Académique Documents
Professionnel Documents
Culture Documents
Cadre général de
l’Audit Interne –
Contrôle Interne
Formation à dispenser
1
Cadre général de l’Audit Interne – Contrôle Interne
La création de la fonction d’audit interne dans les entreprises s’inscrit dans le cadre plus général de l’évolution de
la notion d’audit.
Le mot audit, qui nous vient du latin audire, c’est-à-dire « écouter », a pour ancêtre en France le commissariat
aux comptes, institué par la loi du 24 juillet 1867. Le commissaire aux comptes avait alors pour rôle la vérification
des comptes. On parla de révision des comptes avant de lui préférer le terme d’audit qui a une connotation plus
valorisante. Progressivement, le terme d’audit connut un élargissement à la fois horizontal et vertical en raison de
l’image de rigueur qu’il véhicule, des risques qu’il parvient à identifier, des politiques et des plans qu’il doit
accompagner, des économies qu’il permet de réaliser, de l’instabilité de l’environnement, de la complexité des
paramètres de gestion et de contrôle qu’il doit maîtriser. Toutes ces « vertus » associées au mot audit ont
fortement contribué à son développement et à sa généralisation.
Ainsi, de l’examen des états financiers (audit comptable et financier), l’audit s’est étendu à d’autres domaines,
(informatique, juridique, fiscal, social, achats, production…).
1210 Définition
L’Institute of Internal Auditors (IIA), dont l’une des missions est d’élaborer les normes et les pratiques
professionnelles, a donné en 1999 une définition de l’audit interne, adaptée par l’IFACI en ces termes : « L’audit
interne est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il
aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle et de gouvernement d’entreprise et en faisant des propositions
pour renforcer son efficacité. »
Généralement, les définitions de l’audit données par les auteurs convergent vers une mission d’opinion :
– confiée à un professionnel « indépendant » (auditeur interne ou externe) ;
– utilisant une méthodologie spécifique ;
– justifiant un niveau de diligences acceptable par rapport à des normes.
1210 Missions
À partir des trois objectifs du contrôle interne qui viennent d’être indiqués, peuvent être associées différentes
missions : audit opérationnel, audit financier et enfin audit de la stratégie.
La mission d’audit opérationnel est plus tournée vers l’efficacité de l’organisation et le respect des procédures
écrites mises en place. L’auditeur interne doit procéder à un examen systématique des activités ou des processus
d’une entité en vue d’évaluer l’organisation et ses réalisations et identifier les pratiques jugées non économiques,
improductives et inefficaces, enfin de proposer des solutions d’amélioration et de s’assurer éventuellement de
leur suivi.
2
Cadre général de l’Audit Interne – Contrôle Interne
Dans le cadre d’une mission d’audit financier, orientée sur la fiabilité des informations financières et la protection
des actifs matériels, humains et financiers, l’auditeur interne doit s’assurer, en relation avec les auditeurs
externes, que les procédures de contrôle interne comptables sont fiables. Il ne s’agit nullement ici d’une mission
de certification des comptes.
À ces deux premières missions traditionnelles s’ajoute une mission d’audit de la stratégie. Ici, l’auditeur doit
identifier les risques associés aux objectifs et aux grandes orientations stratégiques définies par l’organisation et
évaluer la conformité ou la cohérence d’ensemble entre ce qui avait été dit et ce qui est fait dans le but
d’apprécier la performance des réalisations.
Remarque :
Si l’audit de fiabilité est plus orienté vers une mission de contrôle, l’audit d’efficacité est plus orienté vers une
mission de conseil, le but de l’audit opérationnel étant d’améliorer les systèmes et non simplement de voir s’ils
fonctionnent correctement.
Comment mieux éclairer une fonction qu’en traçant les frontières de son action par rapport à celles qui jouxtent
son domaine d’application. On évitera bien des confusions en précisant clairement comment se situe l’audit
interne par rapport :
• à l’audit externe ;
• au contrôle de gestion ;
• au contrôle interne ;
• au risk management.
On a vu comment est née la fonction d’audit interne à partir de l’audit externe, et les confusions qui ont pu en
résulter. Aujourd’hui les deux fonctions sont nettement différenciées et la définition de l’audit externe est
universellement admise.
Les huit différences entre l’audit interne et l’audit externe
1. Le statut de l’auditeur
3
Cadre général de l’Audit Interne – Contrôle Interne
C’est une évidence mais qui est fondamentale. L’auditeur interne appartient au personnel de l’entreprise,
l’auditeur externe (cabinet international ou commissaire aux comptes) est dans la situation d’un prestataire de
services juridiquement indépendant.
5. La prévention de la fraude
L’audit externe est intéressé par toute fraude, dès l’instant qu’elle a, ou est susceptible d’avoir, une incidence sur
les résultats. En revanche, une fraude touchant, par exemple, à la confidentialité des dossiers du personnel,
concerne l’audit interne, mais non l’audit externe.
6. L’indépendance de l’auditeur
Il va de soi que cette indépendance n’est pas de même nature. L’indépendance de l’auditeur externe est celle du
titulaire d’une profession libérale, elle est juridique et statutaire ; celle de l’auditeur interne est assortie des
restrictions analysées dans les cours d’audit du Master 1.
8. La méthode de l’auditeur
Les auditeurs externes réalisent leurs travaux selon des méthodes qui ont fait leurs preuves, à base de
rapprochements, analyses, inventaires. La méthode des auditeurs internes est spécifique et originale ; elle sera
décrite en dans la suite de ce cours.
