Le contrôle interne concerne :

- Toutes les sociétés quelques soient leurs métiers et secteurs d’activités.

- Tous les processus de la société (finance, achat, logistique, paie, qualité...)

- Toutes les transactions qu’elles soient manuelles ou informatisées.

- Tous les niveaux hiérarchiques de l’entreprise (management, agent de paie, comptable,

magasinier...)

- Tous les acteurs qu’ils sont internes ou externes (clients, fournisseurs...)

Le contrôle interne est un dispositif mis en place par les dirigeants ayant comme objectif d’assurer :

 La conformité aux lois et règlements ;

 L’application des instructions et des orientations fixées par la direction générale ou le

directoire ;

 Le bon fonctionnement des processus internes de la société, notamment ceux concourant à la

sauvegarde de ses actifs ;

 La fiabilité des informations financières.

Le contrôle interne se matérialise par la mise en place de méthodes, de règles, de procédures et de

systèmes au sein de l’entreprise.

COSO : référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the
Treadway Commission.

Il s’agit d’une commission à but non lucratif créé en 1992 qui a donné une définition standard du
contrôle interne et un cadre pour évaluer son efficacité.

Le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces composants procurent
un cadre pour décrire et analyser le contrôle interne mis en place dans une organisation.

I- Environnement de contrôle

L’environnement de contrôle reflète l’attitude générale, le niveau d’engagement et les efforts de la

direction en matière de contrôle interne.

Il s’agit essentiellement de :

- L’attitude et la philosophie du management par rapport au contrôle interne.

- Le niveau d’intégrité et d’éthique (existence d’un code de conduite, manuel des principes,
suivi des conflits d’intérêts…)
 - La sensibilisation des collaborateurs quant à l’importance du contrôle interne. (Culture de
contrôle interne)

- La clarification des rôles et responsabilités au sein de l’organisation.

- L’existence d’un comité d’audit / département audit interne ou contrôle interne.

1. Philosophie et style de gestion

 Le management donne-t-il assez d’importance au contrôle interne ?

 Le respect des procédures fait-il parti de ses priorités ?

 La direction financière est-elle suffisamment impliquée au niveau de l’analyse des comptes ?

2. Intégrité et éthique

- La société a-t-elle mis en place un code d’éthique ou de conduite ?

- La société a-t-elle mis en place un mécanisme pour identifier les cas de conflits d’intérêts ?

- Le management donne-t-il l’exemple quant au respect des règles et procédures ?

3. Compétences

 Les salariés ont-ils le niveau de compétence requis ?

 Le management précise qu’elle est le niveau de compétence nécessaire pour chaque poste ?

 Le processus de recrutement

 La formation

 Expérience du collaborateur

 Plan de carrière…

4. Compétences

 Les salariés ont-ils le niveau de compétence requis ?

 Le management précise qu’elle est le niveau de compétence nécessaire pour chaque poste ?

 Le processus de recrutement

 La formation

 Expérience du collaborateur

 Plan de carrière…
5. Existence d’un comité d’audit / département audit interne ou de contrôle interne ?

 Existe-t-il un comité d’audit ?

 A-t-il un poids au sein de la structure ?

 Est-il indépendant des organes de gestion ?

 Est-il doté des moyens nécessaires pour accomplir ses travaux ?

 Se réunit-il d’une manière régulière ?

6. Structure de l’entreprise

 La société dispose-t-elle d’un organigramme clair ?

 La structure organisationnelle a-t-elle était conçue dans un esprit de séparation des tâches ?

 La structure est-elle appropriée à l’activité de l’entreprise ?

 La structure hiérarchique permet-elle une remontée/ circulation fluide de l’information ?

7. Délégations de pouvoirs et de responsabilités

 Existe-t-il un système de délégation de pouvoir au sein de la société ?

 Les délégations sont-elles matérialisées et limitées dans une période bien déterminée ?

