7

CHAPITRE
Le contrôle interne
section 1
section 2
Objectifs du contrôle interne
Cadres conceptuels de contrôle interne
section 3 Contrôle interne, systèmes d’information
et contrôle de qualité de l’entreprise
section 4 Appréciation du contrôle interne
applications

Si une comptabilité doit être mise en place et si des procédures doivent être initiées, il est
nécessaire que cette organisation et ces procédures permettent à la comptabilité de fournir
des informations fiables. Le contrôle interne est l’un des moyens d’atteindre cette fiabilité.
Les définitions du contrôle interne sont nombreuses et ont eu le plus souvent comme
auteurs des organisations professionnelles de comptables. Il en est ainsi notamment de la
définition déjà donnée en 1977 par le Conseil de l’ordre des experts-comptables qui avait
consacré son congrès annuel au contrôle interne.
Dans toutes les définitions présentées depuis, le contrôle interne apparaît comme un état de
fait existant dans l’entreprise mais qui doit, par l’intervention humaine, devenir délibéré,
c’est-à-dire constituer un système. Le mot « contrôle » utilisé dans l’expression est synonyme
de « maîtrise » (comme dans l’expression « self-control ») et non de « vérification ».
Nous reprendrons ici les termes de la définition donnée par « le groupe de place » mis en
place par l’Autorité des marchés financiers (AMF) en vue d’élaborer « un cadre de
référence » du dispositif de contrôle interne qui puisse être utilisé au titre des bonnes
pratiques professionnelles par les entreprises faisant appel public à l’épargne et dont les
présidents du conseil d’administration ou du conseil de surveillance doivent (confor-
mément aux articles L. 225-37 et L. 225-68) « rendre compte dans un rapport des procé-
dures de contrôle interne mises en place par la société. »
Ce cadre de référence, présenté en octobre 2006 (1) est fortement inspiré par le référentiel
américain publié en 1992 et intitulé Internal Control – Integrated Framework, plus connu
sous l’appellation de COSO, acronyme de Committee of Sponsoring Organizations of the
Treadway Commission, du nom du comité concepteur de ce référentiel.

(1) AMF. Le dispositif de contrôle interne : cadre de référence, 65 p. Ce cadre a été élaboré par un groupe de travail dit
« Groupe de place » réuni à l’initiative de l’AMF, d’une vingtaine de membres d’horizons divers et chargés d’élaborer un
référentiel de contrôle interne destiné aux sociétés françaises soumises à la loi du 1er août 2003 sur la sécurité financière. Le
secrétariat de ce groupe a été assumé par l’IFACI, qui avait publié un premier rapport en juin 2006.

509
 7 Le contrôle interne
CHAPITRE

Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité.
Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux
caractéristiques propres de chaque société qui :
– contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de
ses ressources, et
– doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils
soient opérationnels, financiers ou de conformité.
Le dispositif vise plus particulièrement à assurer :
– la conformité aux lois et règlements ;
– l’application des instructions et des orientations fixées par la direction générale ou le directoire ;
– le bon fonctionnement des processus internes de la société, notamment ceux concourant à la
sauvegarde de ses actifs ;
– la fiabilité des informations financières.
Le contrôle interne ne se limite donc pas à un ensemble de procédures ni aux seuls processus comp-
tables et financiers.
Il ne recouvre pas non plus toutes les initiatives prises par les organes dirigeants ou le management
comme la définition de la stratégie de la société, la détermination des objectifs, les décisions de
gestion, le traitement des risques ou le suivi des performances.

On peut voir que le système de contrôle interne d’une entité s’étend au-delà des questions liées
aux fonctions du système comptable et comprend notamment le système d’organisation et les
procédures de contrôle définies par la direction afin d’atteindre les objectifs de l’entité.

section 1
objectifs du contrôle interne
Bien que la loi française ne définisse pas expressément le contrôle interne, celui-ci s’entend
en principe de l’ensemble des politiques et procédures de contrôle mises en œuvre par la
direction d’une entité en vue d’assurer, dans la mesure du possible, la gestion rigoureuse et
efficace de ses activités.
Selon la définition retenue par la CNCC (1), issue des normes internationales d’audit (2), ces
procédures impliquent :

(1) Avis technique portant sur le premier exercice d’application des dispositions du dernier aliéna de l’article L. 225-235 du
Code de commerce – Bull CNCC n° 132.
(2) Pour l’IAASB de l’IFAC (définition proche de celle du COSO) « le contrôle interne » est un processus conçu et mis en
œuvre par les personnes chargées de la gouvernance, de la gestion, ainsi que par tous les membres du personnel, destiné à
fournir une assurance raisonnable de l’accomplissement des objectifs de l’entité en ce qui concerne la fiabilité des
informations financières, la réalisation et l’optimisation des opérations et la conformité aux lois et réglementations en
vigueur. Le contrôle interne comprend les composants suivants :
a) l’environnement de contrôle ;
b) le processus d’évaluation des risques de l’entité ;
c) le système d’information et de communication de l’entité, incluant les procédures de prise de décision et d’établissement
des informations financières ;
d) les activités de contrôle ;
e) la surveillance des systèmes de contrôle.

510
 Le contrôle interne 7
CHAPITRE

– le respect des politiques de gestion ;

– la sauvegarde des actifs ;
– la prévention et la détection des fraudes et erreurs ;
– l’exactitude et l’exhaustivité des enregistrements comptables ;
– l’établissement en temps voulu d’informations comptables et financières fiables.

OBJECTIFS DU CONTRÔLE INTERNE

Contrôle interne

Prévention, Fiabilité
Respect Respect
Sauvegarde détection, des informations
politique des délais
des actifs fraudes comptables
de gestion
et erreurs

Ces procédures s’entendent d’abord de celles qui permettent à la société de produire les
comptes et les informations sur la situation financière et ces comptes. Ces informations
sont celles extraites des comptes annuels ou consolidés ou qui peuvent être rapprochées des
données de base de la comptabilité ayant servi à l’établissement de ces comptes.
Le système de contrôle interne comprend également, au-delà des questions directement
liées au système comptable :
– l’environnement général de contrôle interne, c’est-à-dire l’ensemble des comportements,
degrés de sensibilisation et actions de la direction (y compris le gouvernement d’entre-
prise) concernant le système de contrôle interne et son importance dans l’entité ;
– les procédures de contrôle, qui désignent les politiques et procédures définies par la
direction afin d’atteindre les objectifs spécifiques de l’entité, complémentaires à l’environ-
nement général de contrôle interne.
Il existe d’autres formulations retenues pour définir le contrôle interne qui recouvrent,
quant au fond, sensiblement les mêmes notions et notamment celles du COSO Report (1)
(voir ci-après section 2 § 7).

(1) Selon l’étude approfondie sur le contrôle interne, destinée à devenir approche de référence, publiée en 1992 aux États-
Unis (traduite et publiée en France en 1994), sous le nom de Internal Control Framework, plus connue sous le nom de
COSO Report (Committee of Sponsoring Organizations of the Treadway Commission). Aux États-Unis, le COSO est un
référentiel reconnu par la SEC pour l’application des dispositions du 404 Sarbanes-Oxley. Les principes développés par
l’IAASB de l’IFAC et ceux exposés dans les normes d’exercice professionnel du commissariat aux comptes en France sont très
proches des principes présentés par le COSO.

511
 7 Le contrôle interne
CHAPITRE

Aussi, nous pouvons ainsi classer les objectifs du contrôle interne, à partir des définitions
données dans le cadre de référence de l’AMF, par le CNCC, l’IAASB et le COSO en quatre
catégories : sauvegarde des actifs, optimisation des ressources, respect des directives,
fiabilité des informations.

1. Sauvegarde des actifs

L’ensemble des processus opérationnels, industriels, commerciaux et financiers sont concernés.
Le bon fonctionnement des processus exige que des normes ou principes de fonction-
nement aient été établis et que des indicateurs de performance et de rentabilité aient été mis
en place.
Toutes les dispositions prises dans la gestion courante des affaires doivent permettre de
sauvegarder au mieux « les actifs » confiés à chacun dans le cadre des responsabilités qui lui
sont assignées. Ce terme « actifs » doit être compris dans son sens le plus large : non
seulement les différents postes du bilan, mais également les hommes et l’image de l’organi-
sation toute entière.
Ces actifs peuvent disparaître à la suite de vols, fraudes, improductivité, erreurs, ou résulter
d’une mauvaise décision de gestion ou d’une faiblesse de contrôle interne. Les processus y
afférents devraient faire l’objet d’une attention toute particulière.
Il en va de même des processus qui sont relatifs à l’élaboration et au traitement de l’infor-
mation comptable et financière. Ces processus comprennent non seulement ceux qui
traitent directement de la production des états financiers mais aussi les processus opéra-
tionnels qui génèrent des données comptables.

2. Optimisation des ressources

Énoncer cet objectif, c’est montrer que le contrôle interne ne doit pas se mettre en place dans
la seule perspective du respect d’une norme. Il doit aller au-delà de la norme et chacun doit
viser l’efficacité. Pour ce faire, on fixe comme objectif l’ambition d’une gestion optimale.

3. Respect des directives

On entend par là le respect des règles aussi bien internes qu’externes. Cet objectif est le
rappel de cette règle essentielle que le contrôle interne ne peut être un moyen de tourner la
loi ou les règlements. Les membres du COSO ont particulièrement insisté sur cet aspect en
rappelant qu’on ne peut à la fois tricher avec les règlements et gérer ses affaires en
minimisant ses risques, c’est-à-dire en ayant un contrôle interne satisfaisant.
Les lois et les règlements en vigueur fixent des normes de comportement que la société
intègre à ses objectifs de conformité. Compte tenu du grand nombre de domaines existants
(droit des sociétés, droit commercial, sécurité, environnement, social, etc.), il est nécessaire
que la société dispose d’une organisation lui permettant de :
– connaître les diverses règles qui lui sont applicables ;
– être en mesure d’être informée en temps utile des modifications qui leur sont apportées
(veille juridique) ;
– transcrire ces règles dans ses procédures internes ;
– informer et former les collaborateurs sur les règles qui les concernent.

512
 Le contrôle interne 7
CHAPITRE

Les instructions et orientations de la direction générale ou du directoire permettent aux colla-

borateurs de comprendre ce qui est attendu d’eux et de connaître l’étendue de leur liberté
d’action. Ces instructions et orientations doivent être communiquées aux collaborateurs
concernés, en fonction des objectifs assignés à chacun d’entre eux, afin de fournir des orienta-
tions sur la façon dont les activités devraient être menées. Ces instructions et orientations
doivent être établies en fonction des objectifs poursuivis par la société et des risques encourus.

4. Fiabilité des informations

Chacun doit veiller à n’éditer que des informations fiables, donc vérifiables. On retrouve ici
le souci des responsables financiers quant à la maîtrise des informations financières. Mais le
précepte est plus général puisqu’il englobe aussi bien les informations externes qu’internes.
On n’imagine pas une maîtrise convenable des activités si les informations divulguées par
chacun sont susceptibles d’être contestées et ne reposent pas sur des certitudes.

La fiabilité d’une information financière ne peut s’obtenir que grâce à la mise en place de procé-
dures de contrôle interne susceptibles de saisir fidèlement toutes les opérations que l’organisation
réalise. La qualité de ce dispositif de contrôle interne peut-être recherchée au moyen :
– d’une séparation des tâches qui permet de bien distinguer les tâches d’enregistrement, les tâches
opérationnelles et les tâches de conservation ;
– d’une description des fonctions devant permettre d’identifier les origines des informations
produites, et leurs destinataires ;
– d’un système de contrôle interne comptable permettant de s’assurer que les opérations sont effec-
tuées conformément aux instructions générales et spécifiques, et qu’elles sont comptabilisées de
manière à produire une information financière conforme aux principes comptables généralement
admis.

Ainsi, il est nécessaire que l’organisation comptable puisse assurer la fiabilité des enregistre-
ments et des comptes qui en découlent. Ces enregistrements sont le plus souvent effectués à
intérieur d’un certain nombre de cycles : achats-fournisseurs, ventes-clients, stocks, paie-
personnel, immobilisations, trésorerie. Pour une sécurité du fonctionnement des systèmes, il est
souhaitable qu’un certain nombre de conditions soient respectées pour chacun de ces cycles (1).

Le système du contrôle interne de la fonction Achats fournisseurs doit permettre de

s’assurer que :
• tous les achats (matières et services) de l’entreprise sont correctement autorisés et
comptabilisés ;
• les achats comptabilisés correspondent à des dépenses réelles de l’entreprise ;
Achats-fournisseurs • ces dépenses sont faites dans l’intérêt de l’entreprise et conformément à son objet ;
• tous les avoirs à obtenir sont enregistrés ;
• toutes les dettes concernant les marchandises et services reçus sont enregistrés
dans la bonne période ;
• les engagements pris par l’entreprise et devant figurer dans l’annexe sont correc-
tement repris.

(1) Selon l’Encyclopédie des contrôles comptables de la Compagnie nationale des commissaires aux comptes.

513
 7 Le contrôle interne
CHAPITRE

Le système de contrôle interne de la fonction Ventes clients doit permettre de

s’assurer que :
• tous les produits expédiés et services rendus sont facturés et enregistrées sur la
Ventes-clients bonne période ;
• les prix pratiqués (brut, remises, ristournes...) sont dûment autorisés ;
• les créances sont recouvrées avec célérité ;
• tous les risques de pertes sur vente sont provisionnés.

Le système de contrôle interne des stocks doit permettre de s’assurer que :

tous les stocks de l’entreprise sont comptabilisés ;
Stocks • ces stocks sont correctement évalués (valeur brute et valeur nette) ;
• ces stocks sont correctement protégés ;
• les engagements hors bilan concernant les stocks sont correctement saisis.

Le système de contrôle interne de la fonction Paie personnel doit permettre de

s’assurer que :
• les personnes figurant sur le livre de paie ont bien droit à leur rémunération ;
Paie-personnel • les rémunérations sont correctement calculées ;
• le paiement des rémunérations se fait avec une sécurité suffisante ;
• toutes les charges relatives au personnel sont correctement comptabilisées ;
• les dispositions légales en matière de personnel sont respectées.

Le système de contrôle interne des immobilisations doit permettre de s’assurer que :

• toutes les immobilisations sont correctement autorisées et comptabilisées ;
• toutes les immobilisations sont correctement évaluées (valeur brute et valeur
Immobilisations nette) ;
• la protection des actifs est assurée ;
• les engagements hors bilan concernant les immobilisations sont correctement
saisis.

section 2
cadres conceptuels de contrôle interne
1. Principes généraux du contrôle interne
Le contrôle interne repose sur certaines règles de conduite ou de préceptes dont le respect
lui conférera une qualité satisfaisante.
Les principes sur lesquels s’appuie le contrôle ont été définis il y a très longtemps par le
congrès de l’OEC de 1977. Ce sont : l’organisation, l’intégration, la permanence, l’univer-
salité, l’indépendance, l’information, l’harmonie. Ces principes ont notamment été repris
par le cadre de référence de l’AMF.
1.1 Le principe d’organisation
Pour que le contrôle interne soit satisfaisant, il est essentiel que l’organisation de l’entre-
prise possède certaines caractéristiques. L’organisation doit être :
– préalable ;
– adaptée et adaptable ;

514
 Le contrôle interne 7
CHAPITRE

– vérifiable ;
– formalisée ;
et doit comporter une séparation convenable des fonctions.
L’organisation doit être établie sous la responsabilité du chef d’entreprise. Cette responsa-
bilité consiste à fixer les objectifs, définir les responsabilités des hommes (organigramme),
déterminer le choix et l’étendue des moyens à mettre en œuvre.
La diffusion par écrit des instructions est indispensable dans une grande entreprise. Elle est
également préférable dans les entreprises de dimensions plus modestes, afin d’éviter les
erreurs d’interprétation.

– La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité de
l’entreprise un même agent cumule :
– les fonctions de décisions (ou opérationnelles) ;
– les fonctions de détention matérielle des valeurs et des biens ;
– les fonctions d’enregistrement (saisie et traitement de l’information) ;
– les fonctions de contrôle ;
– ou même simplement deux d’entre elles.

En effet, un tel cumul favorise les erreurs, les négligences, les fraudes et leur dissimulation.

EXEMPLE
Dans un processus achat, interviennent différents acteurs :
– l’initiateur, c’est-à-dire le responsable du service opérationnel qui établit une demande d’achat ;
– le service des achats, qui reçoit la demande, sélectionne le fournisseur et établit le bon de
commande ;
– le responsable, qui approuve la commande ;
– le magasinier, qui réceptionne la marchandise achetée, la stocke et la met à disposition du service
opérationnel ;
– le service comptable, qui enregistre la facture ;
– le trésorier (ou une autre personne désignée) qui signe le chèque en règlement de la facture.
Si une même personne cumule l’initiation et l’autorisation d’achat, l’entreprise court le risque de
commander une marchandise non nécessaire aux besoins de l’exploitation ; de même, si une même
personne procède à l’achat et comptabilise la facture, le risque auquel est exposée l’entreprise est que
l’enregistrement ne reflète pas la réalité de l’opération ; enfin, un trésorier qui aurait accès à l’enregis-
trement comptable de transactions d’achat pourrait enregistrer une facture fictive, procéder à son
paiement et encaisser la somme correspondante.

1.2 Le principe d’intégration

Les procédures mises en place doivent permettre le fonctionnement d’un système d’autocontrôle mis
en œuvre par des recoupements, des contrôles réciproques ou des moyens techniques appropriés.

