Cadre général de l’Audit Interne – Contrôle Interne

Cadre général de
l’Audit Interne –
Contrôle Interne
Formation à dispenser

1
 Cadre général de l’Audit Interne – Contrôle Interne

Chapitre 1 : Rappels sur l’audit interne (4 h)

La création de la fonction d’audit interne dans les entreprises s’inscrit dans le cadre plus général de l’évolution de
la notion d’audit.

1100 Histoire de l’audit

Le mot audit, qui nous vient du latin audire, c’est-à-dire « écouter », a pour ancêtre en France le commissariat
aux comptes, institué par la loi du 24 juillet 1867. Le commissaire aux comptes avait alors pour rôle la vérification
des comptes. On parla de révision des comptes avant de lui préférer le terme d’audit qui a une connotation plus
valorisante. Progressivement, le terme d’audit connut un élargissement à la fois horizontal et vertical en raison de
l’image de rigueur qu’il véhicule, des risques qu’il parvient à identifier, des politiques et des plans qu’il doit
accompagner, des économies qu’il permet de réaliser, de l’instabilité de l’environnement, de la complexité des
paramètres de gestion et de contrôle qu’il doit maîtriser. Toutes ces « vertus » associées au mot audit ont
fortement contribué à son développement et à sa généralisation.
Ainsi, de l’examen des états financiers (audit comptable et financier), l’audit s’est étendu à d’autres domaines,
(informatique, juridique, fiscal, social, achats, production…).

1200 Définition et missions de l’audit

1210 Définition
L’Institute of Internal Auditors (IIA), dont l’une des missions est d’élaborer les normes et les pratiques
professionnelles, a donné en 1999 une définition de l’audit interne, adaptée par l’IFACI en ces termes : « L’audit
interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il
aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions
pour renforcer son efficacité. »

Généralement, les définitions de l’audit données par les auteurs convergent vers une mission d’opinion :
– confiée à un professionnel « indépendant » (auditeur interne ou externe) ;
– utilisant une méthodologie spécifique ;
– justifiant un niveau de diligences acceptable par rapport à des normes.

1210 Missions
À partir des trois objectifs du contrôle interne qui viennent d’être indiqués, peuvent être associées différentes
missions : audit opérationnel, audit financier et enfin audit de la stratégie.

La mission d’audit opérationnel est plus tournée vers l’efficacité de l’organisation et le respect des procédures
écrites mises en place. L’auditeur interne doit procéder à un examen systématique des activités ou des processus
d’une entité en vue d’évaluer l’organisation et ses réalisations et identifier les pratiques jugées non économiques,
improductives et inefficaces, enfin de proposer des solutions d’amélioration et de s’assurer éventuellement de
leur suivi.

2
 Cadre général de l’Audit Interne – Contrôle Interne

Dans le cadre d’une mission d’audit financier, orientée sur la fiabilité des informations financières et la protection
des actifs matériels, humains et financiers, l’auditeur interne doit s’assurer, en relation avec les auditeurs
externes, que les procédures de contrôle interne comptables sont fiables. Il ne s’agit nullement ici d’une mission
de certification des comptes.

À ces deux premières missions traditionnelles s’ajoute une mission d’audit de la stratégie. Ici, l’auditeur doit
identifier les risques associés aux objectifs et aux grandes orientations stratégiques définies par l’organisation et
évaluer la conformité ou la cohérence d’ensemble entre ce qui avait été dit et ce qui est fait dans le but
d’apprécier la performance des réalisations.

On peut valablement distinguer :

– l’audit de fiabilité des systèmes (appelé aussi audit de conformité ou audit de régularité), dont le but est de
donner aux utilisateurs l’assurance du bon fonctionnement d’un système (l’audit comptable et financier ou révision
comptable contribue à améliorer la crédibilité de l’information ; l’audit juridique contribue à s’assurer qu’aucune
règle n’a été omise) : comparer la réalité au référentiel proposé.
Cette démarche, toujours essentielle pour un auditeur interne, s’est doublée d’une approche nouvelle, l’audit
d’efficacité.
– l’audit de l’efficacité des systèmes ou encore audit opérationnel (appelé aussi audit de performance), susceptible
d’être mis en œuvre dans le domaine comptable et financier, mais aussi dans d’autres domaines : stratégie,
production, informatique, juridique et dont le but est d’améliorer les performances de l’entreprise.

Remarque :
Si l’audit de fiabilité est plus orienté vers une mission de contrôle, l’audit d’efficacité est plus orienté vers une
mission de conseil, le but de l’audit opérationnel étant d’améliorer les systèmes et non simplement de voir s’ils
fonctionnent correctement.

1300 Positionnement de la fonction

Comment mieux éclairer une fonction qu’en traçant les frontières de son action par rapport à celles qui jouxtent
son domaine d’application. On évitera bien des confusions en précisant clairement comment se situe l’audit
interne par rapport :
• à l’audit externe ;
• au contrôle de gestion ;
• au contrôle interne ;
• au risk management.

1310 L’audit interne et l’audit externe

On a vu comment est née la fonction d’audit interne à partir de l’audit externe, et les confusions qui ont pu en
résulter. Aujourd’hui les deux fonctions sont nettement différenciées et la définition de l’audit externe est
universellement admise.
Les huit différences entre l’audit interne et l’audit externe
1. Le statut de l’auditeur

3
 Cadre général de l’Audit Interne – Contrôle Interne

C’est une évidence mais qui est fondamentale. L’auditeur interne appartient au personnel de l’entreprise,
l’auditeur externe (cabinet international ou commissaire aux comptes) est dans la situation d’un prestataire de
services juridiquement indépendant.

2. Les bénéficiaires de l’audit

L’auditeur interne travaille pour le bénéfice des responsables de l’entreprise : managers, direction générale,
éventuellement comité d’audit. L’auditeur externe certifie les comptes à l’intention de tous ceux qui en ont
besoin : actionnaires, banquiers, autorités de tutelle, clients et fournisseurs, etc.

3. Les objectifs de l’audit

Alors que l’objectif de l’audit interne est d’apprécier la bonne maîtrise des activités de l’entreprise (dispositifs de
contrôle interne) et de recommander les actions pour l’améliorer, celui de l’audit externe est de certifier la
régularité, la sincérité, l’image fidèle, des comptes, résultats et états financiers.

4. Le champ d’application de l’audit

Eu égard à ses objectifs, le champ d’application de l’audit externe englobe tout ce qui concourt à la détermination
des résultats, à l’élaboration des états financiers et rien que cela ; mais dans toutes les fonctions de l’entreprise.
L’auditeur externe qui limiterait ses observations et investigations au secteur comptable ferait œuvre incomplète.
Les professionnels le savent bien qui explorent toutes les fonctions de l’entreprise et tous les systèmes
d’information qui participent à la détermination du résultat et cette exigence est de plus en plus grande au fur et
à mesure que se développent les saisies à la source.

5. La prévention de la fraude
L’audit externe est intéressé par toute fraude, dès l’instant qu’elle a, ou est susceptible d’avoir, une incidence sur
les résultats. En revanche, une fraude touchant, par exemple, à la confidentialité des dossiers du personnel,
concerne l’audit interne, mais non l’audit externe.

6. L’indépendance de l’auditeur
Il va de soi que cette indépendance n’est pas de même nature. L’indépendance de l’auditeur externe est celle du
titulaire d’une profession libérale, elle est juridique et statutaire ; celle de l’auditeur interne est assortie des
restrictions analysées dans les cours d’audit du Master 1.

