Vous êtes sur la page 1sur 89

Lignes directrices

sur les

normes de contrle

interne

promouvoir dans le

secteur public
LIGNES DIRECTRICES
SUR LES NORMES DE CONTRLE INTERNE
PROMOUVOIR DANS LE SECTEUR PUBLIC

i
Comit des normes
de contrle interne

Fr. VANSTAPEL
Premier Prsident de la
Cour des comptes de Belgique

Rue de la Rgence 2
B-1000 BRUXELLES
BELGIQUE

Tl.: ++32 (2) 551 81 11


Fax: ++32 (2) 551 86 22
E-mail: internalcontrol@ccrek.be

ii
L ignes directrices
sur les normes de
contrle interne promouvoir
dans le secteur public

iii
Scrtariat gnral de lINTOSAI - RECHNUNGSHOF
(Cour des comptes dAutriche)
DAMPFSCHIFFSTRASSE 2
A-1033 VIENNE
AUTRICHE
Tl.: ++43 (1) 711 71 Fax: ++43 (1) 718 09 69

E-mail: intosai@rechnungshof.gv.at
http://www.intosai.org

iv
Table des matires
Prambule .............................. 1

Introduction ............................. 3

1 Contrle interne .......................... 7


1.1 Dfinition ........................... 7
1.2 Limites du contrle interne .................. 14

2 Composantes du contrle interne ................. 16


2.1 Environnement de contrle .................. 20
2.2 Evaluation des risques .................... 25
2.3 Activits de contrle ..................... 31
2.4 Information et communication ................ 41
2.5 Pilotage ............................ 46

3 Rles et responsabilits ...................... 50

Annexe 1 Exemples ........................ 57


Annexe 2 Glossaire ........................ 65

v
vi
L ignes directrices
sur les normes de
contrle interne promouvoir
dans le secteur public
Prambule
Les lignes directrices de 1992 ont t conues comme un document
vivant refltant lide quil faut encourager lutilisation de normes pour
la conception, la mise en uvre et lvaluation du contrle interne. Cette
ide suppose un effort permanent dactualisation.

Le 17e INCOSAI (Soul, 2001) a pris acte de la ncessit grandissante


de mettre jour les lignes directrices de 1992 et a marqu son accord
pour utiliser comme modle le systme intgr de contrle interne
labor par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO Comit des Sponsors de la Commission Tread-
way). Par la suite, il a t tabli que les lignes directrices actualises
devaient intgrer galement une dimension thique ainsi quun chapitre
supplmentaire consacr aux principes gnraux du contrle interne
appliqu au traitement de linformation. Les nouvelles lignes directrices
tiennent compte de ces recommandations et doivent faciliter la compr-
hension des nouveaux concepts en matire de contrle interne.

Malgr cet effort dactualisation, ce serait une erreur de voir dans ces
lignes directrices un rfrentiel fig: elles restent un document vivant,
dont la mise en uvre exige que lon prenne en compte les volutions
qui surviendront immanquablement, tels que les dveloppements en
matire dEnterprise Risk Management manant du COSO1.

La prsente mise jour est le fruit defforts conjoints mens par les
membres de la Commission des normes de contrle interne de

1
COSO, Enterprise Risk Management Integrated Framework, www.coso.org, 2004.

1
lINTOSAI. Cette actualisation a t coordonne par un groupe de
travail issu de la Commission et constitu de reprsentants des ISC de
Bolivie, des Etats-Unis dAmrique, de France, de Hongrie, de Lituanie,
des Pays-Bas, de Roumanie, du Royaume-Uni et de Belgique, cette
dernire assumant la prsidence du groupe.

Le comit directeur de lINTOSAI a approuv le plan daction qui lui a


t soumis en vue de lactualisation des lignes directrices lors de sa
50e runion (Vienne, octobre 2002). Il a ensuite t inform de ltat
davancement des travaux lors de sa 51e runion (Budapest, octobre
2003). Le projet a t examin et globalement approuv lors de la
runion de la Commission qui sest tenue Bruxelles en fvrier 2004.
A lissue de cette runion, il a t envoy tous les membres de
lINTOSAI pour rcolter leurs dernires observations.

Les commentaires reus ont t analyss et les modifications qui sem-


blaient appropries ont t apportes.

Je voudrais remercier tous les membres du Comit des normes de


contrle interne pour leur dvouement et leur coopration dans laccom-
plissement de ce projet. Un merci tout particulier est adress aux mem-
bres du groupe de travail.

Les Lignes directrices sur les normes de contrle interne promouvoir


dans le secteur public seront prsenttes pour approbation lors du XVIIIe
INCOSAI Budapest en 2004.

Franki VANSTAPEL
Premier Prsident de la Cour des comptes de Belgique
Prsident du Comit des normes de contle interne de lINTOSAI

2
Introduction
En 2001, lINCOSAI a dcid dactualiser les lignes directrices de
lINTOSAI de 1992 sur les normes de contrle interne afin dy intgrer
lensemble des dernires volutions pertinentes intervenues dans linter-
valle et dy incorporer les conceptions dveloppes par le COSO dans
son rapport intitul Internal Control Integrated Framework (systme
intgr de contrle interne).

En transposant le modle COSO dans son projet de lignes directrices, la


Commission avait pour but non seulement dactualiser le concept de
contrle interne, mais aussi dessayer de contribuer une comprhen-
sion uniforme du contrle interne au sein des ISC. Il va de soi que le
prsent document intgre les caractristiques du secteur public, ce qui a
conduit la Commission introduire quelques thmes complmentaires
ainsi que des adaptations ponctuelles.

Par rapport la dfinition du COSO et aux lignes directrices de 1992,


laspect thique des oprations a t ajout. La prise en compte de cette
dimension nouvelle dans les objectifs du contrle interne se justifie par
lattention accrue porte, depuis les annes quatre-vingt-dix, au compor-
tement thique ainsi qu la prvention et la dtection de la fraude et
de la corruption dans le secteur public2. Les fonctionnaires sont censs
servir lintrt public en toute quit et assurer une gestion correcte
des ressources publiques. Les citoyens sont censs tre traits en toute
impartialit sur la base des principes de lgalit et de justice. Lthique
publique constitue une condition sine qua non de la confiance publique,
dont elle constitue le fondement, et la clef de vote dune bonne
gouvernance.

Les moyens mis la disposition du secteur public proviennent gnrale-


ment de fonds publics, ce qui explique que leur utilisation dans lintrt
du public exige une attention particulire. Do aussi limportance
spcifique que revt la prservation de ces ressources.
De sucrot, la comptabilit budgtaire sur base de caisse constitue
toujours une pratique largement rpandue dans le secteur public alors
quelle ne fournit pas une assurance suffisante quant lacquisition,
lutilisation et laffectation desdites ressources. En consquence, les
organisations du secteur public ne disposent donc pas toujours dun

2
XVIe INCOSAI, Montevideo, Uruguay, 1998.

3
inventaire actualis de lensemble de leurs actifs, ce qui les rend plus
vulnrables.
Cest pourquoi il a t estim que la protection des ressources constituait
un objectif important du contrle interne.

Tout comme en 1992, le contrle interne ne sarrtait pas loptique


traditionnelle du contrle financier et du contrle administratif qui
en dcoule, mais incluait dj le concept plus gnral de contrle intgr
la gestion, le prsent document pousse la rflexion plus loin, en
soulignant limportance des informations non financires.

Les systmes dinformation tant dsormais largement utiliss dans


toutes les organisations publiques, limportance des activits de contrle
qui portent sur les technologies de linformation (IT) a cr de mme.
Cest ce qui a justifi linsertion dun chapitre distinct dans les prsentes
lignes directrices. Les contrles des technologies informatiques concer-
nent chacune des composantes du processus de contrle interne dune
organisation, savoir: lenvironnement de contrle, lvaluation des
risques, les activits de contrle, linformation et la communication,
ainsi que le suivi et le pilotage du systme (aussi appel monitoring).
Toutefois, pour des raisons de prsentation, ils seront prsents globale-
ment dans la section consacre aux activits de contrle.

Lobjectif de la Commission a t tout dabord de mettre en place des


balises pour tablir et maintenir un contrle interne efficace dans le
secteur public. Dans cette perspective, les responsables publics consti-
tuent la cible premire des prsentes lignes directrices. Ils peuvent les
prendre pour base dans le cadre de la mise en place et de la mise en
uvre du contrle interne dans leurs organisations respectives.

Lvaluation du contrle interne constituant une norme gnralement


admise en matire daudit public3, les lignes directrices constituent un
outil mis la disposition des auditeurs. Incluant le modle COSO, les
lignes directrices relatives aux normes de contrle interne ont donc
vocation tre utilises non seulement par les responsables publics4,
qui peuvent sen servir comme dun exemple de cadre solide pour le
contrle interne de leur organisation, mais aussi par les auditeurs qui

3
Normes de contrle de lINTOSAI.
4
Le personnel dexcution nest pas mentionn spcifiquement comme groupe cible.
Quoique concern par le contrle interne et effectuant des actions qui jouent un rle
important dans la ralisation du contrle, il nest, contrairement la direction,

4
peuvent les utiliser comme outil dvaluation du contrle interne.
Toutefois, les prsentes lignes directrices nentendent pas se substi-
tuer aux normes de contrle de lINTOSAI ou toutes autres normes
pertinentes.

Le prsent document dfinit donc la fois un cadre de rfrence pour le


contrle interne dans le secteur public et un rfrentiel possible pour
lvaluation du contrle interne. Lapproche quil prsente a vocation
sappliquer lensemble des aspects du fonctionnement dune organisa-
tion. Toutefois, le but des prsentes lignes directrices nest nullement de
limiter le pouvoir des autorits lgitimes ou dinterfrer avec elles en
matire dlaboration des lgislations, des rglementations ou des
stratgies applicables lorganisation, qui par nature relvent de leur
intervention discrtionnaire.

Le contrle interne dans les organismes du secteur public doit se com-


prendre dans le cadre de leurs caractristiques spcifiques, cest--dire en
prenant en compte le caractre social ou politique de certains de leurs
objectifs, le fait quils aient recours aux fonds publics, lincidence du
cycle budgtaire, la complexit de lvaluation de leur performance (qui
ncessite un quilibre entre, dune part, des valeurs traditionnelles, telles
que la lgalit, lintgrit et la transparence, et, dautre part, des valeurs
plus modernes du management, telles que lefficience et lefficacit), et la
traduction de lventail de ces contraintes en termes de responsabilit
publique.

Enfin, il faut clairement souligner que la nature du prsent document est


de prsenter des lignes directrices portant sur des normes. Ces directives
ne fournissent ni politiques, ni procdures, ni pratiques pour mettre en
uvre le contrle interne mais fournissent plutt un large cadre dans
lequel les organisations peuvent dvelopper de tels contrles dtaills.
La Commission nest videmment pas habilite imposer des normes.

Quelle est la structure du prsent document ?

Le premier chapitre dfinit le concept de contrle interne et dlimite sa


porte. Il attire galement lattention sur les limites du contrle interne.

finalement pas responsable de toutes les activits dune organisation qui concernent le
systme de contrle interne. Le chapitre 3 des prsentes lignes directrices dfinit les rles
et les responsabilits individuelles.

5
Le second chapitre prsente et examine les composantes du contrle
interne. Un troisime et dernier chapitre est consacr aux rles et aux
responsabilits.
Dans chaque partie, les principes essentiels sont dabord prsents
succinctement dans un encadr bleut. Des informations plus dtailles y
font suite. Il est galement fait rfrence des exemples concrets, repris
dans les annexes. Le document compte galement en annexe un glos-
saire reprenant les termes techniques les plus importants.

6
1 Contrle interne
1.1 Dfinition

Le contrle interne est un processus intgr mis en uvre par les


responsables et le personnel dune organisation et destin traiter les
risques et fournir une assurance raisonnable quant la ralisation,
dans le cadre de la mission de lorganisation, des objectifs gnraux
suivants:
excution doprations ordonnes, thiques, conomiques,
efficientes et efficaces;
respect des obligations de rendre compte;
conformit aux lois et rglementations en vigueur;
protection des ressources contre les pertes, les mauvais
usages et les dommages.

Le contrle interne est un processus intgr et dynamique qui sadapte


constamment aux changements auxquels une organisation est confron-
te. Le management et le personnel, tous les niveaux, doivent tre
impliqus dans ce processus afin de traiter les risques et fournir une
assurance raisonnable quant la ralisation des missions de lorganisa-
tion et des objectifs gnraux.

Un processus intgr

Le contrle interne nest pas un vnement isol ou une circonstance


unique, mais un ensemble dactions qui touchent toutes les activits
dune organisation. Ces actions sont prsentes de manire continue dans
toutes les oprations dune organisation. Elles sont perceptibles tous
les niveaux et inhrentes la faon dont lorganisation est gre. Le
contrle interne ainsi dfini est, par consquent, diffrent de la descrip-
tion quen font certains observateurs, qui le peroivent comme une
activit supplmentaire dune organisation ou comme un fardeau
ncessaire. Le systme de contrle interne fait partie intgrante des
activits dune organisation et est particulirement efficace lorsquil est
intgr dans linfrastructure et la culture de lorganisation.

7
Le contrle interne doit tre intgr et non superpos. Ce faisant, il
devient une partie intgrante des processus de gestion de base en matire
de planification, dexcution et de vrification.

Lintgration du contrle interne a aussi une incidence importante en


matire de matrise des cots. Ajouter de nouvelles procdures de
contrle celles qui existent dj engendre des cots supplmentaires.
En revanche, si lon part de lexamen des oprations existantes et de leur
contribution lefficacit du contrle interne et si on intgre des proc-
dures de contrle aux activits oprationnelles de base, lorganisation
peut souvent viter des procdures et des cots inutiles.

Mis en uvre, excut et suivi par les responsables et les autres


membres du personnel

Le contrle interne nexiste pas sans les personnes qui le font fonction-
ner. Il nat des personnes qui composent lorganisation, au travers de ce
quelles font et de ce quelles disent. En consquence, le fait que le
contrle interne soit suivi deffets est tributaire des personnes. Elles
doivent connatre leur rle et leurs responsabilits ainsi que les limites
de leur autorit. En raison de limportance de ces considrations, un
chapitre distinct (3) leur est consacr.

Quand on parle des personnes qui composent lorganisation, on vise


la fois les responsables et les autres membres du personnel. Si le
management exerce en priorit un rle de supervision, il arrte aussi
les objectifs de lorganisation et assume une responsabilit globale
sur le systme de contrle interne. Comme celui-ci contribue, de par
les mcanismes quil suppose, une meilleure comprhension des
risques qui menacent la ralisation des objectifs de lorganisation,
il appartient la direction de mettre en place les activits de
contrle interne, dassurer leur suivi et de les valuer. La mise en
oeuvre du contrle interne exige que les responsables donnent une
impulsion dcisive et quils accomplissent un effort de communica-
tion intensif en direction des autres membres du personnel. En ce
sens, le contrle interne constitue un outil de management, directe-
ment orient vers la ralisation des objectifs de lorganisation. A ce
titre, la direction est un maillon important du contrle interne.
Maillon important mais non unique: ce sont tous les membres du
personnel de lorganisation qui jouent un rle important dans sa
concrtisation.

8
De la mme faon, le contrle interne est ncessairement tributaire de la
nature humaine. Aussi, les lignes directrices en matire de contrle
interne tiennent-elles compte du fait que, dune personne lautre, il
peut y avoir des divergences dans la manire dont les choses sont
comprises, communiques ou excutes: chaque individu apporte
lexprience et les comptences techniques qui lui sont propres, de
mme quil a ses propres besoins et priorits. Ces ralits influencent le
contrle interne et sont influences par lui.

Quant la ralisation des missions de lorganisation

Toute organisation vise prioritairement raliser sa mission. Toute


entit a une finalit le secteur public a gnralement pour objet de
fournir un service et un rsultat bnfique pour lintrt gnral.

Destin traiter les risques

Quelle que soit la mission de lorganisation, sa ralisation entranera


pour lorganisation dtre confronte toutes sortes de risques. La
tche du management sera didentifier et matriser ces risques afin de
maximiser la probabilit de ralisation de la mission. Si le contrle
interne peut aider traiter ces risques, lassurance quant la
ralisation de la mission et des objectifs gnraux ne pourra tre que
raisonnable.

Destin fournir une assurance raisonnable

Le contrle interne, aussi bien conu et appliqu soit-il, ne peut offrir


la direction une assurance absolue quant la ralisation des objectifs
gnraux. Les lignes directrices reconnaissent en effet que seul un
niveau raisonnable dassurance est atteignable.

La notion dassurance raisonnable correspond un degr de confiance


satisfaisant pour un niveau de cots, de bnfices et de risques donn. La
dtermination de ce degr dassurance raisonnable est une affaire de
jugement. Cet exercice suppose que les responsables identifient les
risques inhrents leurs oprations, dfinissent les niveaux de risques
acceptables en fonction de divers scnarios et valuent le risque tant en
termes qualitatifs que quantitatifs.

9
Lassurance raisonnable reflte lide que lincertitude et le risque sont
lis au futur, que nul ne peut prdire avec certitude. La ralisation des
objectifs peut en outre tre compromise du fait de facteurs extrieurs,
qui chappent au contrle ou linfluence de lorganisation.

