Les fondamentaux du contrle

interne
Universit dt
Paris, le 11 septembre 2008
Module: prendre connaissance de
lenvironnement du contrle interne

Objectifs Dure : 1 jour

Matriser les principes et les finalits du contrle
interne
Acqurir la mthode, les outils et les techniques
pour optimiser le contrle interne

Programme

Introduction
Les Risques: dfinition, la notion de risque, lvaluation des risques
Le Contrle Interne: dfinition, objectifs, maturation
Le Contrle Interne, une notion en pleine volution
Le Rfrentiel du COSO: prsentation, rfrentiels COSO 1 et COSO 2
Les exigences lgales en terme de Contrle Interne

Les outils du Contrle Interne

Questionnaire de Contrle Interne
Auto-valuation de Contrle Interne
Les outils de description
Diagramme de flux de circulation
Test de cheminement
Grille de sparation de fonction et des tches
Matrice de contrle
Les outils techniques / informatiques

2006 Deloitte 2
 Introduction

2006 Deloitte 3
Le contrle interne et les risques sont au centre
des enjeux de lentreprise

Rglementations
Rglementations
Ouverture
Ouverture
des
des marchs
marchs

Complexification
Complexification
des
des oprations
oprations
Internationalisation
Internationalisation

Contrle
Contrle
interne
interne ?
?
Transformation
Transformation
Diversification
Diversification
des
des activits
activits

Thmatiques
Thmatiques
sensibles
sensibles Ouverture
Ouverture
du
du capital
capital
Information
Information
financire
financire
2006 Deloitte 4
Nouveau contexte et nouveaux besoins

Un contexte changeant
Un environnement en mutation et des enjeux nouveaux:
Un cadre rglementaire strict (LSF, Sarbanes Oxley) qui oblige les entreprises se
prononcer formellement sur le degr de fiabilit de leur Contrle Interne
Un business de plus en plus complexe et global
Nouveaux schmas organisationnels dentreprise
Risques industriels et environnementaux
Ingnierie contractuelle
Une pression croissante des marchs financiers en matire dinformation financire
Raccourcissement des dlais de clture
Importance de la publication des rsultats
Notion de corporate governance
thique dentreprise
Une volution rapide des structures et la naissance de nouveaux risques
Fusions et acquisitions
Valorisation dentreprises
Mise en place de synergies
Une responsabilit accrue des dirigeants
Pression des actionnaires
Risques pnaux

2006 Deloitte 5
Nouveau contexte et nouveaux besoins

De nouvelles attentes
Ce nouveau contexte cre de nouvelles attentes:
Direction gnrale
Degr suffisant de confiance dans la matrise du business
Mise en perspective des risques en relation avec les objectifs stratgiques
Correcte application des instructions
Respect des exigences rglementaires et thiques
Missions spciales dacquisition
Actionnaires
Identification des risques financiers
Pertinence et transparence de linformation financire
Oprationnels
Optimisation des process pour une meilleure matrise des risques
Mise en place de plans dactions et de best practices

Un besoin de contrle et de conseil , daide la dcision.

2006 Deloitte 6
Nouveau contexte et nouveaux besoins

Une double rponse

Cration de services spcifiques: Risk Management
Prise en charge de ces nouvelles missions par les services daudit
interne:
Capitaliser sur ses qualits traditionnelles: mthode, indpendance, flexibilit
Pour assurer de nouvelles missions:

Approche traditionnelle Approche par les risques

Analyse des risques Risques comptables Risques business
Procdure Transactions routinires et non Business process
routinires
Rapport Observations et Analyse du business et
recommandations recommandations dactions
Revue analytique Ratios financiers Indicateurs de performance
Observations Tests de dtail valuation

2006 Deloitte 7
Nouveau contexte et nouveaux besoins

Laudit interne au cur de lorganisation

Management des
Risques, Cration de
valeur et Productivit

Actionnaires Units
Comit daudit Oprationnelles
Risques, Audit Interne Business Plan,
Cration de Risques
Valeur Business

2006 Deloitte 8
 Les Risques

2006 Deloitte 9
 Que dsigne-t-
on par
Risque?

2006 Deloitte 10
Notion de risque : dfinition

Dfinition gnralement admise :

Un risque se dfinit comme tout vnement, action ou inaction de nature :

empcher une organisation datteindre ses objectifs (de faon implicite ou
explicite) ou
altrer sa performance ou
Une perte dopportunits

Toutefois, chaque organisation accepte une niveau de risque dfini en

fonction de son activit, de sa sensibilit aux risques, de sa culture
mais aussi de ce que peuvent supporter les actionnaires et autres
parties prenantes: cest la notion de risk appetite; dont la responsabilit
exclusive incombe au Management.
Tout systme de matrise des risques sinscrit dans le cadre du niveau
de risque acceptable.

2006 Deloitte 11
Notion de risque : dfinition

Un univers complexe
Actionnaire
Actionnaire thique
thique Concurrent
Concurrent

Partenaire
Partenaire Planning
Planning Dynamiques
Dynamiques de
de Processus
Processus
commercial
commercial stratgique
stratgique march
march support
support
Allocation
Allocation Production
Production && Loi
Loi et
et
Client
Client Pays
Pays
des
des ressources
ressources Logistique
Logistique rglementation
rglementation
Autres
Autres
Gouvernement
Gouvernement Gestion
Gestion de
de lactivit
lactivit conomie
conomie Marketing
Marketing &
& Vente
Vente Formation
Formation Contrat
Contrat
actifs
actifs corporels
corporels
Nouveau Usine,
Usine, Proprit
Proprit Ressources
Ressources
Fournisseur
Fournisseur Rputation
Rputation Transaction
Transaction Responsabilit
Responsabilit
Produit/Service et
et Terrain
Terrain humaines
humaines

Gouvernement
Gouvernement Structure
Structure du
du Actifs
Actifs Personnels
Personnels et
et
Partenaires Processus
Processus Juridique
Juridique
dentreprise
dentreprise march
march physiques culture
culture

Stratgie Oprations
Lunivers des Risques
Finance Knowledge

Liquidits
Liquidits &
& Rpartition
Rpartition Gestion
Gestion de Proprit
Proprit
March
March Reporting
Reporting Systmes
Systmes
Crdit
Crdit du
du Capital linformation
linformation intellectuelle
intellectuelle
Cours
Cours des
des Planification
Planification et
et
Recouvrement
Recouvrement Fiscalit
Fiscalit Fonds
Fonds Propres
Propres Hardware
Hardware Actifs
Actifs incorporels
incorporels
matires
matires premires
premires dveloppement
dveloppement
Taux
Taux dintrt
dintrt Gestion
Gestion de
de trsorerie
trsorerie Comptabilit
Comptabilit Dettes
Dettes Logiciels
Logiciels Oprations
Oprations Gestion
Gestion du
du savoir
savoir

Rglementation
Rglementation Organisation
Organisation et
et
Taux
Taux de
de change
change Couverture
Couverture Rseaux
Rseaux Information
Information
et
et Conformit
Conformit Suivi
Suivi

Financement
Financement

2006 Deloitte 12
La notion de risque

Les facteurs d'un risque

Probabilit de se raliser, de se manifester.

Type de menace.

Nature de l'impact engendr ( financier, rputation, etc., immdiat ou diffr).

Dure de l'impact.

Absence ou non de contrle pour l'identifier.

2006 Deloitte 13
La notion de risque

Les diffrentes facettes d'un risque :

Le risque est inhrent l'activit de l'entreprise

Il peut tre :
commun toutes les fonctions.
Spcifique une fonction dtermine.

Le risque est li au niveau de contrle interne de l'entreprise.

Le risque est li la capacit de l'entreprise l'identifier (risque d'audit/audit

risk).

2006 Deloitte 14
Lvaluation des risques

Le poids dun risque peut tre corrig par un dispositif de matrise

(contrle interne ou assurances) il convient alors dvaluer le risque
rsiduel support par lentreprise.
Le but est de dresser une cartographie des risques de toutes natures
auxquels lentreprise est confronte
La mthodologie qui gouverne llaboration dune cartographie des
risques repose sur les tapes cls suivantes:
Brainstorming de tous les risques pouvant affecter les diffrentes
fonctions/activits/mtiers de lentreprise
Hirarchisation des risques vis--vis de latteinte des objectifs lors
datelier dbouchant sur un vote
Priorisation des risques majeurs et laboration de la cartographie de ces
risques
Traitement des risques via des plans dactions appropris
Il sagit dun processus itratif dans la mesure o les risques vivent et
voluent en permanence: la cartographie des risques ne saurait donc
tre un document fig dans le temps; elle doit tre mise jour
rgulirement
2006 Deloitte 15
Lvaluation des risques

Contrle
externe
Contrle

risque risque
inspection/
audit interne
Contrle
fonctionnel

inhrent Contrle hirarchique

(validation, pilotage, sondages, etc.)