 Les collaborateurs sont-ils bien formés pour exécuter les tâches en question ?

8. Politique de gestion des ressources humaines

 Existe-t-il des procédures en termes de recrutement, rémunération, promotion, formation,

séparation...

 La société procède-t-elle à la revue du passé professionnel des candidats ?

 Les critères de promotion des salariés sont-ils appropriés ?

 Les critères d’évaluation du personnel sont-ils bien clarifiés ?

II- Evaluation des risques

La société doit alors être consciente de ses risques et développer un système permettant de les
recenser et évaluer leurs impacts.

 Evaluation de l'importance du risque

Il s’agit de la classification des différents risques selon leurs impacts « élevé », « moyens » ou
« faibles ».
  Evaluation de la probabilité de survenance du risque

Il s’agit de l’évaluation de la probabilité de survenance d'un risque et voir si celle-ci est faible
ou conséquente, pour connaître si l'évaluation nécessite une analyse approfondie ou pas.

 Evaluation du dispositif de maîtrise (niveau de vulnérabilité)

Il s’agit de l’évaluation du dispositif de contrôle mis en place par la société pour remédier au
risque.

1. Identification des risques

Facteurs externes :

- La concurrence

- Défaillance d’un client

- Changements législatifs ou réglementaires

- Les catastrophes naturelles…

Facteurs internes :

- Changements au niveau du management

- Changements de l’organisation

- Niveau de compétence du personnel

- Motivation du personnel

- Volume des activités manuelles…

2. Impact du risque

Note Description Definition

1 Trop faible  Impact financier inférieur à X DHS

 Aucun impact sur l’image de la société

 Aucun danger sur la santé et la sécurité des collaborateurs

 Aucun danger sur la santé des consommateurs.

2 Faible  Impact financier entre XX Dhs et XX Dhs

 Impact modéré sur l’image de la société

  Impact modéré sur les tiers

 Impact modéré sur le climat de travail

3 Moyen  Impact financier entre XX Dhs et XX Dhs

 Impact assez élevé sur l’image de la société

4 Elevé  Impact financier entre XX Dhs et XX Dhs

 Perte significative de part de marché

 Impact significatif sur l’image de la société.

5 Critique  Impact financier dépassant XX Millions de Dhs.

 Impact sur la santé des consommateurs (exp industrie agroalimentaire,

pharmaceutique...)

 Impact sur la continuité d’exploitation

3. Probabilité

Note Description

1 Une fois par mois Très probable

2 Une fois par an Probable

3 Une fois chaque 2 ans Possible

4 Une fois chaque 5 ans Peu probable

5 Mois d’une fois chaque 10 ans Rare

4. Vulnérabilité

Rating Description Définition

1 Critique  La société n’est pas consciente du risque

 Aucun contrôle n’est en place pour faire face au risque

(aucune procédure, aucune séparation de tâches.)

2 Elevé  Contrôle ne couvre pas totalement le risque

 Contrôles non matérialisés

3 Moyen  Contrôle couvrant le risque et bien documenté

 Contrôles peuvent être améliorés

4 Faible  Les contrôles font l’objet d’un test régulier.

 Contrôles informatiques utilisés partiellement

5 Trop faible  Contrôle / processus totalement automatisé

5. Evaluation des risques

6. Les possibilités :

 Eviter le risque : le risque est jugé comme trop élevé et aucune réponse identifiée n'a permis
de réduire l'impact et la probabilité d'occurrence à un niveau acceptable. La décision consiste à
mettre en place les contrôles nécessaires pour verrouiller le risque ou cesser l'activité à
l'origine du risque ;

 Transférer le risque : diminuer la probabilité ou l'impact d'un risque en le transférant ou le

partageant à travers l'achat de produits d'assurances, les opérations de couverture ou
l’externalisation d'une activité...

