Vous êtes sur la page 1sur 35

See discussions, stats, and author profiles for this publication at: https://www.researchgate.

net/publication/312147378

La maîtrise des risques, indicateur majeur de performance du contrôle interne

Article  in  REMAREM: Moroccan Journal of Management and Marketing Research · May 2011

CITATIONS READS

0 3,844

1 author:

Kaoutar el menzhi
Mohammed V University of Rabat
7 PUBLICATIONS   4 CITATIONS   

SEE PROFILE

Some of the authors of this publication are also working on these related projects:

Project Management In The Public Sector: A Theoretical Approach View project

Health Sector Development View project

All content following this page was uploaded by Kaoutar el menzhi on 08 January 2017.

The user has requested enhancement of the downloaded file.


Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

La maîtrise des risques, indicateur majeur de performance du contrôle interne

Kaoutar EL MENZHI
Professeur à la Faculté de Droit, Université Mohammed V – Souissi, Rabat
kelmenzhi@yahoo.fr
Résumé Abstract

Depuis quelques années, aussi bien dans les In recent years, both in developed and
pays développés que dans les pays en voie de developing countries, the concept of internal
développement, la notion de contrôle interne a control has penetrated all spheres of economic
pénétré tous les domaines de l’activité activity in both public and private sectors.
économique dans les secteurs public et privé.
Internal control is effective as a system that
Le contrôle interne se situe comme étant un tends to achieve and maintain performance.
système efficace qui tend à atteindre et à This is not a service or an ad hoc approach.
préserver sa performance. Ce n’est ni un Internal control is an integral part of the entity
service, ni une fonction ponctuelle. Le contrôle and its mission is much more preventative than
interne fait partie intégrante de l’entité ; sa punitive. It aims to ensure that risks of any kind
mission est beaucoup plus préventive que are analyzed and monitored. It contributes as
répressive. Il a pour vocation de vérifier que les such, to early discrepancies detection and
risques de toute nature sont analysés et prevention, with needed actions aiming at
surveillés. Il contribue à ce titre, à la détection securing and managing risks persistence and
précoce et à la prévention des difficultés, avec multiplication.
objectif de sécuriser les opérations et maîtriser
Risk management can’t be performed unless
les risques qui persistent et se multiplient de
the appropriate internal control is implemented.
plus en plus.

La maitrise des risques ne peut s’effectuer sans


un système de contrôle interne performant.

Mots clés Keywords

Audit interne, risque, maîtrise des risques, Internal audit, risk, risk control, internal control
système de contrôle interne, cartographie des audit, risk mapping, COSO, Internal control
risques, COSO, performance du contrôle performance, key performance indicators
interne, indicateurs de performance.

204
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Introduction

L’environnement de l’entreprise est en perpétuelle mutation sous l’effet de la mondialisation, de la


déréglementation et de la libéralisation de l’économie. Ce contexte implique une remise en cause
incessante des objectifs des méthodes de gestion, voire des stratégies de développement. Pour se
développer et survivre, l’entreprise est appelée à s’adapter de manière permanente à son
environnement.

Aujourd’hui, la réussite et pérennité d’une entreprise dépendent de son aptitude à intégrer la rapidité
et la complexité des mutations tant économiques, culturelles, technologiques que sociales, par la
qualité d’anticipation et le degré de réactivité de ses dirigeants aussi bien que par les capacités
d’apprentissage et de recyclage de son personnel et de réadaptation de son organisation.

Pour relever de tels défis, les dirigeants doivent disposer d’outils d’information, de pilotage et de
contrôle sans cesse plus performants leur permettant de faire face à des risques plus importants que
par le passé, que ce soit au niveau interne ou au niveau externe.

A ce niveau, l’audit interne apparaît comme un outil moderne, devenu incontournable, pour apprécier
rationnellement ces risques et les pallier.

Contrairement aux fonctions naturelles (achat, vente, production, personnel, etc.) qui prennent
naissance avec la création de l’entreprise et s’imposent à son management, l’audit interne est une
activité d’assistance et d’aide au management qui devrait être assurée par du personnel qualifié de
l’organisation s’appuyant sur une méthodologie rigoureuse et une déontologie stricte dans le respect
des normes du métier de l’audit interne. Cette activité, qui s’applique à tous les niveaux et à toutes
les préoccupations de l’organisation, a pour mission essentielle d’évaluer l’efficacité et la pertinence
du système de contrôle interne et de faire toutes propositions pour l’améliorer.

Le système de contrôle interne est un processus mis en œuvre par le conseil d’administration, la
direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en
compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est
conçu pour identifier les événements potentiels susceptibles d’affecter l'organisation et pour gérer les
risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable
quant à l'atteinte des objectifs de l'organisation (IFACi & pricewaterhousecoopers, 2005).

205
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Le contrôle interne est donc lié à tout acte de management.

I- Généralités sur l’audit interne


L'Audit interne est une activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à
créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses processus de management des risques, de contrôle, et de
gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité (Institute of
Internal Auditors, 2000).

I-1- L’audit interne, une activité à part entière

De cette définition, il apparait que l’audit interne est une activité à part entière dans la mesure où elle
peut être exercée par différents intervenants (service, division ou équipe de consultants).

En effet, la norme 1210 A1 stipule que le responsable de l'audit interne doit obtenir l'avis et
l'assistance de personnes qualifiées si les auditeurs internes ne possèdent pas les connaissances, le
savoir-faire et les autres compétences nécessaires pour s'acquitter de tout ou partie de leur mission
(IFACI, avril 2009).

La norme 1210 A2 insiste sur le fait que les auditeurs internes doivent posséder des connaissances
suffisantes pour évaluer le risque de fraude et la façon dont ce risque est géré par l’organisation.
Néanmoins, ils ne sont pas censés posséder l'expertise d'une personne dont la responsabilité
première est la détection et l'investigation des fraudes. C’est dans ce sens que les normes pour la
pratique professionnelle de l’audit interne n’exigent plus des connaissances pour identifier les indices
de fraude et distinguent ainsi l’auditeur interne d’un spécialiste de l’investigation de fraude (IFACI,
avril 2009).

Les auditeurs internes doivent également posséder une connaissance suffisante des principaux
risques et contrôles relatifs aux technologies de l'information, et des techniques d'audit informatisées
susceptibles d'être mises en œuvre dans le cadre des travaux qui leur sont confiés. Toutefois, tous les
auditeurs internes, ne sont pas censés posséder l'expertise d'un auditeur dont la responsabilité
première est l'audit informatique (Norme 1210 A3, IFACI, avril 2009).

206
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

I-2- L’audit interne, assure le degré de maîtrise des opérations

Dans le cadre d’une mission d’assurance, l’auditeur interne est amené à formuler une opinion
objective sur le degré de maitrise d’une situation, d’un système, d’une fonction, d’un processus etc.
Il détermine la nature et l’étendue de sa mission qui, normalement comprend trois types
d’intervenants : la personne ou le groupe objet de l’audit, l’auditeur et l’utilisateur du rapport d’audit.
Plus fort qu’une opinion, ce degré de maîtrise répond avant tout à un besoin de confiance et exige de
la part de l’auditeur interne un degré de diligences accrues.

I-3- L’audit interne, une mission de conseil

Les missions de conseil sont réalisées à la demande d’un client pour l’aider à atteindre ses objectifs.
Dans ce type de mission, l’auditeur interne se met d’accord avec le client sur la nature et l’étendue
du travail d’audit. Elle comporte deux intervenants, l’auditeur-conseil et le donneur d’ordre
(direction générale, conseil ou autres).