Mesures et contrles oprationnels

rsiduel
(sparation des tches, comptences,
autocontrle,
contrle automatis, etc.)

Prise en compte
du dispositif de matrise interne existant

2006 Deloitte 16
Lvaluation des risques: cartographie des risques

valuation du dispositif de contrle interne

Eleve

Risque
inhrent
Probabilit

Modre

Risque
rsiduel
Faible

Faible Modr Elev

Impact

2006 Deloitte 17
 Lvaluation des risques: cartographie des risques;
Votes lors de latelier: Voter est intressant, Discuter est essentiel

Risque et dfinition
concerns par
le vote

Echelle de vote

Nombre de votants
sur
chaque note

Impact Impact Impact Impact

faible moyen important critique
Critre de vote
Impact sur les objectifs

Commentaires :

Commentaires et informations collects

au cours de l atelier
2006 Deloitte 18
 Lvaluation des risques: cartographie des risques;
Atelier: matrice des risques et synthse
le ie
a ns erg
n
e d l
pl de
em r
E x ct eu
se Cartographie unique,
construite et valide par
les participants

Compte rendu dtaill

des votes et des
commentaires

2006 Deloitte 19
 Lvaluation des risques: cartographie des risques;
Exemple: groupe industriel agroalimentaire international

Cartographie des risques

Pertes dhommes cl
Risque alimentaire
Non-respect des
Fluctuation des taux de
Critique problmatiques change
environnementales Cot en Vs Ventes en $)
Dfaillance dun sous-traitant
cl
Proprit intellectuelle mal
protge dans le cadre des
partenariats

Performance insuffisante du
produit sur son march
Trs important
Non-conformit aux
principes comptables du
Groupe Non-conformit avec les lois
Retour sur investissement et rglementations (filiales)
insuffisant

Fraude Risque social dans une usine

Important Choix de localisation
Insuffisance du systme industrielle inadapt
dinformation Effort de R&D insuffisant

Faible Moyenne Forte

Vulnrabilit
2006 Deloitte 20
Le traitement des risques

Aprs avoir valu les risques, lentreprise doit mettre en uvre les
mesures et/ou stratgies qui permettent de les traiter

Il existe quatre mesures fondamentales de traitement des risques:

Accepter le risque (ex: la possibilit quun avion scrase sur une usine)
Rduire le risque (ex: entrepts sous sprinkler)
Transfrer le risque (ex: dans le cadre dun contrat de sous-traitance)
Stopper le risque (ex: arrt dune gamme de produits)

Les mesures de traitement sont proportionnes, notamment, la

probabilit que le risque se ralise et limpact quil engendre. Ainsi,
le risque quun avion scrase sur une usine est gnralement accept
sans aucune forme de traitement dans la mesure o bien que limpact
soit extrmement important (arrt des activits) sa probabilit de
ralisation est extrmement faible

2006 Deloitte 21
 Le Contrle Interne

2006 Deloitte 22
 Comment peut-
on dfinir le
contrle
interne?

2006 Deloitte 23
Dfinition du contrle interne

Dfinition du contrle interne

Le contrle interne dune activit est le dispositif de protection contre les

risques de toute nature qui psent sur une activit
Mauvaise ou sous exploitation de ressources
Investissements injustifis
Pertes dopportunits
Risques inacceptables

Le contrle interne est un ensemble de dispositifs mis en uvre par

l'ensemble des personnels de tous niveaux pour matriser le
fonctionnement de leurs activits

2006 Deloitte 24
Dfinition du contrle interne

Le contrle interne est un processus mis en uvre par le personnel de tout niveau
destin fournir une assurance raisonnable quant la ralisation des
objectifs:

optimisation des oprations,

fiabilit des informations financires,
conformit aux lois et aux rglementations en vigueur

2006 Deloitte 25
Objectifs du contrle interne

Les objectifs du dispositif de contrle interne dune entreprise

Assurer lamlioration des rsultats

Optimiser les procdures
Dvelopper lefficacit conomique

Oprations
Promouvoir l'efficacit du fonctionnement de l'entreprise
maximiser lefficience (rapport qualit/cot)
limiter les cots et le dlai de rponse aux changements de situation

Assurer la protection du patrimoine

viter la perte des ressources
viter les catastrophes (incendie, explosion, )
Information
financire
Assurer la qualit et la fiabilit de l'information financire
en interne (performance, budget)
en externe (AMF, analystes, actionnaires, tiers)

Respecter la rglementation et les politiques du groupe

Conformit lois et rglements : LSF, NRE, Sarbanes Oxley, protection de lenvironnement
politique groupe : investissements, matrise des frais impays, qualit, thique

2006 Deloitte 26
Maturation du contrle interne

Le contrle interne est un processus volutif : Il doit tre remis en

cause en permanence pour sadapter la vie de lentreprise

La courbe de vie du contrle interne Mise jour

volontaire
Matrise des Appropriation des procdures
risques du contrle et modes
interne par les opratoires
Sensibilisation des oprationnels
Directions
Validation Oprationnelles
par la
Apprhension Direction
Mise en Gnrale
des risques
place d'un
clefs
manuel
Dtermination Qualit
des rgles
minimales de
contrles

Temps

2006 Deloitte 27
 Le Rfrentiel du COSO

2006 Deloitte 28
 Que signifie
COSO?

2006 Deloitte 29
Prsentation du COSO

Historique
En 1985, cration autour du Snateur Treadway (USA) dune commission
runissant les comptences de professionnels reprsentant lIIA, lAAA, la
FEI, lIMA, lAICPA, le NYSE, des cabinets daudit externe et de grandes
entreprises amricaines. Cette commission est connue sous la
dnomination COSO (Committee of Sponsoring Organizations of the
Treadway Commission).
Vocation :contribuer aux travaux de la National Commission on
Fraudulent Financial Reporting-Treadway Commission cre en 1985, une
commission qui tudie les facteurs qui pourraient conduire des tats
financiers frauduleux, et qui dveloppe des recommandations pour les
socits anonymes,les auditeurs externes,la SEC et autres rgulateurs.

2006 Deloitte 30
Prsentation du COSO

Site internet
http://www.coso.org

Publications
Edition en 1992 de lensemble des travaux sur le contrle interne dans un
ouvrage : Internal Control integrated Framework traduit en 2000 sous
le titre la nouvelle pratique du contrle interne

Puis en septembre 2004, dition de louvrage : Enterprise Risk

Management Integrated Framework (COSO 2).

2006 Deloitte 31
Le rfrentiel COSO 1

Notions cls
Le rfrentiel COSO1 internal audit-integrated framework
comprend:
Une dfinition du contrle interne
Processus
Effectu par des personnes (conseil dadministration, direction, salaris)
Apportant une assurance raisonnable
Quant la ralisation des objectifs suivants
- Efficience et efficacit des oprations
- Fiabilit des tats financiers
- Respect des lois et des rglementations en vigueur

Un rfrentiel pour valuer lefficacit du processus de contrle interne

dune entreprise:
5 composantes troitement lies qui dcoulent de la manire dont
lactivit est gre

2006 Deloitte 32
Le rfrentiel COSO 1

Notions cls

Le contrle interne fait partie des processus de Direction

Le contrle interne peut aider une entreprise raliser ses objectifs en matire de
performance et de rentabilit, tout en prvenant la perte des ressources.

Toutes les activits de la Direction ne sont pas lies au contrle interne comme par
exemple :
Etablir les objectifs de lentreprise
Valider les hypothses et choix stratgiques
Grer les risques

2006 Deloitte 33
Le rfrentiel COSO 1 : 3 Objectifs

Oprations Information financire

Contrler les performances en Contrler la prparation
terme defficacit et de dtats financiers fiables et
rentabilit par rapport aux leur communication tant
objectifs de lentreprise interne quexterne

Assurer la protection des Aider prvenir la fraude

actifs et des ressources et la dtecter au travers
de preuves auditables

Conformit

Contrler la conformit aux

lois et aux rglements
auxquels lentreprise est
soumise

2006 Deloitte 34
Les 5 composantes du COSO 1

Le COSO1 prsente un rfrentiel intgr qui dfinit le contrle

interne au travers de 5 composantes lies entre elles :

Environnement de contrle

valuation du risque

Activits de contrles

Information & Communication

Pilotage

2006 Deloitte 35
Les composantes du COSO 1 (suite)

Evaluation des facteurs

Rgles et procdures internes et externes qui
permettant que les actions de impactent la performance de
gestion des risques tablies l'entreprise
par le management soient
appliques en temps rel Gestion de Risques Stratgiques

Delegation de pouvoir
Trois Objectifs Gestion de Risques Oprationnels
Approbation Evaluation de risques par l'Audit
Process et systmes communs Interne
Sparation des fonctions
n el
valuation des Risques
Rconciliations de comptes n e i t
t io c m