7. La périodicité des audits

Les auditeurs externes réalisent en général leurs missions de façon intermittente et à des moments privilégiés
pour la certification des comptes : fin de trimestre, fin d’année. En dehors de ces périodes, ils ne sont pas
présents, sauf le cas de certains grands groupes dont l’importance des affaires exige la présence permanente
d’une équipe tout au long de l’année, laquelle équipe grossit considérablement en période d’arrêté des comptes.
L’auditeur interne travaille en permanence dans son entreprise sur des missions planifiées en fonction du risque
et qui l’occupent avec la même intensité quelle que soit la période. Mais observons également que l’auditeur
externe est en relation avec les mêmes interlocuteurs dans les mêmes services, alors que l’auditeur interne
change sans cesse d’interlocuteur. Du point de vue relationnel c’est donc l’audit externe qui est permanent et
l’audit interne périodique.

8. La méthode de l’auditeur
Les auditeurs externes réalisent leurs travaux selon des méthodes qui ont fait leurs preuves, à base de
rapprochements, analyses, inventaires. La méthode des auditeurs internes est spécifique et originale ; elle sera
décrite en dans la suite de ce cours.

4
 Cadre général de l’Audit Interne – Contrôle Interne

Illustration 1 : Audit externe et audit interne de la comptabilité

 Dans son examen du secteur strictement comptable, l’auditeur externe, pour apprécier régularité,
sincérité et image fidèle des comptes examine plus particulièrement :
- l’exhaustivité des enregistrements ;
- la réalité des chiffres ;
- l’évaluation correcte des opérations ;
- la période d’enregistrement ;
- la correction de la présentation au regard des obligations légales.
Pour réaliser ces objectifs, l’auditeur externe analyse les dispositifs de contrôle interne mis en place pour assurer
la régularité des comptes et résultats.

 Dans son examen de la fonction comptable, l’auditeur interne examine :

- dans quelle mesure les règles de fonctionnement dictées par l’entreprise sont respectées (partage des tâches,
procédures de travail, planning), et sinon pourquoi.
- dans quelle mesure l’ensemble des dispositifs de contrôle interne gouvernant le fonctionnement de la
comptabilité permettent au responsable de maîtriser son activité. À ce titre, il doit se pencher aussi bien sur la
formation professionnelle des comptables que sur l’organisation du travail.
L’ensemble de ces observations permet de porter un jugement sur la bonne maîtrise des opérations comptables
et donc de recommander ce qu’il convient de faire pour l’améliorer. On perçoit bien ici à quel point l’auditeur
interne qui ferait office de certification se tromperait de route ; il s’enlèverait du même coup les moyens d’avoir
un jugement exhaustif.

Illustration 2 : Audit interne et audit externe de la fonction « trading » d’une compagnie pétrolière.
Rappelons qu’il s’agit de cette fonction essentielle qui consiste à négocier et acheter les cargaisons de pétrole
brut sur les marchés internationaux, c’est-à-dire qu’elle pèse lourd en termes d’achats, de stocks et donc de
résultat : ce titre elle intéresse très largement audit interne et audit externe.
– Dans son examen l’audit externe va s’assurer que ces opérations complexes ont bien été enregistrées avec
régularité et sincérité :
- enregistrement des opérations au moment où est intervenu le changement de propriété (d’où l’analyse des
contrats),
- exhaustivité des opérations enregistrées dans la période ;
- valorisation des devises au cours adéquat ;
- calcul des provisions pour dépréciations ;
- appréciation des quantités (calcul des pertes) ;
- respect des règles d’enregistrement comptable (frais accessoires) ;
- etc.

– L’audit interne se préoccupe également de cette fonction essentielle qui figure son plan d’audit, mais avec une
tout autre optique. Les auditeurs internes regardent en particulier si :
- toutes les dispositions ont bien été prises pour un contrôle périodique de la régularité et de la sincérité des
comptes (audit externe) ;
- les règles de l’entreprise pour éviter tout risque de collusion dans les négociations sont bien respectées et sont
suffisantes et efficaces ;
- les dispositions visant à éviter tout conflit d’intérêts entre négociateurs et traders sont également respectées et
suffisantes (ex. : turnover du personnel) ;
- l’organisation du travail (suivi des cours mondiaux, système d’information) permet bien d’obtenir le meilleur
cours au meilleur moment ;
- les relations de travail siège/usines permettent l’approvisionnement souhaité en qualité, quantité et délais, etc.

5
 Cadre général de l’Audit Interne – Contrôle Interne

1320 L’audit interne et le contrôle de gestion

Il y a encore peu de temps, nombreux étaient ceux qui discernaient mal la frontière entre les deux fonctions. Une
des causes tient sans doute au fait qu’elles ont suivi des évolutions comparables.
Les quatre différences entre l’audit interne et le contrôle de gestion
1. Différence quant aux objectifs
Elle est essentielle. On connaît les objectifs de l’audit interne, qui visent à mieux maîtriser les activités par un
diagnostic des dispositifs de contrôle interne. Le contrôleur de gestion va s’intéresser plus à l’information qu’aux
systèmes et procédures ; défini au sens le plus large, on peut dire que son rôle est de définir ou d’aider à définir la
performance, sa mesure et son suivi et à recommander les dispositions à prendre pour restaurer la situation.
Pour ce faire, il est le concepteur du système d’information de l’entreprise et contribue à la définition des
structures, actions totalement antinomiques avec l’audit interne.

2. Différence quant au champ d’application

Si les deux fonctions ont un champ d’application couvrant l’ensemble des activités, celles-ci ne sont pas
considérées de la même façon. S’intéressant essentiellement aux résultats, réels ou prévisionnels, le contrôleur
de gestion prendra en compte tout ce qui est chiffré ou chiffrable. L’auditeur interne va aller au-delà de cette
dimension et cela est particulièrement perceptible dans des domaines comme la sécurité, la qualité, les relations
sociales, l’environnement, etc.

3. Différence quant à la périodicité

Alors que l’auditeur effectue des missions diverses tout au long de l’année selon une périodicité définie en
fonction du risque, le contrôleur de gestion a une activité largement dépendante des résultats de l’entreprise et
de la périodicité du reporting. On peut ajouter que « son activité est souvent bousculée par les priorités de la
direction générale », alors que l’activité de l’auditeur interne est planifiée et systématisée.

4. Différence quant aux méthodes de travail

La méthodologie de l’audit interne, analysée dans la troisième partie, est spécifique à la fonction. Les méthodes
de travail du contrôleur de gestion sont, elles aussi, originales et ne se confondent pas avec les précédentes :
elles s’appuient sur les informations des opérationnels (prévisions et réalisations) et sont largement analytiques
et déductives.

Illustration : Comment concevoir les rôles respectifs de l’auditeur interne et du contrôleur de gestion dans le
fonctionnement du magasin de pièces de rechange d’une usine importante ?

– Le contrôleur de gestion surveille en permanence le niveau des stocks de matériel :

- il optimise les stocks mini, stocks maxi et rotation des pièces.
- il organise la collecte des informations lui permettant de mesurer les écarts prévisions/réalité et d’élaborer de
nouvelles estimations.
- il veille à la compatibilité entre les niveaux de stocks et les processus amont (achats/trésorerie) et aval
(entretien/budgets).
- il dialogue avec les responsables pour leur fournir l’information indispensable et envisager les mesures à
prendre.
– L’auditeur interne effectue des missions périodiques (en fonction du risque) et vérifie ponctuellement :
- que les dispositifs mis en place permettent une bonne maîtrise de la gestion par le responsable du magasin.
- quelles sont les dispositions prendre pour améliorer les interventions du contrôleur de gestion (qualité et
exhaustivité des informations reçues/données, mise en œuvre des recommandations, déséquilibres non détectés,
etc.) et que l’organisation permet aux parties concernées d’optimiser au mieux la gestion des pièces de rechange.