Les recoupements permettent de s’assurer de la fiabilité de la production ou du suivi d’une

information au moyen de renseignements émanant de sources différentes ou d’éléments

515
 7 Le contrôle interne
CHAPITRE

identiques traités par des voies différentes (concordance d’un compte collectif avec la
somme des comptes individuels).
Les contrôles réciproques consistent dans le traitement subséquent ou simultané d’une
information selon la même procédure, mais par un agent différent, de façon à vérifier
l’identité des résultats obtenus (total des relevés de chèques reçus et total des bordereaux de
remises en banques).
Les moyens techniques recouvrent l’ensemble des procédés qui évitent, corrigent ou réduisent,
autant que faire se peut, l’intervention humaine et par voie de conséquence les erreurs, les
négligences et les fraudes (traitements automatiques informatisés, clefs de contrôle).
1.3 Le principe de permanence
La mise en place de l’organisation de l’entreprise et de son système de régulation – le contrôle
interne – suppose une certaine pérennité de ces systèmes.

Il est clair que cette pérennité repose nécessairement sur celle de l’exploitation.
1.4 Le principe d’universalité
Le principe d’universalité signifie que le contrôle interne concerne toutes les personnes dans
l’entreprise, en tout temps et en tout lieu.

C’est-à-dire qu’il ne doit pas y avoir de personnes exclues du contrôle par privilège, ni de
domaines réservés ou d’établissements mis en dehors du contrôle interne.
1.5 Le principe d’indépendance
Le principe d’indépendance implique que les objectifs du contrôle interne sont à atteindre indépen-
damment des méthodes, procédés et moyens de l’entreprise.

En particulier, l’auditeur doit vérifier que l’informatique n’élimine pas certains contrôles
intermédiaires.
1.6 Le principe d’information
L’information doit répondre à certains critères tels que la pertinence, l’utilité, l’objectivité, la
communicabilité et la vérifiabilité.

Il est dit dans le cadre conceptuel de l’IASB (§ 24) pour que l’information contenue dans les
états financiers soit utile pour les lecteurs, quatre caractéristiques qualitatives sont
nécessaires : l’intelligibilité, la pertinence, la fiabilité et la comparabilité.
1.7 Le principe d’harmonie
On entend par principe d’harmonie, l’adéquation du contrôle interne aux caractéristiques de
l’entreprise et de son environnement.

C’est un simple principe de bon sens qui exige que le contrôle interne soit bien adapté au
fonctionnement de l’entreprise.

516
 Le contrôle interne 7
CHAPITRE

En particulier, dans la petite entreprise, le contrôle interne connaît des limites inhérentes à
la dimension, notamment pour ce qui concerne la mise en œuvre généralisée du principe de
séparation des fonctions. Mais il ne faut pas ignorer que cette lacune se trouve en partie
compensée par la connaissance des hommes et des activités possédée par le chef d’entreprise
qui est un des éléments essentiels du contrôle interne.

2. Environnement général et procédures de contrôle interne

L’évaluation du contrôle interne d’une entité ne doit donc pas se limiter à l’examen des
procédures de contrôle, il doit aussi prendre en compte l’environnement général de
l’organisation.
2.1 L’environnement général du contrôle interne
L’environnement général du contrôle interne est l’ensemble des comportements, degrés de sensibi-
lisation et actions de la direction concernant le système de contrôle interne dans l’entité. Cet envi-
ronnement a une incidence sur l’efficacité des procédures de contrôle interne spécifiques.

Par exemple, un environnement de contrôle interne organisé comportant des contrôles

budgétaires stricts et une fonction d’audit interne efficiente complète efficacement les
procédures de contrôle interne spécifiques. Toutefois, un environnement de contrôle
interne organisé ne constitue pas, en soi, une garantie d’efficience du contrôle interne. Les
éléments essentiels qui le constituent sont les suivants :
– la philosophie et le style de direction ;
– la fonction du conseil d’administration et des ses comités ;
– la structure de l’entité et les méthodes de délégation de pouvoirs et de responsabilités ;
– le système de contrôle de la direction comprenant la fonction d’audit interne, les
politiques et procédures relatives au personnel ainsi que la répartition des tâches.
2.2 Les procédures de contrôle interne
Les procédures de contrôle interne désignent les politiques et procédures définies par la direction
afin d’atteindre les objectifs spécifiques de l’entité.

Ces procédures comprennent notamment les éléments suivants :

– la mise en œuvre du principe de séparation des fonctions, par exemple :
• double signature sur les comptes bancaires ;

• incompatibilité entre tenue de comptabilité et signature des comptes bancaires ;

• en matière informatique, séparer les fonctions de concepteur et d’utilisateur du système ;

– l’établissement, la revue et l’approbation des rapprochements de comptes : la procédure la

plus connue est celle du rapprochement bancaire (mais on peut aussi rapprocher d’autres
comptes, comme les amortissements, dépréciations, provisions, les dotations et reprises) :
le rapprochement bancaire permet d’effectuer un contrôle des opérations enregistrées
dans le compte « Banque » ;
– le contrôle des applications et de l’environnement informatique, en prévoyant des
contrôles sur les modifications de logiciels ou l’accès aux fichiers de données ;

517
 7 Le contrôle interne
CHAPITRE

– la tenue régulière d’une comptabilité : il y a lieu de s’assurer si les règles juridiques prévues
et relatives à le tenue des comptes sont suivies scrupuleusement ;
– l’approbation et le contrôle des pièces justificatives : ainsi, on vérifiera si les pièces justifi-
catives sont des originaux ou assimilés (pour éviter une double comptabilisation) et s’il ne
manque pas un exemplaire dans une séquence de pièces numérotées ;
– la comparaison des données internes avec des sources externes d’information : par
exemple le relevé de factures du fournisseur et le compte dudit fournisseur ;
– l’inventaire physique des actifs (immobilisation, stock, etc.) et la comparaison avec les
données de la comptabilité ;
– la restriction à l’accès physique aux actifs et documents : système de clés ou d’autorisation
d’accès à des fichiers informatisés ;
– la comparaison et l’analyse des réalisations avec les données budgétaires.

3. Périmètre du contrôle interne

Selon le cadre de référence sur le dispositif de contrôle interne élaboré à la demande de
l’AMF (voir ci-dessus) il appartient à chaque société de mettre en place un dispositif de
contrôle interne adapté à sa situation. Dans le cadre d’un groupe, la société mère veille à
l’existence de dispositifs de contrôle interne au sein de ses filiales. Ces dispositifs devraient
être adaptés à leurs caractéristiques propres et aux relations entre la société mère et les
filiales. Pour les participations significatives, dans lesquelles la société mère exerce une
influence notable, il appartient à cette dernière d’apprécier la possibilité de prendre
connaissance et d’examiner les mesures prises par la participation concernée en matière de
contrôle interne.

4. Composantes du dispositif du contrôle interne

Les grandes orientations en matière de contrôle interne sont déterminées en fonction des
objectifs de la société. Ces objectifs doivent être déclinés au niveau des différentes unités de
l’entité et clairement communiquées aux collaborateurs afin que ces derniers comprennent
et adhèrent à la politique de l’organisation en matière de risques et de contrôle.
Le contrôle interne est d’autant plus pertinent qu’il est fondé sur des règles de conduite et
d’intégrité portées par les organes de gouvernance et communiquées à tous les collabora-
teurs. Il ne saurait en effet se réduire à un dispositif purement formel en marge duquel
pourraient survenir des manquements graves à l’éthique des affaires.
En effet, le dispositif de contrôle interne ne peut empêcher à lui seul que des personnes de
la société commettent une fraude, contreviennent aux dispositions légales ou réglemen-
taires, ou communiquent à l’extérieur de la société des informations trompeuses sur sa
situation. Dans ce contexte, l’exemplarité constitue un vecteur essentiel de diffusion des
valeurs au sein de la société.
Le dispositif de contrôle interne comprend cinq composantes étroitement liées.
Bien que ces composantes soient applicables à toutes les sociétés, leur mise en œuvre peut
être faite de façon différente selon la taille et le secteur d’activité des sociétés.
Ces cinq composantes sont les suivantes (selon le cadre de référence sur le dispositif de
contrôle interne élaboré à la demande de l’AMF) :

518
 Le contrôle interne 7
CHAPITRE

1) Une organisation comportant une définition claire des responsabilités, disposant des ressources
et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou
modes opératoires, des outils et des pratiques appropriés.
2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à
chacun d’exercer ses responsabilités.
3) Un système visant à recenser, analyser les principaux risques identifiables au regard des objectifs
de la société et à s’assurer de l’existence de procédures de gestion de ces risques.
4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour
s’assurer que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles
d’affecter la réalisation des objectifs.
5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen
régulier de son fonctionnement.

a) Organisation comportant une définition claire des responsabilités,

disposant des ressources et des compétences adéquates
et s’appuyant sur des systèmes d’information, sur des procédures
ou modes opératoires, des outils et des pratiques appropriés
La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des principes fonda-
mentaux mais aussi sur :
– une organisation appropriée qui fournit le cadre dans lequel les activités nécessaires à la
réalisation des objectifs sont planifiées, exécutées, suivies et contrôlées ;
– des responsabilités et pouvoirs clairement définis qui doivent être accordés aux
personnes appropriées en fonction des objectifs de la société. Ils peuvent être formalisés et
communiqués au moyen de descriptions de tâches ou de fonctions, d’organigrammes
hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient respecter le
principe de séparation des tâches ;
– une politique de gestion des ressources humaines qui devrait permettre de recruter des
personnes possédant les connaissances et compétences nécessaires à l’exercice de leur
responsabilité et à l’atteinte des objectifs actuels et futurs de la société ;
– des systèmes d’information adaptés aux objectifs actuels de l’organisation et conçus de
façon à pouvoir supporter ses objectifs futurs. Les systèmes informatiques sur lesquels
s’appuient ces systèmes d’information doivent être protégés efficacement tant au niveau
de leur sécurité physique que logique afin d’assurer la conservation des informations
stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures de
secours. Les informations relatives aux analyses, à la programmation et à l’exécution des
traitements doivent faire l’objet d’une documentation ;
– des procédures ou modes opératoires qui précisent la manière dont devrait s’accomplir
une action ou un processus (objectifs à atteindre à un horizon donné, définitions de
fonctions et de lignes hiérarchiques/fonctionnelles, lignes de conduite, outils d’aide à la
décision et d’évaluation, fréquence de contrôle, personne responsable du contrôle…),
quels qu’en soient la forme et le support.
– des outils ou instruments de travail (bureautique, informatique) qui doivent être adaptés
aux besoins de chacun et auxquels chaque utilisateur devrait être dûment formé ;
– des pratiques communément admises au sein de la société.

519
 7 Le contrôle interne
CHAPITRE

b) Diffusion en interne d’informations pertinentes, fiables,

dont la connaissance permet à chacun d’exercer ses responsabilités
La société devrait disposer de processus qui assurent la communication d’informations
pertinentes, fiables et diffusées en temps opportun aux acteurs concernés de la société afin
de leur permettre d’exercer leurs responsabilités.
c) Système visant à recenser, analyser les principaux risques identifiables
au regard des objectifs de la société et à s’assurer de l’existence de procédures
de gestion de ces risques
En raison de l’évolution permanente de l’environnement ainsi que du contexte réglemen-
taire, les sociétés doivent mettre en place des méthodes pour recenser, analyser et gérer les
risques d’origine interne ou externe auxquels elles peuvent être confrontées et qui rédui-
raient la probabilité d’atteinte des objectifs.
■ Recensement des risques
La société doit recenser les principaux risques identifiables, internes ou externes pouvant
avoir un impact sur la probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identifi-
cation, qui s’inscrit dans le cadre d’un processus continu, devrait couvrir les risques qui
peuvent avoir une incidence importante sur sa situation.
■ Analyse des risques
Il convient pour ce faire de tenir compte de la possibilité d’occurrence des risques et de leur
gravité potentielle, ainsi que de l’environnement et des mesures de maîtrise existantes. Ces
différents éléments ne sont pas figés, ils sont pris en compte, au contraire, dans un processus
de gestion des risques.
■ Procédures de gestion des risques
La direction générale et/ou le directoire avec l’appui d’une direction des risques, si elle
existe, devraient définir des procédures de gestion des risques.
d) Activités de contrôle proportionnées aux enjeux propres à chaque processus,
et conçues pour s’assurer que les mesures nécessaires sont prises
en vue de maîtriser les risques susceptibles d’affecter la réalisation des objectifs
Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans
toute fonction qu’il s’agisse de contrôles orientés vers la prévention ou la détection, de
contrôles manuels ou informatiques ou encore de contrôles hiérarchiques.
En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la
nature des objectifs auxquels elles se rapportent et être proportionnées aux enjeux de
chaque processus. Dans ce cadre, une attention toute particulière devrait être portée aux
contrôles des processus de construction et de fonctionnement des systèmes d’information.
e) Surveillance permanente portant sur le dispositif de contrôle interne
ainsi qu’un examen régulier de son fonctionnement
Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillance
permanente. Il s’agit de vérifier sa pertinence et son adéquation aux objectifs de la société.
Mise en œuvre par le management sous le pilotage de la direction générale ou du directoire,
cette surveillance prend notamment en compte l’analyse des principaux incidents constatés,

520
 Le contrôle interne 7
CHAPITRE

le résultat des contrôles réalisés ainsi que des travaux effectués par l’audit interne, lorsqu’il
existe. Cette surveillance s’appuie notamment sur les remarques formulées par les commis-
saires aux comptes et par les éventuelles instances réglementaires de supervision.
La surveillance peut utilement être complétée par une veille active sur les meilleures
pratiques en matière de contrôle interne.
Surveillance et veille conduisent, si nécessaire, à la mise en œuvre d’actions correctives et à
l’adaptation du dispositif de contrôle interne.
La direction générale ou le directoire apprécient les conditions dans lesquelles ils informent
le conseil d’administration ou de surveillance des principaux résultats des surveillances et
examens ainsi exercés.

5. Acteurs du contrôle interne

Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des colla-
borateurs de la société.
5.1 Le conseil d’administration ou de surveillance
Le niveau d’implication des conseils d’administration ou de surveillance en matière de
contrôle interne varie d’une société à l’autre. Il appartient à la direction générale ou au
directoire de rendre compte au conseil (ou à son comité d’audit lorsqu’il existe) des carac-
téristiques essentielles du dispositif de contrôle interne. En tant que de besoin, le conseil
d’administration ou de surveillance peut faire usage de ses pouvoirs généraux pour faire
procéder par la suite aux contrôles et vérifications qu’il juge opportuns ou prendre toute
autre initiative qu’il estimerait appropriée en la matière. Lorsqu’il existe, le Comité d’audit
devrait effectuer une surveillance attentive et régulière du dispositif de contrôle interne.
Pour exercer ses responsabilités en toute connaissance de cause, le Comité d’audit peut
entendre le responsable de l’audit interne, donner son avis sur l’organisation de son service
et être informé de son travail. Il doit être en conséquence destinataire des rapports d’audit
interne ou d’une synthèse périodique de ces rapports.
5.2 La direction générale/le directoire
La direction générale ou le directoire sont chargés de définir, d’impulser et de surveiller le
dispositif le mieux adapté à la situation et à l’activité de la société. Dans ce cadre, ils se
tiennent régulièrement informés de ses dysfonctionnements, de ses insuffisances et de ses
difficultés d’application, voire de ses excès, et veillent à l’engagement des actions correctives
nécessaires.
5.3 L’audit interne
Lorsqu’il existe, le service d’audit interne a la responsabilité d’évaluer le fonctionnement du
dispositif de contrôle interne et de faire toutes préconisations pour l’améliorer, dans le
champ couvert par ses missions. Il sensibilise et forme habituellement l’encadrement au
contrôle interne mais n’est pas directement impliqué dans la mise en place et la mise en
œuvre quotidienne du dispositif. Le responsable de l’audit interne rend compte à la
direction générale et, selon des modalités déterminées par chaque société, aux organes
sociaux, des principaux résultats de la surveillance exercée.

521
 7 Le contrôle interne
CHAPITRE

5.4 Le personnel de la société

Chaque collaborateur concerné devrait avoir la connaissance et l’information nécessaires
pour établir, faire fonctionner et surveiller le dispositif de contrôle interne, au regard des
objectifs qui lui ont été assignés. C’est le cas des responsables opérationnels en prise directe
avec le dispositif de contrôle interne mais aussi des contrôleurs internes et des cadres finan-
ciers qui doivent jouer un rôle important de pilotage et de contrôle.

6. Obstacles et limites du contrôle interne

Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut
fournir une garantie absolue quant à la réalisation des objectifs de la société. La proba-
bilité d’atteindre ces objectifs ne relève pas de la seule volonté de la société. Il existe en
effet des limites inhérentes à tout système de contrôle interne. Ces limites résultent de
nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la
faculté de jugement ou de dysfonctionnements pouvant survenir en raison d’une
défaillance humaine ou d’une simple erreur. En outre, lors de la mise en place des
contrôles, il est nécessaire de tenir compte du rapport coût/bénéfice et de ne pas
développer des systèmes de contrôle interne inutilement coûteux quitte à accepter un cer-
tain niveau de risque.