 Limiter le risque : mise en place par les responsables hiérarchiques de mesures et contrôles
spécifiques afin de réduire à un niveau acceptable la probabilité d'occurrence ou l'impact du
risque, ou les deux à la fois ;

 Accepter le risque : aucune action n'est entreprise face à un risque jugé acceptable, excepté
son suivi.

7. La typologie des risques :

  Risque inhérent : Le risque inhérent est le risque qu'une erreur significative se produise
compte tenu des particularités de l'entreprise révisée, de ses activités, de son environnement,
de la nature de ses comptes et de ses opérations.
 Risque de contrôle interne : Le risque que le système de contrôle interne ne puisse prévenir les
erreurs ou les risques à temps.
 Risque de non détection : Le risque que les procédures mises en œuvre par l'auditeur ne lui
permettent pas de détecter d'autres erreurs significatives. Ce risque est lié à l'importance du
programme de contrôle des comptes mis en place par l'auditeur.

III- Les activités de contrôle

Il s’agit de l’ensemble des contrôles qui sont mis en place afin de s’assurer que les risques sont
contrôlés et d’avoir une assurance raisonnable que les objectifs relatifs au contrôle sont atteints.

Il s’agit essentiellement des contrôles relatifs à :

- La mise en place de normes et procédures. (Procédure claire, précise, à jour et applicable)

- La séparation des tâches.

- Les activités de contrôle informatique.

- Pouvoir d’autorisation et d’approbation.

- Vérifications et rapprochements.

1. La mise en place de procédures

- Claire : Définition des rôles et responsabilités

- A jour

- Cohérente avec les autres procédures et/ou documents

- Contrôlable

- Simple

- Publiée

- Formation si nécessaire

2. Séparation des tâches

- Il s’agit de s'assurer qu'aucune transaction ou chaîne de transactions ne soit laissée aux mains
d'une même personne.
 - Une transaction, ou chaîne de transactions, inclut souvent de nombreuses tâches. En confiant
celles-ci à des personnes différentes, la société réduit le risque de fraude, de détournement ou
de dissimulation d’erreurs.

- La règle de séparation des fonctions a pour objectif d'éviter que dans l'exercice d'une activité
de l'entreprise, un même agent cumule :

 Les fonctions de décisions (ou opérationnelles) ;

 Les fonctions de détention matérielle des valeurs et des biens ;

 Les fonctions d'enregistrement (saisie et traitement de l'information) ;

 La Fonction de contrôle.

3. Vérifications et rapprochements :

- Travaux de recoupement d’une information émanant de deux sources différentes :

 Chiffre d’affaires commerciale vs chiffre d’affaires comptable

 Etat des avances au personnel émanant des RH vs état des avances comptable

 Etat des encaissements bancaires vs état des chèques déposés à la banque

- Travaux de rapprochement entre plusieurs documents pour valider une opération

- Rapprochement de la facture / bon de livraison / bon de commande

4. Pouvoirs d’autorisation et de délégation

La société doit définir une grille de compétences financières permettant la prise de décision selon des
seuils bien définis : Par exemple pour :

- La validation des achats

- La validation des dépassements des limites de crédit

- La validation des changements des termes de paiements

- Le déblocage des commandes…

5. Contrôles informatiques

5-1 Contrôles généraux

- L’organisation du département informatique (équipe, séparation de tâche...)

- La protection des équipements SI & des données

 - La conception et le développement des applications (définition du besoin, paramétrage,
migration, tests...),

- La maintenance des applications,

- Accès aux systèmes : les utilisateurs doivent accès uniquement aux applications et transactions
dont ils ont besoin dans le cadre de l’exécution de leurs tâches

- Sécurité et plan de secours (procédure de sauvegarde...)

5-2 Contrôles applicatifs

 Procédures de contrôles insérées dans les applications permettant de s’assurer que les
données d’entrée et de sorties sont exactes, complètes, autorisées et correctes ;
Exemple :

- Les contrôles de traitement programmés (messages d’erreurs, flux de validation, ...)