6
 Cadre général de l’Audit Interne – Contrôle Interne

1330 l’audit interne et le contrôle interne

Il ne s’agit pas ici d’expliquer le contrôle interne, qui fait l’objet du second chapitre de ce programme de
formation. Il s’agit, plus simplement, de situer les contrôleurs internes par rapport aux auditeurs internes.
Les contrôleurs internes, apparus il y a peu et surtout dans les organisations importantes ont en effet un statut
hybride.
La cause en est dans la terminologie qui pourrait laisser supposer que le contrôle interne est une fonction
susceptible d’être managée, comme les autres fonctions. Nous verrons qu’il n’en est rien. D’où la nécessité de
préciser le rôle des contrôleurs internes, ou à tout le moins ce qu’ils ne devraient pas être.
Il arrive, hélas trop souvent, que leur rôle soit confondu avec celui des auditeurs ou avec celui des managers. Or il
ne s’agit ni d’apprécier le contrôle interne et de faire des propositions pour l’améliorer, ni de décider ce qu’il
convient de faire pour faire échec aux risques. Dans un environnement de plus en plus complexe, avec des
systèmes de contrôle interne de plus en plus sophistiqués, il est apparu nécessaire de mettre en place un chef
d’orchestre, non pas pour écrire la partition, ou pour la jouer, mais pour coordonner l’action de tous et éviter les
fausses notes.
On trouvera, au début du chapitre 2, une description précise des différentes tâches incombant au contrôleur
interne, lorsqu’il existe.

1340 l’audit interne et le risk management

Le risk management (ou gestion de risque) n’est pas présent dans toutes les organisations en tant que fonction
individualisée et spécifique. Mais, bien ou mal, le risque est toujours géré et pris en charge, soit d’une façon
diffuse par tous les acteurs de l’organisation, soit spécifiquement comme complément à une autre fonction
(assurance, audit interne, qualité…).
Comme l’audit interne, la fonction de risk manager :
• est au service du management et plus particulièrement de la direction générale ;
• est rattachée au plus haut niveau pour préserver son indépendance ;
• est exclusive de toute fonction opérationnelle mais doit être relayée par les opérationnels.
• concerne toutes les activités de l’organisation.
On assigne traditionnellement au risk manager quatre missions, lesquelles exigent une bonne définition des
objectifs de l’organisation, déclinés par activités :
1re mission : Identifier tous les risques internes et externes de l’entreprise
2e mission : À partir de cette identification élaborer une cartographie des risques permettant de les apprécier.
L’audit interne se saisit de cette cartographie pour éventuellement la décliner au niveau opérationnel. En
l’absence de risk manager c’est l’audit interne qui élabore la cartographie des risques de l’organisation mais le
plus souvent sans utiliser les outils statistiques, souvent très élaborés, qui sont la spécificité du risk management.
3e mission Définir une stratégie de risques et la proposer à la direction générale. Cette stratégie offre quatre
options pour chaque risque identifié :
• accepter le risque, donc ne rien faire : c’est ce que les Anglo-Saxons nomment le « Risk appetite ».
• éliminer ou réduire le risque en diminuant la fréquence par une meilleure politique de prévention ou en
minimisant l’impact par une meilleure politique de protection ;
• transférer le risque, très généralement par l’utilisation de l’assurance ou par d’autres procédés (joint-venture,
etc.).
4e mission : Sensibiliser et former les managers en leur suggérant les moyens à mettre en œuvre pour aligner la
gestion des risques opérationnels sur la stratégie globale et, si besoin est, leur prêter assistance dans la
réalisation.

7
 Cadre général de l’Audit Interne – Contrôle Interne

L’objectif prioritaire de l’audit interne reste l’évaluation du processus de management des risques, donc
l’évaluation du contrôle interne qui en est le « produit fini ». En amont le risk manager – lorsqu’il existe –
contribue à élaborer et à mettre en place le processus de management des risques sous la responsabilité de la DG
et du management auxquels il a été proposé.
Cette intime complémentarité des rôles apparaît encore plus nettement dans la récente analyse du COSO2 (cf. 2e
partie) lequel énonce comme conditions d’un bon contrôle interne une gestion des risques globale et efficace
sous la dénomination « Enterprise Risk Management » (ERM) ; or les caractéristiques de l’ERM sont le reflet du
rôle ci-dessus dévolu au risk manager. Les deux fonctions sont donc intimement liées. D’ailleurs le référentiel du
risk management, le FERMA (Fédération Européenne de Risk Management), est très voisin de la gestion du risque
du COSO2.
Risk management, assurances, audit interne : tous se préoccupent du risque à des degrés divers. Et c’est
pourquoi il incombe à la direction de définir et coordonner les responsabilités de chacun pour éviter toute
confusion. C’est à dire du même coup que les frontières ainsi tracées ne sont pas immuables d’une organisation à
l’autre.

8
 Cadre général de l’Audit Interne – Contrôle Interne

Chapitre 2 : Le contrôle interne ou finalité de l’audit interne (5 h)

2100 Actualité du contrôle interne

On ne répétera jamais assez que le contrôle interne n’est pas une fonction, que c’est un ensemble de
dispositions, donc un état et qu’on ne saurait parler de « Service de contrôle interne », sauf à faire un contresens.
On trouve néanmoins dans certaines entreprises des contrôleurs internes et éventuellement un service de
contrôle interne. En 2009, les contrôleurs internes représentent 15 % de la population totale auditeurs
internes/contrôleurs internes.
Ces contrôleurs internes ne sont pas les propriétaires du contrôle interne : ce sont les managers de l’entreprise et
sa direction qui assument cette fonction.
Les contrôleurs internes, lorsqu’ils existent, sont là pour faciliter les travaux et en particulier :
• gérer le changement du contrôle interne et en particulier son organisation et sa mise en œuvre ;
• servir de support méthodologique à tous les acteurs ;
• assurer le bon fonctionnement du processus de mise en conformité des activités ;
• veiller à la cohérence des différents dispositifs de contrôle interne mis en place par les managers ou préconisés
par les auditeurs internes.

En l’absence de contrôleurs internes, ces différentes fonctions sont partagées entre auditeurs internes et
propriétaires du contrôle interne ; ce qui est la situation habituellement rencontrée dans les entreprises petites
ou moyennes.