6.1 Coût du contrôle

Il est souvent reproché au contrôle interne d’augmenter les charges de l’entreprise par
l’embauche du personnel nouveau et la réalisation d’investissements supplémentaires. Il
faut cependant observer :
– que le contrôle interne est un élément de sécurité dans l’entreprise, dont le coût peut
s’analyser comme celui de l’assurance ;
– que le contrôle interne est avant tout une meilleure répartition des tâches avant leur
multiplication ;
– que le contrôle interne doit être à la mesure du risque qu’il doit couvrir. On doit ainsi
souligner que si le risque encouru est faible, la mise en place d’une procédure dont le coût
serait supérieur au risque encouru deviendrait une faiblesse dans l’optique du rapport
coût/efficacité.

6.2 Problèmes humains

La mise en place d’un système de contrôle interne peut être interprétée comme une remise
en cause de la direction dans le personnel. Sans ignorer l’existence de cas particuliers, il faut
observer :
– que le personnel doit être clairement informé des objectifs réels du contrôle interne ;
– que les éventuels obstacles soulevés par le personnel relèvent plus de la résistance au
changement en général ;
– que le contrôle interne joue en faveur du personnel, car il interdit qu’il soit suspecté.

522
 Le contrôle interne 7
CHAPITRE

7. Référentiel spécifique de contrôle interne : le « COSO Report »

Le COSO qui regroupe aux États-Unis les associations et instituts dans les domaines de la
comptabilité et de l’audit interne définit le contrôle interne comme suit (1) :
« le contrôle interne est un processus mis en œuvre par la direction générale, la hiérarchie,
la hiérarchie, le personnel d’une entreprise, et destiné à fournir une assurance raisonnable
quant à la réalisation d’objectifs entrant dans les catégories suivantes :
– réalisation et optimisation des opérations ;
– fiabilité des informations financières ;
– conformité aux lois et réglementations en vigueur. »
Le référentiel du COSO est composé de cinq éléments interdépendants qui découlent de la façon
dont l’entité est gérée et qui sont intégrés aux processus de gestion. Ces cinq éléments sont repré-
sentés symboliquement par le COSO par une pyramide. Cette représentation signifie que ces cinq
éléments doivent impérativement se retrouver dans toute organisation pour une maîtrise raison-
nable de ses activités, à tous les échelons de sa hiérarchie. On peut ainsi distinguer :
– l’environnement de contrôle ;
– l’évaluation des risques ;
– les activités de contrôle ;
– l’information et la communication ;
– le pilotage.
L’environnement de contrôle constitue le « milieu » dans lequel les personnes accom-
plissent leurs tâches et assument leurs responsabilités en matière de contrôle. Il sert de base
pour les autres éléments du contrôle interne. Dans cet environnement, les dirigeants
évaluent les risques susceptibles de mettre en cause la réalisation d’objectifs spécifiques. Les
activités de contrôle sont mises en place pour permettre à la direction de s’assurer que les
directives visant à traiter ces risques ont été exécutées. Entre-temps, les informations perti-
nentes recueillies et communiquées à l’ensemble de l’organisation. Le processus complet
fait l’objet d’un pilotage et de modifications le cas échéant.
Il existe par ailleurs un lien entre les objectifs que l’organisation cherche à atteindre
(objectifs, opérationnels, informations financières et conformité) avec les cinq éléments du
contrôle interne. Le « COSO Report » montre cette liaison.
Le rapport COSO comprend également un ensemble d’outils et un manuel de référence
permettant l’application des principes dégagés par le rapport.
Pour le COSO, le contrôle interne repose sur un certain nombre de concepts fondamentaux :
processus, mise en œuvre par des personnes, assurance raisonnable, réalisation d’objectifs.
• Le contrôle interne est un processus (ou plutôt un ensemble de processus) qui se répand à
travers toutes les activités de l’entreprise. Ces actions sont perceptibles à tous les niveaux et
sont inhérentes à la façon dont l’activité est gérée. Il constitue un moyen d’arriver à ses fins
et non une fin en soi. Les procédures de contrôle interne sont particulièrement efficaces
lorsqu’elles sont intégrées à l’infrastructure et qu’elles font partie de la culture de l’entre-
prise. L’intégration de contrôles peut avoir une incidence directe sur la capacité à atteindre
ses objectifs et faciliter les initiatives en matière de qualité.

(1) La pratique du contrôle interne, COSO report, IFACI – PWC, Éditions d’Organisation, 2004, p. 14.

523
 7 Le contrôle interne
CHAPITRE

• Le contrôle interne est mis en œuvre par des personnes. Il est l’affaire du conseil
d’administration, du mangement et des autres membres du personnel. Ce n’est pas
simplement un ensemble de manuels de procédures et de documents ; mais il est assumé à
tous les niveaux de la hiérarchie.
• Le contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut offrir qu’une
assurance raisonnable quant à la réalisation des objectifs de l’entité. La probabilité
d’atteindre ceux-ci est soumise aux limites inhérentes à tout système de contrôle interne,
qu’il s’agisse du jugement exercé lors des prises de décisions qui peut être défaillant, de la
nécessité d’étudier le rapport coûts/bénéfices avant la mise en œuvre de contrôles, ou qu’il
s’agisse des dysfonctionnements qui peuvent survenir en raison d’une défaillance humaine
ou d’une simple erreur.
• Le contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs domaines, qui
sont distincts mais qui se recoupent. Chaque entreprise détermine les objectifs et les
stratégies pour les atteindre. Ces objectifs peuvent être fixés par une organisation dans son
ensemble ou orientés sur des activités particulières au sein de celle-ci. Bien que chaque
entreprise fixe ses propres objectifs, certains d’entre eux sont communs. En effet, prati-
quement toutes les entreprises ont pour objectif de construire une image favorable de leur
industrie et auprès de leurs consommateurs, de présenter des états financiers fiables à leurs
actionnaires et d’agir en conformité avec les lois et les règlements.

8. Questionnaires de contrôle interne

De nombreux questionnaires ont été établis pour aider les entités à analyser leur contrôle
interne. Deux guides ont été ainsi élaborés dans un guide d’application sous l’égide de
l’Autorité des marchés financiers (1) :
– un cadre de référence relatif au contrôle interne comprenant ;
• un questionnaire (général) relatif au contrôle interne comptable et financier,
• un questionnaire relatif à l’analyse et à la maîtrise des risques ;
– un cadre de référence applicable aux petites et moyennes entreprises comprenant
également les deux mêmes questionnaires.

Le guide d’application précise que « le contrôle interne comptable et financier est constitué par le
dispositif de la société mis en œuvre sous sa responsabilité en vue d’assurer, dans la mesure du
possible une gestion comptable et un suivi financier rigoureux de ses activités, visant à répondre
aux objectifs fixés ci-après. Le contrôle interne comptable et financier des sociétés est un élément
majeur du contrôle interne. Il concerne l’ensemble du processus de production et de communica-
tion de l’information comptable et financière des sociétés et concourt à la production d’une infor-
mation fiable et conforme aux exigences légales et réglementaires. Comme le contrôle interne en
général, il s’appuie sur un dispositif d’ensemble comprenant notamment la conception et la mise en
place d’un système d’information de la société, les politiques et procédures de pilotage, de
surveillance et de contrôle ».

(1) Le dispositif de contrôle interne : le cadre de référence (janvier 2007) ; le cadre de référence : guide de mise en
œuvre pour les valeurs moyennes et petites (février 2008) : http://www.amf-france.org/

524
 Le contrôle interne 7
CHAPITRE

Ces deux questionnaires, qui ne présentent pas un caractère obligatoire ou normatif, visent
à permettre aux émetteurs qui le souhaiteraient de procéder par comparaison à une analyse
interne de leurs procédures dans ce domaine. Ils se présentent comme suit :

QUESTIONNAIRE (GÉNÉRAL) RELATIF AU CONTRÔLE INTERNE COMPTABLE

ET FINANCIER
Rôle des organes de gouvernance
Par organes de gouvernance, on entend, dans le cadre de ce questionnaire,
le conseil d’administration ou de surveillance, la direction générale ou le
directoire.
Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle
attribué au conseil dans les questions suivantes peut, tout aussi bien, être
exercé par le comité d’audit.
• Les principes comptables retenus qui ont un impact significatif sur la présen-
tation des états financiers de l’entreprise ont-ils été formellement validés par
la direction générale, revus par les commissaires aux comptes et portés à la
connaissance du conseil d’administration ou de surveillance ?
• Pour les arrêtés correspondant à des comptes publiés, les principales options
comptables ainsi que les choix effectués ont-ils été expliqués et justifiés par
la direction générale au conseil, et revus par les commissaires aux comptes ?
• Existe-t-il un processus de validation des changements de principes
comptables envisagés prenant en considération l’économie des opérations ?
Ce processus prévoit-il en particulier une consultation des commissaires aux
comptes et une information du conseil ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès
à l’ensemble des informations nécessaires à l’exercice de leurs responsabi-
lités, notamment s’agissant des filiales consolidées ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffi-
samment avancé leurs travaux au moment de l’arrêté des comptes pour être
en mesure de communiquer toutes remarques significatives ?
• La formation du résultat, la présentation du bilan, de la situation financière et
des annexes, ont-elles été expliquées au conseil, à chaque arrêté de comptes
publiés ?
• Le conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les
données sont périodiquement rapprochées de l’information financière publiée ?
• Le conseil a-t-il été régulièrement informé de l’existence de situations de tréso-
rerie incluant des perspectives à court terme ? Les flux de trésorerie pris en
compte dans l’analyse présentée au conseil mettent-ils clairement en évidence
les éléments dont l’utilisation par la société mère fait l’objet de restrictions ?
Organisation comptable et financière
• La fonction comptable et financière a-t-elle, pour le périmètre couvert par les
comptes, accès aux informations nécessaires à leur élaboration ?
• Existe-t-il un manuel de principes comptables groupe, précisant le traitement
comptable des opérations les plus importantes ?

525
 7 Le contrôle interne
CHAPITRE

• En cas de publication de comptes établis suivant plusieurs référentiels

comptables pour un même niveau (individuel ou consolidé), existe-t-il des
procédures pour expliquer les principaux retraitements ?
• Existe-t-il un manuel de procédures comptables et des instructions décrivant
les répartitions des responsabilités d’exécution ou de contrôle au regard des
tâches comptables, ainsi que les calendriers à respecter ? Dans le cadre de la
préparation des comptes consolidés, existe-t-il des procédures de diffusion
visant à assurer leur prise en compte par les filiales ?
• Les responsables de l’établissement des comptes et de l’information finan-
cière ainsi que les différents acteurs qui participent à l’arrêté des comptes
sont-ils identifiés ?
• Existe-t-il un processus visant à identifier les ressources nécessaires au bon
fonctionnement de la fonction comptable ? Prend-il en considération les
évolutions prévisibles ?
Système d’information comptable et financier
• Les procédures et les systèmes d’information sont-ils développés avec pour
objectif de satisfaire aux exigences de fiabilité, de disponibilité et de perti-
nence de l’information comptable et financière ?
• Les systèmes d’information relatifs à l’information financière et comptable
font-ils l’objet d’adaptations pour évoluer avec les besoins de la société ?
• La direction générale s’est-elle assurée que les obligations de conservation
des informations, données et traitements informatiques concourant direc-
tement ou indirectement à la formation des états comptables et financiers
étaient respectées ?
Identification et analyse des risques affectant l’information comptable
et financière
• Des dispositifs sont-ils mis en place pour identifier les principaux risques
pouvant affecter le processus d’établissement des comptes ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des
procédures spécifiques visant à réduire les risques d’erreurs et de fraudes ?
Activité de contrôle
• Existe-t-il des contrôles réguliers et inopinés pour s’assurer que le manuel des
principes comptables et le manuel de procédures comptables sont suivis dans
la pratique ?
• Existe-t-il des procédures pour identifier et résoudre des problèmes
comptables nouveaux, non prévus, le cas échéant, dans le manuel de
principes comptables et/ou dans le manuel de procédures comptables ?
• L’activité de contrôle interne comptable et financier comporte-t-elle des procé-
dures pour assurer la préservation des actifs (risque de négligences, d’erreurs
et de fraudes internes et externes) ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des
contrôles spécifiques aux points qui seraient identifiés comme sensibles
concernant des aspects comptables, par exemple inscription à l’actif, consta-

526
 Le contrôle interne 7
CHAPITRE

• tation des produits, spécialisation des périodes comptables, valorisation des

stocks…) ?
• Les procédures d’arrêté des comptes du groupe sont-elles applicables dans
toutes les composantes du périmètre de consolidation ? S’il existe des excep-
tions, y a-t-il des procédures adéquates pour les traiter ?
Communication financière et comptable
• Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en
matière de communication comptable et financière au marché ? Cet
échéancier précise-t-il :
– la nature et l’échéance de chaque obligation périodique,
– les personnes responsables de leur établissement.
• Existe-t-il des responsables et des procédures aux fins d’identifier et de traiter
les obligations d’information du marché ?
• Existe-t-il une procédure prévoyant le contrôle des informations avant leur
diffusion ?
Source : « Le dispositif de contrôle interne : le cadre de référence ».

QUESTIONNAIRE RELATIF À L’ANALYSE ET À LA MAÎTRISE DES RISQUES

Principes généraux de gestion des risques
• La société dispose-t-elle d’un « langage commun « en matière de risques
(typologie homogène, critères de recensement, d’analyse et de suivi, …) ?
• La société a-t-elle mis en place des objectifs en matière de gestion des
risques ?
Identification des principaux risques
• Existe-t-il un processus d’identification des principaux risques ? Le cas
échéant, ce processus intègre-t-il les objectifs de la société ? Une organisation
a-t-elle été mise en place à cet effet ?
Analyse des principaux risques
• Pour les principaux risques identifiés, l’entreprise réalise-t-elle une analyse des
incidences potentielles (chiffrées ou non, financière ou non financière), et du
degré de maîtrise estimé ?
• L’analyse des risques tient-elle compte des évolutions internes ou externes à la
société ?
• Ces analyses donnent- elles lieu à des actions spécifiques ? La responsabilité
de ces actions est-elle définie ? Le cas échéant, la mise en œuvre de ces
actions est-elle suivie ?
Procédures de gestion des principaux risques
• Une politique et des procédures de gestion des principaux risques ont-elles
été définies, validées par la direction et mises en place dans la société ?
• Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la
surveillance des procédures de gestion des risques ?

527
 7 Le contrôle interne
CHAPITRE

• Les responsabilités en matière de gestion des risques sont-elles définies et

communiquées aux personnes concernées ?
• Les expériences passées de l’entreprise (ou d’acteurs comparables) en matière
de risques sont-elles prises en considération ?
• La direction reçoit-elle une information sur les caractéristiques essentielles
des actions engagées pour gérer les principaux risques de la société (nature
des actions engagées ou des couvertures en place, assurances, exclusions,
montants des garanties…) ?
• L’entreprise a-t-elle mis en place un plan de gestion de crise ?

Surveillance des risques et des procédures de gestion des risques

• L’entreprise communique-t-elle en interne aux personnes intéressées :

– sur ses facteurs de risques ?

– sur les dispositifs de gestion des risques ?
– sur les actions en cours et les personnes qui en ont la charge ?
• L’entreprise a-t-elle identifié les obligations légales et réglementaires appli-
cables en matière de communication sur les risques ?
• Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures
de gestion des risques à une évolution des risques, de l’environnement
externe, des objectifs ou de l’activité de la société ?
• Existe-t-il un dispositif permettant d’identifier les principales faiblesses du dispo-
sitif de gestion des risques mis en place par la société, et de les corriger ?
• Le conseil d’administration ou le conseil de surveillance, selon le cas, a-t-il été
informé des grandes lignes de la politique de gestion des risques ? Est-il
régulièrement informé des principaux risques identifiés, des caractéristiques
essentielles du dispositif de gestion des risques, notamment des moyens mis
en œuvre et des actions d’amélioration en cours ?
Source : « Le dispositif de contrôle interne : le cadre de référence ».

section 3
contrôle interne,
systèmes d’information
et contrôle de qualité de l’entreprise
1. Contrôle interne et systèmes d’information
L’informatique s’introduit dans tous les domaines de la vie des entreprises, aussi bien dans
les activités de fabrication (lesquelles, comme la conception et la fabrication assistées par
ordinateur, sont actuellement les vedettes de la croissance de l’informatique) que dans les
activités de gestion. Le développement du télétraitement, d’internet, de l’utilisation des
progiciels de gestion intégrés accélère l’évolution vers le « zéro papier ». Aujourd’hui, la

528
 Le contrôle interne 7
CHAPITRE

quasi totalité des comptabilités, qu’elles soient tenues par l’entreprise ou par un prestataire
de services (expert-comptable) se fait avec l’aide d’un ordinateur.
Si l’existence des systèmes informatiques ne modifie pas le schéma général de la méthodo-
logie d’audit, elle implique des risques et des techniques nouvelles de contrôle qui peuvent
modifier sensiblement le déroulement des missions. Il n’est donc plus possible
aujourd’hui, pour un auditeur, d’en ignorer les incidences et de ne pas en exploiter les
possibilités.
1.1 Différences essentielles entre systèmes manuels et systèmes informatisés
La différence essentielle entre un système manuel et un système informatisé est l’élimination
de certaines étapes du système manuel dans le système informatisé. Ainsi, dans un système en
temps réel, le personnel entre directement les données (par exemple d’une commande) dans
le système informatique, sans établir le document-source utilisé habituellement. Des diffé-
rences de cette nature modifient l’appréhension du contrôle interne ainsi que la procédure
d’examen de l’auditeur qui devra pouvoir analyser toute autre source d’information.
Les différences essentielles entre systèmes de traitement informatisés et systèmes de
traitement manuels conduisent aux incidences essentielles suivantes en matière d’audit.