Activit 2
r
ra an fo
Contrles des Systmes d'Information
Activits de Contrle
n n
p Fi

Activit 1
O o
C
Cinq composantes

Pilotage

Unit B
Processus qui assure que les
informations pertinentes sont
Information et identifies et communiques en

Unit A
Communication temps voulu
Notes de la Direction
Activits de Contrle

e
is
Rgles et procdures

pr
Formation

re
valuation des Risques Code d'thique

nt
l'e
e
Environnement de

ut
To
Contrle Processus visant s'assurer que
le Contrle Interne est
Le "tone at the top : la culture adquatement conu, appliqu
de contrle au sein de efficacement et adapt
l'entreprise l'organisation

Code d'thique Analyses par le Management

Rgles et procdures documentes Disclosure Committee
Diagramme bas sur le
Culture d'Entreprise Missions d'Audits Interne
rfrentiel COSO
2006 Deloitte 36
Le rfrentiel COSO 1: ENTITE versus PROCESSUS

Au niveau de lentit
Chaque Entit
Environnement de contrle
valuation des risques
Activits de contrle
Information et Haut en Bas Au niveau des processus
Communication Bas en Haut
Chaque processus
Contrle, suivi Significatif, Compte,
Transaction ou Communication
Environnement de contrle
valuation des risques
Activits de contrle
Information et Communication
Contrle, suivi

2006 Deloitte 37
 el
nn e it
io

Activit 2
t nc m
ra a for

Activit 1
p
Le rfrentiel COSO 1: Environnement de contrle O Fi
n on
C
Pilotage

Unit B
Information et

Unit A
Communication
(Au niveau de lentit) Activits de Contrle

valuation des Risques

Environnement de
Contrle

Lenvironnement de contrle dtermine le niveau de sensibilisation

du personnel au besoin de contrles. Il constitue le fondement de
tous les autres lments du contrle interne, en imposant discipline
et organisation.

Lenvironnement de contrle se compose de soft controls qui font

gnralement rfrence au comportement du Management: style et
philosophie de Direction, exemplarit, thique, valeurs morales, etc.

2006 Deloitte 38
 el
nn it
io ce

Activit 2
at n orm
r f

Le rfrentiel COSO 1: Environnement de contrle

na

Activit 1
p Fi on
O C
Pilotage

Unit B
Information et

Unit A
Exemple de critres prendre en compte
Communication
Activits de Contrle

valuation des Risques

Environnement de
Contrle

Conseil
dadministration
Comptences
et Comit daudit
Structure
organisationell
e

Environnement
de contrle La politique et
Attribution
des les pratiques
responsabilits des RH
et dlgations
de pouvoirs

Philosophie de Intgrit et
la Direction Valeurs
thiques
2006 Deloitte 39
 el
nn e it
io

Activit 2
t nc m
ra a for

Activit 1
p Fi
n on
Le rfrentiel COSO 1: Evaluation des risques O
Pilotage
C

Unit B
Information et

Unit A
Communication

(Au niveau de lentit et des processus) Activits de Contrle

valuation des Risques

Environnement de
Contrle

Le risque est un vnement ou une circonstance qui peut

affecter ngativement la capacit de lentreprise atteindre
ses objectifs.

Lvaluation des risques requiert lvaluation des facteurs

externes et internes lentreprise, leurs impacts sur
lexploitation, le reporting financier et la conformit aux lois en
vigueur.

2006 Deloitte 40
 el
nn it
io ce

Activit 2
t rm
ra an fo

Activit 1
n n
p Fi o

Le rfrentiel COSO 1: Evaluation des risques

O C
Pilotage

Unit B
Information et

Unit A
Communication

(Au niveau de lentit et des processus) Activits de Contrle

valuation des Risques

Environnement de
Contrle

Lvaluation des risques commence par lidentification des

risques associs aux objectifs dfinis chaque niveau de
lentreprise
Au niveau de lentreprise
Pierre angulaire dun contrle effectif, les objectifs de
lentreprise permettent de savoir ce que lentreprise doit
accomplir
Les objectifs doivent tre cohrents avec le budget, la
stratgie, et les plans de dveloppement (business plans)
Au niveau des activits
Saligner avec les objectifs de lentreprise avec la diffrence
quils se rapportent directement des objectifs avec des
cibles et des dlais spcifiques
Fournir des informations et conseils sur les priorits de la
Direction

2006 Deloitte 41
 el
nn e it
io

Activit 2
m
ra t
anc f or

Activit 1
p Fi
n on
O C

Le rfrentiel COSO 1: Activits de contrle Pilotage

Unit B
Information et

Unit A
Communication
Activits de Contrle

valuation des Risques

Environnement de
Contrle

Les activits de contrles sont des rgles et des procdures qui

permettent de sassurer que les mesures identifies comme
ncessaire pour matriser les risques sont appliques correctement
et temps.

2006 Deloitte 42
 el
nn e it
io

Activit 2
m
ra t
anc f or

Activit 1
p Fi
n on

Le rfrentiel COSO 1: Activits de contrle

O C
Pilotage

Unit B
Information et

Unit A
Communication
Activits de Contrle

valuation des Risques

Environnement de
Contrle

Les activits de contrle doivent tre intgres aux oprations /

processus habituels et sont destines assurer lexcution des
directives mises par le management en vue de matriser les
risques. Se concentrer sur la prvention, la dtection et la
correction.

2006 Deloitte 43
 el
nn e it
tio

Activit 2
nc m
ra a for

Activit 1
p Fi
n on
O C

Le rfrentiel COSO 1: Activits de contrle Pilotage

Unit B
Information et

Unit A
Communication
Activits de Contrle

valuation des Risques

Environnement de

Types dactivits de contrles: Contrle

Approbation, autorisation, et vrifications (par exemple : dlgation de

pouvoirs)
Rconciliations
Revue des indicateurs de performance
Scurit des biens (par exemple : contrle daccs)
Sparation des tches (par exemple surveillance - autorisation -
enregistrement)
Contrle des systmes dinformations
Contrles gnraux informatiques (scurit, dveloppement des
applications,.. )
Contrle des applications

2006 Deloitte 44
 el
nn e it
tio

Activit 2
m
ra anc f or

Activit 1
p
Le rfrentiel COSO 1: Information... O Fi
n on
C
Pilotage

Unit B
Information et

Unit A
Communication
(Au niveau de lentit et des processus) Activits de Contrle

valuation des Risques

Environnement de
Inclut lidentification, lobtention et la diffusion dinformation pertinente Contrle

(interne ou externe) selon le bon moyen de communication, au bon

moment, aux bonnes personnes, afin que ces dernires puissent ragir
et assurer leurs responsabilits

Systmes dinformation
Infrastructure
Logiciels
Personnels
Processus manuels ou automatiques
Donnes

La qualit de linformation svalue selon les critres suivants:

Opportunit / Contenu
A temps / En retard
A jour
Exactitude
Accessibilit

2006 Deloitte 45
 el
nn e it
io

Activit 2
m
ra t
anc f or

Et communication

Activit 1
p Fi
n on
O C
Pilotage

Unit B
Information et

Unit A
Communication
(Au niveau de lentit et des processus) Activits de Contrle

valuation des Risques

Environnement de
Contrle
Une bonne comprhension des rles et responsabilits de chacun

Les salaris comprennent comment leur travail est li celui des autres

Moyens de signaler des exceptions la hirarchie

Peut tre sous la forme de:

Manuels de procdures
Manuels de comptabilit et de reporting financier
Memoranda
lectroniquement, oralement (runions, compte-rendu) et par des actions des
Dirigeants

Faciliter la communication top-down et bottom-up

Communiquer avec les tiers

2006 Deloitte 46
 el
nn it
io ce

Activit 2
a t n orm
r f
na

Activit 1
p Fi on
O C

Le rfrentiel COSO 1: Pilotage

Pilotage

Unit B
Information et

Unit A
Communication
Activits de Contrle

(Au niveau de lentit et des processus) valuation des Risques

Environnement de
Contrle

Lobjectif de cette phase de contrle est de dterminer si la

conception du contrle interne est adquate, si le contrle interne
est appliqu, efficace et peut sadapter aux circonstances.

Les performances du contrle interne doivent tre contrles de

manire continue aux travers des oprations caractre de
pilotage, et doivent aussi faire lobjet dvaluations sous forme de
missions daudit interne

Le primtre des activits contrler et la frquence des

contrles dpendent de limportance relative des risques sous-
jacents et des contrles qui permettent de rduire ces risques.