2110 Définition du contrôle interne

Les définitions du contrôle interne sont nombreuses, mais l’accord se fait sur l’essentiel. Les auditeurs externes,
commissaires aux comptes, experts-comptables ont été les premiers en France à développer et à approfondir la
notion de contrôle interne, et ce pour atteindre les objectifs spécifiques assignés à leur fonction : certifier la
régularité, la sincérité et l’image fidèle des comptes et résultats.
Le contrôle interne est donc pour eux un moyen alors que pour les auditeurs internes il s’agit d’un objectif. Dès
les années 1960-1970, l’Ordre Français des Experts-Comptables, la Compagnie des Commissaires aux
Comptes, ont cerné et défini cette notion démontrant que la mise en œuvre de dispositifs de contrôle interne
exhaustifs et adéquats dans les domaines financiers et comptables permet d’obtenir des résultats réguliers,
sincères et fidèles ; et que pour apprécier ces qualités, les réviseurs – au sens le plus large du terme – doivent
examiner les dispositifs en question1. Les études sur le sujet sont nombreuses et de qualité, on ne saurait les citer
toutes2, mais au fil des années, de congrès en colloques, la notion s’est ainsi précisée et affinée.
Les auditeurs internes n’ont eu qu’à s’en emparer et à l’étendre à toutes les fonctions de l’entreprise en
soulignant l’originalité de ses caractères dès l’instant que lui était conférée une portée universelle.
Ce bref rappel historique permet de comprendre que l’on peut, sans se déjuger, partir de l’excellente définition
du contrôle interne donnée par l’Ordre des Experts-Comptables dès 1977 :

« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se
manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise,
pour maintenir la pérennité de celle-ci. »

9
 Cadre général de l’Audit Interne – Contrôle Interne

2120 Objectifs du contrôle interne

Contrôle
Interne

Fiabilité et intégrité
Respect des politiques des informations Efficacité et efficience
Sauvegarde des actifs
de gestion financières et des opérations
opérationnelles

Respect des directives

Les lois et les règlements en vigueur fixent des normes de comportement que la société intègre à ses objectifs de
conformité. Compte tenu du grand nombre de domaines existants (droit des sociétés, droit commercial, sécurité,
environnement, social, etc.), il est nécessaire que la société dispose d’une organisation lui permettant de :
 connaître les diverses règles qui lui sont applicables ;
 être en mesure d’être informée en temps utile des modifications qui leur sont apportées (veille juridique) ;
 transcrire ces règles dans ses procédures internes ;
 informer et former les collaborateurs sur les règles qui les concernent.

Les instructions et orientations de la direction générale ou du directoire permettent aux collaborateurs de

comprendre ce qui est attendu d’eux et de connaître l’étendue de leur liberté d’action. Ces instructions et
orientations doivent être communiquées aux collaborateurs concernés, en fonction des objectifs assignés à
chacun d’entre eux, afin de fournir des orientations sur la façon dont les activités devraient être menées. Ces
instructions et orientations doivent être établies en fonction des objectifs poursuivis par la société et des risques
encourus.

Sauvegarde des actifs

L’ensemble des processus opérationnels, industriels, commerciaux et financiers sont concernés. Le bon
fonctionnement des processus exige que des normes ou principes de fonctionnement aient été établis et que des
indicateurs de performance et de rentabilité aient été mis en place.
Toutes les dispositions prises dans la gestion courante des affaires doivent permettre de sauvegarder au mieux «
les actifs » confiés à chacun dans le cadre des responsabilités qui lui sont assignées. Ce terme « actifs » doit être
compris dans son sens le plus large : non seulement les différents postes du bilan, mais également les hommes et
l’image de l’organisation toute entière.
Ces actifs peuvent disparaître à la suite de vols, fraudes, improductivité, erreurs, ou résulter d’une mauvaise
décision de gestion ou d’une faiblesse de contrôle interne. Les processus y afférents devraient faire l’objet d’une
attention toute particulière.

10
 Cadre général de l’Audit Interne – Contrôle Interne

Fiabilité et intégrité des informations financières et opérationnelles

L’image de l’entreprise se reflète dans les informations qu’elle donne à l’extérieur et qui concernent ses activités
et ses performances. Il est nécessaire que tout soit en place pour que « la machine à fabriquer des informations »
fonctionne sans erreur et sans omission, et ce aussi bien dans les secteurs techniques et commerciaux que dans
le domaine financier.
Chacun doit veiller à n’éditer que des informations fiables, donc vérifiables. On retrouve ici le souci des
responsables financiers quant à la maîtrise des informations financières. Mais le précepte est plus général
puisqu’il englobe aussi bien les informations externes qu’internes.
On n’imagine pas une maîtrise convenable des activités si les informations divulguées par chacun sont
susceptibles d’être contestées et ne reposent pas sur des certitudes.
Globalement, ces contrôles internes doivent permettre à la chaîne des informations d’être :
 Fiables et vérifiables ;
 Exhaustives ;
 Pertinentes ;
 Disponibles.

1. Fiables et vérifiables.

Il ne suffit pas qu’une information soit bonne, encore faut-il que le système permette de vérifier son exactitude.
On affirme ainsi que tout contrôle interne doit comporter un système de preuve sans lequel n’existe ni garantie ni
justification possible. Pour le comptable ce sera le système d’archivage et de conservation des documents, pour
le responsable de fabrication ce sera l’enregistrement des températures, des pressions et des débits. La « boîte
noire » des avions répond à cette préoccupation et est – de ce point de vue – un élément important du contrôle
interne mis en place pour la vérification des informations.

2. Exhaustives
Il ne sert à rien d’avoir des informations exactes si elles ne sont pas complètes. Ce qui veut dire que le système de
contrôle interne doit garantir la qualité des enregistrements à la source des données de base et faire en sorte que
tous les éléments soient pris en compte dans la chaîne des traitements.

3. Pertinentes
L’information doit être adaptée au but poursuivi, sinon elle est superflue. De nos jours, les bases de données
génèrent souvent des flux d’informations excessifs, une abondance de biens qui en fin de compte empêche de s’y
retrouver et n’améliore donc pas la connaissance.

4. Disponibles
Chacun connaît des exemples d’informations qui arrivent trop tard ou qui ne sont pas aisément accessibles. Là
également le contrôle interne adapté doit éviter de semblables situations.

A titre d’exemple, ci-dessous un ensemble de conditions qui devront être respectées pour chacun des cycles :

11
 Cadre général de l’Audit Interne – Contrôle Interne

Le système du contrôle interne de la fonction Achats fournisseurs doit permettre de

s’assurer que :
 tous les achats (matières et services) de l’entreprise sont correctement autorisés et
comptabilisés ;
 les achats comptabilisés correspondent à des dépenses réelles de l’entreprise ;
Achats-
fournisseurs  ces dépenses sont faites dans l’intérêt de l’entreprise et conformément à son objet ;
 tous les avoirs à obtenir sont enregistrés ;
 toutes les dettes concernant les marchandises et services reçus sont enregistrées dans la
bonne période ;
 les engagements pris par l’entreprise et devant figurer dans l’annexe sont correctement
repris.
Le système de contrôle interne de la fonction Ventes clients doit permettre de
s’assurer que :
 tous les produits expédiés et services rendus sont facturés et enregistrées sur la bonne
Ventes-
clients
période ;
 les prix pratiqués (brut, remises, ristournes...) sont dûment autorisés ;
 les créances sont recouvrées avec célérité ;
 tous les risques de pertes sur vente sont provisionnés.
Le système de contrôle interne des stocks doit permettre de s’assurer que :
 tous les stocks de l’entreprise sont comptabilisés ;
Stocks  ces stocks sont correctement évalués (valeur brute et valeur nette) ;
 ces stocks sont correctement protégés ;
 les engagements hors bilan concernant les stocks sont correctement saisis.
Le système de contrôle interne de la fonction Paie personnel doit permettre de
s’assurer que :
 les personnes figurant sur le livre de paie ont bien droit à leur rémunération ;
Paie-
personnel
 les rémunérations sont correctement calculées ;
 le paiement des rémunérations se fait avec une sécurité suffisante ;
 toutes les charges relatives au personnel sont correctement comptabilisées ;
 les dispositions légales en matière de personnel sont respectées.
Le système de contrôle interne des immobilisations doit permettre de s’assurer que :
 toutes les immobilisations sont correctement autorisées et comptabilisées ;
Immobilisati
ons
 toutes les immobilisations sont correctement évaluées (valeur brute et valeur nette) ;
 la protection des actifs est assurée ;
 les engagements hors bilan concernant les immobilisations sont correctement saisis.