Dautres limites peuvent tenir des facteurs ou vnements tels que: le


jugement humain exerc pour prendre certaines dcisions peut tre
dfaillant, des dysfonctionnements peuvent survenir en raison de
simples dfaillances ou derreurs, des contrles peuvent tre contourns
la suite dune collusion entre deux ou plusieurs personnes, la direction
peut passer outre au systme de contrle interne. De plus, les compromis
pris dans le systme de contrle interne refltent le fait que les contrles
ont un cot. Ces limitations empchent la direction davoir lassurance
absolue que les objectifs seront raliss.

Outre ces facteurs dincertitude, lide dassurance raisonnable


renvoie au fait que le cot du contrle interne ne doit pas dpasser le
bnfice qui en dcoule. Les dcisions prises pour grer les risques et
mettre en place des contrles doivent tenir compte des cots et bnfices
qui en dcoulent. Lvaluation de ce cot intgre la fois lvaluation
financire des ressources consommes pour la ralisation dun objectif
spcifique et lvaluation conomique des cots dopportunit rsultant
du retard pris dans les oprations, de la baisse de la qualit des services
ou de la productivit ou dune atteinte au moral des agents. Le bnfice
se mesure quant lui par lvaluation de la proportion dans laquelle un
risque dchec dans la ralisation dun objectif dclar se trouve rduit
grce au contrle interne. Ainsi, on pourra dire que le contrle interne
produit un bnfice si la probabilit de dtecter les fraudes, le gaspillage,
les abus ou erreurs, de faire obstacle une activit inapproprie sen
trouve accrue, ou si lexigence de respect de la rglementation est mieux
assure.

La conception de contrles internes qui offrent un bon rapport cot-


bnfice tout en rduisant les risques un niveau acceptable implique
que le management comprenne clairement les objectifs gnraux
atteindre. Il arrive que les responsables de ladministration publique
conoivent des systmes de contrle interne dans lesquels un secteur
prcis de leur domaine de comptence fait lobjet de contrles excessifs
qui affectent ngativement dautres activits. Dans pareil cas en effet, les
agents peuvent tre tents de contourner des procdures fastidieuses,
labsence defficacit dans les oprations peut tre lorigine de retards,
des procdures excessives peuvent touffer la crativit du personnel et

10
sa capacit rsoudre des problmes, ou se traduire par une dgradation
dans la ponctualit, le cot ou la qualit des services fournis aux bnfi-
ciaires. Cest ainsi que les bnfices tirs des contrles excessifs dans un
domaine peuvent se trouver anantis par laccroissement des cots que
ces mmes contrles provoquent dans dautres secteurs dactivits.

Des considrations qualitatives doivent toutefois galement tre prises


en considration. Il peut par exemple tre important davoir des contr-
les appropris de transactions financires dun degr de risque plus ou
moins lev tels que les salaires, les dpenses de voyage et de rception.
Les cots des contrles appropris peuvent sembler disproportionns si
lon considre les montants en jeu au regard de lensemble des dpenses
publiques, mais ils peuvent tre cruciaux pour maintenir la confiance
dans les autorits et ses organisations.

Ralisation des objectifs

Le contrle interne est conu en vue de la ralisation dune srie


dobjectifs gnraux distincts mais interdpendants. Ces objectifs
gnraux sont raliss par le biais de nombreux sous-objectifs, fonc-
tions, processus et activits spcifiques.

Les objectifs gnraux sont les suivants:


Excution doprations ordonnes, thiques, conomiques, efficientes
et efficaces
Les oprations effectues par lorganisation doivent tre ordonnes,
thiques, conomiques, efficientes et efficaces. Elles doivent tre coh-
rentes par rapport sa mission.

Ordonn, cest--dire dune manire bien organise ou mthodique.

Ethique a trait aux principes moraux. Un comportement thique et la


prvention et la dtection de la fraude et de la corruption dans le secteur
public ont pris une acuit plus grande depuis les annes quatre-vingt-dix.
On attend gnralement du personnel de lEtat quils servent quitable-
ment lintrt public et grent correctement les ressources publiques. Les
citoyens doivent bnficier dun traitement impartial dans le respect de
la loi et de la justice. Lthique publique constitue, ds lors, une condi-
tion pralable de la confiance publique, dont elle constitue le fondement,
et une clef de vote dune bonne gouvernance.

11
Economique signifie ne pas tre inutile ou dispendieux. Cela implique
lacquisition en nombre juste des ressources, dune bonne qualit, four-
nies au moment et au lieu voulus et au moindre cot

Efficient se rapporte la relation entre les ressources utilises et les


extrants produits pour atteindre les objectifs fixs. Cela implique la
minimalisation des intrants employs pour atteindre une quantit et une
qualit donnes dextrants ou une maximalisation des extrants avec une
quantit et une qualit donnes dintrants.

Efficace se rapporte la ralisation des objectifs ou la mesure dans


laquelle les rsultats dune activit correspondent son objectif ou aux
effets escompts de cette activit.
Respect des obligations de rendre compte
Rendre compte correspond lexigence que les organismes de service
public et les personnes qui les composent rendent compte et rpondent
de leurs dcisions et de leurs actes, en ce compris leur gestion des fonds
publics qui leur sont confis, leur loyaut et tous les aspects de leur
performance.

Le respect de ce principe passe par le dveloppement, le maintien et la


mise disposition dinformations, financires et non financires, fiables
et pertinentes et au moyen dune publication correcte de ces informa-
tions dans des rapports tablis en temps opportun lintention de
lensemble des parties prenantes, tant en interne quen externe.

Les informations non financires vises ci-dessus peuvent avoir trait par
exemple aux critres dconomie, defficience et defficacit des
politiques et des oprations (informations relatives la performance)
ainsi quau contrle interne et son efficacit.
Conformit aux lois et rglementations en vigueur
Les organisations sont tenues dobserver un grand nombre de lois et de
rglementations. Dans les organisations publiques, des lois et des
rglementations rgissent les recettes et les dpenses publiques, et en
dterminent les modalits. Dans cette perspective, on devra tenir compte
par exemple, de la loi budgtaire, des traits internationaux, des lois sur
la bonne administration, du droit et des normes comptables, du droit de
lenvironnement, des textes qui gouvernent les droits fondamentaux et
les liberts publiques, de la lgislation relative limpt sur les revenus
et les lois rprimant la fraude et la corruption.

12
Protection des ressources contre les pertes, les mauvais usages et les
dommages dus au gaspillage, aux abus, la mauvaise gestion, aux
erreurs, la fraude et aux irrgularits
Quoique le quatrime objectif gnral puisse tre considr comme une
sous-catgorie du premier (oprations ordonnes, thiques, cono-
miques, efficientes et efficaces), il y a lieu de souligner limportance de
la protection des ressources dans le secteur public, et ce en raison du fait
que, de manire gnrale, ces ressources proviennent de fonds publics et
que leur utilisation dans lintrt public requiert une attention particu-
lire. En outre, la comptabilit budgtaire sur base de caisse, toujours
largement rpandue dans le secteur public, noffre pas dassurance
suffisante quant lacquisition, lutilisation et laffectation des actifs.
En consquence, les organisations du secteur public ne disposent pas
toujours dun inventaire actualis et exhaustif de leurs actifs, ce qui les
rend plus vulnrables. Ds lors, des contrles doivent tre intgrs dans
chacune des activits se rapportant la gestion des ressources de
lorganisation, de leur acquisition jusqu leur utilisation ultime.

Des ressources tels que les informations, les documents probants et les
pices comptables sont cruciales pour permettre la transparence et la
reddition de comptes quant aux oprations publiques et doivent de ce
fait tre prserves. Elles risquent cependant galement dtre voles,
soumises un mauvais usage ou dtruites. Depuis larrive des systmes
informatiques, la protection de tels actifs et informations revt mme
une importance de plus en plus grande. En labsence de mesures de
protection appropries, les informations sensibles stockes sur des
supports informatiques peuvent tre dtruites ou copies, diffuses ou
utilises abusivement.

13
1.2 Limites du contrle interne5

Le contrle interne ne peut, lui seul, garantir la ralisation des


objectifs gnraux dfinis plus haut.

Un systme de contrle interne efficace, aussi bien conu et appliqu


soit-il, ne peut fournir la direction quune assurance raisonnable et
non absolue quant la ralisation des objectifs dune organisation ou
sa prennit. Le contrle interne peut fournir des informations au
management pour son valuation du degr de ralisation des objectifs
qui lui sont fixs mais non transformer un mauvais manager en un bon
manager. Au demeurant, le management na aucun contrle sur les chan-
gements qui pourraient intervenir dans la politique ou les programmes
du gouvernement, ou dans le contexte dmographique ou conomique de
son action. De tels changements peuvent imposer aux managers de
revoir les contrles et dajuster le niveau de risque acceptable.

Le propre dun systme de contrle interne efficace rduit la probabilit


de ne pas atteindre les objectifs. Il nen limine pas pour autant le risque
toujours prsent que le contrle interne soit mal conu ou ne fonctionne
pas comme prvu.

En effet, dans la mesure o le contrle interne repose sur le facteur


humain, il est susceptible de ptir derreurs de conception, de jugement ou
dinterprtation, de malentendus, de ngligence, de la fatigue ou de la dis-
traction, voire de manuvres telles que collusion, abus ou transgression.

Une autre limite tient au fait que la conception dun systme de contrle
interne doit tenir compte de contraintes financires. Les bnfices tirs des
contrles doivent, par consquent, tre valus par rapport leur cot. La
volont de faire fonctionner un systme de contrle interne qui liminerait
tout risque de perte nest pas raliste et sa mise en uvre serait probable-
ment plus coteuse que ne le justifierait le bnfice qui en dcoulerait dans
les faits. Pour dterminer si un contrle particulier doit tre mis en place, on
doit prendre en compte non seulement la probabilit de survenance du
risque correspondant et son incidence potentielle sur lorganisation mais
aussi les cots affrents la mise en place de ce nouveau contrle.

5
Il y a lieu de souligner les limites de lefficacit du contrle interne afin dviter de
crer des attentes exagres qui tiendraient une perception errone de sa porte.

14
Les changements organisationnels et lattitude du management peuvent
avoir un impact rel sur lefficacit du contrle interne et sur le person-
nel qui le met en oeuvre. Cest pourquoi il est ncessaire que la direction
vrifie et actualise continuellement les contrles, communique les
changements au personnel et montre lexemple en se conformant
elle-mme ces contrles.

15
2 Cinterne
omposantes du contrle

Le contrle interne est constitu de cinq composantes interdpendantes:


Environnement de contrle
Evaluation des risques
Activits de contrle
Information et communication
Pilotage

Le contrle interne est conu pour fournir une assurance raisonnable


quant la ralisation des objectifs gnraux de lorganisation. Ds lors,
la fixation dobjectifs clairs constitue une condition pralable la
conception dun processus de contrle interne efficace

Lenvironnement de contrle constitue le fondement de lensemble du


systme de contrle interne. Il constitue la discipline et la structure aussi
bien que le milieu qui influence la qualit globale du contrle interne.
En retour, il influe largement la manire dont la stratgie et les objectifs
sont dtermins et dont les activits de contrle sont structures.

Une fois que des objectifs clairs ont t fixs et quun environnement de
contrle efficace a t cr, il est ncessaire de procder une valua-
tion des risques auxquels lorganisation est confronte pour raliser sa
mission et atteindre ses objectifs, afin de dfinir une rponse adapte
ces risques.

La principale stratgie pour minimiser les risques rside dans la mise en


place dactivits de contrle interne. Ces activits de contrle peuvent
tre orientes vers la prvention et/ou la dtection. Les mesures correcti-
ves constituent un complment ncessaire des activits de contrle
interne en vue de la ralisation des objectifs. Le cot des activits de
contrle et des mesures correctives doit avoir une contrepartie et crer de
la valeur. Autrement dit, leur cot ne doit pas dpasser le bnfice qui en
dcoule (rapport cot-efficacit).

16
Une information et une communication efficaces sont cruciales pour
quune organisation puisse mener et contrler ses oprations. Les
responsables de lorganisation doivent avoir accs, en temps opportun,
une communication pertinente, exhaustive et fiable concernant les
vnements internes aussi bien quexternes. De manire gnrale,
lorganisation a besoin dinformation tous les niveaux afin datteindre
ses objectifs.

Enfin, puisque le contrle interne est un processus dynamique qui doit


tre adapt constamment pour tenir compte des risques et des change-
ments auxquels une organisation est confronte, il est indispensable que
le systme de contrle interne fasse lobjet dun suivi et dun pilotage
pour garantir que le contrle interne reste en phase avec des objectifs, un
environnement, des moyens et des risques susceptibles davoir volu.

Ces composantes dfinissent une mthode de rfrence pour la concep-


tion dun systme de contrle interne dans une administration publique
et fournissent une base dvaluation possible du contrle interne. Ces
composantes sappliquent tous les aspects du fonctionnement dune
organisation.

Les prsentes lignes directrices fournissent un cadre gnral. Lors de leur


mise en oeuvre, le management est responsable de llaboration de
politiques, procdures et pratiques dtailles et adaptes aux activits de
lorganisation et doit sassurer quelles font partie intgrante de ces
dernires.

Lien entre les objectifs et les composantes du contrle interne

Il existe un lien direct entre les objectifs gnraux, qui reprsentent ce


quune organisation sefforce de raliser, et les composantes du contrle
interne, qui reprsentent les instruments ncessaires leur ralisation. Ce
lien peut tre reprsent schmatiquement par une matrice trois dimen-
sions, de la forme dun cube.

Les colonnes verticales reprsentent les quatre objectifs gnraux


rendre compte (et faire rapport), conformit (aux lois et rglementa-
tions), oprations (ordonnes, thiques, conomiques, efficientes et
efficaces) et protection des ressources , les rangs horizontaux, les cinq
composantes, et la troisime dimension de la matrice correspond aux
diffrentes divisions de lorganisation et ses dpartements.

17
Chaque rang de composantes croise les quatre objectifs gnraux et sy
applique. Par exemple, les informations financires et non financires
provenant de sources internes et externes, qui relvent de la composante
information et communication, sont indispensables pour grer les opra-
tions, pour rendre compte et pour assurer la conformit aux lois en vigueur.

De mme, les cinq composantes sont pertinentes pour chacun des quatre
objectifs gnraux. Si lon sattache par exemple lobjectif defficacit
et defficience des oprations, il est clair que les cinq composantes
interviennent et jouent un rle dans sa ralisation.

Le contrle interne sapplique aussi bien lorganisation tout entire


qu ses dpartements pris isolment. Ce lien est reprsent par la
troisime dimension, qui reprsente lorganisation entire, les entits et

18
les dpartements. Il est ainsi possible de se focaliser sur nimporte quelle
cellule de la matrice prise en particulier.

Si le systme de contrle interne ainsi dfini est pertinent et applicable


toutes les organisations, la manire dont la direction le met en oeuvre
varie largement en fonction de la nature de lorganisation et dpend dun
certain nombre de facteurs qui lui sont spcifiques. Ces facteurs
comprennent, notamment, la structure de lorganisation, le profil de
risque, lenvironnement oprationnel, la taille, la complexit, les activi-
ts et le degr de rglementation. Au vu de la situation spcifique de
lorganisation, les responsables opreront une srie de choix en ce qui
concerne la complexit des processus et des mthodologies mises en
uvre pour appliquer les composantes du systme de contrle interne.

Les pages qui suivent prsentent de manire concise chacune des


composantes prcites, en lassortissant de commentaires.

19
2.1 Environnement de
contrle

Lenvironnement de contrle reflte la culture dune organisation puis-


quil dtermine le niveau de sensibilisation de son personnel au besoin
de contrle. Il constitue le fondement de toutes les autres composantes
du contrle interne, en fournissant une discipline et une structure.
Les facteurs constitutifs de lenvironnement de contrle sont:
(1) lintgrit tant personnelle que professionnelle et les valeurs
thiques des responsables et du personnel, en ce compris un tat
desprit constructif lgard du contrle interne, en tout temps et
travers toute lorganisation;
(2) lengagement un niveau de comptence;
(3) le style de management (en loccurrence, la philosophie des
responsables et leur manire doprer);
(4) la structure de lorganisation;
(5) les politiques et pratiques en matire de ressources humaines.

Lintgrit tant personnelle que professionnelle et les valeurs


thiques des responsables et du personnel

Lintgrit tant personnelle que professionnelle et les valeurs thiques


des responsables et du personnel dterminent leurs priorits et leurs
jugements de valeur, qui se traduisent par un code de conduite. Ces
qualits doivent se concrtiser par une attitude dadhsion lgard du
contrle interne, en tout temps et dans lensemble de lorganisation.

Toute personne active dans lorganisation tant les responsables que


le personnel doit prouver son intgrit personnelle et profession-
nelle, et de son respect lthique; tous doivent en permanence observer
les codes de conduite en vigueur, par exemple, en sobligeant, dune

20
part, dclarer les intrts financiers personnels quils peuvent avoir,
les fonctions quils pourraient exercer en dehors de lorganisation ou
les dons quils reoivent (sils proviennent, par exemple, des lus ou de
hauts fonctionnaires) et, dautre part, signaler tout conflit dintrts.

De mme, les organisations publiques elles-mmes doivent garder et


dmontrer leur intgrit et respecter des valeurs thiques, et doivent
permettre au public de percevoir ces qualits au travers de la formulation
de leur mission et de leurs valeurs. En outre, leurs activits doivent tre
thiques, ordonnes, conomiques, efficientes et efficaces, et tre
cohrentes avec leur mission.