Il est important à signaler que l’auditeur doit donner son avis en toute indépendance et n’assumer
aucune fonction de management.

I-4- L’audit interne, aide à la création de valeur

La contribution de l’audit interne à la création de la valeur ajoutée ne pourrait se concrétiser qu’avec


la garantie de fiabilité de l’information sur le management des risques, sur la prise en charge des
objectifs et dans le domaine financier et opérationnel. Aussi, les conseils, efficaces et pratiques à
mettre en œuvre, apportés par l’auditeur interne en vue de l’amélioration de la maîtrise représentent-
ils un plus non négligeable à cette valeur ajoutée.

II- L’audit interne, outil d’aide à la maîtrise des risques


L’auditeur interne doit évaluer l’efficacité des processus de management des risques et contribuer à
leur amélioration tout en s’abstenant d’assumer une responsabilité opérationnelle en la matière.
(Norme 2120, norme 2120 C3, IFACI, avril 2009)

Théoriquement, le risque peut être défini comme un événement éventuel dont la survenue réelle est
susceptible de provoquer un dommage non négligeable à l’organisation (V. Chazel, 1987).

207
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Le risque peut donc être assimilé à une exposition à un danger potentiel, inhérent à une situation ou
une activité. S’il n’est pas détecté et maîtrisé à temps, il peut avoir une portée systémique. Aussi,
s’agit-il de la combinaison de la probabilité d’un événement et de ses conséquences. Le simple fait
d'entreprendre ouvre la possibilité d'évènements dont les conséquences sont potentiellement
bénéfiques (aléa positif) ou préjudiciables (aléa négatif).

L’étude des risques constitue le fondement même de la démarche de l’auditeur : celui-ci apprécie les
facteurs de risques pouvant entraîner des conséquences significatives aux plans financier, social,
voire de l’image de l’entreprise ou examiner les failles de l’organisation et en favoriser la survenance
d’un événement (fraude révélées par exemple). Du point de vue de l’auditeur, les facteurs de risques,
dés lors qu’ils peuvent entrainer des conséquences dommageables, sont assimilés à des faiblesses
d’organisation.

II-1- Sémantique et étymologie

Le mot « risque » est utilisé par tous mais chacun lui attribue une signification particulière. Risque
viendrait de l’italien « risco » lui-même provenant du latin « resecum » et signifie « ce qui coupe ».

Sa première apparition en français daterait de 1578 chez Estienne (H.) (Cleary S. & Malleret T.,
2006). Le dictionnaire Littré donne comme définition : « péril dans lequel entre l’idée de hasard »
(dicocitations.com).

Le concept moderne de risque n’est apparu qu’il y a environ 300 ans. L’Oxford English Dictionary
cite une occurrence de 1719 où le mot désigne « la fortune ou le hasard d’une perte commerciale, en
particulier dans le cas d’une propriété ou de biens assurés » (Cleary S. & Malleret T., 2006).

La notion de « risque » est étroitement liée à celle de « catastrophe ». Il y a en effet risque


lorsque « des enjeux humains ou matériels se trouvent placés dans une situation de danger qui peut
aboutir à une catastrophe » (Beucher S. & Reghezza M., 2004).

Le risque est donc la conjonction de l’aléa et la vulnérabilité. Cette équation est aujourd’hui la
définition la plus consensuelle du risque.

L’aléa est défini comme la source de danger. Il est reconnu par sa nature, sa fréquence et son
intensité. En soi, l’aléa est neutre : il n’est ni mauvais ni bon. La vulnérabilité est considérée comme
le degré de pertes et dommages consécutifs à la survenance de l’aléa.
208
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Pour la plupart des gens, le risque équivaut à un danger, mais ce n’est toujours pas le cas.
L’idéogramme chinois pour « risque » est composé de deux éléments : menace et opportunité. Mais
dans l’esprit occidental, le mot est souvent associé à l’exposition au danger ou au hasard ainsi qu’à la
crainte de l’échec (Cleary S. & Malleret T., 2006).

Dans le jargon du risk management, le mot renvoie à « une notion d’incertitude associée à la
possibilité de gains futurs » (Cleary S. & Malleret T., 2006). Plus précisément, le risque peut être
défini comme une incertitude (l’incertitude n’est pas mesurable, c’est le hasard avec des
probabilités inconnues) mesurable. Il est, également, caractérisé par une mesure du hasard avec des
probabilités identifiables et donc calculables.

Sur cette base, l’économiste considère le risque identique à « l’espérance mathématique d’une
perte » (Cleary S. & Malleret T., 2006). Le risque relève du probable, mais il reste non réalisé.

En général, le risque inquiète car il est ressenti comme une menace. Les risques sont multiples et
multidimensionnels. Ils peuvent être définis comme « tout événement susceptible de perturber ou de
porter préjudice à la bonne réalisation des objectifs quantitatifs et qualitatifs de l’unité d’exploitation
et de l’entreprise ou qui peut porter atteinte à la sécurité des personnes et des biens » (Maisonneuve
(J-H.) & Morin (J-Y.), 2003).

II-2- Existence de menaces

Il existe plusieurs types de risques, nous avons choisi de les classer par origine et par nature.

II-2-1 Typologie par origine : l’origine des risques peut être soit interne, soit externe. Le tableau ci-
après résume les deux sources de risques.

Tableau n°1 : Les sources internes et externes du risque

Risques internes Risques externes

Cessation de
Absence de normes et de
Clients paiement d’un
l’organisation

procédures formalisées
client important
Partenaires
externes
Liés à

Absence d’outils de Fournisseurs Non-conformité des

209
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

pilotage approvisionnements

Non prise en compte des Prestataires de Erreurs


préoccupations de sécurité services d’appréciation

Mauvaise
Responsabilités non
Intermédiaires compréhension des
Liés aux ressources

définies
besoins
humaines

Compétences Organismes
Redressement fiscal
insuffisantes publics

Rachat d’un
Défaillance des systèmes Concurrence concurrent par un
Liés aux systèmes

groupe mondial
d’information

Piratage des données Avancées


Coût élevé
sensibles technologiques
Conditions du marché

Conjoncture Hausse des taux


économique d’intérêt

Conjoncture Réforme du régime


politique des retraites

Loi relative à
Coût élevé
l’environnement
règlementaires
législatives ou
Evolutions

Nouveau code Coût de transport


de la route élevé

II-2-2 Typologie par nature : dans cette typologie, les risques peuvent être spéculatifs, aléatoires ou
mixtes. Le tableau suivant reprend l’essentiel de ce type de risques.