4
Cadre général de l’Audit Interne – Contrôle Interne
Illustration 2 : Audit interne et audit externe de la fonction « trading » d’une compagnie pétrolière.
Rappelons qu’il s’agit de cette fonction essentielle qui consiste à négocier et acheter les cargaisons de pétrole
brut sur les marchés internationaux, c’est-à-dire qu’elle pèse lourd en termes d’achats, de stocks et donc de
résultat : ce titre elle intéresse très largement audit interne et audit externe.
– Dans son examen l’audit externe va s’assurer que ces opérations complexes ont bien été enregistrées avec
régularité et sincérité :
- enregistrement des opérations au moment où est intervenu le changement de propriété (d’où l’analyse des
contrats),
- exhaustivité des opérations enregistrées dans la période ;
- valorisation des devises au cours adéquat ;
- calcul des provisions pour dépréciations ;
- appréciation des quantités (calcul des pertes) ;
- respect des règles d’enregistrement comptable (frais accessoires) ;
- etc.
– L’audit interne se préoccupe également de cette fonction essentielle qui figure son plan d’audit, mais avec une
tout autre optique. Les auditeurs internes regardent en particulier si :
- toutes les dispositions ont bien été prises pour un contrôle périodique de la régularité et de la sincérité des
comptes (audit externe) ;
- les règles de l’entreprise pour éviter tout risque de collusion dans les négociations sont bien respectées et sont
suffisantes et efficaces ;
- les dispositions visant à éviter tout conflit d’intérêts entre négociateurs et traders sont également respectées et
suffisantes (ex. : turnover du personnel) ;
- l’organisation du travail (suivi des cours mondiaux, système d’information) permet bien d’obtenir le meilleur
cours au meilleur moment ;
- les relations de travail siège/usines permettent l’approvisionnement souhaité en qualité, quantité et délais, etc.
5
Cadre général de l’Audit Interne – Contrôle Interne
Illustration : Comment concevoir les rôles respectifs de l’auditeur interne et du contrôleur de gestion dans le
fonctionnement du magasin de pièces de rechange d’une usine importante ?
6
Cadre général de l’Audit Interne – Contrôle Interne
Il ne s’agit pas ici d’expliquer le contrôle interne, qui fait l’objet du second chapitre de ce programme de
formation. Il s’agit, plus simplement, de situer les contrôleurs internes par rapport aux auditeurs internes.
Les contrôleurs internes, apparus il y a peu et surtout dans les organisations importantes ont en effet un statut
hybride.
La cause en est dans la terminologie qui pourrait laisser supposer que le contrôle interne est une fonction
susceptible d’être managée, comme les autres fonctions. Nous verrons qu’il n’en est rien. D’où la nécessité de
préciser le rôle des contrôleurs internes, ou à tout le moins ce qu’ils ne devraient pas être.
Il arrive, hélas trop souvent, que leur rôle soit confondu avec celui des auditeurs ou avec celui des managers. Or il
ne s’agit ni d’apprécier le contrôle interne et de faire des propositions pour l’améliorer, ni de décider ce qu’il
convient de faire pour faire échec aux risques. Dans un environnement de plus en plus complexe, avec des
systèmes de contrôle interne de plus en plus sophistiqués, il est apparu nécessaire de mettre en place un chef
d’orchestre, non pas pour écrire la partition, ou pour la jouer, mais pour coordonner l’action de tous et éviter les
fausses notes.
On trouvera, au début du chapitre 2, une description précise des différentes tâches incombant au contrôleur
interne, lorsqu’il existe.
Le risk management (ou gestion de risque) n’est pas présent dans toutes les organisations en tant que fonction
individualisée et spécifique. Mais, bien ou mal, le risque est toujours géré et pris en charge, soit d’une façon
diffuse par tous les acteurs de l’organisation, soit spécifiquement comme complément à une autre fonction
(assurance, audit interne, qualité…).
Comme l’audit interne, la fonction de risk manager :
• est au service du management et plus particulièrement de la direction générale ;
• est rattachée au plus haut niveau pour préserver son indépendance ;
• est exclusive de toute fonction opérationnelle mais doit être relayée par les opérationnels.
• concerne toutes les activités de l’organisation.
On assigne traditionnellement au risk manager quatre missions, lesquelles exigent une bonne définition des
objectifs de l’organisation, déclinés par activités :
1re mission : Identifier tous les risques internes et externes de l’entreprise
2e mission : À partir de cette identification élaborer une cartographie des risques permettant de les apprécier.
L’audit interne se saisit de cette cartographie pour éventuellement la décliner au niveau opérationnel. En
l’absence de risk manager c’est l’audit interne qui élabore la cartographie des risques de l’organisation mais le
plus souvent sans utiliser les outils statistiques, souvent très élaborés, qui sont la spécificité du risk management.
3e mission Définir une stratégie de risques et la proposer à la direction générale. Cette stratégie offre quatre
options pour chaque risque identifié :
• accepter le risque, donc ne rien faire : c’est ce que les Anglo-Saxons nomment le « Risk appetite ».
• éliminer ou réduire le risque en diminuant la fréquence par une meilleure politique de prévention ou en
minimisant l’impact par une meilleure politique de protection ;
• transférer le risque, très généralement par l’utilisation de l’assurance ou par d’autres procédés (joint-venture,
etc.).