Lengagement un niveau de comptence

Lengagement un niveau de comptence se dfinit, notamment, au


regard du niveau de connaissance et daptitudes ncessaires pour
garantir la fois que les tches sont accomplies de manire ordonne,
thique, conomique, efficiente et efficace, et que les responsabilits
individuelles lies au contrle interne sont bien comprises.

Les responsables et le personnel doivent veiller garder un niveau de


comptence qui leur permette de comprendre toute limportance
dlaborer, de mettre en oeuvre, et de maintenir un bon contrle interne
et de sacquitter de leurs tches en vue de raliser les objectifs gnraux
du contrle interne et la mission de lorganisation. Chacun, au sein
dune organisation, participe au contrle interne son niveau et dans les
limites des responsabilits qui sont les siennes.

Les responsables et leur personnel doivent, ds lors, entretenir et dmon-


trer un niveau de comptence propre valuer les risques et assurer un
travail efficace et efficient, et faire preuve dune comprhension des
contrles internes suffisante pour leur permettre de sacquitter efficace-
ment de leurs responsabilits.

Au travers dactions de formation, par exemple, on peut arriver


accrotre la sensibilit des fonctionnaires aux objectifs du contrle
interne et, en particulier, lobjectif doprations thiques. Par ce
biais, on pourra les aider comprendre les objectifs du contrle
interne et dvelopper leur aptitude traiter des problmes dordre
thique.

21
Le style de management

Le style de management (cest--dire la philosophie des responsables et


leur manire doprer) reflte les lments suivants:
lattitude permanente dadhsion au contrle interne, lindpen-
dance, la comptence et la volont de montrer lexemple;
un code de conduite dfini par les responsables ainsi quune assis-
tance et des valuations de performance qui tiennent compte des
objectifs du contrle interne et, en particulier, de celui qui a pour
finalit la ralisation doprations thiques.

Ltat desprit dfini par la haute direction se reflte dans tous les
aspects des actions menes par la direction. Lengagement, limplication
et le soutien des hauts responsables politiques et des parlementaires pour
asseoir ce style de management favorisent une attitude positive et sont
dterminants pour le maintien dune attitude constructive et dadhsion
au contrle interne dans lorganisation.

Si la haute direction croit limportance du contrle interne, les


membres de lorganisation y seront sensibiliss et ragiront en respectant
consciencieusement les contrles tablis. Par exemple, la cration dun
service daudit interne, faisant partie intgrante du systme de contrle
interne, est un signal fort, par lequel le management montre limportance
du contrle interne.

Si, au contraire, le personnel de lorganisation a le sentiment que le


contrle nest pas une proccupation majeure de la haute direction et est
soutenu de manire formelle plutt que relle, il est pratiquement certain
que les objectifs de contrle de lorganisation ne seront pas effective-
ment atteints.

Par consquent, il est extrmement important que la direction fasse la


dmonstration et insiste sur ce quest une conduite thique si elle veut
atteindre les objectifs de contrle interne et, tout particulirement,
lobjectif doprations thiques. Dans lexercice de sa fonction, la
direction doit donner lexemple au travers de ses propres actions et sa
conduite doit tre le modle de ce quil est bon de faire plutt que limage
de ce qui nest quacceptable ou simplement commode. Les politiques,
les procdures et les pratiques de la direction doivent, tout particulire-
ment, promouvoir des faons de faire qui rpondent lensemble des cri-
tres noncs: ordre, thique, conomie, efficience et efficacit.

22
Nombreux sont, toutefois, les lments qui ont une incidence sur lintgrit
des responsables et de leur personnel. Ds lors, il convient de rappeler au
personnel, intervalles rguliers, ses obligations dans le cadre dun code de
conduite fonctionnel, manant de la haute direction. Conseiller et valuer
les performances ont aussi leur rle jouer. Ainsi, les valuations globales
doivent tre bases sur lapprciation de plusieurs facteurs cls, incluant le
rle des agents dans la ralisation du contrle interne.

Structure de lorganisation

La structure de lorganisation dune organisation prvoit les lments


suivants:
dlimitation de pouvoirs et domaines de responsabilit;
dlgations de pouvoirs et obligation de rendre compte;
canaux dinformation appropris.

La structure organisationnelle dfinit les principaux domaines dautorit


et de responsabilit dune organisation. Les dlgations de pouvoirs et
lobligation de rendre compte ont trait la manire dont cette autorit et
ces responsabilits sont dlgues dans lensemble de lorganisation.
Qui dit habilitation ou obligation de rendre compte dit tablissement de
rapports. Il est, ds lors, ncessaire que des canaux dinformation appro-
pris soient dfinis. Dans des circonstances exceptionnelles, il doit tre
possible dajouter dautres canaux dinformation ceux qui existent,
notamment dans les cas o le management est lui-mme impliqu dans
des irrgularits.

La structure organisationnelle peut inclure un service daudit interne qui


doit tre indpendant du management et faire rapport directement au
plus haut niveau dautorit de lorganisation.

La structure organisationnelle fait lobjet de dveloppements compl-


mentaires dans le chapitre 3, relatif aux rles et aux responsabilits.

Politiques et pratiques en matire de ressources humaines

Les politiques et pratiques de gestion des ressources humaines englobent


le recrutement, la dotation en personnel, la gestion des carrires, la
formation (formelle et professionnelle) et les tudes accomplies, les

23
valuations et les conseils au personnel, les promotions et la rmunra-
tion, ainsi que les mesures correctives.

Le personnel constitue un aspect important du contrle interne. Il est


ncessaire de sentourer de personnes comptentes et dignes de
confiance pour assurer un contrle efficace. Cest ce qui fait que les
mthodes de recrutement, de formation, dvaluation, de rmunration,
et de promotion jouent un rle important dans lenvironnement de
contrle. Les dcisions en matire de recrutement et de dotation en
personnel doivent par consquent donner lassurance que le personnel
possde lintgrit, la formation adquate et lexprience requise pour
accomplir ses fonctions et que la formation formelle, professionnelle et
thique est assure. La prsence de managers et dagents qui compren-
nent bien les contrles internes et qui sont prts prendre des responsa-
bilits dans ce cadre est indispensable si lon veut disposer dun contrle
interne efficace.

La gestion des ressources humaines joue galement un rle essentiel


dans la promotion dun environnement thique en favorisant le profes-
sionnalisme et en faisant respecter les rgles de transparence au
quotidien. Ceci doit tre particulirement visible en matire de recrute-
ment, dvaluation du travail et des processus de promotion, qui doivent
tre bass sur le mrite. Assurer la transparence des processus de
slection par la publication des rgles de recrutement et des vacances
demplois contribue galement la mise en uvre dune gestion thique
des ressources humaines.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

24
2.2 Evaluation des
risques

Lvaluation des risques est le processus qui consiste identifier et


analyser les risques pertinents susceptibles daffecter la ralisation des
objectifs de lorganisation, et dterminer la rponse y apporter.

Elle implique les lments suivants:


(1) Identification des risques
lie aux objectifs de lorganisation;
exhaustive;
qui prend en compte les risques dus des facteurs externes et
internes, la fois au niveau de lorganisation et celui des
activits;
(2) Analyse des risques
par lvaluation de limpact possible du risque;
par lvaluation de la probabilit de survenance du risque;
(3) Evaluation du degr daversion au risque de lorganisation
(4) Mise au point des rponses y apporter:
Quatre catgories de rponses doivent tre envisages: transfert,
tolrance, traitement ou suppression; parmi celles-ci, le traite-
ment des risques est ce qui sinscrit le mieux dans le cadre des
prsentes lignes directrices parce que le principal mcanisme
permettant de traiter des risques rside prcisment dans lexis-
tence de contrles internes efficaces;
Les contrles appropris mis en uvre peuvent tre orients vers
la dtection ou la prvention.

Compte tenu de lvolution permanente des donnes politiques, cono-


miques, industrielles, rglementaires et oprationnelles, lvaluation

25
des risques doit constituer un processus continu et itratif. Cela
implique didentifier et danalyser les changements, les opportunits et
les risques qui en dcoulent (cycle dvaluation des risques) et de
modifier les contrles internes pour ladapter aux changements interve-
nus dans les risques.

Ainsi quil est soulign dans la dfinition, le contrle interne ne peut


fournir quune assurance raisonnable quant la ralisation des objectifs
de lorganisation. En tant que composante du contrle interne, lvalua-
tion des risques joue un rle crucial dans la slection des activits de
contrle appropries entreprendre. Elle se dfinit comme le processus
qui consiste la fois identifier et valuer les risques pertinents suscep-
tibles daffecter la ralisation des objectifs de lorganisation, et dter-
miner ensuite la rponse y apporter.

En consquence, la dfinition des objectifs de lorganisation doit prc-


der lvaluation des risques. La squence normale est donc la suivante:
vient tout dabord ltape de dtermination des objectifs qui permet
ensuite aux responsables didentifier les risques qui sont susceptibles
davoir un impact sur leur ralisation et de prendre, dans un troisime
temps, les mesures ncessaires la gestion de ces risques. Cela implique
un processus continu dvaluation des risques et de gestion de leur
impact en tenant compte du rapport cot-efficacit et laide dun
personnel possdant les comptences requises pour identifier et appr-
cier les risques potentiels. Comme les activits de contrle interne
constituent un moyen pour traiter les risques, elles sont conues pour
contenir lincertitude des rsultats qui a t identifie.

Les services publics sont appels grer les risques susceptibles davoir
un impact sur les services rendus et la ralisation des rsultats souhaits.

Identification des risques

Lapproche stratgique de lvaluation des risques repose sur une dmar-


che qui consiste identifier les risques au regard des objectifs cls de
lorganisation. Les risques ainsi identifis sont alors analyss et valus,
et rsultent en un nombre restreint de risques majeurs.

Lidentification des risques majeurs ne dtermine pas uniquement les


priorits en termes daffectation des ressources alloues lvaluation

26
des risques, mais aussi la rpartition des responsabilits en vue de la
gestion de ces risques.

Les performances dun organisme peuvent tre menaces par des


facteurs aussi bien externes quinternes, dont limpact peut se mesurer
tant lchelle de lorganisation quau niveau dune activit donne.
Lvaluation des risques doit prendre en compte tous les risques suscep-
tibles de survenir (y compris le risque de fraude et de corruption). Il faut
par consquent que lidentification des risques soit exhaustive. Lidenti-
fication des risques doit constituer un processus continu et itratif et est
souvent intgre au processus de planification. Il est souvent utile de
partir dune feuille blanche plutt que de se borner examiner
lvolution des risques par rapport la prcdente tude. Lavantage de
ce type dapproche est quelle facilite lidentification des changements
intervenus dans le profil de risque6 dune organisation du fait de
lvolution des donnes conomiques et rglementaires, de la modifica-
tion des conditions de fonctionnement internes et externes ou encore de
lmergence dobjectifs nouveaux ou modifis.

Il est ncessaire de se doter doutils appropris pour identifier les


risques. Deux des outils les plus communment utiliss sont la
commande dune analyse des risques et lauto-valuation des risques.7

6
Une vue densemble ou la matrice des risques majeurs auxquels une organisation ou un
service est confront qui inclut le degr dimpact (ex.: haut, moyen, bas) et la probabilit
de survenance de lvnement.
7
Mise en place dune analyse des risques
Il sagit dune procdure du sommet la base (top-down). Une quipe est mise sur pied
pour examiner lensemble des oprations et des activits de lorganisation la lumire de
ses objectifs et pour identifier les risques qui en dcoulent. Lquipe mne une srie den-
tretiens avec les membres importants du personnel tous les niveaux de lorganisation
afin de dresser un profil de risque pour toutes les activits et didentifier ainsi les domai-
nes, les activits et les fonctions stratgiques susceptibles dtre particulirement vulnra-
bles aux risques (tels que le risque de fraude et de corruption).

Auto-valuation des risques


Il sagit dune approche de la base au sommet (bottom-up). Chaque niveau et partie de
lorganisation est invit revoir ses activits et faire remonter vers le haut son diagnos-
tic des risques. Cette dmarche peut revtir la forme dune procdure documentaire (avec
un cadre de diagnostic tabli par le biais de questionnaires) ou via une approche avec
groupe de travail.

Ces deux approches ne sexcluent pas et il est souhaitable dexploiter les donnes combi-
nes obtenues ainsi dans le cadre du processus dvaluation des risques pour faciliter
lidentification des risques la fois au niveau de lorganisme et des activits.

27
Evaluation des risques

Afin de dcider comment grer les risques, il est essentiel de ne pas se


borner constater le principe de lexistence dun certain type de risque
mais il sagit aussi dvaluer son impact ventuel et sa probabilit de
survenance. La mthodologie de lanalyse des risques peut varier, surtout
parce que de nombreux risques sont difficiles quantifier (par exemple,
risques portant sur la rputation de lorganisation), tandis que dautres se
prtent facilement une analyse chiffre (particulirement les risques
financiers). Pour ce qui est des premiers, seule une approche intgrant une
large part de subjectivit est possible. En ce sens, lvaluation des risques
relve plus dun art que dune science. Toutefois, lutilisation de critres
systmatiques destimation des risques attnuera la subjectivit du proces-
sus en fournissant un cadre pour les jugements poser.

Lun des principaux buts de lvaluation des risques consiste attirer


lattention de la direction sur les domaines de risque qui appellent des
mesures et sur leur degr de priorit. A cet effet, il sera habituellement
ncessaire de dvelopper un cadre pour classer lensemble des risques, par
exemple, comme lev, moyen ou bas. Il est gnralement prfrable de
rduire au minimum le nombre de ces catgories, un affinement excessif
pouvant dboucher sur la sparation purement artificielle de niveaux de
risque qui, dans la ralit, ne peuvent tre spars aussi clairement.

Semblable valuation permet de classer les risques de manire fixer


des priorits de gestion et prsenter la direction des informations
utiles la prise de dcision quant aux risques qui doivent tre grs (par
exemple, ceux prsentant la fois un impact potentiel majeur et une
probabilit leve de survenance du risque).

Estimation du degr daversion au risque de lorganisation

Lun des principaux dterminants de la stratgie de rponse aux risques


rside dans le degr daversion au risque de lorganisation. Le degr
daversion au risque dune organisation correspond au niveau de risque
quelle est prte courir avant destimer quil est ncessaire dintervenir.
Les dcisions de rponse au risque doivent tre prises paralllement
lidentification de ce degr de risque tolrable.

Il est ncessaire de prendre en considration la fois les risques


inhrents et rsiduels pour dterminer le degr daversion au risque. Le

28
risque inhrent est celui auquel une organisation est confronte en lab-
sence de toute action du management susceptible dinfluencer sa proba-
bilit de survenance ou son impact. Le risque rsiduel est celui qui reste
aprs que le management ait pris des mesures pour rpondre au risque.

Le degr daversion au risque dune organisation dpendra de sa percep-


tion de limportance des risques. Par exemple, le niveau maximal de
perte financire tolrable peut varier en fonction dun certain nombre
dlments, dont limportance du budget susceptible dtre affect, lori-
gine de la perte ou les risques associs au mme vnement, comme le
risque quil saccompagne dune publicit dfavorable lorganisation.
Lidentification du degr daversion est dordre subjectif mais elle nen
reprsente pas moins une tape importante dans la formulation de la stra-
tgie globale en matire de risques.

Rponses apporter aux risques

Les actions dcrites ci-dessus permettront de dresser un profil de


risque pour lorganisation. Une fois celui-ci labor, lorganisation peut
se mettre en devoir de dfinir les rponses appropries.

Les mesures de rponse au risque peuvent tre subdivises en quatre


catgories. Dans certains cas, le risque peut tre transfr ou tolr, ou
ncessiter de mettre un terme une activit8. Nanmoins, dans la plupart
des cas, le risque devra tre trait et lorganisme devra mettre en uvre
et maintenir un systme de contrle interne efficace afin de le maintenir
un niveau acceptable.

8
La meilleure rponse certains risques peut consister les transfrer. Ce transfert peut
revtir la forme dune assurance conventionnelle, ce qui revient rmunrer un tiers pour
quil assume le risque autrement, ou par le biais de clauses contractuelles.

La capacit remdier certains risques peut tre limite ou le cot dune action
quelconque disproportionn par rapport au bnfice potentiel retir. En pareils cas, la
solution peut consister tolrer ces risques.

Certains risques ne pourront tre traits ou limits des niveaux acceptables quen
mettant un terme lactivit. Dans le secteur public, le choix de mettre un terme des
activits est souvent bien plus limit que dans le secteur priv. En effet, un certain
nombre dactivits sont menes dans le secteur public prcisment parce que les risques
qui y sont lis sont si importants quil nexiste pas dautre moyen de raliser le produit ou
le rsultat requis par lintrt public.

29
Le traitement na pas ncessairement pour objectif dliminer totalement
le risque, mais plutt de le matriser. Les procdures mises en place par
une organisation en vue de grer le risque sont appeles activits de
contrle interne. Lvaluation des risques joue un rle crucial dans la
slection des activits de contrle appropries entreprendre.

Il nest pas inutile de rpter ce stade quil nest pas possible dlimi-
ner tous les risques et que les contrles internes ne peuvent fournir
quune assurance raisonnable que les objectifs de lorganisation sont en
voie dtre atteints. Toutefois, les organismes qui identifient et matri-
sent activement les risques seront probablement mieux prpars ragir
rapidement en cas de problme et faire face au changement en gnral.