DIFFÉRENCES ENTRE TRAITEMENTS AUTOMATISÉS ET TRAITEMENTS MANUELS

Différences
1. La trace de l’opération n’existe que pendant une
courte période de temps.
2. Les erreurs dans un système informatisé se repro-
duisent sur toutes les opérations.
3. Dans un système informatisé, l’information n’est
entrée qu’une seule fois.
4. Les opérations sont centralisées par le dépar-
tement informatique dans le système informatisé.
5. Dans un environnement informatique, les informa-
tions permanentes peuvent rester longtemps
altérées sans être détectées.
Incidences sur l’audit
Les auditeurs doivent être capables d’examiner
d’autres documents prouvant l’information.
Les auditeurs peuvent restreindre leurs tests à une
seule opération pour dégager une erreur potentielle.
Les auditeurs doivent pouvoir tester les moyens de
contrôle utilisés pour prévenir et détecter les erreurs
d’entrées.
Les auditeurs doivent pouvoir analyser l’organisation
du département informatique pour vérifier
notamment la nécessaire séparation des fonctions.
Les auditeurs doivent pourvoir vérifier périodi-
quement l’exactitude des informations permanentes
dans un environnement informatisé.

1.2 Risques généraux de l’informatique

L’existence même de l’informatique modifie le risque général d’audit du fait :
– de la puissance et la fragilité qu’elle génère en facilitant la concentration des informations
(banques de données centrales, par exemple) et leur circulation (terminaux d’interro-
gation ou de génération de données, par exemple) ;
– de l’évolution technologique permanente des systèmes qui nécessite une formation
importante des « informaticiens » à proprement parler, mais aussi et surtout des
« utilisateurs » dont elle bouscule souvent les habitudes. Ce dernier point est particuliè-
rement important pour l’auditeur et ses collaborateurs qui, s’ils n’ont pas tous besoin

529
 7 Le contrôle interne
CHAPITRE

d’être des informaticiens chevronnés, doivent avoir une connaissance suffisante de la

technologie pour être à même d’en apprécier les risques, de discuter avec les informati-
ciens de l’entreprise et d’orienter et utiliser les travaux des spécialistes auxquels ils ont
recours le cas échéant ;
– de l’automatisation du traitement de l’information qui augmente la sécurité par rapport
à un système manuel si le programme est fiable, mais dans un système mal programmé
toutes les opérations présentent la même anomalie ; le phénomène de cumul des
anomalies est donc beaucoup plus important que dans un système manuel où l’inter-
vention humaine compense souvent la faiblesse apparente d’un système ;
– de la capacité de certains systèmes à générer des informations sans intervention humaine
(systèmes intégrés, systèmes experts…) créant un risque de voir disparaître ce qui est
souvent appelé la « piste d’audit » ou le « chemin de révision », autrement dit la trace du
flux d’information de l’origine des opérations à leur traduction dans les comptes annuels ;
– de la prise de conscience parfois insuffisante, dans les entreprises, des risques spécifiques
liés à l’informatique, notamment en matière de continuité de l’exploitation, de confiden-
tialité des données, de sécurité…
À la fois facteur de fiabilité et de fragilité, l’informatique implique une conscience claire et
précise de ses risques spécifiques et une organisation rigoureuse assurant la fiabilité et la
sécurité des données qu’elle gère et dont l’entreprise est de plus en plus dépendante.
Ces phénomènes s’accentuent avec le développement rapide du télétraitement, du caractère
interactif des systèmes d’information tant à l’intérieur de l’entreprise qu’avec l’extérieur. La
dématérialisation pose également d’autres problèmes tant au niveau de l’organisation des
entreprises que de leur contrôle.
1.3 Analyse des risques d’audit
L’existence de systèmes informatisés influe de plusieurs façons sur l’audit :
– la qualité de l’environnement informatique influe sur la fiabilité d’ensemble du processus
d’information et des systèmes qui en émanent ;
– la qualité des applications influe directement sur la qualité du contrôle interne des
fonctions correspondantes ;
– l’utilisation de l’informatique permet de réaliser des contrôles difficilement envisageables
à la main.

C’est pourquoi l’existence d’une fonction informatique influe sur toutes les étapes de la mission de
l’auditeur :
– lors de la prise de connaissance, l’auditeur doit comprendre les caractéristiques générales de
l’informatique de l’entreprise afin d’apprécier son incidence sur son approche de la mission ;
– la fonction informatique, si elle est significative, doit faire l’objet d’une appréciation du contrôle
interne spécifique qui portera sur l’organisation générale de la fonction elle-même et/ou sur
certaines applications ;
– lors du contrôle des comptes, la fiabilité des systèmes informatiques influe sur la nature et
l’étendue des contrôles à réaliser.

530
 Le contrôle interne 7
CHAPITRE

2. Contrôle interne et contrôle qualité

La qualité peut être définie comme « l’ensemble des caractéristiques d’une entité qui lui confèrent
l’aptitude à satisfaire des besoins exprimés et implicites » (norme ISO 8402).

Le contrôle interne est la base des contrôles de qualité que l’entreprise peut effectuer.
La famille de normes ISO 9000, représente un consensus international sur de bonnes
pratiques de management. Elle permet à une entreprise ou une organisation d’être
« certifiée » selon un des normes ISO 9001, 9002 ou 9003. Même si la certification n’a pas à
être recherchée systématiquement en manière de système d’information, la recherche des
critères correspondant à une assurance qualité ISO peut être recherchée par l’entreprise.
Le vocable « ISO 9000 » désigne en fait un ensemble de normes portant sur la qualité et les
moyens de l’améliorer.

La norme ISO 9001 concerne les productions ou prestations qui demandent une conception à
partir d’une spécification générique de besoin.
La norme ISO 9002 concerne les productions de série : elle est applicable aux entreprises qui font
des produits ou assurent des services bien récurrents, sans que des phases de conception « lourde »
soient nécessaires
La norme ISO 9003 ne concerne que les contrôles : elle est applicable aux produits très simples,
dont la qualité est assurée par des contrôles.
La norme ISO 9004 « Systèmes de management de la qualité – Lignes directrices pour l’améliora-
tion des performances » prévue pour un usage en interne et non à des fins contractuelles, porte
notamment sur l’amélioration continue des performances.

Les normes internationales de la série ISO 9000 relatives au management et à l’assurance de

la qualité ont été adoptées dans plus de quatre-vingt dix pays et sont appliquées par des
milliers d’entreprises et organisations de fabrication et de services tant du secteur public
que du secteur privé.

section 4
appréciation du contrôle interne
À partir des orientations données par son programme de travail, l’auditeur doit effectuer
une analyse du système de contrôle interne de l’entreprise afin d’en apprécier les points
forts et les points faibles et de déterminer la nature, l’étendue et le calendrier de ses travaux
de contrôle des comptes.

1. Démarche de l’auditeur dans son appréciation

du contrôle interne
La démarche utilisée par l’auditeur (expert-comptable, commissaire aux comptes ou
auditeur interne) dans son appréciation du contrôle interne relatif aux principaux cycles

531
 7 Le contrôle interne
CHAPITRE

d’opérations et éléments d’actif ou de passif qui en résultent comporte deux étapes :

l’appréciation de l’existence du contrôle interne et l’appréciation de la permanence du
contrôle interne.
1.1 Place du contrôle interne dans la mission de l’auditeur
À défaut de pouvoir étudier chaque transaction contenue dans les comptes annuels (cela
impliquerait de refaire en totalité la comptabilité), l’auditeur va analyser l’organisation en
vue de rechercher si celle-ci inclut les moyens suffisants destinés à détecter toute erreur,
anomalie, fraude, etc.
S’il conclut positivement, il accordera un meilleur degré de confiance aux informations
traitées dans le système que s’il conclut négativement.
La prise de connaissance des éléments du contrôle interne pertinents pour l’audit permet à
l’auditeur d’identifier les types d’anomalies potentielles et de prendre en considération les
facteurs pouvant engendrer des risques d’anomalies significatives dans les comptes.
L’auditeur prend connaissance des éléments du contrôle interne qui contribuent à prévenir
le risque d’anomalies significatives dans les comptes, pris dans leur ensemble et au niveau
des assertions.
Pour ce faire, l’auditeur doit prendre notamment connaissance des éléments suivants.
– l’environnement de contrôle, qui se traduit par le comportement des personnes consti-
tuant le gouvernement d’entreprise et de la direction, leur degré de sensibilité et les
actions qu’ils mènent en matière de contrôle interne ;
– les moyens mis en place par l’entité pour identifier les risques liés à son activité et leur
incidence sur les comptes et pour définir les actions à mettre en œuvre en réponse à ces
risques ;
– les procédures de contrôle interne en place, et notamment la façon dont l’entité a pris en
compte les risques résultant de l’utilisation de traitements informatisés ; ces procédures
permettent à la direction de s’assurer que ses directives sont respectées ;
– les principaux moyens mis en œuvre par l’entité pour s’assurer du bon fonctionnement du
contrôle interne, ainsi que la manière dont sont mises en œuvre les actions correctives ;
– le système d’information relatif à l’élaboration de l’information financière. À ce titre,
l’auditeur doit s’intéresser notamment :
• aux catégories d’opérations ayant un caractère significatif pour les comptes pris dans

leur ensemble ;
• aux procédures, informatisées ou manuelles, qui permettent d’initier, enregistrer,

traiter ces opérations et de les traduire dans les comptes ;

• aux enregistrements comptables correspondants, aussi bien informatisés que manuels ;

• à la façon dont sont traités les événements ponctuels, différents des opérations récur-

rentes, susceptibles d’engendrer un risque d’anomalies significatives ;

• au processus d’élaboration des comptes, y compris des estimations comptables signifi-

catives et des informations significatives fournies dans l’annexe des comptes ;

– la façon dont l’entité communique sur les éléments significatifs de l’information finan-
cière et sur les rôles et les responsabilités individuelles au sein de l’entité en matière
d’information financière. À ce titre, l’auditeur doit s’intéresser notamment à la commu-
nication entre la direction et les personnes constituant le gouvernement d’entreprise ou

532
 Le contrôle interne 7
CHAPITRE

les autorités de contrôle, ainsi qu’aux actions de sensibilisation de la direction envers les
membres du personnel afin de les informer quant à l’impact que peuvent avoir leurs
activités sur l’élaboration de l’information financière.
Il est à noter que l’article L. 225-37 du Code de commerce demande notamment au
président du conseil d’administration des sociétés faisant appel public à l’épargne de
rendre compte à l’assemblée des procédures de contrôle interne mises en place par la
société.
1.2 Appréciation de l’existence du contrôle interne
La première étape consiste à comprendre les procédures de traitement des données et les contrôles
internes manuels et informatisés mis en place dans l’entreprise.

Elle se déroule comme suit :

– prise de connaissance détaillée du système de traitement des données et des contrôles mis
en place par l’entreprise ;
– vérification par des tests que les procédures telles que décrites et que les contrôles indiqués
sont appliqués ;
– évaluation des risques d’erreurs qui peuvent se produire dans le traitement des données
en fonction des objectifs que doivent atteindre les contrôles internes ;
– évaluation des contrôles internes devant assurer la protection des actifs lorsqu’ils existent
des risques de perte de substance ;
– identification des contrôles internes (points forts) sur lesquels le réviseur pourra
s’appuyer et qui lui permettront de militer ses travaux de vérification.
1.3 Appréciation de la permanence du contrôle interne
La seconde étape consiste à vérifier le fonctionnement des contrôles internes sur lesquels le réviseur
a décidé de s’appuyer afin de s’assurer qu’ils produisent bien les résultats escomptés tout au long de
la période examinée.

Elle se déroule comme suit :

– vérification par des tests de l’application permanente des procédures (tests de permanence) ;
– formulation définitive du jugement, à partir de l’évaluation des conclusions des précé-
dentes phases.
Le diagramme présenté ci-après, adapté du corrigé de l’épreuve de Comptabilité approfondie
et révision du DECF session 1992, permet de suivre la démarche adoptée par l’auditeur.

533
 7 Le contrôle interne
CHAPITRE

Évaluation du contrôle interne

Utilisation de diagrammes
1. Saisie des procédures
de circulation, de mémorandums
et d’un manuel de procédures

Suivi de quelques transactions

2. Tests de conformité pour s’assurer de la compréhension
et de la réalité du système

3. Évaluation préliminaire
Points forts Faiblesses
du contrôle interne
du système du système

Tests pour
4. Tests de permanence s’assurer que
les points forts
sont appliqués

Non application

Points forts Faiblesses

5. Évaluation définitive
du système de conception
du système

Incidences
sur le programme
de contrôle
des comptes

2. Prise de connaissance du dispositif de contrôle interne

La prise de connaissance du dispositif de contrôle peut s’effectuer selon cinq techniques :
– la prise de connaissance de documents existants ;
– la conversation d’approche ;
– l’analyse des circuits par diagramme ;
– les questionnaires et les guides opératoires ;
– les grilles d’analyse de contrôle interne.

534
 Le contrôle interne 7
CHAPITRE

Les résultats de cette évaluation doivent permettre :

– d’identifier les points forts ;
– d’identifier les points faibles ;
et, ainsi, après avoir établi un document de synthèse, de passer à la vérification du fonction-
nement du système.
2.1 Prise de connaissance des documents existants
Cette prise de connaissance consiste à recenser tout ce qui peut aider l’auditeur à apprécier
les systèmes, procédures et méthodes de l’entreprise.
• Documents internes à l’entreprise :
– organigrammes, diagrammes ;
– circuits de documents ;
– description de postes ;
– manuels de procédure ;
– rapports des auditeurs internes.
• Documents externes à l’entreprise :
– dossier constitué par l’expert comptable ou le commissaire aux comptes lors d’une précé-
dente intervention ;
– rapports rédigés par d’autres professionnels.
2.2 Conversation d’approche
Il s’agit là de la technique la plus informelle. Le professionnel va, au cours d’un ou plusieurs
entretiens, demander de décrire les systèmes en place.
Cette technique présente un certain nombre d’avantages. En particulier, sur le plan psycho-
logique, il est moins frustrant pour les personnes entendues de décrire librement des
systèmes dans lesquels elles évoluent que de se sentir obligées de répondre à une foule de
questions dont elles ne perçoivent pas toujours l’articulation.
La principale difficulté de cette technique se situe au niveau de la synthèse à faire à la suite
des entretiens. Si l’entreprise étudiée est relativement petite, ce travail reste simple. Si, au
contraire, elle est importante, et les activités variées et complexes, la masse des informations
recueillies oralement est difficile à exploiter. Il apparaît qu’au-delà d’un certain seuil, la
conversation devient une démarche un peu empirique qui doit être délaissée au profit de
techniques plus élaborées.
2.3 Analyse de circuits par diagrammes
Un diagramme est une représentation graphique d’une suite d’opérations dans laquelle les
différents documents, postes de travail, de décisions, de responsabilités, d’opérations sont
représentés par des symboles réunis les uns aux autres suivant l’organisation administrative
de l’entreprise. Les objectifs des diagrammes de circulation sont :
– de donner un enregistrement des procédures et systèmes de l’entreprise et mettre en relief
les aspects importants du contrôle interne ;
– d’être une base pour les tests de conformité (voir ci-après section 5) qui servent à vérifier
que les procédures sont bien appliquées.

535
 7 Le contrôle interne
CHAPITRE

a) Présentation du diagramme de circulation

La présentation du diagramme peut varier selon les auteurs, mais dans l’ensemble on retient
deux modèles de présentation bien définis : le diagramme vertical et le diagramme
horizontal.
■ Le diagramme vertical
Cette forme de diagramme représente verticalement le circuit des documents. Les services
seront placés les uns au-dessous des autres et séparés par un trait horizontal.
La présentation du circuit de documents est faite selon l’ordre chronologique, c’est-à-dire
depuis sa création jusqu’à son archivage ou sa destruction.
■ Le diagramme horizontal
Comme dans le diagramme vertical, la représentation du circuit de documents est faite
selon l’ordre chronologique, mais la circulation entre les services se fait horizontale-
ment.
Du fait de la juxtaposition de plusieurs services les uns à côté des autres, le diagramme
horizontal se présente sur un imprimé de plus grand format que le diagramme vertical.
Dans la mesure du possible, pour la clarté du diagramme, il faut éviter d’utiliser trop de
symboles différents. Certains auteurs conseillent de faire des renvois pour noter certaines
explications qui, si elles figuraient sur le diagramme, l’alourdiraient. Il faut cependant
éviter d’user de ces notes trop souvent car elles feraient retomber tout l’intérêt du dia-
gramme.
Parmi les diagrammes connus sous la forme horizontale, on peut citer le diagramme
préconisé par les auteurs de l’ouvrage L’exercice du commissariat aux comptes dans le cadre
de la nouvelle législation des sociétés commerciales, Ordre des Experts-Comptables, 1970,
p. 478-479. (Voir modèle des symboles ci-après.)
b) Symboles utilisés
Il existe autant de tables de symboles qu’il y a d’auteurs.
Le choix d’une table de symboles n’est pas primordial, mais il est souhaitable que dans un
même groupe de travail, une seule table soit adoptée par tous. Ainsi, les cabinets d’expertise
comptable qui se regroupent pour les missions importantes doivent utiliser les mêmes
méthodes de travail.

536
 Le contrôle interne 7
CHAPITRE

Document : facture, carte de pointage, bulletin de paie, pièce de caisse

Document récapitulatif : état tableau, feuille journalière de caisse »

Ne pas confondre avec le symbole général traitement.