4e mission : Sensibiliser et former les managers en leur suggérant les moyens à mettre en œuvre pour aligner la
gestion des risques opérationnels sur la stratégie globale et, si besoin est, leur prêter assistance dans la
réalisation.
7
Cadre général de l’Audit Interne – Contrôle Interne
L’objectif prioritaire de l’audit interne reste l’évaluation du processus de management des risques, donc
l’évaluation du contrôle interne qui en est le « produit fini ». En amont le risk manager – lorsqu’il existe –
contribue à élaborer et à mettre en place le processus de management des risques sous la responsabilité de la DG
et du management auxquels il a été proposé.
Cette intime complémentarité des rôles apparaît encore plus nettement dans la récente analyse du COSO2 (cf. 2e
partie) lequel énonce comme conditions d’un bon contrôle interne une gestion des risques globale et efficace
sous la dénomination « Enterprise Risk Management » (ERM) ; or les caractéristiques de l’ERM sont le reflet du
rôle ci-dessus dévolu au risk manager. Les deux fonctions sont donc intimement liées. D’ailleurs le référentiel du
risk management, le FERMA (Fédération Européenne de Risk Management), est très voisin de la gestion du risque
du COSO2.
Risk management, assurances, audit interne : tous se préoccupent du risque à des degrés divers. Et c’est
pourquoi il incombe à la direction de définir et coordonner les responsabilités de chacun pour éviter toute
confusion. C’est à dire du même coup que les frontières ainsi tracées ne sont pas immuables d’une organisation à
l’autre.
8
Cadre général de l’Audit Interne – Contrôle Interne
On ne répétera jamais assez que le contrôle interne n’est pas une fonction, que c’est un ensemble de
dispositions, donc un état et qu’on ne saurait parler de « Service de contrôle interne », sauf à faire un contresens.
On trouve néanmoins dans certaines entreprises des contrôleurs internes et éventuellement un service de
contrôle interne. En 2009, les contrôleurs internes représentent 15 % de la population totale auditeurs
internes/contrôleurs internes.
Ces contrôleurs internes ne sont pas les propriétaires du contrôle interne : ce sont les managers de l’entreprise et
sa direction qui assument cette fonction.
Les contrôleurs internes, lorsqu’ils existent, sont là pour faciliter les travaux et en particulier :
• gérer le changement du contrôle interne et en particulier son organisation et sa mise en œuvre ;
• servir de support méthodologique à tous les acteurs ;
• assurer le bon fonctionnement du processus de mise en conformité des activités ;
• veiller à la cohérence des différents dispositifs de contrôle interne mis en place par les managers ou préconisés
par les auditeurs internes.
En l’absence de contrôleurs internes, ces différentes fonctions sont partagées entre auditeurs internes et
propriétaires du contrôle interne ; ce qui est la situation habituellement rencontrée dans les entreprises petites
ou moyennes.
Les définitions du contrôle interne sont nombreuses, mais l’accord se fait sur l’essentiel. Les auditeurs externes,
commissaires aux comptes, experts-comptables ont été les premiers en France à développer et à approfondir la
notion de contrôle interne, et ce pour atteindre les objectifs spécifiques assignés à leur fonction : certifier la
régularité, la sincérité et l’image fidèle des comptes et résultats.
Le contrôle interne est donc pour eux un moyen alors que pour les auditeurs internes il s’agit d’un objectif. Dès
les années 1960-1970, l’Ordre Français des Experts-Comptables, la Compagnie des Commissaires aux
Comptes, ont cerné et défini cette notion démontrant que la mise en œuvre de dispositifs de contrôle interne
exhaustifs et adéquats dans les domaines financiers et comptables permet d’obtenir des résultats réguliers,
sincères et fidèles ; et que pour apprécier ces qualités, les réviseurs – au sens le plus large du terme – doivent
examiner les dispositifs en question1. Les études sur le sujet sont nombreuses et de qualité, on ne saurait les citer
toutes2, mais au fil des années, de congrès en colloques, la notion s’est ainsi précisée et affinée.
Les auditeurs internes n’ont eu qu’à s’en emparer et à l’étendre à toutes les fonctions de l’entreprise en
soulignant l’originalité de ses caractères dès l’instant que lui était conférée une portée universelle.
Ce bref rappel historique permet de comprendre que l’on peut, sans se déjuger, partir de l’excellente définition
du contrôle interne donnée par l’Ordre des Experts-Comptables dès 1977 :
« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but
d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre
l’application des instructions de la direction et de favoriser l’amélioration des performances. Il se
manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise,
pour maintenir la pérennité de celle-ci. »
9
Cadre général de l’Audit Interne – Contrôle Interne
Contrôle
Interne
Fiabilité et intégrité
Respect des politiques des informations Efficacité et efficience
Sauvegarde des actifs
de gestion financières et des opérations
opérationnelles
10
Cadre général de l’Audit Interne – Contrôle Interne
1. Fiables et vérifiables.
Il ne suffit pas qu’une information soit bonne, encore faut-il que le système permette de vérifier son exactitude.
On affirme ainsi que tout contrôle interne doit comporter un système de preuve sans lequel n’existe ni garantie ni
justification possible. Pour le comptable ce sera le système d’archivage et de conservation des documents, pour
le responsable de fabrication ce sera l’enregistrement des températures, des pressions et des débits. La « boîte
noire » des avions répond à cette préoccupation et est – de ce point de vue – un élément important du contrôle
interne mis en place pour la vérification des informations.