Dans le cadre de llaboration dun systme de contrle interne, il est


important de veiller ce que lactivit de contrle mise en place soit pro-
portionne au risque. Mis part les risques dont les consquences
seraient extrmement prjudiciables lorganisation, il suffit normale-
ment de mettre au point un contrle qui offre une assurance raisonnable
de limiter les pertes un niveau jug acceptable au regard de laversion
au risque de lorganisation. A chaque contrle est associ un cot et lac-
tivit de contrle doit tre rentable par rapport au risque quelle traite.

Les donnes politiques, conomiques, industrielles, rglementaires et


oprationnelles tant en constante volution, lenvironnement de toute
organisation en matire de risque change continuellement et la hirarchie
des objectifs et le poids corrlatif des risques voluent galement. Cest
pourquoi il est fondamental que lvaluation des risques suive un
processus itratif et continu de manire dtecter les changements
(cycle dvaluation des risques) et prendre des mesures correctrices
ncessaires. Les profils de risques et les contrles y affrents doivent
tre rviss et rexamins rgulirement pour sassurer que le profil de
risque reste pertinent, que les rponses aux risques restent adquatement
cibles et proportionnes, et que les contrles qui visent attnuer les
risques restent efficaces quand les risques eux-mmes voluent dans le
temps.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

30
2.3 Activits de contrle

Les activits de contrle correspondent lensemble des politiques et


des procdures mises en place pour matriser les risques et raliser les
objectifs de lorganisation.

Pour tre efficaces, les activits de contrle doivent tre appropries; fonc-
tionner de manire cohrente, conformment aux plans, tout au long de la
priode; respecter un quilibre entre cot et bnfices; tre exhaustives,
raisonnables et directement lies aux objectifs du contrle.

Les activits de contrle sont prsentes travers toute lorganisation, tous


les niveaux et dans toutes les fonctions. Elles englobent toute une srie
dactivits orientes vers la dtection et la prvention, aussi diverses que:
(1) Des procdures dautorisation et dapprobation;
(2) La sparation des fonctions (entre autorisation, traitement, enregis-
trement, vrification);
(3) Les contrles portant sur laccs aux ressources et aux documents;
(4) Les vrifications;
(5) Les rconciliations;
(6) Les analyses de performance oprationnelle;
(7) Les analyses doprations, de processus et dactivits;
(8) La supervision (affectation, analyse et approbation, directives et
formation).
Les organisations doivent atteindre un quilibre adquat entre les activits
de contrle orientes vers la dtection et celles qui visent la prvention.

Des actions correctives sont un complment indispensable aux activits


de contrle en vue de la ralisation des objectifs.

31
Les activits de contrle peuvent se dfinir comme lensemble des poli-
tiques et des procdures mises en place pour matriser les risques et
raliser les objectifs de lorganisation.

Pour tre efficaces, les activits de contrle doivent rpondre plusieurs


critres:
tre appropries (cest--dire le bon contrle, au bon endroit et dans
une juste proportion par rapport au risque encouru);
fonctionner conformment aux plans et de manire cohrente tout au
long de la priode (cest--dire quelles doivent tre scrupuleusement
respectes par tous les agents concerns et quelles ne doivent pas tre
transgresses quand les principaux responsables sont absents ou la
charge de travail leve);
respecter un quilibre entre cot et bnfices (cest--dire que le cot
de mise en oeuvre du contrle ne doit pas dpasser les bnfices qui
en sont tirs);
tre exhaustives, raisonnables et directement lies aux objectifs du
contrle.
Les activits de contrle comprennent un large ventail de politiques et
de procdures aussi diverses que:

1. Procdures dautorisation et dapprobation


Les transactions et autres vnements ne peuvent tre respectivement auto-
riss et excuts que par les personnes qui y sont spcialement habilites.
Lautorisation constitue le principal moyen de garantir que seuls ont lieu
des transactions et des vnements valides, conformes aux intentions de la
direction. Les procdures dautorisation, qui doivent tre documentes et
clairement communiques aux responsables et aux agents, doivent prvoir
les conditions et les termes respecter pour que lautorisation soit accor-
de. Le fait de se conformer aux termes dune autorisation signifie que les
agents sacquittent de leurs fonctions conformment aux lignes directrices
et dans les limites traces par la direction ou par la lgislation.

2. Sparation des tches (autorisation, traitement, enregistrement,


analyse)
En vue de rduire les risques derreurs, de gaspillage ou dactes illgaux
ainsi que le risque de ne pas dtecter ces problmes, aucun individu ou
quipe ne doit pouvoir contrler toutes les tapes cls dune transaction
ou dun vnement. Il faut au contraire veiller ce que les fonctions et
les responsabilits soient systmatiquement rparties entre plusieurs

32
personnes afin de garantir lefficacit des contrles et lexistence dun
quilibre des pouvoirs. Parmi ces fonctions cls, on peut retenir
lautorisation et lenregistrement des transactions, leur traitement, ainsi
que lanalyse ou le contrle des mmes transactions.

Toutefois la collusion peut rduire voire annihiler lefficacit de cette


technique de contrle interne. Ne pas disposer de suffisamment de per-
sonnel peut empcher un organisme de petite taille de mettre pleinement
en oeuvre cette technique. Dans ces cas, la direction doit tre consciente
des risques et les compenser par la mise en place dautres contrles. La
rotation des agents peut contribuer garantir quaucune personne ne traite
tous les aspects importants des transactions et des vnements pendant une
priode inconsidrment longue. En outre, et en vue de rduire les risques,
linstauration dune rotation temporaire des tches peut tre ralise en
encourageant ou mme en exigeant de prendre des congs annuels.

3. Contrle de laccs aux ressources et aux documents


Laccs aux ressources et aux documents doit tre limit aux personnes
habilites, qui ont rpondre de leur garde ou de leur utilisation. Pour
rendre compte de la garde, on peut sappuyer sur lexistence de reus,
inventaires ou tout autre note portant sur cette garde et reprenant le
transfert de garde. La restriction de laccs aux ressources quelques per-
sonnes rduit le risque dutilisation non autorise voire de perte pour
ladministration et contribue mettre en oeuvre les lignes directrices de la
direction. Le degr ncessaire de restriction variera suivant la vulnrabilit
de la ressource protger et le niveau peru du risque de perte ou dusage
impropre, qui doivent tre tous deux priodiquement valus. Pour
dterminer la vulnrabilit dun actif donn, son cot ainsi que la facilit
avec laquelle on pourrait le transporter ou lchanger doivent tre tudis.

4. Vrifications
Les transactions et les vnements importants doivent tre vrifis avant
et aprs leur traitement. Par exemple, lorsque des biens sont livrs, le
nombre fourni doit tre compar au nombre command. Par la suite, le
nombre de biens facturs est compar au nombre effectivement reu. Le
stock peut aussi tre contrl au moyen de sondages.

5. Rconciliations
Les enregistrements sont compars rgulirement aux documents appro-
pris: par exemple, les pices comptables relatives aux comptes en
banque sont compares aux relevs bancaires correspondants.

33
6. Analyses de performance oprationnelle
La performance oprationnelle est analyse rgulirement sur la base
dun ensemble de normes permettant de mesurer lefficacit et leffi-
cience. Sil ressort du suivi des performances que les ralisations relles
ne rencontrent pas les normes ou objectifs fixs, les processus et
activits tablis pour atteindre les objectifs doivent tre revus pour dter-
miner quelles amliorations sont ncessaires.

7. Analyses des oprations, des processus et des activits


Les oprations, les processus et les activits doivent tre priodiquement
analyss pour sassurer quils sont en accord avec les rglementations,
politiques, procdures et autres exigences actuelles. Ce type danalyse
des oprations ralises effectivement par une organisation est distin-
guer clairement du suivi du contrle interne, lequel est examin spar-
ment la section 2.5.

8. Supervision (affectation, analyse et approbation, lignes directri-


ces et formation)
La ralisation des objectifs du contrle interne suppose galement que
les superviseurs soient qualifis. Pour confier un travail un agent, le
vrifier et lapprouver, il est ncessaire de:
communiquer clairement chaque membre du personnel les fonctions,
les responsabilits et les obligations de rendre compte qui lui sont
assigns;
vrifier systmatiquement, au degr qui convient, le travail de chaque
membre du personnel;
approuver le travail des moments cls pour sassurer quil se droule
comme prvu.
Le fait pour un superviseur de dlguer une partie de ses missions ne
lexonre pas de ses responsabilits et devoirs. Les superviseurs donnent
aussi leurs agents les directives et la formation ncessaires pour rduire
au minimum les erreurs, le gaspillage et les actes illgaux et pour veiller
ce que les directives de la direction soient bien comprises et appliques.

Cette liste nest pas exhaustive, mais numre les activits de contrle les
plus courantes orientes vers la prvention et la dtection les plus cou-
rantes. Les activits de contrle numrotes de (1) (3) sont orientes
vers la prvention, de (4) (6), elles sont davantage orientes vers la
dtection, tandis que celles vises aux points (7) et (8) visent les deux

34
la fois. Les organismes doivent atteindre un quilibre adquat entre les
activits de contrle orientes vers la dtection et celles orientes vers la
prvention, une combinaison de contrles tant souvent utilise cet
gard afin de compenser les inconvnients de chaque contrle spcifique.

Une fois quune activit de contrle est mise en place, il reste acqurir
des assurances quant son efficacit. En consquence, des actions
correctives constituent un complment indispensable aux activits de
contrle. En outre, il doit tre clair que les activits de contrle ne
constituent quun lment du contrle interne et quelles forment un tout
avec les quatre autres composantes.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

35
2.3.1 Activits de contrle relatives la technologie de linformation

Les systmes dinformation impliquent des types dactivits de


contrle spcifiques. Ils se rpartissent en deux grandes catgories:

(1) Contrles globaux


Les contrles globaux sont constitus la fois par la structure et par
les politiques et procdures applicables lensemble ou un segment
important des systmes dinformation dune organisation et qui
contribuent assurer leur fonctionnement correct. Ils crent lenvi-
ronnement dans lequel les systmes applicatifs et les contrles
fonctionnent.

Les principales catgories de contrles globaux sont: (1) la pla-


nification et la gestion du programme de scurit lchelle de
lorganisation; (2) les contrles daccs; (3) les contrles por-
tant sur le dveloppement, la maintenance et la modification des
applications; (4) le contrle des logiciels dexploitation; (5) la
sparation des fonctions; (6) les contrles visant assurer la
continuit du service.

(2) Contrles applicatifs


Les contrles applicatifs sont constitus par la structure, les poli-
tiques et les procdures applicables des systmes dapplications
individuels distincts et concernent directement les applications
informatises individuelles. Ces contrles sont gnralement
conus pour prvenir, dtecter et corriger les erreurs et les irrgula-
rits affectant le flux des donnes qui transitent par les systmes
dinformation.

Les contrles globaux et applicatifs sont interdpendants et les deux


sont ncessaires pour assurer un traitement exhaustif et correct des
donnes. Les technologies de linformation changeant rapidement, les
contrles dont elles font lobjet doivent eux aussi voluer constamment
pour rester efficaces.

Avec les progrs de la technologie de linformation, les organisations


sont devenues de plus en plus dpendantes de systmes dinformation
automatiss pour raliser leurs oprations et pour traiter, conserver et

36
transmettre des donnes essentielles. En consquence, la fiabilit et la
scurit des donnes informatises et des systmes qui traitent, conser-
vent et transmettent ces donnes sont devenues une proccupation
majeure pour la direction et les auditeurs. Bien que les systmes
dinformation impliquent des types spcifiques dactivits de contrle, la
technologie de linformation ne doit pas tre envisage comme un
problme isol de contrle. Elle fera partie intgrante de la plupart des
activits de contrle.

Lutilisation de systmes automatiss pour traiter linformation induit de


nouveaux risques que lorganisation doit prendre en compte. Ces risques
sont lis, notamment, au traitement uniforme des transactions, au dclen-
chement automatis de certaines transactions par les systmes dinforma-
tion, la probabilit accrue de survenance derreurs non dtectes, au degr
de traabilit des oprations, la nature du matriel et des logiciels
utiliss et aux modalits denregistrement des transactions inhabituelles ou
qui ne suivent pas les routines informatiques habituelles. Par exemple, un
risque inhrent au traitement uniforme des transactions rside dans le fait
que toute erreur dcoulant dune erreur de programmation se produira de la
mme manire dans des transactions similaires. Grce des contrles
efficaces des technologies de linformation, la direction peut acqurir une
assurance raisonnable que linformation traite par ses systmes rpond aux
objectifs de contrle souhaits, tels quassurer lexhaustivit, la ponctualit
et la validit des donnes ainsi que leur lintgrit.

Les contrles de la technologie de linformation se rpartissent en deux


grandes catgories: les contrles globaux et les contrles applicatifs.

Contrles globaux

Les contrles globaux sont constitus par la structure, la politique et les


procdures applicables lensemble ou un segment important des
systmes dinformation dune organisation tels que les serveurs, les
mini-ordinateurs, le rseau, et larchitecture client-serveur et qui
contribuent assurer leur fonctionnement correct. Ils crent lenvironne-
ment dans lequel les applications et les contrles fonctionnent.

Les principales catgories de contrles globaux sont les suivantes:


(1) La planification et la gestion du programme de scurit lchelle
de lorganisation: elles fournissent un cadre et un cycle permanent
dactivit pour la gestion des risques, le dveloppement de politiques

37
de scurit, lattribution de responsabilits, et la vrification de la-
dquation des contrles informatiss de lorganisation.
(2) Les contrles daccs: ils limitent ou dtectent laccs aux actifs
informatiques (donnes, programmes, quipements et infrastructu-
res), prservant ainsi ces ressources contre toute modification, perte
ou divulgation non autorises. Les contrles daccs comprennent
la fois des contrles physiques et logiques.
(3) Les contrles du dveloppement, de la maintenance et de la modifica-
tion des applications: ils empchent lintroduction non autorise de
programmes nouveaux ou de modifications aux programmes existants.
(4) Les contrles des logiciels: ils limitent et surveillent laccs aux
programmes puissants et aux fichiers sensibles qui contrlent le
matriel informatique et, scurisent les applications utilises dans le
systme.
(5) La sparation des fonctions: elle implique que les politiques, les
procdures et une structure organisationnelle existent pour empcher
quune mme personne ne puisse contrler tous les aspects cruciaux
doprations informatises et ne procde des oprations non
autorises ou naccde sans autorisation aux actifs ou aux enregis-
trements.
(6) Les contrles de la continuit du service: ils garantissent quen cas
de survenance dun vnement inattendu, les oprations de base
seront poursuivies sans interruption ou seront reprises promptement,
et que les donnes critiques et vulnrables seront protges.

Contrles applicatifs

Les contrles applicatifs (spcifiques aux applications) sont constitus


par la structure, les politiques et les procdures lies des systmes
dapplication individuels distincts telles que le traitement des dettes
fournisseurs, du stock, la gestion des salaires, les procdures de subven-
tions ou de prts et sont conus pour couvrir le traitement des donnes
dans le cadre dapplications informatiques spcifiques.

Ces contrles sont gnralement conus pour prvenir, dtecter et corri-


ger les erreurs et les irrgularits affectant le flux des donnes qui trans-
itent par les systmes dinformation.

Les contrles applicatifs et la manire dont les informations transitent


par les systmes dinformation peuvent tre rpartis en trois phases dun
cycle de traitement:

38
Intrant: les donnes introduites sont autorises puis converties dans un
format automatis et introduites dans lapplication de manire
correcte, exhaustive et en temps voulu.
Traitement: les donnes sont traites de manire adquate par
lordinateur et les fichiers sont correctement mis jour.
Extrant: les fichiers et les rapports gnrs par lapplication
concernent des transactions ou des vnements qui ont effectivement
eu lieu et donnent une image fidle des rsultats du traitement; les
rapports sont contrls et distribus aux utilisateurs habilits.

Les contrles applicatifs peuvent galement tre regroups en fonction


des types dobjectifs de contrle auxquels ils se rapportent, tels que
lautorisation, lexhaustivit, lexactitude et la validit des transactions
et des informations. Les contrles de lautorisation concernent la validit
des transactions et contribuent garantir quelles correspondent des
vnements qui ont effectivement eu lieu au cours dune priode donne.
Les contrles de lexhaustivit ont trait la question de savoir si les
transactions valides sont toutes enregistres et correctement classes.
Les contrles de lexactitude consistent vrifier si les transactions sont
enregistres correctement et si tous les lments dinformation sont
exacts. Toute dfaillance des contrles de lintgrit du traitement et des
fichiers de donnes pourrait anantir les effets de tous les contrles
relatifs aux applications prcits et permettre que surviennent des trans-
actions non autorises, ou contribuer la cration de donnes incompl-
tes et inexactes.

Les contrles applicatifs comportent la fois des techniques de contrle


programmes, telles que ldition automatise de rapports, et le suivi
manuels dextrants gnrs par lordinateur comme lanalyse de rapports
identifiant des informations rejetes ou inhabituelles).

Interdpendance des contrles globaux du systme dinformation et


des contrles applicatifs

Lefficacit des contrles globaux est dterminante pour lefficacit des


contrles applicatifs. La faiblesse des contrles globaux a pour effet de
rduire svrement la fiabilit des contrles lis aux applications
individuelles. Labsence de contrles globaux efficaces peut rendre
inoprants les contrles des applications, qui sont alors susceptibles
dtre court-circuits, contourns ou modifis de manire incontrle.
Ainsi, des contrles ddition destins empcher des utilisateurs

39
dintroduire un nombre dheures de travail anormal (par exemple, plus
de 24 heures de travail en une journe) dans le systme de gestion des
salaires peuvent en soi constituer un contrle efficace au niveau dune
application. Mais il est exclu de sy fier sil savre que les contrles
globaux sont susceptibles de laisser passer des modifications non
autorises du programme de nature soustraire certaines transactions
ce contrle des intrants.

