Table Des Matieres: Chapitre Premier: Le Cadre Général Du Contrôle Interne ................................ 17

LE CONTROLE INTERNE : SES NOUVELLES REGLEMENTATIONS ET SON EVALUATION PAR
L’AUDITEUR DANS LE CADRE D’UNE MISSION D’AUDIT DES ETATS FINANCIERS
TABLE DES MATIERES

INTRODUCTION ............................................................................................. 11
PREMIERE PARTIE : LES NOUVELLES REGLEMENTATIONS SUR

LE CONTROLE INTERNE ............................................................................ 15
Chapitre Premier : Le cadre général du contrôle interne ................................ 17

Section 1 : Le contrôle interne et les notions proches ................................. 17
1.1 Définition du contrôle interne .............................................................. 17
1.1.1 Aperçu historique de la notion du contrôle interne .................... 17
1.1.2 La définition adoptée par le système comptable des entreprises
tunisiennes ................................................................................................ 18
1.1.3 La définition du contrôle interne adoptée par l’Ordre des
Experts Comptables Français «OECF» et la Compagnie Nationale des
Commissaires aux Comptes en France « CNCC » ............................... 18
1.1.4 La définition stipulée par les normes de l’IFAC.......................... 19
1.1.5 La définition du contrôle interne prévue par l’IFACI et IIA..... 20
1.1.6 La définition du contrôle interne adoptée par l’AMF ................ 20
1.2 Les notions proches au contrôle interne .......................................... 21
1.2.1 Mission de contrôle du conseil d’administration et du conseil de
surveillance ............................................................................................... 21
1.2.2 Mission de contrôle par le comité d’audit .................................... 22
1.2.3 Mission du contrôleur de gestion .................................................. 23
1.2.4 Mission de l’auditeur interne ......................................................... 24
1.2.5 Mission de l’auditeur externe ........................................................ 26
1.3 Les limites du contrôle interne ......................................................... 27
1.3.1 L’erreur de jugement ..................................................................... 28
1.3.2 Les dysfonctionnements ................................................................. 28
Page 1
1.3.3 Les contrôles « outrepassées » ou contournés par le management

.................................................................................................................... 28
1.3.4 La collusion ...................................................................................... 30
1.3.5 Coûts / avantages du contrôle interne........................................... 31
Section 2 : Les composantes et les objectifs du contrôle interne ............... 31
2.1 Les composantes du contrôle interne .................................................. 31
2.1.1 L’environnement de contrôle......................................................... 32
2.1.2 La procédure d’évaluation des risques de l’entité ....................... 33
2.1.3 Le système d’information et la communication ........................... 35
2.1.4 Les activités de contrôle ................................................................. 37
2.1.5 Pilotage (surveillance des contrôles) ............................................. 40
2.2 Les objectifs du contrôle interne ......................................................... 42
2.2.1 La protection du patrimoine .......................................................... 43
2.2.2 La fiabilité et l’intégrité des informations financières et
opérationnelles.......................................................................................... 44
2.2.3 Le respect des directives ................................................................. 45
2.2.4 L’efficacité et l’efficience des opérations ...................................... 46
Section 3 : Le contrôle interne et la gouvernance d’entreprise ................. 46
3.1 Préambule sur la notion de la gouvernance d’entreprise ............... 46
3.1.1 Définition du gouvernement d’entreprise .................................... 46
3.1.2 Le gouvernement d’entreprise en France ................................... 47
3.1.3 La gouvernance d’entreprise dans le contexte Tunisien ............ 48
3.2 contrôle interne et gouvernance d’entreprise .................................... 50
3.2.1 Lien entre contrôle interne et gouvernance d’entreprise ........... 50
3.2.2 Pourquoi le contrôle interne est-il aujourd’hui une
préoccupation du management ? ........................................................... 52
3.2.3 Rôle et responsabilité des acteurs en matière du contrôle interne
.................................................................................................................... 53
Page 2
3.2.3.1 Rôle et responsabilité de la direction générale en matière du

contrôle interne ..................................................................................... 53
3.2.3.2 Rôle et responsabilité du conseil d’administration en
matière du contrôle interne ................................................................. 54
3.3 Les meilleures pratiques de la gouvernance d’entreprise en matière
de contrôle interne : le comité d’audit ...................................................... 55
3.3.1 Définition des champs d’intervention du comité d’audit............ 55
3.3.2 Relation avec l’auditeur interne .................................................... 56
3.3.3 Sélection des membres du comité d’audit .................................... 57
3.3.4 Indépendance du comité d’audit ................................................... 58
3.3.5 Situation du comité d’audit en Tunisie ......................................... 59
Chapitre Deuxième :Le contrôle interne :exigence réglementaire et évolution

du concept ........................................................................................................... 61
Section 1 : Les dispositions issues des Lois de renforcement de la sécurité
financière sur le contrôle interne ................................................................. 61
1.1 Le contexte réglementaire international et national......................... 61
1.1.1 Les principales dispositions issues de la Loi Sarbanes-
Oxley « SOX » .......................................................................................... 61
1.1.1.1 Section 302 : Certification des états financiers (Corporate
Responsibility For Financial Reports) ................................................ 61
1.1.1.2 Section 404 : Evaluation du contrôle interne (Management
Assessment of Internal Controls) ........................................................ 62
1.1.1.3 Conséquences de la loi Sarbanes-Oxley sur l’organisation de
l’entreprise............................................................................................. 62
1.1.2 Les principales dispositions issues de la Loi française de la
sécurité financière « LSF »...................................................................... 64
1.1.3 Les principales dispositions issues de la Loi Tunisienne sur la
sécurité financière « LRRSRF » ............................................................. 66
Page 3
1.1.4 Comparaison entre les Lois SOX, LSF et LRRSRF ................... 68

1.2 Les nouvelles obligations sur le contrôle interne pour les sociétés
Tunisiennes .................................................................................................. 70
1.2.1 Les nouvelles obligations d’informations ..................................... 70
1.2.2 Les sociétés concernées par l’obligation d’information .............. 71
1.2.3 Périmètre et nature d’information ................................................ 72
1.3 Les nouvelles obligations sur le contrôle interne pour le commissaire
aux comptes ................................................................................................. 73
1.3.1 Les obligations sur le contrôle interne avant la promulgation de
LRRSRF.................................................................................................... 73
1.3.2 Les obligations issues de LRRSRF sur le contrôle interne ......... 76
Section 2 : Contrôle interne : naissance de cadre conceptuel et son
évolution et l’importance de l’audit informatique ..................................... 78
2.1 Le référentiel international du contrôle interne ................................ 78
2.1.1 Naissance du concept COSO.......................................................... 78
2.1.2 La définition du contrôle interne selon le COSO ....................... 78
2.1.3 Le concept COSO et les Lois sur la sécurité financière .............. 79
2.1.3.1 La loi Sarbanes-Oxley « SOX » ............................................... 79
2.1.3.2 La Loi française de la sécurité financière « LSF » ................ 81
2.1.3.3 La Loi Tunisienne sur la sécurité financière « LRRSRF » .. 81
2.2 Passage du référentiel international sur le contrôle interne(COSO)
vers l’approche de management des risques de l’entreprise (COSO II)
....................................................................................................................... 83
2.2.1 Définition du management des risques de l’entreprise ............... 83
2.2.2 Les objectifs de gestion de risques de l’entreprise ....................... 84
2.2.3 L’approche pour pouvoir gérer les risques de l’entreprise ........ 85
2.2.3.1 L’identification des risques de l’entreprise ............................ 85
2.2.3.2 Evaluation des risques .............................................................. 86
2.2.3.3 Le choix des stratégies envers les risques identifiés .............. 86
Page 4
2.2.4 Lien entre la gestion des risques d’entreprise et le contrôle

interne mis en place par l’entité ............................................................. 86
2.3 L’audit informatique outil privilégié du contrôle interne ................ 88
2.3.1 Les trois domaines de l’audit informatique et leur apport au
contrôle interne ........................................................................................ 88
2.3.1.1 Audit de la stratégie informatique .......................................... 88
2.3.1.2 Audit de la fonction informatique ........................................... 88
2.3.1.3 Audit des processus informatisés de l’entreprise .................. 89
2.3.1.4 Relation entre système informatique et contrôle interne ..... 90
2.3.2 Le contrôle interne en environnement informatisé ..................... 91
2.3.2.1 Les contrôles généraux ............................................................. 91
2.3.2.2 Les contrôles applicatifs ........................................................... 92
DEUXIEME PARTIE : EVALUATION DU SYSTEME DU CONTROLE

INTERNE DANS LE CADRE D’UNE MISSION D’AUDIT DES ETATS
FINANCIERS .................................................................................................... 94
Chapitre Premier : Nature de l’intervention du commissaire aux comptes et sa

responsabilité ...................................................................................................... 95
Section 1 : Etendue des textes réglementaires se rapportant à
l’intervention du CAC en matière du contrôle interne .............................. 95
1.1 Préface sur les textes réglementaires et les normes professionnelles
régissant l’évaluation du système du contrôle interne par le CAC dans
le cadre d’une mission d’audit ................................................................... 95
1.1.1 Sociétés visées par l’évaluation de son système de contrôle
interne ....................................................................................................... 95
1.1.2 Etendue de l’obligation de l’évaluation du système du contrôle
interne ....................................................................................................... 96
1.1.3 Portée des normes professionnelles ............................................... 97
Page 5
1.1.3.1 Selon la norme 7 de l’Ordre des Experts Comptable de

Tunisie .................................................................................................... 97
1.1.3.2 Selon les normes de l’IFAC ..................................................... 98
1.1.4 Nature et objectif de l’intervention du CAC : validation de
l’évaluation du contrôle interne par le conseil d’administration et leur
certification par le CAC .......................................................................... 99
1.2 Responsabilité du commissaire aux comptes ................................... 100
1.2.1 La responsabilité civile du commissaire aux comptes ............... 100
1.2.2 La responsabilité pénale du commissaire aux comptes............. 104
1.2.3 La responsabilité disciplinaire du commissaire aux comptes .. 106
Section 2 : L’intervention du commissaire aux comptes dans le cadre de
loi de sécurité financière .............................................................................. 109
2.1 Le diagnostic du contrôle interne avant la LRRSRF ...................... 109
2.1.1 Un outil de planification, de conception de l’approche d’audit et
d’orientation des travaux ...................................................................... 109
2.1.2 Possibilité de substituer cette analyse par des travaux substantifs
.................................................................................................................. 111
2.1.3 Une communication non obligatoire sur le résultat des travaux
de vérification de contrôle interne........................................................ 115
2.2 Les risques issus de la nouvelle réglementation ............................... 116
2.2.1 Obligation de conclure sur les travaux effectués sur le contrôle
interne ..................................................................................................... 117
2.2.2 Passage d’une obligation de moyen à une obligation de résultat
.................................................................................................................. 118
2.2.3 Les imprécisions de la LRRSRF sur le Contrôle interne.......... 120
Chapitre Deuxième : Démarche d’évaluation du contrôle interne et de gestion

des risques dans le cadre d’une mission de commissariat .............................. 122
Page 6
Section 1 : place de l’appréciation du système de contrôle interne et

gestion des risques dans le cade d’une mission de commissariat ............ 122
1.1 Place du contrôle interne dans la démarche d’audit ....................... 122
1.1.1 Place du contrôle interne dans l’ancienne démarche d’audit des
états financiers........................................................................................ 122
1.1.2 Place du contrôle dans la nouvelle démarche d’audit des états
financiers ................................................................................................. 124
1.2 Présentation du modèle d’approche d’audit par les risques .......... 125
1.2.2 Procédure d’évaluation des risques et sources d’informations sur
l’entité et sur son environnement ......................................................... 127
1.2.3 Communication au gouvernement de l’entreprise et à la
direction des sujets relatifs au contrôle interne .................................. 130
1.3 Évaluation par l’auditeur des risques d’anomalies significatives .. 132
1.3.1 Définition et relation entre risque d’audit et risques d’anomalies
significatives............................................................................................ 132
1.3.2 Les procédures d’audit à mettre en œuvre pour l’appréciation
des risques ............................................................................................... 135
1.3.2.1 Demande d’informations auprès de la direction et d’autres
personnes au sein de l’entité .............................................................. 136
1.3.2.2 Procédures analytiques .......................................................... 136
1.3.2.3 Observation et inspection....................................................... 137
1.3.3 Finalité des procédures d’audit mises en œuvre ........................ 137
1.3.3.1 Identification des risques d’anomalies significatives aux
niveaux des assertions et des états financiers .................................. 137
1.3.3.2 Evaluation des risques d’anomalies significatives aux
niveaux des assertions et des états financiers ................................... 139
Section 2 : Démarche d’évaluation du contrôle interne dans une mission
d’audit des états financiers .......................................................................... 140
Page 7
2.1 Appréciation du processus d’évaluation du contrôle interne par

l’entité ......................................................................................................... 140
2.1.1 Intérêt et apport de l’appréciation du processus d’évaluation par
l’entité du contrôle interne dans la mission d’audit des états financiers
.................................................................................................................. 140
2.1.2 Critère d’appréciation du processus d’évaluation du contrôle
interne par l’entité ................................................................................. 141
2.1.3 Examen de la documentation existant du processus d’évaluation
du contrôle interne ................................................................................. 142
2.2 Compréhension du contrôle interne pertinent à l’égard de
l’information financière............................................................................ 144
2.2.1 Identification des contrôles pertinents pour l’établissement des
états financiers........................................................................................ 144
2.2.2 Evaluation de l’efficacité de la conception des contrôles ......... 145
2.2.3 Evaluation de l’efficacité du fonctionnement des contrôles ..... 146
2.2.3.1 Nature des tests des contrôles ................................................ 146
2.2.3.2 Calendrier d’application des tests de contrôles ................... 148
2.2.3.3 Etendue des tests de contrôles ............................................... 149
2.3 Evaluation des déficiences du contrôle interne à l’égard de
l’information financière............................................................................ 152
2.3.1 Critère d’appréciation du critère significatif d’une déficience 152
2.3.1.1 Probabilité que la déficience puisse aboutir à une
inexactitude ......................................................................................... 153
2.3.1.2 Ampleur de l’inexactitude ..................................................... 153
2.3.2 Indice d’une faiblesse importante ............................................... 154
2.3.3 Prise en compte du jugement professionnel ............................... 155
2.3.4 Communication des déficiences du contrôle interne aux
responsables de la gouvernance et à la direction ................................ 156
2.3.5 Formulation d’une opinion sans réserve .................................... 157
Page 8
2.4 Utilisation des travaux des autres personnes ................................... 157

2.4.1 Evaluation de la nature des contrôles effectués par des autres
personnes ................................................................................................ 158
2.4.2 Evaluation de la compétence et de l’objectivité des autres
personnes ................................................................................................ 159
2.4.3 Tester les travaux des autres personnes ..................................... 160
2.5 Le rapport du commissaire aux comptes sur le contrôle interne ... 161
2.5.1 Le contenu et la forme du rapport sur le contrôle interne ....... 161
2.5.2 Rapport combiné ou rapport séparé ........................................... 165
2.5.3 Insertion d’un paragraphe sur le contrôle interne dans le
rapport d’audit ....................................................................................... 165
2.5.4 Modification du rapport............................................................... 166
2.5.4.1 Opinion sans réserve avec paragraphe d’observation ........ 167
2.5.4.2 Opinion avec réserve .............................................................. 167
2.5.4.3 Opinion défavorable ............................................................... 168
2.5.4.4 Impossibilité d’exprimer une opinion................................... 170
2.5.4.5 Communication avec les responsables de la gouvernance sur
la nature de la modification apportée au rapport ........................... 171
Section 3 : Propositions en vue d’améliorer l’aptitude dans l’évaluation
du système du contrôle interne dans une mission d’audit des états
financiers ....................................................................................................... 171
3.1 Présentation de l’enquête ................................................................ 172
3.1.1 Objet de l’enquête ......................................................................... 172
3.1.2 Méthodologie et déroulement de l’enquête ................................ 173
3.1.3 Champ de l’enquête et caractéristique de l’échantillon............ 173
3.2 Synthèse et résultat de l’enquête ....................................................... 174
3.2.1 Présentation des résultats de l’enquête ....................................... 174
3.2.1.1 Caractéristiques de l’échantillon répondant........................ 174
3.2.1.2 Résultats obtenus .................................................................... 175
Page 9
3.2.2 Propositions en vue d’améliorer l’aptitude dans l’évaluation du

système de contrôle interne dans une mission d’audit des états
financiers ................................................................................................. 179
3.2.2.1 Création de comité permanent d’audit................................. 179
3.2.2.2 Certification du système de contrôle interne ....................... 181
3.2.2.3 Prise en compte des travaux d’auditeur interne.................. 181
3.3 Conclusion de l’ enquête..................................................................... 182
CONCLUSION ................................................................................................ 184
QUESTIONNAIRE ......................................................................................... 187
BIBLIOGRAPHIE .......................................................................................... 194
Page 10
INTRODUCTION
Le développement du contrôle interne est une nécessité. Si certains y voient
encore la multiplication des contraintes sans contrepartie, la majorité y considère
désormais que la mise en œuvre d’un contrôle interne efficace est indissociable
d’une bonne gouvernance des entreprises.
Les faillites retentissant d’entreprises intervenues aux cours des dernières

années et la perte de confiance des marchés financiers ont amené de nombreux
pays à développer une réflexion sur la nécessaire maîtrise financière de
l’entreprise et l’introduction d’une communication idoine aux marchés et aux
actionnaires.
Suite à une série de scandales financiers qui ont frappé les Etats Unis
d’Amérique en 2001 et au début de l’année 2002 par des groupes de sociétés
cotés en bourse ( Enron, Worldcom, Xerox, Adelphia…), le législateur
américain a adopté la Loi « Sarbanes-Oxley »1, votée par le Congrès des Etats
Unis et ratifiée par le président Bush le 30 Juillet 2002.
Dans le contexte de l’adoption de la Loi Sarbanes-Oxley « SOX » aux Etats-

Unis d’Amérique, un projet de Loi sur la sécurité financière a été diffusé en
France au Sénat le 5 Février 2003. IL a été adopté sous la forme de la Loi
n°2003-706 du 1 er Août 2003 de sécurité financière. La Loi a pour objectif de
ramener la confiance sur les marchés financiers, et ce après la survenance des
scandales financiers aux Etats-Unis d’Amérique.
Le législateur tunisien, à l'instar des ses paires américains et européens, a

réagi en engageant des corrections aux processus législatifs pour renforcer leur
structure juridique. Ceci a abouti à l'amendement de certaines dispositions du
1
Le texte précise que la Loi peut être citée en tant que « Sarbanes-Oxley Act of 2002 ». Elle tient son nom des
deux membres du congrès qui en ont été les rédacteurs : le sénateur démocrate Paul Sarbanes, Président de la
Commission des Affaires Bancaires, et le représentant républicain Michael Oxley, Président de la Commission
des Services Financiers.
Page 11
code des sociétés commerciales, suite à la promulgation de la Loi n°2005-65 du

27 juillet 2005 modifiant et complétant le code des sociétés commerciales et à la
promulgation de la Loi n°2005-96 relative au renforcement de la sécurité des
relations financières.
Sur le plan national et selon l’alinéa 2 de l’article 266 du code des sociétés
commerciales modifié par l’article premier de la Loi n°2005-65 du 27 Juillet
2005, le commissaire aux comptes certifie la sincérité et la régularité des
comptes annuels de la société conformément à la loi en vigueur relative au
système comptable des entreprises. Il vérifie périodiquement l’efficacité du
système de contrôle interne.
Bien que, par définition, les auditeurs externes ne fassent pas partie d’une
entité et ne soient pas donc un élément de son système de contrôle interne, ils
ont une incidence importante sur la qualité des contrôles internes à travers leurs
activités d’audit, et notamment leurs discussions avec la direction et leurs
recommandations pour améliorer les contrôles internes. Les auditeurs externes
fournissent en retour des informations sur l’efficacité du système du contrôle
interne .
Conscients de l’importance que revêt le système de contrôle interne en

matière d’établissement d’états financiers conformes à la réglementation
financière et comptable, les rédacteurs des Lois susvisées ont mis, à la charge
des dirigeants sociaux, l’obligation d’inclure dans le rapport annuel « des
éléments de contrôle interne » destinés à mettre en évidence les mesures prises
pour établir et conserver des contrôles internes et des procédures d’informations
satisfaisantes ainsi que leur conclusion sur leur efficacité.
De leurs côtés les commissaires aux comptes jouent un rôle de contrepoids

face aux dirigeants. Désormais, ils doivent présenter dans leurs rapports d’audit
leurs observations concernant les procédures de contrôle interne. En effet, les
Page 12
rapports du ou des commissaires aux comptes visés, selon le cas, aux articles
200, 269 et 472 du code des sociétés commerciales doivent contenir une
évaluation générale du contrôle interne.
Cette notion de contrôle interne fait, depuis lors, l’objet d’intenses

discussions. Elle est devenue un concept à part entière, presque aussi important
que celui de la gouvernance d’entreprise, dont elle fait d’ailleurs intimement
partie. En effet, si le contrôle interne existe de facto au sein de nombreuses
entités, il n’a cependant jamais été formalisé, c'est-à-dire documenté,
standardisé, voire responsabilisé.
Les nouveaux textes réglementaires consécutifs des scandales financiers ont

donné à de nombreux débats découlant de l’absence de définition unique du
contrôle interne et de l’absence d’un cadre conceptuel universel permettant de
s'assurer par comparaison que le dispositif existant dispose de toutes les
composantes attendues, du manque d’informations relatives à une mise en
application par le commissaire aux comptes de ces textes réglementaires.
La certification du contrôle interne modifie considérablement la mission du

commissaire aux comptes qui examinait auparavant le contrôle interne dans le
but de définir son approche d’audit. Les dysfonctionnements éventuellement
relevés entraînaient la réalisation de travaux substantifs destinés à s’assurer
qu’ils ne remettaient en cause sa certification mais ne se traduisaient pas par
une communication externe.
Les objectifs ultimes de cette étude sont :
 Définir le cadre général du contrôle interne, ses objectifs et ses

composantes ainsi que l’impact des Lois de sécurités financières
consécutives des scandales financiers sur le concept du contrôle interne.
Page 13
 Développer un cadre de réflexion sur les spécificités de l’intervention du

commissaire aux comptes pour l’évaluation du système du contrôle
interne dans le cadre d’une mission d’audit des états financiers.
Pour atteindre les objectifs tracés, ce mémoire suivra les étapes suivantes à
démarche suivante :
Nous cherchons dans la première partie à démonter l’incidence des Lois de

la sécurité financière sur le contrôle interne.
Dans un premier chapitre nous essayerons de définir le contrôle interne, ses

composantes et ses objectifs ainsi que son interaction avec la notion de la
gouvernance d’entreprise.
Nous étudierons dans un deuxième chapitre l’impact des Lois de la sécurité

financière sur le contrôle interne afin d’examiner les nouvelles obligations
imposées aux entités et aux commissaires aux comptes qui favorisent la
transparence. Nous étudions, aussi dans ce chapitre, le cadre conceptuel du
contrôle interne le plus prépondérant à l’échelle mondiale et d’examiner l’outil
privilégié du contrôle interne : audit informatique.
La deuxième partie de notre travail sera consacrée à l’évaluation du contrôle

interne par le commissaire aux comptes dans le cadre d’une mission d’audit.
Dans un premier chapitre nous mettrons en exergue les modifications

apportées par la Loi relative au renforcement de la sécurité des relations
financières sur l’obligation de se prononcer sur le contrôle interne dans le cadre
d’une mission d’audit et les risques résultant de cette obligation.
Le deuxième chapitre sera consacré pour l’étude d’une phase importante

dans les travaux du commissaire aux comptes dans le cadre d’une mission
d’audit : évaluation du système du contrôle et émission de son rapport.
Page 14
PREMIERE PARTIE : LES

NOUVELLES REGLEMENTATIONS
SUR LE CONTROLE INTERNE
Page 15
Avant d’aborder l’impact des Lois de la sécurité financière sur le contrôle

interne , nous nous trouvons amené à s’interroger dans cette partie de l’étude,
sur le cadre général du contrôle interne ainsi que la relation entre la gouvernance
d’entreprise et le contrôle interne. On se demande alors :
 Comment le contrôle interne est-il défini et quelles sont les notions

proches et les limites de ce concept ?
 Quels sont les composantes et les objectifs d’un système de contrôle
interne ?
 Existe-t-il une relation entre le contrôle interne et la gouvernance
d’entreprise ?
Par la suite, nous nous interrogerons sur l’impact des Lois de la sécurité
financière sur le contrôle interne et ce sur deux volets :
 Les dispositions issues des Lois de renforcement de la sécurité financière

sur le contrôle interne.
 Naissance du cadre conceptuel et son évolution et l’importance de l’audit
informatique.
Page 16
Chapitre Premier : Le cadre général du contrôle interne

Section 1 : Le contrôle interne et les notions proches
1.1 Définition du contrôle interne
Les définitions du contrôle interne sont multiples. Il s’ensuit une grande
confusion parmi les décideurs, les organes législatifs, les autorités de tutelle et le
public. Les malentendus et les attentes divergentes qui résultent sont générateurs
de problèmes au sein de l’entreprise, problèmes qui se trouvent aggravés lorsque
la même terminologie est utilisée dans les Lois, les règlements ou autres textes
sans être clairement définie.
1.1.1 Aperçu historique de la notion du contrôle interne