2. Exhaustives
Il ne sert à rien d’avoir des informations exactes si elles ne sont pas complètes. Ce qui veut dire que le système de
contrôle interne doit garantir la qualité des enregistrements à la source des données de base et faire en sorte que
tous les éléments soient pris en compte dans la chaîne des traitements.
3. Pertinentes
L’information doit être adaptée au but poursuivi, sinon elle est superflue. De nos jours, les bases de données
génèrent souvent des flux d’informations excessifs, une abondance de biens qui en fin de compte empêche de s’y
retrouver et n’améliore donc pas la connaissance.
4. Disponibles
Chacun connaît des exemples d’informations qui arrivent trop tard ou qui ne sont pas aisément accessibles. Là
également le contrôle interne adapté doit éviter de semblables situations.
A titre d’exemple, ci-dessous un ensemble de conditions qui devront être respectées pour chacun des cycles :
11
Cadre général de l’Audit Interne – Contrôle Interne
12
Cadre général de l’Audit Interne – Contrôle Interne
Le contrôle interne repose sur certaines règles de conduite ou de préceptes dont le respect lui conférera une
qualité satisfaisante.
Les principes sur lesquels s’appuie le contrôle ont été définis il y a très longtemps par le congrès de l’OEC de
1977. Ce sont : l’organisation, l’intégration, la permanence, l’universalité, l’indépendance, l’information,
l’harmonie.
Ces principes ont notamment été repris par le cadre de référence de l’AMF.
1. Le principe d’organisation
Pour que le contrôle interne soit satisfaisant, il est essentiel que l’organisation de l’entreprise possède certaines
caractéristiques. L’organisation doit être :
préalable ;
adaptée et adaptable ;
vérifiable ;
formalisée ;
et doit comporter une séparation convenable des fonctions.
L’organisation doit être établie sous la responsabilité du chef d’entreprise. Cette responsabilité consiste à fixer les
objectifs, définir les responsabilités des hommes (organigramme), déterminer le choix et l’étendue des moyens à
mettre en œuvre.
La diffusion par écrit des instructions est indispensable dans une grande entreprise. Elle est également préférable
dans les entreprises de dimensions plus modestes, afin d’éviter les erreurs d’interprétation.
La règle de séparation des fonctions a pour objectif d’éviter que dans l’exercice d’une activité de l’entreprise un
même agent cumule :
les fonctions de décisions (ou opérationnelles) ;
les fonctions de détention matérielle des valeurs et des biens ;
les fonctions d’enregistrement (saisie et traitement de l’information) ;
les fonctions de contrôle ;
ou même simplement deux d’entre elles.
Exemple
Si une même personne cumule l’initiation et l’autorisation d’achat, l’entreprise court le risque de commander une
marchandise non nécessaire aux besoins de l’exploitation ; de même, si une même personne procède à l’achat et
comptabilise la facture, le risque auquel est exposée l’entreprise est que l’enregistrement ne reflète pas la réalité
de l’opération ; enfin, un trésorier qui aurait accès à l’enregistrement comptable de transactions d’achat pourrait
enregistrer une facture fictive, procéder à son paiement et encaisser la somme correspondante.
13
Cadre général de l’Audit Interne – Contrôle Interne
2. Le principe d’intégration
Les procédures mises en place doivent permettre le fonctionnement d’un système d’autocontrôle mis en œuvre
par des recoupements, des contrôles réciproques ou des moyens techniques appropriés.
Les recoupements permettent de s’assurer de la fiabilité de la production ou du suivi d’une information au moyen
de renseignements émanant de sources différentes ou d’éléments identiques traités par des voies différentes
(concordance d’un compte collectif avec la somme des comptes individuels).
Les contrôles réciproques consistent dans le traitement subséquent ou simultané d’une information selon la
même procédure, mais par un agent différent, de façon à vérifier l’identité des résultats obtenus (total des
relevés de chèques reçus et total des bordereaux de remises en banques).
Les moyens techniques recouvrent l’ensemble des procédés qui évitent, corrigent ou réduisent, autant que faire
se peut, l’intervention humaine et par voie de conséquence les erreurs, les négligences et les fraudes
(traitements automatiques informatisés, clefs de contrôle).
3. Le principe de permanence
La mise en place de l’organisation de l’entreprise et de son système de régulation – le contrôle interne – suppose
une certaine pérennité de ces systèmes.
Il est clair que cette pérennité repose nécessairement sur celle de l’exploitation.
4. Le principe d’universalité
Le principe d’universalité signifie que le contrôle interne concerne toutes les personnes dans l’entreprise, en tout
temps et en tout lieu.
C’est-à-dire qu’il ne doit pas y avoir de personnes exclues du contrôle par privilège, ni de domaines réservés ou
d’établissements mis en dehors du contrôle interne.
5. Le principe d’indépendance
Le principe d’indépendance implique que les objectifs du contrôle interne sont à atteindre indépendamment des
méthodes, procédés et moyens de l’entreprise.
En particulier, l’auditeur doit vérifier que l’informatique n’élimine pas certains contrôles intermédiaires.
6. Le principe d’information
L’information doit répondre à certains critères tels que la pertinence, l’utilité, l’objectivité, la communicabilité et la
vérifiabilité.
