises 83. Enregistrement de factures fictives -- --
84. Retard dans la comptabilisation 5 2
85. Absence de contrôle des 1 3
enregistrements
o Règlement des Paiement des 86. Retard des paiements 4 5
dettes factures 87. Omission des paiements 2 1
fournisseurs 88. Rejet de paiement par le contrôle de 2 4
la conformité
115
89. Double facturation 1 3
o Organisation et Classements et 90. Mauvais classement des documents 2 5

conservation des archivages archivés
documents et physique et 91. Perte justificatifs de l’acte d’achat 2 5
justificatifs de électronique des 92. Perte justificatif des états financiers 2 2
l’acte d’achat dossiers
o Respect du Conservation des 93. Destruction avant la durée 4 5
planning de dossiers archivés réglementaire
conservation 94. Cout de stockage élevé suite à la -- --
conservation au-delà de la durée
réglementaire
95. (Actuellement l’archivage n’est pas -- --
externalisé pour l’ONCF)
116
6- Présentation de la cartographie
Dans cette partie, on va présenter notre cartographie sur laquelle on va affecter les risques
opérationnels relevés lors des entretiens faits avec le directeur des achats ainsi que les
acheteurs. Dans ces entretiens on a pu dégager 95 risques, mais après évaluation, seulement
50 risques sont présents au sein de l’ONCF, les autres sont déjà maitrisés à travers des
procédures et réglementations.
La cartographie comme présentée ci-dessous s’étale sur une notation de 1 à 5 selon la

probabilité et la gravité des risques.
La probabilité d’occurrence du risque est présentée dans l’axe des ordonnées en allant de
très rare, rare, possible, fréquent à très fréquent. Quant à la gravité des risques, elle varie du
faible, moyen, important, très important au critique.
5. Critique
4. Très important
G
R
A 3. Important
V
I
T
E 2. Moyen
1. Faible
1.Très rare 2. Rare 3. Possible 4. Fréquent 5. Très fréquent
Probabilité
FIGURE 18 : Modèle de la cartographie de risque adopté.
117
Après l’évaluation des risques, on les a affectés sur la cartographie selon le couple
(probabilité, gravité), ce qui nous a permis de repérer la matrice suivante :
8-10-11-17-
70-72-77- 63-74-81 93
22-26-28-34-
5. Critique 97-98-99
56-64-75-76
4. Très important 12-18 95 5
G
R 14-15-20-21- 55-57-59-78-
A 3. Important 23-37-92-96
V
I
T 33-49-85 16-70-84- 74-81 91
E 2. Moyen 66-84
48-85 86-89-94
1. Faible
1. Très rare 2. Rare 3. Possible 4. Fréquent 5. Très fréquent
Probabilité
Figure 19 : cartographie livrée avec évaluation des risque
La ligne jaune qui apparait au milieu de la cartographie nous permet de séparer entre les
risques les plus critiques et les risques qu’on peut accepter, au-dessous de cette ligne les
risques qui ont une criticité faible à moyenne et donc qui sont soit à accepter ou transférer à
un gestionnaire de risque pour les traiter (48-85-86-89-94-33-49-85-14-15-20-21..).
Au-dessus de cette ligne, apparaissent les risques qui sont à criticité élevée et qui ont un
impact très important sur le processus achat, et donc ces risques doivent être obligatoirement
évités et traités (93-91-5-93-63-74-81-77-70-72-97-98..).
118
Cette cartographie a pour ambition de voir à quel point peut-on dire que l’impact estimé
pour un risque donné est « fort ou peu réalisable ». La probabilité d’occurrence nous donne
aussi une estimation par apport à l’organisation globale du processus et le taux de
survenance des risques : des probabilités d’occurrence fortes peuvent refléter la capacité des
contrôles antérieurs à confronter l’impact des risques.
Analyse et politique de traitement des risques :

Dans notre cas :
• 4% des risques ont un impact Fort avec une probabilité d’occurrence Forte et
concerne généralement les retards de paiement et de réalisation, ces derniers peuvent
être soit transféré vers des assurances.. ou évités, néanmoins le risque de retard de
paiement peut être diminué si une bonne planification des budgets est effectuée ;
• 51.8% des risques ont un impact fort avec une probabilité d’occurrence faible et
qu’il vaut mieux de partager ou transférer selon la nature de risques et les parties qui
en sont concernées.
• 44.2 des risques ont un impact moyen et une probabilité d’occurrence moyenne et
peuvent être acceptés ou réduits ;
De manière globale, on peut dire que les risques à fort impact sont estimés à 45.54%, ce qui
est considérablement important, et 80% sont doté de probabilité d’occurrence moyenne ou
faible, cela est dû à l’existence d’un niveau assez fort de « contrôles », pour pouvoir
surmonter l’effet probable de réalisation des risques.
119
7- Testing
Dans cette partie il s’agit de tester la nouvelle cartographie, via la mesure de sa performance
et sa capacité à remplir les objectifs pour lesquels elle fut assignée :
Pour se faire elle devrait être préalablement approuvée et validée par les parties concernées
par son utilisation, chose qui été faite par :
Le directeur des achats à l’ONCF qui a déclaré, lors de notre dernière réunion avec lui, que
notre cartographie est exhaustive, fiable et réaliste.
Le chef des missions audit qui a approuvé que la cartographie que nous avons réalisé répond
parfaitement dans sa réalisation aux normes d’audit adoptées et aux exigences édités par le
référentiel de gestion de risque COSO2.
Nous avons alors décidé d’évaluer la cartographie en procédant par une comparaison entre
l’ancienne cartographie faite par l’expert et notre nouvelle cartographie comme suit :
Ancienne Nouvelle Remarques