210
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Tableau n°2 : Les risques par nature

Exemple d’événements pouvant générer


Risque
des risques pour l’organisation

− direction entre les mains d’une seule


personne, sans comité ou conseil de
surveillance
Tributaires de la qualité et
− organisation dont la structure complexe
de la pertinence des
Risques ne semble pas justifiée
décisions prises par le
spéculatifs ou − déficiences majeures du contrôle
dirigeant lors de sa gestion
risque interne systématiquement négligées

d’entrepreneur (décision stratégique alors qu’elle pourraient être corrigées


pouvant donner lieu à un − taux de rotation élevé des responsables
gain ou à une perte) comptables et financiers
− changements fréquents de conseils
juridiques ou d’auditeurs
− etc.
− catastrophes naturelles (tremblement
de terre, inondation, orage, glissement
de terrain)
Surviennent de façon − accidents (de travail, de transport,
Risques inopinée et brutale incendie, de climatisation, de
aléatoires ou chauffage…)
purs (l’issue est souvent une
− vols de biens matériels, fraudes
perte)
− sabotages de biens matériels, des
données, des programmes
informatiques
− etc.
Surviennent de façon − transactions avec des parties liées
Risques mixtes brutale relatifs à la gestion (délits d’initiés…)
(grèves, défaillances d’un − paiements de services (avocats,

211
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

fournisseur, panne d’une consultants ou agents) qui semblent


machine,…) excessifs par rapport aux prestations
fournies
− achat à des prix sensiblement
supérieurs ou inférieurs à ceux du
marché (absence de concurrence)
− paiements inhabituels en liquide
− etc.

II-3- Processus de gestion du risque

Le processus de gestion des risques consiste pour l’auditeur interne à identifier les risques, à les
évaluer, à les traiter et cartographier et à faire correspondre l’échelle de gravité des risques avec celle
des responsabilités.

L’auditeur interne commence par établir une cartographie des risques auxquels l’entreprise est
confrontée. Ce processus, qui cartographie par type de risque les diverses unités, fonctions
organisationnelles ou chaînes d’opérations, peut repérer les zones de faiblesses et permettre d’établir
des priorités pour l’action à entreprendre par la direction. Cet exercice ne devrait pas être statique, vu
les mutations internes et externes de l’environnement de l’entreprise et qui peuvent engendrer
l'apparition de nouveaux risques.

La Federation of European Risk Management Associations définit la gestion des risques comme un
processus par lequel les organisations traitent les risques qui s’attachent à leurs activités et
recherchent ainsi des bénéfices durables dans le cadre de ces activités. Cette gestion des risques peut
se résumer comme suit.

212
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Schéma n°1 : Procédure de management des risques

Le management des risques permet de couvrir l’ensemble des risques de quelque nature qu’ils soient,
de cumuler les avantages des méthodes d’identification des risques, rétrospectives (je connais le
risque car il s’est avéré) et prospectives (quel risque peut survenir et suis-je prêt à le maîtriser) et
d’impliquer l’ensemble de la filière de management.

II-3-1 Identification des risques :

Une bonne identification du risque est essentielle pour l’élaboration d’un système viable de suivi et
de maîtrise du risque. Elle devrait prendre en compte à la fois les facteurs internes (structure de
l’entreprise, nature de ses activités) et externes (évolutions de son secteur d’activité et progrès
technologiques) qui pourraient l’empêcher d’atteindre ses objectifs. L’entreprise devrait non
seulement identifier les risques les plus dangereux, mais aussi évaluer leur vulnérabilité face à ces
risques.

Sur la base des deux critères traditionnels d’analyse des risques que sont la gravité du risque, qui
mesure les conséquences pour l’entreprise, et la probabilité de réalisation du risque, qui détermine le
taux d’occurrence, on peut classer les risques en risques critique, majeur, modéré, mineur. Le
résultat du produit « gravité x probabilité » donne ce que l’on nomme l’espérance mathématique de

213
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

la gravité ou criticité. La criticité d’un risque et donc un indicateur de l’acuité du risque (Bernard F.,
Gayraud R, Rousseau L., 2006).

Avant d’élaborer la cartographie des risques, il convient pour l’auditeur interne de fixer une échelle
de cotation de la gravité du risque et une échelle d’évaluation de la probabilité de réalisation du
risque. Il en existe plusieurs, nous avons opté, dans le cadre de cet article, de travailler avec les
échelles de cotation indiquées dans les deux tableaux ci-après.

Tableau n°3 : Echelle de cotation de la gravité du risque

5 Très significatif Met l’équilibre de l’entreprise en cause, voire sa survie

Ne met pas vraiment l’entreprise en péril complet mais


4 Majeur
très grave et doit impérativement être traité

Ne peut être toléré que dans un premier temps, à titre


3 Modéré
provisoire

2 Mineur Porte à conséquence mais reste tolérable

1 Non significatif Sans aucune conséquence remarquable

Tableau n°4 : Echelle d’évaluation de la probabilité de réalisation du risque

Quasiment
5 Cela arrivera sûrement à court ou moyen terme
certain

4 Probable Cela arrivera certainement un jour ou l’autre

3 Possible Techniquement possible

2 Peu probable Il est possible que cela puisse se produire un jour

1 Rare Cela n’arrivera jamais

214
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

II-3-2 Evaluation des risques :

Une fois les risques identifiés en fonction de leur enjeu, il est ensuite possible de les classer, de les
quantifier et de les prioriser à travers la matrice de vulnérabilité qui reprend les critères de gravité et
de fréquence. Pour mieux illustrer cette matrice de vulnérabilité, nous nous sommes inspirés d’une
étude réalisée par KPMG en 2006 portant sur les comités d’audit dans le monde.

Schéma n°2 : Matrice de classement des risques

215
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

216
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

II-3-3 Traitement et cartographie des risques :

Pour réduire un risque, il existe plusieurs possibilités, dont les suivantes :

 agir sur la probabilité et mettre en place des actions de prévention en augmentant les
contrôles
 diminuer l’impact du risque (la gravité) en mettant en place des actions de protection
ou en partageant le risque avec un partenaire
 agir à la fois sur la probabilité et la gravité
 supprimer le risque et donc annuler la probabilité d’occurrence en abandonnant
l’activité ou en la sous traitant
 financer le risque par une assurance et donc le transfert à un tiers
Le traitement du risque permettra de réduire les menaces brutes (risque brut) pour arriver à un
risque résiduel (risque net) le plus faible possible. L’exemple de cartographie des risques
suivant auquel n’importe quel organisation peut être confrontée résume tout ce qui a été
analysé jusqu’à présent en matière de risques.

Schéma n°3 : Exemple standard de cartographie des risques

217
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Quasiment 8 Critique
certain
5 1 1
Probable 8
Majeur
3 3
Impact

5
6
Possible 6 2 2 9 Modéré
10
Peu probable Mineur
9
10 4 4
7 Risque
Rare 7 brut
Non Très Risque
Mineur Modéré Majeur
significatif significatif net
Probabilité
1. Stratégie d’acquisition inappropriée
Les 10 premiers risques majeurs

2. Perte de confiance des investisseurs du fait de critiques médiatisées

3. Incapacité à satisfaire aux exigences réglementaires et légales

4. Défaillances des systèmes informatiques

5. Incapacité à disposer du temps suffisant pour valoriser la stratégie commerciale

6. Incapacité à gérer l’incertitude économique et d’y réagir correctement

7. Plans de continuité et anti-sinistre inadéquats, ne permettant pas de faire face à


une défaillance majeure du réseau informatique

8. Incapacité à protéger la marque

9. Division internationale incapable d’appliquer la stratégie de croissance escomptée

10. Départs de collaborateurs clés et planification inadéquate de leur remplacement

II-3-4 Correspondance de l’échelle de gravité des risques avec celle des responsabilités :

Lorsque les risques ont été identifiés, évalués et cartographiés, le travail de l’auditeur interne
n’est pas pour autant terminé dans la mesure où il est nécessaire de déterminer qui, dans la
hiérarchie, sera chargé de mettre en place les actions de maîtrise des risques. Les actions de
maîtrise des risques critiques de niveau 5 sont initiées et pilotées par la direction et ainsi de
suite jusqu’aux risques mineurs de niveau 1 qui peuvent être gérés par des employés. Le
schéma ci-dessous relate cette situation.