Établissement d’une liasse

Lettre dans le triangle

Classement définitif : définit le mode de classement
Classement provisoire : A alphabétique, N numérique, C chronologique

V Placé sous un triangle, le classement indique que la vérification de la suite

numérique fait partie du système.
Circulation physique d’un document
En cas d’ambiguïté, le numéro de l’exemplaire de la liasse est indiqué.
Sortie du circuit :
– client : envoi
– fournisseur envoi
– détruit
Renvoi à une autre page à un symbole identique portant la même lettre

Point de départ d’un circuit placé au-dessus d’un document initial

537
 7 Le contrôle interne
CHAPITRE

Opération administrative effectuée : description brève

Renvoi en bas de page. La lettre A indique que la description de l’opération est

A trop longue pour figurer dans le cercle et est renvoyée en bas de page sous
Prénuméroté référence A.
Indiquer :
– prénuméroté
– numéroté quand émis
– non numéroté
Circulation d’information par opposition à circulation physique d’un document.
Par exemple, vérification d’un prix d’achat. Cette ligne joint une copie du bon de
commande et la facture fournisseur.
Joindre, attacher, coller, agrafer
J Ce symbole ne doit pas être utilisé si les documents ne sont pas physiquement
joints : utiliser dans ce cas la circulation d’information.
Livre, grand-livre, tarif, livre d’inventaire, tout livre relié ou à feuillets mobiles

Bande d’additionneuse

Traitement sur procédé comptable autre qu’ordinateur ou carte perforée tel que
décalque main, machine comptable

EXEMPLE
La société Xavier fabrique des jouets. La livraison des matières premières et des pièces détachées
diverses est effectuée par le responsable de magasin qui au vu de ses stocks commande aux fournis-
seurs. La livraison des fournisseurs ne donne pas lieu à un bon de réception mais chaque service a
l’habitude de conserver le bon de livraison donné par le fournisseur. Les factures sont directement
reçues par le service comptabilité qui les enregistre en comptabilité et dans un échéancier puis les
classe dans des dossiers (un par fournisseur). Les règlements sont effectués par chèques préparés par
le service comptable et signés par le PDG qui les remet ensuite au service comptable, celui-ci ayant
alors la charge de les comptabiliser puis de les envoyer au fournisseur.
Le diagramme de circulation de documents pourra se présenter sous forme de tableau à colonnes ; on
pourra envisager les colonnes suivantes :
– fournisseurs ;
– magasin ;
– services utilisateurs ;
– comptabilité ;
– P-DG.

538
 Le contrôle interne 7
CHAPITRE

Les symboles des documents utilisés seront ensuite reliés entre eux par une ligne continue s’il s’agit
d’une circulation de documents, ou une ligne en pointillés s’il s’agit d’une circulation d’information. On
présentera dans la première colonne un libellé des opérations.

EXTRAIT DU DIAGRAMME DE CIRCULATION DE DOCUMENTS

Fournisseurs Magasin Services Comptabilité P-DG

I. Passation des commandes
Par le service magasin

II. Livraison
Pas de bon de réception L L
Bons de livraisons conservés
par les services
III. Facturation fournisseurs
Factures reçues par le service F F
comptable
Enregistrement comptable
et notation de l’échéance
E
Classement dans le dossier
fournisseurs
Cl
IV. Règlement
Préparation des chèques C
C
par le service comptable S
Signature par le P-DG
Comptabilisation en envoi
au fournisseurs E
B : Bon de commande • L : Bon de livraison • F : Facture • C : Chèque • E : Enregistrement • Cl : classement • S : Signature

2.4 Questionnaires et guides opératoires

Les questionnaires permettent à l’auditeur, grâce à un grand nombre d’interrogations
précises, de déceler les forces et les faiblesses du contrôle interne.
Les questionnaires se présentent habituellement sous deux formes: l’une simplifiée qui ne
motive pas d’autre réponse que le oui ou le non appelés questionnaires fermés et l’autre plus
complète, qui entraîne nécessairement des observations détaillées dénommés question-
naires ouverts.
Les questionnaires sont souvent précédés de guides opératoires qui permettent de les
préparer afin qu’aucune question essentielle ne soit omise. À la limite, les guides opératoires
peuvent servir de questionnaires.

539
 7 Le contrôle interne
CHAPITRE

Faciles d’emploi les questionnaires garantissent qu’aucun point fondamental à examiner

n’est oublié. En revanche, il y a lieu de se méfier du caractère standard des listes types qui
sont à adapter aux entreprises en cause.
La liste des contrôles possibles établie par la Compagnie nationale des commissaires aux
comptes dans « l’Encyclopédie des contrôles comptables » est établie par cycles et permet de
réaliser une analyse quasi exhaustive des processus de contrôles internes.

EXEMPLE DE LISTE DE MODULES DE CONTRÔLE

Achats et fournisseurs Ventes et clients
Immobilisations Trésorerie et recettes
Paie et personnel Caisses et banques
Trésorerie et dépenses Engagements hors bilan
Stocks

EXEMPLE DE QUESTIONNAIRE ACHATS FOURNISSEURS

Ce questionnaire définit d’abord les objectifs du contrôle interne du module. Il
permet ensuite d’apprécier la séparation des fonctions, puis il analyse les procé-
dures de contrôle interne pour chacune des étapes du circuit :
– commandes ;
– réception des marchandises et services ;
– contrôle des factures ;
– comptabilisation des factures et avoirs ;
– provisions pour factures à recevoir ;
– justification des soldes ;
– suivi des litiges.

EXTRAIT DU QUESTIONNAIRE
Objectifs du contrôle interne
L’analyse du système de contrôle interne de la fonction Achats fournisseurs doit
permettre de s’assurer que :
– tous les achats (matières et services) de l’entreprise sont correctement
autorisés et comptabilisés ;
– les achats comptabilisés correspondent à des dépenses réelles de l’entreprise.
– les dépenses sont faites dans l’intérêt de l’entreprise et conformément à son
objet ;
– tous les avoirs à obtenir sont enregistrés ;
– toutes les dettes concernant les marchandises et services reçus sont enregis-
trées dans la bonne période ;
– les engagements pris par l’entreprise et devant figurer dans l’annexe sont
correctement suivis.

540
 Le contrôle interne 7
CHAPITRE

Commandes
• Existe-t-il un système de déclenchement automatique des commandes lorsque
les stocks arrivent à une quantité minimum ?
• Si oui, les quantités minima sont-elles revues régulièrement en fonction des
besoins réels de la fabrication ?
• Les commandes de biens ou de services ne sont-elles passées que sur la base
de demandes d’achats établies par des personnes habilitées ?
• Chaque service demandeur dispose-t-il d’un budget de dépenses prévision-
nelles ?
• Si oui, la consommation de ces budgets est-elle suivie régulièrement pour
éviter les dépassements ?
• Ce suivi tient-il compte des commandes engagées mais non encore facturées ?

• Des bons de commande sont-ils établis systématiquement ?

• Si oui, sont-ils :

– prénumérotés ?
– établis en quantités et en valeur ?
– signés par un responsable, au vu de la demande d’achat ?
• Existe-t-il une liste des fournisseurs autorisés, pour les achats courants ?

• Si oui, est-elle :

– approuvée par un responsable ?

– régulièrement mise à jour ?
• Les prix proposés sont-ils comparés avec le marché ?

• Les autres achats font-ils l’objet d’appel d’offre, au moins au-dessus d’un
certain montant ?
• Existe-t-il une procédure permettant d’éviter les commandes excessives ?

• Si des bons de commande prénumérotés sont utilisés, leur séquence

numérique est-elle utilisée pour :
– enregistrer les engagements pris par l’entreprise ?
– identifier les retards d’exécution ?
• Existe-t-il une procédure de relance des fournisseurs en retard de livraison ?
Ces fournisseurs sont-ils soumis à des pénalités ?
• Un exemplaire des bons de commande est-il communiqué :

– au service de réception ?
– à la comptabilité ?
• Si oui, ces services s’assurent-ils qu’ils les reçoivent tous ?

• La société exerce-t-elle un contrôle sur les cadeaux et autres avantages

accordés aux acheteurs par les fournisseurs ?
• Les procédures de contrôle des achats sont-elles revues périodiquement par
les auditeurs internes ou autres personnes indépendantes du service achat
pour s’assurer que la politique de la société est bien appliquée ?

541
 7 Le contrôle interne
CHAPITRE

2.5 Grilles d’analyse du contrôle interne

Les grilles d’analyse de contrôle interne ou grilles d’analyse faisant ressortir les fonctions
assumées par les postes de travail sont des tableaux à double entrée effectuant l’inventaire
des différentes opérations réalisées et permettant en particulier de repérer les cumuls de
fonctions.

EXEMPLE DE GRILLE D’ANALYSE DES ACHATS

Services
Courrier Achats Comptabilité Trésorerie
Opérations
M. Mme Mme M.
M. Dufour
Jonas Joseph Duval Bernard
Arrivée des factures X
Apposition cachet contrôle X
Comparaison facture/bon de
commande X
Vérifications calculs et additions X
Indication du bon à payer X
Regroupement factures X
Comptabilisation factures X
Préparation avis de paiement X
Préparation chèques fournisseurs X
Établissement de l’état
de présence et du brouillard
de banque X
Comptabilisation état
des règlements X
Classement état des règlements X

3. Évaluation de l’existence du contrôle interne

Dans la démarche de l’auditeur, cette étape revient à identifier les forces et les faiblesses du
système examiné. Cette évaluation peut se faire soit dans un rapport de synthèse, soit par un
tableau d’évaluation du système précisant l’impact des faiblesses sur les états financiers, les
incidences sur la révision ou les recommandations à faire pour améliorer le système.
3.1 Rapport d’évaluation du contrôle interne
L’auditeur peut, pour orienter sa mission, rédiger une note qui résume pour chaque poste
significatif :
– le ou les systèmes comptables qui l’alimentent ;
– le processus de jugement qui l’affecte ;

542
 Le contrôle interne 7
CHAPITRE

– les contrôles internes sur lesquels il a décidé de s’appuyer et les conséquences sur l’étendue
des contrôles si les résultats des tests sur ces contrôles internes sont satisfaisants ;
– la nature, l’étendue et le calendrier des autres vérifications à effectuer, lorsqu’il n’y a pas de
contrôles internes sur lesquels il puisse s’appuyer, pour qu’il ait la possibilité de s’assurer
qu’il n’y a pas d’erreurs significatives.
3.2 Tableau d’évaluation du système
Ce tableau qui peut être intégré au questionnaire, voire au diagramme de circulation,
comprend les analyses suivantes
– les forces du système de contrôle ;
– les faiblesses du système de contrôle ;
– les effets possibles de ces faiblesses ;
– l’incidence des faiblesses sur les états financiers ;
– l’incidence des faiblesses sur le programme d’audit des comptes ;
– les recommandations à faire à l’entreprise.
Le modèle suivant peut être utilisé.

Incidences Incidence
Faiblesses
Références Forces sur les états financiers sur le Recomman-
apparentes Effets
QCI du système progamme dations
du système possibles oui/
ou DIAG de contrôle raison d’audit au client
de contrôle non des comptes

QCI 25 Factures achats Pertes oui Achats non Vérifier que les Effectuer la
non de factures, comptabilisés comptabilisa- comptabilisation
comptabilisées omission ou comptabi- tions d’achats dès réception
dès leur ou retard lisés dans un n’ont pas été
réception d’enegistrement autre exercice oubliées

QCI : questionnaire contrôle interne.

DIAG : diagramme de circulation.

4. Contrôle de l’application permanente des procédures

Après avoir évalué l’existence d’un dispositif de contrôle interne, l’auditeur testera si ce
dispositif est appliqué de manière permanente.
4.1 Vérification de l’existence du système
L’auditeur a pris connaissance du système et des procédures de l’entreprise. Il en a dégagé
les forces et les faiblesses. Il va s’assurer que le système qui lui a été décrit existe réellement.
En pratique, cette étape s’effectue en même temps que la description du système. Il ne s’agit
pas ici de rechercher les erreurs dans le fonctionnement du système mais seulement que le
système décrit est bien en place tel qu’il a été décrit.
a) Mise en œuvre
L’auditeur sélectionnera un nombre limité de transactions. Il suivra ces transactions dans le
circuit en remontant jusqu’à leur origine et en descendant jusqu’à leur dénouement.

543
 7 Le contrôle interne
CHAPITRE

L’auditeur examinera si les contrôles prévus sont effectués. Le nombre de tests à effectuer
peut être réduit : trois à cinq. En revanche, chaque nature de transaction doit être ainsi
testée.
b) Exploitation des tests
Les tests effectués donnent une assurance quant à la correcte description du système. Si cela
n’était pas le cas, la description devrait être corrigée.

EXEMPLE D’APPLICATION DE TEST SUR LES ACHATS (FACTURE 12235)

Opérations Observations
Comparaison facture/bon de commande X Facture 12235/Commande 1272
Vérifications calculs et additions X Visa
Comptabilisation facture X Opération 2337
Préparation avis de paiement X
Préparation chèque X Chèque 3634
Comptabilisation état règlements X État 212
X = Procédure conforme au diagramme.

4.2 Vérification du fonctionnement du système

Les conclusions de l’étape précédente ont permis d’identifier les points forts et les points
faibles du système.
Souvent, un complément d’information est nécessaire avant de conclure à une faiblesse. Il
convient en particulier de rechercher si la faiblesse peut être compensée par une procédure
de remplacement.
Si une faiblesse est effectivement constatée et qu’aucune procédure de compensation n’a été
décelée, il convient que l’auditeur examine les conséquences de cette faiblesse :
– la faiblesse a-t-elle effectivement conduit à des erreurs ou irrégularités ?
– quelles sont les incidences sur l’expression de l’opinion sur les comptes annuels ?
Par ailleurs, il est essentiel de savoir si les points forts recensés et sur lesquels on s’appuie ont
bien fonctionné comme cela était prévu et sur l’ensemble de la période étudiée.
L’auditeur utilisera pour effectuer ses tests la technique des sondages. Il sélectionnera son
échantillon sur lequel il appliquera ses procédés de vérification selon la technique la mieux
adaptée aux circonstances.
L’auditeur devra, en se fondant sur les résultats des sondages auxquels il a procédé, déter-
miner si le contrôle interne répond à ce qu’il en attendait. L’auditeur pourra ainsi préparer
un programme de contrôle des comptes adapté au niveau de qualité du contrôle interne.
Les dossiers de travail feront apparaître les liens existant entre les résultats de l’appréciation
du contrôle interne et la nature et la valeur des travaux prévus dans le programme de
contrôle des comptes.

544
 Le contrôle interne 7
CHAPITRE

EXEMPLE DE QUESTIONNAIRE DE VÉRIFICATION DU FONCTIONNEMENT DES PROCÉDURES D’ACHAT

Entreprise : Nature des travaux : Page :

Programme de vérification du fonctionnement
Exercice : des procédures Date :
Fait
Description du contrôle Étendue
par le
1. Comparer les demandes d’achat avec le fichier stock. S’assurer
qu’on ne réapprovisionne qu’au stock minimum
2. Signature des demandes d’achat
3. Recoupements entre les demandes d’achat et les bons de
commande (désignation, quantités)
4. Recoupements entre prix indiqués sur les bons de commande
et le fichier des prix
5. Recoupements entre bon de commande et bons de réception
(désignation, quantités)
6. Mise à jour du fichier stock au vu des bons de réception
7. Recoupements bons de réception (factures pour les désignations
et quantités et bons de commande ; factures pour les prix)
8. Vérification du bon à payer sur les factures
9. Recoupements factures/états des règlements
10. Comptabilisation des règlements sur les comptes fournisseurs
et le journal de banque

5. Incidence de l’environnement informatique

dans la démarche de l’auditeur
La norme 2-302 de la CNCC édictait notamment quatre obligations pour le commissaire
aux comptes.
• Il doit posséder ou acquérir une connaissance suffisante de l’environnement informatique
de l’entité pour planifier, diriger, superviser et revoir les travaux de contrôle effectués. Si des
compétences informatiques particulières sont nécessaires pour réaliser sa mission, il peut se
faire assister d’un expert.
• Il doit prendre en compte l’environnement informatique dans la définition de procédures
d’audit visant à réduire le risque d’audit à un niveau acceptable faible.
• Il doit acquérir une connaissance suffisante des systèmes comptable et de contrôle interne
pour planifier la mission et concevoir une approche d’audit efficace. Dans la planification
des aspects de l’audit susceptibles d’être influencés par l’environnement informatique de
l’entité, il doit tenir compte de l’importance et de la complexité des systèmes informatiques
ainsi que de la disponibilité des données pouvant être utilisées pour l’audit. Dans un