cartograph cartograph
ie ie
• Exhaustivité ∗ L’ancienne cartographie contenait moins
de 24 risques dont 13 non valides, la
nouvelle cartographie contient 50 risques
tous validés.
• Utilisation d’un ∗ L’ancienne cartographie ne travaillait pas
référentiel lors de selon une méthode précise, la nouvelle
l’élaboration cartographie suit le référentiel COSO2.
• Mise à jour ∗ Grâce à l’instauration de la gestion
électronique des documents (GED) et
l’installation en cours du système
d’information achat, la mise à jour de la
cartographie sera plus accessible.
• Outil de prise de ∗ N’étant pas approuvé, et ne disposant pas
décision de mise à jour régulière, l’ancienne
cartographie n’était pas communiquée
120
aux décideurs, contrairement à la
nouvelle matrice qui a été approuvé par
l’autorité compétente du Directeur des
achats.
• Identification ∗ Vu que le risque est un événement qui
préalable des empêche l’atteinte d’un objectif donné, le
objectifs référentiel COSO 2 a ajouté
l’identification des objectifs à ses
principales étapes dans la démarche de
gestion de risques.
• Existence ∗ La fonction risk manager est encours
Riskmanager d’instauration, dans le mois qui suit, un
risk manager sera nommé au siège du
Groupe ONCF Rabat.
• Recours à un ∗ Pour élaborer l’ancienne cartographie, le
consultant Groupe ONCF a eu recours à un
consultant expérimenté.
• Utilisation d’un ∗ « Envisionrisk » est le logiciel qu’a
logiciel utilisé le consultant pour élaborer
sophistiqué l’ancienne cartographie qui est
performant et coûteux.
• Assurer la ∗ La nouvelle cartographie est en soit une
fonction reporting forme de reporting, via la mise à jour de
ces composantes suivant le
développement du processus achats
l’apparence de nouveaux risques...
• Découpage du ∗ Le COSO 2 exige le découpage du
processus en processus en phase pour mieux assimiler
phases ses composantes, et identifier les risques
de façon précise et intégrale.
• Coût ∗ La rémunération de l’expert était très
d’élaboration élevée, quoique sa cartographie ne fût pas
élevé approuvée par les décideurs du Groupe
ONCF.
121
• Temps 1mois et 10 3 mois La nouvelle cartographie a pris beaucoup
d’élaboration jours plus de temps vu l’utilisation de moyen
de bord pour sa réussite et la prise en
compte d’une démarche plus pratique,
approfondie et exhaustive
En conclusion, l’évaluation effective et fonctionnelle de la cartographie sera faite lors de son

utilisation dans les prochaines missions d’audit dédiée au processus achat, c’est à ce stade que
nous aurons une réponse claire à notre problématique visant à évaluer l’apport de l’audit dans la
bonne gestion des risques opérationnels par le biais de la cartographie de risque. En effet la
prochaine mission d’audit au département achat, et qui mettre notre cartographie en test réel est
prévu pour fin Juin.
122
8- Relevé des recommandations
N° Recommandations
A travers l’analyse des différentes clauses des contrats, la DA devrait compléter son
tableau de bord par un indicateur pour le suivi de la part des achats non planifiés. Cet
indicateur permettrait de :
1 • Mesurer l’efficacité des contrats de service mis en place ;