2006 Deloitte 47
Atouts dun contrle interne fort

Les atouts d'un contrle interne fort : Les risques d'un contrle interne
dfaillant :
Risques identifis et matriss Risque de fraude accru

Confiance accrue des investisseurs tats financiers faux

Impact ngatif sur limage de

Conformit avec la loi et les rglementations
lentreprise corne

Rduction du risque de perte Impact ngatif sur la valeur

actionnariale
Harmonisation / homognisation des
Sanctions des rgulateurs
procdures
Procs, actions judiciaires
Dcisions managriales optimises, prises
sur la base d'une information de qualit Pertes d'actifs
constamment mise jour
Dcisions managriales
Visibilit accrue sur les zones d'inefficacit hasardeuses
oprationnelle

Minimisation des "oprations pompiers"

2006 Deloitte 48
Le rfrentiel Enterprise Risk Management-
integrated framework(COSO 2)

Le COSO est un rfrentiel de contrle interne dfini par le Committee

Of Sponsoring Organizations of the Treadway Commission. Le
rfrentiel initial appel COSO 1 a volu depuis 2002 vers un second
corpus dnomm COSO 2.
Face aux scandales rcents, les entreprises ont renforc leur
organisation et communication sur les lments suivants:

La gestion des risques

Le gouvernement dentreprise

Le contrle

Lassurance

2006 Deloitte 49
COSO 2: Dfinition du rfrentiel

Principes sous-jacents:

Tous les types de risques doivent tre identifis, valus et

contrls

Une vision par portefeuilles de risques troitement lis

entre eux doit tre privilgie:
Examiner les liens qui existent entre les risques au sein des
diffrentes structures de lentreprise

La vision sous forme de portefeuille se fait 2 niveaux : lentit elle

mme et les Business Unit

2006 Deloitte 50
COSO 2: Dfinition du rfrentiel

Dfinition de lERM :

Un processus

Effectu par le Conseil dadministration, la Direction et lensemble des salaris

Appliqu dans le cadre dune stratgie prdfinie

Appliqu dans toute lentreprise (entit, divisions, filiales, BU)

Conu pour identifier dventuels vnements qui pourraient affecter lentreprise

Gre les risques afin quils restent dans la limite des risques que lentreprise est encline
supporter (notion de risk appetite et risk tolerance)

Procure une assurance raisonnable quant la ralisation des objectifs de lentreprise

Matriser, et non liminer, la prise de risque qui doit rester une

source de croissance et de russite pour lentreprise

2006 Deloitte 51
La matrice COSO2

Quatre objectifs
Huit composantes

e
is
pr
n tre
l'e
e
o ut
T

2006 Deloitte 52
Le rfrentiel COSO2

Les 4 objectifs dune entreprise :

Stratgique
Objectifs stratgiques high-level qui corroborent la vision et la mission de
lentreprise

Oprations
Efficacit et efficience des ressources utilises

Reporting
Fiabilit des processus de reporting au sens large du terme, pour tout type
dinformation (financire / non financire; interne / externe)

Conformit
Aux textes et lois en vigueur

2006 Deloitte 53
Le rfrentiel COSO 2: Les 8 composantes du
COSO2
8 composantes troitement lies, permettant la ralisation des objectifs :

Environnement interne

Dfinition des objectifs

Identification des vnements potentiels

Evaluation des risques

Rponses aux risques

Activits de contrles

Information et communication

Pilotage

2006 Deloitte 54
Le rfrentiel COSO 2: Environnement interne

La pierre angulaire des autres composantes car il influence

La mise en place de la stratgie et des objectifs
Lorganisation des activits oprationnelles (et donc la manire didentifier et dvaluer
les risques)
La conception et le fonctionnement des activits de contrles
La circulation de linformation et la mise en place des systmes dinformation

La philosophie de lentreprise concernant la gestion des risques

Intgrit et thique
Comptences (connaissance et aptitudes ncessaires laccomplissement des tches)
Conseil dadministration et Comit daudit
Philosophie et style de management des dirigeants
Structure de lentreprise
Dlgation de pouvoirs et domaines de responsabilit
Politique en matire de ressources humaines
Les diffrences et leurs consquences

La culture de lentreprise en terme de risque

2006 Deloitte 55
Le rfrentiel COSO 2: Dfinition des objectifs

tape pralable lidentification et lanalyse des risques: Dfinition des

objectifs stratgiques par rapport la mission ou vision de lentreprise afin de
dfinir la stratgie de lentreprise pour atteindre ces objectifs.

Identification des objectifs secondaires qui dcoulent des objectifs

stratgiques, et qui permettent de fixer les objectifs au niveau des entits ou
business units.

Atteinte des objectifs: Capacit de lentreprise pour atteindre ses objectifs par
rapport aux facteurs externes.

2006 Deloitte 56
Le rfrentiel COSO 2: Dfinition des objectifs

Attitude de prise de risques (risk appetite): Dfinition du niveau de risque

acceptable pour la direction et conseil dadministration afin datteindre les
objectifs de lentreprise.

Attitude de tolrance des risques (risk tolerance): Dfinition du niveau

acceptable de dviation par rapport aux objectifs prdfinis.

Objectifs slectionns: Mise en place dun processus alignant les objectifs

stratgiques de lentreprise et ses missions afin dassurer leur cohrence avec
le risk appetite.

2006 Deloitte 57
Le rfrentiel COSO 2: Identification des
vnements potentiels

vnements : Un vnement est un incident interne ou externe, positif ou

ngatif affectant limplmentation des stratgies ou latteinte des objectifs de
lentreprise.

Facteurs externes (conomie, environnement naturel, politique et social,

technologie) et internes (infrastructure, personnel, processus, technologie).

Techniques didentification des vnements: Diffrentes mthodes et outils

peuvent tre utiliss selon les diffrentes entreprises.
Interdpendance des vnements: Les vnements sont interactifs.

Catgories des vnements: La dfinition des catgories permet au

management de vrifier si les vnements sont identifis dune manire
complte.

Distinction entre risques et opportunits: Un vnement peut avoir un impact

ngatif, positif ou les deux sur lactivit de lentreprise.

2006 Deloitte 58
Le rfrentiel COSO 2: Evaluation des risques

Contexte : Les contextes peuvent varier selon les mtiers, les profils, la taille, la
complexit et lenvironnement rglementaire de lentreprise

Risques inhrents et risques rsiduels : Le risque rsiduel est celui qui subsiste
aprs la mise en place de lactivit de contrle diminuant limpact ou la
probabilit de survenance du risque inhrent

Evaluation de limpact et de la probabilit : Un risque peut tre valu en terme

dimpact et de probabilit

Techniques dvaluation : Combinaison des mthodes qualitatives et

quantitatives

Relation entre les vnements : Les vnements lis lun lautre doivent tre
valus groups. Sinon, ils doivent tre valus individuellement.

2006 Deloitte 59
Le rfrentiel COSO 2: Rponses aux risques

Identifier les plans dactions possibles:

viter les risques
Rduire les risques
Partager les risques
Accepter les risques

valuation des diffrents plans dactions:

valuer leffet sur limpact et la probabilit
valuer cots / profils

Slectionner les plans daction sur la base de lvaluation du

portefeuille global de risques et de lvaluation des diffrents plans
dactions possibles.

2006 Deloitte 60
Le rfrentiel COSO 2: Activits de contrles

Mise en place du plan daction

Dfinition des activits de contrle correspondant au plan daction

Identification des types dactivit de contrle : prventif/dtectif,

manuel/informatique, etc

Etablissement des rgles et procdures

Contrles spcifiques des diffrentes entits

Contrles informatiss :
Contrles gnraux informatiques
Contrle dapplication

2006 Deloitte 61
Le rfrentiel COSO 2: Information et communication

Information: Linformation est ncessaire tous les niveaux de

lentreprise pour identifier, valuer et rpondre aux risques
Information interne/externe
Information financire/non financire

Communication: La communication se repose sur le systme

dinformation
Communication interne
Communication externe

2006 Deloitte 62
Le rfrentiel COSO 2: Pilotage

Pilotage en permanence au travers des activits au quotidien:

Des activits routinires permettent lentreprise de piloter lefficacit du
risk management en permanence

Revue indpendante:
Des revues indpendantes rgulires concentres sur lefficacit du risk
management sont aussi ncessaires

Reporting des dfaillances:

Quelles sources dinformations ?
Quoi ?
Qui ?
Quelles sont les informations ncessaires pour la prise de dcision un
niveau prcis du management ?

2006 Deloitte 63
Liens avec le COSO1

Le COSO 1 propose un cadre de rfrence pour la gestion du contrle interne.

Le COSO 2 propose un cadre de rfrence pour la gestion des risques de
lentreprise (Enterprise Risk Management Framework).
Il apparat que le COSO 2 inclut les composantes du COSO 1 et le complte sur le
concept de gestion des risques. Le COSO 2 est bas sur une vision oriente risques de
lentreprise.