545
 7 Le contrôle interne
CHAPITRE

environnement informatique utilisant des systèmes importants et complexes, le commis-

saire aux comptes acquiert également la connaissance de cet environnement et détermine si
celui-ci peut influencer l’évaluation du risque inhérent et l’évaluation du risque lié au
contrôle.
• Il doit, enfin, évaluer le risque inhérent et le risque lié au contrôle pour chacune des asser-
tions importantes sous-tendant l’établissement des comptes.
5.1 Prise de connaissance de la fonction informatique de l’entreprise
Il faut tenir compte de l’organisation de la fonction informatique, des compétences infor-
matiques du personnel et de l’importance de l’informatique dans l’entreprise.
a) Organisation de la fonction informatique
Les éléments utiles à l’étude de l’organisation de la fonction informatique sont les suivants :
– les caractéristiques de l’organisation informatique (existence ou non de la fonction infor-
matique, vérification de l’existence d’un organigramme à jour comprenant une définition
des fonctions et un partage clair des rôles et des responsabilités pour chaque poste, vérifi-
cation que l’ensemble des composantes d’une fonction informatique, notamment exploi-
tation, études, et sécurité informatique est convenablement pris en compte) ;
– la séparation des tâches (caractère distinct des tâches et des environnements relatifs aux
fonctions études et exploitation, maintien de la séparation des tâches lors de la rotation
des équipes, des congés ou du départ d’un salarié) ;
– le recours aux prestataires (nombre de prestataires, degré de dépendance vis-à-vis des
prestataires, fonctions exercées).
b) Compétences informatiques du personnel
Les éléments à prendre en compte dans l’étude des compétences informatiques du
personnel sont les suivants :
– niveau de compétence (en rapport avec les besoins actuels et futurs, niveau de formation,
mesure des performances du personnel) ;
– charge de travail par rapport aux ressources humaines disponibles (niveau d’occupation,
importance de la dépendance vis-à-vis des personnes clés, existence des ressources néces-
saires pour l’exécution des opérations régulières ;
– niveau de rotation du personnel (nombre de départs sur les deux dernières années,
stabilité du niveau d’occupation, motivation des collaborateurs).
c) Importance de l’informatique dans l’entreprise
Les éléments à prendre en compte pour apprécier l’importance de l’informatique dans
l’entreprise sont les suivants :
– degré d’incidence de l’informatique sur la production des informations comptables et
financières ;
– degré d’automatisation (nombre de traitements automatisés, taille des systèmes, nombre
d’opérations traitées, organisation limitant l’utilisation du papier) ;
– caractéristiques du système d’information (besoins de l’activité, volume de transactions
important, utilisation importante de technologies (télétraitement, internet), exploitation
en temps réel ou traitement par lot différé, génération automatique d’opérations ;

546
 Le contrôle interne 7
CHAPITRE

– utilisation et sensibilité de l’informatique (impact sur la production des comptes, infor-

mations confidentielles stockées dans les systèmes, contexte réglementaire, utilisation des
systèmes pour développer de nouveaux produits par rapport aux concurrents) ;
– temps d’indisponibilité maximale tolérable (activité dépendante de l’informatique,
impacts d’une interruption du système d’information).
5.2 Description du système d’information
La description du système d’information de l’entreprise consiste à :
– formaliser la cartographie des applications ;
– apprécier le degré de complexité du système d’information ;
– identifier les processus à analyser, utiles aux objectifs de l’audit.
a) Cartographie générale des applications
La réalisation d’une cartographie générale des applications permet de comprendre et de
documenter les composantes du système d’information. Elle permet en outre de mettre en
évidence les risques potentiels liées à cette architecture. L’établissement de la cartographie
du système d’information nécessite l’identification des principales applications et inter-
faces.
b) Appréciation de la complexité du système d’information
L’appréciation de la complexité du système d’information permet de décider si des compé-
tences informatiques particulières sont nécessaires pour réaliser la mission et s’il convient
que le commissaire aux comptes se fasse assister d’un expert.
c) Identification des processus à analyser
L’évaluation des risques n’est pas seulement influencée par les seules applications informa-
tiques. En effet, l’incidence de l’environnement informatique sur le risque inhérent et le
risque lié au contrôle ne peut être appréciée sans prendre en compte la notion de flux
d’information ou processus. Pour chacun des processus concourant directement ou
indirectement à la production des comptes, il est nécessaire de déterminer les applications
qui participent aux traitements des données. Cette détermination s’effectue à partir de la
cartographie réalisée précédemment.
5.3 Incidence de l’environnement informatique sur le risque inhérent
L’incidence de l’environnement informatique sur le risque inhérent s’apprécie au regard
des éléments suivants. Les questions qui suivent peuvent alors se poser.
a) Conception et acquisition des solutions informatiques
• Comment sont achetées ou développées les solutions informatiques ?

• Comment sont installés et validés les nouveaux systèmes informatiques ?

• Comment est assurée la maintenance du système d’information ?

b) Distribution et support informatique

• Quelle est la qualité du support fourni aux utilisateurs ?

• Comment sont gérés les problèmes d’exploitation quotidiens ?

• Comment sont gérées les fonctions externalisées ?

547
 7 Le contrôle interne
CHAPITRE

c) Gestion de la sécurité
• Comment sont gérés les sauvegardes et existe-t-il un plan de secours ?

• Comment est définie et mise en ouvre la sécurité logique ?

• La sécurité physique est-elle satisfaisante ?

d) Gestion des projets informatiques

Lorsque le projet informatique représente un investissement significatif, ou lorsqu’il peut
avoir une incidence sur le système comptable, il est pertinent d’apprécier l’existence et
l’efficience des procédures de gestion de projet au regard des risques financiers généra-
lement encourus ou des conséquences possibles sur les conditions d’établissement des
comptes.
Les caractéristiques de l’environnement informatique d’une entreprise peuvent entraîner
un risque inhérent élevé et avoir une conséquence à terme sur la continuité d’exploitation.
Une entreprise fortement dépendante de son informatique peut voir remise en cause son
activité, en cas de défaillance majeure survenant dans son système d’information.
5.4 Incidence de l’environnement informatique sur le risque lié au contrôle
L’incidence de l’environnement informatique sur le risque lié au contrôle est appréciée à
travers l’étude des processus et des applications jouant un rôle significatif direct ou indirect
dans la production des comptes de l’entreprise.
L’identification des contrôles à effectuer est fonction des résultats obtenus dans les phases
« orientation et planification de la mission » et « incidence de l’environnement informa-
tique sur le risque inhérent ».
La fiabilité des contrôles applicatifs mis en place par l’entreprise permet d’alléger les
contrôles sur les comptes en apportant une assurance suffisante sur la fiabilité des données
présentes dans le système d’information. En cas d’anomalies décelées au niveau des
contrôles applicatifs, des contrôles substantifs plus élaborés seront nécessaires, avec ou sans
recours à des techniques d’audit assistées par ordinateur.
a) Types de contrôles applicatifs
Il existe en fait deux types de contrôle :
– les contrôles programmés : contrôles effectués automatiquement par une application ;
– les contrôles manuels : contrôles effectués par l’utilisateur pour compléter les contrôles
programmés.
Ces deux types de contrôle peuvent être préventifs ou de détection : les contrôles préventifs
sont des contrôles qui sont effectués a priori, c’est-à-dire avant d’effectuer toute action dans
le système (par exemple, identification/authentification par un mot de passe) alors que les
contrôles de détection sont des contrôles effectués a posteriori et qui permettent de déter-
miner si une anomalie s’est produite (par exemple, état des tentatives d’accès non
autorisées).
Les contrôles peuvent être des contrôles bloquants, empêchant l’utilisateur d’aller plus loin
si le résultat du contrôle est négatif, ou simplement des alertes ayant pour objectif
d’informer du résultat du contrôle.
Seuls les contrôles programmés seront présentés ci-après, les contrôles manuels faisant
l’objet des vérifications habituelles de la part de l’auditeur.

548
 Le contrôle interne 7
CHAPITRE

b) Contrôles programmés
Les contrôles programmés sont les contrôles effectués automatiquement par les
programmes aux différents stades du traitement de l’information. On distingue quatre
types de contrôles programmés.
■ Contrôles d’accès à l’application
Exemple : à chaque compte d’utilisateur est associé un profil définissant les droits d’accès,
de consultation, de mise à jour des données de tout ou partie des fonctionnalités d’une
application.
■ Contrôles à la saisie des données
Exemple : contrôle des données saisies par clé de contrôle (numéro de Sécurité sociale
notamment) ou contrôle d’un lot d’opérations par son total.
■ Contrôles des traitements
Exemple : dans le cas d’un fichier de stocks comprenant un nombre très important de
références, on effectuera des contrôles sur quelques références afin de vérifier que les traite-
ments effectués dans la journée (préparation des commandes, réception des marchandises,
etc.) ont été pris en compte correctement dans le fichier.
■ Contrôles des sorties
Les contrôles des sorties permettent de vérifier que :
– le système a imprimé tous les états prévus ;
– les états sont complets et exacts ;
– les états sont correctement transmis aux bons destinataires.
c) Mise en œuvre de l’appréciation du risque lié aux contrôles applicatifs
L’appréciation du risque lié aux contrôles applicatifs suit les étapes suivantes :
– la formalisation des processus sous la forme d’un diagramme de flux ou diagramme
d’enchaînement de tâches/étapes ;
– l’identification des risques théoriques sur la base des assertions sous-tendant l’établis-
sement des comptes et l’évaluation de leur probabilité de survenance ;
– l’identification et l’appréciation des contrôles internes (programmés et utilisateurs) mis
en œuvre par l’entreprise pour couvrir les risques correspondants ;
– l’incidence sur le risque lié au contrôle.
5.5 Particularités de l’audit en environnement de progiciel de gestion intégré
ou en environnement internet
a) Particularités de l’audit en environnement de progiciel de gestion intégré
Les progiciels de gestion intégrés ou ERP en anglais (Enterprise Resource Planning) sont des
logiciels qui permettent de gérer l’ensemble des processus d’une entreprise, en intégrant
l’ensemble des fonctions de cette dernière comme la gestion des ressources humaines, la
gestion comptable et financière, l’aide à la décision, mais aussi la vente, la distribution,
l’approvisionnement et le commerce électronique.
L’existence d’un progiciel de gestion intégré dans une entreprise peut nécessiter des
contrôles spécifiques par l’auditeur. Il est en effet généralement plus difficile d’appréhender
des progiciels que des applications spécifiques, en raison de l’existence de paramètres et

549
 7 Le contrôle interne
CHAPITRE

d’habilitations. Le système d’information apparaît fermé en première approche, rendant

difficiles les travaux de contrôle interne.
La gestion des droits d’accès est un domaine qui doit être étudié systématiquement. Le
choix d’un progiciel de gestion intégré conduit à regrouper au sein d’une même application
de nombreuses fonctionnalités, qui auparavant pouvaient être réparties entre plusieurs
systèmes. Ainsi, la gestion du cycle achats peut intégrer les fonctionnalités suivantes : le
référencement fournisseurs, la passation des commandes, la vérification des bons de
livraison, le rapprochement des factures, le paiement.
Il convient de prendre connaissance également :
– de la manière dont la gestion des habilitations a été réalisée, car certaines entreprises ont
pu, par défaut, accorder les mêmes droits d’accès à l’ensemble des utilisateurs ;
– de la documentation communiquée par l’éditeur.
Il est également nécessaire de vérifier les paramètres généraux de sécurité, leur absence étant
considérée comme une faiblesse générale du système d’information :
– gestion des mots de passe (longueur, fréquence de renouvellement…) ;
– protection du poste de l’utilisateur (blocage en cas de tentatives de connexion, décon-
nexion automatique passé un certain délai sans utilisation) ;
– historique des opérations effectuées par les utilisateurs.
b) Particularités de l’audit en environnement internet
De nombreux risques particuliers sont liés à internet. On peut distinguer les risques
juridiques et les risques techniques.
■ Risques juridiques
Parmi les principaux risques juridiques, spécifiques ou renforcés par l’internet, on peut
citer :
– protection des données personnelles (problèmes posés par la loi du 6 janvier 1978 relative
à l’informatique, aux fichiers et aux libertés notamment) ;
– pratiques commerciales ;
– risques immatériels et responsabilité civile professionnelle ;
– fiscalité du commerce électronique ;
– publication sur internet d’œuvres protégées.
■ Risques techniques
Les principaux risques techniques, spécifiques ou renforcés par l’internet, sont les suivants :
– disponibilité ;
– sécurité des transactions ;
– intrusions ;
– infections virales.
Le caractère significatif ou non de l’activité internet de l’entreprise auditée, la complexité et
la diversité des fonctionnalités, ainsi que les caractéristiques des produits ou services offerts,
nécessitent une analyse adaptée des risques juridiques et techniques qui en résultent.
Concernant l’analyse des risques techniques, elle peut être facilitée lorsque l’entreprise
souscrit à des services de tests de vulnérabilité et de performances. Ces services sont

550
 Le contrôle interne 7
CHAPITRE

proposés la plupart du temps sous la forme de rapports en ligne, mis à jour régulièrement,
auxquels l’entreprise peut accéder en permanence pendant toute la durée du contrat.

6. Conclusions de l’évaluation du contrôle interne

L’objectif que poursuit l’auditeur en appréciant le contrôle interne est de déterminer dans
quelle mesure il pourra s’appuyer sur ce contrôle interne pour définir la nature, l’étendue et
le calendrier de ses travaux. Il pourra aussi, pour orienter sa mission de contrôle, synthétiser
dans une note, pour chaque compte significatif :
– le ou les systèmes comptables qui l’alimentent ;
– le processus de jugement qui l’affecte ;
– les contrôles internes sur lesquels il a décidé de s’appuyer et les conséquences sur l’étendue
des contrôles si les résultats des tests sur ces contrôles internes sont satisfaisants ;
– la nature, l’étendue et le calendrier des autres vérifications à effectuer, lorsqu’il n’y a pas de
contrôles internes sur lesquels il puisse s’appuyer, pour qu’il ait la possibilité de s’assurer
qu’il n’y a pas d’erreurs significatives.
Tout au long des travaux qu’il réalisera dans le cadre de l’appréciation du contrôle interne,
l’auditeur ne devra pas perdre de vue cet aspect décisionnel. Il pourra cependant formuler
des recommandations.

551
APPLICATIONS application 50 Analyse de la norme d’exercice professionnel
« Procédures d’audit mises en œuvre par le commissaire
aux comptes à l’issue de son évaluation des risques »
application 51 Séparation des fonctions
application 52 Grille de fonctions
application 53 Contrôle interne
application 54 Analyse objectifs contrôle interne d’après questionnaire AMF
application 55 Contrôle interne système de ventes
application 56 Contrôle des comptes
application 57 Audit dans un environnement informatique

APPLICATION 50
Analyse de la norme d’exercice professionnel
« Procédures d’audit mises en œuvre par le commissaire aux comptes
à l’issue de son évaluation des risques »
Le commissaire aux comptes qui vous emploie vous demande d’analyser la norme d’exercice professionnel
« Procédures d’audit mises en œuvre par le commissaire aux comptes à l’issue de son évaluation des
risques » homologuée par arrêté ministériel en date du 19 juillet 2006 et dont un certain nombre de dis-
positions vous sont fournies en annexe I et vous demande de répondre à un certain nombre de questions.

QUESTIONS
1. Qu’appelle-t-on « risque d’anomalies significatives » (§ 1) ?
2. Qu’appelle-t-on « procédures d’audit » (§ 2) ?
3. Qu’appelle-t-on « assertions » (§ 5) ?
4. Que peuvent comprendre les « tests de procédures » (§ 5) ?
5. Qu’appelle-t-on « contrôles de substance », de quels types de contrôles peut-il s’agir (§ 5) ?
6. Qu’appelle-t-on « procédures analytiques » (§ 11) ?
7. Qu’appelle-t-on « observations physiques » ? Quels sont les éléments qui peuvent être
observés (§ 11)
8. Qu’appelle-t-on « inspection » (§ 11) ?
9. Comment le commissaire au compte peut-il évaluer le risque inhérent (§ 18) ?
10. Qu’est-ce que le risque lié au contrôle (§ 19) ?
11. Qu’appelle-t-on « référentiel comptable » (22) ?
12. Quelle documentation le commissaire aux comptes doit-il réunir dans ses dossiers de travail
(§ 27) ?

552
 Le contrôle interne 7
CHAPITRE

ANNEXE 1
Extrait de la norme d’exercice professionnel « procédures d’audit
mises en œuvre par le commissaire aux comptes
à l’issue de son évaluation des risques »
I. Après avoir pris connaissance de l’entité et évalué le risque d’anomalies significatives dans les comptes,
le commissaire aux comptes adapte son approche générale et conçoit et met en œuvre des procédures
d’audit lui permettant de fonder son opinion sur les comptes.
II. La présente norme a pour objet de définir :
• les principes relatifs à l’adaptation de son approche générale et à la conception des procédures d’audit
en réponse à son évaluation du risque d’anomalies significatives ;
• les procédures d’audit à mettre en œuvre indépendamment de cette évaluation ;
• les principes relatifs à l’évaluation du caractère suffisant et approprié des éléments collectés afin de for-
muler son opinion.
V. En réponse à son évaluation du risque au niveau des assertions, le commissaire aux comptes conçoit et
met en œuvre des procédures d’audit complémentaires à celles réalisées pour cette évaluation. Ces procé-
dures d’audit comprennent des tests de procédures, des contrôles de substance, ou une approche mixte
utilisant à la fois des tests de procédures et des contrôles de substance.
Le commissaire aux comptes détermine la nature, le calendrier et l’étendue des procédures d’audit qu’il
réalise en mettant en évidence le lien entre ces procédures d’audit et les risques auxquels elles répondent.
XI. Pour être en mesure de conclure quant à l’efficacité ou non du contrôle mis en œuvre par l’entité, le
commissaire aux comptes, en plus des demandes d’information, utilise une ou plusieurs autres techniques
de contrôle comme, par exemple, les procédures analytiques, l’observation physique, l’inspection, la ré-exé-
cution de certains contrôles réalisés par l’entité. Les tests de procédures ne se limitent pas à des demandes
d’information.
XVIII. Lorsque, lors de son évaluation du risque d’anomalies significatives, le commissaire aux comptes a
identifié un risque inhérent élevé qui requiert une démarche d’audit particulière, il met en œuvre des
contrôles de substance qui répondent spécifiquement à ce risque.
XIX. Plus le commissaire aux comptes estime que le risque d’anomalies significatives est élevé, plus les
contrôles de substance qu’il réalise sont étendus. Par ailleurs, étant donné que le risque d’anomalies signi-
ficatives intègre le risque lié au contrôle, des résultats des tests de procédures non satisfaisants augmen-
tent l’étendue des contrôles de substance nécessaires.
XXII. De plus, le commissaire aux comptes met en œuvre les procédures d’audit suivantes :
• rapprochement des comptes annuels ou consolidés avec les documents comptables dont ils sont issus ;
• examen des écritures comptables significatives, y compris des ajustements effectués lors de la clôture des
comptes ; et
• évaluation de la conformité au référentiel comptable applicable de la présentation des comptes, y com-
pris les informations fournies en annexe.
XXVII. Le commissaire aux comptes consigne dans son dossier :
a) L’adaptation de son approche générale en réponse au risque d’anomalies significatives au niveau des
comptes pris dans leur ensemble.
b) La nature, le calendrier et l’étendue des procédures d’audit conçues et mises en œuvre en réponse à son
évaluation du risque d’anomalies significatives ;

553
 7 Le contrôle interne
CHAPITRE

c) Le lien entre ces procédures et les risques évalués au niveau des assertions ; et
d) Les conclusions des procédures d’audit.
De plus, lorsque le commissaire aux comptes utilise des éléments sur l’efficacité des contrôles internes col-
lectés lors d’audits précédents, il consigne dans son dossier ses conclusions sur le fait qu’il peut s’appuyer
sur ces contrôles.