Mme si les objectifs de base du contrle ne changent pas, les


changements rapides qui affectent les technologies de linformation
imposent que les contrles voluent de mme pour rester efficaces. Des
changements tels que la dpendance accrue au travail en rseau, larrive
dordinateurs puissants qui permettent que la responsabilit du traite-
ment des donnes soit dcentralise jusquaux utilisateurs finaux, le
dveloppement du commerce lectronique et dinternet ne manqueront
sans doute pas davoir une incidence tant sur la nature que sur la mise en
oeuvre des activits de contrle propres aux technologies de linforma-
tion.

Pour obtenir des conseils complmentaires en ce qui concerne les


activits de contrle applicables aux technologies de linformation, il
peut tre renvoy lInformation Systems Audit and Control Association
(ISACA ou Association de laudit et du contrle des systmes dinfor-
mation), au Control Objectives for Information and related Technology
(COBIT ou Gouvernance, contrle et audit de linformation et des tech-
nologies associes) et aux manires de procder de la Commission pour
le contrle informatique de lINTOSAI.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

40
2.4 Information et
communication

Linformation et la communication sont essentielles la ralisation de


lensemble des objectifs du contrle interne.

Information

La premire des conditions lobtention dune information susceptible


dtre juge fiable et pertinente rside dans lenregistrement rapide et
le classement convenable des transactions et des vnements. Linfor-
mation pertinente doit tre identifie, recueillie et communique sous
une forme et dans des dlais qui permettent au personnel de procder
aux activits de contrle interne dont il a la charge et dassumer ses
autres responsabilits (transmettre la bonne information au bon
moment aux bonnes personnes). Ds lors, le systme de contrle
interne en tant que tel et lensemble des transactions et des vnements
importants que lorganisation peut avoir grer doivent faire lobjet
dune documentation complte.

Les systmes dinformation produisent des rapports contenant des


informations oprationnelles, financires et non financires, ainsi que
des informations lies au respect des obligations lgales et rglemen-
taires qui permettent de grer et de contrler les activits. Ils traitent
non seulement les donnes produites en interne, mais galement lin-
formation lie aux vnements externes, aux activits et aux conditions
ncessaires la prise de dcisions et ltablissement de rapports.

La capacit des responsables prendre les dcisions appropries est


conditionne par la qualit de linformation; il sagit donc quelle soit
adquate, disponible en temps opportun, jour, exacte et accessible.

41
Linformation et la communication sont essentielles la ralisation de
lensemble des objectifs du contrle interne. Par exemple, lun de ces
objectifs consistant remplir les obligations de rendre compte publique-
ment, une manire de latteindre peut tre dlaborer et de tenir jour des
informations, financires et non financires, fiables et pertinentes et de les
rendre publiques loyalement au travers de rapports publis en temps oppor-
tun. De mme, linformation et la communication sur la performance de
lorganisation aideront valuer le caractre ordonn et thique, lcono-
mie, lefficience et lefficacit des oprations. Enfin, dans de nombreux
cas, ce sont des dispositions lgales et rglementaires qui exigent la pro-
duction de certaines informations ou certaines actions de communication.

Linformation est ncessaire tous les niveaux dune organisation afin


dassurer un contrle interne efficace et de raliser les objectifs de
lorganisation, ce qui veut dire que pour que chacun puisse procder aux
activits de contrle interne dont il a la charge et assumer ses autres
responsabilits, un ensemble dinformations pertinentes, fiables et
appropries doivent tre identifies, recueillies et diffuses sous une
forme et dans des dlais convenables, sachant que la premire condition
de lexistence dune information fiable et pertinente tient dans un
enregistrement rapide et un classement adquat des donnes relatives
aux transactions et vnements.

Ces derniers doivent en effet tre enregistrs sans dlai lors de leur
survenance afin que linformation conserve sa pertinence et sa valeur
pour la direction dans le cadre des ses activits de contrle des opra-
tions et de prise de dcision. Ce principe vaut pour lensemble du
processus ou cycle de vie dune transaction ou dun vnement, cest--
dire ds quils sont initis et autoriss jusqu ce quils soient consigns
dans des rapports de synthse et classs, en passant par toutes les tapes
du traitement. Le mme principe implique aussi la mise jour rapide de
toute documentation pour quelle garde sa pertinence.

Un autre facteur indispensable pour que la direction soit assure de


disposer dinformations fiables rside dans le classement correct des
informations relatives aux transactions et vnements. Cela suppose que
les informations qui ont vocation servir de base la prparation des
rapports, des programmes et des tats financiers soient organises,
ordonnes par catgorie et prsentes suivant un modle prdfini.

Les systmes dinformation produisent des rapports contenant des


informations oprationnelles, financires et non financires, ainsi que des

42
informations lies au respect des obligations lgales et rglementaires.
Toutes sont utiles la gestion et au contrle de lactivit. Les systmes
traitent non seulement les donnes, tant quantitatives que qualitatives, qui
sont produites en interne, mais galement linformation, lie aux vne-
ments, aux activits et aux conditions externes, ncessaire la prise de
dcisions et ltablissement de rapports en pleine connaissance de cause.

La capacit des responsables prendre les dcisions appropries est


tributaire de la qualit de linformation; celle-ci doit donc satisfaire aux
critres suivants:

adquation (linformation ncessaire est-elle prsente ?);


dlai (est-elle disponible en temps voulu ?);
jour (est-ce la dernire information en date disponible ?);
exactitude (est-elle correcte ?);
accessibilit (peut-elle tre obtenue aisment par les parties intresses ?).

En vue de garantir la qualit de linformation et des rapports, de


sacquitter des activits de contrle interne et des responsabilits et
daccrotre lefficacit et lefficience du suivi, le systme de contrle
interne en tant que tel et lensemble des transactions et des vnements
importants doivent faire lobjet dune documentation exhaustive et claire
(par exemple, par le biais dorganigrammes et de descriptifs). La docu-
mentation existante devra pouvoir tre consulte tout moment.

La documentation du systme de contrle interne doit comprendre


lidentification de la structure et des politiques dune organisation et de
ses catgories doprations, ainsi que ses objectifs et procdures de
contrle. Toute organisation doit disposer de documents crits reprenant
les composantes du processus de contrle interne, notamment ses
objectifs et ses activits de contrle.

Lampleur de la documentation relative au contrle interne dune


organisation varie, toutefois, en fonction de la taille de lorganisation, de
sa complexit et dautres facteurs du mme type.

Communication

Une communication efficace doit circuler de manire ascendante, trans-


versale et descendante dans lorganisation, dans toutes ses composantes et
dans lensemble de sa structure.

43
Les plus hauts responsables de lorganisation doivent transmettre un
message clair tous les membres du personnel sur limportance des
responsabilits de chacun en matire de contrle interne. Tous doivent
comprendre le rle quils sont appels jouer dans le systme de
contrle interne, ainsi que la manire dont leurs propres activits
sarticulent avec celles des autres membres du personnel.

La ncessit dune communication efficace sentend galement des


relations avec lextrieur de lorganisation.

A la base de la communication se trouve linformation. Cest pourquoi


la communication doit rpondre aux attentes de groupes et dindividus
en leur permettant de sacquitter efficacement de leurs responsabilits.
Une communication efficace doit circuler de manire ascendante, trans-
versale et descendante dans lorganisation, dans toutes ses composantes
et dans lensemble de sa structure.

Lun des canaux de communication essentiels est celui qui relie la direc-
tion son personnel. La direction doit tre tenue au courant de la
performance, de lvolution, des risques et du fonctionnement du
contrle interne, ainsi que de tous les autres vnements et problmes
pertinents. Par le mme canal, la direction signale son personnel les
informations dont elle a besoin, lui renvoie son apprciation sur ses
activits et lui fait connatre ses consignes. Elle doit galement assurer
une communication spcifique et cible sur les comportements quelle
souhaite le voir adopter. Il doit en rsulter une dclaration claire sur la
philosophie et lapproche de lorganisation en matire de contrle
interne, ainsi que des dlgations de pouvoir explicites.

La communication doit sensibiliser le personnel limportance et


lutilit dun contrle interne efficace, faire connatre le degr daversion
au risque de lorganisation et son degr de tolrance au risque et rendre
le personnel conscient de son rle et de ses responsabilits dans la mise
en uvre et le support apporter aux composantes du contrle interne.

Outre la communication interne, la direction doit assurer lexistence de


moyens de communication adquats avec les interlocuteurs externes et
recueillir des informations de ces interlocuteurs, tant donn que la
communication externe peut fournir une information susceptible davoir
un impact sur la ralisation, par lorganisation, de ses objectifs.

44
En se basant sur les donnes provenant de la communication la fois
interne et externe, le management doit prendre les actions ncessaires et
entreprendre temps des oprations de suivi.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

45
2.5 Pilotage

Les systmes de contrle interne doivent faire lobjet dun suivi destin
en vrifier la qualit au fil du temps. Ce suivi peut soprer au moyen
dactivits de routine, par des valuations ponctuelles ou encore en
combinant les deux mthodes.

(1) Pilotage permanent


Le pilotage ou le suivi permanent du contrle interne sinscrit dans
le cadre des activits dexploitation courantes et rcurrentes dune
organisation et comprend des contrles rguliers effectus par la
direction et le personnel dencadrement, ainsi que dautres actions
effectues par le personnel dans le cadre mme des tches quil a
accomplir.

Les activits de pilotage permanent portent sur chacune des com-


posantes du contrle interne et tend empcher que les systmes de
contrle interne fonctionnent de manire contraire aux rgles,
lthique ou aux critres dconomie, defficience et defficacit.

(2) Evaluations ponctuelles


Les valuations ponctuelles varieront en tendue et en frquence
essentiellement en fonction de lvaluation des risques et de
lefficacit des procdures de pilotage permanent.

Les valuations ponctuelles spcifiques portent sur lefficacit du


systme de contrle interne et garantissent que le contrle interne
atteint les rsultats attendus sur la base de mthodes et procdures

46
prdfinies. Les faiblesses du contrle interne doivent tre signa-
les au niveau appropri de direction.

Les procdures de suivi doivent garantir que les conclusions daudit et


les recommandations qui en rsultent sont mises en uvre de manire
approprie et sans retard.

Le suivi du contrle interne garantit que les contrles fonctionnent


comme prvu et quils sont mis jour en fonction de lvolution de
lenvironnement dans lequel opre lorganisation. Le suivi doit aussi
valuer si, dans la ralisation de la mission de lorganisation, les objec-
tifs gnraux, repris dans la dfinition du contrle interne, ont t
atteints. Pour cela, il convient de mettre en place un ensemble dactivi-
ts permanentes de pilotage, des valuations ponctuelles ou de combiner
les deux mthodes, afin dassurer que le contrle interne continue
sappliquer tous les niveaux et dans toute lorganisation et quil
produit les rsultats escompts. Le suivi des activits de contrle interne
doit tre clairement distingu de lanalyse des oprations dune organi-
sation, qui constitue, quant elle, une activit de contrle interne. Cette
catgorie a t examine au point 2.3.

Le pilotage permanent du contrle interne sinscrit dans le cadre des


oprations courantes et rcurrentes dune organisation. Il sopre en
continu et en temps rel, ragit en direct lvolution de la situation et
se trouve comme tiss dans les oprations de lorganisation. Ds lors, il
est plus efficace que les valuations ponctuelles et les actions correctives
sont potentiellement moins coteuses. Les valuations ponctuelles tant
effectues a posteriori, les oprations courantes de surveillance permet-
tront souvent une dtection plus rapide des problmes.

Les valuations ponctuelles doivent varier en tendue et en frquence


essentiellement en fonction de lvaluation des risques et de lefficacit
des procdures de pilotage permanent. A cet gard, lorganisation doit
prendre en compte la nature et limportance des changements occasion-
ns, tant par les vnements internes quexternes, ainsi que les risques
correspondants, les comptences et lexprience du personnel charg de
la mise en uvre des contrles, de mme que les rsultats du pilotage
permanent. Les valuations ponctuelles du contrle peuvent aussi
savrer utiles du fait quelles se focalisent sur lefficacit des contrles
un moment prcis. Les valuations ponctuelles peuvent revtir la
forme dauto-valuations, comme lanalyse de la conception du contrle

47
ou la ralisation de tests portant directement sur le contrle interne. Les
valuations ponctuelles peuvent aussi tre ralises par les ISC ou par
des auditeurs externes ou internes.

En gnral, la combinaison du suivi permanent et des valuations ponc-


tuelles permettra dassurer que le systme de contrle interne conserve
son efficacit dans le temps.

Toutes les faiblesses dceles dans le cadre du suivi permanent ou la


suite dvaluations ponctuelles doivent tre signales aux personnes
habilites prendre les mesures ncessaires. Le terme faiblesse
dfinit un tat susceptible davoir une incidence sur la capacit dune
organisation raliser ses objectifs gnraux. Une faiblesse peut, ds
lors, correspondre une carence perue, potentielle ou avre, ou une
opportunit de renforcer le contrle interne afin daccrotre la probabilit
datteindre les objectifs gnraux de lorganisation.

Il est crucial de communiquer les informations ncessaires relatives aux


faiblesses du contrle interne aux personnes concernes. Dans cette
perspective, il est ncessaire dtablir des rgles dfinissant quelles sont
les informations ncessaires un niveau donn pour permettre la prise
effective de dcisions. De telles rgles sont fondes sur le principe
gnral quun responsable doit tre au courant de ce qui a une incidence
sur les actions ou le comportement des personnes places sous sa
responsabilit, de mme quil doit tre en possession de toute informa-
tion lie la ralisation de ses objectifs spcifiques.

Les informations produites par lorganisation dans le cadre de ses activi-


ts circulent gnralement le long des circuits habituels de communica-
tion, et parviennent donc au moins jusqu la personne responsable de la
fonction concerne et son suprieur hirarchique direct. Toutefois, des
voies de communication alternatives doivent tre prvues pour permettre
la transmission des informations sensibles, telles que celles qui portent
sur des agissements incorrects ou illgaux.

Le suivi et le pilotage du contrle interne doivent comprendre des


politiques et des procdures garantissant que les conclusions des audits
et des autres formes dvaluation sont mises en uvre de la manire
approprie et sans retard. Les responsables doivent (1) valuer
rapidement les conclusions des audits et des autres formes dvaluation,
y compris quand les auditeurs ou les autres personnes mandates pour
valuer les activits de lorganisme diagnostiquent des faiblesses et

48
mettent des recommandations, (2) dterminer les mesures appropries
prendre pour donner suite aux conclusions et aux recommandations
rsultant des audits et des analyses et (3) prendre, dans des dlais
prdfinis, toutes les mesures visant corriger les dfauts ports leur
attention ou rsoudre le problme qui en dcoulait.

Le processus de rsolution commence ds que les rsultats daudit ou de


toute autre analyse sont communiqus la direction et ne sachve
quaprs ladoption dune mesure qui (1) porte remde aux faiblesses
identifies, (2) apporte des amliorations ou (3) dmontre que les
conclusions et les recommandations de lvaluation ne justifient pas que
la direction prenne des mesures.

Exemples

Nous renvoyons le lecteur aux annexes pour des exemples intgrs


concernant chacun des objectifs et des composantes du contrle interne.

49
3 Rles et responsabilits
Chacun, au sein dune organisation, a une part de responsabilit dans le
contrle interne.

Le management est directement responsable de lensem-


ble des activits de lorganisation, ce qui
inclut la conception, la mise en oeuvre, le
fonctionnement adquat, le maintien et la
documentation du systme de contrle
interne. Les responsabilits de chacun au
sein du management varient selon la
fonction quil occupe dans lorganisation
et les caractristiques de lorganisation
elle-mme.

Les auditeurs internes examinent et contribuent lefficacit


continue du systme de contrle interne
via leurs valuations et recommandations
et de ce fait jouent un rle important dans
lefficacit du contrle interne. Ils nas-
sument toutefois pas la responsabilit de
base, qui revient la direction, de la
conception, la mise en uvre, le maintien
et la documentation du contrle interne.

Les membres du personnel contribuent eux aussi au contrle interne.


Le contrle interne relve, explicitement
ou implicitement, de la responsabilit de
chacun. Tous les membres du personnel
jouent un rle dans la ralisation du
contrle interne et sont tenus de commu-
niquer tout problme quils viendraient
constater dans la conduite des oprations,
de mme que toute violation du code de
conduite ou la politique interne de
lorganisation.

50
Certaines parties externes jouent aussi un rle important dans le
processus de contrle interne. Ils peuvent contribuer la ralisation des
objectifs de lorganisation ou fournir des informations utiles au
contrle interne. Ils ne sont toutefois pas responsables de la concep-
tion, la mise en oeuvre, le fonctionnement adquat, la maintenance ou
la documentation du systme de contrle interne de lorganisation.

Les institutions suprieures encouragent et favorisent la mise en


de contrle (ISC) place dun systme de contrle interne
efficace dans ladministration. Lvalua-
tion du contrle interne est essentielle
pour les audits de conformit, financiers
et de performance raliss par les ISC.
Elles communiquent leurs conclusions et
leurs recommandations aux parties int-
resses.

Les auditeurs externes sont en charge de laudit de certaines


administrations dans certains pays. Ils
sont appels, de mme que les associa-
tions professionnelles qui les reprsen-
tent, formuler des conseils et des
recommandations au sujet du contrle
interne.