Une nouvelle notion, le Risk Appetite

La composante Environnement Interne senrichit dune nouvelle notion : celle de Risk
Appetite : cest--dire la prise de risque accepte par lentreprise dans le but daccrotre
sa valeur. Ce Risk Appetite permet ensuite de dterminer le niveau de la tolrance de
risque aux diffrents niveaux de lorganisation. Cette notion est ncessaire et prcde la
dfinition de la stratgie de lentreprise.

Apport dun nouvel objectif : stratgique .

la mise en uvre de COSO 2 ncessite davoir une vision des objectifs stratgiques de
lentreprise en plus des related objectifs.

2006 Deloitte 64
Liens avec le COSO1

Composante de risques
Par rapport COSO 1, les diffrents lments de cette composante sont plus dtaills et
fixent un cadre plus prcis:
pour lidentification des vnements potentiels (tendances, vnements passs)
pour lvaluation des risques (risque inhrent, risque rsiduel) ,
pour les rponses aux risques (catgorisation des types de rponses).

Information et Communication
Ncessit de considrer que les informations sont issues des vnements passs,
permettant:
une comparaison des performances de lorganisation (passes, et potentielles futures) et
lidentification des volutions et tendances de lactivit de lorganisation,
laide la dtection des potentiels vnements futurs qui affectent le profil de risques actuel de
lorganisation.
COSO 2 insiste sur le concept de prsentation de linformation pour communiquer, i.e.
linformation doit tre communique sous une forme adapte en fonction de
linterlocuteur destinataire.
Rles et responsabilits
Le COSO 2 souligne limportance de la prise de responsabilit dans une entreprise et
dtaille ce quelle recouvre pour chacun des acteurs.
Un nouveau rle apparat: le Risk officer ,
Le rle du Comit de Direction est plus tendu que dans le COSO 1

2006 Deloitte 65
 Les exigences lgales

2006 Deloitte 66
Le contexte rglementaire
L'environnement international
12 /01/07 29/06/08 05/09/08 Transposition
EUROPE Directive Transposition 8e 4e et 7e Directive
transparence Directive

Rvision Rvision du
UK de Turnbull combined code

France Publication par Rapport AMF sur

Publication du AMF + 2005 et
recommandation
AMF 1er groupe
de place
Rapport AMF
sur 2003
Rapport AMF cadre de rfrence
sur 2004 par l'IFACI
consultation
AMF sur le cadre de
publique
rfrence

LSF 17/07/03 Loi Breton Transposition NEP sur le

AT CNCC
CNCC LSF ISA 315 rapport CI ?

2003 2004 2005 2006 2007 2008

Audit SOX : Year SOX : Premiers

US Standard 2 1 Year 2 rapports FPI
Nouvelles
guidances SEC
et rvision du
Standard 2

Juin 06 J-SOX J-SOX :

Japon loi J-SOX standards year 1
2006 Deloitte 67
Sarbanes Oxley vs. Loi de la Scurit Financire

Rglementations sur le contrle interne

> Srie de scandales pour certaines entreprises amricaines ou europennes
Affaire Enron
Affaire Worldcom
Vivendi
> Ncessit de protger les intrts des investisseurs et des employs des entreprises
concernes
> Rponse la crise de confiance des investisseurs
Stabilit et fiabilit du march des capitaux amricains pour SOA
Rponse franaise pour LSF

Adoption des textes

SOA LSF
(Sarbanes-Oxley Act) (Loi de Scurit Financire)

Congrs amricain Parlement Franais

30 juillet 2002 17 juillet 2003

2006 Deloitte 68
 Prsentation succincte

Loi Sarbanes-Oxley (404) Loi de Scurit Financire

TEXTE Le management doit tablir un rapport
sur le contrle interne relatif au
reporting financier contenant :
- une affirmation de responsabilit sur
ltablissement et le maintien dun
dispositif adquat
Le Prsident du Conseil
dAdministration rend compte,
dans un rapport[...] des
procdures de contrle interne
mises en place par la socit [...]
(art.117)

- une valuation de lefficacit de ce

dispositif

Responsabilit Management (CEO/CFO) Prsident du CA/CS

Primtre Contrle interne relatif au reporting Ensemble du Contrle interne

financier

Nature de valuer lefficacit Rendre compte

laffirmation

Rfrentiel Exig Non mentionn par la loi

PCAOB recommande lutilisation du Recommandation de lAMF dun
COSO cadre de rfrence partir du 1er
janvier 2007
2006 Deloitte 69
 Prsentation succincte
Loi Sarbanes-Oxley (404)
METHODES
Socits Socits cotes aux USA Initialement lensemble des SA
Primtre Consolid
Dlais Exercice clos aprs le 15/6/2004
(15/7/2006 pour les foreign
registrants)
SANCTIONS Le management (CEO, CFO) est
responsable du contrle interne
- Sanctions pour fausse certification
non intentionnelle : jusqu 1 millions
de dollars et 10 ans demprisonnement
- Sanctions pour fausse certification
intentionnelle : jusqu 5 millions de
dollars et 20 ans demprisonnement
CAC Opinion sur lefficacit du contrle
interne
2006 Deloitte
Loi de Scurit Financire
Uniquement APE depuis 2006
Social + consolid
Exercices ouverts compter du
1/1/2003
La responsabilit est porte par le
Prsident du Conseil d Administration
- Pas de sanction prvue ce jour mais
possibilit dune publication
rectificative
- Sanction dans le cadre de la diffusion
de fausses informations : 2 ans
demprisonnement, 1,5 M damende,
sanctions administratives
Rapport sur les informations portes
dans le rapport du prsident
70
Le cadre de rfrence sur le dispositif de contrle interne
prsent par lAMF

Les objectifs :
Les pratiques des entreprises en matire de contrle interne, telles
quobserves depuis 2003, tmoignent dune grande diversit en matire de
contrle interne

Rechercher une transcription pratique du concept de contrle interne sous la

forme dun cadre de rfrence

Prsenter un cadre de rfrence de contrle interne global (qui reste

applicable dans un environnement en mutation et permet chaque socit
de le mettre en uvre quelque soit ses spcificits particulires)

2006 Deloitte 71
Le cadre de rfrence sur le dispositif de contrle interne
prsent par lAMF

Le cadre de rfrence comprend :

Les principes gnraux de contrle interne

Un guide dapplication sur 14 processus concourant llaboration de

linformation comptable et financire

2 questionnaires de porte gnrale

Relatif au contrle interne comptable et financier
Sur lanalyse et la matrise des risques

Le cadre de rfrence na pas vocation tre impos aux socits ni se

substituer aux rglementations spcifiques en vigueur dans certains secteurs
dactivits

Cest un outil que les socits peuvent utiliser pour superviser ou dvelopper leur
dispositif de contrle interne, si elle font appel public lpargne.

2006 Deloitte 72
Cadre de rfrence de lAMF

Recommandations de lAMF

l'AMF recommande l'utilisation du cadre de rfrence et du guide

d'application

Le cadre de rfrence complt par le guide na certes pas vocation tre

impos aux socits, notamment soumises un rfrentiel applicable de par une
autre rglementation, ni se substituer aux rglementations spcifiques en vigueur
dans certains secteurs dactivit, notamment le secteur bancaire et celui des
assurances.

Les socits sont invites, toutefois, prciser, dans le rapport du prsident, si elles
se sont appuyes sur ce cadre de rfrence, complt du guide dapplication, pour la
rdaction du rapport. En cas dapplication partielle du cadre de rfrence ou
du guide, les socits devront clairement identifier les domaines ou
processus cls de contrle interne quelles ont appliqus, compte tenu de la
nature de leurs activits, de leur taille et de leur mode d'organisation. Les socits
mettront laccent sur les lments et informations susceptibles davoir un impact
significatif sur le patrimoine ou les rsultats de la socit.

2006 Deloitte 73
Principes et concepts du Cadre de rfrence de
lAMF
Un cadre de rfrence compatible avec le COSO

valuation des Risques

Recensement, Activits de

Activit 2
contrle Activits de Contrle
analyse et

Activit 1
gestion des proportionnes
proportionn
risques aux enjeux Pilotage

Unit B
Information et

Unit A
Surveillance Communication
Diffusion permanente
permanentedu du
en interne dispositif
dispositif
et et Activits de Contrle
dinformations examen
examenr
rgulier de son valuation des Risques
Organisation, fonction-
de son Environnement de
responsabilits
responsabilits, ne-
fonctionnement Contrle
modes ment
op
ratoires, outils

2006 Deloitte 74
Principes et concepts du Cadre de rfrence de lAMF
Guide dapplication

14 Principes et points cls danalyse permettant didentifier les principaux risques

pouvant affecter les processus concourant llaboration de linformation
comptable et financire
Investissements / Dsinvestissements / Recherche et Dveloppement
Exemple: Concernant les frais de dveloppement, une vrification est faite la date de cltureafin
de confirmer que les conditions ayant conduit leur activation sont toujoursremplies.