APPLICATION 51
Séparation des fonctions
Vous êtes responsable de l’équipe chargée de la révision des comptes de la « Société Commer-
ciale du Sud » SARL dont l’activité principale est d’approvisionner les commerces du sud de l’Île
de la Réunion en matériel électroménager et audiovisuel importé.
C’est la première fois que cette société fait appel au cabinet d’expertise comptable qui vous
emploie.
Il est donc indispensable qu’après la phase de « prise de connaissance » de l’entreprise, vous
entrepreniez une évaluation du contrôle interne de la SARL.
Le programme de travail que vous avez établi vous attribue, entre autres, l’étude du circuit
« ventes – effets à recevoir ».
Vous avez rassemblé les renseignements suivants :
– les factures sont toutes systématiquement envoyées aux clients par le service « Facturation » accompa-
gnés d’une traite à deux mois pour acceptation. Un double de la traite, portant la mention « duplicata »
est transmis au service comptable en même temps que le double de la facture ;
– les traites acceptées et retournées par les clients sont transmises au service comptable par le service
courrier. Un comptable enregistre l’effet à recevoir, le compare avec le duplicata et le classe dans un
échéancier ;
– chaque fin de semaine, ce même comptable établit un relevé de traites figurant dans l’échéancier, qu’il
remet au chef comptable. C’est celui-ci qui détermine, en fonction de la position de trésorerie, les effets
à escompter et les effets à remettre à l’encaissement ;
– le comptable rédige le lundi matin les bordereaux de remise à l’encaissement et à l’escompte et va les
remettre, accompagnés des traites à la banque.

QUESTION
Analysez le circuit « Clients – effets à recevoir » de la Société Commerciale du Sud en relevant
particulièrement les insuffisances du contrôle interne au niveau de la séparation des fonctions.

APPLICATION 52
Grille de fonctions
La société Gamma est une société familiale de sous-traitance pour l’industrie automobile. Son
activité consiste surtout à effectuer le montage d’éléments de base, qui sont ensuite expédiés à
d’autres sous-traitants ou aux constructeurs, pour un traitement ultérieur. Depuis quelques

554
 Le contrôle interne 7
CHAPITRE

années, elle a diversifié son activité en développant un département de négoce petits matériels
et d’outillages divers pour les entreprises métallurgiques.
L’effectif total se situe autour de 350 personnes. Les achats de pièces destinées à la branche
automobile représentent 70 % du total des achats, contre 30 % pour les appareils revendus en
l’état.
Il y a environ 130 fournisseurs. le nombre de factures est de 2 000 par an dont un tiers concerne
les achats et le reste les services.
Les règlements donnent lieu à l’émission de 2 500 chèques annuels.

QUESTION
Présenter une grille de séparation des fonctions achats fournisseurs pour les marchandises (la
grille pour les services n’est pas demandée).

ANNEXE 1
Organigramme des services comptables
Chef
comptable
Mme Kevin

Assistant
M. Marcel

Centralisation Clients Fournisseurs Trésorerie

Mme Florence M. Hector Mme Danielle Melle Brigitte

ANNEXE 2
Système d’achat et de paiement des biens et des services
Notes :1) N’existent dans le système que les contrôles mentionnés dans cette note. 2) Ne sont pas traités
dans cette étude le cas des marchandises renvoyées aux fournisseurs et les stocks.
Marchandises
Demandes d’achat et commandes
1. Lorsque les fiches de stock font apparaître un stock minimum (un stock de réapprovisionnement) :
– le magasinier établit une demande de réapprovisionnement numérotée en deux exemplaires ;
– il enregistre le numéro de la demande de réapprovisionnement sur la fiche de stock concernée ;
– il classe le deuxième exemplaire de la demande de réapprovisionnement par ordre numérique.
2. L’exemplaire principal de la demande de réapprovisionnement est signé par le contrôleur de la produc-
tion (M. Donatien) et remis à l’acheteur.

555
 7 Le contrôle interne
CHAPITRE

3. L’acheteur (M. Fernand) établit un bon de commande prénuméroté en 4 exemplaires mentionnant, par
référence au fichier fournisseurs, les tarifs et conditions de paiement sur les bons de commande. Les exem-
plaires sont répartis comme suit :
– ex. 1 : au fournisseur ;
– ex. 2 : au service réception des marchandises où il est classé alphabétiquement par fournisseur dans
l’attente de la réception de la marchandise ;
– ex. 3 : à la comptabilité, où il est classé alphabétiquement par fournisseur ;
– ex. 4 : conservé par l’acheteur avec la demande de réapprovisionnement (classeur alphabétique)
Ce dossier est examiné tous les mois pour les articles en attente de réception de la marchandise : il servira
de base aux lettres de relance adressées aux fournisseurs. Après réception des marchandises, il est classé
dans le dossier commandes « archives » par fournisseur.
Réception des marchandises et contrôles
4. Il n’existe qu’un centre de réception des marchandises. À réception des marchandises, le réceptionnaire
(M. Anatole) sort du dossier l’exemplaire n°2 du bon de commande, vérifie que la quantité et la descrip-
tion de la marchandise sont conformes à la commande et le classe par ordre numérique.
5. Une liasse, en trois exemplaires d’un bon de réception prénuméroté, est établie après confirmation de
la quantité et de la qualité des marchandises. Les bons de réception sont paraphés par le responsable de
la réception (M. Anatole), son paraphe servant de preuve aux contrôles ci-dessus.
6. Les exemplaires des bons de réception des marchandises sont répartis comme suit :
– ex. 1 : au magasin avec les marchandises. Après que le magasinier a mis à jour les stocks, il classe numé-
riquement le bon de réception des marchandises ;
– ex. 2 : à l’acheteur. Il sort son exemplaire de la commande et la demande de réapprovisionnement du
dossier en cours, attache le bon de réception et classe les 3 documents par fournisseur et par ordre
alphabétique ;
– ex. 3 : à la comptabilité (Mme Danielle).
7. Mme Danielle classe par ordre alphabétique les bons de réception avec les bons de commande corres-
pondants, dans un dossier en cours, en attente des factures. Elle vérifie régulièrement les dossiers pour les
articles restant longtemps en attente de facture.
Services
8 [....]
Marchandises et services
Factures d’achat
9. Les factures sont transmises à Mme Danielle qui :
– porte le tampon où seront mentionnées les différentes phases de contrôle des factures ;
– compare avec l’exemplaire de la commande pour s’assurer que les marchandises (services) ont bien été
autorisées et contrôle les prix inscrits ;
– compare la quantité et la description avec les bons de réception ;
– paraphe et indique la référence de la commande et du bon de réception dans la partie réservée dans la
partie réservée à cet effet sur le tampon, pour prouver les travaux ci-dessus.
En ce qui concerne les factures de services, Mme Danielle demande aussi le paraphe du responsable de
service concerné (ou essentiellement au service achats) pour prouver la réception du service et pour
l’approbation de la facture.

556
 Le contrôle interne 7
CHAPITRE

10. Les calculs et additions de toutes les factures sont vérifiés à la machine à calculer par un assistant de
Mme Danielle qui paraphe l’endroit approprié du tampon, pour prouver la vérification.
Cet aide comptable indique également dans la case appropriée du tampon le montant HT, la TVA et le
montant TTC.
11. Les factures sont transmises au chef comptable (Mme Kevin) qui les paraphe pour « bon à payer ».
12. Les factures sont regroupées par ordre alphabétique et par fournisseurs, et numérotées par l’employé
responsable du livre des achats à la comptabilité, avant d’être précomptabilisées (indication des comptes
à débiter et à créditer). Une fois précomptabilisées, les factures (bons de commande et de réception joints)
sont renvoyées à Mme Danielle et classées par ordre numérique. Un double de la facture avec les men-
tions de précomptabilisation est envoyé à l’opérateur de saisie sur micro-ordinateur.
Journal d’achat
Le journal d’achat est tenu sur micro-ordinateur qui met le journal et les comptes fournisseurs à jour. Le
responsable de la machine tire mensuellement une balance de comptes fournisseur et transmet les infor-
mations nécessaires pour tenir le journal général.
Paiement
13. La société paie par chèques tous les fournisseurs. Les carnets de chèques sont conservés dans un coffre
au service trésorerie. Tous les chèques sont préparés par Melle Brigitte, la caissière, à partir des avis de
paiement établis par Mme Danielle à la fin de chaque mois et elle porte au signataire (Mme Kevin) les
chèques avec les avis de paiement. Les chèques raturés sont annulés immédiatement, aucun chèque n’est
modifié, les chèques ne sont pas payables au porteur, ni signés en blanc.
14. La caissière envoie les chèques et les avis de paiement aux fournisseurs. À partir des talons de chèques,
la caissière dresse un état des règlements. Ceux-ci sont totalisés et sont reportés globalement sur un
brouillard de banque. La liste est ensuite transmise à l’opérateur du micro-ordinateur pour mettre à jour
les comptes fournisseurs et comptabiliser les règlements sur les journaux de trésorerie.
L’opérateur est aussi responsable du lettrage des comptes fournisseurs.
La liste des règlements est ensuite transmise au chef comptable pour mise à jour du grand livre.
Grand livre général
15. Le grand livre général est établi par la chef comptable.
16. Les sources de mise à jour du grand livre sont :
– achats : à partir du journal des achats ;
– paiements : liste des règlements ; ajustements – pièces justificatives établies par Mme Danielle.
Exemple d’organisation tiré d’un sujet d’examen de l’expertise comptable.

APPLICATION 53
Contrôle interne
L’objet social de la SARL Émilien est la commercialisation de machines : presse à chaud, dorure à chaud,
timbres caoutchouc. L’entretien avec les responsables vous a permis de collecter les informations suivantes
concernant le cycle des ventes de cette société.
Les commandes sont réceptionnées par le service commercial soit directement du client (courrier ou télé-
phone), soit par les représentants. Le service commercial établit un bon de commande numéroté et daté

557
 7 Le contrôle interne
CHAPITRE

du jour en quatre exemplaires, sur lequel sont notés tous les renseignements concernant les marchandises
à livrer et les conditions de règlement.
Les quatre exemplaires du bon de commande sont ensuite transmis au service Magasin Expéditions qui
inscrit les marchandises à livrer sur son planning de livraison. Ce service mentionne sur les bons de com-
mande avec un tampon la date d’expédition des marchandises.
• L’exemplaire n° 1 du bon de commande est expédié avec les marchandises.
• L’exemplaire n° 2 du bon de commande est transmis au service Facturation.
• L’exemplaire n° 3 est classé chronologiquement après avoir été utilisé pour mettre à jour les fiches de
stocks.
• L’exemplaire n° 4 est retourné au service commercial qui l’enregistre sur le registre des commandes puis
le classe dans le dossier client avec le courrier du client ou celui du représentant.
• Le service Facturation regroupe les bons de commandes et, deux fois par semaine, établit à l’aide de la liste
des prix les factures de ventes en trois exemplaires, numérotés et datés du jour de leur établissement
• L’original de la facture est envoyé au client.
• L’exemplaire n° 2 est transmis au service Comptabilité.
• L’exemplaire n° 3 reste classé chronologiquement au service Facturation avec l’exemplaire du bon de
commande.
Le service Comptabilité enregistre, au moyen d’un ordinateur, la facture sur le journal des ventes et sur le
compte individuel client. L’échéance du règlement est notée dans la partie statistique du compte. L’exem-
plaire de la facture est ensuite classé dans le dossier « factures ventes » dans l’ordre numérique.
Dès réception, les règlements clients sont transmis directement au service Comptabilité, qui les enregistre
sur le journal de banque et sur les comptes individuels clients. Tous les deux jours, des bordereaux de
remise de chèques sont établis et déposés à la banque avec les chèques.
Chaque fin de mois, le service comptable pointe lés comptes clients. Tout client dont le règlement n’est
pas intervenu à l’échéance fait l’objet d’une relance. Celle-ci est établie en double exemplaire :
– l’original est adressé au client ;
– le double est classé alphabétiquement dans un dossier « relances clients » en attente du règlement.

QUESTIONS
1. Présenter un diagramme de circulation des documents décrivant le cycle ci-dessus.
2. Présenter une grille d’analyse faisant ressortir pour chacun des postes de travail les fonc-
tions assumées.
3. Présenter un questionnaire de contrôle interne faisant ressortir les forces et faiblesses du
système.
4. Présenter une feuille d’évaluation du système faisant ressortir :
– les effets possibles des faiblesses ;
– leur incidence sur les états financiers ;
– leur incidence sur le programme d’audit des comptes ;
– les recommandations à faire aux dirigeants de l’entreprise.
5. Présenter un diagramme de circulation de documents représentant la nouvelle organisation
recommandée, après avoir précisé quelles améliorations doivent être apportées au système.
(D’après un mémoire expertise comptable.)

558
 Le contrôle interne 7
CHAPITRE

APPLICATION 54
Analyse objectifs contrôle interne d’après questionnaire AMF
En février 2008, l’Autorité des marchés financiers a édité un document destiné aux PME et inti-
tulé « cadre de référence du contrôle interne – mise en œuvre pour les valeurs moyennes et
petites ». Dans ce cadre figure notamment un questionnaire relatif au contrôle interne compta-
ble et financier (p. 7 et 8).

QUESTION
Présentez un document de travail reprenant les questions du document de l’AMF et considérez
qu’une question sur deux (soit les questions paires) vous amènera à une réponse négative : qua-
lifiez les risques liés du contrôle.

ANNEXE
Questionnaire relatif au contrôle interne comptable et financier
Les organes de gouvernance
• Les principes comptables retenus qui ont un impact significatif sur la présentation des états financiers
de l’entreprise ont-ils été formellement validés par la direction générale, revus par les commissaires aux
comptes et portés à la connaissance du conseil d’administration ou de surveillance ?
• Pour les arrêtés correspondant à des comptes publiés, les principales options comptables ainsi que les
choix effectués ont-ils été expliqués et justifiés par la direction générale au conseil, et revus par les com-
missaires aux comptes ?
• Existe-t-il un processus de validation des changements de principes comptables envisagés prenant en
considération l’économie des opérations ? Ce processus prévoit-il en particulier une consultation des
commissaires aux comptes et une information du conseil ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès à l’ensemble des informa-
tions nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des filiales consolidées ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs tra-
vaux au moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques
significatives ?
• La formation du résultat, la présentation du bilan, de la situation financière et des annexes, ont-elles été
expliquées au conseil, à chaque arrêté de comptes publiés ?
• Le conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les données sont périodiquement
rapprochées de l’information financière publiée ?
• Le conseil a-t-il été régulièrement informé de l’existence de situations de trésorerie incluant des perspec-
tives à court terme ? Les flux de trésorerie pris en compte dans l’analyse présentée au Conseil mettent-
ils clairement en évidence les éléments dont l’utilisation par la société mère font l’objet de restrictions ?
Organisation comptable et financière
• La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux infor-
mations nécessaires à leur élaboration ?
• Existe-t-il un manuel de principes comptables, précisant le traitement comptable des opérations les plus
importantes ?