218
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Schéma n°4 : Correspondance entre l’échelle de gravité des risques et celle des
responsabilités

Critique 5 D irection
Gestion des
risques Majeur 4 Cadres supérieurs
=
Cadres et agents
Gestion des Modéré 3
de maîtrise
responsabilités
2
Mineur A gents
1

III- L’audit interne, veille à l’efficacité du système de contrôle interne


La maîtrise des risques ne peut s’effectuer sans un système de contrôle interne efficace et
efficient. En effet, selon la norme 2130, l’audit interne doit aider l’organisation à maintenir un
dispositif de contrôle approprié en évaluant son efficacité, et son efficience et en encourageant
son amélioration continue (IFACI, avril 2009).

III-1- Evolution théorique du contrôle interne

Depuis quelques années, aussi bien dans les pays développés que dans les pays en voie de
développement, la notion de contrôle interne a pénétré tous les domaines de l’activité
économique dans les secteurs public et privé.

Le mot « contrôle » est défini comme suit : vérification (d’actes, de droits, de documents) ;
tout examen, pour surveiller ou vérifier ; (de l’anglais « control » : direction, commande,
conduite, maîtrise) (dictionnaire de langue française, Le Robert 1994). Le terme contrôle est
pris ici, non pas dans le sens de vérification mais de maîtrise.

L.B Sawyer (1984) définit le contrôle comme l’ensemble des moyens créés dans une société
pour diriger, contenir, gouverner et vérifier ses activités afin d’assurer l’atteinte de ses
objectifs. Toute entité dispose d’un contrôle interne : qu’il soit bon ou mauvais, il existe
cependant.

Selon l’approche classique, le contrôle interne est l’ensemble des dispositions incluses dans
les organisations et dans les procédures, dispositions dont l’objet est d’assurer la qualité de
l’information, la protection du patrimoine, le respect des lois comme des plans et politiques de

219
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

la direction générale ainsi que l’efficacité du fonctionnement de l’entreprise (Barbier E.


1995).

De cette définition, il ne faut retenir que les termes patrimoine, information et application des
instructions qui sont des valeurs sûres alors que « qualité » et « amélioration des
performances » sont encore à l’état latent.

Cette approche reflète une vision mécanique de l’entreprise (assurer l’application des
instructions de la direction, sauvegarder le patrimoine), alors qu’on passe actuellement à une
vision organique : autonomie des acteurs, coordination des activités, adaptation des structures,
ambition et faisabilité des objectifs, cohérence avec les finalités,…etc. Les limites de
l’approche classique ont poussé à l’actualisation de la notion de contrôle interne.

L’Institute of Internal Auditors en collaboration avec des représentants de grandes entreprises,


des cabinets d’audit et des membres d’autres organisations professionnelles, ont formé un
groupe de travail appelé « Committee of Sponsoring Organizations of the Treadway
Commission » (COSO) qui a publié en novembre 1992, « Internal Control Integrated
Framework ». Cette commission à but non lucratif a établi, en 1992, une définition standard
du contrôle interne et a créé un cadre pour évaluer son efficacité. Par extension, ce standard
s'appelle aussi COSO.

Le COSO I définit le contrôle interne (IFACI & Coopers et Lybrand, 1994).comme un


processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une
organisation, destiné à fournir une assurance raisonnable quant à la réalisation d’objectifs
entrant dans les catégories suivantes :

* Réalisation et optimisation des opérations ;

* Fiabilité des informations financières ; et

* Conformité aux lois et aux réglementations en vigueur.

En 2002, le Congrès américain, en réponse aux scandales financiers et comptables (Enron,


Worldcom, ...), a promulgué la loi Sarbannes Oxley Act ; du nom de ses principaux auteurs, le
sénateur Paul Sarbannes et le député du Congrés Michael Oxley ; qui oblige les sociétés
faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs
conclusions dans les états demandés par la Securitues and Exchange Commission. Imposant

220
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

en outre l'utilisation d'un cadre conceptuel, le SOX act a favorisé l'adoption du COSO comme
référentiel. En France, la Loi de Sécurité Financière promulguée peu après en 2003, impose à
toutes les sociétés anonymes de fournir des comptes transparents, accompagnés d’un contrôle
certifié de leurs opérations.

Le référentiel initial appelé COSO I a évolué depuis 2002 vers un second corpus dénommé
COSO II (Enterprise Risk Management Framework).

Selon le COSO II, le système de contrôle interne se définit comme « un processus mis en
œuvre par le conseil d’administration, la direction générale, le management et l'ensemble des
collaborateurs de l'organisation. Il est pris en compte dans l'élaboration de la stratégie ainsi
que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements
potentiels susceptibles d’affecter l'organisation et pour gérer les risques dans les limites de
son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des
objectifs de l'organisation » (AFAI, 2008).

Le nouveau référentiel COSO II élargit le concept de contrôle interne à celui du management


des risques de l’entreprise (Enterprise Risk Management), en assignant au contrôle interne un
quatrième objectif de maîtrise des risques lié à la stratégie de l’entreprise (Ebondo Wa
Mandzila E. & Renard J., 2005). Les objectifs stratégiques reflètent les choix du management
quant à la recherche de création de valeur par l’organisation pour ses actionnaires. Dans ce
sens, le COSO II a introduit une nouvelle notion le « risk appetite » qui est le niveau de prise
de risque accepté par l’organisation dans le but d’accroître sa valeur. En conséquence, le
« risk appetite » doit être pris en compte dans la définition de la stratégie de l’organisation
afin de s’assurer que les résultats de cette stratégie sont cohérents avec le « risk appetite »
défini pour l’organisation.

Pour résumer, le référentiel COSO II s’approprie les trois objectifs de contrôle interne et les
complète en plus par un quatrième objectif stratégique sans toutefois astreindre l’objectif de
fiabilité aux seules informations financières.

III-2- Les quatre objectifs du contrôle interne selon le nouveau référentiel COSO II

Les quatre objectifs du contrôle interne élargi au thème central du management des risques
d’entreprise sont résumés par Wa Mandzila E. & Renard J. (2005) dans le schéma ci-après.

221
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Schéma n°5 : Du contrôle interne au management des risques :

les quatre objectifs du contrôle interne selon le COSO II

Stratégie

Conformité Opérations
Notion plus large : Les objectifs du Utilisation économique
dispositions législatives et contrôle interne et de et efficace des
réglementaires ; respect de la gestion des risques ressources : aspect
d’entreprise
toutes les règles tant performance et
internes qu’externes y sauvegarde du
compris le référentiel patrimoine
comptable
Reporting
Fiabilité des informations internes
et externes, financières et non
financières

Ces quatre objectifs que l’on retrouve nécessairement dans toute organisation confèrent au
contrôle interne une dimension opérationnelle et universelle. Il s’inscrit désormais dans une
politique plus globale de « management des risques de l’entreprise ». Selon le COSO II, le
management des risques traite des risques et des opportunités ayant une incidence sur la
création ou la préservation de la valeur.

Il se définit comme étant un processus mis en œuvre par le conseil d’administration, la


direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris
en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de
l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter
l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise
à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation (IFACI &
pricewaterhousecoopers, 2005).