7. Le principe d’harmonie
On entend par principe d’harmonie, l’adéquation du contrôle interne aux caractéristiques de l’entreprise et de son
environnement.
C’est un simple principe de bon sens qui exige que le contrôle interne soit bien adapté au fonctionnement de
l’entreprise.
En particulier, dans la petite entreprise, le contrôle interne connaît des limites inhérentes à la dimension,
notamment pour ce qui concerne la mise en œuvre généralisée du principe de séparation des fonctions. Mais il
ne faut pas ignorer que cette lacune se trouve en partie compensée par la connaissance des hommes et des
activités possédée par le chef d’entreprise qui est un des éléments essentiels du contrôle interne.
14
Cadre général de l’Audit Interne – Contrôle Interne
1) Une organisation comportant une définition claire des responsabilités, disposant des ressources et des
compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires,
des outils et des pratiques appropriés.
2) La diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses
responsabilités.
3) Un système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la société et
à s’assurer de l’existence de procédures de gestion de ces risques.
4) Des activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer que
les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la réalisation des
objectifs.
5) Une surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen régulier de son
fonctionnement.
1. Le principe d’organisation Organisation comportant une définition claire des responsabilités, disposant
des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des
procédures ou modes opératoires, des outils et des pratiques appropriés :
La mise en œuvre d’un dispositif de contrôle interne doit reposer sur des principes fondamentaux mais aussi sur :
– une organisation appropriée qui fournit le cadre dans lequel les activités nécessaires à la réalisation des objectifs
sont planifiées, exécutées, suivies et contrôlées ;
– des responsabilités et pouvoirs clairement définis qui doivent être accordés aux personnes appropriées en
fonction des objectifs de la société. Ils peuvent être formalisés et communiqués au moyen de descriptions de
tâches ou de fonctions, d’organigrammes hiérarchiques et fonctionnels, de délégations de pouvoirs et devraient
respecter le principe de séparation des tâches ;
– une politique de gestion des ressources humaines qui devrait permettre de recruter des personnes possédant
les connaissances et compétences nécessaires à l’exercice de leur responsabilité et à l’atteinte des objectifs
actuels et futurs de la société ;
– des systèmes d’information adaptés aux objectifs actuels de l’organisation et conçus de façon à pouvoir
supporter ses objectifs futurs. Les systèmes informatiques sur lesquels s’appuient ces systèmes d’information
doivent être protégés efficacement tant au niveau de leur sécurité physique que logique afin d’assurer la
conservation des informations stockées. Leur continuité d’exploitation doit être assurée au moyen de procédures
de secours. Les informations relatives aux analyses, à la programmation et à l’exécution des traitements doivent
faire l’objet d’une documentation ;
– des procédures ou modes opératoires qui précisent la manière dont devrait s’accomplir une action ou un
processus (objectifs à atteindre à un horizon donné, définitions de fonctions et de lignes
hiérarchiques/fonctionnelles, lignes de conduite, outils d’aide à la décision et d’évaluation, fréquence de
contrôle, personne responsable du contrôle…), quels qu’en soient la forme et le support.
– des outils ou instruments de travail (bureautique, informatique) qui doivent être adaptés aux besoins de chacun
et auxquels chaque utilisateur devrait être dûment formé ;
– des pratiques communément admises au sein de la société.
15
Cadre général de l’Audit Interne – Contrôle Interne
2. Diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer
ses responsabilités
La société devrait disposer de processus qui assurent la communication d’informations pertinentes, fiables et
diffusées en temps opportun aux acteurs concernés de la société afin de leur permettre d’exercer leurs
responsabilités.
3. Système visant à recenser, analyser les principaux risques identifiables au regard des objectifs de la
société et à s’assurer de l’existence de procédures de gestion de ces risques :
En raison de l’évolution permanente de l’environnement ainsi que du contexte réglementaire, les sociétés
doivent mettre en place des méthodes pour recenser, analyser et gérer les risques d’origine interne ou externe
auxquels elles peuvent être confrontées et qui réduiraient la probabilité d’atteinte des objectifs.
■ Recensement des risques
La société doit recenser les principaux risques identifiables, internes ou externes pouvant avoir un impact sur la
probabilité d’atteindre les objectifs qu’elle s’est fixés. Cette identification, qui s’inscrit dans le cadre d’un
processus continu, devrait couvrir les risques qui peuvent avoir une incidence importante sur sa situation.
■ Analyse des risques
Il convient pour ce faire de tenir compte de la possibilité d’occurrence des risques et de leur gravité potentielle,
ainsi que de l’environnement et des mesures de maîtrise existantes. Ces différents éléments ne sont pas figés, ils
sont pris en compte, au contraire, dans un processus de gestion des risques.
■ Procédures de gestion des risques
La direction générale et/ou le directoire avec l’appui d’une direction des risques, si elle existe, devraient définir
des procédures de gestion des risques.
4. Activités de contrôle proportionnées aux enjeux propres à chaque processus, et conçues pour s’assurer
que les mesures nécessaires sont prises en vue de maîtriser les risques susceptibles d’affecter la
réalisation des objectifs :
Les activités de contrôle sont présentes partout dans l’organisation, à tout niveau et dans toute fonction qu’il
s’agisse de contrôles orientés vers la prévention ou la détection, de contrôles manuels ou informatiques ou
encore de contrôles hiérarchiques.