Le contrôle interne n’est pas une notion récente : elle fut mise en évidence
dès les années 19402 par les professionnels de la comptabilité qui n’ont pas cessé
de la mettre en œuvre dans leurs activités. Dès lors cette époque, le vocable a
donné lieu à de multiples contresens et erreurs d’interprétation. En effet, le
contrôle interne est une traduction littéraire du terme anglo-saxon « Internal
Control ». On a oublié que pour les pratiquants de la langue anglaise « to
control », signifie d’abord maîtriser et accessoirement vérifier, alors qu’en
français, « contrôler » est avant tout vérifier et secondairement maîtriser d’où les
confusions.
Mais dans le cercle étroit des professionnels, les interprétations sont restées
globalement correctes : le contrôle interne est considéré pour ce qu’il doit être,
l’art et la manière de bien maîtriser ses activités et, pour ce faire, savoir en
identifier les risques. Ainsi conçu, le concept a longtemps été appliqué aux
seules activités comptables : que faire pour avoir une meilleure comptabilité et
limiter les risques d’erreurs.
2
Jacques Renard, « Permanence et actualité du contrôle interne », les cahiers de recherche de l’ESCE, page 28
Page 17
Puis les managers de toutes origines et, singulièrement, les plus avertis
d’entre eux, se sont emparés de cette notion et lui ont donné un caractère
universel, l’appliquant à toutes les activités. Mais, depuis quelques années, le
concept a atteint une notoriété qu’il n’avait pas jusqu’alors et son actualité n’a
cessé de s’accroître. Ce furent d’abord les grandes entités, confrontées à des
difficultés nouvelles, qui ont utilisé le concept en tenant de le rationnaliser pour
le rendre plus efficace, puis les banques et les établissements de crédit qui, en
France, ont réglementé le sujet. Et ce sont, partout dans le monde, des entités et
organismes multiples qui font état de la nécessité de développer un contrôle
interne raisonné et rational.
1.1.2 La définition adoptée par le système comptable des entreprises

tunisiennes
La norme comptable générale tunisienne définit le contrôle interne comme
étant «un processus mis en œuvre par la direction, la hiérarchie, le personnel, et
destiné à fournir une assurance raisonnable quant à la réalisation des objectifs
suivants :
- Promouvoir l’efficience et l’efficacité ;

- Protéger les actifs, garantir la fiabilité de l’information financière ;
- Assurer la conformité aux dispositions légales et réglementaires »3
1.1.3 La définition du contrôle interne adoptée par l’Ordre des Experts

Comptables Français «OECF» et la Compagnie Nationale des
Commissaires aux Comptes en France « CNCC »
En 1977, dans l’ouvrage de l’Ordre des Experts Comptables
Français (OECF), intitulé « le contrôle interne», on trouve la définition
suivante : « le contrôle interne est l’ensemble des sécurités contribuant à la
maitrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la
3
Norme Comptable Générale NC 01 : deuxième partie « dispositions relatives à l’organisation comptable »
paragraphes 6 et 7
Page 18
sauvegarde du patrimoine et la qualité de l’information, de l’autre côté,

d’appliquer des instructions de la direction et de favoriser l’amélioration des
performances. Il se manifeste par l’organisation des méthodes et des procédures
de chacune des activités de l’entreprise pour maintenir la pérennité de celle-ci ».
En 1987, dans ses commentaires des normes relatives à l’appréciation du

contrôle interne, la Compagnie Nationale des Commissaires aux Comptes
(CNCC) donne la définition suivante : «le contrôle interne est constitué par
l’ensemble des mesures de contrôle comptable ou autre, que la direction définit,
applique et surveille, sous sa responsabilité, afin d’assurer la protection du
patrimoine de l’entreprise et la fiabilité des enregistrements comptables et des
comptes annuels qui en découlent».
1.1.4 La définition stipulée par les normes de l’IFAC

La norme internationale d’audit ISA 315 « Connaissance de l’entité, de son
environnement et évaluation du risque d’anomalies significatives qui a été
adoptée par l’OECT a défini le contrôle interne comme suit : «le contrôle interne
est un processus, conçu, mis en place et supervisé par les personnes constituant
la gouvernance de l’entreprise, la direction et d’autres membres du personnel,
pour fournir une assurance raisonnable quant à la réalisation des objectifs de
l’entité en ce qui concerne la fiabilité de l’information financière, l’efficacité et
l’efficience des opérations, ainsi que leur conformité avec les textes législatifs et
réglementaires applicables.
Il en résulte que le contrôle interne est conçu et mis en œuvre pour répondre
aux risques identifiés liés à l’activité, qui menacent la réalisation de l’un de ces
objectifs »4 .
4
Norme internationale d’audit : ISA 315 paragraphe 4
Page 19
1.1.5 La définition du contrôle interne prévue par l’IFACI et IIA

L’Institut Français de l’Audit et du contrôle interne (IFACI) affilié à l'IIA
(The Institute of Internal Auditors) a adopté la définition suivante pour le
contrôle interne : « Le contrôle interne est un dispositif de la société, défini et
mis en œuvre sous sa responsabilité. Il comprend un ensemble des moyens, de
comportements, de procédures et d’actions adaptés aux caractéristiques propres
de chaque société qui :
 Contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à

l’utilisation efficiente de ses ressources, et
 Doit lui permettre de prendre en compte de manière appropriée les risques
significatifs, qu’ils soient opérationnels, financiers ou de conformité.
Le dispositif vise plus particulièrement à assurer :

 La conformité aux Lois et règlements ;
 L’application des instructions et des orientations fixées par la direction
générale ou le directoire ;
 Le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde des ses actifs ;
 La fiabilité des informations financières.
Le contrôle interne ne couvre pas toutes les initiatives prises par les organes
dirigeants ou le management comme par exemple la définition de la stratégie de
la société, la détermination des objectifs, les décisions de gestion, le traitement
des risques ou le suivi des performances»5.
1.1.6 La définition du contrôle interne adoptée par l’AMF

L’Autorité des Marchés Financiers (AMF) a adopté la définition suivante
pour le contrôle interne :
5
IFACI, définition de l’audit interne et du contrôle interne, site internet de l’IFACI, www.ifaci.com , (consulté le
12 Août 2012)
Page 20
«Le contrôle interne est un dispositif de la société, défini et mis en ouvre sous
sa responsabilité, qui vise à assurer :
 La conformité aux Lois et règlements ;
 L’application des instructions et des orientations fixées par la Direction
Générale ou le Directoire ;
 Le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde des actifs ;
 La fiabilité des informations financières»6.
Et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de

ses opérations et à l’utilisation efficiente de ses ressources.
En contribuant à prévenir et à maîtriser les risques de ne pas atteindre les

objectifs fixés par la société, le dispositif de contrôle interne joue un rôle clé
dans la conduite et le pilotage des ses différentes activités. Toutefois, le contrôle
interne ne peut fournir une garantie absolue que les objectifs de la société seront
atteints.
1.2 Les notions proches au contrôle interne

1.2.1 Mission de contrôle du conseil d’administration et du conseil de
surveillance
Le contrôle interne n’est pas un concept nouveau imposé par le législateur.
Il ne s’agit pas d’un événement ponctuel ni d’une tâche circonstancielle ; bien au
contraire, il s’inscrit de manière harmonieuse dans la gestion quotidienne de
l’entreprise. C’est à la fois une responsabilité collective et individuelle au sein
de l’entité.
Le contrôle interne ne suffit pas de tâches ponctuelles de supervision mais

doit être constitué d’actions de contrôles préventives, permanentes et continues.
6
AMF, le dispositif du contrôle interne : cadre du référence, site internet de l’AMF, www.amf-france.org , (site
Web consulté le 13Août 2012)
Page 21
Contrairement à certaines idées préconçues, le contrôle interne n’est pas une

fonction relevant du siège de l’entreprise, laquelle viendrait se superposer aux
fonctions opérationnelles. Bien au contraire, le contrôle interne doit faire partie
intégrante des ces mêmes opérations en vue d’en assurer efficience et efficacité.
Le conseil de surveillance, qui est investi notamment d’une mission légale

de contrôle, ne peut être assimilé au seul représentant du contrôle interne de
l’entité ; il constitue un organe de pilotage des contrôles en place dans les
différentes fonctions de l’entité : c’est le contrôle du contrôle.
Le conseil d’administration peut constituer un comité de contrôle qui lui est

directement subordonné et à qui il fait rapport. Ce comité a pour tâche,
notamment, d’évaluer la capacité de fonctionnement du système de contrôle
interne et d’apprécier l’efficacité des travaux de la révision interne et de la
révision externe.
1.2.2 Mission de contrôle par le comité d’audit

Le comité d’audit est composé par trois membres au moins, désignés selon
le cas par le conseil d’administration ou le conseil de surveillance parmi leurs
membres.
Ne peut être membre du comité d’audit le président-directeur général ou le

directeur général adjoint7.
Le comité d’audit permet de renforcer le suivi indépendant du processus

d’élaboration des informations financières et du contrôle légal. Cet organisme
vise à empêcher toute influence anormale potentielle de la part de la direction
exécutive. Le comité d’audit doit comprendre des membres non exécutifs
(dirigeants non opérationnels), des organes d’administration ou des membres du
7
Article 12 de la Loi 2005-96 du 18 octobre 2005, relative au renforcement de la sécurité des relations
financières.
Page 22
conseil de surveillance de l’entité. L’un au moins des membres indépendants

doit être compétent dans le domaine de la comptabilité et / ou l’audit financier.
Le comité d’audit devrait assurer :

- Le suivi du processus d’élaboration de l’information financière ;
- Veille au respect par la société de la mise en place de système de
contrôle interne performant de nature à promouvoir l’efficience,
l’efficacité, la protection des actifs de la société, ainsi que la gestion
des risques de l’entité ;
- La surveillance de l’audit légal (commissariat aux comptes), y compris
l’indépendance de l’auditeur légal (le commissaire aux comptes) ou du
cabinet d’audit ;
- Veille au respect par l’entité des dispositions légales et réglementaires.
Il lui revient aussi de proposer le commissaire aux comptes ou le cabinet

d’audit en vue de leur nomination. Le système de contrôle interne, l’audit
interne et le système de gestion de risque restent sous la responsabilité de la
direction opérationnelle de l’entité.
1.2.3 Mission du contrôleur de gestion

Le contrôle de gestion est l’activité visant la maîtrise de la conduite d’une
entité en prévoyant les événements et en s’adaptant à l’évolution, en définissant
les objectifs, en mettant en place les moyens, en comparant les performances et
les objectifs, en corrigeant les objectifs et les moyens.
Le contrôle de gestion propose et élabore des outils de gestion au service du

management de l’entité. Il permet de procéder à des évaluations de la
performance, c'est-à-dire de l’efficience, de l’efficacité, des synergies et de la
flexibilité.
Page 23
Un système de contrôle de gestion est un processus de collecte et

d’utilisation de l’information. Il contribue à la réalisation et à la coordination des
prévisions et des prises de décision dans les différentes sections de l’entité.
En fixant des objectifs à atteindre pour les différentes unités de l’entité, le

contrôleur de gestion définit des règles relatives aux choix des actions à engager
et des moyens à mettre en œuvre. Ces choix sont en fait guidés par les objectifs
définis par le contrôleur de gestion. En comparant les réalisations aux objectifs,
le contrôle de gestion définit également des procédures d’évaluation des
résultats de l’entité. Ainsi le rôle de contrôle de gestion dans l’entité peut être
illustré comme suit :
Ce qu’il fallait faire La manière de le faire Ce qu’a été fait

(objectifs) (moyens) (réalisation)
Efficacités Efficiences Ecarts
Contrôle de gestion
Rôle de contrôleur de gestion dans une entité8
En général, l’objectif de ce système est d’améliorer la prise de décisions au sein

de l’entité.
1.2.4 Mission de l’auditeur interne

L’audit interne est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte
ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée.
8
Jacques RENARD : « théorie et pratique de l’audit interne », édition d’organisation groupe eyrolles- 2010,
page 53
Page 24
Il aide cette organisation à atteindre ses objectifs en évaluant, par une

approche systématique et méthodique, ses opérations de management des
risques, de contrôle et de gouvernement d’entreprise et en faisant des
propositions pour renforcer son efficacité9.
En d’autres mots c’est une fonction indépendante qui a pour objet

d’examiner le bon fonctionnement, l’efficacité et l’efficience du contrôle
interne. Elle assiste les personnes chargées de l’organisation dans l’exercice
effectif de leurs responsabilités et leur fournit à cet effet des analyses,
évaluations, recommandations, avis et informations sur les activités examinées.
Toutes les activités et tous les départements peuvent faire l’objet d’une
investigation de la part du service de l’audit interne. Soit de sa propre initiative,
soit sur demande du conseil d’administration, de la direction générale ou des
directions de département.
L’audit interne porte sur l’examen et l’évaluation du système du contrôle

interne ainsi que sur la manière dont les responsabilités assignées sont assumées.
De plus il vérifie si :
- Les Lois, la règlementation, les politiques définies par le conseil

d’administration et la direction générale sont- ils respectés ;
- Les risques (mesurables ou non) sont identifiés, évalués et maîtrisés en
vue d’atteindre les objectifs de l’entité ;
- L’information financière et celle relative à la gestion des risques ainsi
que les systèmes d’informations sont ponctuels, continus et fiables
(intégrité, exactitude et exhaustivité) ;
- Les ressources humaines et financières sont utilisées de façon économe
et efficiente ;
9
Définition de l’audit interne proposée par The Institue of Internal Auditors « IIA » en juin 1999.
Page 25
- La protection du patrimoine de l’entité est adéquate.
1.2.5 Mission de l’auditeur externe

L’auditeur externe a pour mission de s’assurer de l’exactitude des
informations comptables et financières publiées par l’entité à savoir ses états
financiers (bilan, état de résultat, état de flux de trésorerie et les notes aux états
financiers).
Cette mission aboutit à la certification des états financiers et à confirmer ou

infirmer le respect de l’entité des règles et des normes comptables sur la base
duquel ses états financiers ont été arrêtés.
Il s’agit d’une mission ponctuelle dans le temps, indépendante de toute

influence au sein de l’entité. Parfois, elle est commandée par des tierces
personnes (banquiers, actionnaires majoritaires, Etat…).
En ce qui concerne les moyens utilisés par l’auditeur externe sont presque
identiques à ceux de l’audit interne. Il s’agit principalement des informations
comptables et financières, des données statistiques et des manuels de procédures
et règlements.
Dans le cadre d’une mission d’audit des états financiers, l’auditeur doit
acquérir une compréhension des aspects du contrôle interne pertinents pour
l’audit. Bien qu’il y ait des chances que la plupart des contrôles pertinents pour
l’audit concernant l’information financière, ce ne sont pas tous les contrôles liés
à l’information financière qui sont pertinents pour l’audit. L’auditeur exerce son
jugement professionnel pour déterminer si un contrôle, seul ou en association
avec d’autres, est pertinent pour l’audit10.
Au niveau du processus d’audit, les professionnels mettent l’accent sur

l’évaluation du contrôle interne dans les entités auditées. Cette évaluation
10
Norme internationale d’audit : ISA 315 paragraphe 12
Page 26
rationalise les procédures dans la mission d’audit et permet à l’auditeur de

s’appuyer sur des contrôles mis en place par le client pour réduire ses propres
procédures. L’évaluation du contrôle interne est devenue une tâche importante
pour l’auditeur notamment après la publication de référentiel « Internal Control
Integrated Framework » par le comité COSO (The Committee of Sponsoring
Organizations of the Treadway Commission). Dans le même temps, les cabinets
ont renforcé la réduction des procédures substantives dans les programmes
d’audit en s’appuyant de plus en plus sur des procédures analytiques. Bien
entendu celle-ci sont moins coûteuses que les procédures substantives.
L’évaluation du contrôle interne est devenue une phase essentielle de la

mission d’audit car elle peut rationaliser les étapes suivantes en réduisant les
procédures substantives sur les processus qui sont bien contrôlés.
1.3 Les limites du contrôle interne

Le contrôle interne ne peut, à lui seul, garantir la réalisation des objectifs
généraux définis par la direction.
Un système de contrôle interne efficace, aussi bien conçu et appliqué soit-il,

ne peut fournir à la direction qu’une assurance raisonnable et non absolue quand
à la réalisation des objectifs d’une entité ou à sa pérennité. Le contrôle interne
peut fournir des informations au management pour son évaluation du degré de
réalisation des objectifs qui lui sont fixés mais non transformer un mauvais
manager en bon manager. Au demeurant, le management n’a aucun contrôle sur
les changements qui pourraient intervenir dans la politique ou les programmes
du gouvernement, ou dans le contexte démographique ou économique de son
action. De tels changements peuvent imposer aux managers de revoir les
contrôles et d’ajuster le niveau de risque acceptable.
Page 27
Un système de contrôle interne efficace réduit la probabilité de ne pas

atteindre les objectifs. Il n’en élimine pas pour autant le risque toujours présent
que le Contrôle interne soit mal conçu ou ne fonctionne pas comme prévu.
1.3.1 L’erreur de jugement

L’efficacité du contrôle interne sera limitée par le risque d’erreur humaine
lors de la prise de décisions ayant un impact sur les opérations de l’entité. Les
personnes responsables de telles décisions doivent exercer leur jugement dans le
temps qui leur est imparti, en se basant sur les informations disponibles et en
faisant face aux pressions liées à la conduite des affaires. Avec le recul, il peut
s’avérer que certaines décisions fondées sur le jugement de leur auteur ont
produit des résultats décevants et doivent être modifiées.
1.3.2 Les dysfonctionnements

Même les systèmes de contrôle interne qui sont bien conçus peuvent être
l’objet de dysfonctionnements. Les membres du personnel peuvent mal
interpréter les instructions et leur jugement peut être défaillant. Ils peuvent
commettre des erreurs de jugement par manque d’attention ou à cause de la
routine. Un responsable des services comptables chargé d’enquêter sur les
anomalies peut oublier de le faire ou ne pas poursuivre son enquête
suffisamment loin pour prendre les mesures appropriées. Un personnel
intérimaire, exécutant des fonctions de contrôle en remplacement d’employés
malades ou en vacances, peut ne pas s’acquitter convenablement de ses tâches.
Des changements dans les systèmes peuvent être introduits avant que le
personnel n’ait reçu la formation nécessaire pour réagir correctement aux
premiers signes d’un dysfonctionnement.
1.3.3 Les contrôles « outrepassées » ou contournés par le management

Un système de contrôle interne ne peut pas être plus efficace que les
personnes responsables de son fonctionnement. Même au sein des entités
Page 28
efficacement contrôlées (le plus souvent, celles faisant preuve d’une grande
intégrité et d’une grande sensibilisation au besoin de contrôles) un responsable
peut être en mesure d’outrepasser le système de contrôle interne.
Le mot outrepasser est utilisé ici pour désigner la dérogation illégitime aux
normes et procédures prescrites, dans le but soit d’en tirer profit personnel soit
d’améliorer la présentation de la situation financière de l’entité ou dissimuler la
non-conformité aux obligations légales. Le responsable d’une division ou d’une
unité, ou un dirigeant, pourrait être amené à outrepasser le système de contrôle
interne pour de nombreuses raisons :
- Accroître fictivement le chiffre d’affaires et ainsi dissimuler une baisse

non anticipée de parts de marché ;
- Augmenter artificiellement le résultat en vue d’atteindre un budget
irréaliste ;
- Rehausser la valeur d’une entité en prévision de sa cession ;
- Sous-estimer les prévisions de chiffre d’affaires ou de résultat dans le
but d’augmenter une prime liée aux performances ;
- Dissimuler une situation qui entraînerait le remboursement immédiat
des emprunts si elle était connue ; et
- Masquer la non-conformité aux obligations légales.
De telles pratiques peuvent se traduire par des déclarations volontairement

faussées aux banquiers, aux avocats, aux auditeurs et aux fournisseurs, ainsi que
par l’émission délibérée de faux documents tels que commandes d’achat ou
factures de vente.
Les infractions au système de contrôle interne ne doivent pas être

confondues avec les interventions du management, visant à annuler ou déroger
pour des raisons légitimes, à des normes ou des procédures prescrites. Ces
interventions sont généralement nécessaires dans le cas de transactions ou
Page 29
d’événements non récurrents ou inhabituels qui seraient traités de façons

inappropriées par le système de contrôle interne; la possibilité d’une intervention
du management doit toujours être prévue parce qu’aucun système ne peut être
conçu en tenant compte de toutes les situations possibles. Ces interventions sont
généralement faites ouvertement et étayées par des documents ou bien les
membres du personnel concernés en sont avertis. En règle générale, les
infractions au système de contrôle interne ne sont ni répertoriées ni divulguées,
l’intention étant de dissimuler ces agissements11.
1.3.4 La collusion
La collusion entre deux ou plusieurs personnes peut déjouer le système de
contrôle interne. Des individus agissant collectivement pour perpétrer et
dissimuler une action peuvent altérer les informations financières ou de gestion
d’une manière qui ne puisse être détectée par le système de contrôle interne . Par
exemple, un employé chargé d’une fonction de contrôle importante pourrait agir
en collusion avec un client, un fournisseur ou un autre membre du personnel.
Dans un autre cas, des responsables des ventes à plusieurs niveaux de la
hiérarchie pourraient agir en collusion pour contourner des contrôles afin que les
résultats affichés soient conformes au budget ou aux objectifs sur lesquels
seraient fondées des primes12.
Toutefois, un bon système de contrôle interne, s’il ne peut totalement

empêcher la collusion, peut la rendre plus difficile : en répartissant efficacement
les tâches, il nécessite, pour passer outre les contrôles réciproques, la collusion
d’un membre trop important de personnes, ce qui est un obstacle généralement
suffisant.
11
Coopers & Lybrand « La nouvelle pratique du contrôle interne »- 1998 ; page 112
12
Page 30
1.3.5 Coûts / avantages du contrôle interne

L’entité doit comparer les coûts et avantages relatifs aux contrôles avant de
les mettre en place.
Lorsqu’on cherche à apprécier l’opportunité d’un nouveau contrôle, il est

nécessaire d’étudier non seulement le risque d’une défaillance et l’impact
possible sur l’entité, mais également les coûts associés à la mise en place de ce
contrôle.
Toutefois, il est important d’éviter de mettre en place, ou de suggérer la

mise en place, de contrôle dont le coût peut être disproportionné par rapport au
risque encouru.
Les coûts et bénéfices attachés aux contrôles sont calculés à différents

degrés de précision. Généralement, le calcul des coûts est plus facile en prenant
en compte les coûts directs et indirects des contrôles mis en place.
Le calcul du rapport coûts/bénéfice est rendu encore plus compliqué par la

corrélation entre les contrôles et les activités. Lorsque les contrôles sont intégrés
dans les processus de gestion et d’exploitation, il est difficile d’en isoler le coût
ou l’avantage que l’on en retire.
Section 2 : Les composantes et les objectifs du contrôle interne

2.1 Les composantes du contrôle interne
Le contrôle interne est composé de cinq éléments interdépendants qui
découlent de la façon dont l’activité est gérée et qui sont intégrés aux processus
de gestion :
- L’environnement de contrôle ;
- La procédure d’évaluation des risques de l’entité ;
- Le système d’information et les processus connexes concernant les
enregistrements comptables et la communication ;
Page 31
- Les activités de contrôle ; et

- La surveillance des contrôles (pilotage).
Bien que ces composantes soient applicables à toutes les sociétés, leur mise
en œuvre peur être faite de façon différente selon la taille et le secteur d’activité
des sociétés.
2.1.1 L’environnement de contrôle

L’environnement de contrôle interne est un élément très important de la
culture d’une entité puisque il détermine le niveau de sensibilisation du
personnel au besoin de contrôle. Il constitue le fondement de tous les autres
éléments du contrôle interne, en imposant discipline et organisation.
Les principaux éléments du contrôle interne :
- L’intégrité et éthique : Il s’agit du code de conduite fondé sur des

priorités ainsi que des valeurs servant à atteindre les objectifs fixés par
l’entité.
Les objectifs d’une entité et les méthodes utilisées pour les atteindre sont
fondés sur des priorités, des jugements de valeurs et un style de
management. Ces priorités et jugements de valeurs, qui se traduisent par
un code de conduite, reflètent l’intégrité et l’éthique des dirigeants13.
- La compétence du personnel : L’engagement à un niveau de
compétence se définit, notamment, au regard du niveau de connaissance et
d’aptitudes nécessaires pour garantir à la fois que les tâches sont
accomplies de manière ordonnée, éthique, économique, efficiente et
efficace, et que les responsabilités individuelles liées au contrôle interne
sont bien comprises.
13
Page 32
- Le style de management : Le style de management a une incidence sur la

conduite des affaires de l’entité et sur le niveau de risques accepté.
Si la haute direction croit à l’importance du contrôle interne , les membres
de l’entité y seront sensibilisés et réagiront en respectant
consciencieusement les contrôles établis. Par exemple la création d’un
service d’audit interne, faisant partie intégrante du système de contrôle
interne , est un signal fort, par lequel le management montre l’importance
du contrôle interne.
Si, au contraire, le personnel de l’entité a le sentiment que le contrôle
n’est pas une préoccupation majeure de la haute direction et est soutenu
de manière formelle plutôt que réelle, il est pratiquement certain que les
objectifs de contrôle de l’entité ne seront pas effectivement atteints.
- Structure d’organisation : La structure de l’organisation d’une entité
prévoit les éléments suivants :
 Délimitation de pouvoirs et domaines de responsabilité ;
 Délégation de pouvoirs et obligation de rendre compte ; et
 Canaux d’information appropriés.
La structure organisationnelle peut inclure un service d’audit interne qui

doit être indépendant du management et faire rapport directement au plus
haut niveau d’autorité de l’entité.
2.1.2 La procédure d’évaluation des risques de l’entité