Cette définition reflète certains concepts qui constituent le fondement même du dispositif de
management des risques qui se veut un processus permanent et s’intéresse à toute
l’organisation. A ce titre, il est :

o mis en œuvre par l’ensemble des collaborateurs à tous les niveaux de l’organisation et
permet de ce fait d’obtenir une vision globale de son exposition aux risques ;
o pris en compte dans l’élaboration de la stratégie ;

222
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

o destiné à identifier les événements potentiels susceptibles d’affecter l’organisation et à


gérer l’appétence pour le risque ;
o orienté vers l’atteinte d’objectifs susceptibles de se recouper.
Du coup, il fournit à la direction et au conseil d’administration une assurance raisonnable
quant à la réalisation des objectifs de l’organisation.

III-3- Synthèse des modifications opérées sur le COSO I

Les modifications opérées sur le COSO I concernent particulièrement la pyramide des


composantes du contrôle interne et le cube COSO. A signaler que l’intitulé « éléments du
contrôle interne » au niveau du COSO I se transforme en « éléments du dispositif de
management des risques » dans le COSO II.

Le dispositif de management des risques se décline en huit composantes qui se dégagent de la


façon dont l’organisation est gérée. Elles sont intégrées au processus de management.

III-3-1 Environnement interne :

L’environnement interne englobe la culture et l’esprit de l’organisation. Il influence la façon


dont les risques sont appréhendés par l’ensemble des collaborateurs de l’entité. Il agit
particulièrement sur la conception du management, sur l’appétence pour le risque, sur
l’intégrité des valeurs éthiques et sur l’environnement dans lequel l’organisation opère.

III-3-2 Définition des objectifs :

Les objectifs doivent avoir été préalablement définis pour que le management puisse identifier
les événements potentiels susceptibles d’en affecter la réalisation. Le management des risques
permet de s’assurer que la direction a mis en place un processus de définition des objectifs et
que ces objectifs sont compatibles avec la mission de l’entité ainsi qu’avec son appétence
pour le risque. De toute évidence, il apparaît nécessaire de procéder a priori à l’évaluation des
risques. Cette étape constitue une condition préalable à l’exercice du contrôle interne.

III-3-3 Identification des événements :

Les événements internes et externes susceptibles d’affecter l’atteinte des objectifs d’une
organisation doivent être identifiés en faisant la distinction entre risques et opportunités. Les
événements ayant un impact négatif constituent des risques qui exigent une évaluation du

223
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

management. Les événements ayant un impact positif représentent des opportunités que le
management doit intégrer à la stratégie et au processus de définition des objectifs.

III-3-4 Evaluation des risques :

Toute entreprise est confrontée à un ensemble de risques externes et internes qui doivent être
évalués. Sur le plan pratique, il n’existe aucun moyen d’éliminer tous les risques. En effet, le
risque est inhérent aux affaires. Il appartient donc aux dirigeants de déterminer le niveau de
risque acceptable pour une gestion prudente de l’activité. L’évaluation des risques consiste en
l’identification et l’analyse des facteurs susceptibles d’affecter la réalisation des objectifs ; il
s’agit d’un processus qui permet de déterminer comment ces risques devraient être gérés.
L’identification des risques est un processus itératif qui est souvent intégré au processus de
planification. Une typologie des risques a été proposée précédemment.

Les risques doivent être identifiés non seulement à l’échelle de l’entreprise, mais également
au niveau de chaque activité. Cela permet d’axer l’évaluation des risques sur les principales
divisions ou fonctions. Une fois les risques inhérents et résiduels sont identifiés au niveau de
l’entreprise et de chaque activité, il est nécessaire de procéder à une analyse des risques telle
que nous l’avons traitée précédemment.

III-3-5 Traitement des risques :

Une fois les risques évalués, le management définit des solutions permettant de faire face aux
risques. Les différentes solutions possibles sont (IFACI, Pricewaterhouse,coopers (2005) :

o L’évitement : cesser les activités à l’origine du risque. Il peut avoir


pour conséquence d’interrompre une ligne de produits, de ralentir l’expansion prévue sur
un nouveau marché ;
o La réduction : prendre des mesures afin de réduire la probabilité
d’occurrence ou d’impact du risque ou les deux à la fois. Il s’agit habituellement d’une
multitude de décisions prises quotidiennement ;
o L’acceptation : ne prendre aucune mesure pour modifier la probabilité
d’occurrence du risque et son impact ; et
o Le partage : diminuer la probabilité ou l’impact d’un risque en
transférant ou en partageant le risque (cas de l’achat des produits d’assurance, les
opérations de couverture ou l’externalisation d’une activité).

224
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Le choix doit porter sur une solution ramenant le risque résiduel en deçà du seuil de tolérance
souhaité.

III-3-6 Activités de contrôle :

Des politiques et procédures sont définies et déployées afin de veiller à l’application effective
des mesures de traitement des risques. Les activités de contrôle sont diverses. Elles englobent,
la validation, l’autorisation, la vérification, le rapprochement de données et la revue des
performances opérationnelles, la sécurité des actifs ou la séparation des tâches.

III-3-7 Information et communication :

Les informations utiles sont identifiées, collectées, et communiquées sous un format et dans
des délais permettant aux collaborateurs d’exercer leurs responsabilités. Plus globalement, la
communication doit circuler verticalement et transversalement au sein de l’organisation de
façon efficace.

III-3-8 Pilotage :

Le processus de management des risques est piloté dans sa globalité et modifié en fonction
des besoins. Le pilotage s’effectue au travers des activités permanentes de management ou par
le biais d’évaluations indépendantes ou encore par une combinaison de ces deux modalités.

On peut reconnaître que le management des risques n’est pas un processus séquentiel dans
lequel un élément affecte uniquement le suivant. C’est un processus multidirectionnel et
itératif par lequel n’importe quel élément a une influence immédiate et directe sur les autres.

IV- Liens entre les objectifs et les éléments du contrôle interne


Il existe, en fait, un lien direct entre les objectifs généraux qui représentent ce qu'une
organisation s'efforce de réaliser, et les composantes du contrôle interne qui représentent les
instruments nécessaires à leur réalisation. Ce lien peut être représenté schématiquement par
une matrice à trois dimensions, de la forme d'un cube comme le montre le schéma suivant
(IFACI et PriceWaterhouseCoopers, 2005).

225
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Schéma n°6 : Liens entre les objectifs et les éléments du contrôle interne selon le COSO II

Le «cube COSO» visualise la gestion du risque en trois dimensions : du point de vue des
objectifs de l’entreprise, des composantes de la gestion du risque à l’échelle de l’entreprise et
de l’organisation de l’entreprise. Les colonnes verticales représentent les quatre objectifs
généraux à savoir : stratégie, opérations (ordonnées, éthiques, économiques, efficientes et
efficaces), reporting et conformité (aux lois et réglementations). Les rangs horizontaux
représentent les huit composantes du management. La troisième dimension de la matrice
correspond aux différentes divisions de l'organisation et à ses départements. Chaque rang des
composantes croise les quatre objectifs généraux et s'y applique. Le contrôle interne
s'applique aussi bien à l'organisation toute entière qu'à ses départements pris isolément. Ce
lien est représenté par la troisième dimension, qui représente l'organisation entière, les entités
et les départements. Il est ainsi possible de se focaliser sur n'importe quelle cellule de la
matrice prise en particulier.