En tout état de cause, les activités de contrôle doivent être déterminées en fonction de la nature des objectifs
auxquels elles se rapportent et être proportionnées aux enjeux de chaque processus. Dans ce cadre, une
attention toute particulière devrait être portée aux contrôles des processus de construction et de
fonctionnement des systèmes d’information.
5. Activités Surveillance permanente portant sur le dispositif de contrôle interne ainsi qu’un examen
régulier de son fonctionnement
Comme tout système, le dispositif de contrôle interne doit faire l’objet d’une surveillance permanente. Il s’agit de
vérifier sa pertinence et son adéquation aux objectifs de la société.
Mise en œuvre par le management sous le pilotage de la direction générale ou du directoire, cette surveillance
prend notamment en compte l’analyse des principaux incidents constatés, le résultat des contrôles réalisés ainsi
que des travaux effectués par l’audit interne, lorsqu’il existe. Cette surveillance s’appuie notamment sur les
remarques formulées par les commissaires aux comptes et par les éventuelles instances réglementaires de
supervision. La surveillance peut utilement être complétée par une veille active sur les meilleures pratiques en
matière de contrôle interne. Surveillance et veille conduisent, si nécessaire, à la mise en œuvre d’actions
correctives et à l’adaptation du dispositif de contrôle interne. La direction générale ou le directoire apprécient les
conditions dans lesquelles ils informent le conseil d’administration
16
Cadre général de l’Audit Interne – Contrôle Interne
Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble des collaborateurs de la
société.
Le niveau d’implication des conseils d’administration ou de surveillance en matière de contrôle interne varie
d’une société à l’autre. Il appartient à la direction générale ou au directoire de rendre compte au conseil (ou à
son comité d’audit lorsqu’il existe) des caractéristiques essentielles du dispositif de contrôle interne. En tant que
de besoin, le conseil d’administration ou de surveillance peut faire usage de ses pouvoirs généraux pour faire
procéder par la suite aux contrôles et vérifications qu’il juge opportuns ou prendre toute autre initiative qu’il
estimerait appropriée en la matière. Lorsqu’il existe, le Comité d’audit devrait effectuer une surveillance attentive
et régulière du dispositif de contrôle interne.
Pour exercer ses responsabilités en toute connaissance de cause, le Comité d’audit peut entendre le responsable
de l’audit interne, donner son avis sur l’organisation de son service et être informé de son travail. Il doit être en
conséquence destinataire des rapports d’audit interne ou d’une synthèse périodique de ces rapports.
La direction générale ou le directoire sont chargés de définir, d’impulser et de surveiller le dispositif le mieux
adapté à la situation et à l’activité de la société. Dans ce cadre, ils se tiennent régulièrement informés de ses
dysfonctionnements, de ses insuffisances et de ses difficultés d’application, voire de ses excès, et veillent à
l’engagement des actions correctives nécessaires.
3. L’audit interne
Lorsqu’il existe, le service d’audit interne a la responsabilité d’évaluer le fonctionnement du dispositif de contrôle
interne et de faire toutes préconisations pour l’améliorer, dans le champ couvert par ses missions. Il sensibilise et
forme habituellement l’encadrement au contrôle interne mais n’est pas directement impliqué dans la mise en
place et la mise en œuvre quotidienne du dispositif. Le responsable de l’audit interne rend compte à la direction
générale et, selon des modalités déterminées par chaque société, aux organes sociaux, des principaux résultats
de la surveillance exercée.
4. Le personnel de la société
Chaque collaborateur concerné devrait avoir la connaissance et l’information nécessaire pour établir, faire
fonctionner et surveiller le dispositif de contrôle interne, au regard des objectifs qui lui ont été assignés. C’est le
cas des responsables opérationnels en prise directe avec le dispositif de contrôle interne mais aussi des
contrôleurs internes et des cadres financiers qui doivent jouer un rôle important de pilotage et de contrôle.
Le dispositif de contrôle interne aussi bien conçu et aussi bien appliqué soit-il, ne peut fournir une garantie
absolue quant à la réalisation des objectifs de la société. La probabilité d’atteindre ces objectifs ne relève pas de
la seule volonté de la société. Il existe en effet des limites inhérentes à tout système de contrôle interne. Ces
limites résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de l’exercice de la
faculté de jugement ou de dysfonctionnements pouvant survenir en raison d’une défaillance humaine ou d’une
simple erreur. En outre, lors de la mise en place des contrôles, il est nécessaire de tenir compte du rapport
coût/bénéfice et de ne pas développer des systèmes de contrôle interne inutilement coûteux quitte à accepter
un certain niveau de risque.
17
Cadre général de l’Audit Interne – Contrôle Interne
1. Coût du contrôle
Il est souvent reproché au contrôle interne d’augmenter les charges de l’entreprise par l’embauche du personnel
nouveau et la réalisation d’investissements supplémentaires. Il faut cependant observer :
– que le contrôle interne est un élément de sécurité dans l’entreprise, dont le coût peut s’analyser comme celui
de l’assurance ;
– que le contrôle interne est avant tout une meilleure répartition des tâches avant leur multiplication ;
– que le contrôle interne doit être à la mesure du risque qu’il doit couvrir. On doit ainsi souligner que si le risque
encouru est faible, la mise en place d’une procédure dont le coût serait supérieur au risque encouru deviendrait
une faiblesse dans l’optique du rapport
coût/efficacité.