Les événements peuvent avoir un impact positif, négatif ou les deux à la
fois. Les événements ayant un impact négatif sont des risques pouvant freiner la
création de valeur ou détruire la valeur existante. En revanche, les événements
Page 33
ayant un impact positif peuvent contrebalancer des impacts négatifs des risques
ou constituer des opportunités14.
Toutes les entités, quelles que soient leur taille, leur structure, la nature de
leurs activités et leur secteur économique dans lequel elles évoluent, sont
confrontées à des risques, et ce à tous les niveaux. Les risques peuvent mettre en
cause la survie de l’entité, sa compétitivité au sein du secteur économique, sa
situation financière, son image de marque, la qualité de ses produits, de ses
services et de son personnel. Sur le plan pratique, il n’existe aucun moyen
d’éliminer tous les risques. En effet, le risque est inhérent aux affaires. Il
appartient donc aux dirigeants de déterminer le niveau de risque acceptable,
dans le cadre d’une gestion prudente de l’activité, et de s’efforcer de les
maintenir à ce niveau.
Le COSO définit la gestion des risques de l’entreprise comme un processus

conçu et exécuté par le conseil d’administration, sa direction, et tout autre
personnel dans le cadre de la mise en œuvre de la stratégie de l’ensemble de
l’entité, pour identifier les événements potentiels qui peuvent l’affecter et pour
gérer les risques, conformément au « risque d’appétit », en fournissant une
assurance raisonnable quant à la réalisation des objectifs de l’entité.
La gestion des risques de l’entreprise aide une entité à réaliser ses objectifs
de rentabilité et de performance et constitue une prévention contre la perte des
ressources. Elle fournit une information financière fiable et s’assure que l’entité
se conforme aux Lois et règlements, lui évitant ainsi de subir des atteintes à sa
réputation et d’autres préjudiciables15.
14
Institut de l’Audit Interne, Price Watherhouse Coopers et Landwell & Associés : « Le management des risques
de l’entreprise, cadre de référence- techniques d’application- COSO II Report », édition d’organisation-2005 ;
page 5
15
Mohamed HAMZAOUI avec la participation de Benoît PIGÉ : « Gestion des risques d’entreprises et contrôle
interne », Village mondial Pearson éducation France-2008, page 79
Page 34
L’identification et l’analyse du risque constituent un processus continu et

répétitif. Ce processus est un élément-clé d’un système de contrôle interne
efficace. Le management doit, à tous les niveaux, identifier minutieusement les
risques et prendre les mesures adéquates afin de les limiter.
2.1.3 Le système d’information et la communication

Toutes les entités doivent recueillir les informations pertinentes (financières
ou non) relatives aux événements et activités, externes comme internes,
identifiées par la direction comme étant utiles à la conduite des affaires.
Transmises dans une forme et dans des délais adéquats aux personnes qui en ont
besoin, elles leur permettent d’assurer leurs responsabilités et notamment
d’effectuer les contrôles qui leur incombent16.
L’information pertinente doit être identifiée, recueillie et diffusée sous une

forme et dans des délais qui permettent à chacun d’assumer ses responsabilités.
Les systèmes d’information produisent, entre autres, des données
opérationnelles, financières ou encore liées au respect des obligations légales et
réglementaires, qui permettent de gérer et contrôler l’activité. Ces systèmes
traitent non seulement les données produites par l’entreprise, mais également
celles émanant de l’extérieur (événements, marché de l’activité, contexte
général) et qui sont nécessaires à la prise de décision en matière de conduite des
affaires et de reporting externe.
Il existe également un besoin large de communication efficace,

communication à la fois ascendante, descendante et horizontale. Le management
doit transmettre un message clair à l’ensemble du personnel sur l’importance des
responsabilités en matière de contrôle.
16
Page 35
Les employés doivent comprendre le rôle qu’ils sont appelés à jouer dans le
système de contrôle interne , ainsi que la relation existant entre leurs propres
activités et celles des autres membres du personnel. Ils doivent être en mesure de
faire remonter les informations importantes. Par ailleurs, une communication
avec les tiers, tels que clients, fournisseurs, autorités de tutelle ou actionnaire,
est également nécessaire.
- Information : Les systèmes d’informations permettent d’identifier,

recueillir, traiter puis diffuser les informations.
Le système d’information recouvre :
 Le traitement des données endogènes relatives aux transactions et à
l’exploitation ; et
 La gestion d’informations relatives à des événements, activités et
facteurs exogènes (données économiques d’un secteur, variation de la
demande à l’égard des produits vendus par l’entreprise, produits
concurrents, évolutions législatives et réglementaires, etc.).
Les systèmes d’informations peuvent être formels. Des informations

importantes peuvent être recueillies lors des contacts avec les tiers, le
personnel, les pouvoirs publics, ou bien à l’occasion de séminaires ou de
réunions professionnelles. Il est donc nécessaire d’encourager la remontée
des informations collectées par des voies informelles.
Les systèmes d’informations ne sont pas figés mais doivent évoluer en

fonction d’une part de l’entreprise, et d’autre part de son environnement.
- Communication : La communication est différente selon qu’elle est
interne ou externe
 La communication interne porte sur :
 Les informations qui permettent au personnel et à la direction
de l’entreprise de mener à bien leurs tâches et d’assumer leurs
Page 36
responsabilités touchant à l’exploitation, à la présentation des

informations financières ou encore au respect des Lois et
règlements ;
 Un message de la direction exposant avec force l’importance du
contrôle interne ;
 La description précise des tâches à accomplir et des
responsabilités, ce qui aide à la compréhension de l’étendue des
responsabilités de chacun (par exemple : une signature recouvre
quels contrôles ?), et ce qui facilite la continuité du
fonctionnement des systèmes en cas d’absence du personnel
habituel (congés, maladies, etc.) ; et
 Les règles d’éthique de l’entreprise et le comportement
acceptable attendu au sein de l’entreprise (loyauté, risque
d’informations falsifiées, etc.).
 La communication externe a pour objectif :
 De collecter les informations nécessaires au développement de
l’entreprise (besoins de la clientèle, etc.) ;
 De connaître certains dysfonctionnements internes par les
réclamations des tiers (qualité insuffisante d’une production,
erreurs de facturation, etc.) ;
 De monter aux tiers que le contrôle interne de l’entreprise est
fort et par conséquent de limiter leur velléités éventuelles de
fraude à l’encontre de l’entreprise.
2.1.4 Les activités de contrôle

Les activités de contrôle peuvent se définir comme l’ensemble des politiques
et des procédures mises en place pour maîtriser les risques et réaliser les
objectifs de l’entité.
Page 37
Pour être efficaces, les activités de contrôle doivent répondre à plusieurs

critères :
- Etre appropriées (c’est-à-dire le bon contrôle, au bon endroit et dans une

juste proportion par rapport au risque encouru);
- Fonctionner conformément aux plans et de manière cohérente tout au long
de la période (c'est-à-dire qu’elles doivent être scrupuleusement
respectées par tous les agents concernés et qu’elles ne doivent pas être
transgressées quand les principaux responsables sont absents ou la charge
de travail élevée) ;
- Etre exhaustives, raisonnables et directement liées aux objectifs du
contrôle ; et
- Respecter un équilibre entre coût et bénéfices (c'est-à-dire que le coût de
mise en œuvre du contrôle ne doit pas dépasser les bénéfices qui en sont
tirés)17.
Il existe de nombreux types d’activités de contrôle, qu’il s’agisse de

contrôles orientés vers la prévention ou la détection, de contrôles manuels ou
informatiques, ou encore de contrôles hiérarchiques.
Il existe donc une grande variété de procédures de contrôle mises en œuvre

quotidiennement par le personnel pour s’assurer que l’entité reste sur la voie
conduisant à ces objectifs, tels que :
- Analyses effectuées par le management : Les performances réalisées

sont analysées par rapport aux budgets, aux prévisions, aux résultats réels
des périodes précédentes et aux résultats des concurrents. Afin d’évaluer
dans quelle mesure les objectifs sont atteints, le management examine le
déroulement des opérations importantes. Les mesures prises par le
17
Lignes directives sur les normes de contrôles interne à promouvoir dans le secteur public, site internet
INTOSAI, www.intosai.org (site Web consulté le 08 Septembre 2012)
Page 38
management pour analyser et suivre ces informations constituent des

activités de contrôle.
- Gestion des activités ou des fonctions : Tout responsable fonctionnel ou
opérationnel procède à des analyses de performances.
- Traitement des données : De nombreux contrôles sont effectués visant à
vérifier l’exactitude, l’exhaustivité et l’autorisation de transaction. Les
données sont vérifiées par pointage à des éditions ou par rapprochement
automatique à des fichiers de contrôles. Par exemple, une commande
n’est acceptée qu’après rapprochement avec le ficher client de référence et
vérification de l’encours maximum autorisé. La séquence numérique des
transactions est contrôlée, les totaux des fichiers comparés aux soldes
précédents et aux montants contrôlés. Les anomalies nécessitant un suivi
sont traitées par le personnel administratif et signalées aux responsables
autant que nécessaire. Les développements de nouveaux systèmes et les
modifications apportées aux systèmes existants font l’objet de contrôle, de
même que l’accès aux données, fichiers et programmes informatiques.
- Contrôles physiques : Le matériel, les stocks, les disponibilités et les
autres actifs font l’objet d’une protection physique et d’inventaires
périodiques dont les résultats sont comparés aux données figurant sur les
documents de contrôle.
- Séparation des tâches : Afin de réduire les risques d’erreurs et
d’irrégularités, les tâches sont réparties entre les employés. Par exemple,
l’autorisation des transactions, l’enregistrement de celles-ci ou la
manipulation de l’actif correspondant, seront effectués par des personnes
différentes.
Les différentes procédures mises en œuvre doivent former un ensemble

cohérent de contrôle. Il est par ailleurs essentiel que les observations issues de
l’application de la procédure fassent l’objet d’investigations et que les actions
Page 39
correctives soient décidées. Les méthodes de suivi varieront selon la taille et la

structure de l’entité. Dans une grande entité, elles reposeront sur des processus
de reporting formalisés (les divisions indiqueront les raisons pour lesquelles les
objectifs n’ont pas été atteints et les mesures prises pour y remédier), tandis que
dans une petite entité, il suffira souvent que le PDG quitte son bureau pour aller
voir le directeur de l’usine afin de déterminer la cause du problème et ce qui doit
être fait.
2.1.5 Pilotage (surveillance des contrôles)

Le suivi du contrôle interne garantit que les contrôles fonctionnent comme
prévu et qu’ils sont mis à jour en fonction de l’évolution de l’environnement
dans lequel opère l’entité. Le suivi doit aussi évaluer si, dans la réalisation de la
mission de l’entité, les objectifs généraux, repris dans la définition du contrôle
interne, ont été atteints. Pour cela, il convient de mettre en place un ensemble
d’activités permanentes de pilotage, des évaluations ponctuelles ou de combiner
les deux méthodes, afin d’assurer que le contrôle interne continue à s’appliquer
à tous les niveaux et dans toute l’entité et qu’il produit les résultats escomptés.
Le suivi des activités de contrôle interne doit être clairement distingué de
l’analyse des opérations d’une entité, qui constitue, quant à elle, une activité de
contrôle interne.
Le pilotage permanent du contrôle interne s’inscrit dans le cadre des

opérations courantes et récurrentes d’une entité. Il s’opère en continu et en
temps réel, réagit en direct à l’évolution de la situation et se trouve tissé dans les
opérations de l’entité. Dès lors, il est plus efficace que les évaluations
ponctuelles et les actions correctives sont potentiellement moins coûteuses. Les
évaluations ponctuelles étant effectuées a posteriori, les opérations courantes de
surveillance permettront souvent une détection plus rapide des problèmes.
Page 40
Les évaluations ponctuelles doivent varier en étendue et en fréquence

essentiellement en fonction de l’évaluation des risques et de l’efficacité des
procédures de pilotage permanent. A cet égard, l’entité doit prendre en compte
la nature et l’importance des changements occasionnés, tant par les événements
internes qu’externes, ainsi que les risques correspondants, les compétences et
l’expérience du personnel chargé de la mise en place des contrôles, de même
que les résultats du pilotage permanent. Les évaluations ponctuelles du contrôle
peuvent aussi s’avérer utiles du fait qu’elles se focalisent sur l’efficacité des
contrôles à un moment précis. Les évaluations ponctuelles peuvent revêtir la
forme d’auto-évaluations, comme l’analyse de la conception du contrôle interne
ou la réalisation de tests portant directement sur le contrôle interne. Les
évaluations ponctuelles peuvent aussi être réalisées par des auditeurs externes ou
des auditeurs internes.
En général, la combinaison du suivi permanent et des évaluations

ponctuelles permettra d’assurer que le système de contrôle interne conserve son
efficacité dans le temps.
Toutes les faiblesses décelées dans le cadre du suivi permanent ou à la suite

d’évaluations ponctuelles doivent être signalées aux personnes habilitées à
prendre les mesures nécessaires. Le terme « faiblesse » définit un état
susceptible d’avoir une incidence sur la capacité d’une entité à réaliser ses
objectifs généraux. Une faiblesse peut, dés lors, correspond à une carence
perçue, potentielle ou avérée, ou à une opportunité de renforcer le contrôle
interne afin d’accroître la probabilité d’atteindre les objectifs généraux de
l’entité.
Il est crucial de communiquer les informations nécessaires relatives aux

faiblesses du contrôle interne aux personnes concernées. Dans cette perspective,
il est nécessaire d’établir des règles définissant quelles sont les informations
Page 41
nécessaires à un niveau donné pour permettre la prise effective de décisions. De

telles règles sont fondées sur le principe général qu’un responsable doit être au
courant de ce qui a une incidence sur les actions ou le comportement des
personnes placées sous sa responsabilité, de même qu’il doit être en possession
de toute information liée à la réalisation de ses objectifs spécifiques.
Le suivi et le pilotage du contrôle interne doivent comprendre des politiques

et des procédures garantissant que les conclusions des audits et des autres
formes d’évaluation sont mises en œuvre de la manière appropriée et sans retard.
Les responsables doivent :
- Evaluer rapidement les conclusions des audits et des autres formes

d’évaluation, y compris quand les auditeurs ou les autres personnes
mandatées pour évaluer les activités de l’entité diagnostiquent des
faiblesses et émettent des recommandations ;
- Déterminer les mesures appropriées à prendre pour donner suite aux
conclusions et aux recommandations résultant des audits et des analyses ;
et
- Prendre, dans des délais prédéfinis, toutes les mesures visant à corriger les
défauts portés à leur attention ou à résoudre le problème qui en découlait.
2.2 Les objectifs du contrôle interne

Le contrôle interne concourt à la réalisation d’un objectif général que l’on
peut décliner en objectifs particuliers. L’objectif général c’est la continuité de
l’entité dans le cadre de la réalisation des buts poursuivis. Cette définition
globale par les objectifs admise par la plupart des grandes entités a le mérite de
mettre certains éléments en évidence :
- Le contrôle interne n’est pas un ensemble d’éléments statiques, il doit
également être apprécié d’une façon dynamique, chacun des éléments qui
Page 42
le composent ayant sa place dans le processus de fonctionnement de

l’entité.
- Tous les niveaux de management sont concernés au même titre que la
Direction Générale, tous étant considérés comme des managers ayant à
mettre en place un contrôle interne.
- On assigne de façon réaliste comme finalité l’assurance raisonnable
d’atteindre les objectifs. En effet, un contrôle interne qui viserait un
fonctionnement parfait pour parvenir à coup sûr aux résultats escomptés
serait à la fois paralysant et hors de prix, donc irréaliste. Le contrôle
interne n’est pas conçu pour garantir la réussite de l’entité, son objectif est
relatif et non absolu18.
Pour atteindre cet objectif général, on assigne au contrôle interne des

objectifs permanents, que l’on retrouve d’ailleurs dans la définition de
l’Ordre des Experts Comptables Français et dans les définitions
subséquentes. Dés 1978, The Institute of Internal Auditors « IIA » définissait
quatre objectifs du contrôle interne :
- La protection du patrimoine ;
- La fiabilité et l’intégrité des informations financières et opérationnelles ;
- Le respect des directives ; et
- L’efficacité et l’efficience des opérations.
2.2.1 La protection du patrimoine

Un bon système de contrôle interne doit viser à préserver le patrimoine de
l’entité. Mais il faut étendre la notion et comprendre par là non seulement les
actifs immobilisés de toute nature, les stocks, les actifs immatériels, mais
également deux autres éléments non moins essentiels :
18
Jacques RENARD : « théorie et pratique de l’audit interne », édition d’organisation groupe eyrolles- 2010,
page 128
Page 43
 Les hommes, qui constituent l’élément le plus précieux du patrimoine de

l’entité ; et on retrouve ici la notion de risque, au sens le plus large du
terme : sécurité et risque social.
 L’image de l’entité qui peut se trouver détruite par un incident fortuit dû à
une mauvaise maîtrise des opérations.
En fin, et pour être complet, on peut ajouter dans la liste des actifs qui
doivent être valablement protégés par le système de contrôle interne, la
technologie (aussi bien technique que de gestion) ainsi que les informations
confidentielles de l’entité.
2.2.2 La fiabilité et l’intégrité des informations financières et

opérationnelles
L’image de l’entité se reflète dans les informations qu’elle donne à
l’extérieur et qui concernent ses activités et ses performances. Il est nécessaire
que tout soit en place pour que « la machine à fabriquer des informations »
fonctionne sans erreur et sans omission, et ce aussi bien dans les secteurs
techniques et commerciaux que dans le domaine financier.
Et plus précisément, ces contrôles internes doivent permettre à la chaîne des

informations d’être :
 Fiables et vérifiables ;
 Exhaustives ;
 Pertinentes ; et
 Disponibles.
- Fiables et vérifiables : Il ne suffit pas qu’une information soit bonne,
encore faut-il que le système permettre de vérifier son exactitude. On
affirme ainsi que tout système de contrôle interne doit comporter un
système de preuve sans lequel n’existe ni garantie ni justification possible.
Pour le comptable ce sera le système d’archivage et de conservation des
Page 44
documents, pour le responsable de fabrication ce sera l’enregistrement des

températures, des pressions et des débits. La « boîte noire » des avions
répond à cette préoccupation et de ce point de vue un élément important
du contrôle interne mis en place pour la vérification des informations.
- Exhaustives : Il ne sert à rien d’avoir des informations exactes si elles ne
sont pas complètes. Ce qui veut dire que le système de contrôle interne
doit garantir la qualité des enregistrements à la source des données de
base et faire en sorte que tous les éléments soient pris en compte dans la
chaîne de traitement.
- Pertinentes : L’information doit être adaptée au but poursuivi, si non elle
est superflue. De nos jours, les bases de données génèrent souvent des
flux d’informations excessifs, une abondance de biens qui en fin de
compte empêche de s’y retrouver et n’améliore donc pas la connaissance.
- Disponibles : Chacun connaît des exemples d’informations qui arrivent
trop tard ou qui ne sont pas aisément accessibles. Là également le contrôle
interne adapté doit éviter de semblables situations.
2.2.3 Le respect des directives

C’est une notion plus large que le « respect des Lois, règlements et
contrats ». En effet, les directives englobent naturellement les dispositions
législatives et réglementaires, mais elles ne se limitent pas aux Lois, règlements
et contrats (il peut y avoir des dispositions individuelles ou conjoncturelles). Or,
les dispositifs de contrôle interne doivent éviter que les audits de conformité ne
révèlent des failles ou des erreurs, ou des insuffisances dues à l’absence de
respect des instructions. Les causes premières de ce phénomène peuvent être
diverses : mauvaise communication, défaut de supervision, confusion des tâches,
etc. et dans tous les cas la qualité du contrôle interne est en cause.
Page 45
2.2.4 L’efficacité et l’efficience des opérations

C’est le quatrième objectif permanent du contrôle interne, dont la prise en
compte est appréciée dans les audits d’efficacité. Est-ce que les moyens dont
dispose l’entité sont utilisés de façon optimale ? A-t-elle les moyens de sa
politique ? Cet impératif est un élément important dans le sens de la plus grande
efficacité que le contrôle interne doit prendre en compte pour permettre aux
activités de l’entité de croître et de prospérer.
Réaliser ces quatre objectifs c’est prendre une option sérieuse sur la bonne
maîtrise des activités. On peut dire, en ce sens, que les quatre objectifs du
contrôle interne donnent à la définition du concept sa dimension opérationnelle.
Section 3 : Le contrôle interne et la gouvernance d’entreprise

3.1 Préambule sur la notion de la gouvernance d’entreprise
3.1.1 Définition du gouvernement d’entreprise
Qu’est ce que la gouvernance d’entreprise ? Expression aux contours encore
incertains, traduction aujourd’hui communément admise du terme anglo-saxon
« corporate governance , n’a pas de définition universelle et reconnue par tous,
la notion a longtemps restée floue et a suscité une certaine polémique à sa
définition.
Selon LANOO (1994), le gouvernement d’entreprise est « Le système par
lequel les sociétés sont dirigées et contrôlées. Il peut se réduire à une structure
élémentaire de droits de contrôle exercés par les propriétaires, pour contrôler et
récompenser les responsables afin qu’ils servent au mieux les intérêts des
actionnaires ».
Page 46
Selon PASTRE19, le gouvernement d’entreprise est « l’ensemble des règles

de fonctionnement et de contrôle qui régissent, dans un cadre historique et
géographique donnée, la vie des entreprises ».
la définition la plus complète semble-il est celle proposée par

P. DRUCKER20 : « le gouvernement d’entreprise consiste à mettre au point et à
respecter des principes et des règles qui guident et limitent la conduite de ceux
qui agissent au nom de l’entreprise ».
La notion de gouvernement d’entreprise recouvre donc à la fois des relations

dirigeants-actionnaires et l’ensemble des règles de fonctionnement et de contrôle
qui régissent les directions des entreprises.
Double composante du gouvernement d’entreprise
Système permettant de diriger et de Ensemble de règles en biais desquelles

contrôler les sociétés les sociétés sont gérées et contrôlées
3.1.2 Le gouvernement d’entreprise en France

Les principes de gouvernement d’entreprises des sociétés françaises cotées
sont issus du rapport VIENOT de juillet 1995 et de juillet 1999, du rapport
BOUTON de septembre 2002 ainsi que des recommandations de janvier 2007 et
19
Oliver PASTRE, ne le 15décembre 1950 à Neuilly-sur-seine , est un économiste français, professeur
d’économie à l’université Paris VIII, président de la banque d’affaire IM Bank et un membre du cercle des
économistes.
20
Peter Ferdinand DRUCKER, né le 19 novembre 1909 à Vienne en Autriche, mort le 11 Novembre 2005 à
Claremont en Californie aux Etats-Unis, est théoricien du management. I l est à l’origine de nombreux concepts
utilisés dans le monde de l’entreprise.
Page 47
d’octobre 2008 sur la rémunération des dirigeants mandataires sociaux de

sociétés cotées.
Cet ensemble de recommandations a été élaboré par des groupes de travail

de l’Association Française des Entreprises Privés (AFEP) et du Mouvement
Des Entreprises de France (MEDEF).
Il s’agit donc, dans tous les cas, d’une initiative des entreprises elles-mêmes
soucieuses de préciser certains principes de bon fonctionnement et de
transparence propres à améliorer leur gestion et leur image auprès des
investisseurs et du public.
Le texte qui suit agrège et met en perspective ces recommandations qui sont
complémentaires et procèdent de la même logique.
Cet ensemble de recommandations, qui constitue le code AFEP-MEDEF,

peut être désigné par les sociétés cotées comme étant leur code de référence en
application de la Loi du 3 juillet 2008-22.
Les présentes recommandations s’adressent aux sociétés dont les titres sont
admis aux négociations sur un marché réglementé. Il est également souhaitable
et recommandé que les autres sociétés appliquent ces recommandations en tout
ou partie en leur adoptant à leurs spécifiés. Enfin, elles ont, pour la plupart, été
écrites par référence aux sociétés anonymes à conseil d’administration. Il
convient que les sociétés anonymes à directoires et conseil de surveillance, ainsi
que les sociétés en commandite par les actions, procèdent aux adaptations
nécessaires.
3.1.3 La gouvernance d’entreprise dans le contexte Tunisien

La thématique de gouvernance d’entreprise a toujours mobilisé aussi bien
l’effort du gouvernement que l’attention des chefs d’entreprises, des hommes
d’affaires, des universitaires et des chercheurs. La mise en place d’un système
Page 48
de gouvernement d’entreprise et les normes communes nationales pour sa mise

en œuvre passent par le partage des bonnes pratiques en la matière.
Le Centre Tunisien de Gouvernement d’Entreprise (CTGE) a édité en 2007

un Guide des « Bonnes Pratiques de Gouvernement des Entreprises » qui a été
mis à jour en 2009 ; ce même guide est référencé au Centre Européen de
Gouvernance d’Entreprise (ECCG) et auprès des organismes internationaux tels
que la Société Financière International (SFI)21 et l’Organisation de Coopération
et de Développement Économiques (OCDE)22.
La version 2012 du guide a été mise à jour, dans le cadre d’un projet de
collaboration avec le Centre International pour l’Entreprise Privée (CIPE)23,
avec le soutien de l’OCDE, la SFI et le CIPE, avec la prise en compte des
dernières tendances en termes de gouvernances d’entreprise en vue d’inclure
dans son champ, outre les entreprises familiales, les SARL qui présentent un
aspect spécifique de gouvernance d’entreprise et un positionnement international
du guide tunisien.
Il est à noter que les plus grands axes de gouvernance explicités par le guide
sont les droits des actionnaires, la structure et les responsabilités du conseil
d’administration, l’audit interne, la transparence et le rôle des commissaires aux
21
L'IFC, qui fait partie du Groupe de la Banque Mondiale investit et fournit des services de conseil dans le
monde entier pour promouvoir, dans ses pays membres en développement, des projets durables qui sont
profitables sur le plan économique, solides sur les plans financier et commercial et viables sur les plans
environnemental et social.
22
L'Organisation de coopération et de développement économiques (OCDE, en anglais Organisation for
Economic Co-operation and Development, OECD) est une organisation internationale d’étude économique, dont
les pays membres – des pays développés pour la plupart - ont en commun un système de gouvernement
démocratique et une économie de marché. Elle joue essentiellement un rôle d’assemblée consultative.
23
Le Centre International pour l’Entreprise Privée renforce la démocratie dans le monde par le biais de la
réforme orientée sur le marché et sur l’entreprise privée. Le CIPE est l’un des quatre principaux instituts du
National Endowment for Domcracy (NED) et une organisation à but non lucratif affiliée à la Chambre de
Commerce des États-Unis. Pendant 25 ans, le CIPE a travaillé avec des chefs d’entreprises, des décideurs
politiques et des journalistes pour mettre en place les institutions civiques essentielles à une société
démocratique. Les principaux, domaines d’actions du CIPE sont la lute contre la corruption, la défense des
politiques, les associations professionnelles, la gouvernance d’entreprise, la gouvernance démocratique, l’accès
aux informations, le secteur informel et les droits de propriété, les femmes et la jeunesse.
Page 49
comptes, le rôle et les privilèges des managers, les relations avec les parties
prenantes et l’éthique, la conduite des affaires et la gouvernance des entreprises
familiales.
Plus de 200 experts nationaux, associations et organisations nationales ont

contribué à la préparation de la version 2012 du guide.
Le Guide vise à rendre le système tunisien de gouvernance d’entreprise plus

transparent et plus intelligible. C’est un outil mis à la disposition des entités
tunisiennes visant à consolider leur connaissance en matière de gouvernance
d’entreprise et à les accompagner dans la mise en place d’un système de
gouvernance fiable qui veille à préserver aussi l’intérêt et toutes les parties
prenantes.
C’est un moyen très pratique qui permet de garantir une bonne

implémentation des pratiques de bonne gouvernance au sein des entreprises.
Le CTGE vient de mettre à la disposition des entités tunisiennes un outil de

diagnostic et d’auto-évaluation, une grille d’autoévaluation (scorecard) qui
permettra aux entités tunisiennes d’identifier les zones de faiblesses et de
développer une stratégie d’amélioration de leur performance dans le domaine de
la gouvernance d’entreprise24.
3.2 contrôle interne et gouvernance d’entreprise