V- Vers la performance du système de contrôle interne


La qualité des dispositifs de contrôle interne est tributaire des mesures de son efficacité, du
rôle des CAC, de la responsabilisation des organes de gouvernance et de l’efficacité du
comité d’audit et de l’audit interne.

V-1- Conditions d’efficacité du contrôle interne

Sur le terrain, les conditions d’efficacité du contrôle interne reposent sur cinq éléments
prépondérants : le contrôle pyramidal approprié, le système d’information fiable, l’adaptation
du système informatique compatible, les procédures claires et précises et enfin le
renforcement de l’activité de surveillance.

226
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

V-2- Contrôle pyramidal

L’organisation des contrôles devrait reposer sur trois piliers. Les contrôles de premier niveau
(ou l’auto-contrôle) regroupent tous les contrôles permanents mis en œuvre au niveau de
chaque entité opérationnelle et permettant de vérifier l’exhaustivité et la régularité des
opérations traitées.

Ce sont des contrôles manuels ou automatiques, effectués au sein de l’unité par chaque agent
et chaque responsable hiérarchique sur les opérations effectuées par l’unité, dans le but de
vérifier quotidiennement la correcte application des règles et des procédures (séparation des
fonctions, délégation de pouvoirs et signatures,…etc).

Les contrôles de deuxième niveau sont effectués par ceux qui, n’ont pas généré l’opération
concernée. Ils procèdent à leur agrégation ou à leur dénouement. Il s’agit de vérifier
l’application des procédures, d’apprécier la qualité des traitements effectués et de s’assurer de
la prise en compte des exigences du contrôle interne.

Les contrôles de troisième niveau (contrôle périodique) sont assurés principalement par le
service de l’audit mais aussi par les CAC et l’inspection générale. Ces missions périodiques,
ont pour objet de s’assurer du respect des procédures, de la maîtrise des risques, de la fiabilité
et l’exhaustivité des informations et des systèmes de mesure des risques.

En définitive, le contrôle pyramidal tend à vérifier la pertinence des dispositifs de contrôle


interne et l’adéquation des moyens mis en œuvre.

V-3- Système d’information fiable

Dans un environnement en constante évolution, les entreprises ne doivent pas perdre de vue
l’importance et la fiabilité de l’information. Ceci implique que les dirigeants définissent dans
ce domaine, les objectifs et les moyens appropriés selon la taille de la banque, la nature de ses
activités et la difficulté de gestion des risques. Pour ce faire, l’organe de direction devrait
s’assurer de l’existence d’un système d’information approprié et fournissant des données
pertinentes, fiables, récentes, accessibles et présentées sous forme cohérente. Il devrait
également instaurer des modes de communication efficaces pour garantir que l’ensemble du

227
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

personnel soit parfaitement informé des politiques et des procédures affectant les tâches et les
responsabilités. Il reste entendu que les données de pilotage sur lesquelles des décisions de
gestion et de contrôle sont prises par les dirigeants, bénéficient de toute l’attention requise
afin de garantir la sécurité et la fiabilité des informations.

Les différents interlocuteurs des niveaux hiérarchiques devraient dialoguer entre eux sur une
base d’information cohérente. Ce dispositif, relativement formel, sera d’autant plus
performant qu’il sera accompagné du développement d’une culture de transparence qui
favorisera la circulation ascendante et descendante de l’information.

V-4- Adaptation du système informatique

L’informatique est un outil de plus en plus utilisé, puisqu’il intervient comme appui à toutes
les opérations. Dans ce cadre, il convient d’intégrer dans tout système informatique, des
contrôles internes efficaces en mesure d’anticiper les risques. Ainsi, le niveau de sécurité
informatique approprié est déterminé normalement par l’organe de direction, en fonction de la
nature et de la gravité des risques. Ce niveau de sécurité est périodiquement apprécié, des
actions correctrices sont entreprises en temps opportun pour qu’il soit constamment amélioré.
Aucune norme n’est logiquement fixée au préalable, toutefois, les points à améliorer devraient
être traités dans les meilleurs délais.

La continuité de l’exploitation informatique devrait être assurée. Des solutions de suppléance


devraient être envisagées par les responsables. Ceci, suppose la mise en place d’un plan de
secours, devant être testé périodiquement pour s’assurer de l’efficacité des procédures.

V-5- Procédures claires et précises

L’organe de direction est impliqué tout au long du déroulement de la validation des


procédures. Il lui appartient, donc, de les approuver avant leur mise en application. Il s’agit
d’une démarche graduelle qui repose sur l’identification des procédures à formaliser,
l’élaboration des manuels de procédures qui contiennent les dispositifs et les procédures
adoptées afin de garantir une maîtrise adéquate de ces risques et l’utilisation d’un progiciel
qui permet une mise à jour automatique et permanente des procédures.

228
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

V-6- Renforcement de l’activité de surveillance

La surveillance de l’efficacité globale du contrôle interne repose sur un triple processus.


L’organe de direction qui vérifie, en permanence, l’efficacité des contrôles internes de
l’entreprise. Cette surveillance doit faire partie des opérations quotidiennes. Ce processus en
continu peut permettre de découvrir et de corriger rapidement les évolutions anormales.

Le système de contrôle interne doit faire l’objet d’un examen régulier, exhaustif et
indépendant. A cet égard, nous pouvons rappeler le rôle important de l’audit interne
précédemment cité.

La surveillance permanente et les examens ponctuels sont suivis d’effets. C’est pourquoi les
carences détectées au moment des contrôles internes doivent être notifiées dans les plus brefs
délais au niveau de la direction appropriée. Elles devront, ensuite, faire l’objet d’un traitement
rapide et les déficiences importantes doivent être signalées à l’organe de direction ainsi qu’à
l’organe d’administration. La mise en place de ces différentes mesures, au niveau des
intervenants du contrôle interne, vont permettre une meilleure maîtrise des risques.

V-7- Rôle des commissaires aux comptes

Les CAC ont une mission légale, permanente et indépendante. Outre la certification des
comptes annuels et la vérification de la sincérité des informations destinées au public, la
réglementation prévoit qu’ils soient destinataires du rapport de synthèse décrivant les
conditions dans lesquelles le contrôle interne est assuré et le rapport de synthèse sur la mesure
et la surveillance des risques auxquels les établissements de crédits sont exposés.

La documentation précisant les moyens destinés à assurer un bon fonctionnement du contrôle


interne, les manuels de procédures et les rapports élaborés à l’issue des contrôles peuvent
également leur être communiqués. Les CAC doivent être informés de façon régulière de
l’orientation et des décisions prises dans le domaine du contrôle interne.

En tant qu’interlocuteurs du comité d’audit, ils s’assurent que les contrôles et les activités de
supervision fonctionnent correctement afin de pouvoir les utiliser pour construire leur opinion
finale sur les comptes. La mission des CAC est assurée par des cabinets d’audit externe.

Dans le scandale Enron, l’auditeur externe Arthur Andersen, qui en avait certifié les comptes,
a été contraint de se mettre en faillite vu le niveau des dommages et intérêts s’appliquant à ses

229
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

responsabilités mises en jeu. L’affaire WorldCom a étonné par l’énormité des « irrégularités
» comptables et par les comportements des dirigeants de l’entreprise qui ont fait fortune au
détriment des actionnaires et des employés. Ces affaires ont été à l’origine des nouvelles lois
(SOX, la LSF) et des règles comptables internationales (IFRS) devant permettre de mieux
encadrer les dirigeants et les audits, et partant assurer une meilleure transparence des comptes.