2. Problèmes humains
La mise en place d’un système de contrôle interne peut être interprétée comme une remise en cause de la
direction dans le personnel. Sans ignorer l’existence de cas particuliers, il faut observer :
– que le personnel doit être clairement informé des objectifs réels du contrôle interne ;
– que les éventuels obstacles soulevés par le personnel relèvent plus de la résistance au changement en général ;
– que le contrôle interne joue en faveur du personnel, car il interdit qu’il soit suspecté.
Le COSO qui regroupe aux États-Unis les associations et instituts dans les domaines de la comptabilité et de
l’audit interne définit le contrôle interne comme suit(1) :
« le contrôle interne est un processus mis en oeuvre par la direction générale, la hiérarchie, la hiérarchie, le
personnel d’une entreprise, et destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs
entrant dans les catégories suivantes :
– réalisation et optimisation des opérations ;
– fiabilité des informations financières ;
– conformité aux lois et réglementations en vigueur. »
Le référentiel du COSO est composé de cinq éléments interdépendants qui découlent de la façon dont l’entité est
gérée et qui sont intégrés aux processus de gestion. Ces cinq éléments sont représentés symboliquement par le
COSO par une pyramide. Cette représentation signifie que ces cinq éléments doivent impérativement se retrouver
dans toute organisation pour une maîtrise raisonnable de ses activités, à tous les échelons de sa hiérarchie. On
peut ainsi distinguer :
– l’environnement de contrôle ;
– l’évaluation des risques ;
– les activités de contrôle ;
– l’information et la communication ;
– le pilotage.
L’environnement de contrôle constitue le « milieu » dans lequel les personnes accomplissent leurs tâches et
assument leurs responsabilités en matière de contrôle. Il sert de base pour les autres éléments du contrôle
interne. Dans cet environnement, les dirigeants évaluent les risques susceptibles de mettre en cause la réalisation
d’objectifs spécifiques. Les activités de contrôle sont mises en place pour permettre à la direction de s’assurer
que les directives visant à traiter ces risques ont été exécutées. Entre-temps, les informations pertinentes
recueillies et communiquées à l’ensemble de l’organisation. Le processus complet fait l’objet d’un pilotage et de
modifications le cas échéant.
18
Cadre général de l’Audit Interne – Contrôle Interne
Il existe par ailleurs un lien entre les objectifs que l’organisation cherche à atteindre (objectifs, opérationnels,
informations financières et conformité) avec les cinq éléments du contrôle interne. Le « COSO Report » montre
cette liaison.
Le rapport COSO comprend également un ensemble d’outils et un manuel de référence permettant l’application
des principes dégagés par le rapport.
Pour le COSO, le contrôle interne repose sur un certain nombre de concepts fondamentaux : processus, mise en
œuvre par des personnes, assurance raisonnable, réalisation d’objectifs.
• Le contrôle interne est un processus (ou plutôt un ensemble de processus) qui se répand à travers toutes les
activités de l’entreprise. Ces actions sont perceptibles à tous les niveaux et sont inhérentes à la façon dont
l’activité est gérée. Il constitue un moyen d’arriver à ses fins et non une fin en soi. Les procédures de contrôle
interne sont particulièrement efficaces lorsqu’elles sont intégrées à l’infrastructure et qu’elles font partie de la
culture de l’entreprise.
L’intégration de contrôles peut avoir une incidence directe sur la capacité à atteindre ses objectifs et faciliter les
initiatives en matière de qualité.
• Le contrôle interne est mis en œuvre par des personnes. Il est l’affaire du conseil d’administration, du
mangement et des autres membres du personnel. Ce n’est pas simplement un ensemble de manuels de
procédures et de documents ; mais il est assumé à tous les niveaux de la hiérarchie.
• Le contrôle interne, aussi bien conçu et aussi bien appliqué soit-il, ne peut offrir qu’une assurance raisonnable
quant à la réalisation des objectifs de l’entité. La probabilité d’atteindre ceux-ci est soumise aux limites
inhérentes à tout système de contrôle interne, qu’il s’agisse du jugement exercé lors des prises de décisions qui
peut être défaillant, de la nécessité d’étudier le rapport coûts/bénéfices avant la mise en œuvre de contrôles, ou
qu’il s’agisse des dysfonctionnements qui peuvent survenir en raison d’une défaillance humaine ou d’une simple
erreur.
• Le contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs domaines, qui sont distincts mais
qui se recoupent. Chaque entreprise détermine les objectifs et les stratégies pour les atteindre. Ces objectifs
peuvent être fixés par une organisation dans son ensemble ou orientés sur des activités particulières au sein de
celle-ci. Bien que chaque entreprise fixe ses propres objectifs, certains d’entre eux sont communs. En effet,
pratiquement toutes les entreprises ont pour objectif de construire une image favorable de leur industrie et
auprès de leurs consommateurs, de présenter des états financiers fiables à leurs actionnaires et d’agir en
conformité avec les lois et les règlements.
De nombreux questionnaires ont été établis pour aider les entités à analyser leur contrôle interne. Deux guides
ont été ainsi élaborés dans un guide d’application sous l’égide de l’Autorité des marchés financiers (Le dispositif
de contrôle interne : le cadre de référence (janvier 2007) ; le cadre de référence : guide de mise en œuvre pour
les valeurs moyennes et petites (février 2008) : http://www.amf-france.org/ ) :
– un cadre de référence relatif au contrôle interne comprenant ;
• un questionnaire (général) relatif au contrôle interne comptable et financier,
• un questionnaire relatif à l’analyse et à la maîtrise des risques ;
– un cadre de référence applicable aux petites et moyennes entreprises comprenant également les deux mêmes
questionnaires.