Immobilisations incorporelles, corporelles et goodwill

Exemple: Lorsque la mthode de la juste valeur est applique, les valuations sont ralises par des
spcialistes ou partir de donnes de marchs et sont revues priodiquement.

Immobilisations financires
Exemple: Les produits se rattachant aux immobilisations financires sont valus chaque clture.

Achats / Fournisseurs et assimils

Exemple: Il existe un suivi et un rapprochement entre les bons de commande, les bons de rception
et les factures (quantit, prix, conditions de paiement). Les anomalies ventuelles font lobjet dune
analyse et dun suivi.

Cots de revient/Stocks et encours/Contrats long terme ou de construction

Exemple: les marges font lobjet dun suivi rgulier, en vue de permettre un correct suivi de la
dprciation des stocks.

2006 Deloitte 75
Principes et concepts du Cadre de rfrence de lAMF
Guide dapplication

14 Principes et points cls danalyse permettant didentifier les principaux

risques pouvant affecter les processus concourant llaboration de linformation
comptable et financire
Produits des activits ordinaires / Clients et assimils
Exemple: les fonctions de facturation et de recouvrement sont effectivement spares.

Trsorerie / Financement et instruments financiers

Exmple: Il existe une procdure visant identifier les instruments financiers complexes afin quils
soient approuvs pralablement (selon les rgles dictes par la socit) et quun traitement
conforme aux normes en vigueur (IAS 39 par exemple) leur soit appliqu.

Avantages accords au personnel

Exemple : Il existe une sparation des fonctions de calcul, d'enregistrement, de contrle, de
paiement et de transmission des feuilles de paie.

Impts, taxes et assimils

Exemple: Il existe un processus de veille relatif aux obligations dcoulant des lois, rglementations
et instructions fiscales.

Oprations sur le capital

Exemple: Il existe une procdure de suivi des stock-options (documentation des dates
dattribution, suivi des options attribues ou devenues obsoltes).

2006 Deloitte 76
Principes et concepts du Cadre de rfrence de lAMF
Guide dapplication

14 Principes et points cls danalyse permettant didentifier les principaux

risques pouvant affecter les processus concourant llaboration de linformation
comptable et financire
Provisions et engagements
Exemple: Il existe un processus visant ce que la socit donne en annexe de ses comptes une
information sur ses engagements conformment aux principes comptables applicables.

Consolidation
Exemple: Les pourcentages dintrt et la situation de contrle des filiales, participations et entits
contrles sont analyss au regard de la situation de contrle afin de vrifier ladquation de la
mthode de consolidation applique chacune.

Information de gestion ncessaires llaboration des informations

comptables et financires publies
Exemple: Il existe un rapprochement entre les donnes publies et les informations internes.

Gestion de linformation financire externe

Exemple: Il existe un processus de veille sur les obligations en matire d'information financire.

2006 Deloitte 77
8e Directive Europenne
Rglementation et volution venir

La 8me Directive Europenne sur le contrle lgal des comptes du 17 mai 2006
sapplique aux socits cotes

Obligation dun Comit dAudit (excepte dans certains cas pour les entits dintrt
public - Article 41)
Responsabilit du Comit dAudit
() Chaque entit d'intrt public doit tre dote d'un comit d'audit.
() le comit d'audit est notamment charg des missions suivantes:

a) suivi du processus d'laboration de l'information financire;

b) suivi de l'efficacit des systmes de contrle interne, d'audit interne, le cas
chant, et de gestion des risques de la socit ()

La 8me Directive Europenne doit tre transpose en droit franais avant le 29

juin 2008
Obligation pour les CAC de communiquer les dficiences significatives releves lors de
lvaluation du Contrle Interne au regard du processus de linformation financire.
Le contrleur lgal des comptes ou le cabinet d'audit fait rapport au comit
d'audit sur les aspects essentiels touchant au contrle, en particulier les
faiblesses significatives du contrle interne au regard du processus d'information
financire.

2006 Deloitte 78
 Se tenir inform

2006 Deloitte 79
Comment se tenir inform ?

Site Internet Deloitte

> www.deloitte.fr
> www.deloitteaudit.com (sur le site US, accs aux mthodologies Deloitte sur
plusieurs sujets, dont SOA et la Fraud (Fraud Center)

Sites Internet ddis lAudit Interne et au Contrle Interne:

> www.ifaci.com (Institut de lAudit Interne)
> www.theiia.org (The Institut of Internal Auditors)
> www.eciia.org (European Confederation of Institutes of Internal Auditing)
> www.auditnet.org
> www.coso.org (site officiel du COSO)
> http://www.sec.gov/index.htm (site officiel de lUS Securities and Exchange
Commission)
> http://ue.eu.int/Newsroom (site officiel du conseil de lUnion Europenne)
> http://europa.eu.int/eur-lex/lex (site officiel des droits de lUnion
Europenne)

2006 Deloitte 80
Bibliographie

Thorie et pratique de laudit Interne de Jacques Renard, Editions

dorganisation

Le management des risques de lentreprise, Editions dorganisation

La pratique du contrle interne Coso Report, Editions dorganisation

Normes professionnelles de laudit interne, IIA

2006 Deloitte 81
 Les Outils de Contrle
Interne

2006 Deloitte 82
Les outils au service de l'auditeur

La rponse la question essentielle : comment collecter l'information ?

Les interviews

Les questionnaires d'auto-contrle

Les tests de cheminement (pistes daudit)

Les sondages et tests sur les contrles

Les tableaux de bord

Les requtes informatiques spcifiques

2006 Deloitte 83
Les outils au service de l'auditeur

Les critres de classement des outils

Les outils dinterrogation

Sondages statistiques
Interviews
ACL
Vrifications et rapprochements

Les outils de description

Observation physique
Narration
Organigrammes fonctionnels
Diagrammes de flux
Grille danalyse de tches.

2006 Deloitte 84
Objectifs

3 caractristiques importantes

Il faut choisir le bon outil, celui qui est adapt au contexte ou aux travaux
mener

Les outils ne sont pas spcifiques laudit interne mais sont communs de
nombreuses fonctions : informaticien, consultant, mdecin

On peut combiner plusieurs outils pour un mme objectif final de validation

2006 Deloitte 85
 Le
questionnaire
de contrle
interne

2006 Deloitte 86
Quest-ce quun questionnaire de contrle interne?

Le questionnaire de contrle interne est une grille danalyse qui a pour

but de permettre lauditeur dapprcier le niveau et de porter un
diagnostic sur le dispositif de contrle interne de la fonction (ou entit)
audite

Il comprend un ensemble de questions qui nadmettent, pour lessentiel,

que les rponses oui ou non qui servent recenser les moyens en
place pour atteindre les objectifs du contrle interne

Le questionnaire est labor de manire telle que les rponses ngatives

dsignent les faiblesses du dispositif de contrle interne alors que les
rponses positives dsignent en thorie les points forts

Lauditeur devra ensuite valuer limpact des non sans oublier de

vrifier la ralit des oui

2006 Deloitte 87
Quand faut-il recourir au questionnaire de contrle interne?

Au cours des entretiens ou aprs les entretiens:

Dans le premier cas, le questionnaire de contrle interne est un outil
dinterview et danalyse (reformul par des questions ouvertes): les
rponses sont donnes par les audits
Dans le second cas, le questionnaire de contrle interne est seulement un
outil danalyse: les entretiens et analyses de procdures raliss
pralablement permettent lauditeur de rpondre lui-mme au
questionnaire de contrle interne

Pendant la phase dtude:

Cest alors un moyen pour effectuer une analyse des risques

2006 Deloitte 88
Comment ? Llaboration en 3 tapes du questionnaire de
contrle interne - tape 1

Dcomposer lactivit tudier en stades dexploitation lmentaires retraant

tout le processus depuis la ralisation du fait conomique jusqu son
enregistrement comptable

Par exemple pour les achats auprs dun fournisseur, il faut:

Dterminer et approuver les besoins

Slectionner et contracter avec le fournisseur

Rceptionner la prestation ou le produit achet

Enregistrer lachat en comptabilit

Vrifier la dpense et autoriser son rglement

Effectuer le paiement

2006 Deloitte 89
Comment? Llaboration en 3 tapes du questionnaire de
contrle interne - tape 2

Pour chaque stade dexploitation lmentaire, il faut dfinir des objectifs

spcifiques en cohrence avec les objectifs gnraux du contrle interne

Exemple dobjectifs spcifiques au stade rception des achats

Toutes les rceptions correspondent une prestation qui a t effectivement ralise

(critre rempli: existence)

Toutes les prestations demandes et ralises ont t rceptionnes (critre rempli:

exhaustivit)

Les rceptions sont effectues ds que les prestations sont ralises (critre rempli:
allocation)

Les quantits et qualits rceptionnes correspondent aux quantits et qualits fournies

et aux quantits et qualits demandes (critre rempli: correcte valuation)