Efficacité et efficience des opérations

C’est le quatrième objectif permanent du contrôle interne, dont la prise en compte est appréciée dans les audits
d’efficacité. Est-ce que les moyens dont dispose l’entreprise sont utilisés de façon optimale ? A-t-elle les moyens
de sa politique ?
Cet impératif dans le sens de la plus grande efficacité est un élément important que le contrôle interne doit
prendre en compte pour permettre aux activités de l’entreprise de croître et de prospérer.

12
 Cadre général de l’Audit Interne – Contrôle Interne

2200 Cadres conceptuels du contrôle interne

2210 Principes généraux du contrôle interne

Le contrôle interne repose sur certaines règles de conduite ou de préceptes dont le respect lui conférera une
qualité satisfaisante.
Les principes sur lesquels s’appuie le contrôle ont été définis il y a très longtemps par le congrès de l’OEC de
1977. Ce sont : l’organisation, l’intégration, la permanence, l’universalité, l’indépendance, l’information,
l’harmonie.
Ces principes ont notamment été repris par le cadre de référence de l’AMF.

1. Le principe d’organisation
Pour que le contrôle interne soit satisfaisant, il est essentiel que l’organisation de l’entreprise possède certaines
caractéristiques. L’organisation doit être :
 préalable ;
 adaptée et adaptable ;
 vérifiable ;
 formalisée ;
 et doit comporter une séparation convenable des fonctions.

L’organisation doit être établie sous la responsabilité du chef d’entreprise. Cette responsabilité consiste à fixer les
objectifs, définir les responsabilités des hommes (organigramme), déterminer le choix et l’étendue des moyens à
mettre en œuvre.
La diffusion par écrit des instructions est indispensable dans une grande entreprise. Elle est également préférable
dans les entreprises de dimensions plus modestes, afin d’éviter les erreurs d’interprétation.

La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité de l’entreprise un
même agent cumule :
 les fonctions de décisions (ou opérationnelles) ;
 les fonctions de détention matérielle des valeurs et des biens ;
 les fonctions d’enregistrement (saisie et traitement de l’information) ;
 les fonctions de contrôle ;
 ou même simplement deux d’entre elles.

Exemple

Dans un processus achat, interviennent différents acteurs :

 l’initiateur, c’est-à-dire le responsable du service opérationnel qui établit une demande d’achat ;
 le service des achats, qui reçoit la demande, sélectionne le fournisseur et établit le bon de commande ;
 le responsable, qui approuve la commande ;
 le magasinier, qui réceptionne la marchandise achetée, la stocke et la met à disposition du service
opérationnel ;
 le service comptable, qui enregistre la facture ;
 le trésorier (ou une autre personne désignée) qui signe le chèque en règlement de la facture.

Si une même personne cumule l’initiation et l’autorisation d’achat, l’entreprise court le risque de commander une
marchandise non nécessaire aux besoins de l’exploitation ; de même, si une même personne procède à l’achat et
comptabilise la facture, le risque auquel est exposée l’entreprise est que l’enregistrement ne reflète pas la réalité
de l’opération ; enfin, un trésorier qui aurait accès à l’enregistrement comptable de transactions d’achat pourrait
enregistrer une facture fictive, procéder à son paiement et encaisser la somme correspondante.

13
 Cadre général de l’Audit Interne – Contrôle Interne

2. Le principe d’intégration

Les procédures mises en place doivent permettre le fonctionnement d’un système d’autocontrôle mis en œuvre
par des recoupements, des contrôles réciproques ou des moyens techniques appropriés.

Les recoupements permettent de s’assurer de la fiabilité de la production ou du suivi d’une information au moyen
de renseignements émanant de sources différentes ou d’éléments identiques traités par des voies différentes
(concordance d’un compte collectif avec la somme des comptes individuels).
Les contrôles réciproques consistent dans le traitement subséquent ou simultané d’une information selon la
même procédure, mais par un agent différent, de façon à vérifier l’identité des résultats obtenus (total des
relevés de chèques reçus et total des bordereaux de remises en banques).
Les moyens techniques recouvrent l’ensemble des procédés qui évitent, corrigent ou réduisent, autant que faire
se peut, l’intervention humaine et par voie de conséquence les erreurs, les négligences et les fraudes
(traitements automatiques informatisés, clefs de contrôle).

3. Le principe de permanence
La mise en place de l’organisation de l’entreprise et de son système de régulation – le contrôle interne – suppose
une certaine pérennité de ces systèmes.

Il est clair que cette pérennité repose nécessairement sur celle de l’exploitation.

4. Le principe d’universalité
Le principe d’universalité signifie que le contrôle interne concerne toutes les personnes dans l’entreprise, en tout
temps et en tout lieu.

C’est-à-dire qu’il ne doit pas y avoir de personnes exclues du contrôle par privilège, ni de domaines réservés ou
d’établissements mis en dehors du contrôle interne.

5. Le principe d’indépendance
Le principe d’indépendance implique que les objectifs du contrôle interne sont à atteindre indépendamment des
méthodes, procédés et moyens de l’entreprise.

En particulier, l’auditeur doit vérifier que l’informatique n’élimine pas certains contrôles intermédiaires.

6. Le principe d’information
L’information doit répondre à certains critères tels que la pertinence, l’utilité, l’objectivité, la communicabilité et la
vérifiabilité.

7. Le principe d’harmonie
On entend par principe d’harmonie, l’adéquation du contrôle interne aux caractéristiques de l’entreprise et de son
environnement.

C’est un simple principe de bon sens qui exige que le contrôle interne soit bien adapté au fonctionnement de
l’entreprise.
En particulier, dans la petite entreprise, le contrôle interne connaît des limites inhérentes à la dimension,
notamment pour ce qui concerne la mise en œuvre généralisée du principe de séparation des fonctions. Mais il
ne faut pas ignorer que cette lacune se trouve en partie compensée par la connaissance des hommes et des
activités possédée par le chef d’entreprise qui est un des éléments essentiels du contrôle interne.
14
 Cadre général de l’Audit Interne – Contrôle Interne

2220 Composantes du dispositif de contrôle interne

Le dispositif de contrôle interne ne peut empêcher à lui seul que des personnes de la société commettent une
fraude, contreviennent aux dispositions légales ou réglementaires, ou communiquent à l’extérieur de la société
des informations trompeuses sur sa situation. Dans ce contexte, l’exemplarité constitue un vecteur essentiel de
diffusion des valeurs au sein de la société.
Le dispositif de contrôle interne comprend cinq composantes étroitement liées. Bien que ces composantes soient
applicables à toutes les sociétés, leur mise en œuvre peut être faite de façon différente selon la taille et le secteur
d’activité des sociétés. Ces cinq composantes sont les suivantes (selon le cadre de référence sur le dispositif de
contrôle interne élaboré à la demande de l’AMF) :

1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des
compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires,
des outils et des pratiques appropriés.
2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses
responsabilités.
3) Un système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la société et
à s’assurer de l’existence de procédures de gestion de ces risques.
4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer que
les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des
objectifs.
5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son
fonctionnement.