3.2.1 Lien entre contrôle interne et gouvernance d’entreprise
Comme il a été développé ci-dessus, le contrôle interne est un dispositif très
important pour la réalisation des objectifs de l’entreprise. Il est aussi un sujet qui
24
Cadre et pratique de la gouvernance d'entreprise en Tunisie (le 24 septembre à l’IACE), site web
www.webmanagercenter.com , site web consulté le 11 septembre 2012.
Page 50
interpelle toute l’entreprise y compris son conseil d’administration, sa direction

générale et l’ensemble de son personnel.
De toute évidence, évoquer le rôle et la responsabilité de chaque acteur à

l’intérieur de l’entreprise pour l’atteinte d’un objectif global qui est l’efficacité
du système de contrôle interne, soulève directement une question de
gouvernement d’entreprise. En effet, pour assurer la mise en place et le maintien
d’un système de contrôle interne adéquat et efficace. Il est nécessaire de bien
positionner le contrôle interne par rapport aux mécanismes organisationnels qui
ont pour effet de délimiter les pouvoirs et d’influencer les décisions des
dirigeants, pour pouvoir assurer une adéquate définition des rôles et des
responsabilités de chaque acteur en matière de contrôle interne.
Une explication des pouvoirs et des attributions de chaque organe de gestion

est à la fois importante et problématique pour la définition des rôles et
responsabilités de chacun d’eux en matière de contrôle interne.
En effet, mieux les pouvoirs et les attributions sont convenablement partagés

entre les différents organes de gestion, mieux sont définis les rôles et les
responsabilités en matière de contrôle interne et par conséquent, plus élevées
sont les chances que le système de contrôle interne soit efficace. A titre
d’illustration, on imagine mal un conseil d’administration ou un certain nombre
d’administrateurs critiqué objectivement, voire abordé devant un président
directeur général puissant qui cumule les fonctions de directeur général et de
président du conseil, des déficiences de contrôles interne qui risquent de porter
atteinte à la réalisation des objectifs de la société. Une telle initiative pourrait
être périlleuse pour ces administrateurs puisqu’ils risquent de se faire écarter du
conseil d’administrateur.
De plus, du moment qu’il y a une séparation entre les propriétaires des

entreprises-qui sont les actionnaires- et les dirigeants qui sont censés prendre les
Page 51
décisions et contrôler la bonne marche des affaires de l’entreprise, il n’est pas

exclu que ces dirigeants puissent saisir l’opportunité de favoriser leurs intérêts
personnels au détriment de l’intérêt de la société, sous le couvert discrétionnaire
qui leur est dévolu et sans aucun respect des procédures de contrôle interne qui
sont en place.
Face à de telles situations, on se demande comment le législateur s’est pris

pour empêcher un tel exercice du pouvoir qui compromettrait la mise en place
d’un système de contrôle efficace.
3.2.2 Pourquoi le contrôle interne est-il aujourd’hui une préoccupation

du management ?
Toutes les Lois relatives aux sécurités financières (LRRSRF, LSF, SOX,
etc.), créent de nouvelles obligations de communication sur la gouvernance et le
contrôle interne pour toutes les sociétés faisant appel public à l’épargne.
L’article 117 de la LSF « le président du conseil d’administration (ou de

surveillance) rend compte dans un rapport à l’assemblée générale :
 Des conditions de préparation et d’organisation des travaux du

conseil ;
 Des procédures de contrôle interne mises en place ;
 Des limitations de pouvoirs de la direction générale.
Dans le chapitre trois de la LRRSRF, intitulé « réorganisation des

obligations de divulgation à la charge des sociétés faisant appel public à
l’épargne, à leur actionnaires et aux sociétés cotées en bourse », l’article 15
stipule : « le rapport annuel sur la gestion de la société faisant appel public à
l’épargne doit comporter des éléments sur le contrôle interne ».
La LRRSRF n’a pas précisé l’étendu des éléments sur le contrôle interne
devant être inclus dans le rapport annuel.
Page 52
En France, après débats entre les différents acteurs de place impliqués dans
l’évaluation ou la gestion du contrôle interne de l’entreprise, un consensus est
apparu pour considérer que la LSF couvre le champ complet du contrôle interne,
c’est-à-dire, l’ensemble des politiques et procédures mises en œuvre dans
l’entreprise, destinées à fournir une assurance raisonnable quant à la gestion
rigoureuse et efficace de ses activités.
L’obligation d’établir un rapport sur le contrôle interne à l’attention de

l’assemblée générale s’impose à toutes les sociétés faisant appel à l’épargne
cotées ou non, tant à titre individuel qu’en qualité de société de tête d’un groupe
consolidé.
3.2.3 Rôle et responsabilité des acteurs en matière du contrôle interne

3.2.3.1 Rôle et responsabilité de la direction générale en matière du
contrôle interne
La direction générale est responsable de l’ensemble des activités de
l’organisation, y compris de son système de contrôle interne . Naturellement, les
responsabilisés du personnel d’encadrement, en matière de contrôle interne
varient selon le niveau hiérarchique. Les différences, souvent considérables,
dépendent des caractéristiques des sociétés.
Dans toute société, le président directeur général assume la responsabilité

ultime. Il est, ainsi, le premier responsable du système de contrôle interne. Cette
responsabilité implique qu’il doit s’assurer de l’existence d’un environnement
de contrôle interne positif. Plus que tout autre individu ou fonction, le P.D.G
doit donner l’exemple par des principes de conduite influençant les facteurs
ayant trait à l’environnement de contrôle et aux autres composantes de contrôle
interne. On ne saurait trop insister sur l’influence exercée par le P.D.G sur une
culture basée sur les bonnes règles d’éthique et d’intégrité. « L’exemple vient
de haut » établit les vraies attentes de comportements. Les bons comportements
Page 53
doivent être observés de façon constante de la part de l’équipe de direction,

quelles que soient les circonstances. C’est dans les difficultés ou en temps de
crise que le comportement a le plus grand impact. Inversement, une culture
d’entreprise bien établie, constitue au fil des ans et appliquée avec constance,
influera sur le comportement des dirigeants en temps de crise, lorsque le besoin
de direction est plus fort et lorsque le temps pour discuter, avec attention, des
multiples solutions est limité.
3.2.3.2 Rôle et responsabilité du conseil d’administration en matière

du contrôle interne
Quelles que soient la composition ou les modalités d’organisation du conseil
d’administration, ce dernier est, et doit demeurer, une instance collégiale qui
représente collectivement l’ensemble des actionnaires et à qui s’impose
l’obligation d’agir en toutes circonstances dans l’intérêt social de l’entreprise.
En dépit de l’absence d’une définition légale des mécanismes de

délimitation et de partage du pouvoir et des attributions entre la direction
générale et le conseil d’administration, il est certain que ce dernier se doit
d’exercer un rôle actif pour s’assurer qu’un système de contrôle interne adéquat
est mis en place. D’ailleurs, les principes de gouvernement d’entreprise de
l’Organisation pour la Coopération et le Développement Économique (OCDE)
précise que le conseil d’administration doit remplir certaines fonctions
essentielles, incluant entre autres, le fait de garantir que « …. L’entreprise est
dotée de dispositifs de contrôle adéquats, en particulier de dispositifs de gestion
des risques et de contrôle financier et opérationnel, ainsi que de respect du droit
et des normes applicables »25.
25
Principes de gouvernement d’entreprise de l’OCDE, OCDE, 2OO4, page 25,
,http://www.oecd.org/fr/gouvernementdentreprise/affairesdentreprises/principesdegouvernementdentreprise/3165
2074.PDF , site web consulté le 13 septembre 2012
Page 54
Le rôle du conseil ne doit pas se confondre ni s’effacer par rapport au rôle

de la direction générale qui reste le premier responsable de la mise en place du
contrôle interne. En effet, un pilotage et une supervision permanente du contrôle
interne de la part de la direction générale constituent des éléments essentiels de
ce système. Cependant, le conseil d’administration ne peut pas s’appuyer
entièrement sur ce processus de pilotage pour honorer ses responsabilités, il doit
recevoir régulièrement de la part de la direction générale, des rapports de revue
de contrôle interne.
3.3 Les meilleures pratiques de la gouvernance d’entreprise en matière

de contrôle interne : le comité d’audit
3.3.1 Définition des champs d’intervention du comité d’audit

Les entités sont confrontées à de nombreux risques inhérents à la nature de
leur activité, à l’environnement dans lequel elles évoluent et à des difficultés
provenant d’autres sources. Les facteurs internes, tels que l’environnement de
contrôle et la qualité des processus comptables ainsi que les facteurs externes,
comme les conditions économiques et les changements intervenant dans la
réglementation, présentent des risques qui affectent les rapports financiers. Ce
sont ces risques – ceux qui peuvent entraîner des erreurs importantes,
intentionnelles ou accidentelles, dans les états financiers de l’entreprise – sur
lesquels les comités d’audit portent une attention particulière.
Ainsi, les contrôles, permettent d’assurer la qualité des principaux rapports

financiers, relèvent clairement de la responsabilité du comité d’audit. Toutefois,
les processus de contrôle interne des entreprises ont un sens plus large et sont
axés sur la réalisation des objectifs liés à leurs activités et à la conformité aux
Lois et aux réglementations en vigueur. Certains comités d’audit peuvent choisir
de limiter leur rôle au premier des trois domaines, tandis que d’autres
l’étendront au deuxième ou encore au troisième. Si le champ de responsabilité
Page 55
du contrôle interne peut varier d’une entreprise à l’autre, il est cependant

essentiel que le conseil d’administration et le comité d’audit aient déterminé,
sans ambiguïté, l’étendue des responsabilités incombant à ce dernier, en matière
de Contrôle interne. Une charte d’audit définissant, clairement, l’étendue des
responsabilités du comité d’audit en accord avec le conseil d’administration,
serait, donc, essentielle, afin d’éviter les malentendus ou les lacunes dans le rôle
de supervision globale du conseil.
3.3.2 Relation avec l’auditeur interne

La fonction d’audit interne constitue une ressource précieuse pour le comité
d’audit. Elle est, d’une part une source d’information, mais elle est aussi
ressource qui peut assister le comité d’audit lorsqu’il envisage d’effectuer des
enquêtes spéciales.
The Institue of Internal Auditors a définit l’audit interne comme étant « Une
activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer et contribue à créer de la valeur ajoutée. Il aide cette organisation à
atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle et de
gouvernement d’entreprise et en faisant des propositions pour renforcer son
efficacité26 ».
Le rôle de l’audit interne se décline par rapport au contrôle interne. Il

consiste à détecter les points faibles de la chaine d’excellence, laquelle est
garantie par la cohérence interne de chacun des maillons qui la constituent, ainsi
que par la cohérence entre ces derniers qui sont la stratégie, les politiques,
l’organisation, les systèmes, les procédures et leur application effective.
26
Théorie et pratique de l’audit interne, Jacques RENARD-Editions d’organisation, Paris 2007, page 51
Page 56
Bien qu’il n’ait pas la première responsabilité au niveau de l’élaboration ou

du fonctionnement du système de contrôle interne, l’audit interne joue un rôle
important dans l’évaluation de son efficacité. En examinant la façon dont
fonctionnent les processus de management des risques, de contrôle interne et de
gouvernement d’entreprise, l’audit interne apporte des informations utiles aux
dirigeants et un soutien précieux aux comités d’audit.
D’autre part, le comité d’audit joue un rôle important dans la supervision de

la fonction d’audit interne. Il passe en revue sa structure organisationnelle, ses
qualifications et son efficacité. S’il n’existe pas de fonction d’audit interne dans
une entreprise, le comité d’audit doit reconsidérer périodiquement cette décision
avec la direction.
3.3.3 Sélection des membres du comité d’audit

Afin d’assurer l’efficacité du comité d’audit, les administrateurs, qui le
composent, doivent avoir les compétences et les connaissances requises, le sens
du discernement, l’indépendance, ainsi que d’autres qualités, y compris un haut
niveau d’implication.
En effet, les administrateurs doivent envisager de dédier un temps et une

énergie considérables au comité d’audit, s’ils acceptent leur nomination en tant
que membre de ce dernier. Ils doivent accepter de constater le temps nécessaire
pour se familiariser avec le processus de contrôle interne et de préparation des
états financiers, de préparer et d’assister aux réunions et de prendre part aux
activités du comité d’une manière ou d’une autre, dés que le besoin s’en fait
sentir. Pour mener à bien leurs fonctions, les membres du comité d’audit doivent
avoir une compréhension et des connaissances dans le domaine financier et
comptable. D’autres qualités que ces membres doivent posséder sont les
suivantes :
 Faire preuve de degré d’intégré élevé ;
Page 57
 Etre conscient de l’importance que revêt le rôle du comité ;

 Faire preuve de curiosité et être doté d’un esprit indépendant : poser les
bonnes questions tout en étant perspicace dans l’interprétation des
réponses ; et
 Etre en mesure de proposer des nouvelles perspectives et de faire des
suggestions constructives.
Afin de pouvoir renforcer la performance du comité d’audit, la sélection de

ses membres est devenue un élément d’attention majeur. Selon la meilleure
pratique, les membres du comité d’audit devraient être nommés par le conseil
d’administration ou un comité des nominations constitué, exclusivement,
d’administrateurs indépendants. Etant donné que la fonction principale du
comité d’audit est la supervision de la direction dans les domaines de contrôle
interne et de préparation des états financiers, la nomination des nouveaux
membres par président directeur général pourrait compromettre l’indépendance
du comité et le priver de candidatures de qualité.
3.3.4 Indépendance du comité d’audit

Le comité d’audit est chargé, entre autres fonctions, de superviser le
processus de contrôle interne et, à ce titre, est souvent amené à remettre en
question le jugement de la direction ou à prendre une position qui peut aller à
l’encontre de celle-ci. Il doit agir dans l’intérêt des actionnaires. Face à ce rôle,
il apparaît clairement que le bon fonctionnement du comité d’audit repose sur
son indépendance.
Une indépendance totale du comité d’audit n’assure pas, à elle seule,

l’efficacité de ce dernier. Toutefois, avoir un comité, dont les membres sont
responsables envers la direction, accroît le risque d’un manque d’indépendance.
En effet, les membres du comité peuvent être réticent à poser les questions
nécessaires et à insister jusqu’à ce qu’ils obtiennent des réponses. Par
Page 58
conséquent, un comité, composé uniquement d’administrateurs indépendants,

constitue la solution optimale et la meilleure pratique. De tels administrateurs
sont plus, à même d’offrir un point de vue objectif, indispensable à l’efficacité
du comité.
Comment doit-on définir l’indépendance des membres du comité d’audit ?

De nombreuses règles ont été élaborées pour définir l’indépendance d’un
administrateur. Elles s’accordent à dire qu’un administrateur est indépendant
lorsqu’il n’entretient aucune relation, de quelque nature que ce soit, avec la
société, son groupe ou sa direction, qui puisse compromettre l’exercice de sa
liberté de jugement. Ainsi par administrateur indépendant, il faut entendre, non
pas seulement un administrateur non exécutif c'est-à-dire n’exerçant pas de
fonctions de direction de la société ou de son groupe, mais encore dépourvu de
lien particulier (actionnaire significatif, salarié, autre) avec ceux-ci.
Les entreprises ou les conseils d’administration doivent faire la part entre

l’avantage d’avoir des membres expérimentés pour superviser les activités
complexes du comité d’audit et le risque d’avoir des membres qui, après de
longues années de service, ne sont plus à la large ou se complaisent dans une
certaine suffisance. A cet effet, un certain rythme de rotation des membres du
comité serait visiblement convenable.
3.3.5 Situation du comité d’audit en Tunisie

La création d’un comité permanent d’audit est obligatoire, selon les
dispositions de l’article 256 bis du CSC27, pour les sociétés suivantes :
 Les sociétés faisant appel public à l’épargne à l’exclusion des sociétés

classées comme telles du fait de l’émission d’obligations ;
27
Ajouté par l’article 12 de la Loi n° 2005-96 du 18 octobre 2005 relative au renforcement de la sécurité des
relations financières
Page 59
 La société mère lorsque le total de son bilan au titre des états financiers
consolidés dépasse un montant fixé par décret28 ;
 Les sociétés qui remplissent les limites chiffrées fixées par décret relative
au total bilan et au total de leurs engagements auprès des établissements
de crédit et de l’en-cours de leurs émissions obligatoires29.
Le comité permanent d’audit veille au respect par la société de la mise en

place d’un système de contrôle interne performant de nature à promouvoir
l’efficience, l’efficacité, la protection des actifs de la société, la fiabilité de
l’information financière et le respect des dispositions légales et réglementaires.
Le comité assure le suivi des travaux des organes de contrôle de la société,
propose la nomination du ou des commissaires aux comptes et agrée la
désignation des auditeurs internes.
Le comité permanent d’audit est composé de trois membres au moins,

désignés selon le cas par le conseil d’administrateur ou le conseil de surveillance
parmi leurs membres.
Ne peut être membre du comité permanent d’audit, le président directeur

général ou le directeur général ou le directeur général adjoint.
Les membres du comité permanent d’audit peuvent recevoir, en

rémunération de l’exercice de leur activité, une somme fixée et imputée selon
les conditions mentionnées à l’article 204 du CSC relatif aux jetons de présence.
28
Le décret n°2006-1546 du 6 juin a fixé le montant du total bilan au titres des états financiers consolidés à
cinquante millions de dinars
29
Le décret n°2006-1546 du 6 juin a fixé les limites chiffrés :
- Cinquante millions de dinars pour le total du bilan ; et
- Vingt cinq millions de dinars pour le total des engagements auprès des établissements de crédit et l’en-
cours des émissions obligatoires.
Page 60
Chapitre Deuxième :Le contrôle interne :exigence

réglementaire et évolution du concept
Section 1 : Les dispositions issues des Lois de renforcement de la
sécurité financière sur le contrôle interne
1.1 Le contexte réglementaire international et national
1.1.1 Les principales dispositions issues de la Loi Sarbanes-Oxley « SOX »
1.1.1.1 Section 302 : Certification des états financiers (Corporate

Responsibility For Financial Reports)
Aux termes de la section 302 de la Loi Sarbanes-Oxley « SOX », le
Directeur Général (chief executive officer : CEO) et Directeur Financier (Chief
Financial Officer : CFO) de l’entité doivent préparer une déclaration,
accompagnant le rapport des auditeurs, qui certifie la validité des états financiers
et des indications hors bilan contenues dans le rapport annuel (ou les rapports
périodiques). Cette déclaration doit aussi signaler que les états financiers
présentent de manière sincère, dans tous leurs aspects significatifs, la situation
financière et les résultats de l’activité de l’entité.
Cet article qui impose une certification des états financiers par les dirigeants
a également des conséquences en matières de contrôle interne puisque les
dirigeants attestent qu’ils :
 Sont responsables de la mise en place et du maintien du contrôle interne ;

 Ont conçu ce contrôle de telle sorte que toute information significative
concernant l’entité et les sociétés consolidées est connue par les
dirigeants, notamment pendant la période de préparation des rapports
périodiques ;
 Ont évalué l’efficacité du contrôle interne de l’entité à moins de 90 jours
de la publication des rapports ; et
Page 61
 Ont présenté dans leur rapport leurs conclusions concernant l’efficacité du

contrôle interne fondées sur leur évaluation.
En outre, les dirigeants doivent signaler aux auditeurs et au comité d’audit

les déficiences dans le contrôle interne et les fraudes liées au contrôle interne .
Enfin, les dirigeants doivent mentionner dans leur rapport s’il y a eu des
changements significatifs dans le contrôle interne après la date d’évaluation.
1.1.1.2 Section 404 : Evaluation du contrôle interne (Management

Assessment of Internal Controls)
La section 404 de la Loi Sarbanes-Oxley « SOX » exige que chaque rapport
annuel contienne un rapport sur le contrôle interne qui :
 Confirme que la direction est responsable de la mise en place et de la

gestion d’une structure de contrôle interne adéquate et de procédures pour
la communication financière ; et
 Contienne une évaluation de l’efficacité de la structure de contrôle interne
et des procédures de communication financière, à la date de clôture des
comptes.
Quant aux auditeurs, ils doivent faire une attestation, dans leur rapport, sur
l’évaluation du contrôle interne réalisée par la direction de l’entité.
1.1.1.3 Conséquences de la loi Sarbanes-Oxley sur l’organisation de

l’entreprise
L’objectif de la Securities and Exchange Commission (SEC)30 avec la Loi
Sabanes-Oxley est, rappelons-le, de s’assurer qu’une entité met bien en place les
procédures nécessaires à la collecte, l’analyse et la diffusion de toute qui doit
être incluse dans les rapports financiers. En conséquence, en raison de
l’obligation de certifier les états financiers par la direction de l’entité (section
30
La SEC est l’organisme fédéral américain de réglementation et de contrôle des marchés financiers. C’est en
quelque sorte le « gendarme de la bourse » américain
Page 62
302 de la Loi), les sociétés doivent considérer le fait d’adopter des procédures
internes particulières pour délivrer ces certifications.
Dans ce contexte, le directeur général et le directeur financier doivent

discuter avec le comité d’audit, le conseil d’administration et les auditeurs
externes, toute déclaration concernant les états financiers de l’entité mentionnée
dans les rapports périodiques.
Si l’on en vient au contrôle interne, la Loi oblige les entités à évaluer, sous
la responsabilité de la direction, l’efficacité de la conception et la mise en place
des procédures de contrôle. Cette évaluation a pour objectif d’identifier les
points faibles de chaque procédure ainsi que toute faiblesse qui puisse mettre en
cause la capacité de l’entité à collecter, analyser et révéler l’information exigée
dans un délai de temps défini. Tout changement dans les procédures de contrôle,
y compris les actions correctives qui ont été prises suite à l’identification de
faiblesse ou déficiences, doit également être évalué. Avant la publication du
rapport annuel, les résultats de cette évaluation doivent être communiqués et
réexaminés par la direction et par le conseil d’administration de l’entité.
La SEC ne propose pas de procédures spécifiques pour diriger cette