• Et d’agir, en temps opportun, sur le processus d’élaboration des prévisions.
Mettre en place un système global en remplacement des trois bases existantes permettra
2
d’obtenir des informations plus fiables.
Les écarts reflétés par le tableau de bord doivent être commentés. En effet, les
commentaires permettront :
De comprendre les raisons de la non atteinte des objectifs : difficultés externes, manque
3
de ressources, manque formation, bases des calculs prévisionnels inexactes,…
D’expliquer comment les objectifs ont été atteint en détaillant les principales actions
ayant conduit aux résultats.
Afin d’évaluer la situation actuelle par rapport aux situations précédentes et d’analyser
4 les écarts, il est souhaitable que le reporting fasse ressortir l’écart entre les statistiques
du trimestre « T » de l’année « N » et celles du même trimestre de l’année « N-1 ».
Pour optimiser les achats de prestations permanentes et prévisibles objet de la « liste des
prestations pouvant faire l’objet de marchés-cadre » annexée au règlement des achats
5
ONCF, la DA devrait fixer la périodicité de recensement des besoins des pôles et
directions.
Afin d’éviter le recours aux marchés négociés et aux bons de commande nécessaires pour
couvrir les périodes creuses postérieures à la fin de validité d’un marché cadre, des
6 contrôles sont à mettre en place pour signaler à l’acheteur, en temps opportun, la
nécessité de mettre en place un nouveau marché : indicateur sur un tableau de bord,
alerte sur l’application GA …
Pour mieux optimiser les coûts et les délais, la DA doit établir une étude détaillée pour
évaluer l’efficacité de la massification pour chacune des prestations susceptible d’être
massifiées.
7
Cette étude doit permettre à la DA d’identifier les activités à massifier ainsi que les
activités à ne pas massifier en tenant compte de plusieurs critères d’efficacité :
réduction des couts et des délais, amélioration de la qualité, simplification des contrôles …
la DA devrait mettre en place un fichier article propre aux prestations et travaux pour
8
permettre entre autres de suivre l’évolution des prix.
123
il est souhaitable d’intégrer un indicateur concernant l’évolution des prix dans les tableaux
9
de bord pour assurer un suivi permanent.
Pour les prestations prévisibles et non répétitifs, veiller à privilégier la passation d’un
10
marché ferme.
S’assurer de l’exactitude du besoin avant la publication de chaque appel d’offre dans les
11
journaux. En cas de changement d’objet, relancer l’appel d’offre dans la presse.
Veiller au respect des délais fixés par la note de service n°185 du 1er avril 2013 et par les
12 contrats de service. Revoir, si nécessaire, les objectifs prévus pour s’assurer qu’ils sont
réalisables.
13 Pour éviter que l’ONCF se retrouve avec des fournisseurs fictifs, on suggère à l’entreprise de
faire des visites régulières voire une fois par année pour vérifier la présence effective de ces
fournisseurs.
La grille de présélection des fournisseurs doit être formalisée afin de vérifier que les éléments
importants sont pris en considération afin d’éviter le risque de choix orienté ou inapproprié qui
mène au privilège d’un fournisseur sur un autre.
14 La direction achat doit mettre à jour la base de données de ses fournisseurs pour éviter de
travailler avec des concurrents disqualifiés.
15 Le Groupe ONCF peut désigner une entité d’assurance qualifiée lui permettant de transférer
certains risques. comme lors de la défaillance d’un fournisseur, ou du glissement de la date
d’exploitation.
124
Conclusion –partie 2
Dans cette partie empirique, il était question de vérifier et mettre en pratique les fondements
théoriques élaborés dans la première partie du rapport, en se basant sur des entretiens,
questionnaires, ouvrages, et outils d’audit , nous avons pu constituer une idée globale et
précise concernant l’appétence au risque dans le groupe ONCF et les contrôles mis en place
pour examiner ses performances , grâce à nos recherches pluri-catégoriques nous avons pu
recenser quatre-vingt-cinq(95) risques opérationnels inhérents au processus achat , dont
cinquante (50) sont déjà concrétisés au Groupe ONCF , l’évaluation de ces risques faites par
des auditeurs, acheteurs et le Directeur des achats, nous a permis de les classer, selon le
couple « (portabilité, impact), dans la matrice de risque , chose qui nous a permis de déceler
des recommandations curatives des risques forts , et préventives des risques faibles pour
éviter leur développement éventuel . La cartographie élaborée et le plan de recommandations
suggéré permettront d’augmenter la performance du processus achat, d’une part et de faciliter
les missions d’audit interne dédié à ce même processus d’autre part.
125
Conclusion générale
La réflexion actuelle en matière de gestion de risque, commence de plus en plus à donner

une importance significative à la notion du risque opérationnel, étant donné que sa bonne
gestion et sa gouvernance rationnelle permettra de booster le niveau économique et
organisationnel des entreprises marocaines.
De ce fait, la cartographie des risques opérationnels s’intègre facilement dans cette vocation
académique des entreprises marocaines et mondiales, dans la mesure où elle représente un
travail préalablement nécessaire à toute mise en œuvre effective d’évaluation et de
considération des risques opérationnels.
Pour cette raison, les dirigeants du Groupe ONCF, ont décidé de créer la fonction
riskmanager pour permettre la mise à jour régulière de cet outil simple et efficace et de
permettre une compréhension intégrale des différents macros processus de l’office
Cette situation est justifiée par la capacité de la cartographie des risques à :
• Estimer les risques pour un intervalle de temps précis, et évaluer les améliorations
entre deux périodes prédéfinies ;
• Evaluer la fiabilité des contrôles mis en place lors de son élaboration, par
l’estimation des niveaux actuels des risques en question ;
• Déterminer les zones de vulnérabilité significative d’un processus donné, et mettre
en action des plans d’amélioration appropriés.
• Aider à la prise de décision, via des plans d’action pertinents
• Partager le sens stratégique de développement du groupe, et éviter des considérations
improductives de la part des unités opérationnelles ;
Toutefois, la cartographie des risques peut avoir certaines limites telles que:
• L’incapacité de réagir instantanément à des risques immédiats ou fraîchement parus ;