Le pouvoir lgislatif et tablissent des rgles et des lignes direc-


rglementaire trices en matire de contrle interne. Ils
doivent contribuer une comprhension
commune du contrle interne.

Les autres tiers sont en interaction avec lorganisation


(usagers, fournisseurs, etc.) et fournissent
des informations quant la ralisation de
ses objectifs.

Le contrle interne est avant tout le fait des parties prenantes internes de
lorganisation, ce qui inclut la fois les responsables, les auditeurs inter-
nes et les autres membres du personnel. Toutefois, les actions de parties
prenantes externes peuvent aussi avoir une influence sur le systme de
contrle interne.

51
Les managers

Lensemble du personnel de lorganisation joue un rle important dans


la mise en oeuvre du systme de contrle interne. Cest, toutefois, la
direction quincombe la responsabilit globale de la conception, de la
mise en oeuvre, du bon fonctionnement et de la maintenance du systme
de contrle interne, ainsi que de sa documentation. Ce que nous dnom-
mons ici management peut inclure le conseil dadministration et le
comit daudit, dont les rles et les compositions varient dun pays
lautre et qui, dun pays lautre, sont soumis des lgislations
diffrentes.

Les auditeurs internes

Il nest pas rare que la direction mette en place une unit daudit interne
quelle conoit comme faisant partie intgrante de son systme de
contrle interne et quelle utilise dans le cadre du suivi et du pilotage de
lefficacit du systme de contrle interne. Les auditeurs internes four-
nissent de manire rgulire de linformation sur le fonctionnement du
contrle interne en se concentrant, avec une attention particulire, sur
lvaluation de la conception et des oprations du contrle interne. Ils
communiquent de linformation sur les forces et les faiblesses du
contrle interne et formulent des recommandations en vue de son
amlioration. Leur indpendance et leur objectivit doivent toutefois tre
garanties.

Par consquent, laudit interne devrait tre une activit indpendante et


objective qui donne une organisation une assurance sur le degr de ma-
trise de ses oprations, lui apporte ses conseils pour les amliorer, et
contribue crer de la valeur ajoute. Il aide une organisation atteindre
ses objectifs en valuant, par une approche systmatique et mthodique,
ses processus de management des risques, de contrle et de gouvernement
dentreprise et en faisant des propositions pour renforcer leur efficacit.

Pour autant, et mme si les auditeurs internes jouent un rle prcieux en


termes de formation et de conseil en matire de contrle interne, ils ne
sauraient remplacer eux seuls une structure de contrle interne solide.

Pour que la fonction daudit interne soit efficace, il est essentiel


que lquipe daudit interne soit indpendante de la direction, travaille
de manire impartiale, correcte et honnte et quelle rende compte

52
directement au niveau hirarchique le plus lev de lorganisation. De la
sorte, les auditeurs internes peuvent prsenter des avis impartiaux sur
lvaluation du systme de contrle interne et prsenter objectivement
des propositions visant corriger les dfauts quils auront dcouverts.
Pour ce qui est des directives professionnelles, les auditeurs internes
doivent utiliser le referentiel de pratiques professionnelles de lInstitut
des auditeurs internes (Professional Practices Framework (PPF) Insti-
tute of Internal Auditors (IIA) ou Institut franais de laudit et du
contrle internes (IFACI) affili lIIA) qui inclut la dfinition de lac-
tivit daudit interne, le code de dontologie, les normes et des conseils
pratiques. En outre, les auditeurs internes doivent suivre le code de
dontologie de lINTOSAI.

Outre son rle de suivi des contrles internes dune organisation, une
quipe daudit interne qualifie peut contribuer lefficience des
activits daudit externe en apportant une assistance directe lauditeur
externe. La nature, ltendue ou la dure des procdures daudit externe
pourront ainsi faire lobjet damnagements si lauditeur externe peut
sappuyer sur le travail de lauditeur interne.

Les membres du personnel

Le reste du personnel, quel que soit son niveau, influe galement sur le
contrle interne. Ce sont souvent ceux qui sont placs en premire ligne
qui appliquent et supervisent certains contrles, les analysent et prennent
les mesures correctives ncessaires si les contrles sont mal mis en
uvre; par ailleurs, ils sont bien placs pour identifier dans le cours de
leurs activits quotidiennes des problmes qui appellent des rponses qui
sont de lordre du contrle interne.

Les parties externes

Le second groupe majeur de partenaires du contrle interne est constitu


par des tiers extrieurs, tels que les auditeurs externes (notamment les
ISC), le pouvoir lgislatif et rglementaire, ainsi que dautres tiers. Tous
peuvent contribuer la ralisation des objectifs de lorganisation ou
fournir des informations utiles la mise en uvre du contrle interne.
Cependant, ils nont aucune responsabilit dans la conception, la mise en
uvre, le fonctionnement adquat, la maintenance ou la documentation
du systme de contrle interne de lorganisation.

53
ISC et auditeurs externes

Les missions des parties externes, et plus particulirement celles des


auditeurs externes et des ISC, comprennent lvaluation du fonctionne-
ment du systme de contrle interne et la transmission de leurs conclu-
sions au management de lorganisation audite. Lexamen du systme de
contrle interne par les parties externes est toutefois dtermin en
fonction de leur mandat.

Lvaluation des procdures de contrle interne par les auditeurs passe


par les tapes suivantes:

dterminer limportance du risque et le degr de sensibilit au


risque du programme dont les contrles sont valus;
valuer le risque dutilisation abusive des ressources, de non-ralisa-
tion des objectifs en matire dthique, dconomie, defficience et
defficacit, de non-respect des obligations de rendre compte et de
non-conformit aux lois et rglements;
identifier et comprendre les contrles pertinents;
faire le point sur ce que lon sait dj de lefficacit du contrle;
apprcier le caractre adquat de la conception du contrle;
dterminer par des tests si les contrles sont efficaces;
rendre compte de lapprciation quils portent sur le contrle interne et
discuter les mesures correctives ncessaires.

LISC a galement tout intrt veiller ce que des services daudit


interne solides existent l o ils sont ncessaires. Ces services daudit
constituent un lment important du contrle interne, car elles sont un
vecteur permanent damlioration de la manire dont les activits dune
organisation sont conduites. Dans certains pays, cependant, les services
daudit interne peuvent souffrir dun manque dindpendance, tre faibles,
quand ils ne sont pas purement et simplement inexistants. Dans ces cas,
lISC doit, autant que possible, proposer aide et accompagnement en vue
de leur mise en place et de leur dveloppement, et contribuer garantir
lindpendance des activits de lauditeur interne. Cette assistance pourrait
passer par des dtachements ou des prts de personnel, lorganisation de
confrences, la mise en commun de supports de formation et llaboration
de mthodologies et de programmes de travail. Cela doit toutefois tre
ralis sans menacer lindpendance de lISC ou de lauditeur externe.

Il est galement ncessaire que lISC puisse dvelopper de bonnes


relations de travail avec les services daudit interne en vue de permettre

54
un change dexpriences et de connaissances et lmergence de syner-
gies et de complmentarits dans le travail. Le fait dintgrer, le cas
chant, les observations de laudit interne dans le rapport de laudit
externe et de reconnatre limportance de sa contribution peut favoriser
linstauration dune telle relation. LISC doit concevoir des procdures
dvaluation du travail du service daudit interne pour savoir dans quelle
mesure il est possible de sen servir. La prsence dun service daudit
interne solide peut rduire lampleur du travail de vrification oprer
par lISC et ainsi limiter les doubles emplois inutiles. Cela suppose que
lISC puisse accder aux rapports de laudit interne, ses documents de
travail et aux informations relatives aux conclusions de laudit.

Les ISC doivent aussi jouer un rle moteur pour lensemble du secteur
public en mettant en place un systme de contrle interne pour leur
propre organisation, conforme aux principes des prsentes lignes
directrices.

Non seulement les ISC mais aussi les auditeurs externes jouent un rle
important en contribuant la ralisation des objectifs du contrle
interne, en particulier en ce qui concerne le respect des obligations de
rendre compte et la protection des ressources. Les audits externes des
rapports et informations financires font en effet partie intgrante de
lobligation de rendre compte et de la bonne gouvernance. Les audits
externes constituent encore un mcanisme de base que les parties
prenantes externes utilisent pour suivre la performance, ct des
informations non financires.

Le pouvoir lgislatif et rglementaire

Enfin, la contribution du pouvoir lgislatif et rglementaire au contrle


interne peut contribuer favoriser une comprhension commune de la
dfinition du contrle interne et des objectifs atteindre. Ils peuvent
aussi dicter les politiques auxquelles les acteurs internes et externes
sont tenus de se conformer dans lexercice de leurs rles et responsabili-
ts respectifs en matire de contrle interne.

55
56
Annexe 1 Exemples

57
Exemple de pratique mise en place en vue du respect de lobligation de rendre compte (1) : un service charg dassurer la scu-

58
rit du transport par voies fluviales et maritimes a t mis en place par diffrents dpartements responsables respectivement du pilotage,
du balisage, de l'inspection de la qualit des eaux, de la promotion de l'utilisation des voies navigables, des investissements dans les
infrastructures (ponts, digues, canaux et cluses) et de la maintenance de celles-ci.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
Pour chaque Les risques possibles Les activits de contrle L'information et la Un suivi du nombre de
dpartement, il est sont les collisions entre suivantes peuvent tre communication dans collisions, des infractions
dsign un responsable navires, la perte de organises : faire piloter cette situation peuvent au droit de lenvironne-
oprationnel tenu de dchets toxiques ou de les navires par des tre les suivantes : ment, des rsultats des
faire rapport au directeur carburant et la rupture de pilotes comptents, signaler les collisions prlvements et une
gnral du dpartement. digues. Au cas o la placer des boues, des afin d'avertir les autres comparaison avec
Les cadres oprationnels ralisation de lun de ces balises et des repres, navires, informer les d'autres pays et avec des
possdent les aptitudes risques serait imputable mettre en place un navires sur les conditions donnes historiques
requises et sont habilits la ngligence des dispositif de surveillance mtorologiques, publier peuvent contribuer
prendre certaines pouvoirs publics, leur arienne, prlever des le nom des pollueurs et surveiller l'efficacit et
dcisions. Tous ont responsabilit serait chantillons d'eau. les sanctions auxquelles l'efficience du pilotage
galement sign un code engage dans des ils s'exposent, ainsi que des navires, du placement
de bonne conduite. proportions normes. les mesures engages en de balises et de repres,
vue de rparer les des inspections et du
dommages quils ont contrle de la qualit des
causs. eaux.
Exemple de pratique mise en place en vue du respect de lobligation de rendre compte (2) : le responsable du dpartement des
sports a annonc, l'anne dernire, que l'objectif tait d'augmenter la pratique sportive de 15 % dans les prochaines annes.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
Le responsable jouissant Ne pas prciser les Ce risque peut tre Ce rapport doit tre Une forme de suivi
d'une bonne rputation, objectifs peut entraner rduit en prvoyant des remis temps et pourrait consister
le comit excutif lui a le risque de ne pas les canaux d'information respecter le modle vrifier si le rapport est
fait confiance et n'a pasatteindre. Un autre appropris et un modle pralablement dfini. Il satisfaisant ou non,
jug utile dorganiser les
risque est que le rapport de rapport dfinissant les doit prciser les objectifs faire linventaire des
runions de suivi quil ne soit pas prt en temps informations fournir. de croissance, les informations qui y
est ordinairement voulu, le responsable modalits de mesure des figurent et de celles qui
dusage de tenir pour prfrant attendre pour objectifs et les raisons manquent encore.
contrler les progrs ltablir d'tre en mesure pour lesquelles elles ont
raliss par le dannoncer quil a atteint t dfinies ainsi. Toutes
responsable. son objectif de 15 % de les pices justificatives
croissance. Enfin, rien doivent tre disponibles.
na t spcifi quant
(La situation aux modalits de calcul
susmentionne ne de la croissance de la
constitue pas un exemple pratique sportive, de
de bonne pratique !) sorte que le responsable
peut sa guise choisir de
dclarer que le nombre
de pratiquants, d'heures
de pratique ou de centres
ou clubs sportifs a
augment de 15 %. La
qualit des informations
publies sen trouve

59
significativement altre.
Exemple de pratique tendant assurer la conformit des oprations aux lois et rglementations en vigueur: le ministre de la

60
Dfense souhaite acqurir de nouveaux avions de chasse par le biais d'un march public et publie toutes les clauses et procdures aff-
rentes cet appel d'offres. Toutes les offres reues restent fermes jusqu' l'expiration du dlai d'introduction des offres. Ce nest qu
ce moment quelles sont ouvertes, en prsence des responsables comptents et de fonctionnaires. Ces offres seront les seules tre exa-
mines et compares pour dcider laquelle est la meilleure.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
L'quipe qui grera la L'un des risques lis aux Afin de rduire les Les procdures relatives L'audit interne peut
passation de ce march appels d'offres publics et aux risques, des procdures la publication de toutes procder des analyses
est compose de marchs publics est le dlit doivent tre labores les clauses de cet appel sur dossier et assurer un
personnes comptentes d'initis. L'un des soumis- et appliques d'offres public, suivi des rclamations.
qui ont sign un sionnaires peut avoir connais- conformment aux lois l'valuation des offres
document par lequel sance pralablement des offres et rglements reues et l'annonce du
elles certifient n'avoir de ses concurrents et, fort de pertinents rgissant les soumissionnaire retenu
aucun lien financier ou cette information, introduire marchs publics. doivent tre dcrites par
relationnel avec aucun une offre gagnante, faussant le crit, en prenant soin de
des soumissionnaires. choix des dcideurs qui se dtailler toutes les tapes
Les responsables trouvent orients vers une respecter. Lors de la
comptents et les proposition qui nest en fait phase dvaluation,
fonctionnaires ont pas la meilleure. Un autre toutes les raisons pour
galement sign ce risque serait que les dcideurs lesquelles loffre dun
document. fassent le mauvais choix, ce soumissionnaire donn a
qui les obligerait passer un ou n'a pas t
nouveau march public pour slectionne doivent tre
compenser le fait que le consignes par crit.
premier n'ait pas rpondu aux
attentes. En outre, il pourrait
aussi arriver que d'autres
soumissionnaires, sestimant
victimes d'une ingalit de
traitement, introduisent une
rclamation.
Exemple dactions ordonnes, thiques, conomiques, efficientes et efficaces (1) : le ministre de la Culture souhaite accrotre la
frquentation des muses. Dans cette optique, il propose la construction de nouveaux muses, loctroi chaque citoyen dun chque-
culture et labaissement du prix des billets d'entre. Pour s'assurer que ces actions respectent les critres dconomie, defficience
et defficacit, les responsables doivent dterminer si les objectifs quils ont formuls sont susceptibles dtre atteints grce ces pro-
positions et valuer le cot de chacune d'entre elles.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
Le ministre doit L'un des risques potentiels est Les activits de L'information et la L'analyse des
vrifier que sa que la frquentation des contrle lies aux communication relatives justifications de
structure organisation- muses n'augmente pas. De risques susmentionns au prsent cas peuvent dpassement de budget et
nelle permet dassurer mme, il est craindre que peuvent consister en un consister en une des charges d'intrt
la supervision de la certaines des propositions ne contrle budgtaire documentation sur les lies des retards dans
conception et de la donnent pas les rsultats comparant les donnes runions organises avec les travaux ou les
construction des attendus et dpassent les relles aux donnes les architectes, les paiements fait partie des
nouveaux btiments limites de leur budget. Par budgtes, dans la services de lutte contre
proposs, et exemple, si la diminution du formulation l'incendie (concernant activits de suivi mettre
dorganiser la prix des billets d'entre na d'observations sur les rgles de scurit), en place dans pareille
programmation et le pas une incidence positive sur l'tat d'avancement les artistes et des tierces situation.
fonctionnement des la frquentation des muses, des travaux de personnes. Elles peuvent
nouveaux muses. cette initiative se traduira par construction et de aussi inclure diffrents
une baisse des recettes de demandes de rapports sur le suivi de
l'Etat. Autre exemple : justification en cas de l'excution du budget et
construire de nouveaux dpassement de l'avancement des
muses sans respecter un budget. travaux de construction.
planning appropri ni prendre
en compte les impratifs de
luminosit, de temprature ou
de scurit, peut entraner un
certain nombre d'ajustements
onreux pendant ou aprs la

61
construction.
Exemple d'activits ordonnes, thiques, conomiques, efficientes et efficaces (2): le gouvernement entend dvelopper l'agriculture

62
et amliorer la qualit de la vie la campagne. Il dbloque des fonds destins loctroi de subventions afin dencourager la construc-
tion d'installations d'irrigation et le forage de puits.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
Le gouvernement doit Le risque rside dans le Les activits de contrle - Rapports sur l'tat Le pilotage peut consister
identifier le dpartement fait que des associations peuvent tre les d'avancement des dans le suivi du forage
sur lequel il pourra peu scrupuleuses suivantes: travaux dtaillant le des puits et de la
compter pour mettre en prtendent l'octroi - vrifier les cot et le nombre de construction
oeuvre et mener bien d'une subvention, comptences des puits fors, ainsi que le d'installations
la politique daides lobtiennent et n'utilisent associations sollicitant nombre d'hectares d'irrigation, et leur
publiques, et crer les pas les fonds allous l'octroi d'une irrigus. comparaison avec des
conditions appropries dans le but prvu. subvention. - Demande de projets similaires.
pour raliser ce projet - vrifier sur place l'tat production de (copies
temps et avec efficience. d'avancement des de) factures justifiant Une autre mthode peut
travaux de construction les dpenses rsider dans le suivi des
et analyser les rapports revenus produits par la
qui sy rapportent. subventionnes.
- contrler les dpenses culture des terres
exposes par les nouvellement irrigues.
associations en passant
en revue les factures
quelles produisent et
diffrer le paiement de
tout ou partie de la
subvention jusquau
complet achvement de
cette vrification.
Exemple de pratique visant protger les ressources (1) : le ministre de la Dfense possde quelques entrepts, magasins militai-
res et dpts de carburant. Ltat-major militaire a pour politique que ces fournitures soient strictement rserves un usage militaire et
de nen autoriser en aucun cas une utilisation prive.