1. Le principe d’organisation Organisation comportant une définition claire des responsabilités, disposant
des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des
procédures ou modes opératoires, des outils et des pratiques appropriés :

La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des principes fondamentaux mais aussi sur :
– une organisation appropriée qui fournit le cadre dans lequel les activités nécessaires à la réalisation des objectifs
sont planifiées, exécutées, suivies et contrôlées ;
– des responsabilités et pouvoirs clairement définis qui doivent être accordés aux personnes appropriées en
fonction des objectifs de la société. Ils peuvent être formalisés et communiqués au moyen de descriptions de
tâches ou de fonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient
respecter le principe de séparation des tâches ;
– une politique de gestion des ressources humaines qui devrait permettre de recruter des personnes possédant
les connaissances et compétences nécessaires à l’exercice de leur responsabilité et à l’atteinte des objectifs
actuels et futurs de la société ;
– des systèmes d’information adaptés aux objectifs actuels de l’organisation et conçus de façon à pouvoir
supporter ses objectifs futurs. Les systèmes informatiques sur lesquels s’appuient ces systèmes d’information
doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d’assurer la
conservation des informations stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures
de secours. Les informations relatives aux analyses, à la programmation et à l’exécution des traitements doivent
faire l’objet d’une documentation ;
– des procédures ou modes opératoires qui précisent la manière dont devrait s’accomplir une action ou un
processus (objectifs à atteindre à un horizon donné, définitions de fonctions et de lignes
hiérarchiques/fonctionnelles, lignes de conduite, outils d’aide à la décision et d’évaluation, fréquence de
contrôle, personne responsable du contrôle…), quels qu’en soient la forme et le support.
– des outils ou instruments de travail (bureautique, informatique) qui doivent être adaptés aux besoins de chacun
et auxquels chaque utilisateur devrait être dûment formé ;
– des pratiques communément admises au sein de la société.
15
 Cadre général de l’Audit Interne – Contrôle Interne

2. Diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer
ses responsabilités

La société devrait disposer de processus qui assurent la communication d’informations pertinentes, fiables et
diffusées en temps opportun aux acteurs concernés de la société afin de leur permettre d’exercer leurs
responsabilités.

3. Système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la
société et à s’assurer de l’existence de procédures de gestion de ces risques :

En raison de l’évolution permanente de l’environnement ainsi que du contexte réglementaire, les sociétés
doivent mettre en place des méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe
auxquels elles peuvent être confrontées et qui réduiraient la probabilité d’atteinte des objectifs.
■ Recensement des risques
La société doit recenser les principaux risques identifiables, internes ou externes pouvant avoir un impact sur la
probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identification, qui s’inscrit dans le cadre d’un
processus continu, devrait couvrir les risques qui peuvent avoir une incidence importante sur sa situation.
■ Analyse des risques
Il convient pour ce faire de tenir compte de la possibilité d’occurrence des risques et de leur gravité potentielle,
ainsi que de l’environnement et des mesures de maîtrise existantes. Ces différents éléments ne sont pas figés, ils
sont pris en compte, au contraire, dans un processus de gestion des risques.
■ Procédures de gestion des risques
La direction générale et/ou le directoire avec l’appui d’une direction des risques, si elle existe, devraient définir
des procédures de gestion des risques.

4. Activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer
que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la
réalisation des objectifs :

Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans toute fonction qu’il
s’agisse de contrôles orientés vers la prévention ou la détection, de contrôles manuels ou informatiques ou
encore de contrôles hiérarchiques.
En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la nature des objectifs
auxquels elles se rapportent et être proportionnées aux enjeux de chaque processus. Dans ce cadre, une
attention toute particulière devrait être portée aux contrôles des processus de construction et de
fonctionnement des systèmes d’information.

5. Activités Surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen
régulier de son fonctionnement

Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillance permanente. Il s’agit de
vérifier sa pertinence et son adéquation aux objectifs de la société.
Mise en œuvre par le management sous le pilotage de la direction générale ou du directoire, cette surveillance
prend notamment en compte l’analyse des principaux incidents constatés, le résultat des contrôles réalisés ainsi
que des travaux effectués par l’audit interne, lorsqu’il existe. Cette surveillance s’appuie notamment sur les
remarques formulées par les commissaires aux comptes et par les éventuelles instances réglementaires de
supervision. La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques en
matière de contrôle interne. Surveillance et veille conduisent, si nécessaire, à la mise en œuvre d’actions
correctives et à l’adaptation du dispositif de contrôle interne. La direction générale ou le directoire apprécient les
conditions dans lesquelles ils informent le conseil d’administration

16
 Cadre général de l’Audit Interne – Contrôle Interne

2230 Acteurs du contrôle interne

Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de la
société.

1. Le conseil d’administration ou de surveillance

Le niveau d’implication des conseils d’administration ou de surveillance en matière de contrôle interne varie
d’une société à l’autre. Il appartient à la direction générale ou au directoire de rendre compte au conseil (ou à
son comité d’audit lorsqu’il existe) des caractéristiques essentielles du dispositif de contrôle interne. En tant que
de besoin, le conseil d’administration ou de surveillance peut faire usage de ses pouvoirs généraux pour faire
procéder par la suite aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il
estimerait appropriée en la matière. Lorsqu’il existe, le Comité d’audit devrait effectuer une surveillance attentive
et régulière du dispositif de contrôle interne.
Pour exercer ses responsabilités en toute connaissance de cause, le Comité d’audit peut entendre le responsable
de l’audit interne, donner son avis sur l’organisation de son service et être informé de son travail. Il doit être en
conséquence destinataire des rapports d’audit interne ou d’une synthèse périodique de ces rapports.

2. La direction générale/le directoire

La direction générale ou le directoire sont chargés de définir, d’impulser et de surveiller le dispositif le mieux
adapté à la situation et à l’activité de la société. Dans ce cadre, ils se tiennent régulièrement informés de ses
dysfonctionnements, de ses insuffisances et de ses difficultés d’application, voire de ses excès, et veillent à
l’engagement des actions correctives nécessaires.

3. L’audit interne

Lorsqu’il existe, le service d’audit interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle
interne et de faire toutes préconisations pour l’améliorer, dans le champ couvert par ses missions. Il sensibilise et
forme habituellement l’encadrement au contrôle interne mais n’est pas directement impliqué dans la mise en
place et la mise en œuvre quotidienne du dispositif. Le responsable de l’audit interne rend compte à la direction
générale et, selon des modalités déterminées par chaque société, aux organes sociaux, des principaux résultats
de la surveillance exercée.

4. Le personnel de la société
Chaque collaborateur concerné devrait avoir la connaissance et l’information nécessaire pour établir, faire
fonctionner et surveiller le dispositif de contrôle interne, au regard des objectifs qui lui ont été assignés. C’est le
cas des responsables opérationnels en prise directe avec le dispositif de contrôle interne mais aussi des
contrôleurs internes et des cadres financiers qui doivent jouer un rôle important de pilotage et de contrôle.

2240 Obstacles du contrôle interne

Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut fournir une garantie
absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de
la seule volonté de la société. Il existe en effet des limites inhérentes à tout système de contrôle interne. Ces
limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la
faculté de jugement ou de dysfonctionnements pouvant survenir en raison d’une défaillance humaine ou d’une
simple erreur. En outre, lors de la mise en place des contrôles, il est nécessaire de tenir compte du rapport
coût/bénéfice et de ne pas développer des systèmes de contrôle interne inutilement coûteux quitte à accepter
un certain niveau de risque.