évaluation. Chaque entité doit plutôt développer les procédures qui s’adaptent le
mieux à sa gestion et au déroulement de ses activités. Néanmoins, la SEC
propose la création d’un comité dépendant de la direction qui serait responsable
de l’évaluation du caractère significatif des informations obtenues (materiality
of information) et de la détermination de l’opportunité de leur publication
(determining disclosure obligations on a timely basis).
Enfin, les exigences de la Loi Sarbanes-Oxley sur la validation du contrôle

interne augmenteront sensiblement le coût de l’audit pour les groupes cotés aux
Etats-Unis. Les auditeurs voudront avoir la certitude que le processus de
contrôle choisi par le management est rigoureux, ce qui comportera un
Page 63
renforcement des vérifications. Les contrôles financiers devront être dûment

documentés et communiqués à toutes les personnes concernées, et leur efficace
testée. Inévitablement, ces lourdes procédures risquent de focaliser l’attention du
management sur la forme des contrôles, et de faire passer au deuxième plan le
contenu.
1.1.2 Les principales dispositions issues de la Loi française de la

sécurité financière « LSF »
Dans le contexte de l’adoption de la Loi Sarbanes-Oxley aux Etats-Unis, un
projet de Loi sur la sécurité financière a été diffusé au Sénat le 5 février 2003. Il
a été adopté sous la forme de la Loi n°2003-706 du 1er août 2003 de sécurité
financière (JO du 2 août 2003)31. Le texte a pour ambition de ramener la
confiance sur les marchés financiers, ébranlés par la crise ouverte née des
scandales financiers aux Etats-Unis. Les différentes dispositions s’articulent
autour de trois axes :
1. La modernisation des autorités de contrôle avec la création de l’Autorité
des Marchés Financiers ;
2. Le renforcement de la sécurité des épargnants ; et
3. L’amélioration du contrôle des comptes des entreprises.
Nous nous intéressons plus particulièrement au troisième aspect de la Loi. Dans

le titre III « Modernisation du contrôle légal des comptes et transparence »,
chapitre II « De la transparence dans les entreprises », l’article 117 de cette Loi
prévoit deux dispositions qui concernent le contrôle interne :
- « L’article L.225-37 est complété par un alinéa ainsi rédigé : " Le

président du conseil d’administration rend compte, dans un rapport joint
au rapport mentionné aux articles L.225-100, L.225-102, L.225-102-1
31
Le texte intégral de la Loi, du projet de Loi, des amendements, des comptes rendues de débats ainsi que des
rapports parlementaires concernant cette réforme est disponible sue les sites internet du Sénat (www.senat.fr) et
de l’Assemblé Nationale (www.assemblee-nationale.fr)
Page 64
L.233-26 des conditions de préparation et d’organisation des travaux du

conseil ainsi que des procédures de contrôle interne mises en place par la
société" »32.
- L’article L.225-68 est complété par un alinéa ainsi rédigé : " Le président
du conseil de surveillance rend compte, dans un rapport joint au rapport
mentionné à l’alinéa précédent et à l’article L.233-26, des conditions de
préparation et d’organisation des travaux du conseil ainsi que des
procédures de contrôle interne mises en place par la société ". Précisions
que l’article L.225-37 concerne les sociétés anonymes tandis que l’article
L.225-68 vise les sociétés anonymes à directoire. En outre, ces
dispositions entrent en vigueur pour les exercices comptables ouverts à
partir du 1er janvier 2003. Le rapport sera donc présenté en 2004, lors de
l’assemblée générale des actionnaires statuant sur les comptes 2003.
Concernant, le rapport sur le contrôle interne devra être joint au rapport de

gestion. Cette formule offre l’ouvrage de rendre public le rapport joint, puisqu’il
sera déposé au greffe comme le rapport de gestion. Par ailleurs, l’article 120 de
la Loi prévoit que « l’article L .225-235 du code de commerce est ainsi
modifié : Il est complété par un alinéa ainsi rédigé : " Les commissaires aux
comptes présentent, dans un rapport joint au rapport mentionné au deuxième
alinéa de l’article L.225-100, leurs observations sur le rapport mentionné, selon
la cas, à l’article L.225-37 ou à l’article L.225-68, pour celles des procédures de
contrôle qui sont relatives à l’élaboration et au traitement de l’information
32
Cette obligation ne s’impose plus pour les sociétés ne faisant pas appel public à l’épargne :
- L’article 7 de la Loi n°2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l’économie
a en effet modifié l’article L.225-37 du code de commerce pour y introduire cette novation ;
- L’article 26 de la Loi n°2008- 649 du 3juillet 2008 comme suit « Dans les sociétés faisant appel public
à l’épargne, le président du conseil d’administration rend compte, dans un rapport mentionné aux article
L.225-100, L.225-102, L.225-102-1 et L.223-26, de la composition, des conditions de préparation et
d’organisation des travaux du conseil, ainsi que des procédures de contrôle interne et de gestion des
risques mises en place par la société, en détaillant notamment celles procédures qui relatives à
l’élaboration et au traitement de l’information comptable et financière pour les comptes sociaux et, le
cas échéant, pour comptes consolidés. Sans préjudice des dispositions de l’article L.225-56, ce rapport
indique en outre les éventuelles limitations que le conseil apporte aux pouvoirs du directeur général ».
Page 65
comptable et financière" ». Ce texte prévoit que le rapport consignant les

observations du commissaire aux comptes sur les procédures de contrôle interne
de la société sera joint au rapport du commissaire aux comptes sur la
certification des comptes. Notons que la mission du commissaire aux comptes
est étendue et va au-delà de la certification traditionnelle de la régularité, de la
sincérité et l’image fidèle des comptes. Cependant, la Loi restreint l’intervention
de commissaire aux comptes aux procédures de contrôle interne qui sont liées à
l’information comptable et financière.
1.1.3 Les principales dispositions issues de la Loi Tunisienne sur la

sécurité financière « LRRSRF »
Les différents apports de la LRRSRF se sont articulés autour de trois axes
principaux : le renforcement de l’indépendance des commissaires aux comptes,
le renforcement de la transparence financière en instituant de nouvelles
obligations en matière de divulgation et la réforme des règles en matière de
gouvernement d’entreprise.
L’objectif assigné à cette Loi est la modernisation de la gestion des

entreprises, l’encouragement de l’investissement et la mise en place d’une
politique de divulgation financière aux fondements clairs. Cette Loi a une
préoccupation qui constitue la visée de la deuxième section de ce chapitre à
savoir : l’obligation pour le conseil d’administration de fournir des éléments sur
le contrôle interne dans le rapport de gestion.
Parmi les principales dispositions de cette Loi nous citons :
- L’obligation de désigner un commissaire aux comptes pour toutes les

sociétés commerciales compte tenu de leurs tailles et ce dans le cas ou
elles remplissent au moins deux critères parmi trois relatifs au total bilan,
total produit et l’effectif moyen des employés ;
Page 66
- Le renforcement de l’indépendance des commissaires aux comptes et ce

par la mise en place du principe de la limitation des mandats de
commissariat à trois fois pour les auditeurs experts comptables,
personnes physiques, et à cinq fois pour les sociétés d’expertise
comptable ;
- Le renforcement et la responsabilisation des dirigeants sociaux par
l’instauration de l’obligation de la signature de la déclaration annuelle de
la part des organes de direction et les chargés des affaires financières et
comptables des sociétés commerciales qui sont tenues de désigner un
commissaire aux comptes membre de l’Ordre des Experts Comptable.
Cette déclaration est présentée aux commissaires aux comptes pour
attester que les signataires ont fourni les diligences nécessaires pour
garantir l’exhaustivité et la conformité des états financiers à la législation
comptable. Cette déclaration peut être considérée comme un indicateur
pour les investisseurs et les bailleurs de fonds sur la bonne gestion de la
firme et la bonne allocation de ses ressources ;
- L’obligation pour les sociétés signalées ci-après de mettre en place un
comité permanent d’audit. Il s’agit :
 Des sociétés faisant appel public à l’épargne à l’exception de
sociétés classées comme telles du fait de l’émission d’obligation ;
 De la société mère lorsque le total de son bilan au titre des états
financiers consolidés dépasse cinquante millions de dinars ;
 Des sociétés qui remplissent les limites chiffrées fixées par décret
relatives au total de leurs émissions obligatoires. Ces limites sont
de cinquante millions de dinars pour le total du bilan et de vingt
millions de dinars pour le total des engagements33 ;
- Le renforcement du dispositif du registre de commerce dans le sens
d’obliger les personnes physiques et morales qui appliquent la gestion
33
Décret n°2006-1546 du 6 juin 2006, portant application des dispositions de l’article 256 bis du CSC
Page 67
comptable en vigueur, de déposer, en annexe au registre de commerce et

en double exemplaire, les états financiers qu’elles sont tenus d’établir
conformément aux Lois et règlement y afférent, la liste des actionnaires
ou des associés dont la participation est supérieure à une proportion
donnée ;
- Les dispositions ayant trait à l’amélioration de la transparence financière
consistent en un renforcement des obligations mises à la charge des
entreprises faisant appel public à l’épargne en matière de divulgation et de
communication financière. Il convient de rappeler dans ce cadre, qu’en
vertu de l’article 21 nouveau de la Loi 94-117 (introduit par l’article 18 de
la LRRSRF n° 2005/96) les sociétés dont les titres du capital ou donnant
accès au capital admis à la cote de la bourse, sont tenues de déposer, au
conseil du marché financier et à la bourse mobilière de Tunis ou leur
adresser, outre les documents prévus à l’article 3 de ladite Loi, des
indicateurs d’activités fixés selon les secteurs, par règlement du conseil du
marché financier, et ce au plus vingt jours après à la fin de chaque
trimestre de l’exercice comptable.
1.1.4 Comparaison entre les Lois SOX, LSF et LRRSRF

La comparaison entre les Lois de sécurité financière (SOX, LSF, LRRSRF)
est présentée sous forme d’un tableau. Ce tableau résume les principales
caractéristiques du rapport à établir et des éléments sur le contrôle interne qui
doit comporter le rapport en vertu de la Loi américaine, française, et tunisienne.
Page 68
Loi Sarbanes-Oxley (USA) Loi sur la sécurité Loi sur la sécurité des
financière (France) relations financière
(Tunisie)
Champs Sociétés cotées SA faisant APE (1) SA faisant APE cotées ou
d’application non cotées
(2)
Périmètre DCP et le contrôle interne sur - Contrôle interne dans son Contrôle interne dans son
relatif au l’information financière ensemble pour les ensemble pour les
Contrôle entreprises. entreprises et le CAC.
interne - Procédures relatives à
l’information financière
uniquement pour les CAC.
Définition du Non Non Non
Contrôle Mais utilisation obligatoire d’un Pas de référentiel reconnu Pas de référentiel reconnu
interne référentiel reconnu ; mention du obligatoire obligatoire
(3)
COSO par la SEC
Responsable CEO (4) et CFO (5) Président du CA ou du CS Le conseil
du ou des d’administration ou le
rapports directoire
(6)
Date 2004 pour les DUSR 2003 2005
(7)
d’application 2005 pour les FPI
Contrôle par Certification du rapport de la Observation sur le rapport de Evaluation générale du
le CAC et direction portant sur le contrôle la direction portant sur le contrôle interne et
niveau interne relatif au reporting contrôle interne du traitement observation sur le rapport
d’assurance financier. de l’information financière. du conseil
Assurance positive Assurance limitée avec d’administration.
formulation d’observation.
(1) APE : appel public à l’épargne
(2) DCP : « Disclosure controls and procedures » (contrôles et procédures relatifs à l’élaboration
de toute l’information publiée)
(3) SEC : « Securities and Exchange Commission »
(4) CEO : « Chief Executive Officer » (Directeur general)
(5) CFO : « Chief Financial Officer » ( Directeur financier)
(6) DUSR : « Domestic US registrants » (sociétés américaines immatriculées aux Etats-Unis)
(7) FPI : « Foreign Private Issuers » (Sociétés étrangères immatriculées aux Etats-Unis)
Page 69
1.2 Les nouvelles obligations sur le contrôle interne pour les sociétés
Tunisiennes
1.2.1 Les nouvelles obligations d’informations

En vertu des dispositions de l’article 15 de la Loi n°2005-96 relative au
renforcement de la sécurité des relations financière (LRRSRF) du 18 octobre
2005, modifiant l’article 3 de la Loi n°94-117 du 14 novembre 1994 portant
réorganisation du marché financier, le rapport de gestion des sociétés faisant
appel public à l’épargne contient obligatoirement les informations arrêtées par le
règlement général du conseil du marché financier, et plus particulièrement un
exposé sur les résultats des activités, et leur évolution prévisible et
éventuellement les changements de méthodes d’élaborations des états financiers,
ainsi que des éléments du contrôle interne.
Dans l’article 15 de la LRRSRF, sont abrogées les dispositions de l’article 3

de la Loi n°94-117 du 14 novembre 1994 susvisées et remplacées par les
dispositions suivantes :
Article 3 (nouveau) : « Sans préjudice des dispositions relatives aux

organismes de placement collectif en valeurs mobilières, les sociétés faisant
appel public à l’épargne sont tenues de déposer ou d’adresser, sur supports
papiers et magnétique, au Conseil du Marché Financier (CMF) et à la Bourse
des Valeurs Mobilières de Tunis (BVMT) prévue par l’article 63 de la présente
Loi, dans un délai de quatre mois, au plus tard, de la clôture de l’exercice
comptable et quinze jours, au moins, avant la tenue de l’assemblée générale
ordinaire :
 L’ordre du jour et le projet des résolutions proposées par le conseil

d’administration ou par le directoire ;
 Les documents et les rapports prévus, selon le cas, par les articles 201 ou
235 du code des sociétés commerciales et l’article 471 dudit code. Le
Page 70
rapport annuel sur la gestion de la société doit comporter les informations

arrêtées par règlement du Conseil du Marché Financier et
particulièrement, un exposé sur les résultats des activités, leur évolution
prévisible et éventuellement les changements des méthodes d’élaboration
et de présentation des états financiers, ainsi que des éléments sur le
contrôle interne ;
 Les rapports du ou des commissaires aux comptes visés, selon le cas, aux
articles 200, 269 et 472 du code des sociétés commerciales. Les dits
rapports doivent contenir une évaluation générale du contrôle interne.
1.2.2 Les sociétés concernées par l’obligation d’information

Ces dispositions sont expressément applicables aux sociétés faisant appel
public à l’épargne qu’elles soient cotées ou non cotées à la bourse.
La notion de l’appel public à l’épargne est définie par l’article premier de la

Loi n° 94-117 du 14 novembre 1994 portant réorganisation du marché financier
comme suit : « Sont réputés sociétés ou organisme faisant appel public à
l’épargne :
 Les sociétés qui sont déclarées comme telles par leurs statuts ;
 Les sociétés dont les titres sont admis à la cote de la Bourse ;
 Les banques et les sociétés d’assurances quel que soit le nombre de leurs
actionnaires ;
 Les sociétés dont le nombre d’actionnaires est égal ou supérieur à cent ;
 Les organismes de placement collectif en valeurs mobilières ;
 Les sociétés et les organismes autres que les organismes de placement
collectif en valeurs mobilières qui, pour le placement de leurs titres,
recourent soit à des intermédiaires, soit à des procédés de publicité
quelconques, soit au démarchage.
Page 71
1.2.3 Périmètre et nature d’information

Le rapport de gestion doit comporter des éléments du contrôle interne de la
société, mais aussi du groupe, lorsque la société mère est tenue d’établir des
comptes consolidés.
Il peut donc concerner des filiales qui ne font pas appel public à l’épargne
et ce dans le cas où la société mère consolidant fait appel public à l’épargne.
Ainsi le rapport du commissaire aux comptes de la société mère menant la

consolidation doit contenir une évaluation générale du contrôle interne.
L’expression « ainsi que des éléments sur le contrôle interne» couvre

l’intégrité du contrôle interne, et ne se limite pas à l’information financière.
En revanche, pour le rapport annuel établi en application de la Loi Sarbanes-

Oxley, seul le contrôle interne , sur l’information financière, est concerné, ainsi
pour la Loi française, le rapport doit contenir des procédures de contrôle interne
et de gestion des risques mises en place par la société, en détaillant notamment
celles de ces procédures qui sont relatives à l’élaboration et au traitement de
l’information et au traitement de l’information comptable et financière.
Toutefois, la Loi ne donne pas de définition de contrôle interne et ne précise

pas le type d’information (description et/ou évaluation) qui doit être fourni.
En France, un groupe de travail a donc été créé par le MEDEF et l’AFEP

afin de tenter de normaliser les notions de contrôle interne et de son auto-
évaluation par l’entreprise. L’Autorité des Marchés Financiers (AMF) a
également réfléchi aux modalités de la diffusion de ces informations auprès du
public par les sociétés faisant appel public à l’épargne.
Les textes de Loi font l’objet d’interprétations divergentes sur ce point.
Page 72
Les éléments sur le contrôle interne doit être joint dans le rapport de gestion
de la société et au rapport de gestion du groupe, le cas échéant. Mais la Loi ne
précise pas quelle devrait en être la forme.
Dans ce cas l’initiative quant à la forme du rapport de gestion est donc

laissée aux entreprises.
La LRRSRF met à la charge des sociétés faisant appel public à l’épargne

l’obligation de déposer ou d’adresser ces documents et rapports, sur supports
papiers et magnétique, au CMF et BVMT dans un délai de quatre mois, ou plus
tard, de la clôture de l’exercice comptable et quinze jours, au moins, avant la
tenue de l’assemblée générale ordinaire. Rappelons qu’en vertu des dispositions
de l’article 275 du CSC, l’AGO de la SA doit se réunir au moins une fois par
année et dans les six mois qui suivent la clôture de l’exercice comptable.
Ainsi, le rapport de gestion obéit au régime de diffusion suivante :

 Présentation à l’assemblée générale (Article 201 du CSC) ;
 Communiqué au commissaire aux comptes (Article 201 du CSC) ;
 Envoi aux actionnaires qui en font la demande ou mise à leur disposition
(Article 284 du CSC) ;
 Déposer au greffe du tribunal en annexe au registre de commerce par la
société mère.
1.3 Les nouvelles obligations sur le contrôle interne pour le commissaire

aux comptes
1.3.1 Les obligations sur le contrôle interne avant la promulgation de

LRRSRF
La notion de contrôle interne a été déjà évoquée par le législateur tunisien
dans certains textes de Loi et avant la promulgation de la Loi n°2005-96 relative
Page 73
au renforcement de la sécurité des relations financières (LRRSRF) du 18

octobre 2005 :
1. Le décret n°87-529 du 1er avril 1987, fixant les conditions et les modalités
de la révision des comptes des établissements publics à caractère
industriel et commercial et des sociétés dont le capital est totalement
détenu par l’Etat.
En effet l’article 6 du décret stipule : « Les réviseurs désignés en vertu des
dispositions du présent décret, ont l’obligation de s’assurer de manière
permanente de la fiabilité du système de contrôle interne et de procéder
annuellement aux investigations nécessaires en vue d’apprécier
notamment les procédures administratives, financières, et comptables en
vigueur au sein de l’établissement ou de la société. Les modalités
d’établissement des budgets de fonctionnement et d’investissement ainsi
que celles afférentes à la passation des marchés font obligatoirement
partie des procédures examinées. Les remarques, observations et
conclusions du réviseur relatives au contrôle interne et aux procédures
doivent être consignées dans un rapport distinct à adresser, en 20
exemplaires, au conseil d’administration de l’établissement ou de la
société deux mois au plus tard après la fin de chaque exercice ».
2. La norme comptable générale n°1 préconisée par les articles 4 et 7 de la
Loi 96-112 du 30 décembre 1996 relative au système comptable des
entreprises :
Aux termes de cette norme, «l’organisation générale d’une entité suppose
l’existence d’un système de contrôle interne efficace dont l’une des
composantes est constituée par l’organisation et la tenue de la
comptabilité financière. En effet, l’un des objectifs de tout système de
contrôle interne, outre l’efficacité et l’efficience des opérations et la
Page 74
conformité à la réglementation en vigueur, c’est la fiabilité de

l’information comptable ».
3. L’article 38 du règlement général de la BVMT, tel que modifié par
l’arrêté du ministre des finances du 24 septembre 2005, exige que « Les
sociétés dont les titres font l’objet d’une demande d’admission au marché
(BVMT), doivent justifier l’existence :
 D’un manuel de procédures d’organisation, de gestion, et
divulgation des informations financières ;
 D’une structure d’audit interne qui doit faire l’objet d’une
appréciation du commissaire aux comptes dans son rapport sur le
système interne de la société ;
 D’une structure de contrôle interne ».
4. La Loi n° 2005-65 du 27 juillet 200, modifiant et complétant le code des
sociétés commerciales et précisément les modifications apportées à
l’article 266 du dit code, constituent un changement de fond de la
perception du contrôle interne par le législateur tunisien et du rôle qu’il
peut jouer dans le renforcement du rapport de confiance entre les
investisseurs locaux ou étrangers et l’entreprise tunisienne. Aux termes de
cet article « … le commissaire aux comptes certifie la sincérité et la
régularité des comptes annuels de la société conformément à la Loi en
vigueur relative au système comptable des entreprises. Il vérifie
périodiquement l’efficacité du système de contrôle interne 34 ».
34
Dans le cadre des travaux parlementaires ayant précédé l’adoption de la Loi de juillet 2005, les précision
suivantes ont été apportées concernant l’étendue de la mission de vérification du contrôle interne .
: ‫السؤال‬
‫ مع‬, ‫ في فقرته الثانية جديدة‬622 ‫تسأل اللجنة قيما تتمثل مهمة التأكد من نجاعة الرقابة الداخلية التي اسندت إلى مراقب الحسابات بمقتضى الفصل‬
.‫تحديد الدورية لهذه العملية‬
:‫الجواب‬
‫لقد أصبحت المعايير المعتمدة عرفيا و عالميا في مجال التدقيق و مراقبة الحسابات تقتضي ان ال يقتصر دور مراقبة الحسابات على مراجعة‬
‫ « أي كيفية تنظيم العمل‬système du contrôle interne » ‫المحاسبة (القوائم) بل تتعدى ذلك إلى مراقبة مدى نجاعة نظام الرقابة الداخلية‬
, ‫بين أعوان المؤسسة وهياكلها وكيفية إجراء الرقابة من قبل بعضها على بعض بما يمكن من تفادي األوضاع و األعمال التى تضر بمستقبل الشركة‬
.‫والتدفقات النقدية داخل الشركة ومسراتها وآليات الرقابة على العمليات المالية مع الحرفاء و المزودين‬
‫ ألن مراقبة الحسابات يعد مبدئيا تقريرا سنويا يرفع‬, ‫ أي بالتوازي مع مراقبة القوائم المالية‬, ‫وتقع مراقبة نجاعة أنظمة الرقابة الداخلية مرة كل سنه‬
.‫ وهو ال ينطبق علي هذا الفرع من المراقبة‬, ‫إلي الجلسة العامة السنوية إال إذا طلبت منه مهمة استثنائية متعلقة بعملية معينة‬
Page 75
1.3.2 Les obligations issues de LRRSRF sur le contrôle interne

Selon la LRRSRF, le rapport annuel sur la gestion de la société faisant appel
public à l’épargne doit comporter :
 Les informations arrêtées par règlement du CMF35 ;
 Un exposé sur les résultats des activités et leur évolution prévisible ;
 Eventuellement les changements des méthodes d’élaboration et de
présentation des états financiers ;
 Des éléments sur le contrôle interne.
Notons ici que la LRRSRF n’a pas précisé l’étendue des « éléments sur le
contrôle interne» devant être inclus dans le rapport annuel. Contrairement à la
Loi SOX qui prévoit l’obligation pour les dirigeants d’attester dans le rapport
annuel l’existence de procédures de contrôle interne effectives et adaptées à
l’évolution de l’efficacité de ce système.
La LRRSRF exige que les rapports des commissaires aux comptes

contiennent une évaluation générale du contrôle interne.
Il est à rappeler que la Loi n°2005-65 du 27 juillet 2005, modifiant et

complétant le code des sociétés commerciales a amendé l’alinéa 2 de l’article
35
Ces informations sont fixées par l’article 44 du règlement du CMF comme suit :
- Une brève description de l’activité de la société au cours du dernier exercice ;
- La situation de la société et son activité au cours de l’exercice écoulé ;
- Les résultats de son activité ;
- Les progrès réalisés ou les difficultés rencontrées ;
- Les activités de la société en matière de recherche et de développement ;
- L’évolution prévisible de situation de la société et les perspectives d’avenir ;
- Les événements importants survenus entre la date de clôture de l’exercice et la date à laquelle le rapport
a été établi ;
- Les modifications apportées aux modes de présentation ou des méthodes d’évaluation des comptes ;
- Les prises de participations ou les aliénations ;
- L’activité des sociétés dont elle assure le contrôle ;
- Les renseignements relatifs à la répartition du capital et des droits de vote ;
- Le tableau d’évolution des capitaux propres ainsi que des dividendes versés au titres des trois derniers
exercices ;
- L’information sur les conditions d’accès aux assemblées ;
- L’existence d’affectation statutaire spécifique des résultats avec mention des bénéficiaires et des
conditions d’octroi (dirigeants, salariés, fondateurs,…) ;
- L’intéressement du personnel ;
- Mention sur le déroulement des opérations de rachat et les effets que ces opération a engendré ;
- Evolution des cours de bourse et des transactions.
Page 76
266 en mettant à la charge du commissaire aux comptes de toutes les sociétés

commerciales qu’elles fassent appel public à l’épargne ou non, l’obligation de
vérifier périodiquement l’efficacité du système de contrôle interne. Mais cette
réforme de juillet 2005, du code des sociétés commerciales n’a pas prévu ni
l’obligation d’établir un rapport spécial sur le contrôle interne , ni celle d’inclure
une évaluation générale du contrôle interne dans le rapport général.
Partant de là et en combinant les dispositions de la Loi de juillet 2005 avec

celles de LRRSRF, il y a lieu de distinguer, en matière d’obligation légales
ayant trait au contrôle interne , entre les sociétés anonymes faisant APE et celles
ne le font pas :
- Pour les sociétés faisant appel public à l’épargne, le commissaire aux

comptes vérifie périodiquement l’efficacité du système de contrôle interne
et fait inclure dans son rapport général une évaluation générale du
contrôle interne. Dans ces sociétés, le conseil d’administration ou le
directoire établissent un rapport annuel qui doit comporter des éléments
sur le contrôle interne . Le commissaire aux comptes vérifie l’exactitude
des informations données sur les comptes de la société dans le rapport du
conseil ou le directoire.
- Pour les sociétés ne faisant pas APE, le commissaire aux comptes se
limite à vérifier périodiquement l’efficacité du système de contrôle interne
. Il n’est pas tenu légalement d’insérer une opinion sur ce système au
niveau de son rapport.
Page 77
Section 2 : Contrôle interne : naissance de cadre conceptuel et son

évolution et l’importance de l’audit informatique
2.1 Le référentiel international du contrôle interne
2.1.1 Naissance du concept COSO

C’est au Etats-Unis dans les années 80 et à la suite d’une série de
faillites « anormales », que le sénateur TREADWAY a très officiellement posé
la question : « ne peut-on trouver des règles, des modalités de gestion qui
permettent d’améliorer la situation actuelle ? ». Pour y répondre, on créa une
commission, la commission TREADWAY qui s’entoura d’un comité d’experts
(the Committee Of Sponsoring Organizations of the TREADWAY
Commission), désormais connu sous le sigle COSO. Il entreprit une étude sur
un cadre de contrôle. Ses travaux ont abouti en 1992, et ont été rassemblés dans
un ouvrage « The Internal Control Framework »36. Les autres grands pays
occidentaux Canada, Royaume-Uni ont suivi le mouvement à la fin des années
1990 et ont publié soit un référentiel de contrôle interne soit de bonnes
pratiques en la matière. On note essentiellement le « Turnbull guidance »
britannique, guide développé par l’ICAEW (l’institut des experts comptables
d’Angleterre et de pays de Galle) et publié en 1999. Il a fait l’objet d’une mise à
jour par le « Financial Reporting Council » en 2005.
2.1.2 La définition du contrôle interne selon le COSO

Le COSO donne la définition suivante au contrôle interne: « Le contrôle
interne est un processus mis en œuvre par la direction générale, la hiérarchie, le
personnel d’une entreprise, et destiné à fournir une assurance raisonnable quant
à la réalisation d’objectifs entrant dans les catégories suivantes :
- Réalisation et optimisation des opérations ;
36
Ouvrage traduit en français par l’IFACI (Institut Français de l’Audit et du contrôle interne » et
PricewaterhouseCoopers, en 1994 sous le titre «La pratique du contrôle interne -COSO Report »-Copyright en
français IFACI.
Page 78
- Fiabilité des informations financières ;

- Conformité aux Lois et aux réglementations en vigueur »37.
Cette définition repose sur certains concepts fondamentaux, à savoir :