Environnement de Evaluation des risques Activits de contrle Information & Pilotage


contrle Communication
Une politique efficace de Le risque est rel que Les activits de contrle Etablissement de Le pilotage et le suivi
gestion des ressources des personnes cherchent destines rpondre rapports si des cltures peuvent passer par
humaines consisterait voler des armes pour ces risques peuvent viennent tre linspection des cltures,
recruter et fidliser le les utiliser mauvais consister riger des endommages ou si lorganisation
personnel le plus qualifi escient ou les vendre. De cltures ou des murs linventaire rvle des dinventaires
pour faire fonctionner et mme, d'autres autour des magasins et carts par rapport ltat impromptus, le suivi des
grer les entrepts. fournitures, tel que le des dpts. On peut thorique du stock. stocks, voire par
carburant, risquent d'tre complter le dispositif en Les autorisations et les lorganisation dun test
voles. plaant des matres- procdures relatives aux secret de la scurit.
chiens arms l'entre. approvisionnements sont
La vrification rgulire des sources
du stock et une
procdure qui prvoit d'information et de
que les livraisons ne communication utiles
peuvent avoir lieu dans le cadre de la
qu'avec l'accord d'un ralisation de lobjectif
officier de rang suprieur de protection des
contribueront galement ressources.
la protection des actifs.

63
Exemple de pratique visant protger les ressources (2): De grandes quantits d'informations sensibles sont stockes sur des sup-

64
ports informatiss confis la garde dune agence qui relve du ministre de la Justice. Toutefois, l'importance des contrles informa-
tiques est nglige et, par consquent, le contrle interne des systmes dinformation prsente de nombreuses dficiences.
Environnement de Evaluation des risques Activits de contrle Information & Pilotage
contrle Communication
La direction doit Au niveau des contrles Le service peut prendre les mesures Commander un audit L'analyse des
prendre nettement globaux, lagence n'a pas: suivantes: des systmes justifications de
position pour - limit l'accs des utilisateurs - mettre en uvre des contrles dinformation, faire dpassement de
encourager le aux seuls domaines stricte- d'accs logiques (par exemple, mots un exercice de budget et des
dveloppement des ment ncessaires l'accom- de passe) et physiques (par exem- simulation de charges d'intrt
comptences et dun plissement de leurs tches; ple, verrous, badges d'identification, dsastre et surveiller lies des retards
comportement - mis au point des contrles alarmes). lactivit du serveur dans les travaux
appropri dans le adquats des systmes - dfinir un mcanisme visant inter- peuvent contribuer au
domaine de logiciels afin de protger les dire laccs au systme dexploita- suivi et au pilotage ou les paiements
linformatique, et programmes et les donnes tion aux simples utilisateurs de de l'environnement fait partie des
veiller ce que le sensibles; l'application; informatique. activits de suivi
personnel reoive une - conserv la trace des - limiter l'accs l'environnement de mettre en place
formation adquate. changements de logiciel; production au personnel charg de dans pareille
De manire gnrale, - spar les fonctions dvelopper les applications;. situation.
la politique de incompatibles; - utiliser les journaux d'audit pour
ressources humaines - veill la continuit du enregistrer tous les accs ou simples
joue un rle essentiel service; tentatives d'accs et autres
dans l'instauration - protg son rseau contre le commandes afin de dtecter les
d'un environnement trafic non autoris. atteintes aux systmes de scurit.
de contrle positif Au niveau des contrles - laborer un plan de sauvegarde et un
pour les questions applicatifs, lagence ne sest - plan durgence pour garantir la dis-
informatiques. pas proccupe du systme ponibilit de ressources essentielles
des autorisations d'accs. et contribuer la continuit des
oprations.
(Ceci ne constitue pas un - installer des pare-feu informatiques
exemple de bonne pratique!) et surveiller le serveur de manire
scuriser le rseau.
Annexe 2 Glossaire

65
Le prsent glossaire est destin faciliter une comprhension commune des
principaux termes utiliss dans les prsentes directives en ce qui concerne les
dfinitions et la pratique du contrle interne.

En plus des dfinitions que nous avons introduites dans le prsent document,
nous nous rfrons des dfinitions existantes, extraites des sources suivantes:

Code de dontologie et normes de contrle, INTOSAI, 2001 (Normes de


contrle de lINTOSAI)
Internal Control Integrated Framework, COSO, 1992 (COSO 1992)
Glossaire, Office des publications officielles des Communauts europennes,
P. Everard et D. Wolter, 1989 (Glossaire)
Auditing And Assurance Services, An Integrated Approach, A. A. Arens,
R. J. Elder et M. S. Beasley, Prentice Hall international edition, neuvime
dition, 2003 (Arens, Elder & Beasley)
Projet dexpos du COSO Enterprise Risk Management Framework, COSO,
2003 (COSO ERM)
Handbook Of International Auditing, Assurance, And Ethics Pronounce-
ments, IFAC, 2003 (IFAC)
Transparency International Source Book 2000 (Transparency International)
XVIe INCOSAI, Montevideo, Uruguay, 1998, Expos principal relatif au
thme 1A (Prvention et dtection de la fraude et de la corruption), fvrier
1997 (XVIe INCOSAI, Uruguay, 1998)
Referentiel de pratiques professionnelles, Institut des Auditeurs internes
(Professional Practices Framework (PPF) Institute of Internal Auditors
(IIA) ou Institut Franais de lAudit et du Contrle Internes (IFACI) affili
lIIA)

Accs logique
Le fait de pouvoir accder aux donnes informatiques. Laccs peut tre limit
la lecture seule; des droits daccs plus tendus comportent lautorisation
de modifier les donnes, de crer de nouveaux fichiers et deffacer les fichiers
existants. (voir aussi accs physique)

Accs physique
Semploie en matire de contrle daccs pour dsigner le fait de pouvoir
accder aux locaux et entits physiques. (voir accs logique)

Activit de contrle
Les activits de contrle sont les politiques et les procdures mises en place pour
matriser les risques et raliser les objectifs de lorganisation. Les procdures

66
mises en place par une organisation pour matriser les risques sont appeles acti-
vits de contrle interne. Les activits de contrle interne constituent une rponse
au risque du fait quelles sont conues pour rduire lincertitude du rsultat pr-
alablement identifie.

Activits
Voir Oprations

Application
Programme informatique conu pour faciliter un certain type de travail et par
exemple apporter une assistance dans lexcution de fonctions spcifiques, telles
que le paiement des salaires, le suivi des stocks, la comptabilit et les activits
de support. En fonction de lactivit pour laquelle elle est conue, une applica-
tion peut traiter du texte, des chiffres, des lments graphiques ou une combi-
naison de ces lments.

Assurance (garantie) raisonnable


Correspond un niveau satisfaisant de confiance au regard de considrations
lies aux cots, aux bnfices et aux risques.
Le concept selon lequel le contrle interne, mme sil est trs bien conu et
appliqu avec la plus grande rigueur, ne peut pas garantir la ralisation des
objectifs quune organisation sest fixs, en raison des limites inhrentes tout
systme de contrle interne. (COSO 1992)

Audit (Contrle)
Examen des activits et des oprations dune entit en vue de sassurer
quelles sont excutes ou fonctionnent conformment des objectifs, des
budgets, des rgles et des normes. Lobjet de cet examen est de relever,
intervalles rguliers, les carts qui pourraient ncessiter lapplication de mesures
correctives. (Glossaire)

Audit externe (Contrle externe)


Contrle exerc par un organisme externe et indpendant de lentit contr-
le, ayant, dune part, pour objet de donner une opinion sur les comptes et
les tats financiers, la rgularit et la lgalit des oprations et/ou sur la
gestion financire et, dautre part, dtablir des rapports correspondants.
(Glossaire)

Audit interne
Moyens fonctionnels par lesquels les gestionnaires dune unit acquirent au
sein mme de cette unit la certitude que les circuits comptables et financiers
dont ils sont responsables fonctionnent dune manire qui rduit au maximum
les risques de fraudes, derreurs, de non-rentabilit ou de gaspillage. Les carac-
tristiques sont trs proches de celles de laudit externe, cette diffrence prs
que laudit interne permet de se conformer aux directives des chefs de services
concerns. (Normes de contrle de lINTOSAI)

67
Activit indpendante et objective qui donne une organisation une assu-
rance sur le degr de matrise de ses oprations, lui apporte ses conseils pour
les amliorer, et contribue crer de la valeur ajoute. Il aide cette organisa-
tion atteindre ses objectifs en valuant, par une approche systmatique et
mthodique, ses processus de management des risques, de contrle, et de gou-
vernement dentreprise, et en faisant des propositions pour renforcer leur effi-
cacit. (IIA IFACI)
Activit dvaluation quune organisation met en place en tant que service
interne lorganisation. Ses activits comportent, notamment, lexamen,
lvaluation et le suivi de la pertinence et de lefficacit des systmes compta-
bles et de contrle interne. (IFAC)
(voir aussi Auditeur(s) interne(s) et Service daudit interne)

Auditeurs internes
Ils examinent et contribuent lefficacit continue du systme de contrle
interne travers leurs valuations et recommandations, mais ils nassument pas
la responsabilit de base de sa conception, sa mise en oeuvre, son maintien et sa
documentation

Aversion au risque
Le niveau de risque que lorganisation est dispose courir avant destimer
quune action simpose.
Le niveau de risque, apprci de manire globale, quune socit ou une autre
entit est dispose accepter dans la mise en uvre de sa mission ou de sa
vision. (COSO ERM)

Budget
Expression quantitative et financire dun programme dactions dont la ralisa-
tion est envisage pour une priode donne. Le budget est tabli en vue de
planifier les oprations futures et de contrler a posteriori les rsultats obtenus.
(Glossaire)

Collusion
Effort concert entre plusieurs employs en vue de dtourner des avoirs,
des stocks ou dautres actifs appartenant lorganisation. (Arens, Elder &
Beasley)

Comit daudit
Comit manant du conseil dadministration dont le rle consiste habituellement
suivre le rapportage financier et les processus mis en uvre par lorganisme

68
pour grer les risques oprationnels et financiers et pour assurer la conformit
avec les exigences lgales, thiques et rglementaires importantes en vigueur.
Quelques-unes des missions typiques attribues au comit daudit consistent
assister le Conseil dadministration dans la supervision (a) de lintgrit des
tats financiers publis par lorganisation, (b) de la conformit de lorganisation
aux exigences lgales et rglementaires, (c) des comptences et de lindpen-
dance des auditeurs externes, (d) de la performance de la fonction daudit
interne de lorganisation et de celle des auditeurs externes et (e) de la rmun-
ration des cadres (en labsence dun comit de rmunration remuneration
committee).

Composante du contrle interne


Un des cinq lments du contrle interne. Les composantes du contrle interne
sont lenvironnement de contrle interne, lvaluation des risques, les activits
de contrle, linformation et la communication, et le pilotage. (COSO 1992)

Conception
1. Intention. Lorsque ce mot est utilis dans la dfinition du contrle interne, il
signifie que le systme de contrle interne a t conu pour fournir une
assurance raisonnable quant la ralisation des objectifs; lorsque cette intention
est ralise, il est possible de conclure lefficacit du systme.
2. La faon dont le systme devrait fonctionner, par opposition la faon dont
il fonctionne dans la ralit. (COSO 1992)

Conformit
Le respect des lois et de la rglementation auxquelles lentreprise est soumise.
(COSO 1992)

Contrle
1. Employ en tant que sujet dune phrase, ex.: existence dun contrle: une
politique ou une procdure qui fait partie du contrle interne. Un contrle peut
exister au sein de nimporte laquelle des cinq composantes. 2. Employ en tant
quobjet dune phrase, ex.: assurer le contrle: le rsultat de lapplication des
politiques et procdures destines assurer le contrle; ce rsultat peut se
traduire ou ne pas se traduire par un contrle interne efficace. 3. Employ en
tant que verbe dans une phrase, ex.: contrler: rgler; crer ou mettre en uvre
une politique ayant trait au contrle. (COSO 1992)
Toute mesure prise par le management, le Conseil et dautres parties afin de
grer les risques et daccrotre la probabilit que les buts et objectifs fixs seront
atteints. Les managers planifient, organisent et dirigent la mise en uvre de
mesures suffisantes pour donner une assurance raisonnable que les buts et objec-
tifs seront atteints. (IIA IFACI) (Voir aussi Audit)

Contrle des fins de dtection


Contrle destin mettre en vidence un vnement ou un rsultat non voulu
( comparer au contrle prventif). (COSO 1992)

69
Contrle budgtaire
Contrle par lequel une autorit, qui a accord un budget une entit, sassure
que ce budget a t excut conformment aux prvisions, aux autorisations et
aux rglements. (Glossaire)

Contrle daccs
En matire de technologies de linformation, contrles conus pour protger les
ressources informatiques contre toute modification, perte ou divulgation non
autorise.

Contrle de la continuit du service


Ce type de contrle consiste garantir quen cas de survenance dun vnement
inattendu, les oprations fondamentales se poursuivront sans interruption ou repren-
dront promptement, et que les donnes critiques et vulnrables sont protges.

Contrle interne
Le contrle interne est un processus intgr mis en uvre par les responsables
et le personnel dune organisation et destin traiter les risques et fournir une
assurance raisonnable quant la ralisation, dans le cadre de la mission de
lorganisation, des objectifs gnraux suivants: excution doprations ordon-
nes, thiques, conomiques, efficientes et efficaces, respect des obligations de
rendre compte, conformit aux lois et rglementations en vigueur et protection
des ressources contre les pertes, les mauvais usages et les dommages.

Contrle prventif (Contrle orient vers la prvention)


Contrle destin prvenir un vnement ou un rsultat non voulu (par opposi-
tion Contrle des fins de dtection). (COSO 1992)

Contrles applicatifs
Structure, politiques et procdures portant sur des systmes dapplications
individuels distincts et conues pour contrler le traitement des donnes dans le
cadre dapplications informatiques spcifiques.
Procdures programmes dans les logiciels dapplication, ainsi que les proc-
dures manuelles et associes, qui contribuent garantir lexhaustivit et lexac-
titude des oprations de traitement des donnes. On peut citer comme exemples
les bordereaux de contrle de saisie dits par le systme, les contrles de la
squence numrique et les procdures manuelles de suivi des lments figurant
dans des tats danomalies. (COSO 1992)

Contrles dits par le systme


Contrles automatiss intgrs aux phases initiales du processus de saisie pour
dtecter les entres errones. Par exemple, un contrle de ce type peut rejeter les
caractres alphanumriques introduits dans des champs numriques. Les
contrles dits programms sont aussi applicables, par exemple, lorsque des
donnes relatives des transactions sont intgres dans le cycle de traitement et
quelles proviennent dune autre application.

70
Contrles globaux
Les contrles globaux sont constitus par la structure, les politiques et les
procdures applicables lensemble des systmes dinformation dune organisa-
tion ou un segment important de ceux-ci, et qui contribuent assurer leur
fonctionnement correct. Ils crent lenvironnement dans lequel les systmes
dapplication et les contrles fonctionnent.
Politiques et procdures qui contribuent assurer le fonctionnement correct et
continu des systmes informatiques. Ces contrles peuvent porter sur la gestion
des technologies de linformation, linfrastructure des systmes dinformation,
la gestion de la scurit ou encore sur lacquisition, le dveloppement et la
maintenance des logiciels. Les contrles globaux servent de support au
fonctionnement des contrles applicatifs automatiss. Les expressions contr-
les globaux informatiss et contrles de la technologie de linformation sont
parfois utilses pour voquer les contrles globaux. (COSO ERM)

Contrles informatiques
1. Contrles raliss par le systme informatique, savoir les contrles
programms dans le logiciel informatique (par opposition aux contrles
manuels).
2. Contrles sur le traitement informatique des donnes, comprenant la fois
les contrles globaux et les contrles applicatifs (tant programms que
manuels). (COSO 1992)

Contrles manuels
Contrles raliss manuellement et non par le systme informatique (par
opposition aux contrles informatiques). (COSO 1992)

Contrles des systmes dexploitation


Contrles de lensemble des programmes informatiques et des sous-programmes
y affrents, destins faire fonctionner et contrler les activits de traitement de
lquipement informatique.