- Contrôle de l’exactitude et d’exhaustivité

- Les contrôles des interfaces

IV- Information et communication

L’information doit satisfaire aux critères suivants :

 Délai (est-elle disponible en temps voulu ?) ; (Exp: Pour bien planifier la production l’usine a
besoin du planning des ventes la dernière semaine de chaque mois  Risque de rupture)

 A jour (est-ce la dernière information en date disponible ?) (Exp: l’usine a aussi besoin du
dernier planning de vente et non pas celui du mois précédent).

 Exactitude (est-elle correcte ?) (Exp: l’usine a besoin de l’information exacte pour bien
planifier)

 Accessibilité (peut-elle être obtenue aisément par l’usine ? Ou information dispersée et non
accessible ?).

 Niveau de granularité suffisant

V- Pilotage

Le contrôle interne ne s’arrête jamais et ne constitue jamais une situation définitive. Les opérations de
pilotage permettent de vérifier que le contrôle interne fonctionne efficacement.

Un suivi est toujours nécessaire en ce qui concerne les faiblesses constatées et une recherche doit
s’exercer en permanence pour en trouver d’autres.
Le pilotage du dispositif de contrôle interne peut se matérialiser par :

- Une évaluation périodique des risques.

- Réunion avec le personnel et le management.

- Rapports envoyés par le contrôleur interne à la direction.

- Des missions d’audit internes.

1. Séparation des tâches

- Il s’agit de s'assurer qu'aucune transaction ou chaîne de transactions ne soit laissée aux mains
d'une même personne.

- Une transaction, ou chaîne de transactions, inclut souvent de nombreuses tâches. En confiant

celles-ci à des personnes différentes, la société réduit le risque de fraude, de détournement ou
de dissimulation d’erreurs.

- La règle de séparation des fonctions a pour objectif d'éviter que dans l'exercice d'une activité
de l'entreprise, un même agent cumule :

 Les fonctions de décisions (ou opérationnelles) ;

 Les fonctions de détention matérielle des valeurs et des biens ;

 Les fonctions d'enregistrement (saisie et traitement de l'information) ;

 La Fonction de contrôle.

2. Principe d’indépendance

- Le principe d'indépendance du contrôle interne couvre trois aspects différents :

 L’indépendance de la fonction de contrôle interne par rapports aux autres

départements de la société.

 L’indépendance du contrôle interne par rapport à la fonction d’audit interne.

 L’indépendance du dispositif de contrôle interne par rapport aux méthodes,

procédures et moyens de l'entreprise.

3. Principe d’information et qualité du personnel

- Le système de contrôle doit permettre de produire une information :

 Fiable (permettant de prendre la bonne décision)

 Efficiente (à quel coût)

  Efficace (permettant la réalisation des objectifs fixés)

- Tout système de contrôle interne est, sans personnel de qualité, voué à l'échec. La qualité du
personnel comprend la compétence et l'honnêteté.

Ce principe repose sur :

 La politique de recrutement

 La politique de formation

 Le système de rémunération et motivation

4. Principe d’harmonie

 Le principe d'harmonie est l'adéquation du contrôle interne aux caractéristiques de l'entreprise

et de son environnement. Dans le cas contraire, le contrôle interne formerait un ensemble
rigide et contraignant qui n'est pas l'objectif recherché.

 Le contrôle interne doit être adapté au fonctionnement de l'entreprise et aux spécificités de ses
activités.

5. Principe d’universalité

Le contrôle interne s'applique à :

- Toutes les personnes dans l'entreprise.

- Tous les processus.

- Tous les départements.

6. Principe de permanence

- La mise en place de l'organisation de l'entreprise et de son système de régulation (contrôle

interne) suppose une certaine pérennité de ses systèmes.