- Le contrôle interne est un processus. Il constitue un moyen d’arriver à
ses fins et non pas une fin en soi ;
- Le contrôle interne est mis en œuvre par des personnes. Ce n’est pas
seulement un ensemble de manuels de procédures et de documents, il
est assuré par des personnes à tous les niveaux de la hiérarchie ;
- Le management, le conseil d’administration et le conseil de
surveillance ne peuvent pas attendre du contrôle interne qu’une
assurance raisonnable, et non une assurance absolue ;
- Le contrôle interne est axé sur la réalisation d’objectifs dans un ou
plusieurs domaines (ou catégories) qui sont distincts mais qui se
recoupent.
2.1.3 Le concept COSO et les Lois sur la sécurité financière

2.1.3.1 La loi Sarbanes-Oxley « SOX »
Soucieux de favoriser la fiabilité de l’information financière dans un
contexte généralisé de suspicion, le législateur américain a décidé de renforcer
les exigences imposées aux entreprises en matière de contrôle interne. La loi
SOX a ainsi imposé aux entreprises (entreprises américaines et étrangères)
cotées sur le marché américain de publier un rapport sur les procédures de
contrôle interne en matière comptable et financière (section 404 de la Loi
SOX). La charge de la rédaction de ce rapport incombe au management
opérationnel, en l’espèce à la direction générale (CEO) et à la direction
financière (CFO). Les dirigeants des sociétés cotées aux Etats-Unis doivent
désormais s’engager sur la qualité du contrôle interne et s’assurer de
37
Page 79
l’accessibilité des informations opportunes diffusées aux marchés par

l’intermédiaire d’un rapport.
La loi SOX va au-delà de la Foreign Corrupt Practices Act de 197738 qui

imposait déjà aux entreprises cotées de mettre en place un système de contrôle
interne adéquat. Mais celle-ci ne précisait ni ses modalités de mise en œuvre, ni
les conditions opérationnelles d’un contrôle efficace. La loi SOX constitue une
Loi de rupture par rapport à la tradition américaine basée sur l’autorégulation
des marchés et des professionnels.
Le contrôle interne a pour finalité de fournir une assurance raisonnable

quant à l’exécution correcte des décisions managériales et à la conformité des
états financiers aux principes comptables en vigueur.
Tirant les leçons des affaires Enron ou Worldcom, le législateur américain

entend favoriser la fiabilité de l’information financière en renforçant la
responsabilité des dirigeants. C’est pourquoi la Loi SOX se révèle pointilleuse
en imposant aux sociétés cotées aux états-Unis non seulement une description
mais également une évaluation de leurs procédures de contrôle interne
concernant les informations comptables et financières. Dans leur démarche, les
entreprises doivent en outre se fonder sur un référentiel reconnu. Le COSO
(Committee Of Sponsoring Organizations) est mentionné par l’autorité des
marchés américains, la SEC, comme le modèle à privilégier.
38
La Foreign Corrupt Practices Act (FCPA) de 1977 : c’est une Loi qui a été adoptée en 1997 dans le but de
rendre illégal pour certaines catégories de personnes et d’entités d’effectuer des paiements à des agents public
étrangers pour aider à obtenir ou conserver un marché. Plus précisément, les dispositions anti-corruption du
FCPA interdisent l’utilisation intentionnelle de la poste ou tout autre moyen de l’instrumentalité interactionnelle
de commerce inter-corruption dans la poursuite d’une offre, le paiement, la promesse de payer, ou l’autorisation
de paiement d’argent ou objets de valeur à toute personne, tout en sachant que la totalité ou une partie de cet
argent ou objet de valeur sera offert, donné ou promis, directement ou indirectement, à un fonctionnaire étranger
pour influencer l’agent public étranger dans la capacité de ses fonctions officielles.
La FCPA exige également que les sociétés dont les titres sont cotés aux Etats-Unis répondent aux dispositions
comptables. Ces dispositions comptables, qui ont été conçus pour fonctionner en tandem avec les dispositions
anti-corruption du FCPA, exige que les entreprises visées par ces dispositions :
- Etablir et tenir les livres et registres comptables qui donnent une image fidèle des opérations de la
société.
- Concevoir et maintenir un système adéquat de contrôles comptables internes.
Page 80
2.1.3.2 La Loi française de la sécurité financière « LSF »

Dans son rapport 2004 sur le gouvernement d’entreprise et le contrôle
interne, l’Autorité des Marché Financiers (AMF) note « qu’à la différence de la
gouvernance d’entreprise, qui bénéficie désormais de standards de place
auxquels les émetteurs peuvent se comparer, l’absence d’un référentiel
unanimement admis sur le Contrôle interne en rend la description plus difficile
et peut constituer un frein si l’on souhaite parvenir à terme à une évolution de
l’adéquation et l’efficacité des systèmes ».
Dans ce cadre, l’AMF a confié, en avril 2005, à un groupe de travail « de

Place » le choix et/ou l’adaptation d’un référentiel de contrôle interne à l’usage
er
des sociétés françaises soumises aux obligations de la Loi du 1 août en
précisant que « le référentiel devrait constituer un outil de gestion au service des
entreprises faisant appel public à l’épargne ».
Dans sa lettre de mission, l’AMF précise que « le référentiel élaboré ou

retenu devra se confronter aux référentiels utilisés dans les juridictions
étrangères significatives dans le domaine boursier, en particulier le référentiel
COSO, afin de permettre d’éviter dans la mesure du possible une duplication des
contraintes de reporting externe en relation avec le contrôle interne». Et le
régulateur ajoute que « l’objectif est également d’anticiper les initiatives
européennes figurant dans le projet de révision des 4 ème et 7ème directives39 ».
2.1.3.3 La Loi Tunisienne sur la sécurité financière « LRRSRF »

La loi relative au renforcement de la sécurité financière n’a pas exigé,
contrairement à ce qui a été prévu par la Loi Sarbanes-Oxley et la Loi sur la
sécurité financière française, l’établissement d’un rapport distinct sur le contrôle
39
La directive 2006/46/CE du 14 juillet 2006 modifiant les 4 ème directive (les comptes annuels) et 7ème directive
(les comptes consolidés) a établi les nouvelles obligations de publication d’information, notamment en matière
de contrôle interne et de gestion de risques et d’opérations avec les parties liées, institué une déclaration sur le
gouvernement d’entreprise et établi la responsabilité collective des membres des organes d’administration ou de
surveillance au titre des comptes, du rapport de gestion et de la déclaration sur le gouvernement d’entreprise.
Page 81
interne rédigé par le président du conseil d’administration. La formulation même

de « éléments de contrôle interne» n’est pas très claire quant aux informations
demandées et peut prêter à confusion.
Au-delà de la nécessité de se mettre en conformité avec une obligation

légale, cette partie du rapport de gestion relative au contrôle interne peut être
l’occasion pour le conseil d’administration de donner une vision claire des
procédures de Contrôle interne mise en place pour protéger le patrimoine et
préserver les actifs de l’entreprise, de façon à renforcer la confiance des
investisseurs. Il convient néanmoins de veiller à ce qu’elle n’entraîne pas des
coûts inutiles et ne se traduise par une surproduction d’informations illisibles
pour la majorité des lecteurs.
Se pose alors la question du caractère de ces informations : s’agit-il d’une

simple description ou d’une évaluation ? Les sens des termes « éléments sur le
contrôle interne » nous laissent plutôt penser qu’il s’agit d’une description. La
charge d’évaluer le contrôle interne étant assigné au commissaire aux comptes
(puisque l’article 3 nouveau de la Loi n°94-117 portant réorganisation du
marché financier stipule que le rapport de ce dernier doit contenir une évaluation
générale du contrôle interne).
La deuxième partie de la norme comptable générale NC 01 intitulée «

dispositions relatives à l’organisation comptable » constitue le seul référentiel
légal disponible en la matière. Cependant, les dirigeants et les professionnels
sont invités à se tourner vers le référentiel méthodologique du COSO, reconnu,
par ailleurs, comme étant la référence en matière de contrôle interne le plus
étoffée. Ce recours est d’autant plus encouragé que notre référentiel local
s’inspire largement des définitions et des principes énoncés par le COSO.
Page 82
2.2 Passage du référentiel international sur le contrôle interne(COSO) vers

l’approche de management des risques de l’entreprise (COSO II)
2.2.1 Définition du management des risques de l’entreprise

Le management des risques40 est un processus mis en œuvre par le conseil
d’administration, la direction générale, le management et l’ensemble des
collaborateurs de l’entité.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes
les activités de l’entité. Il est conçu pour identifier les événements potentiels
susceptibles d’affecter l’entité et pour gérer les risques dans les limites de son
appétence pour le risque. Il vise à fournir une assurance raisonnable quant à
l’atteinte des objectifs de l’entité41.
Cette définition reflète certains concepts fondamentaux. Le dispositif de

management des risques :
 Est un processus permanent qui irrigue toute l’entité ;

 Est mis en œuvre par l’ensemble des collaborateurs, à tous les niveaux de
l’entité ;
 Est pris en compte dans l’élaboration de la stratégie ;
 Est mis à chaque niveau et dans chaque unité de l’entité et permet
d’obtenir une vision globale de son exposition aux risques ;
 Est destiné à identifier les événements potentiels susceptibles d’affecter
l’organisation et à gérer les risques dans le cadre de l’appétence pour le
risque ;
40
Les événements peuvent avoir un impact positif, négatif ou les deux à la fois. Les événements ayant un impact
n égatif sont des risques pouvant freiner la création de valeur ou détruire la valeur existante. En revanche, les
événements ayant un impact positif peuvent contrebalancer des impacts négatifs ou constituer des opportunités.
41
IFACI/ PriceWaterhouseCoopers et Landwell et associés : « Le management ses risques de l’entreprise/cadre
de référence-techniques d’application-COSO II Report- »-Editions d’organisation, 2005, traduit de « COSO,
Entreprise Risk Management : Intregrated framework », page 5
Page 83
 Donne à la direction et au conseil d’administration une assurance

raisonnable quant à la réalisation des objectifs de l’organisation ;
 Est orienté vers l’atteinte d’objectifs appartenant à une ou plusieurs
catégories indépendantes mais susceptibles de se recouper.
Selon le COSO, la gestion des risques d’entreprise n’est pas une fin en soi,
mais représente plutôt la mise en œuvre de moyens importants. Elle est exécutée
en relation avec le gouvernement d’entreprise par la fourniture au conseil
d’administration sur les risques les plus significatifs et sur la manière dont ces
risques sont maîtrisés. Elle entre aussi en relation avec la direction exécutive par
la fourniture des mesures relatives aux risques et aux ajustements. Enfin, elle est
en relation avec le contrôle interne de l’entité qui fait partie intégrante de la
gestion des risques d’entreprise.
2.2.2 Les objectifs de gestion de risques de l’entreprise

La gestion des risques est un levier de management de la société qui contribue
à:
 Créer et préserver la valeur, les actifs et la réputation de la société :

La gestion des risques permet d’identifier et d’analyser les principales
menaces et opportunités potentielles de la société. Elle vise à anticiper
les risques au lieu de les subir, et ainsi à préserver la valeur, les actifs et
la réputation de la société.
 Sécuriser la prise de décision et les processus de la société pour

favoriser l’atteinte des objectifs :
La gestion des risques vise à identifier les principaux événements et
situations susceptibles d’affecter de manière significative la réalisation
des objectifs de la société. La maîtrise de ces risques permet ainsi de
favoriser l’atteinte des dits objectifs.
Page 84
La gestion des risques est intégrée aux processus décisionnels et

opérationnels de la société. Elle est un des outils de pilotage et d’aide à
la décision.
La gestion des risques permet de donner aux dirigeants une vision
objective et globale des menaces et opportunités potentielles de la
société, de prendre des risques mesurés et réfléchis et d’appuyer ainsi
leurs décisions quant à l’attribution des ressources humaines et
financières.
 Favoriser la cohérence des actions avec les valeurs de la société :
De nombreux risques sont le reflet d’une marque de cohérence entre les
valeurs de la société et les décisions et les actions quotidiennes. Ces
risques affectent principalement la crédibilité de la société.
 Mobiliser les collaborateurs de la société autour d’une vision
commune des principaux risques et les sensibiliser aux risques
inhérents à leur activité42.
2.2.3 L’approche pour pouvoir gérer les risques de l’entreprise

Il appartient à chaque entité de mettre en place un dispositif de gestion des
risques à ses propres caractéristiques.
Le dispositif de gestion des risques prévoit :
2.2.3.1 L’identification des risques de l’entreprise

L’identification des risques est une étape permettant de recenser et de
centraliser les principaux risques, menaçant l’atteinte des objectifs. Un risque
représente une menace ou une opportunité manquée. Il se caractérise par un
événement, une ou plusieurs sources et une ou plusieurs conséquences.
L’identification des risques s’inscrit dans une demande continue.
42
Autorité des Marchés Financiers : « Les dispositifs de gestion des risques et de contrôle interne », 14 juin
2010, page 6
Page 85
2.2.3.2 Evaluation des risques

L’évaluation des risques est une étape consistant à examiner les
conséquences potentielles des principaux risques (conséquences qui peuvent être
financières, humaines, juridiques ou réputation) et à apprécier leur possible
occurrence. Cette démarche est continue.
2.2.3.3 Le choix des stratégies envers les risques identifiés

Le choix des stratégies envers les risques identifiés est une étape permettant
de choisir le(s) plan(s) d’action le(s) plus adapté(s) à la société. Pour maintenir
les risques dans les limites acceptables, plusieurs mesures peuvent être
envisagées : la réduction, le transfert, la suppression ou l’acceptation d’un
risque. Le choix de traitement s’effectue notamment en arbitrant entre les
opportunités à saisir et les coûts des mesures de traitement du risque, prenant en
compte leurs effets possibles sur l’occurrence et/ou les conséquences du risque.
2.2.4 Lien entre la gestion des risques d’entreprise et le contrôle

interne mis en place par l’entité
La définition de la gestion des risques d’entreprise donnée par le COSO
dans son référentiel présente le contrôle interne comme un sous-ensemble de la
gestion des risques d’entreprise.
Page 86
Référentiel du COSO
Objectifs Référentiel de gestion des Référentiel de contrôle
risques d’entreprise en vue interne en vue de maîtriser
d’établir une stratégie les risques
Objectifs Existe N’existe pas
stratégique
Réalisation et Réalisation et optimisation des Réalisation et optimisation des
opérations, incluant des opérations, incluant des
optimisation
objectifs de performance et de objectifs de performance et de
rentabilité. rentabilité.
Fiabilité Fiabilité de toutes les Fiabilité des informations
informations produites par financières
l’entité incluant les
informations internes et
externes, financières et non
financières
Conformité Conformité aux lois et aux Conformité aux lois et aux
réglementations en vigueur réglementations en vigueur
Tableau : relation entre la gestion des risques d’entreprise et le contrôle

interne , selon les référentiels du COSO43
Le tableau présente les objectifs similaires du contrôle interne et de la
gestion des risques d’entreprise. Le référentiel de la gestion des risques
d’entreprise spécifie trois objectifs identiques à ceux indiqués dans le référentiel
du contrôle interne , tout en assignant à la gestion des risques d’entreprise des
objectifs plus larges concernant l’information.
En outre, le référentiel de gestion des risques d’entreprise indique un

objectif supplémentaire relatif à la stratégie, objectif considéré comme ayant le
plus haut niveau d’importance. La connaissance des objectifs et de la stratégie
de l’entité sont nécessaires à la mise en place d’un contrôle interne et celui-ci est
la manifestation concrète de la gestion des risques des entreprises.
43
Mohamed HAMZAOUI « gestion des risques d’entreprise et contrôle interne »-édition pearson education
France, 2010, page 82
Page 87
Selon la norme ISA 315, les risques d’entreprise résultent, lorsqu’ils sont
significatifs, des conditions, des événements, des circonstances et des actions
(ou de leur absence) qui peuvent compromettre la capacité de l’entité à atteindre
ses objectifs et à mettre en œuvre ses stratégies, ainsi que du choix erroné des
objectifs et stratégies.
Par ailleurs, la conduite des activités d’une entité est dynamique et, tout
comme l’environnement externe, elle évolue et entraine, par conséquent, des
changements d’objectifs et stratégies, ce qui est également source de risques
d’entreprise.
2.3 L’audit informatique outil privilégié du contrôle interne

2.3.1 Les trois domaines de l’audit informatique et leur apport au
contrôle interne
2.3.1.1 Audit de la stratégie informatique
L’objectif de l’audit de la stratégie informatique est de s’assurer que le
système d’information est en ligne avec la stratégie de l’entreprise, avec ses
enjeux et ses risques spécifiques. Il ne suffit pas d’avoir des processus maîtrisés
et conformes aux règles de l’art pour produire le système d’information
pertinent. Force est de constater que ce résultat est fortement lié à l’organisation
de l’entreprise, à sa culture et à la maturité de la fonction informatique.
Aussi l’audit informatique, dans son acception la plus complète, doit-il

analyser la pertinence du système d’information lui-même, c’est –à dire
l’efficacité de l’appui qu’il fournit aux différents processus de l’entreprise, et la
pertinence des efforts et des investissements consentis pour le faire évoluer et
l’adapter aux besoins nouveaux ou futurs.
2.3.1.2 Audit de la fonction informatique

L’objectif de l’audit de la fonction informatique est de s’assurer que son
organisation et ses processus sont pertinents et conformes aux règles de l’art,
Page 88
qu’il s’agisse des processus de planification, de pilotage, de développement de

nouvelles applications, de mise à disposition des services ou de support.
Notons que la fonction informatique et les processus à prendre en compte

englobent, bien au-delà des équipes informatiques internes, l’intervention des
dirigeants et des maîtrises d’ouvrage métiers, et l’ensemble des acteurs externes
(éditeurs, prestataires et fournisseurs) qui contribuent au bon fonctionnement du
système d’information.
Il faut également souligner que la capacité du système informatique à bien

fonctionner doit intégrer sa capacité à évoluer et notamment pour prendre en
compte les changements propres à l’informatique : évolutions des technologies,
nouveaux logiciels et progiciels, changements de versions,….
La qualité de fonctionnement et l’efficacité actuelles et futures des processus

de l’entreprise dépendent ainsi étroitement de la qualité des processus de la
fonction informatique. L’audit de la fonction informatique constitue dès lors un
point d’action essentiel du contrôle interne.
2.3.1.3 Audit des processus informatisés de l’entreprise

Le troisième domaine de l’audit informatique a pour objectif de s’assurer
que le système d’information est sûr : les missions menées dans ce domaine
portent principalement sur la sûreté de fonctionnement, et les contrôles
embarqués dans les applications, devenus des points d’attention majeurs du
contrôle interne.
La sûreté du fonctionnement de l’outil informatique est en effet une des

conditions clés de la continuité des activités de l’entreprise, certaines
défaillances pouvant aller jusqu’à mettre en cause sa survie :
- Les pannes informatiques causent des dommages directs ;
Page 89
- Les pertes de données accidentelles sont généralement irréparables si

des sauvegardes suffisantes n’ont pas été mises en œuvre ;
- Le réseau informatique, nécessairement ouvert au monde extérieur
(relations clients et fournisseurs, utilisation généralisée de la
messagerie, ….) est devenu le point d’entrée d’attaques incessantes.
La sûreté du fonctionnement informatique doit donc être appréciée sous tous

ses aspects (disponibilité des systèmes, continuité de service, fiabilité, sécurité),
et ici encore en s’intéressant non seulement à la situation actuelle, mais aussi
risques liés aux évolutions futures.
Ainsi à l’issue de ce survol rapide des trois domaines de l’audit

informatique, l’importance des objectifs de contrôle confirme son apport
essentiel au contrôle interne .
2.3.1.4 Relation entre système informatique et contrôle interne

On constate le développement accéléré des systèmes d’informations poussés
par les progrès rapides des technologies informatiques. Ils sont devenus
l’ossature des entreprises. La plupart des opérations effectuées se font à l’aide
des outils informatiques disponibles. Les applications de gestion, en particulier
les ERP, structurent profondément la manière de travailler et déterminer la
manière dont se font les échanges avec les différents partenaires. Elles
contribuent à la structuration des processus de l’entreprise.
On a ainsi progressivement pris conscience de l’importance de leur rôle dans

le fonctionnement de l’entreprise. Traditionnellement les opérations étaient
analysées par fonction : les comptables, les gestionnaires du personnel, les
acheteurs, le planning de production, les méthodes,…progressivement les
processus ont structuré les opérations de façon à les enchaîner de manière
transverse. C’est une mutation majeure dans l’approche classique des
organisations. Au lieu de structurer les opérations par les fonctions, elles sont
Page 90
organisées par processus. Cela permet d’avoir une vision d’ensemble des
activités de l’entreprise.
Pour cela il est nécessaire de suivre le flux des données d’un bout à l’autre
de l’entreprise et mettre en place des contrôles d’étape en étape. Il est aussi
possible de contrôler les bases de données qui stockent ces informations. C’est
le cœur de la démarche de contrôle interne des systèmes d’informations.
Son but est de s’assurer que tout se passe bien. C’est aussi le rôle de l’audit
informatique. Les démarches à mettre en œuvre sont très voisines. Les
entreprises doivent mettre en place des procédures adaptées. Elles interviennent
de trois manières différentes :
- L’informatique est un élément clé de la gouvernance d’entreprise. Pour

améliorer son efficacité, on doit s’efforcer de renforcer la maîtrise de
l’informatique.
- Les contrôles propres à l’informatique, y compris les procédures de
sécurité, permettent d’améliorer la qualité et l’efficacité des différentes
activités de l’entreprise.
- On insère de plus en plus souvent des contrôles « embarqués » dans la
plupart des traitements informatisés. Ces contrôles permettent de mieux
maîtriser les opérations gérées par l’entreprise et donc d’améliorer son
efficacité.
2.3.2 Le contrôle interne en environnement informatisé

2.3.2.1 Les contrôles généraux
Les contrôles généraux informatiques sont les contrôles qui contribuent de
manière significative à l’efficacité des contrôles directs individuels. Ils ne visent
directement les objectifs de contrôle et ne servent donc pas eux même à fonder
la conviction de l’auditeur, mais permettent à ce dernier de savoir si les
Page 91
faiblesses éventuelles dégagées ne réduisent pas l’efficacité et la fiabilité des

contrôles directs.
Aussi, les contrôles généraux informatiques ne s’exercent pas au niveau

d’un cycle particulier et peuvent avoir, par conséquent, une incidence diffusée
sur les divers traitements réalisés par le système.
En effet, « si ces contrôles ne sont pas efficaces, des erreurs peuvent se

produire et passer inaperçues dans les diverses applications. C’est pourquoi des
défaillances dans les contrôles informatiques généraux peuvent empêcher de
vérifier efficacement les contrôles prévus pour certaines applications44 ».
Cet aspect de l’audit informatique ne s’agit pas d’examiner les contrôles

généraux de façon isolée mais lors de l’évaluation de la qualité des contrôles
directs. En effet, si l’auditeur estime qu’un contrôle direct constitue un contrôle
clef potentiel, il doit déterminer s’il peut aussi s’appuyer sur les contrôles
généraux s’y rapportant. Ainsi, il est généralement plus efficace d’examiner les
contrôles généraux une fois les contrôles directs clefs identifiés.
2.3.2.2 Les contrôles applicatifs

Les contrôles d’application garantissent l’intégrité de l’information. Ils
peuvent être définis comme étant des contrôles assurant que seulement les
données complètes, exactes et valides sont saisies et mises à jour dans le
système informatique, que le traitement a été correctement accompli, que les
résultats du traitement satisfont les attentes et que l’intégrité de données est
maintenue.
Nous rappelons que les principales caractéristiques des contrôles

d’application sont les suivantes :
44
IFAC : Directive Internationale d’Audit n°1008 : « Evaluation du risque et contrôle interne : caractéristiques
et considérations sur l’informatique ».
Page 92
- Ils s’exercent au niveau d’un cycle ou d’une transaction ;

- Ils visent directement et spécifiquement les objectifs de contrôle (ils
peuvent également viser d’autres objectifs d’audit tel que la séparation
des exercices) ;
- Ils peuvent être manuels ou automatisés.
Les contrôles d’application qui sont couverts par l’audit informatique sont
portants sur les outputs des systèmes et sur les procédures de contrôles
programmés et les contrôles manuels s’y rattachant.
L’assurance que les contrôles programmés sont correctement conçus peut

être obtenue directement à travers la répétition ou indirectement à travers les
résultats des tests sur les contrôles généraux informatiques portant sur les
procédures de développement et de mise en place de nouveaux systèmes.
Page 93
DEUXIEME PARTIE : EVALUATION DU

SYSTEME DU CONTROLE INTERNE DANS
LE CADRE D’UNE MISSION D’AUDIT DES
ETATS FINANCIERS
Page 94
Chapitre Premier : Nature de l’intervention du commissaire

aux comptes et sa responsabilité
Section 1 : Etendue des textes réglementaires se rapportant à
l’intervention du CAC en matière du contrôle interne
1.1 Préface sur les textes réglementaires et les normes professionnelles
régissant l’évaluation du système du contrôle interne par le CAC dans le
cadre d’une mission d’audit
1.1.1 Sociétés visées par l’évaluation de son système de contrôle

interne
Il est à rappeler que la loi n° 2005-65 du 27 juillet 2005, modifiant et
complétant le Code des Sociétés Commerciales a amendé l’alinéa 2 de l’article
266 en mettant à la charge du commissaire aux comptes de toutes les sociétés
commerciales qu’elles fassent appel public à l’épargne ou non, l’obligation de
vérifier périodiquement l’efficacité du système de contrôle interne . Mais cette
réforme de juillet 2005, du code des sociétés commerciales n’a pas prévu ni
l’obligation d’établir un rapport spécial sur le contrôle interne , ni celle d’inclure
« une évaluation générale du contrôle interne » dans le rapport général.
Partant de là et en combinant les dispositions de la loi de juillet 2005 avec

celles de LRRSRF, il y a lieu de distinguer, en matière d’obligation légale ayant
trait au contrôle interne , entre les sociétés anonymes faisant appel public à
l’épargne et celles qui ne le font pas :
 pour les sociétés faisant appel public à l’épargne, le commissaire aux

comptes vérifie périodiquement l’efficacité du système de contrôle interne et
fait inclure dans son rapport général une évaluation générale du contrôle
interne. Dans ces sociétés, le conseil d’administration ou le directoire
établissent un rapport annuel qui doit comporter des éléments sur le contrôle
interne . Le commissaire aux comptes vérifie l’exactitude des informations
Page 95
données sur les comptes de la société dans le rapport du conseil

d’administration ou du directoire.
 Pour les sociétés ne faisant pas appel public à l’épargne, le commissaire aux
comptes se limite à vérifier périodiquement l’efficacité du système de
contrôle interne. Il n’est pas tenu légalement d’insérer une opinion sur ce
système au niveau de son rapport.
1.1.2 Etendue de l’obligation de l’évaluation du système du contrôle

interne
La loi n’a pas précisé s’il y a lieu d’établir un rapport spécial sur le contrôle
interne comme c’est le cas pour les entreprises publiques45 ou s’il suffisait
d’inclure dans le rapport général une simple opinion sur ce contrôle interne .
Alors compte tenu de la généralité de l’obligation mise à la charge du
commissaire aux comptes, il semble que la volonté du législateur soit allée vers
la deuxième interprétation.
La loi SOX est alors plus explicite quant à la nature de l’opinion du

commissaire aux comptes, elle oblige ce dernier à apprécier les quatre éléments
qui figurent dans le rapport des dirigeants. Il doit en particulier veiller à ce que
l’affirmation des dirigeants concernant l’efficacité des procédures et la réalité de
leur bon fonctionnement soit donnée sous une forme affirmative : il n’est pas
accepté une formule telle que « nous n’avons pas relevé d’éléments laissant
penser que le contrôle interne n’est pas efficace ».
45
Le dernier alinéa de l’article 6 du décret n° 87-529 du 1er avril 1987 fixant les conditions et les modalités de la
révision des comptes des établissements publics à caractère industriel et commercial oblige les réviseurs à
consigner leurs remarques, observations et conclusions relatives au contrôle interne et aux procédures dans un
rapport distinct à adresser, en 20 exemplaires, au conseil d’administration de l’établissement ou de la sociétés
deux mois au plus tard après la fin de chaque exercice.
Page 96
Dans son rapport l’auditeur exprime son opinion sur les deux éléments
suivants46 :
 L’affirmation des dirigeants concernant l’efficacité des procédures et la

réalité de leur bon fonctionnement ;
 L’efficacité des procédures et la réalité de leur bon fonctionnement.