559
 7 Le contrôle interne
CHAPITRE

• En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau
(individuel ou consolidé), existe-t-il des processus pour expliquer les principaux retraitements ?
• Existe-t-il un manuel de processus comptables et des instructions décrivant les répartitions des responsa-
bilités d’exécution ou de contrôle au regard des tâches comptables, ainsi que les calendriers à
respecter ? Dans le cadre de la préparation des comptes consolidés, existe-t-il des processus de diffusion
visant à assurer leur prise en compte par les filiales ?
• Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents
acteurs qui participent à l’arrêté des comptes sont-ils identifiés ?
• Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction
comptable ? Prend-il en considération les évolutions prévisibles ?
Système d’information comptable et financier
• Les processus et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux exi-
gences de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ?
• Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations
pour évoluer avec les besoins de la société ?
• La direction générale s’est-elle assurée que les obligations de conservation des informations, données et
traitements informatiques concourant directement ou indirectement à la formation des états compta-
bles et financiers étaient respectées ?
Identification et analyse des risques affectant l’information comptable et financière
• Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus
d’établissement des comptes ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des processus spécifiques visant à
réduire les risques d’erreurs et de fraudes ?
Activité de contrôle
• Existe-t-il des contrôles réguliers et inopinés pour s’assurer que le manuel des principes comptables et le
manuel de processus comptables sont suivis dans la pratique ?
• Existe-t-il des processus pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le
cas échéant, dans le manuel de principes comptables et/ou dans le manuel de processus comptables ?
• L’activité de contrôle interne comptable et financier comporte-t-elle des processus pour assurer la préser-
vation des actifs (risque de négligences, d’erreurs et de fraudes internes et externes) ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points
qui seraient identifiés comme sensibles concernant des aspects comptables (par exemple inscription à
l’actif, constatation des produits, spécialisation des périodes comptables, valorisation des stocks…) ?
• Les processus d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du péri-
mètre de consolidation ? S’il existe des exceptions, y a-t-il des processus adéquats pour les traiter ?
Communication financière et comptable
• Existe-t-il des responsables et des processus aux fins d’identifier et de traiter les obligations d’information
du marché ?
• Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en matière de communica-
tion comptable et financière au marché ? Cet échéancier précise-t-il :
– la nature et l’échéance de chaque obligation périodique ?
– les personnes responsables de leur établissement ?
• Existe-t-il un processus prévoyant le contrôle des informations avant leur diffusion ?

560
 Le contrôle interne 7
CHAPITRE

APPLICATION 55
Contrôle interne système de ventes
Votre maître de stage, Monsieur Champagne, vient d’être nommé commissaire aux comptes de la société
Voici, entreprise artisanale de tapisserie, travaillant à la commande. L’activité de l’entreprise est organisée
par trois sections productives : un atelier « voilages », un atelier « sièges » et une équipe de monteurs qui
effectue les interventions en clientèle. Trois grandes catégories de clients sont en relations avec
l’entreprise :
– une clientèle de particuliers aisés, attachés à la qualité traditionnelle d’un travail artisanal soigné. Un
devis est établi au nom d’une personne physique et il concerne des travaux faits à son domicile person-
nel, mais il peut donner lieu à une facture établie au nom d’une personne morale dont la personne phy-
sique est le mandataire social. Une facture établie au nom d’une personne physique peut être réglée par
une personne morale dont elle est associée ;
– une clientèle de petites entreprises, dont certaines sont dans la mouvance des partenaires aisés ci-des-
sus, avec les mêmes exigences ;
– les clients imports. Il s’agit soit de personnalités françaises ou étrangères, désireuses d’aménager tout ou
partie d’une résidence, soit d’entreprise de prestige.
Vous êtes chargé de faire de porter une appréciation sur le contrôle interne du système « Ventes-clients »
de la société Voici.

QUESTIONS
1. Quels sont, à votre avis, les risques dont s’accompagne la procédure d’établissement des fac-
tures clients par Voici SA et les moyens dont cette dernière dispose pour les réduire.
2. Exposer les objectifs particuliers à inscrire à votre programme d’appréciation du contrôle
interne pour le système « Ventes-clients » de Voici SA.
D’après un sujet d’examen final d’expertise comptable.

ANNEXE
Système d’établissement des devis et factures clients
(programme standard « Voilà »)
La facturation ne fait pas appel à un fichier « produits finis ». Elle ressemble à un « mémoire » d’entrepre-
neur en bâtiments et travaux publics ou à une note d’honoraires. La société a adopté un programme de
gestion de temps et de facturation pour les cabinets comptables « Voilà » dont elle n’utilise absolument
pas la partie « relevé valorisation et gestion des temps ». Seuls les modules « devis » et « facturation » sont
utilisés avec saisie intégrale de chacune des informations à y faire figurer. La fonction de chiffrage auto-
matique ne fonctionne pas. La saisie est uniquement en mode « traitement de texte » (le positionnement
des libellés et des montants est libre, le nombre de lignes n’est pas limité, seuls la présentation et le
zonage du bas de facture sont imposés). Elle concerne aussi le résultat des calculs, puisque le programme
ne fait ni multiplication, ni division, ni soustraction, ni addition. La présentation standard des factures est
désuète (mise en page, police de caractères, tabulation). Il est impossible de gérer les interlignages et les
sauts de pages automatiques.
« Voilà » permet la génération automatique des écritures comptables de ventes. La comptabilisation des
factures clients est obtenue, de manière systématique, en sous-produit du traitement d’établissement des

561
 7 Le contrôle interne
CHAPITRE

factures, lors de la génération comptable. Il existe deux journaux de ventes et deux journaux d’avoirs par
directeur (France/Export). Les fonctions informatisées sont les suivantes :
• Création/mise à jour du fichier clients ;
• Saisie/modification de devis à partir du brouillon manuscrit établi par le directeur, après contrôle à la
machine à calculer des calculs effectués (le numéro de devis, attribué automatiquement par l’ordinateur,
est reporté sur le manuscrit) ;
• Saisie/modification de « factures provisoires » au vu du brouillon du directeur (soit après avoir saisi un
devis, soit directement en l’absence de devis). Les factures provisoires n’ont jamais de numéro. Elles ser-
vent, dans des situations particulières, de support de négociation de la facture définitive ;
• Transformation des « factures provisoires » en factures (le numéro de facture est alors attribué automati-
quement par l’ordinateur) et impression des factures ;
• Saisie et impression de factures (numérotées par l’ordinateur) soit à partir d’un devis, soit directement à
partir du brouillon du directeur en l’absence de devis (report du numéro de facture sur le devis ou sur le
manuscrit de la facture).
En fin de mois, lors de la « génération comptable », obtention d’un fichier informatique destiné à l’appli-
cation « Compta » et impression d’un brouillard des ventes enregistrées depuis la dernière génération
comptable. (En cas d’incident d’impression, la génération comptable ne se valide pas, le fichier des mou-
vements comptables du mois n’est pas effacé et la génération comptable est à refaire). Les factures comp-
tabilisées ne peuvent plus être imprimées.
Remarque : Pour des raisons de prestige, les devis et factures qui concernent des affaires importantes,
notamment celles à l’exportation, sont saisis sur traitement de texte. Dans ce cas, seuls les éléments néces-
saires aux journaux de ventes et d’avoirs et à la tenue des comptes individuels sont saisis avec le pro-
gramme « Voilà » et la « facture sommaire » n’est pas adressée au client. Elle est jointe à l’exemplaire
« comptabilité » de la facture détaillée au traitement de texte.

APPLICATION 56

Contrôle des comptes

Monsieur Xavier est commissaire aux comptes inscrit à la Compagnie régionale de Versailles et
expert-comptable inscrit au Conseil régional de Paris Île-de-France.
Vous avez commencé la mission de commissariat aux comptes de la société Cartondéco, située
dans le centre de Levallois.
La société Cartondéco achète des cartonnages aux industriels, les transforme en supports et les
décore. Ses principaux clients sont des pharmacies, des magasins de vêtements, des quincaille-
ries, des supérettes qui ont besoin de supports décorés pour mettre en valeur leurs produits pla-
cés en vitrine.
Son chiffre d’affaires, exclusivement réalisé en Ile-de-France, est de l’ordre de 25 millions
d’euros ; Cartondéco emploie une cinquantaine de personnes. L’exercice social coïncide avec
l’année civile.
Vous êtes chargé de l’audit des fonctions « ventes-clients » et « stocks de produits finis ».

562
 Le contrôle interne 7
CHAPITRE

QUESTIONS
1. Préciser quels doivent être les objectifs des fonctions « ventes-clients » et « stocks de pro-
duits finis ».
2. Indiquer en quelques lignes quelles sont les procédures à effectuer pour tester le bon fonc-
tionnement du contrôle interne des fonctions « ventes-clients » et « stocks de produits finis ».
Monsieur Xavier vous confie le soin de mener des tests sur les ventes. Il vous précise qu’il a lui-même sélec-
tionné des bons d’expédition, des factures de vente, des écritures inscrites sur le journal des ventes et des
mouvements de sorties de stocks inscrits sur l’inventaire comptable permanent.

QUESTIONS
3.1 À quoi sert-il de vérifier :
– que chaque bon d’expédition donne lieu à une facture ?
– qu’à chaque facture sont associés un ou plusieurs bons d’expédition ?
– que chaque facture est enregistrée dans le journal des ventes ?
3.2 Vérifier qu’à tout bon d’expédition est liée une facture de vente permet-il d’avoir une opi-
nion sur la comptabilisation de toutes les ventes au journal ?
3.3 En partant d’un mouvement de sortie de stock inscrit sur l’inventaire comptable permanent
à quoi cela sert-il de vérifier qu’une facture de vente a été émise ?
3.4 À quoi cela sert-il de vérifier qu’un bon d’expédition du moins M donne lieu à une compta-
bilisation au journal des ventes de M ? À quel principe comptable ce contrôle est-il lié ?
4. Quel(s) contrôle(s) mettre en œuvre pour avoir l’assurance que les dépréciations des comp-
tes clients sont établies avec prudence ?
En partie d’après un sujet de DESCF.

APPLICATION 57
Audit dans un environnement informatique
Alain Dorine, nouvel associé du CREGA, inscrit à la Compagnie régionale de Versailles, a confié une partie
de la mission de commissariat aux comptes à Geoffrey Haimoulu. Celui-ci a commencé la mission de
contrôle de la société anonyme Gnepacham, située dans le centre ville de Levallois. La société Gnepacham
est grossiste en produits pharmaceutiques et parapharmaceutiques ; son chiffre d’affaires est de l’ordre de
20 millions € et elle emploie une cinquantaine de personnes.
Les entrées de marchandises figurent sur un inventaire comptable permanent informatisé, mouvementé
par les inventoristes à partir des quantités réelles rangées par ces derniers. Les inventoristes sont stricte-
ment indépendants des magasiniers qui créent les bons de réception (BDR). Ils rangent les marchandises
sans avoir accès au BDR et aux bons de commande (BDC). Ils ne peuvent utiliser aucun circuit informati-
que autre que celui de l’inventaire comptable permanent. Ils n’ont pas accès à des informations, autres
que celles liées à l’inventaire comptable permanent. Les « fiches de stock » sont lues sur écran.
Les BDC, dans lesquels figurent les prix convenus, doivent être approuvés par une personne habilitée au
service des approvisionnements. Le service des approvisionnements en garde la trace sur un circuit que le
service comptable ne peut pas pénétrer.

563
 7 Le contrôle interne
CHAPITRE

Un exemplaire de chaque bon de commande est accessible sur écran par les magasiniers. Dès qu’une mar-
chandise entre au magasin, les magasiniers en comparent les caractéristiques (nature, quantité, nom du
fournisseur…) avec celle des BDC. Si la comparaison est satisfaisante, le magasinier transforme informati-
quement le BDC en un BDR portant la signature électronique du magasinier qui a procédé au contrôle.
L’ordinateur numérote les BDR par ordre chronologique. La date de réception des marchandises figure sur
le BDR établi par les magasiniers. Toute marchandise dont l’emballage présente un défaut (abîmé,
humide…) est refusée et n’est donc pas déchargée des camions de livraison. Ces marchandises donnent
lieu à la création de BDR à une différence près (il figure de manière très lisible sur le BDR, une indication
mentionnant que les marchandises ont été refusées). Ces BDR, qui sont en réalité des bons de non-récep-
tion (BDNR), sont adressés par informatique au service juridique pour qu’il obtienne un avoir.
Les BDR sont adressés informatiquement au service comptable pour que celui-ci compare, ensuite, le BDR,
le BDC et la facture du fournisseur avant de comptabiliser l’achat. Le service comptable vérifie notamment
avec soin chaque facture d’achats de marchandises avant de l’enregistrer dans le compte d’achats de mar-
chandises. Une fois cette comparaison faite, le système informatique lie de manière définitive une facture
à son BDC et à son BDR : il n’est pas possible de récupérer un BDR ou un BDC qui a déjà été comparé à
une facture pour le lier à une autre facture même identique à la précédente. Le service comptable n’a pas
la possibilité de modifier le contenu d’un BDC approuvé. Le service comptable reçoit également, sur écran,
les BDNR : il enregistre la facture et l’avoir à recevoir, tout paiement étant alors impossible. Toutes les fac-
tures reçues sont comparées par le service comptable au BDR avant d’être intégrées dans le système infor-
matique utilisé par le service comptable. Une procédure programmée n’autorise pas l’enregistrement si le
compte fournisseur crédité ne correspond pas avec le nom d’un fournisseur répertorié comme étant un four-
nisseur de marchandises. Cette procédure compare le montant des BDR établis par les magasiniers aux
fiches de stocks établies par les inventoristes, et signale toute anomalie. Le système informatique génère
automatiquement un crédit fournisseur quand le comptable enregistre un débit au journal des achats. Il
n’existe pas d’autres moyens de comptabiliser un crédit en compte fournisseur (sauf par déverrouillage du
système effectué, de manière exceptionnelle, par une personne spécialement autorisée à le faire).
Pour les BDR qui ne correspondent pas aux factures, le problème est aussitôt transmis au service juridique.
Ces BDR sont enregistrés dans le système informatique utilisé par le service comptable pour créditer les
comptes 408 liés à ces BDR ; ils y restent tant que le service juridique n’a pas résolu le problème. Si à la
clôture de l’exercice social, un BDR reste sans facture, un compte 408 est crédité. Le système informatique
refuse d’enregistrer sur N + 1 un BDR daté en N.
Geoffrey Haimoulu est chargé d’analyser certains aspects du contrôle interne à l’aide du questionnaire de
contrôle interne figurant en annexe. Il a accès, sans aucune restriction, à tous les systèmes d’information.

QUESTIONS
Pour chacun des points évoqués dans le questionnaire, il est demandé :
– d’analyser les réponses que peut apporter Geoffrey Haimoulu aux questions posées ;
– de décrire le risque évité ;
– de présenter les tests qu’il faudra mettre en œuvre pour avoir l’assurance que les procédures
décrites fonctionnent réellement.
Les tests ne doivent pas recourir à des jeux d’essais du circuit informatique de la société
Gnepacham ; ils ne doivent pas non plus être opérés à partir d’extractions de fichiers traités
ensuite sur l’ordinateur de l’auditeur, ils doivent être menés soit en ayant en main des docu-
ments de support papier, soit en consultant des documents ou des écritures comptables affi-
chées sur les écrans informatiques de la société Gnepacham.

564
 Le contrôle interne 7
CHAPITRE

ANNEXE
Questionnaire relatif au contrôle interne des achats
I. Exhaustivité
1) Toutes les marchandises sont-elles comparées à un bon de commande au moment où elles sont reçues ?
2) Toutes les marchandises reçues des fournisseurs donnent-elles lieu à l’émission d’un bon de réception ?
3) Toutes les marchandises endommagées sont-elles signalées ?
4) Toutes les factures reçues et correspondant à des réceptions réelles sont-elles comptabilisées ?
II. Réalité
5) Les informations portées sur les bons de réception (nature des marchandises, quantité…) sont-elles sem-
blables à celles figurant sur les fiches de stock ?
6) Vérifie-t-on qu’à une réception de marchandises, il n’est enregistré qu’un seul achat ?
7) Y a-t-il, pour tout achat comptabilisé au journal un crédit dans un compte fournisseur ? et
réciproquement : y a-t-il, pour tout crédit dans un compte fournisseur un achat comptabilisé au journal ?
III. Évaluation
8) Les factures sont-elles comptabilisées aux prix initialement convenu ?
IV. Coupure
9) Les factures sont-elles comptabilisées sur la période du fait générateur ?
V. Imputation
10) Les factures d’achat de marchandises sont-elles imputées dans le compte d’achat de marchandises ?
D’après un sujet de l’examen final d’expertise comptable.

565
 8
CHAPITRE
Les principes
garantissant la crédibilité
des missions d’audit légal
section 1 Cadre légal réglementaire de l’audit
section 2 Déontologie de l’auditeur légal
section 3 Responsabilité de l’auditeur légal
applications

L’auditeur légal (le commissaire aux comptes) exerce une mission d’intérêt général dans les
conditions fixées par la loi. La profession de commissaire aux comptes (comme celles de
l’auditeur contractuel qu’est l’expert-comptable), est ainsi soumise à de nombreuses règles à
caractère déontologique. Ces règles sont fixées par voie réglementaire dans le Code de déonto-
logie de la profession de commissaire aux comptes. Ce code définit les règles professionnelles
auxquelles est soumis le commissaire aux comptes dans l’accomplissement de sa mission. Ses
dispositions s’imposent à tout commissaire aux comptes, quel que soit son mode d’exercice.
Les commissaires aux comptes doivent notamment être indépendants et respecter le secret
professionnel. Ils engagent leur responsabilité civile, pénale et professionnelle.

section 1
cadre légal et réglementaire de l’audit
Le Code de commerce consacre un titre entier (articles L. 820-1 et suivants) au commis-
sariat aux comptes, ce titre ayant été profondément modifié par la loi 2003-706 du 1er août
2003 sur la sécurité financière (articles 98 à 116). Si l’article L. 225-218 du Code de
commerce stipule que « le contrôle est exercé, dans chaque société par un ou plusieurs
commissaires aux comptes »), l’article L. 820-1 précise notamment que le commissariat aux
comptes s’applique non seulement aux sociétés commerciales mais aussi « à toutes les

566