Corps lgisltaif
Assemble qui a le pouvoir de lgifrer; le Parlement, par exemple. (Normes de
contrle de lINTOSAI)

Corruption
Toute forme dutilisation non thique de lautorit publique pour sassurer un
avantage personnel ou priv (XVIe INCOSAI, Uruguay, 1998).
Dtournement des fins prives du pouvoir confi. (Transparency International)

COSO (Committee of Sponsoring Organizations of the Treadway Commis-


sion)
Comit des organisations parrainantes de la Commission Treadway, qui
regroupe plusieurs organisations comptables. Il a publi en 1992 une tude
importante consacre au contrle interne intitule Internal Control Integrated

71
Framework (Systme intgr de contrle interne). Ltude est souvent appele
COSO Report ou rapport COSO.

Cycle dvaluation des risques


Un processus itratif et continu destin identifier et analyser les changements
dans les conditions, les opportunits et les risques, et prendre des mesures
correctrices ncessaires, particulirement en adaptant le contrle interne aux
modifications survenues dans les risques. Les profils de risques et les contrles
y affrents doivent tre rviss et rexamins rgulirement pour sassurer que
le profil de risque reste pertinent, que les rponses aux risques restent adquate-
ment cibles et proportionnes, et que les contrles qui visent attnuer les
risques restent efficaces quand les risques eux-mmes voluent dans le temps.

Diagramme de circulation (flowchart ou flow-charting)


Diagramme illustrant un flux de procdures, dinformations et de documents.
Cette technique permet de dcrire de manire synthtique des circuits ou des
procdures complexes. (Glossaire)
Reprsentation sous forme de diagramme des documents et pices justificati-
ves du client et de lordre dans lequel ils sont traits. (Arens, Elder & Beasley)

Direction (Management)
Comprend les cadres et autres personnes qui assument des fonctions de direction
suprieures. La direction ne comprend les directeurs et le comit daudit que
dans les cas o ils remplissent de telles fonctions. (IFAC)

Documentation
La documentation du dispositif de contrle interne est la preuve matrielle et
crite des composantes du processus de contrle interne, incluant la description
de la structure et des politiques dune organisation, dtaillant ses catgories
oprationnelles, et spcifiant ses objectifs ainsi que ses activits de contrle. Ces
donnes doivent figurer dans des documents tels que des directives de la
direction, des rglements administratifs, des manuels de procdures et des
manuels comptables.

Donnes
Faits et lments dinformation susceptibles dtre communiqus et traits.

Economie
Minimiser le cot des ressources utilises pour une activit donne tout en
veillant la qualit des rsultats. (Normes de contrle de lINTOSAI).

72
Acquisition de ressources financires, humaines et matrielles appropries,
tant sur le plan de la qualit que sur celui de la quantit, aux moments opportuns
et au moindre cot. (Glossaire)

Economique
Ni inutile ni dispendieux, cela implique dacqurir le nombre juste de ressources, de
qualit approprie, fournies au bon moment et au bon endroit et au moindre cot.

Efficace
Se rapporte la ralisation des objectifs ou la mesure dans laquelle les
rsultats dune activit correspondent son objectif ou aux effets escompts de
cette activit.

Efficacit
Mesure dans laquelle les objectifs ont t atteints et rapport entre les effets
escompts et les effets rels dune activit donne. (normes de contrle de
lINTOSAI)
Mesure dans laquelle les objectifs sont atteints, selon un rapport cot/bnfice
favorable (Glossaire)

Efficience
Rapport entre la production de biens, de services ou dautres rsultats, et les
ressources utilises pour les produire. (Normes de contrle de lINTOSAI)
Utilisation des ressources financires, humaines et matrielles de faon
atteindre la maximalisation des extrants pour un niveau donn de ressources ou
la minimisation des intrants pour une quantit et une qualit donnes dextrants.
(Glossaire)

Efficient
Se rfre la relation entre les ressources utilises et les extrants produits pour
atteindre les objectifs fixs et implique la minimisation des intrants employs
pour atteindre une quantit et une qualit donnes dextrants ou une maximali-
sation des extrants avec une quantit et une qualit donnes dintrants.

Entit (ou Organisation ou Organisme)


Toute organisation cre pour un besoin spcifique, quelle que soit sa taille. Une
entit peut tre, par exemple, une entreprise commerciale, une association sans
but lucratif, un ministre ou un tablissement denseignement. Les autres termes
utiliss en tant que synonymes sont organisation, organisme et dparte-
ment. (adapt de COSO 1992)

Environnement de contrle
Lenvironnement de contrle rflte la culture dune organisation puisquil
dtermine le niveau de sensibilisation de son personnel au besoin de contrle. Il
constitue le fondement de toutes les autres composantes du contrle interne, en
fournissant une discipline et une structure.

73
Ethique
Se rapporte aux principes moraux.

Evaluation des risques


Lvaluation des risques est le processus consistant identifier et analyser
les risques lis la ralisation des objectifs de lentit et dterminer les actions
correctives appropries. (Risk assessment)
Se rapporte lestimation de limportance dun risque et de sa probabilit de
survenance. (Risk evaluation)

Extrant (output)
En technologie de linformation, dsigne les donnes/informations produites
lissue dun traitement sur ordinateur. Un affichage graphique sur un terminal
ou une copie papier sont des extrants.

Faiblesse
Dfaillance perue, potentielle ou relle du contrle interne ou un domaine dans
lequel le contrle interne pourrait tre renforc afin daccrotre les possibilits
de ralisation des objectifs de lentit. (COSO 1992)

Fraude
Interaction illgale entre deux entits, par laquelle lune des parties trompe
intentionnellement lautre par le biais dune fausse reprsentation dans le but
dobtenir un avantage illicite et injustifi. Elle inclut des actes de tromperie, de
supercherie, de dissimulation ou dabus de confiance accomplis pour obtenir un
avantage injuste ou malhonnte. (XVIe INCOSAI, Uruguay, 1998)

Incertitude
Impossibilit de connatre lavance la probabilit ou lincidence exactes
dvnements futurs. (COSO ERM)

Indpendance
Libert dagir sans aucune interfrence externe, confre une institution de
contrle et ses contrleurs, en conformit avec un mandat de contrle.
(Glossaire)
Libert dont dispose lISC pour sacquitter de son mandat de contrle sans
tre soumise des pressions daucune sorte. (Normes de contrle de
lINTOSAI)
Le fait de ntre expos aucune situation susceptible daltrer lobjectivit,
en ralit ou en apparence. Cette situation doit tre gre au niveau de lauditeur

74
individuel et de la mission, ainsi quau niveau de la fonction et de lorganisa-
tion. (IIA IFACI)
Capacit de lauditeur maintenir un point de vue impartial dans lexercice de
ses fonctions (indpendance de fait). (Arens, Elder & Beasley)
Capacit de lauditeur maintenir un point de vue impartial aux yeux dautrui
(indpendance dapparence). (Arens, Elder & Beasley)

Informatique de lutilisateur final (End user computing)


Se rfre lutilisation dun traitement de donnes non centralis (cest--dire
ne relevant pas du dpartement technologies de linformation) et appli-
quant des procdures automatises dveloppes par des utilisateurs finaux,
gnralement laide de progiciels (par exemple, tableur et banque de
donnes). Les processus dvelopps et exploits par les utilisateurs finaux
peuvent tre complexes et devenir une source extrmement importante
dinformations pour la direction. Il nest pas sr quils soient tests et docu-
ments comme il se doit.

Institut des Auditeurs Internes (IAI)


LIAI est une organisation qui tablit des normes dthique et de pratique,
organise des formations et encourage le professionnalisme de ses membres.

Institution de contrle
Entit publique qui, quelle que soit la forme sous laquelle elle est dsigne,
constitue ou organise, exerce, conformment la loi, les fonctions de contrle
externe. (Glossaire)

Institution suprieure de contrle des finances publiques (ISC)


Organisme public qui, quelles que soient les dispositions qui rgissent sa
cration, son organisation et la dsignation de ses membres, remplit un mandat
officiel de contrle au plus haut niveau de lEtat considr. (Normes de contrle
de lINTOSAI)
Organe officiel dun Etat qui, quel que soit son mode de dsignation, de
constitution ou dorganisation, exerce, en vertu de la loi, la plus haute fonction
de contrle des finances publiques de cet Etat. (IFAC)

Intgrit
Etat dune personne qui est de bonne moralit; lhonntet, lincorruptibilit et
la probit; le souhait de bien faire, dexprimer et de respecter un ensemble de
valeurs et dattentes. (COSO 1992)

Intervention de la direction
Les actions de la direction pour annuler ou droger des politiques ou des
procdures prescrites, pour des raisons lgitimes; lintervention de la direction
est gnralement ncessaire dans le cas de transactions ou dvnements non
rcurrents ou inhabituels, qui seraient traits de faon inapproprie par le
systme (par opposition outrepasser). (COSO 1992)

75
INTOSAI
Voir Organisation Internationale des Institutions Suprieures de Contrle.

Intrant (input)
Voir saisie

Limites inhrentes
Les limites qui sont inhrentes tout systme de contrle interne. Ces limita-
tions rsultent de limperfection du jugement humain, des contraintes en matire
de ressources qui rendent ncessaire une tude du ratio cot/bnfice lorsque la
mise en place dun contrle est envisag, de limpossibilit denrayer totalement
tout risque de dysfonction, et de la possibilit qui existe pour la direction
doutrepasser des contrles ou pour toute personne dagir en collusion avec une
autre. (COSO 1992)

Objectivit
Attitude intellectuelle impartiale qui permet une indpendance desprit et de
jugement et implique que les ISC et les auditeurs internes et externes ne subor-
donnent pas leur propre jugement celui dautres personnes. Leurs apprcia-
tions doivent tre fondes sur les faits ou preuves indiscutables et sappuyer sur
des travaux incontestables exempts de tout prjug. (IIA IFACI)

Obligation de rendre compte


Processus par lequel les organismes des services publics et les personnes qui
les composent doivent rpondre de leurs dcisions et actions, notamment de leur
gestion des fonds publics et de tous les aspects lis la performance.
Obligation impose une personne ou une entit contrle de dmontrer
quelle a gr ou contrl les fonds qui lui ont t confis conformment aux
conditions dans lesquelles les fonds lui ont t fournis. (Glossaire)
Obligation des personnes ou des units y compris des entreprises
publiques grant ou utilisant des fonds publics, dassumer la responsabilit de
lutilisation de ces fonds, au niveau de lexcution du budget, de la gestion et de
la mise en oeuvre des programmes, et den rendre compte ceux qui leur ont
confi ces missions. (Normes de contrle de lINTOSAI)

Oprations (ou activits)


Lorsque ce mot est employ avec objectifs ou contrles, il se rapporte
lefficacit et lefficience des activits dune organisation, y compris en termes
dobjectifs de performances et de rentabilit, et de la protection des ressources.
(COSO 1992)

76
De manire gnrale, dsigne les fonctions, processus et activits qui permet-
tent la ralisation des objectifs dune organisation.

Optimisation des ressources


Voir Economie, Efficacit et Efficience.

Ordinateur central (ou macro-ordinateur, ou serveur)


Ordinateur de haut niveau conu pour lexcution des tches informatiques
les plus pousses. Les ordinateurs centraux sont souvent utiliss par des
utilisateurs multiples qui y sont connects par lintermdiaire de terminaux.

Ordonn
Dune manire bien organise ou mthodique.

Organisation internationale des institutions suprieures de contrle des


finances publiques (INTOSAI)
Organisation internationale indpendante dont lobjectif est de promouvoir
lchange entre institutions suprieures de contrle dides et dexpriences
dans le domaine des finances publiques. (Normes de contrle de lINTOSAI)

Outrepasser
Les actions des dirigeants pour annuler ou droger des politiques ou
des procdures prescrites, des fins illgitimes, dans le but soit den tirer profit
personnellement soit damliorer la prsentation de la situation financire de
lorganisation ou de dissimuler la non-conformit la lgislation ou la
rglementation (par opposition intervention de la direction). (COSO 1992)

Parties prenantes (stakeholders)


Parties touches par les activits dune entit, tels que les actionnaires, les
collectivits au sein desquelles lentit opre intervient, les employs, les clients
et les fournisseurs. (COSO ERM)

Pilotage (ou suivi ou monitoring)


Le pilotage est une composante du contrle interne et constitue le processus qui
value la qualit du fonctionnement du systme de contrle interne dans le
temps.

Politique
Directives mises par la direction sur ce qui doit tre fait pour mettre en oeuvre
le contrle. Une politique sert de base aux procdures permettant la mise en
oeuvre du contrle. (COSO 1992)

Procdure
Une action qui met en uvre une politique. (COSO 1992)

77
Processus de gestion
Lensemble dactions entreprises par la direction pour grer lorganisation. Le systme
de contrle interne fait partie du processus de gestion et y est intgr. (COSO 1992)

Profil de risque
Une vue densemble ou la matrice des risques majeurs auxquels une organisa-
tion ou un service est confront qui inclut le degr dimpact (ex.: haut, moyen,
bas) et la probabilit de survenance de lvnement.

Programme de scurit
Programme destin planifier et grer la scurit pour lensemble de
lorganisation; il constitue le fondement de la structure de contrle de la scurit de
lorganisation et traduit lengagement des hauts responsables au regard de la ma-
trise des risques susceptibles daffecter la scurit. Le programme doit prvoir un
cadre et un cycle continu dactivits pour valuer les risques, laborer et mettre en
oeuvre des procdures de scurit efficaces, et suivre lefficacit de ces procdures.

Rseau
En technologie de linformation, dsigne un groupe dordinateurs et dappareils
complmentaires relis entre eux par des installations de communication. Un rseau
peut tre constitu grce des connections permanentes, telles que des cbles, ou
laide de connections temporaires ralises par tlphone ou dautres moyens de
communication. Un rseau peut tre peu tendu il sagira alors dun rseau local
compos dun petit nombre dordinateurs, dimprimantes et dautres appareils
comme il peut tre compos de nombreux ordinateurs, de tailles diverses, et rpartis
sur une grande tendue gographique.

Risque
La possibilit quun vnement survienne et affecte ngativement la ralisation
des objectifs. (COSO ERM)

Risque inhrent
Le risque encouru par une organisation en labsence de toute action que la
direction pourrait prendre pour rduire la probabilit de survenance du risque ou
son impact. (COSO ERM)

Risque rsiduel
Le risque qui reste aprs que le management ait pris des mesures pour rpondre
au risque.

Saisie (Intrant, Input)


Toute entre de donnes ou le processus dentre de donnes dans un ordinateur.

78
Secteur public
Dsigne la fois les administrations nationales, rgionales (ex: Etat, adminis-
trations provinciales, collectivits territoriales), locales (ex: ville, agglomra-
tion), et les autres organismes assimils (ex: agences publiques, organismes
publics, parastataux, services municipaux, commissions et entreprises). (IFAC)

Sparation des fonctions


Pour rduire le risque derreur, de gaspillage ou dactes illicites ainsi que le
risque de ne pas dtecter de tels problmes, aucun individu ou quipe ne doit
pouvoir contrler lensemble des tapes essentielles (autorisation, traitement,
enregistrement, vrification) dune transaction ou dun vnement.

Service daudit interne


Service (ou activit) au sein dune entit, charg par sa direction deffectuer
des contrles et dvaluer les systmes et les procdures de lentit afin de
minimiser les probabilits de fraudes, derreurs ou de pratiques inefficaces.
Laudit interne doit tre indpendant au sein de lorganisation et rendre compte
directement la direction. (Glossaire)
Service, division, quipe de consultants ou tout autre praticien qui fournit une
activit indpendante et objective qui donne une organisation une assurance sur le
degr de matrise de ses oprations, lui apporte ses conseils pour les amliorer, et
contribue crer de la valeur ajoute. Lactivit daudit interne aide cette organisation
atteindre ses objectifs en valuant, par une approche systmatique et mthodique,
ses processus de management des risques, de contrle, et de gouvernement dentre-
prise, et en faisant des propositions pour renforcer leur efficacit. (IIA IFACI)

Systme (Processus ou Architecture) de contrle interne


Synonyme de contrle interne, appliqu une entit. (COSO 1992)

Systme dexploitation
Logiciel destin principalement coordonner et contrler le matriel et les
ressources informatiques, laccs aux fichiers et aux documents, et contrler et
synchroniser les applications.

Systmes dinformation informatiss


Lenvironnement dune entit sera caractris par lexistence de systmes
dinformation informatiss (SII) lorsquun ordinateur, quels que soient son type
et sa taille, est impliqu dans le traitement, par cette entit, dinformations
(financires) ayant une incidence sur laudit, que les oprations traites par cet
ordinateur soient effectues en interne ou excutes par un tiers. (IFAC)

Tolrance au risque
Se rapporte au degr de volatilit jug acceptable dans la ralisation des objec-
tifs. (COSO ERM)

79
Traitement (processing)
En technologie de linformation, dsigne lexcution dinstructions program-
mes par lunit centrale de traitement par ordinateur.

Valeurs thiques
Valeurs qui permettent au dcisionnaire de dterminer le comportement le plus
appropri; ces valeurs sont fondes sur ce qui est bien et ne se limitent pas
ce qui est admissible sur le plan lgal. (COSO 1992)

*
Lusage veut que lon prcise les rfrences compltes de chacun des ouvrages cits
dans une bibliographie. Sagit-il du document prsent sur internet la page
http://www.transparency.org/sourcebook/? Si oui, lauteur est Jeremy Pope, le titre
complet: TI Source Book 2000 Confronting Corruption:The Elements of a National
Integrity System et lditeur: Transparency International Berlin. Il en a t driv une
version en franais, plus spcifiquement focalise sur les enjeux de la lutte contre la
corruption en Afrique: Combattre la Corruption Enjeux et persectives (Adapt du
TI Source Book 2000, par les partenaires de Transparency International en Afrique),
Paris: Karthala, 2002 (source: recherche sur Google ce 17/06/2004; les premiers rsul-
tats convergent tous vers ce site).

80