Le guide d’application précise que « le contrôle interne comptable et financier est constitué par le dispositif de la
société mis en œuvre sous sa responsabilité en vue d’assurer, dans la mesure du possible une gestion comptable
et un suivi financier rigoureux de ses activités, visant à répondre aux objectifs fixés ci-après. Le contrôle interne
comptable et financier des sociétés est un élément majeur du contrôle interne. Il concerne l’ensemble du
processus de production et de communication de l’information comptable et financière des sociétés et concourt
à la production d’une information fiable et conforme aux exigences légales et réglementaires. Comme le contrôle
interne en général, il s’appuie sur un dispositif d’ensemble comprenant notamment la conception et la mise en
place d’un système d’information de la société, les politiques et procédures de pilotage, de surveillance et de
contrôle ».
19
Cadre général de l’Audit Interne – Contrôle Interne
Ces deux questionnaires, qui ne présentent pas un caractère obligatoire ou normatif, visent à permettre aux
émetteurs qui le souhaiteraient de procéder par comparaison à une analyse interne de leurs procédures dans ce
domaine. Ils se présentent comme suit :
• La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux informations
nécessaires à leur élaboration ?
• Existe-t-il un manuel de principes comptables groupe, précisant le traitement comptable des opérations les plus
importantes ?
• En cas de publication de comptes établis suivant plusieurs référentiels comptables pour un même niveau
(individuel ou consolidé), existe-t-il des procédures pour expliquer les principaux retraitements ?
• Existe-t-il un manuel de procédures comptables et des instructions décrivant les répartitions des responsabilités
d’exécution ou de contrôle au regard des tâches comptables, ainsi que les calendriers à respecter ? Dans le cadre
de la préparation des comptes consolidés, existe-t-il des procédures de diffusion visant à assurer leur prise en
compte par les filiales ?
• Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents acteurs
qui participent à l’arrêté des comptes sont-ils identifiés ?
• Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction
comptable ? Prend-il en considération les évolutions prévisibles ?
20
Cadre général de l’Audit Interne – Contrôle Interne
• Les procédures et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux exigences
de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ?
• Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations pour
évoluer avec les besoins de la société ?
• La direction générale s’est-elle assurée que les obligations de conservation des informations, données et
traitements informatiques concourant directement ou indirectement à la formation des états comptables et
financiers étaient respectées ?
• Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus
d’établissement des comptes ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des procédures spécifiques visant à
réduire les risques d’erreurs et de fraudes ?
Activité de contrôle
• Existe-t-il des contrôles réguliers et inopinés pour s’assurer que le manuel des principes comptables et le
manuel de procédures comptables sont suivis dans la pratique ?
• Existe-t-il des procédures pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le cas
échéant, dans le manuel de principes comptables et/ou dans le manuel de procédures comptables ?
• L’activité de contrôle interne comptable et financier comporte-t-elle des procédures pour assurer la
préservation des actifs (risque de négligences, d’erreurs et de fraudes internes et externes) ?
• Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points qui
seraient identifiés comme sensibles concernant des aspects comptables, par exemple inscription à l’actif,
constatation des produits, spécialisation des périodes comptables, valorisation des stocks…) ?
• Les procédures d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du
périmètre de consolidation ? S’il existe des exceptions, y a-t-il des procédures adéquates pour les traiter ?
21
Cadre général de l’Audit Interne – Contrôle Interne
• La société dispose-t-elle d’un « langage commun « en matière de risques (typologie homogène, critères de
recensement, d’analyse et de suivi, …) ?
• La société a-t-elle mis en place des objectifs en matière de gestion des risques ?
• Existe-t-il un processus d’identification des principaux risques ? Le cas échéant, ce processus intègre-t-il les
objectifs de la société ? Une organisation a-t-elle été mise en place à cet effet ?
• Pour les principaux risques identifiés, l’entreprise réalise-t-elle une analyse des incidences potentielles (chiffrées
ou non, financière ou non financière), et du degré de maîtrise estimé ?
• L’analyse des risques tient-elle compte des évolutions internes ou externes à la société ?
• Ces analyses donnent- elles lieu à des actions spécifiques ? La responsabilité de ces actions est-elle définie ? Le
cas échéant, la mise en œuvre de ces actions est-elle suivie ?
• Une politique et des procédures de gestion des principaux risques ont-elles été définies, validées par la
direction et mises en place dans la société ?
• Des moyens spécifiques sont-ils consacrés à la mise en œuvre et à la surveillance des procédures de gestion des
risques ?
• Les responsabilités en matière de gestion des risques sont-elles définies et communiquées aux personnes
concernées ?
• Les expériences passées de l’entreprise (ou d’acteurs comparables) en matière de risques sont-elles prises en
considération ?
• La direction reçoit-elle une information sur les caractéristiques essentielles des actions engagées pour gérer les
principaux risques de la société (nature des actions engagées ou des couvertures en place, assurances, exclusions,
montants des garanties…) ?
• L’entreprise a-t-elle mis en place un plan de gestion de crise ?