2006 Deloitte 90
Comment? Llaboration en 3 tapes du questionnaire de
contrle interne - tape 3

Dterminer les modalits de fonctionnement ncessaires la fonction audite

pour atteindre ces objectifs et formuler des questions pour dcouvrir si ces
moyens sont en place ou sil sagit de lacunes

Par exemple, pour atteindre les objectifs numrs lors de ltape 2, on estime
ncessaire que:

Les rceptions soient prises en charge par des personnes indpendantes du service
achat et du service comptabilit

Que ces personnes aient les informations ncessaires aux rceptions

Les modalits de comptabilisation des rceptions aient t dfinies

Lors des livraisons, les quantits et qualits sont vrifies

Les carts doivent tre notes et valides de manire contradictoire

2006 Deloitte 91
Attention!

La technique la plus classique consiste utiliser des questionnaires de contrle

interne prexistants provenant de la littrature ou de missions prcdentes
auquel cas on utilisera le terme de questionnaire type:
En utilisant des questionnaires type, garder lesprit que certaines questions peuvent
ne pas tre adaptes au cas audit

Avant dtre utiliss les questionnaires de contrle interne doivent tre

approuvs par le chef de mission qui assure sa fonction de responsable en:
liminant les questions sans objet
Vrifiant que toutes les questions utiles ont bien t poses et quelles sont
adaptes

2006 Deloitte 92
Exemples de questions types

Le contrle des commandes est-il satisfaisant?

Les commandes sont-elles centralises en un seul service?

Tout achat est-il prcd dune commande crite?

Lapprobation des commandes apparat-elle sur tous les exemplaires?

Existe-il des achats qui sont dispenss de suivre le circuit normal?

Le service achats est-il indpendant des autres services?

2006 Deloitte 93
Exemple de questionnaire de contrle interne

mple
Exe

2006 Deloitte 94
Exemple de questionnaire de contrle interne

Commentaire

Je dclare, sur la base des informations

en ma possession, que le dispositif de
contrle interne en place est adquat et
nest pas de nature remettre en cause la
matrise des oprations, la fiabilit des

mple informations financires remontes en

central et la conformit la

Exe
rglementation

2006 Deloitte 95
 Les auto-
valuations de
contrle interne

2006 Deloitte 96
Les auto-valuations de contrle interne
(ou CSA: Control Self Assessment)
Les autovaluations de contrle se font sous forme de questionnaires,
sadressant un responsable qui doit rpondre aux questions portant sur les
contrles cls de leurs activits.

Grce aux techniques dauto contrle, une organisation peut identifier les zones
risques levs qui pourraient ncessiter ultrieurement une revue plus
dtaille.

Dans un premier temps, le rle de l'Audit Internea bien souvent t de former

les audits s'auto valuer.

Les CSA ont pris de l'ampleur suite SOX et le rle des Auditeurs
Internesconsiste dsormaiss'assurer du caractre objectif de ces
autovaluations.

2006 Deloitte 97
 Les Outils de description

2006 Deloitte 98
 Le diagramme
de circulation
des flux

2006 Deloitte 99
Documentation des processus : diagrammes de
circulation des flux

Le recours des diagrammes de circulation de flux permet de faire

apparatre trs clairement :
quels sont les documents utiliss
quel est le nombre d'exemplaires
qui utilise le document et quelles sont les oprations effectues
comment sont distribus et classs les diffrents exemplaires

Il doit tre prsent le plus clairement possible et sa prsentation est

norme (cf les diagrammes de circulations des flux ci-aprs)
Le diagramme doit prsenter toutes les catgories d'oprations traites par
le service ou le poste de travail concern

Les informations sont recueillies auprs de diffrentes sources:

documentation, interviews, organigrammes

Parcourir le diagramme avec les collaborateurs du service pour

sassurer que la procdure fonctionne bien selon le diagramme ralis

2006 Deloitte 100

 Exemple de modlisation des processus

Processus
B D
S
Dvelopper et mettre Acheter les
Dvelopper loffre
en uvre la stratgie Marques propres

B-010G B-120G S-010G

S-010G D-010G
D-010G
B-010G B-120G
Comprendre Suivre
Suivrelelemarch
marchetet Sourcer
Sourcer desfournisseurs
des
Comprendrelesles Dfinir
Dfinir lastratgie
la stratgiedes
des fournisseurs
enjeux orienter
orienter loffrede
loffre deproduits etetles
lesproduits
enjeuxdu
dusecteur
secteur systmes dinformation
systmes dinformation produits produits

Sous Processus
B020G
B020G B-130G
B-130G S-020G
S-020G D-020B
Analyser
Analyserlenvironnement Dfinir
Dfinirlalastratgie Raliser D-020B
lenvironnement stratgie Raliserlalaplanification
planification Spcifier
culturel
culturel financire
financire marchandise Spcifierles
lesproduits
produits
marchandise

B-030G
B-030G B-140G
B-140G
Dfinir S-030G
S-030G D-040G
Dfinirlalastratgie
stratgie Dfinir
Dfinirlalastratgie
stratgie D-040G
du Raliser
Raliserlalaplanification
planification Ngocier
duGroupe
Groupe du
duGroupe
Groupe Ngocier
assortiment
assortiment
B-040G
B-040G B-150G
B-150G
Dcliner
Dclinerlalastratgie Elaborer
stratgie Elaborerleslesplans
plans S-040G
S-040G D-050G
D-050G
marchandise
marchandise financiers
financiers Fixer
Fixerleleprix
prixde
devente
vente Rfrencer
Rfrencerles
lesproduits
produits
etetsuivre
suivrelalaperformance
performance
B-060G
B-060G
Dfinir
Dfinir lapolitique
la politiquedachat
dachat B-160G S-050G
B-160G S-050G
etetde
desourcing Raliser
sourcing Dfinir
Dfinirles
lesrelations
relations Raliser lemerchandising
le merchandising
avec les organisations Sous
SousProcessus
ProcessusSANS
SANSincidence
incidence
avec les organisations directe
professionnelles
professionnelles directe sur les tatsfinanciers
sur les tats financiers
B-070G
B-070G
Dfinir et
etrglementaires
rglementaires
Dfinirlalapolitique
politique
de
defidlisation
fidlisation
B-180G Sous
SousProcessus
Processusayant
ayantune
uneincidence
incidence
B-070G
B-070G B-180G
Mettre directe
directe sur les tatsfinanciers
sur les tats financiers
Dfinir
Dfinirlalapolitique
politique Mettreen
enuvre
uvre
de lalapolitique
politique dedveloppement
de dveloppement
depromotion
promotion
2006 Deloitte 101
Les diagrammes de circulation des flux

Symboles usuels

Dbut Fin Dbut / Fin du processus

Information fournit par le
processus

Documents lis au processus Entre manuelle dune

information

? Oui
Procdure alternative,
dcision Etape / Action / Groupe de
Non tches

Point de control :
Information venant ou
partant vers un systme MC x Control manuel
dinformation

AC x Control automatique

2006 Deloitte 102

Exemple de diagramme de flux

2006 Deloitte 103

 Exercice pratique

2006 Deloitte 104

Exercice pratique Diagramme de circulation des flux 1/3

Un auditeur interne labore principalement un diagramme de flux

pour :
a. Dtecter des erreurs et des anomalies.
b. Analyser un systme et identifier les contrles internes.
c. Dterminer les responsabilits fonctionnelles.
d. Rduire le besoin d'interviewer les audits.

Au cours de l'enqute prliminaire, quelle mthode d'valuation des

contrles internes procure l'auditeur la meilleure vue d'ensemble
d'un systme, ainsi qu'un moyen d'analyser les oprations
complexes ?
a. Un diagramme de circulation des flux.
b. Un questionnaire.
c. Une matrice.
d. Une description dtaille.

2006 Deloitte 105

Exercice pratique Diagramme de circulation des flux 2/3

Un auditeur interne examine et adapte un diagramme de circulation

relatif des systmes, afin de comprendre comment se droule le flux
d'informations lors du traitement des encaissements. Lequel des
noncs suivants est vrai en ce qui concerne l'utilisation de ces
diagrammes de circulation ? Les diagrammes de circulation :

a. Reprsentent les procdures de contrle spcifiques mises en uvre,

telles que les contrles d'dition ou les rapprochements des contrles par
lots.
b. Donnent de bonnes indications sur l'ventuelle sparation des tches.
c. Sont gnralement tenus jour en cas de changements apports aux
systmes.
d. N'illustrent que le traitement informatique, pas le traitement manuel.

2006 Deloitte 106

Exercice pratique Diagramme de circulation des flux 3/3

Quel symbole est utilis pour dterminer si la rmunration d'un salari est
suprieure ou infrieure au plafond relatif aux contributions sociales FICA ?

a.

b.

c.

d.