- Les procédures de contrôle interne doivent non seulement être appliquées lorsqu'elles sont
créées ou lors d’une mission d’audit mais elles doivent être respectées en permanence.

- Toute organisation nécessite une stabilité de ses structures de manière à ne pas perdre de
temps à l'adaptation du personnel et des machines aux nouvelles procédures mises en place.

- Le principe de permanence ne signifie pas la rigidité du dispositif de contrôle interne. Le

système doit s’adapter à l’évolution de son environnement.

7. Principe d’intégration et d’autocontrôle

 - Ce principe stipule que les procédures mises en place doivent permettre le fonctionnement
d'un système d'autocontrôle mis en œuvre par des recoupements, des contrôles réciproques ou
des moyens techniques appropriés.

- Les procédures de contrôle interne doivent comprendre des procédures d'auto-contrôle qui
permettent de déceler les anomalies par des processus routiniers.

Définition de Dispositif de Contrôle Interne

L’article 2 de la circulaire ACAPS n° DAPS/EA/08/11 du 26 août 2011 relative au Contrôle Interne,

indique :

« Le Contrôle Interne se définit comme l’ensemble des mesures qui, sous la responsabilité de la
direction générale ou du conseil du directoire de l’entreprise d’assurance, doivent assurer avec une
assurance raisonnable :

- Une conduite des affaires ordonnée et prudente suivant des objectifs clairement définis ;
- Une utilisation économique et efficace des moyens engagés ;
- Une connaissance suffisante des risques, ainsi que leur maîtrise, en vue de protéger le
patrimoine ;
- L’intégrité et la fiabilité de l’information financière et de celle relative à la gestion ;
- Le respect des lois et règlements ainsi que des politiques générales, plans et procédures
internes. »

Le référentiel COSO définit le système Contrôle Interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance « raisonnable » quant à
la réalisation des trois objectifs suivants :

1. La réalisation et l’optimisation des opérations,

2. La fiabilité des informations financières
3. La conformité aux lois et règlements

Le système du Contrôle Interne au sein de la compagnie est conçu comme un système davantage
préventif que répressif. La notion de « Contrôle » prend le sens de la « Maîtrise ».

Le contrôle interne au sein des entreprises d’assurance et de réassurance :

Cette activité est encadrée par les dispositions légales et réglementaire ci-après :

- L’article 239-2 de la loi 17-99 du Code des Assurances, instaure l’obligation pour les sociétés
d’assurance et de réassurance de mettre en place un dispositif : système de Contrôle Interne.
 - La circulaire de l‘ACAPS, n° DAPS/EA/08/11 du 26 août 2011 relative au Contrôle Interne,
détaille l’ensemble des mesures qu’une compagnie d’assurance doit mettre en place afin d’être
en conformité avec les exigences du régulateur :
 Toutes les entreprises d’assurance sont tenues de mettre en place un système de
Contrôle Interne sous la responsabilité de la Direction Générale.
 En vue d’assurer un bon fonctionnement et une amélioration continue du système de
Contrôle Interne, l’Audit interne évalue ledit système et veille à sa cohérence.
 L’objectif étant d’amener les entreprises d’assurance et de réassurance à maîtriser
davantage les risques qu’elles encourent dans le cadre de leur activité, à travers
l’identification, l’évaluation, la gestion et le suivi des risques.

Historique de mise en place du Dispositif du Contrôle Interne au sein d’AXA Assurance Maroc :

La mise en place du Dispositif du Contrôle Interne au sein d’AXA Assurance Maroc a été initié en
2009 pour déboucher fin 2011 sur l’instauration d’un Dispositif de Contrôle Interne opérationnel.

L’environnement dans lequel évolue l’entreprise a impliqué, depuis cette date, d’importantes
évolutions au niveau dudit dispositif en vue d’assurer une meilleure maitrise des risques.