Le législateur français a aussi confié le soin aux commissaires aux comptes
de rédiger un rapport, joint à leur rapport général, présentant leurs observations
sur « les procédures de contrôle interne qui sont relatives à l’élaboration et au
traitement de l’information comptable et financière ». La nature de
l’intervention du commissaire aux comptes français a fait l’objet d’un avis rendu
par le Haut Conseil du Commissariat aux Compte français le 23 mars 2004. Il
précise que le contrôle interne faisant l’objet du rapport du commissaire aux
comptes a un champ plus restreint que celui sur lequel porte le rapport du
président puisqu’il ne porte que sur les procédures de contrôle interne relatives à
l’élaboration et au traitement de l’information comptable et financière47.
1.1.3 Portée des normes professionnelles
1.1.3.1 Selon la norme 7 de l’Ordre des Experts Comptable de Tunisie

Dans le cadre d’une mission d’audit des états financiers, le commissaire aux
comptes rédige une lettre dans laquelle il porte à la connaissance du conseil
d’administration :
 Les failles significatives du contrôle interne relevées lors de l’exécution

de la mission.
 Les irrégularités et inexactitude et.
46
A. MIKOL, « le Public Company Accounting Oversight Board et le contrôle interne », Revue Française de
Comptabilité, n° 367, juin 2004, P. 13
47
F. BOBET et C. FLAGEUL, « le rapport du président sur le contrôle interne », (première et deuxième partie),
Revue Française de Comptabilité, n° 366, p.8 & n° 367, p.6
Page 97
 Notamment les redressements qui paraissent devoir être apportés aux états
financiers avant leur présentation aux actionnaires.
L’examen de la lettre du commissaire aux comptes par le conseil

d’administration et l’application des recommandations retenues rendant
nécessaire sa transmission 30 jours au moins avant l’assemblée48
1.1.3.2 Selon les normes de l’IFAC

L’auditeur doit déterminer si, sur la base des travaux d’audit effectués, il a
relevé une ou plusieurs déficiences du contrôle interne.
Lorsque l’auditeur a relevé une ou plusieurs déficiences dans le contrôle

interne , il doit déterminer, sur la base des travaux d’audit effectués, si, pris
individuellement ou ensemble, elle constituent des faiblesses significatives49.
L’auditeur doit communiquer par écrit, et en temps opportun, aux personnes

constituant la gouvernance d’entreprise les déficiences majeures dans le
contrôle interne qu’il a relevées au cours de l’audit »50.
Dans sa communication écrite faisant état des déficiences importantes du

contrôle interne , l’auditeur doit fournir :
- Une description des déficiences et leurs incidences potentielles ;

- Des informations suffisantes pour permettre aux responsables de la
gouvernance et à la direction de comprendre le contexte de la
communication. À cet égard, l’auditeur doit notamment préciser :
 Que l’audit avait pour objectif l’expression d’une opinion par
l’auditeur sur les états financiers ;
48
Ordre Des Experts Comptable et Des Commissaires Aux Comptes de TUNISIE : Norme 7 « Diligences des
Commissaires Aux Comptes en matière de rapport sur les comptes sociaux »
49
une faiblesse ou ensemble de faiblesses du contrôle interne qui, selon le jugement professionnel de l’auditeur,
est suffisamment importante pour mériter l’attention des personnes constituant le gouvernance de l’entreprise
50
IFAC : paragraphe 9 de la norme ISA 265 : communication des déficiences du contrôle interne aux personnes
de la gouvernance et à la direction
Page 98
 Que l’audit a comporté la prise en considération du contrôle interne

portant sur la préparation des états financiers afin de concevoir des
procédures d’audit appropriées aux circonstances, et non dans le but
d’exprimer une opinion sur l’efficacité du contrôle interne ;
 Que sa communication se limite aux déficiences qu’il a relevées au
cours de l’audit et qui, selon lui, étaient suffisamment préoccupantes
pour nécessiter leur communication aux responsables de la
gouvernance.
1.1.4 Nature et objectif de l’intervention du CAC : validation de

l’évaluation du contrôle interne par le conseil d’administration et leur
certification par le CAC
Il s’agit pour le commissaire aux comptes de donner en premier lieu leur
avis sur l’évaluation de l’efficacité du contrôle interne préparé par la société et
en second lieu de faire part de leur propre évaluation du contrôle interne.
L’efficacité du contrôle interne relatif à la préparation des états financiers repose
sur l’absence de déficiences majeures de contrôle interne. Par conséquent
l’auditeur doit obtenir une assurance raisonnable qu’aucune déficience majeure
n’existe à la date de l’évaluation du contrôle interne par la société.
Dans ce contexte, le commissaire aux comptes doit, d’une part revoir

l’approche retenue par la société et valider les conclusions du conseil
d’administration et d’autre part se forger de façon indépendante une opinion sur
l’efficacité du contrôle interne. Afin d’atteindre le deuxième objectif, le
commissaire aux comptes organise ses travaux et notamment l’obtention
d’éléments probants de façon indépendante. Même si le commissaire aux
comptes en revoyant les travaux d’évaluation réalisés obtient de nombreux
éléments probants, ceci n’est pas suffisant. Le commissaire aux comptes ne peut
donc totalement reprendre les travaux réalisés par la société et se borner à les
contrôler.
Page 99
1.2 Responsabilité du commissaire aux comptes

La Loi tunisienne de sécurité financière, les commissaires aux comptes des
sociétés faisant appel public à l’épargne verront leurs mandats s’élargir pour
contenir la présentation au niveau de leurs rapports, d’une évaluation générale
du contrôle interne .
Certes, cette nouvelle information, relative au contrôle interne consignée

dans les rapports du commissaire aux comptes, serait de taille pour renforcer la
confiance dans la fiabilité de l’ensemble des informations diffusées par
l’entreprise et essentiellement de ses états financiers. Cette sollicitation du
commissaire aux comptes pour mettre en œuvre certaines diligences spécifiques
en vue d’évaluer le système de contrôle interne s’accompagne en tout évidence
d’une augmentation de sa responsabilité.
L’examen de l’élargissement de la responsabilité du commissaire aux

comptes sera envisagée en discernant entre :
 La responsabilité civile ;
 La responsabilité pénale ;
 La responsabilité disciplinaire.
1.2.1 La responsabilité civile du commissaire aux comptes

D’une façon générale, compte tenu de l’importance des missions confiées au
commissaire aux comptes, ce dernier engage sa responsabilité civile dés lors
qu’il a commis une faute dans l’accomplissement de sa mission conformément à
la Loi ou qu’il a manqué à des diligences qu’on attendrait de lui. En effet,
l’article 6 de la Loi 88- 108 du 18 août 1988 portant refonte de la législation
relative à la profession d’Expert Comptable dispose que « les personnes inscrites
au tableau de l’Ordre assument la responsabilité de leurs travaux ». Par ailleurs,
dans le cadre du mandat de commissariat aux comptes, le code des sociétés
commerciales dispose d’une part dans son article 258 que « les commissaires
Page 100
aux comptes vérifie sous sa responsabilité », Et d’autre part dans son article 272
que « les commissaires aux comptes sont responsables tant à l’égard de la
société qu’à l’égard des tiers des conséquences dommageables des négligences
et fautes par eux commises dans l’exercice de leurs fonctions ».
Afin de pouvoir apprécier les conséquences sur la responsabilité du

commissaire aux comptes d’une nouvelle disposition mettant à sa charge la
présentation d’une évaluation du contrôle interne au niveau de son rapport, il
serait intéressant de se demander de prime abord :
 Dans le cadre d’une mission de certification des comptes, quelles sont les
conséquences du non appréciation par le commissaire aux comptes de
contrôle interne ?
 Quelles sont les diligences mises en œuvre par le commissaire aux
comptes suite à la découverte de déficiences de contrôle interne ?
S’agissant de la première interrogation, du moment que les textes législatifs

ainsi que les normes d’audit d’usage s’accordent à exiger au commissaire aux
comptes qu’il mette en œuvre certaines diligences se rapportant à l’examen et à
l’appréciation du système du contrôle interne , il ne serait pas étonnant que la
responsabilité civile du commissaire aux comptes soit mise en cause en cas de
manquement à ces diligences.
D’ailleurs d’un point de vue jurisprudentiel51, il a été considéré, dans une

affaire dans laquelle une société a été victime d’un détournement de fonds
effectué par son comptable salarié, que le commissaire aux comptes qui n’avait
pas effectué des contrôles suffisants au regard des normes professionnelles,
notamment en ce qui concerne l’appréciation du contrôle interne de la société
peut être déclaré responsable de la totalité des détournements. En effet, entre la
51
Cours de cassation- chambre commerciale, Audience publique du 15/01/2002, N° pourvoi : 98- 21832,
www.legifrance.gouv.fr, site web consulté le 15 Novembre 2012
Page 101
faute de CAC et le préjudice subi par la société, en affirmant que l’insuffisance

quantitative des diligences effectuées par le CAC concernant l’appréciation du
contrôle interne et les sondages, avait contribué, pour partie, à la réalisation du
dommage en ne permettent pas de détecter les détournements.
S’agissant de la deuxième interrogation, relative aux diligences mises en

œuvre par le CAC suite à la découverte de déficiences de contrôle interne ,
notons en premier lieu, que ce dernier adresse une lettre de direction uniquement
au conseil d’administration pour l’informer de ces déficiences de contrôles. Ce
document n’est pas adressé à l’assemblée des actionnaires qui vont toujours
ignorer l’existence de ces déficiences. En deuxième lieu, le CAC doit exclure de
sa démarche d’audit toute forme d’appui sur ces contrôles défectueux et il doit
concevoir et mettre en œuvre d’autres procédures substantives d’audit pour
satisfaire son objectif d’audit des états financiers.
A ce niveau, nous nous demandons en quoi une présentation au niveau du

rapport du CAC d’une évaluation du contrôle interne , pourrait augmenter sa
responsabilité plus qu’elle ne l’est à l’état actuel ?
Premièrement, le CAC ne devrait plus s’abstenir de mentionner dans son

rapport adressé à l’assemblée des actionnaires, toutes les déficiences de contrôle
interne qu’il a relevées du moment que ces déficiences ont un effet non
négligeable sur l’efficacité du contrôle interne. En effet, le fait de s’abstenir de
les mentionner conduirait le CAC à présenter une évaluation inappropriée du
contrôle interne. De ce fait, le jugement porté par le CAC sur le contrôle interne
serait perçu comme étant une appréciation positive ne faisant pas apparaître des
déficiences de contrôle interne. Par conséquent, ce jugement pourrait induire en
erreur les lecteurs des rapports du CAC.
Deuxièmement, le CAC devrait mettre en œuvre les diligences nécessaires

lui permettant d’évaluer le contrôle interne dans toutes ses composantes qui sont
Page 102
l’environnement de contrôle, l’appréciation des risques, les activités de contrôle,

l’information et la communication et enfin le pilotage. Ces diligences doivent
être conçues dans le but d’atteindre un objectif propre à l’évaluation du contrôle
interne permettant au CAC d’avoir un niveau de certitude raisonnable que toutes
les déficiences, ayant un effet non négligeable sur l’efficacité de contrôle
interne, ont été identifiées. Ces diligences sont nécessairement différentes de
celles mises en œuvre dans le cadre de certification des comptes même si les
techniques et les procédures d’audit utilisées peuvent se ressembler. En effet,
dans une mission de certification des comptes, les diligences mises en œuvre en
rapport avec le contrôle interne concourent à la réalisation d’un objectif
permettant au CAC d’avoir un niveau de certitude raisonnable que toutes les
inexactitudes ayant un effet non négligeable sur les états financiers, ont été
identifiées.
Par conséquent, ayant pris connaissance de ces nouvelles obligations, le

CAC doit se souvenir que sa responsabilité civile pourrait être mise en cause si
les trois conditions nécessaires pour engager cette responsabilité sont réunies. La
première condition est celle de la faute qui peut résulter d’un manquement à
l’obligation d’une part de mentionner dans son rapport une évaluation
appropriée et d’autre part de mettre en œuvre des diligences spécifiques. La
seconde condition est celle du préjudice subi par le demandeur. Enfin, la
troisième condition est l’existence d’un lien de causalité entre la faute du CAC
et le préjudice allégué.
Toutefois, l’exercice et le respect judicieux de ces nouvelles obligations par

le CAC ne doivent pas ignorer les aspects suivants :
 C’est la société qui assume la pleine responsabilité de la mise en place et

du maintien d’un système de contrôle interne adéquat. Par conséquent, la
société est le premier responsable de l’identification et la correction des
Page 103
déficiences de contrôle interne. A cet égard, et en aucun cas, le CAC ne

doit pas se substituer à la place de la société ;
 Dans le but de ne pas compromettre son indépendance, le CAC doit
s’interdire de fournir à l’entreprise ses services pour l’aider ou l’assister
dans l’accomplissement de ses obligations en matière de contrôle interne.
En effet, lors de la réalisation de l’évaluation du contrôle interne, le CAC
ne doit pas appuyer son jugement sur des travaux qu’il aurait lui-même
effectués au profit de la société tels que la documentation des processus et
des contrôles, la conception de nouveaux contrôles, la réalisation de tests
des contrôles ;
 Etant donné que les diligences, mises en œuvre par le CAC pour évaluer
le contrôle interne, s’intègrent dans la mission de certification des
comptes, cette évaluation du contrôle interne sera limitée à ceux relatifs à
l’élaboration et au traitement de l’information financière et comptable ;
 Le CAC a une obligation de moyens et non de résultat. De ce fait, il ne
pourrait pas être tenu responsable de toutes les déficiences de contrôle
interne non identifiées au cours de l’exercice normal des diligences
nécessaires en la circonstance.
1.2.2 La responsabilité pénale du commissaire aux comptes

L’application du droit pénal propre au CAC suppose que le CAC ait failli à
l’une de ses obligations fondamentales, par action ou par omission. Le droit
pénal étant d’interprétation stricte, seuls les délits expressément définis par la
Loi ou les contraventions déterminées par les textes réglementaires, peuvent
servir de fondements textuels, puis le cas échéant, à la condamnation.
Ainsi, selon les textes de Lois, la responsabilité pénale du CAC pourrait être
engagée dans l’une des circonstances suivantes :
Page 104
 Délit de confirmation ou de communication d’informations mensongères

sur la situation de la société (Article 271 du CSC) ;
 La non révélation de faits délictueux dont il aura eu connaissance au
procureur de la république (Article 271 du CSC) ;
 La non révélation des menaces qui pèsent sur la société à la commission
de suivi des entreprises économiques (Article 55 de la Loi n°95- 34 du
17/04/1995 tel que modifié par l’article 3 de la loi 2003- 79 du
29/12/2003).
En se référant aux dispositions de la Loi de sécurité financière, il faut

signaler que la responsabilité pénale du CAC pourrait être mise en cause si ce
dernier confirme ou communique des informations mensongères sur le
contrôle interne, au sens de l’article 271 du CSC cité ci-dessus.
Vraisemblablement, l’émission d’un jugement inapproprié sur le contrôle
interne serait une illustration d’une confirmation ou d’une communication
d’une information mensongère. Dans de telles circonstances, la peine
encourue est un emprisonnement d’un an à cinq ans et une amende de mille
deux cent dinars à cinq mille dinars ou l’une de ces deux peines seulement.
Par conséquent, il va falloir prendre conscience de l’ampleur des
conséquences du non respect de cette nouvelle obligation qui sera mise à la
charge du CAC.
A ce stade nous demandons, quel serait l’intérêt d’associer l’introduction

d’une pratique naissante de divulgation d’information relative au contrôle
interne , avec la possibilité de mise en cause de la responsabilité pénale du
CAC ? Si, dans l’esprit du législateur, cette nouvelle disposition gagnerait à
être scrupuleusement appliquée en lui donnant un caractère pénal, nous nous
demandons :
Page 105
 N’y aurait-t-il pas d’autres moyens plus souples et moins contraignants

qui peuvent assurer le respect de cette nouvelle mesure ?
 Est-ce que les dirigeants de la société encourent au moins les mêmes
peines que les CAC s’ils n’honorent pas leurs obligations en matière de
mise en place et de maintien d’un contrôle interne adéquat et efficace ?
En tout état de cause, cette nouvelle obligation qui sera mise à la charge du
CAC, à notre avis, le niveau élevé de la pénalisation de la législation relative à
la profession de commissariat aux comptes. D’ailleurs, Messieurs Fathi
MIMOUNI (juge 3éme degré) et Rachid TMAR (expert comptable) proposent,
dans ce sens, d’adopter le principe de conciliation obligatoire dans les poursuites
judicaires ainsi que le principe de la sanction pécuniaire au déterminent de la
sanction corporelle52.
1.2.3 La responsabilité disciplinaire du commissaire aux comptes

L’article 27 de la Loi n°88- 108 portant refonte de la législation relative à la
profession des experts comptables, a institué auprès de l’Ordre des Experts
Comptable de Tunisie, une chambre de discipline chargée notamment de
sanctionner les infractions à la règlementation professionnelle et au règlement
intérieur de l’Ordre et, en général, toutes infractions à l’une quelconque des
règles de l’Ordre.
Force est de constater que cette formulation de la faute disciplinaire est très
large et qu’elle est tout à fait différente de la formulation de la faute pénale où le
principe de la légalité des peines empêche toute incrimination en l’absence d’un
texte précis. En matière disciplinaire, toute infraction aux Lois, règlements et
règles professionnelles, toute négligence grave ou fait contraire à la probité ou à
l’ honneur commis par un professionnel, même ne touchant pas à l-exercice de
sa profession, peut constituer une faute disciplinaire et être sanctionnée en tant
52
Fathi MIMOUNI et Rachid TMAR : la responsabilité du commissaire aux compte, revue comptable et
financière n° 67- premier semestre trimestre 200, page 23 à 25
Page 106
que telle sans texte précis et sans qu’il soit nécessaire qu’elle ait causé un
dommage à quiconque et ce malgré l’existence d’un code de devoirs
professionnels et d’un règlement intérieur de l’Ordre qui spécifient, à titre
indicatif, certaines fautes de l’expert comptable53
Par conséquent, tout manquement de la part du CAC, au respect des textes

de Lois et des normes professionnelles relatives à la présentation dans ses
rapports d’une évaluation du contrôle interne serait passible de sanction
disciplinaire prononcée par la commission disciplinaire.
Toutefois, un exercice adéquat de la remise en cause de la responsabilité

disciplinaire semble être beaucoup moins contraignant à la conséquence de la
remise en cause de la responsabilité civile ou pénale. En effet, les contrôles
disciplinaires ont pour objectif de s’assurer d’une supervision et d’une
régulation adéquate de la profession d’expert comptable : ils encouragent le
respect des réglementations et des règles professionnelles, veillent sur la qualité
des travaux des professionnels et enfin prennent des mesures disciplinaires en
rapport avec le droit d’exercice de la profession. Aucune sanction pécuniaire ou
autre ne peut être prise dans ce sens. De ce fait, il faut assimiler ces contrôles
disciplinaires comme une sécurité ou une mesure qui incite les professionnels
d’être diligents dans l’exercice de leurs fonctions.
Néanmoins, pour apprécier la véritable efficacité et la pertinence des actions

et des positions de ces contrôles disciplinaires en faveur d’une supervision et
d’une régulation adéquate et éclairée de la profession d’expert comptable et de
CAC, il ne faut pas perdre de vue que la commission de contrôle est composée à
hauteur d’un peu plus de 40% d’experts comptables membres de l’Ordre. En
effet, trois de sept membres sont des experts comptables et les autres quatre
53
Fadhel JAOUA : cours de commissariat aux comptes- CES révision comptable, page 108
Page 107
places sont occupées par un juge et trois fonctionnaires54. Autant dire qu’une
telle composition ne pourrait pas épargner à cette commission d’être confrontée
à des conflits d’intérêts lors de l’instruction des affaires qui lui sont présentées.
Visiblement, c’est l’une des raisons pour lesquelles, le président de l’IFAC a

adressé une suggestion, aux professionnels tunisiens réunis lors d’un colloque
organisé par l’OECT, de « faire mouvement d’un système d’auto régulation vers
un système de régulation partagée, introduisant des mécanismes garantissant à la
fois que l’intérêt général soit toujours pris en compte, mais également que toutes
les réglementations soient issues d’un dialogue responsable entre les
professionnels et les autorités de réglementation55 ».
Dans cet ordre d’idées, le Conseil Economique et Social-dans son avis sur le
projet de Loi de sécurité financière- a recommandé la constitution d’une
commission supérieure de commissariat aux comptes indépendante de la
profession. Il a rajouté, qu’à l’instar de ce qui se passe dans d’autres pays, cette
commission se charge de renforcer la qualité des prestations des professionnels
et veille sur l’application des normes professionnelles et éthiques relatives à la
profession de commissariat aux comptes. Enfin, le conseil a suggéré que cette
commission soit composée de magistrats, de représentants de ministère des
finances, de la banque centrale et du conseil du marché financier, des
universitaires ainsi des personnes ayant une expérience dans le domaine du
commissariat aux comptes.
Pour sa part, une proposition de directive du parlement européen56 entend

introduire une nouvelle réglementation de l’audit légal dans la communauté
54
Article 16 du décret n°89-541 du 25 Mai 1989 , fixant les modalités d’organisation et de fonctionnement de
l’OECT
55
Mot du président de l’IFAC, René RICOL : Colloque International sur la sécurité financière : enjeux et
perspective », Ordre des Experts Comptable de TUNISIE, Tunis, Janvier 2004
56
Revue Comptable et Financier n° 67: « une nouvelle réglementation de l’audit légal dans la communauté
européenne »- premier trimestre 2005, page 26
Page 108
européenne qui prévoit, entre autres, que les états membres mettent en place un
système effectif de supervision publique des contrôleurs légaux et des cabinets
d’audit fondé, en partie, sur les principes suivantes :
 Le système de supervision publique doit être dirigé par de non praticiens,

maitrisant les matières qui touchent au contrôle légal ;
 Ce système doit habiliter à conduire des enquêtes sur les contrôleurs
légaux et les cabinets d’audit, ainsi à prendre les mesures nécessaires ;
 Ce système doit être transparent. La transparence requise inclut la
publication de programmes de travail et rapports d’activité annuels ;
 Ce système doit être financé de façon appropriée. Les financements
doivent être sûrs et exempts de toute influence indue de la part des
contrôleurs légaux et cabinets d’audit qui y sont soumis.
Ainsi, il serait judicieux d’engager la réflexion sur l’opportunité de

moderniser d’une manière générale les mécanismes actuels de bonnes pratiques
de conduite, de contrôle et de régulation de la profession d’expert comptable
afin d’être diapason des nouvelles évolutions législatives et réglementaires
observées un peu partout à travers le monde. Il est dans l’intérêt des
professionnels, qu’ils soient eux-mêmes proactifs et qu’ils aient une force de
proposition afin d’éviter que leur profession ne se transforme en un fardeau
insupportable.
Section 2 : L’intervention du commissaire aux comptes dans le

cadre de loi de sécurité financière
2.1 Le diagnostic du contrôle interne avant la LRRSRF