17
 Cadre général de l’Audit Interne – Contrôle Interne

1. Coût du contrôle

Il est souvent reproché au contrôle interne d’augmenter les charges de l’entreprise par l’embauche du personnel
nouveau et la réalisation d’investissements supplémentaires. Il faut cependant observer :
– que le contrôle interne est un élément de sécurité dans l’entreprise, dont le coût peut s’analyser comme celui
de l’assurance ;
– que le contrôle interne est avant tout une meilleure répartition des tâches avant leur multiplication ;
– que le contrôle interne doit être à la mesure du risque qu’il doit couvrir. On doit ainsi souligner que si le risque
encouru est faible, la mise en place d’une procédure dont le coût serait supérieur au risque encouru deviendrait
une faiblesse dans l’optique du rapport
coût/efficacité.

2. Problèmes humains

La mise en place d’un système de contrôle interne peut être interprétée comme une remise en cause de la
direction dans le personnel. Sans ignorer l’existence de cas particuliers, il faut observer :
– que le personnel doit être clairement informé des objectifs réels du contrôle interne ;
– que les éventuels obstacles soulevés par le personnel relèvent plus de la résistance au changement en général ;
– que le contrôle interne joue en faveur du personnel, car il interdit qu’il soit suspecté.

2250 Référentiel spécifique de contrôle interne : le coso

Le COSO qui regroupe aux États-Unis les associations et instituts dans les domaines de la comptabilité et de
l’audit interne définit le contrôle interne comme suit(1) :
« le contrôle interne est un processus mis en oeuvre par la direction générale, la hiérarchie, la hiérarchie, le
personnel d’une entreprise, et destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs
entrant dans les catégories suivantes :
– réalisation et optimisation des opérations ;
– fiabilité des informations financières ;
– conformité aux lois et réglementations en vigueur. »

Le référentiel du COSO est composé de cinq éléments interdépendants qui découlent de la façon dont l’entité est
gérée et qui sont intégrés aux processus de gestion. Ces cinq éléments sont représentés symboliquement par le
COSO par une pyramide. Cette représentation signifie que ces cinq éléments doivent impérativement se retrouver
dans toute organisation pour une maîtrise raisonnable de ses activités, à tous les échelons de sa hiérarchie. On
peut ainsi distinguer :
– l’environnement de contrôle ;
– l’évaluation des risques ;
– les activités de contrôle ;
– l’information et la communication ;
– le pilotage.

L’environnement de contrôle constitue le « milieu » dans lequel les personnes accomplissent leurs tâches et
assument leurs responsabilités en matière de contrôle. Il sert de base pour les autres éléments du contrôle
interne. Dans cet environnement, les dirigeants évaluent les risques susceptibles de mettre en cause la réalisation
d’objectifs spécifiques. Les activités de contrôle sont mises en place pour permettre à la direction de s’assurer
que les directives visant à traiter ces risques ont été exécutées. Entre-temps, les informations pertinentes
recueillies et communiquées à l’ensemble de l’organisation. Le processus complet fait l’objet d’un pilotage et de
modifications le cas échéant.

18
 Cadre général de l’Audit Interne – Contrôle Interne

Il existe par ailleurs un lien entre les objectifs que l’organisation cherche à atteindre (objectifs, opérationnels,
informations financières et conformité) avec les cinq éléments du contrôle interne. Le « COSO Report » montre
cette liaison.
Le rapport COSO comprend également un ensemble d’outils et un manuel de référence permettant l’application
des principes dégagés par le rapport.
Pour le COSO, le contrôle interne repose sur un certain nombre de concepts fondamentaux : processus, mise en
œuvre par des personnes, assurance raisonnable, réalisation d’objectifs.
• Le contrôle interne est un processus (ou plutôt un ensemble de processus) qui se répand à travers toutes les
activités de l’entreprise. Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont
l’activité est gérée. Il constitue un moyen d’arriver à ses fins et non une fin en soi. Les procédures de contrôle
interne sont particulièrement efficaces lorsqu’elles sont intégrées à l’infrastructure et qu’elles font partie de la
culture de l’entreprise.
L’intégration de contrôles peut avoir une incidence directe sur la capacité à atteindre ses objectifs et faciliter les
initiatives en matière de qualité.
• Le contrôle interne est mis en œuvre par des personnes. Il est l’affaire du conseil d’administration, du
mangement et des autres membres du personnel. Ce n’est pas simplement un ensemble de manuels de
procédures et de documents ; mais il est assumé à tous les niveaux de la hiérarchie.
• Le contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut offrir qu’une assurance raisonnable
quant à la réalisation des objectifs de l’entité. La probabilité d’atteindre ceux-ci est soumise aux limites
inhérentes à tout système de contrôle interne, qu’il s’agisse du jugement exercé lors des prises de décisions qui
peut être défaillant, de la nécessité d’étudier le rapport coûts/bénéfices avant la mise en œuvre de contrôles, ou
qu’il s’agisse des dysfonctionnements qui peuvent survenir en raison d’une défaillance humaine ou d’une simple
erreur.
• Le contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs domaines, qui sont distincts mais
qui se recoupent. Chaque entreprise détermine les objectifs et les stratégies pour les atteindre. Ces objectifs
peuvent être fixés par une organisation dans son ensemble ou orientés sur des activités particulières au sein de
celle-ci. Bien que chaque entreprise fixe ses propres objectifs, certains d’entre eux sont communs. En effet,
pratiquement toutes les entreprises ont pour objectif de construire une image favorable de leur industrie et
auprès de leurs consommateurs, de présenter des états financiers fiables à leurs actionnaires et d’agir en
conformité avec les lois et les règlements.

2260 Questionnaire de contrôle interne

De nombreux questionnaires ont été établis pour aider les entités à analyser leur contrôle interne. Deux guides
ont été ainsi élaborés dans un guide d’application sous l’égide de l’Autorité des marchés financiers (Le dispositif
de contrôle interne : le cadre de référence (janvier 2007) ; le cadre de référence : guide de mise en œuvre pour
les valeurs moyennes et petites (février 2008) : http://www.amf-france.org/ ) :
– un cadre de référence relatif au contrôle interne comprenant ;
• un questionnaire (général) relatif au contrôle interne comptable et financier,
• un questionnaire relatif à l’analyse et à la maîtrise des risques ;
– un cadre de référence applicable aux petites et moyennes entreprises comprenant également les deux mêmes
questionnaires.
Le guide d’application précise que « le contrôle interne comptable et financier est constitué par le dispositif de la
société mis en œuvre sous sa responsabilité en vue d’assurer, dans la mesure du possible une gestion comptable
et un suivi financier rigoureux de ses activités, visant à répondre aux objectifs fixés ci-après. Le contrôle interne
comptable et financier des sociétés est un élément majeur du contrôle interne. Il concerne l’ensemble du
processus de production et de communication de l’information comptable et financière des sociétés et concourt
à la production d’une information fiable et conforme aux exigences légales et réglementaires. Comme le contrôle
interne en général, il s’appuie sur un dispositif d’ensemble comprenant notamment la conception et la mise en
place d’un système d’information de la société, les politiques et procédures de pilotage, de surveillance et de
contrôle ».