• La fréquence élevée d’élaboration et de mise à jour qui minimise son efficacité, vu la
charge de réflexion que peut prendre un tel travail ;
• Donne plus d’importance dans le cadre du plan d’action, à des risques avec un
impact et probabilité élevée, et néglige les risques faibles ; ce qui peut constituer une
charge imprévu de plus pour l’unité opérationnelle, dans la mesure où ce genre de
risque peut se développer et se métamorphoser en risques forts, par le biais du
caractère systémique qu’ils peuvent revêtir ;
126
• Le coût élevé et les moyens consacrés pour la réalisation de la cartographie, l’analyse
des données via un logiciel développé et l’impact qu’elle peut avoir lors d’une
première mise en place sur le climat social.
De ce fait, et en guise de propositions des pistes d’améliorations, nous suggérons :
• Commencer par réduire l’intervalle de temps entre deux contrôles de mise à jours ;
• Inclure après chaque mise à jour, un dispositif de simulations prévisionnel, qui
permettra d’assurer une corrélation continue entre les contrôles et les risques futures.
• Créer une entité risk manager pour veiller à la mise à jour de la cartographie et
Centraliser les informations qui la concernent.
D’autre part, et pour faire un bilan général de cette expérience vécue, on peut dire que lors
de ce stage de quatre mois, j’ai pu mettre en pratique mes connaissances théoriques acquises
durant la formation académique, de plus, j’ai pu avoir une idée globale sur les difficultés
réelles du monde du travail et spécialement celui de l’audit, des achats et de la gestion de
risques.
A travers ce stage, j’ai pu estimer le comportement qu’il convient d’adopter dans un

contexte professionnel, et voir à tel point on peut supputer que le profil de l’étudiant
marocain a des capacités d’adaptation à tout type d’environnement, de situation et de
mission.
Sur le plan personnel, cette expérience m’a permis de sortir d’un cadre académique que je
trouvais bien formaté. Cette intégration de trois mois en entreprise m’a confronté, en
quelque sorte, à un monde réel dont on est bien trop souvent étranger. C’était l’occasion de
rencontrer des personnes que je n’aurai jamais pu rencontrer dans d’autres circonstances, de
partager des goûts communs, des discussions, et des idées et de développer plusieurs aspects
de ma personnalité.
Enfin, je garde de ce stage un excellent souvenir, car il constitue désormais une expérience
professionnelle valorisante et encourageante pour mon avenir.
127
Bibliographie :
Ouvrages :
• J.Renard, Pratique de l'audit interne, Eyrolles, éditions d'organisation, 2008

• Sophie Gautier-Gaillard, Jean-Paul Louisot, Diagnostic des risques, édition Afnor, 2007
• BOURROUILH Olivier, SCHICK Pierre & VERA Jacques, Audit interne et référentiels de
risques, DUNOD, 2010.
• De MARESCHAL Gilbert, La cartographie des risques, AFNOR, 2003.
• Groupe professionnel Industrie et Commerce, Étude du processus de management et de
cartographie des risques, Les cahiers de recherche de l’IFACI, 2003.
• P. Schick, Mémento d'audit interne, Dunod., 2007
• Roger Perrotin, François Soulet de Brugière, Jean-Jacques Pasero, le manuel des achats,
2011
• Lionel collins et gerardvalin : audit et contrôle interne, oper et stat, 1997
• E. Bertin, Audit interne : enjeux et pratiques à l'international, Eyrolles , éditions
d’organisation,2007.
• Frederic Bernard et Eric Salviac, Fonction Achat :Contrôle et gestion des risques ,2008
Mémoires et cours universitaires :
• ANASTASIOU Lise, De l’identification à la cartographie des risques : conceptualisation,

élaboration et modélisation dans la grande distribution, IAE d’Aix-en-Provence, 2007.
• BERTIN Élisabeth, « Audit interne et gouvernance d’entreprise », cours dispensé à l’IAE de
Bordeaux, 2010.
• Antoine Alonso et DomoniqueLegouge,Guide de la nomenclature des achats publics,2001
128
Articles spécialisés :
• DOMINIQUE VINCENTI ; « Dresser une cartographie des risques », Revue Audit, n°144
• Antoine Alonso et DomoniqueLegouge,Guide de la nomenclature des achats publics,2004
• BAILLY Jean-Paul, « Un impératif pour demain, articuler les fonctions d’audit et de contrôle
avec les réalités économiques des entreprises », in Audit interne, n°192, décembre 2008.
• ROFF Jean-Loup, « Pour une meilleure articulation entre audit et contrôle internes –
entretien avec Claude Viet», in Audit interne, n°190, juin 2008.
• Rapport de la cours de compte ,2012
Documents interne à l’ONCF
• Manuel des achats de l’ONCF version ,2013