En 2017, les actions menées par le Risk Management dans le but de renforcer le dispositif global du
contrôle interne, s’inscrivent dans la continuité de l’année 2016 et concernent notamment :

- Risque de souscription
- Risque de réassurance
- Risque de provisionnement
- Risque de provisionnement
- Risque de placement
- Risque opérationnel

Pyramide du Contrôle Interne :

1er niveau :

Les entités opérationnelles représentent la 1 ère ligne de défense du dispositif de Contrôle Interne
doivent s’assurer que les risques son identifiés et contrôlés de manière permanente, au sein des
opérations et des activités sous leur responsabilité.

En fait, les directeurs des entités opérationnelles sont tenus :

- De veiller à l’exécution et à la pertinence de ces contrôles ;

- De garantir la remontée des anomalies/incidents détectées par les différents canaux mis en
place. Toutefois, la remontée des diverses matérialisations de contrôles de 1 er niveau aux
autres entités de Contrôle n’est pas nécessaire ;
 - De fixer des deadlines pour la clôture des actions/recommandations présentées par l’entité
Contrôle Interne dans des délais fixés par le présent manuel.

2ème niveau :

Assuré par les différents acteurs de supervision selon les modalités de fonctionnement présentées ci-
après.

Ces fonctions :

- Définissent les normes pour les activités de contrôle et surveillent l’existence et l’efficacité
des contrôles déroulés par la première ligne.
- Effectuent des vérifications ou des tests objectifs et indépendants.

3ème niveau :

Assuré par l’audit interne, qui effectue une évaluation périodique des processus de gestion des risques
et de gouvernance afin de fournir une assurance indépendante et l’efficacité du dispositif de contrôle
interne de la société.

Procédures et outils du dispositif de Contrôle Interne :

Les outils et dispositifs communes pour les intervenants/acteurs du Contrôle Interne sont :

1. Cartographie des risques

La cartographie des risques est au centre de tout dispositif de Contrôle Interne, elle reprend les risques
auxquels la compagnie est exposée et permet de suivre leur évolution.

Conformément aux standards du Groupe et aux exigences des l’Autorité de Contrôle des Assurances et
de la Prévoyance Sociale (ACAPS), AXA Assurance Maroc, dispose d’une cartographie des risques
générale, englobant plusieurs familles de risques (opérationnels, financier, techniques). Cette
cartographie est gérée par l’ensemble des acteurs du Dispositif chacun selon la nature des risques
suivis.

Les différents canaux de remontée et la gouvernance mise en place à ce sujet, on pour objet de
favoriser l’appropriation des risques (identification, évaluation et suivi) par les propriétaires de
processus métiers et supports et par le Management.

2. Remontée des incidents

La remontée des incidents constitue l’un des piliers fondamentaux de tout dispositif de Contrôle
Interne. La collecte, analyse et suivi des incidents remontés permet d’approfondir la connaissance des
faiblesses éventuelles susceptibles de générer des risques impactant la Compagnie et d’y remédier.
L’analyse des incidents remontés permet aussi de fiabiliser la cartographie des risques à travers
l’identification de zones de risques potentiels ou avérés et d’assurer une mise à jour de cet outil
central.

3. Outils, Processus & Procédures

Outils Processus & procédure

Audit Interne Outils informatiques Groupe de gestion Standards d’audit Groupe : PEPM
de l’Audit : CAPT (Converging Audit Audit
Processes and Tool)
Contrôle interne Cartographie des risques : Identification
des risques opérationnels,
hiérarchisation suivant leurs impacts
potentiels et leurs probabilités de
survenance grave à une matrice de
criticité (Pour recenser le nombre
d’occurrences observées par risque)
Contrôle permanent et reporting : Des
fiches de test incluant des points de
contrôle liés au risques couverts et
actualisés en fonction de certains faits
(Remontée d’incidents, évolution du
processus, recommandations des parties
prenantes et/ou de l’Autorité de
Contrôle des Assurances et de la
Prévoyance Sociale)