19
 Cadre général de l’Audit Interne – Contrôle Interne

Ces deux questionnaires, qui ne présentent pas un caractère obligatoire ou normatif, visent à permettre aux
émetteurs qui le souhaiteraient de procéder par comparaison à une analyse interne de leurs procédures dans ce
domaine. Ils se présentent comme suit :

QUESTIONNAIRE (GÉNÉRAL) RELATIF AU CONTRÔLE INTERNE COMPTABLE ET FINANCIER

Rôle des organes de gouvernance

Par organes de gouvernance, on entend, dans le cadre de ce questionnaire, le conseil d’administration ou de

surveillance, la direction générale ou le directoire.
Il est précisé que, lorsque le conseil s’est doté d’un comité d’audit, le rôle attribué au conseil dans les questions
suivantes peut, tout aussi bien, être exercé par le comité d’audit.
• Les principes comptables retenus qui ont un impact significatif sur la présentation des états financiers de
l’entreprise ont-ils été formellement validés par la direction générale, revus par les commissaires aux comptes et
portés à la connaissance du conseil d’administration ou de surveillance ?
• Pour les arrêtés correspondant à des comptes publiés, les principales options comptables ainsi que les choix
effectués ont-ils été expliqués et justifiés par la direction générale au conseil, et revus par les commissaires aux
comptes ?
• Existe-t-il un processus de validation des changements de principes comptables envisagés prenant en
considération l’économie des opérations ?
Ce processus prévoit il en particulier une consultation des commissaires aux comptes et une information du
conseil ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès à l’ensemble des informations
nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des filiales consolidées ?
• Le conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs travaux au
moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques significatives ?
• La formation du résultat, la présentation du bilan, de la situation financière et des annexes, ont-elles été
expliquées au conseil, à chaque arrêté de comptes publiés ?
• Le conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les données sont périodiquement
rapprochées de l’information financière publiée ?
• Le conseil a-t-il été régulièrement informé de l’existence de situations de trésorerie incluant des perspectives à
court terme ? Les flux de trésorerie pris en compte dans l’analyse présentée au conseil mettent-ils clairement en
évidence les éléments dont l’utilisation par la société mère fait l’objet de restrictions ?

Organisation comptable et financière

• La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux informations
nécessaires à leur élaboration ?
• Existe-t-il un manuel de principes comptables groupe, précisant le traitement comptable des opérations les plus
importantes ?
• En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau
(individuel ou consolidé), existe-t-il des procédures pour expliquer les principaux retraitements ?
• Existe-t-il un manuel de procédures comptables et des instructions décrivant les répartitions des responsabilités
d’exécution ou de contrôle au regard des tâches comptables, ainsi que les calendriers à respecter ? Dans le cadre
de la préparation des comptes consolidés, existe-t-il des procédures de diffusion visant à assurer leur prise en
compte par les filiales ?
• Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents acteurs
qui participent à l’arrêté des comptes sont-ils identifiés ?
• Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction
comptable ? Prend-il en considération les évolutions prévisibles ?

20
 Cadre général de l’Audit Interne – Contrôle Interne

Système d’information comptable et financier

• Les procédures et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux exigences
de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ?
• Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations pour
évoluer avec les besoins de la société ?
• La direction générale s’est-elle assurée que les obligations de conservation des informations, données et
traitements informatiques concourant directement ou indirectement à la formation des états comptables et
financiers étaient respectées ?

Identification et analyse des risques affectant l’information comptable et financière

• Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus
d’établissement des comptes ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des procédures spécifiques visant à
réduire les risques d’erreurs et de fraudes ?
Activité de contrôle
• Existe-t-il des contrôles réguliers et inopinés pour s’assurer que le manuel des principes comptables et le
manuel de procédures comptables sont suivis dans la pratique ?
• Existe-t-il des procédures pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le cas
échéant, dans le manuel de principes comptables et/ou dans le manuel de procédures comptables ?
• L’activité de contrôle interne comptable et financier comporte-t-elle des procédures pour assurer la
préservation des actifs (risque de négligences, d’erreurs et de fraudes internes et externes) ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points qui
seraient identifiés comme sensibles concernant des aspects comptables, par exemple inscription à l’actif,
constatation des produits, spécialisation des périodes comptables, valorisation des stocks…) ?
• Les procédures d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du
périmètre de consolidation ? S’il existe des exceptions, y a-t-il des procédures adéquates pour les traiter ?

Communication financière et comptable

• Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en matière de communication

comptable et financière au marché ? Cet échéancier précise-t-il :
– la nature et l’échéance de chaque obligation périodique,
– les personnes responsables de leur établissement.
• Existe-t-il des responsables et des procédures aux fins d’identifier et de traiter les obligations d’information du
marché ?
• Existe-t-il une procédure prévoyant le contrôle des informations avant leur diffusion ?

21
 Cadre général de l’Audit Interne – Contrôle Interne

QUESTIONNAIRE RELATIF À L’ANALYSE ET À LA MAÎTRISE DES RISQUES

Principes généraux de gestion des risques

• La société dispose-t-elle d’un « langage commun « en matière de risques (typologie homogène, critères de
recensement, d’analyse et de suivi, …) ?
• La société a-t-elle mis en place des objectifs en matière de gestion des risques ?

Identification des principaux risques

• Existe-t-il un processus d’identification des principaux risques ? Le cas échéant, ce processus intègre-t-il les
objectifs de la société ? Une organisation a-t-elle été mise en place à cet effet ?

Analyse des principaux risques

• Pour les principaux risques identifiés, l’entreprise réalise-t-elle une analyse des incidences potentielles (chiffrées
ou non, financière ou non financière), et du degré de maîtrise estimé ?
• L’analyse des risques tient-elle compte des évolutions internes ou externes à la société ?
• Ces analyses donnent- elles lieu à des actions spécifiques ? La responsabilité de ces actions est-elle définie ? Le
cas échéant, la mise en œuvre de ces actions est-elle suivie ?

Procédures de gestion des principaux risques

• Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la
direction et mises en place dans la société ?
• Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion des
risques ?
• Les responsabilités en matière de gestion des risques sont-elles définies et communiquées aux personnes
concernées ?
• Les expériences passées de l’entreprise (ou d’acteurs comparables) en matière de risques sont-elles prises en
considération ?
• La direction reçoit-elle une information sur les caractéristiques essentielles des actions engagées pour gérer les
principaux risques de la société (nature des actions engagées ou des couvertures en place, assurances, exclusions,
montants des garanties…) ?
• L’entreprise a-t-elle mis en place un plan de gestion de crise ?

Surveillance des risques et des procédures de gestion des risques

• L’entreprise communique-t-elle en interne aux personnes intéressées :

– sur ses facteurs de risques ?
– sur les dispositifs de gestion des risques ?
– sur les actions en cours et les personnes qui en ont la charge ?
• L’entreprise a-t-elle identifié les obligations légales et réglementaires applicables en matière de communication
sur les risques ?
• Existe-t-il un mécanisme permettant, si nécessaire, d’adapter les procédures de gestion des risques à une
évolution des risques, de l’environnement externe, des objectifs ou de l’activité de la société ?
• Existe-t-il un dispositif permettant d’identifier les principales faiblesses du dispositif de gestion des risques mis
en place par la société, et de les corriger ?
• Le conseil d’administration ou le conseil de surveillance, selon le cas, a-t-il été informé des grandes lignes de la
politique de gestion des risques ? Est-il régulièrement informé des principaux risques identifiés, des
caractéristiques essentielles du dispositif de gestion des risques, notamment des moyens mis en œuvre et des
actions d’amélioration en cours ?
22