• Règlement des marchés publics version ,2015
• Référentiel de mission ,2013
• Reporting mission d’audit « mesure des performance du processus achat » 2015
Publications des sites institutionnels :
• www.amf-france.org, « Cartographie 2009 des risques et des tendances des marchés

publics », juin 2009.
• www.ferma.eu, « Cadre de référence de la gestion des risques », 2002.
• www.coso.org, “Strengthening Enterprise Risk Management for Strategic Advantage”,
2009.
• www.theiia.org, “The Role of Internal Auditing in Enterprise Wide Risk Management”,
January 2009.
• www.ifaci.com, « Normes internationales pour la pratique professionnelle de l’audit
interne de l’IIA », janvier 2011
• www.pwc.fr, « Maîtrise des risques : 40 réponses aux défis actuels des décideurs », 2010.
• Mathieu Girème – Mémoire de professionnalisation – Septembre 2011 Page 71.
129
Liens Internet :
• Présentation succincte de la norme ISO 31000 :

www.iso.org/iso/fr/catalogue_detail.htm?csnumber=43170.
• Présentation des travaux de Daniel Bernoulli :
www.lapasserelle.com/economics/paradoxe_st_petersbourg.htm
• Politique de gestion des risques de l’hôpital Robert Debré (Paris) :

http://robertdebreparis.aphp.fr/fr/hopital_page2.php?doss_id=209&doss_type_id=19&pa
ge=qualite
• L’aversion au risque :
http://sciencetonnante.wordpress.com/2011/02/21/laversion-au-risque
• L’évaluation des risques
http:// cncc.fr/2011/02/21/synthèse de l’évaluation des risques.
• Essentiel du COSO 2
http://coso.org/2012/04/01/coso2
Sources anglo-saxonnes (Articles spécialisés) :
• NEIL Martin41, “Using Risk Map to Visually Model and Communicate Risk”,
www.agenarisk.com.
41
Professeur et Directeur du groupe de recherche « RiskAssessment and DecisionAnalysisResearch Group» à
l’Université Queen Mary de London, UK
130
Table de matières
AVANT PROPOS ........................................................................................................................2
REMERCIEMENT .......................................................................................................................3
SOMMAIRE................................................................................................................................5
LISTE DES ABREVIATIONS .........................................................................................................6
LISTE DES TABLEAUX ................................................................................................................7
LISTE DES FIGURES ...................................................................................................................8
INTRODUCTION GENERALE ......................................................................................................9
PARTIE I : CADRE THEORIQUE DE LA MISSION ..........................................................................11
INTRODUCTION- PARTIE I
Chapitre1 : cadre référentiel de la mission d’audit et de la gestion des risques

opérationnels..........................................................................................................12
1- La notion de risque................................................................................................13
1-1- Historique et évolution du concept de risque......................................13
1-2- Définition de risque..............................................................................14
1-3- Risque et notions voisines.....................................................................14
1-4- Dimension du risque............................................................................15
1-5- Risk management ................................................................................16
2- Le risque opérationnel dans l’entreprise. ............................................................17

2-1- L’entreprise : univers de risque.................................................................17
2-2- Typologie des risques..............................................................................18
2-3- Les risques opérationnels.........................................................................20
2-4- Les politiques de traitement de risque......................................................21
131
3- L’audit interne et COSO 2...................................................................................22
3-1-définition de l’audit interne....................................................................22
• Principes ..........................................................................................23
3-2-Objectifs de l’audit interne.....................................................................24
3-3-Le référentiel COSO 2...........................................................................25
3-4 –Différence entre audit interne et contrôle interne...................................26
3-5- La conduite d’une mission d’audit.......................................................27
4- Evaluation du dispositif d’audit interne..........................................................28
4-1- prise de connaissance générale de l’entreprise.......................................29
4-2- description des procédures......................................................................30
4-3- vérification de l’existence des procédures...............................................30
4-4- évaluation préliminaires des procédures..................................................30
4-5- vérification des points forts.....................................................................31
4-6- évaluation définitives du dispositif........................................................32
Chapitre 2 : Démarche d’élaboration d’une cartographie de risque......................33
1- La notion de cartographie de processus..............................................................31