Plus récemment, dans le cas de la Société Générale de France (affaire Kerviel), deux cabinets
(Ernst & Young Audit et Deloitte & Associés) de renommée internationale (les big four) ont
certifié sans réserve les comptes de 2006 en affirmant notamment : « … nous n’avons pas
d’observations à formuler sur les informations données concernant les procédures de
contrôle interne de la société relatives à l’élaboration et au traitement de l’information
comptable et financière, contenues dans le rapport du président du conseil
d’administration… » (rapport annuel de la société générale de France, 2006).

On se demande alors pourquoi les missions des CAC n’ont pas détecté les défaillances au
niveau du système de contrôle interne de la banque, qui ont conduit à une fraude interne sur la
période 2005 à 2008 ? Leur responsabilité, autant que celle du PDG et du conseil
d’administration est évidente par leur caution morale et professionnelle, qu’ils ont engagée
sur la qualité du contrôle interne. Les résultats des banques ne devraient pas être certifiés avec
en corollaire la qualité des procédures de contrôle interne.

V-8- Responsabilisation des organes de gouvernance

Le système de contrôle interne doit être adapté à la taille de l’organisation et à la nature et à la


complexité des activités qu’il exerce. Il doit également fonctionner en continu et à tous les
niveaux ; ce qui nécessite la diffusion d’une forte culture de contrôle au sein de l’ensemble du
personnel ainsi qu’une implication et une mobilisation constantes des organes dirigeants.

A ce titre, l’intervention de l’organe d’administration repose sur deux éléments


fondamentaux : la prise de décision et la surveillance. L’organe de direction est chargé de la
gestion courante et assure le pilotage effectif du processus de réalisation des objectifs
stratégiques fixés par l’organe d’administration.

230
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

V-9- Efficacité du comité d’audit

La fonction principale du comité d’audit est de vérifier la qualité du contrôle interne dans les
domaines comptable, financier et plus particulièrement de contrôler l’exactitude et
l’exhaustivité des informations financières. L’efficacité de ce comité apparaît à travers :

o l’évaluation du système de contrôle interne en appréciant l’adéquation des


dispositifs de contrôle mis en place et la pertinence des mesures correctives prises
pour combler les lacunes ou insuffisances décelées ;
o le suivi de l’activité de l’audit interne par l’approbation de la charte d’audit,
l’appréciation du plan annuel et l’évaluation des moyens humains et matériels
alloués à la fonction ;
o la formulation des avis au sujet des propositions de nomination/révocation et des
conditions d’engagements des CAC.
S’appuyant sur les rapports des CAC, le comité d’audit procède à la vérification de la fiabilité
et de l’exactitude des informations financières destinées au conseil d’administration et aux
tiers, ainsi que l’appréciation de la pertinence des méthodes comptables adoptées pour
l’élaboration des comptes individuels et consolidés.

Le comité d’audit constitue donc un moyen important susceptible d’améliorer la


communication entre les organes de gouvernance, en permettant aux administrateurs
d’exercer leurs responsabilités avec une meilleure visibilité, et aux directeurs d’améliorer la
qualité d’un reporting régulier et validé. Il permet enfin d’améliorer le professionnalisme des
auditeurs internes. Il est responsable de la surveillance et de l’évaluation de la mise en œuvre
du dispositif de contrôle interne, de la gestion des risques et de la conduite de l’activité de
l’audit.

VI- Indicateurs de mesure de la performance du contrôle interne


Un indicateur clé de performance est une mesure ou un ensemble de mesures permettant de
quantifier les réalisations du contrôle interne par rapport à des objectifs opérationnels précis :

o temps de reporting d’une défaillance (unité de mesure : temps, objectif : le minimiser,


fréquence : jour) ;
o nombre d’initiatives prises par le contrôle interne par mois (unité de mesure : nombre,
objectif : le minimiser, fréquence : hebdomadaire) ;

231
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

o nombre de défaillances du contrôle interne durant la semaine (unité de mesure :


nombre, objectif : le minimiser, fréquence : mensuelle) ;
o nombre d’imperfections du contrôle interne relevées par les auditeurs internes (unité
de mesure : nombre, objectif : le minimiser, fréquence : hebdomadaire).
Ces indicateurs et bien d’autres que nous pourrions concevoir doivent être pertinents,
mesurables, et définis sur la base d’une fiche descriptive agréée avec la hiérarchie.

Tableau n°5 : Spécification – contrôle interne / indicateur clé de performance

/ Temps de reporting des défaillances

Responsable Auditeur interne

Réduction de temps entre l’occurrence d’une défaillance


Objectif
interne et son reporting

Contrôle interne couvrant toutes les procédures (achat, vente,


Périmètre
RH, marketing, etc.)

Unités de
Temps
mesure

Stretche
Niveau ciblé Faible Conforme
d

Fin du
15 10 5
Valeurs de Trimestre 1:
l’objectif
Fin du
12 8 3
Trimestre 2:

Fin du
10 5 2
Trimestre 3:

Fin d’année: 8 3 1

232
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

- Reporting des infractions aux processus constatées dans


les ventes dépassant 1 million de dirhams
- Reporting des infractions aux processus constatées dans
tous les achats près des fournisseurs non agrées quelque
Opérations
soit leur montant
concernées
- Reporting des infractions aux processus constatées dans
les campagnes marketing non planifiées
- Reporting des infractions aux processus constatées dans
les recrutements au niveau du siège et des succursales
− Reporter l’infraction au département audité
Actions − Proposition de correction de l’infraction et reporting par
l’audité de la mesure prise

Suivi de la
-- Trimestriel
performance

Reporting au: Reporting au:


Reporting
Comité d’audit Conseil

Pour qu’un indicateur de performance soit intelligent (smart), il faudrait qu’il soit :

- S : Spécifique c'est-à-dire bien décrit, compréhensible par les opérateurs ;


- M : Mesurable, quantifiable en quantité ou en qualité ;
- A : Atteignable ;
- R : Raisonnable ;
- T : Temporel.
Conclusion

Ces dernières années, pratiquement toute organisation qu’elle soit publique ou privée a été et
est marquée par un environnement professionnel de plus en plus complexe, la multiplication
des exigences légales et réglementaires, le foisonnement de normes professionnelles, la
pression croissante des parties prenantes internes et externes, la nécessité de partager une
culture commune entre le management et les salariés, un monde de plus en plus rapide qui

233
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

nécessite d’être en mesure d’anticiper, un coût du risque avéré de plus en plus élevé et une
responsabilité accrue du dirigeant.

Tous ces éléments font que beaucoup d’entreprises, grandes, moyennes ou petites,
connaissent des difficultés ayant des conséquences négatives sur les salariés, les actionnaires,
les créanciers et les dirigeants. Ces difficultés trouvent leurs origines au niveau des choix
stratégiques et dans une grande proportion dans les méthodes de management. Certes les
difficultés des entreprises n’ont pas toutes un caractère grave et irréversible, mais, il n’en
demeure pas moins que l’accumulation de certaines de ces difficultés, qualifiées parfois de
mineures, peut avoir des effets irrémédiables si des corrections ou des solutions ne sont pas
apportées à temps.