Le symbole utilis pour reprsenter les chques du personnel imprims partir

de l'ordinateur est ?

a.

b.

c.

d.

2006 Deloitte 107

 Lobservation
physique ou le
test de
cheminement

2006 Deloitte 108

Les tests de cheminement (1/2)

Dfinition

Ils sont aussi appels "pistes d'audit" ou "chemins d'audit"

Il s'agit d'une mthode de test s'appuyant sur un document final ou

sur le rsultat d'une opration et permettant de remonter la source
en passant par toutes les phases intermdiaires

Les caractristiques de cette mthode sont les suivantes :

elle ne concerne qu'une seule opration la fois
elle part du document ou rsultat final pour remonter la source
elle permet de contrler, pour l'opration choisie, tous les stades
intermdiaires, leurs justificatifs et justifications

2006 Deloitte 109

Les tests de cheminement (2/2)

C'est un outil efficace pour sassurer de la correcte comprhension du

processus et pour matrialiser lexistence des dispositifs de contrle
interne tout au long du processus

Limportance de garder une trace des pistes daudit :

Lexistence de traces permet de signaler et de corriger les erreurs et les
exceptions. Laudit interne doit contribuer lincorporation de traces
concernant les transactions.

Aujourdhui les systmes dinformation ont rendu la traabilit des transactions

invisibles, ce qui constitue un inconvnient pour les auditeurs qui effectuent
leurs tests autour du systme dinformation. Ils sont dpendants de lintgrit
et de la traabilit travers le systme dinformation. De ce fait, ils ne peuvent
pas conclure que les donnes entres dans le systme sont sorties non
contamines. Laudit doit tre capable danalyser les systmes dinformation et
ses contrles. Il doit se faire assister par un expert sil nest pas expert dans la
matire.

2006 Deloitte 110

Comprhension des processus et des systmes

Ralisation de tests de cheminement (Walkthrough)

Consistent suivre une transaction de son origine jusqu sa transcription

dans les livres comptables en passant par toutes les tapes intermdiaires

Permettent une comprhension en profondeur des flux documentaires

Conduisent la ralisation de diagramme de flux (flowcharts) permettant

une reprsentation schmatique prcise des flux documentaires

2006 Deloitte 111

Les pistes daudit
Exemples de pistes daudit :
Objectif de lexistence de la piste
daudit
Sassurer de lapplication des contrles
manuels
Identifier les erreurs et les exceptions
Sassurer de lapplication des contrles
automatiss.
2006 Deloitte
Exemples de pistes daudit
Les factures payes sont tamponnes
Paye.
Les factures payes sont classes avec la
demande dachats, le bon de commande et
le bon de rception.
Un tat reprenant les carts (quantit et
valeur) entre les factures et les bons de
commande.
Une rconciliation bancaire documente et
valide.
Le demandeur dachats valide la rception
des achats sous informatique.
Des contrles visant prvenir la saisie de
factures en double
112
 La grille de
sparation de
fonction et
des tches

2006 Deloitte 113

La grille de sparation de fonction

La grille danalyse est construite afin de :

relier lorganigramme fonctionnel lorganigramme hirarchique

justifier les analyses de postes

dceler les manquements la sparation des tches

Identifier tout conflit ou cumul de tches traduisant un risque lev

derreurs ou de fraude

2006 Deloitte 114

La grille de sparation de fonction

Les moyens :
Utiliser les diagrammes de flux pour identifier les points de contrles

Identifier toute fonction cumulant une combinaison de tches incompatibles

Autorisation + excution + contrle + enregistrement

Les sparations de fonctions et de tches doivent tre correctement

refltes dans les systmes intgrs (ERP); toutefois leur analyse ncessite
lutilisation doutils ddis qui permettent dinterroger les bases et tables
dans lesquelles sont contenues les informations / donnes relatives aux
profils utilisateurs (ex: CSI Authorization Auditor pour SAP R/3). Ces
analyses sont gnralement impossibles raliser manuellement
Cas des organisations de petites tailles
Leurs tailles ne permettent pas une sparation des fonctions/tches approprie
Mise en place de contrles compensatoires (type supervision) afin de prvenir le risque de
fraude et derreurs.

2006 Deloitte 115

Matrice de Sparation des Tches: Un exemple

Responsable
Oprationnel Autre
Action demandeur Acheteur Magasinier Dlgataire Comptable intervenant
Etablissement des commandes Non Oui Non Non Non Non

Autorisation des commandes Non Non Non Oui Non Non

Rception Non Non Oui Non Non Non

Comparaison commande /facture Non Non Oui Non Non Non

Comparaison bon de rception /facture Non Oui Non Non Non Non

Imputation comptable Oui Oui Non Non Non Non

Vrification de l'imputation comptable Non Oui Non Non Oui Non

Bon Payer Oui Non Non Non Non Non

tenue du journal des achats Non Non Non Non Oui Non

tenue du compte fournisseurs Non Non Non Non Non Oui

Rapprochement relevs fournisseurs avec les

comptes Non Non Non Non Oui Non

Rapprochement de la balance fournisseurs avec

le compte collectif Non Non Non Non Oui Non
Signature des chques Non Non Non Oui Non Non
Envoi des chques Non Non Non Non Non Oui
Acceptation des traites Non Non Non Oui Non Non

Tenue du journal des effets payer Non Non Non Non Oui Non

Accs la comptabilit gnrale Non Non Non Oui Non

2006 Deloitte 116
 La matrice de
contrle

2006 Deloitte 117

La matrice de contrle

Outil essentiel dans le cadre de SOX section 404

La matrice de contrle dcrit de manire mthodologique et
structure les contrles mis en uvre destins rduire les risques
identifis
Pour chaque cycle/processus la matrice de contrle comprend les
lments cl suivants:
Risque inhrent
Activit de contrle et objectif de contrle (inverse du risque inhrent)
Type de contrle: manuel ou automatis (application control),
transactionnel ou de supervision, prventif ou dtectif
Documentation du contrle (input/output) et personnes en charge de le
raliser
La matrice dcoupe les processus/cycles en objets/tapes
auditables qui suivent le cheminement des oprations

2006 Deloitte 118

Exemple de matrice des contrles et des risques

2006 Deloitte 119

 Les Outils Informatiques

2006 Deloitte 120

Les outils informatiques : Formalisation

3 outils de bureautique essentiels constituent la trousse outils

quotidienne de lauditeur

Un traitement de texte (de type Word)

Cest loutil des changes formaliss de courrier : lettre de mission, changes divers

Un tableur (de type Excel)

Elaboration de tableaux danalyse, reprsentations graphiques, tris des donnes

Un logiciel de prsentation (de type Powerpoint)

Pour la synthse et la prsentation des rsultats

2006 Deloitte 121

Outils informatiques : Prsentation dACL

ACL (Audit Command Language) est un produit canadien conu au

dbut des annes 70 comme outil denseignement.

Depuis, diverses amliorations ont t apportes lapplication. Un

grand nombre de celles-ci ont t le fruit des tests raliss par
Deloitte & Touche et les cabinets du rseau DTT qui est
fondamentalement indpendant d'ACL et rciproquement.

2006 Deloitte 122

Outils informatiques : ACL
Ses points forts

Logiciel sous Windows avec 3 modes de fonctionnement :

Menus droulants
Interactif
Batch (automatisation des tches rcurrentes)

Analyse sur des "copies" de bases/fichiers

Pas d'interfrences possible avec et sur les applications

Rsultats quasi immdiat pour des analyses simples

2006 Deloitte 123

Outils informatiques : ACL
Ses points forts

Fonctionnalits d'audit et d'analyse de donnes prdfinies

Contrler les squences (ruptures et doublons)

Importer / Exporter et extraire

Totaliser -Stratifier Classifier des champs cls

Echantillonner /Statistiques simples

Effectuer des calculs simples et complexes

Joindre - Fusionner - Trier - Nettoyer des fichiers

2006 Deloitte 124

Outils informatiques : ACL
Ses points forts

Modification des donnes sources impossible

Outil en lecture seule
Traabilit et auditabilit parfaite
Existence d'un fichier LOG
Capacits d'interrogation interactive et visuelle
Rapidit de dploiement et de traitement
Taille de fichier illimite
Lecture de types de donnes multiples et sans conversion
SAP, Micro, Mainframe, Mini, dlimite, dbase, ODBC
Fonctions de gnration de rapports de qualit et rapide
Rutilisable dans tous les domaines d'applications d'une entreprise
Utilisable par des "non informaticiens"

2006 Deloitte 125

Outils daudit et de contrle interne
Base de donnes des risques et contrles
Rack Knowledge Base

m ple
Exe

Lien vers
ACTIVITE
instructions
mtier
de TEST

OBJECTIF
de contrle

ACTIVITE
de contrle
2006 Deloitte 126