1-1- Définition.............................................................................................32
1-2- Objectifs...............................................................................................33
1-3- Motivation............................................................................................34
1-4- Facteurs clés du succès d’une cartographie ..........................................35
1-5- Les types de cartographies....................................................................36
2- La démarche d’élaboration d’une cartographie de risque.....................................37
2-1 Les différentes approches de réalisation d’une cartographie.......................37
132
2-2 Etapes d’élaboration d’une cartographie..........................................................35
La phase de préparation........................................................................................35
La phase de réalisation.........................................................................................36
• Identification et analyse des risques..............................................36
• Evaluation des risques...................................................................37
• Hiérarchisation des risques............................................................38
• Matrice des risques........................................................................39
2-3 La phase d’action............................................................................................40
2-4 La phase de reporting sur les risques et recommandations .............................41
2-5 Phase de vérification de l’efficacité des recommandations .............................42
2-6 Amélioration et mise à jour de la démarche.....................................................43
Chapitre 3 : Audit interne et pratiques du risque management dans un

établissement
public .........................................................................................................................44
1- Les raisons de la mise en place de l’audit au sein du secteur public............................45

1-1- La privatisation.........................................................................................................45
1-2- Le processus d’ouverture internationale.................................................................46
1-3- Nécessité d’une bonne gouvernance.......................................................................47
2- La place de l’audit au sein du secteur public.................................................................48

2-1- Risques sur le plan éthique, conflits d’intérêts..............................................................48
2-2-
Éloignement......................................................................................................................49
2-3-
complexité........................................................................................................................50
2-4- Conséquences des erreurs...............................................................................................51
3- Les rôles de l’audit au sein du secteur public
:..................................................................................................................................52
133
3-1- lasurveillance..................................................................................................................53
3-2- ladétection.......................................................................................................................54
3-4- ladissuasion.....................................................................................................................55
3-4-l’information ...................................................................................................................56
3-5- la prévoyance..................................................................................................................57
CONCLUSION - PARTIE I..................................................................................................................... 58
PARTIE II : CADRE EMPIRIQUE DE LA MISSION .................................................................................59
INTRODUCTION- PARTIE II..................................................................................................................59
Chapitre 1 : gestion des risques opérationnels cas de l’ONCF...................................60
1- Présentation de l’organisme d’accueil....................................................................62

1-1- Organigramme ..............................................................................................62
1-2- Historique ......................................................................................................63
1-3- Mission ....... ..................................................................................................64
1-4- Fiche signalétique.........................................................................................69
2- Présentation du pôle sécurité et contrôle...................................................................70
2-1- Organigramme...............................................................................................70
2-2- Objectifs du pôle.............................................................................................71
2-3- Mission du service d’audit interne................................................................74
3- Etude du processus achat et modalités de mise en concurrence................................76
3-1- Organigramme du service achat....................................................................76
3-2- Mission et enjeux .........................................................................................79
3-3- Types d’achat.................................................................................................82
3-4- Classification ................................................................................................84
3-5- Mode de passation des marchés....................................................................86
4- Modélisation des risques opérationnels liés aux achats ...........................................91
134
4-1- Grille de séparation des tâches ...................................................................94
4-2- L’analyse SWOT..........................................................................................98
4-3- Flowchart.......................................................................................................102
4-4- Présentation de l’ancienne cartographie de risque du processus achat
.........................................................................................................................106
Chapitre2 : objectif de la mission et méthodologie de travail.................................107
1- Problématique ..............................................................................................................108
2- Justificatif du choix..................................................................................................109
3- Objectifs de la mission................................................................................................110
4- Méthodologie suivie.................................................................................................111
5- Outils de recherche .....................................................................................................112
Chapitre 3 : cartographie des risques du processus achat selon le référentiel COSO

2 ..............................................................................................................................113
1- Présentation du processus.....................................................................................114
2- Découpages en macro processus ..........................................................................118
3- Les objectifs..........................................................................................................120
4- Identification des risques.......................................................................................124
5- Evaluation des risques ..........................................................................................126
6- Présentation de la cartographie..............................................................................128
7- Testing...................................................................................................................130
8- Recommandation .................................................................................................133
CONCLUSION PARTIE II......................................................................................................................135
CONCLUSION GENERALE.................................................................................................................136
BIBLIOGRAPHIE ...............................................................................................................................138
TABLE DES MATIERES ......................................................................................................................140
135
ANNEXE.............................................................................................................................................141
Exemple de grille de présélection des fournisseurs ........................................................................141
Exemple de fiche de risques.............................................................................................................140
Demande de lancement d’appel d’offre..........................................................................................139
Signification des symboles des Flow-chart.......................................................................................140
Extrait de la charte éthique..............................................................................................................141
L’ancienne cartographie réalisée par le consultant externe............................................................142
Guide d’entretien ...........................................................................................................................144
Résumé……………………..........................................................................................................146
Mots clés………………………………..……………………………………………………………………………………………….147
136
Annexes
Exemple de grille de présélection des fournisseurs :
Exemple de fiche de risques
Fiche risque n° 1
Identification du risque
Contexte Expression de besoin
Historique Survenu lors de deux appels d’offre importante le mois dernier
Scénarios Les réponses aux appels d’offre reçues permettent à montrer que le besoin
a été mal compris par les fournisseurs
Evaluation du risque : 8
Risque
Impact Probabilité
4 2
137
Analyse du risque :
Causes Mauvaise expression du à l’omission de spécifier certaines caractéristiques