C’est pour cette raison que le nouveau référentiel COSO II a élargi le concept de contrôle
interne à celui du management des risques de l’entreprise (Enterprise Risk Management), en
assignant au contrôle interne un quatrième objectif de maîtrise des risques lié à la stratégie de
l’entreprise. Le management des risques permet de couvrir l’ensemble des risques de quelque
nature qu’ils soient, de cumuler les avantages des méthodes d’identification des risques,
rétrospectives (je connais le risque car il s’est avéré) et prospectives (quel risque peut survenir
et suis-je prêt à le maîtriser) et d’impliquer l’ensemble de la filière de management. C’est un
processus, qui implique l’ensemble des acteurs de l’entreprise, depuis les organes de
gouvernance jusqu’aux opérationnels. Il couvre à la fois la notion de risques et d’opportunité
(bénéfice), il contribue à l’atteinte des objectifs de la structure et concerne l’ensemble des
activités. Un bon management des risques ne peut exister sans un contrôle interne performant.
Et un contrôle interne ne peut être performant sans une évaluation permanente de la part
l’audit interne qui puise ses informations du système d’information. La relation entre tous ces
organes et éléments a été schématisée par El Menzhi J. (octobre 2010) comme suit :

234
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Schéma n° 7 : Relations entre les organes de gouvernance, le système de CI, la maîtrise des
risques et le SI

Organes de gouvernance

Direction
réunion une fois/an Conseil
générale
Système de
o Conception et mise contrôle o Validation : examen de
en œuvre du SCI interne l’activité et des résultats du SCI
o Identification des
o Approbation de la politique
sources de risques
globale de gestion des risques

Processus
permanent

Système
Risques
d’information détection/maîtrise

Les organes de gouvernance de la banque sont impliqués dans le processus du système de


contrôle interne. le système de contrôle interne est conçu par l’organe de direction et approuvé
par l’organe d’administration. Dans ce sens, l’organe d’administration procède au moins une
fois par an, à l’examen de l’activité et des résultats du contrôle interne sur la base notamment
des informations qui lui sont adressées par l’organe de direction.

Le système de contrôle interne constitue un instrument au service de la maîtrise des risques,


en renforçant les procédures de mesure et de gestion des risques et en sécurisant les
opérations. La politique globale de gestion des risques et les orientations stratégiques de
gestion de chaque risque sont approuvées au sein de l’organe d’administration. Pour sa part,
l’organe de direction identifie l’ensemble des sources de risques internes et externes.

Bien évidemment, le système de contrôle interne repose en partie sur le système


d’information qui offre les données qui lui permettent d’être efficient. Le système de contrôle
interne, pour sa part, s’assure en permanence de l’efficacité des canaux de circulation interne
de la documentation et de l’information. Les dégâts engendrés suite à l’apparition de ces
risques peuvent être minimisés dans le cas d’une détection rapide. D’où l’importance d’un
système d’information de qualité qui veille à la détection des risques et à leur maîtrise, en
s’appuyant en permanence sur le système de contrôle interne comme outil.

235
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Bibliographie

Alain Fernandez : « L’essentiel du tableau de bord ». Editions d’organisation, 2010

AMBLARD (M.) : « Conventions et management ». De Boeck, 2003, 121

Audit Committee Institute, Exemple de cartographie des risques, KPMG AUDIT, 2006

Barbier (E.) : « L’audit interne : permanence et actualité ». Editions d’organisation, 1995, 21

BECOUR (J-C.) & BOUQUIN (H.) : « Audit opérationnel : efficacité, efficience ou sécurité
». Economica, 1991, 12

BENEDICT (G.) & KERAVEL (R.) : « Evaluation du contrôle interne dans la mission d’audit ».
Foucher, 1990, 11, 12

BENEDICT (G.) & KERAVEL (R.): “Evaluation du contrôle interne dans la mission d’audit”
Foucher, 1990, 12

Bernard (F.), Gayraud (R.), Rousseau (L.) : « Contrôle interne, concepts, réglementation, cartographie
des risques, guide d’audit de la fraude, méthodologie et mise en place, référentiels, modes
opératoires ». Maxima, 2006, 69

Beucher (S.) & Reghezza (M.) : « Risques ». Bréal, 2004, 23, 24

CHEVALIER (G.) & HOULE (Y.) : « Théorie et pratique de la vérification externe ». Presses
Université Laval, 1991, 98

Cleary (S.) & Malleret (T.) : « Risques : perception, évaluation, gestion ». Edition Maxima, 2006, 11,
12, 13

COHEN (A-G.) & BRETON (T.) : « Contrôle interne et audit publics : le PIFC, Public internal
financial control, pour une nouvelle gestion publique ». LGDJ (Librairie générale de droit et de
jurisprudence), 2005, 39

COLLINS (L.) & VALIN (G.) : « Audit et contrôle interne: aspects financiers, opérationnels et
stratégiques ». Dalloz,1992, 36, 38, 39

COLLINS (L.) & VALIN (G.) : « Audit et contrôle interne: aspects financiers, opérationnels et
stratégiques ». Dalloz,1992, 36

Dictionnaire de langue française. Le Robert, 1994

236
Revue Marocaine de Recherche en Management et Marketing, N° 4-5. 2011

Ebondo WA Mandzila (E.) & Renard (J.) : « La gouvernance de l'entreprise : une approche par l'audit
et le contrôle interne ». Editions l’Harmattan, 2005, 91

EL MENZHI (K.) : « Management de l’audit interne dans l’entreprise marocaine : cas d’Itissalat Al
Maghrib ». Mémoire de DES en Sciences Economiques. Faculté des sciences Juridiques Economiques
et Sociales, Rabat-Agdal. Juillet 1998, 80

EL MENZHI (J.) : « Contrôle interne et maîtrise des risques dans le contexte de la libéralisation
financière : cas des banques marocaines cotées en bourse ». Doctorat en Sciences Economiques.
Faculté des Faculté des sciences Juridiques Economiques et Sociales, Rabat-Agdal. Octobre 2010

http://www.dicocitations.com/definition_littre/38450/Risque.php

IFACI et Coopers & Lybrand : « La nouvelle pratique du contrôle interne ». Editions d’organisation,
1994, 14

IFACI et PriceWaterhouseCoopers : « Le management des risques de l’entreprise : cadre de référence,


techniques d’application, COSO II report ». Editions d’Organisations, 2005, 5, 9, 84, 123

L’AFAI : « Contrôle interne et système d’information ». 2ème édition. Juillet 2008, 53.

Maders (H-P.) & Masselin (J-L.) : « Contrôle interne des risques ». Editions d’Organisation, 2004, 138

MADERS (H-P.) & MASSELIN (J-L.) : « Contrôle interne des risques ». Editions d’Organisation,
2004, 218

Maisonneuve (J-H.) & Morin (J-Y.) : « Management de l’agence bancaire ». Revue Banque Edition,
2003, 119

MIKOL (A.) : « Principes généraux du contrôle interne ». Revue française de comptabilité, n°219,
janvier 1991, 71

Normes pour la pratique professionnelle de l’audit interne. IFACI, avril 2009.

Rapport annuel de la Société Générale de France. Année 2006, 99

Revue française de l’audit interne, n°68, janvier-février 1984

STETTLER (H-F.) : « Audit : principes et méthodes générales ». Publi-Union, 1974, 20

STETTLER (H-F.) : « Audit : principes et méthodes générales ». Publi-Union, 1974, 20

VAES (M-C.) : « Le contrôle interne dans l’entreprise ». Dunod, 1976, 18

237

View publication stats

Vous aimerez peut-être aussi