du besoin
Conséquences Retard de réponse au besoin

Possibilité de déclarer l’appel d’offre infructueux
Mesures de Contrôler la rédaction de l’expression du besoin avant de lancer l’appel

contrôle d’offre
Commentaires
Recommandations :
Priorité : Action : Responsable : Délai :
1 Rédiger des listes détaillées des Pôle ou 1 mois

caractéristiques du besoin exprimé que direction
l’entité qui exprime le besoin doit remplir concernée par
avec précision à chaque expression le besoin
Etabli par : Approuvé par : Validé par :
Le : …/…/20.. Le :…/…/20.. Le : …/…/20..
138
Demande de lancement d’appel d’offre
139
Signification des symboles des Flow-chart
140
Extrait de la charte éthique
141
L’ancienne cartographie réalisée par le consultant externe
142
Guide d’entretien
Guide l’entretien utilisé avec les acheteurs
1 Quelles sont les différentes étapes du processus d’appel d’offre ?

2 Quelles sont les procédures mises en place pour bien mener les
attributions ?
3 Qui sont les différents intervenants dans le processus ?
4 Quelles en sont leur taches ?
5 Comment s’effectue la présélection des fournisseurs ?
6 Quels sont les éléments qui composent le DAO ? D'où
proviennent-ils ?
7 Quel est le processus de réception et de contrôle des offres ?
8 Comment s'effectuent le choix et la sélection des fournisseurs ?
1............................................................................................................................
..............................................................................................................................
.........................................................................................................................
2............................................................................................................................
..............................................................................................................................
.........................................................................................................................
143
3............................................................................................................................
.........................................................................................................................
........................................................................................................................
4............................................................................................................................
..............................................................................................................................
........................................................................................................................
5............................................................................................................................
..............................................................................................................................
..........................................................................................................................
6............................................................................................................................
..............................................................................................................................
..............................................................................................................................
.....
7............................................................................................................................
..............................................................................................................................
..............................................................................................................................
.....
8………………………………………………………………………………………………………………………
………………………………………………………………………………………………………………………..
144
Résumé
Mon stage de fin d’études s'est déroulé dans l’office national des chemins de fer pour une
durée de quatre mois dans le département de sécurité et contrôle -service d’audit interne- .
Mon thème consistait en la gestion des risques et plus spécifiquement la contribution de
l’audit interne dans la gestion des risques opérationnels du processus achat, pour se faire,
plusieurs outils peuvent être misent en place pour réussir mon travail, mais le choix de
travailler avec la cartographie des risques était justifié par son pertinence et son clarté.
Lors des premières semaines, il était important de comprendre d’abord les principales
missions du département audit interne ainsi que de la direction des achats, parce que le
travail s’articulait principalement au sein de ces deux entités. Après avoir fait des lectures et
eu une bonne compréhension de la mission, on a fait des entretiens avec le directeur des
achats, les acheteurs ainsi que les auditeurs pour comprendre étape par étape le processus de
déroulement de l’activité achat. Ces entretiens nous ont permis d’identifier les risques liés à
ce processus, les évaluer pour en faire par la suite une cartographie des risques qui va nous
servir d’un moyen d’analyse de la gravité des risques relevés pour présenter par la fin les
recommandations souhaitées.
Le thème était d’une grande contribution à l’organisme d’accueil, ce qui a facilité la
collaboration des acteurs des deux départements.
C'est ainsi que s'est déroulé mon stage, constituant une expérience enrichissante et porteuse
de valeur ajoutée pour l’office national des chemins de fer.
Summary:
My graduation internship took place in the national Office of Railways for a period of four
months in the security and control department -service audit internment. My theme consisted
on risk management and specifically the contribution of internal audit in the operational risk
management of the purchasing process, several tools can be put forward to succeed my
work, but the choice to work with risk mapping was justified by its relevance and clarity.
During the first weeks, it was important to first understand the main tasks of the internal
audit department and the purchasing department, because the work is mainly structured
within these two entities. After readings and havig a good understanding of the mission,
interviews were made with the purchasing director, buyers and auditors to understand step
by step the process of conduct of the purchasing activity. These interviews enabled us to
identify the risks associated with this process, and evaluate it to make subsequently a risk
map that will serve us to analyze the severity of identified risks to present by the end the
recommendations.
The theme was a great contribution to the host organization, which facilitated the
collaboration of actors from both departments.
Thus my internship took place, forming a rewarding experience and carrier added value for
the national Office of Railways.
145
Mots clés :
Audit interne………………………………………………………………………Internal audit
Cartographie des risques…………………………………………………….Riskmapping
Risques opérationnels…………………………………………………………operationalrisks
Appel d’offre………………………………………………………………………Tender
Appel d’offre restreint………………………………………………………..Limiter tender
Appel d’offre ouvert……………………………………………………………Open tender
Procédure de négociation…………………………………………………..Trading procedure
Bons de commande……………………………………………………………Purchaseorders
Identification des risques……………………………………………………Risk identification
Hiérarchisation des risques…………………………………………………Prioritization of risks
Evaluation des risques………………………………………………………..riskassessment
Processus achat…………………………………………………………………..purchasigprocess
Découpage du processus achat……………………………………………The cutting of the purchasingprocess
146

La Contribution de L'audit Interne Dans La Gestion Des Risques Opérationnels Via L'élaboration D'une

Transféré par

Droits d'auteur :

Formats disponibles

La Contribution de L'audit Interne Dans La Gestion Des Risques Opérationnels Via L'élaboration D'une

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Contribution de L'audit Interne Dans La Gestion Des Risques Opérationnels Via L'élaboration D'une

Transféré par

Droits d'auteur :

Formats disponibles

Mémoire de fin d’études

La contribution de l’audit interne dans la

Rédigé par : Oumayma BEDRAOUI

Encadré par :BOURQUIA Nezha

Suffragant : M. Hassainate Saber

Année universitaire : 2014/2015

Je tiens à remercier dans un premier temps, toute l’équipe pédagogique del’Institut

LISTE DES ABREVIATIONS

LISTE DES TABLEAUX

LISTE DES FIGURES

PARTIE I : CADRE THEORIQUE DE LA MISSION :

• Chapitre1 : cadre référentiel de la mission d’audit et de la gestion des

PARTIE II : CADRE EMPIRIQUE DE LA MISSION:

• Chapitre 1 : gestion des risques opérationnels cas de l’ONCF

TABLE DES MATIERES

• ONCF : office Nationale des chemins de Fer

• IFACI : L'Institut Français des Auditeurs et Contrôleurs Internes

• AMRAE : Association pour le Management des Risques et des

• COSO : Committee of Sponsoring Organisation

• GGR : Gestion Globale des Risques.

• VAR : Value At Risk.

• AOO : Appel d’Offre Ouvert

• AOR : Appel d’Offre Restraint

• PAN : Procédure Achat Négocié

• MOD : Maître d’Ouvrage

• DAO : Dossier d’Appel d’Offre

• SWOT :Strengths ,Weaknesses ,Opportunities ,Threats

• DAO : dossier d’appel d’offre

• CPS :Cahier des prescriptions spécifiques

TABLEAU 1 : Comparaison entre audit interne et contrôle interne.............. 24

TABLEAU 2 : Identification des risques selon RENARD..................................34

TABLEAU3 : Tableau des forces et faiblesses apparentes (TFfA)..................34

TABLEAU 4 : Exemple d’identification e risque selon renard ........................35

TABLEAU 5 : Exemple d’un plan d’action........................................................39

TABLEAU 6 : Grille de séparation de tâche pour AOO...................................55

TABLEAU 6 : Grille de séparation de tâche pour AOR..................................56

TABLEAU 7 : Grille de séparation de tâche de la procédure négociée……..57

TABLEAU 8 : Analyse SWOT du processus achat...........................................58

TABLEAU 9 : Notation des niveaux de probabilité des risques ......................69

TABLEAU 10 : Notation des niveaux d’impact des risques ...........................69

TABLEAU 11 : Notation des niveaux d’évaluation des risques ......................69

TABLEAU 12 : Organisation des fiches de risques ..........................................70

TABLEAU 13 : Identification des risques et leurs impact par phases……....79

TABLEAU 14 : Tableau d’évaluation et notation des risques selon la méthode

FIGURE 1 : Type des risques opérationnels...............................................16

FIGURE 2 : présentation de la cube de COSO2 ........................................20

FIGURE 3 : Exemple d’une cartographie de risques selon AMAR ….... 37

FIGURE 4 : Exemple d’un plan d’action ....................................................39

FIGURE 5 : Phase d’analyse et de gestion des risques ...............................39

FIGURE 6 : Organigramme du Groupe ONCF ..........................................44

FIGURE 7 : Fiche signalétique.......................................................................46

FIGURE 8 : Organigramme du pôle sécurité et contrôle..........................48

FIGURE 9 : Organigramme du processus achat .......................................49

FIGURE 10 : Nomenclature du processus achat ........................................51

FIGURE 11 : Mode de passation de marché ................................................52

FIGURE 12 : Flow chart AOO.......................................................................59

FIGURE 13 : Flow chart AOR......................................................................60

FIGURE 14 : Flow chart procédure négociée ............................................61