2.1.1 Un outil de planification, de conception de l’approche d’audit et
d’orientation des travaux
L’analyse du contrôle interne de l’entreprise a toujours fait partie intégrante
de la mission du CAC mais l’objectif poursuivi jusqu’alors était bien différent.
Page 109
La mission première du CAC est, dans le cadre d’une démarche d’audit

planifiée, de formuler une opinion motivée sur la régularité, la sincérité et
l’image fidèle des états financiers. Cette opinion est exprimée au travers d’un
rapport général qui est destiné aux actionnaires.
Afin de pouvoir émettre une opinion sur les comptes qui lui sont soumis, il
doit donc s’assurer que les opérations comptabilisées au cours de l’exercice
sont : exhaustives, prises en compte dans la bonne période, imputées au bon
compte, qu’elles concernent l’entité, sont correctement évaluées, réelles et
suffisamment explicites.
Dans le cadre de sa mission, le CAC se trouve pourtant confronté à une

contrainte forte qui est l’impossibilité de procéder à une vérification exhaustive
des opérations traitées par l’entité. Cette contrainte induit un facteur essentiel de
la mission du CAC à savoir qu’il n’a qu’une obligation de moyen. L’obligation
de résultat quant à elle incombe pleinement au conseil d’administration de
l’entité responsable de l’arrêté des comptes.
Compte tenu de cette contrainte, il doit organiser sa mission afin de pouvoir

malgré tout émettre une opinion sur les comptes. C’est pourquoi, il met une
approche par les risques. Dans le cadre de cette approche par les risques il va
analyser la situation de la société en fonction des risques qu’il pourra identifier.
L’évaluation par l’auditeur des risques identifiés au niveau des assertions lui
permet de définir l’approche d’audit appropriée pour concevoir et mettre en
œuvre les procédures d’audit complémentaires. Dans certains cas, l’auditeur
peut considérer que seuls des tests de procédures peuvent apporter une réponse
appropriée à son évaluation du risque d’anomalies significatives pour une
assertion donnée. Dans d’autres, il peut estimer que seule la mise en œuvre de
contrôle de substance est justifiée, et donc ne pas tenir compte de l’efficacité des
contrôles dans le cadre de l’évaluation des risques concerné. Souvent, il peut
Page 110
estimer qu’une approche mixte utilisant à la fois des tests de procédures et des
contrôles de substance est une approche efficace.
Ces risques sont généralement les suivants :

 Risques inhérents au secteur d’activité (contexte réglementaire,
spécificités du secteur) ;
 Risques inhérents à la structure de l’entreprise (taille, forme
juridique,…) ;
 Risques propres à l’entité (relevés dans les dossiers de travail N-1et la
synthèse intérimaire) ;
 Risques potentiels (identifiés lors de l’examen des événements marquants
de l’exercice).
L’analyse du contrôle interne entre donc dans cette démarche d’audit

destinée à permettre au CAC de fonder son opinion.
De part l’examen des procédures en place au sein de l’entité, le CAC

recherche les risques de conception et de fonctionnement des systèmes, les
résultats de ces investigations lui permettant de bien diriger sa mission et
d’orienter ses travaux.
Les conclusions auxquelles le CAC va aboutir à ce stade de ses travaux vont

donc le conduire à adopter le contrôle effectif des comptes qu’il réalise lors de la
phase finale de son intervention.
2.1.2 Possibilité de substituer cette analyse par des travaux substantifs

L’analyse des procédures par le CAC va donc lui permettre d’adapter son
programme de travail en vue d’optimiser ses contrôles et pallier ainsi à
l’impossibilité de valider exhaustivement les opérations de l’exercice. Cette
analyse du contrôle interne dans le cadre de la définition de son approche
Page 111
d’audit faisait l’objet de la norme ISA 330 : procédures à mettre en œuvre par
l’auditeur en fonction de son évaluation des risques.
Pour ce faire, il planifie une intervention intérimaire au cours de laquelle il

va prendre connaissance des procédures en place au sein de l’entité. À partir de
cette prise de connaissance, il va pouvoir procéder à une analyse précise qui
devra lui permettre :
 De décrire le système existant et le modéliser (forme narrative,

diagramme, flow-chart) ;
 De procéder à des tests de conformité lui permettant de confirmer que le
descriptif établi sur la base des informations obtenues représente bien la
procédure telle qu’elle est prévue dans l’entité ;
 De procéder à une évaluation de la conception des systèmes en place et
ainsi dégager des points faibles au regard des objectifs poursuivis ;
 De s’assurer que les points de contrôles (points forts théoriques) relevés
lors de l’évaluation préliminaire des procédures ont fonctionné de
manière constante. Ces tests de permanence permettront d’identifier les
forces de la procédure qui impacteront les travaux finals.
Cette phase de la mission du CAC peut être présentée schématiquement comme

suit :
Page 112
Description du système Objectif
Test de conformité
Forces Évaluation de la Faiblesses

conception du système
Tests de permanence
(application des points
forts)
Points forts Points forts

appliqués non
appliqués
Forces
Faiblesses
Évaluation définitive du Contrôle

interne
Recommandations Impact sur le contrôle des comptes
Evaluation du contrôle interne par le CAC dans le cadre

d’audit des états financiers57
57
http://fr.scribd.com/doc/30071525/102/VII-%E2%80%93-L-EVALUATION-DEFINITIVE-DU-CONTROLE-
INTERNE, site web consulté le 20 Novembre 2012
Page 113
Si la détection de points faibles peut conduire le professionnel à formuler

des recommandations à l’entité, le rôle principal de cette démarche est de
déterminer l’incidence de l’évaluation du contrôle interne sur la revue des
comptes au final :
Fiable Contrôle interne Insuffisant
Allégé Contrôles des comptes Etendu
De par cette analyse, le CAC est en mesure de définir les contrôles qui seront
réalisés et qui devront être :
 Spécifiques pour les données ponctuelles et exceptionnelles ;

 Adaptés pour les données récurrentes lorsque le contrôle interne en place
s’avère satisfaisant ;
 Etendus pour les données bien que récurrentes mais pour lesquelles les
tests réalisés conduisent à la conclusion de l’impossibilité de s’appuyer
sur le contrôle.
Avant la promulgation de la LRRSRF, le CAC « vérifie périodiquement

l’efficacité du Contrôle interne »58 et procédait à une appréciation du contrôle
interne dans le cadre de ses travaux. En fonction de la qualité de ce dernier il
avait la possibilité de procéder à des travaux substantifs destinés à pallier
l’impossibilité de s’appuyer sur le contrôle interne . De cette manière, il pourrait
donc estimer qu’un contrôle direct des comptes était suffisant afin de certifier les
comptes.
58
Article 266 du CSC modifié par la Loi 2005-65 du 27 juillet 2005 modifiant et complétant le CSC.
Page 114
De part cette possibilité on peut d’ailleurs considérer qu’il disposait de la

faculté de ne pas analyser les procédures de contrôle au motif que son
appréciation de l’entité le conduisait à procéder à des contrôles directs des
comptes. Cette situation un peu extrême ne se rencontrait finalement que
rarement, le plus souvent dans les entités de taille modeste. Le recours exclusif à
des contrôles directs cachait le plus souvent un contrôle interne embryonnaire
qui ne pouvait pas de toute façon permettre l’allègement du programme de
travail.
2.1.3 Une communication non obligatoire sur le résultat des travaux de

vérification de contrôle interne
Avant la promulgation de la LRRSRF, le CAC, comme nous venons de la
voir, examinait le contrôle interne mais essentiellement dans le but de planifier
et concevoir une approche d’audit efficace conformément aux normes
professionnelles applicables.
Cet examen entrait donc dans le cadre de la certification des comptes mais
ne visait nullement à exprimer une conclusion sur le contrôle interne lui-même.
Certes, jusqu'à l’instauration d’une évaluation générale du contrôle interne

dans le rapport des CAC, ils pouvaient communiquer sur le contrôle interne et
remonter des dysfonctionnements mais la transmission de ces informations était
limitée à la direction de l’entité. Généralement, il s’agissait de recommandations
émises lors de réunion de synthèse et qui découlaient, soit d’une revue des
procédures réalisées lors d’une phase intérimaire, soit de faiblesses flagrantes
détectées lors de la phase finale de contrôle des comptes.
Cette communication aux instances de direction de l’entité dépendait

fortement d’une part de la sensibilité propre du CAC à ces problématiques et
d’autre part des attentes formulées par le client. Qui plus est, cette transmission
Page 115
d’informations était strictement limitée à la direction opérationnelle de l’entité

conformément à son obligation de secret professionnel.
Par ailleurs, même dans l’hypothèse d’une communication avec la direction

de la société sur ces questions, le cadre d’analyse ne touchait jamais l’intégralité
des procédures en place et donc le contrôle interne au sens large.
Nous verrons d’ailleurs que c’est l’un des aspects rendant l’émission d’un
rapport délicat pour le CAC puisque, de part la LRRSRF, il devra évaluer et se
prononcer sur l’ensemble des procédures. Cette modification de l’approche
jusqu’ici retenue par les CAC sera d’autant plus conséquente lorsque ceux-ci
privilégiaient, dans leur démarche générale d’audit, l’obtention d’éléments
probants à partir de tests substantifs.
C’est donc bien un texte novateur en ce domaine et non dénué de risques qui
conduit les CAC à modifier considérablement leur approche.
2.2 Les risques issus de la nouvelle réglementation

La question qui pourrait être posée serait de savoir si l’on peut considérer
que la Loi bouleverse le travail des CAC ?
S’il est vrai, que l’examen du contrôle interne n’est pas une nouveauté pour
le CAC puisqu’il a toujours fait partie intégrante de sa mission. Cette nouvelle
obligation constitue sans conteste une modification majeure. L’originalité de la
LRRSRF réside dans le fait de conserver la primauté de l’élaboration et du
traitement de l’information financière sur l’information financière elle-même.
L’examen de la LRRSRF nous a montré que le législateur a répondu à cette

question en réformant en profondeur l’activité des CAC ce qui traduit une
attente forte de l’action de notre profession dans ce domaine.
Page 116
C’est dans ce contexte général que le CAC va devoir se positionner face au

contrôle interne de la société dont il a la charge de certifier les comptes, ce qui
génère pour lui des risques supplémentaires.
2.2.1 Obligation de conclure sur les travaux effectués sur le contrôle

interne
Jusqu’à la LRRSRF, le CAC examinait le contrôle interne de l’entité dans le
cadre de sa mission. Il s’agissait donc pour lui un moyen de concevoir
l’approche d’audit afin d’aboutir à la certification des comptes. Comme nous
l’avons exposé, cet examen entrait dans la panoplie des outils à la disposition du
commissaire aux comptes pour remplir la mission qui lui été confiée par
l’assemblée générale de la société.
La nature et l’ampleur des travaux effectués dans ce cadre dépendaient donc

uniquement de son libre arbitre même s’il devait bien sûr respecter la norme 330
« Procédures à mettre en œuvre par l’auditeur en fonction de son évaluation des
risques » qui fixait les règles de bon exercice professionnel. Le CAC n’avait pas
à se prononcer explicitement sur le contrôle interne pour alléger ses travaux ou
s’il mettait en place des travaux substantifs lui permettant en tout état de cause
de se forger une opinion sur les comptes. En ce sens, les insuffisances de
contrôle interne n’avaient de réelle incidence que lorsqu’elles étaient de nature à
créer de véritables incertitudes ou à révéler des situations de fraude.
La nouveauté introduite par la LRRSRF modifie complètement cette

approche car le CAC étant désormais tenu de présenter dans son rapport une
évaluation du contrôle interne et ses observations sur les éléments du contrôle
interne que contient le rapport du conseil d’administration. L’élaboration de ce
rapport induit donc pour le professionnel l’obligation de se prononcer sur les
procédures de contrôle interne ce qui constitue un acte positif.
Page 117
Ainsi l’existence nouvelle de cette évaluation du contrôle interne va

conduire le CAC à se positionner publiquement sur des aspects qui, juste qu’a
présent, n’avaient pas vocation à être publiés. Par cette prise de position
publique, le professionnel va devenir s’engager sur des procédures alors que par
définition le contrôle ne peut fournir qu’une assurance raisonnable que les
objectifs fixés par l’entité seront atteints.
C’est bien de cet antagonisme entre une prise de position publique pouvant
confirmer l’absence de faille dans le contrôle interne d’une entité contrôlée et les
risques inhérents au contrôle interne que va naître pour le CAC un risque
supplémentaire dans l’exercice de son activité.
2.2.2 Passage d’une obligation de moyen à une obligation de résultat

Certains professionnels se sont émus de cette situation pour le moins
inconfortable pour les CAC.
L’attente du marché est claire dans ce domaine, le monde financier attend

une prise de position ferme de la part des CAC sur les problématiques de
contrôle interne et sur les éléments du contrôle interne présentés dans le rapport
du conseil d’administration.
Il résulte de cela une difficulté majeure pour eux si par mésaventure naissait
un décalage entre l’approbation du contrôle interne et le contenu du rapport du
conseil d’administration, par le CAC et l’apparition ultérieure des problèmes
comptables et financiers non décelés par le contrôle interne.
Dans cette hypothèse, une approbation du contrôle interne et du contenu du

rapport du conseil d’administration sur les procédures de contrôle interne,
placerait le CAC dans une situation des plus délicates. Comment imaginer que
cette situation ne conduirait pas à un risque accru de mise en cause de sa
Page 118
responsabilité ou du moins un moyen d’en apporter la preuve devant les

tribunaux ?
Dans ce domaine, l’explosion du nombre de cas de mise en cause de la

responsabilité des CAC, en Tunisie comme à l’étranger, ne peut que nous en
convaincre.
Les événements récents, comme l’affaire de la société BATAM en Tunisie,

montrent bien que l’obligation de moyen qui caractérise la mission du CAC est
de plus en plus négligée. Il est à craindre que la position adoptée par un CAC
dans son rapport soit difficilement défendable en cas de survenance ultérieure de
problèmes financiers ou comptables.
Cette aggravation des risques n’est pas à sous estimer dans une période où
les obligations de contrôle et de validation des informations par le CAC sont
croissantes. A titre d’exemples, on peut évoquer les dispositions de l’article 266
du CSC qui met à la charge du CAC l’obligation de vérifier l’exactitude des
informations données sur les comptes de la société dans le rapport du conseil
d’administration ou du directoire.
Ce n’est que par le biais du manquement aux obligations légales du conseil

que l’on pourrait considérer que cela constitue une violation du devoir de
loyauté des administrateurs envers les actionnaires.
Ainsi, c’est le CAC qui devrait, dans le cadre des vérifications spécifiques
de son rapport général, s’assurer que les informations fournies sont non
seulement suffisantes, mais surtout objectives et exhaustives, et qui assumera
une grande part de cette responsabilité.
L’ensemble de ces éléments conduit à laisser penser que l’obligation de

moyen qui a toujours caractérisé notre mission et qui est d’ailleurs clairement
Page 119
exposée dans la rédaction du rapport général, est de plus en plus remise en

cause :
 Par le législateur tout d’abord, qui multiplie les obligations

d’informations pour les entités tout en poursuivant sa politique de
dépénalisation du monde des affaires ;
 Par les acteurs du marché ensuite, qui au travers de notre mission
attendent une information certaine et sont de moins en moins disposés à
concevoir les limites de nos interventions.
2.2.3 Les imprécisions de la LRRSRF sur le Contrôle interne

La troisième source de risque pour les CAC que nous pouvons identifier
réside dans le silence de loi quant au contenu du rapport du conseil
d’administration et à l’entendue de l’obligation d’évaluation du contrôle interne.
En effet, comment le CAC peut-il sereinement accomplir sa mission alors que
les imprécisions de la Loi sont si nombreuses ?
Les instances professionnelles en Tunisie ne sont pas prononcées sur cette

imprécision pour fournir aux CAC un éclairage sur les diligences à accomplir et
sur les modèles de rapports à délivrer.
Cependant, nous verrons que le CAC se trouve face à trois difficultés

majeures génératrices d’insécurité pour sa mission d’audit des états financiers :
 1ére difficulté : Les imprécisions de l’étendue des « éléments sur le

contrôle interne », devant être incluses dans le rapport du conseil
d’administration, demeurent une difficulté pour le CAC qui doit de
prononcer.
 2 ème
difficulté : L’absence de référentiel reconnu en matière de contrôle
interne en Tunisie (par exemple COSO I et COSOII). Le CAC engage
Page 120
sa responsabilité sur le contenu de ce rapport se trouve ainsi dans une

situation inconfortable.
 3 ème
difficulté : La rédaction du rapport en lui-même pourra s’avérer
délicate s’il n’y a pas d’éléments probants, de description suffisante ou
encore en cas de déficiences majeures. Le lien entre la vérification des
éléments sur le contrôle interne inclus dans le rapport du conseil
d’administration, l’évaluation du contrôle interne dans le rapport général
et la justification des opinions, pourront être une source de risque pour le
professionnel.
Page 121
Chapitre Deuxième : Démarche d’évaluation du contrôle

interne et de gestion des risques dans le cadre d’une mission
de commissariat
Section 1 : place de l’appréciation du système de contrôle interne
et gestion des risques dans le cade d’une mission de commissariat
1.1 Place du contrôle interne dans la démarche d’audit
La place du contrôle interne dans la démarche d’audit des états financiers est
examinée, successivement, par rapport aux anciennes normes et les nouvelles
normes d’audit.
1.1.1 Place du contrôle interne dans l’ancienne démarche d’audit des

états financiers
Dans le passé, l’auditeur financier commence par les comptes pour vérifier
toutes les pièces comptables et n’accordait pas ou peu d’importance à la
compréhension de l’activité de l’entité, à ses systèmes de traitement de
l’information comptable et à son contrôle interne.
La première évolution a consisté, pour les auditeurs, à chercher le moyen

d’alléger le contrôle des comptes en accordant un rôle accru aux systèmes de
contrôle interne. C’est l’approche par le système.
La deuxième évolution, au début des années 1970, s’articule autour de la

notion de « risque ». C’est l’approche d’audit par les risques. Cette approche,
limité initialement aux grands cabinets qui sont à l’origine de sa mise en
application, s’est vue progressivement étendue à partir des années 1980 aux
autres professionnels de l’audit. La comparaison entre l’approche par les risques
et l’approche traditionnelle d’audit se présente comme suit 59:
59
Imed ENNOURI et Fethi HAMROUNI : cours de CES révision comptable-Cours d’audit, page 66, année
universitaire 2005/2006
Page 122
Approche par les risques
Evénements Système comptable

Transactions & & Etats financiers
Pièces justificatives Contrôle interne
Approche traditionnelle
Les pratiques en cours avant l’entrée en vigueur des nouvelles normes ISA
(à partir des exercices ouverts depuis 15 décembre 2004 pour les membres de
l’IFAC) conduisaient l’auditeur à évaluer les risques dans le cadre des
procédures d’audit elles-mêmes. Par exemple, l’ancienne norme ISA
400 « Évaluation des risques et contrôle interne »60, visait à établir des
procédures et des principes fondamentaux et précisait leurs modalités
d’application concernant la prise de connaissance des systèmes comptables et de
contrôle interne, ainsi que l’évaluation du risque d’audit et ses composantes
(risque inhérent, risque lié au contrôle et risque de non-détection)61.
60
Cette norme n’est plus d’application à partir de décembre 2004
61
Risque inhérent : est la possibilité, en l’absence des contrôles internes liés, que le solde d’un compte ou qu’une
catégorie d’opérations comporte des anomalies significatives isolées ou cumulées avec des anomalies dans
d’autres soldes ou catégories d’opérations.
Risque lié au contrôle : est le risque qu’une anomalie dans un solde de compte ou dans une catégorie
d’opérations, prise isolément ou cumulée avec des anomalies dans d’autres soldes de comptes ou d’autres
catégories d’opérations, soit significative et ne soit pas ni prévenue, ni détectée par les systèmes comptable et de
contrôle interne et donc non corrigé en temps voulu.
Risque de non détection : est le risque que les contrôle mis en œuvre par l’auditeur ne parviennent pas à détecter
une anomalie dans un solde de compte ou dans une catégorie d’opérations qui, isolée ou cumulée avec des
anomalies dans d’autres soldes de comptes ou d’autres catégories d’opérations, serait significative.
Page 123
1.1.2 Place du contrôle dans la nouvelle démarche d’audit des états

financiers
Les nouvelles normes62 exigent désormais que l’auditeur acquière une
connaissance plus large et approfondie de l’entité et de son environnement, y
compris du contrôle interne . L’auditeur devra utiliser les sources et les moyens
indiqués par les normes pour accéder au niveau de compréhension exigé.
L’auditeur doit prendre connaissance du contrôle interne pertinent pour

l’audit. Bien que la plupart des contrôles pertinents pour l’audit concerne
généralement le processus d’élaboration de l’information financière, tous ces
derniers ne sont pas nécessairement pertinents. Ils sont du ressort de jugement
professionnel de l’auditeur de déterminer si les contrôles exécutés
individuellement ou en association avec d’autres sont pertinents pour l’audit.
L’auditeur doit prendre connaissance des principales mesures utilisées par

l’entité pour assurer le suivi du contrôle interne relatif à l’élaboration de
l’information financière, y compris de celles relatives aux mesures de contrôle
pertinentes pour l’audit, ainsi que la compréhension de la manière dont l’entité
entreprend des actions correctives sur les faiblesses de ses propres contrôles63.
L’auditeur doit prendre connaissance des sources d’informations utilisées

dans le cadre du suivi des mesures de contrôle, et des fondements sur lesquels la
direction s’appuie si l’information est suffisamment fiable pour répondre aux
objectifs de ce suivi.
62
Les nouvelles normes sont :
- ISA 315 : Compréhension de l’entité et de son environnement à fin de l’identification et de l’évaluation
des risques d’anomalies significatives
- ISA 330 : Réponse de l’auditeur à l’évaluation des risques
63
- IFAC : normes ISA 315 : Compréhension de l’entité et de son environnement aux fin de
l’identification et de l’évaluation des risques d’anomalies significatives , paragraphe 22
Page 124
Si l’entité a une fonction d’audit interne, l’auditeur doit prendre

connaissance des aspects suivants afin de déterminer si la fonction d’audit
interne est susceptible d’être utile pour les besoins d’audit :
 La nature des responsabilités de la fonction interne et la façon dont cette

fonction s’intègre dans la structure organisationnelle de l’entité ; et
 Les travaux menés, ou à mener, par la fonction d’audit interne.
1.2 Présentation du modèle d’approche d’audit par les risques

L’ « Audit Risk Model » (modèle d’approche de l’audit par les risques),
dont les normes charnières ont été publiées en octobre 2003, est issu d’un projet
mené conjointement par l’IFAC, l’AICPA (États-Unis) et l’Auditing Standards
Board (Royaume-Uni). Le principe fondamental de ce nouveau modèle oblige
l’auditeur à ramener le risque d’audit à un niveau acceptable.
Page 125
1.2.1 Schéma général et philosophie du modèle d’approche d’audit

par les risques
connaisance et
évaluation des
procédures
d'appréciation
des risques mise
par l'entité
mise en oeuvre
d'autre identification et
procédures Réduction du risque évaluation des
d'audit en d'audit à un niveau risques de
acceptable faible fraudes ou
réponse aux
risques évalués d'erreurs
Lien entre
risque,
assertions et
éléments
probants
Modèle de l’approche de l’audit par le risque64

Dans la démarche antérieure, l’auditeur pouvait s’exonérer de l’analyse des
risques, en considérant les risques comme a priori « maximal ». Désormais,
mais, selon la norme ISA 315, l’auditeur doit obtenir une compréhension
suffisante de l’entité et de son environnement, y compris de son contrôle interne
, afin d’identifier et d’évaluer les risques d’anomalies significatives dans les
états financiers, qu’ils soient dues à la fraude ou à l’erreur, et pour concevoir et
exécuter d’autres procédures d’audit.
64
Mohamed HAMZAOUI « gestion des risques d’entreprise et contrôle interne »-édition pearson education
France, 2010, page 95
Page 126
Les nouvelles normes introduisent une modification importante dans la

façon dont l’auditeur planifie et exécute sa mission d’audit des états financiers et
elles ont une incidence sur l’évaluation par l’auditeur du risque que les états
financiers contiennent des anomalies significatives et sur les réponses à apporter
aux risques identifiés.
1.2.2 Procédure d’évaluation des risques et sources d’informations sur

l’entité et sur son environnement
L’évaluation des risques d’anomalies significatives effectuée par l’auditeur

s’opère sur les éléments internes et externes de l’entité, tels qu’ils sont définis au
paragraphe 20 de la norme ISA 315. Par ailleurs, la norme ISA
240 « Responsabilité de l’auditeur concernant les fraudes lors d’un audit d’états
financiers » et la norme ISA 250 « Prise en compte des textes Légaux et
réglementaires dans un audit d’états financiers » exigent que l’auditeur
comprenne l’entité et évalue que les risques de fraude ou de non-respect des
Lois et réglementations ne conduisent pas à des anomalies significatives dans les
états financiers.
 Compréhension du secteur de l’entité
La compréhension du secteur de l’activité est l’un des événements

fondamentaux de l’évaluation des risques d’anomalies significatives.
Le paragraphe 23 de la norme ISA 315 précise que le secteur dans lequel

l’entité opère peut générer des risques spécifiques d’anomalies significatives
résultant de la nature des activités ou du degré de réglementation. Par exemple,
les contrats à long terme pratiqués dans le bâtiment peuvent comporter des
évaluations du chiffre d’affaires et des coûts qui augmentent le risque
d’anomalies significatives. Dans ce cas, l’auditeur s’assure de la présence, dans
Page 127
l’équipe d’audit, de personnes ayant une connaissance appropriée et une

expérience suffisante dans ce domaine.
 Compréhension de l’environnement légal et réglementaire
L’environnement réglementaire est un autre élément que l’auditeur doit

comprendre pour évaluer les risques d’anomalies significatives.
La norme ISA 250 précise les conditions additionnelles liées au référentiel

légal et réglementaire applicable à l’entité et à son activité.
L’auditeur doit garder à l’esprit que certains textes législatifs et

réglementaires peuvent avoir des incidences décisives sur les activités de
l’entité, notamment :
 Une cession d’activité, si l’entité ne respecte pas les obligations

relatives à une licence d’exploitation ou toute autre exigence
l’autorisant à exercer ses activités.
 Une remise en cause de la continuité d’exploitation.
L’auditeur devra donc notamment, dans le cadre de la norme ISA 250 :
 Interroger la direction sur les politiques et procédures mises en place

par l’entité afin de garantir le respect des textes législatifs et
réglementaires.
 Interroger la direction sur les textes législatifs et réglementaires
susceptibles d’avoir une incidence significative sur les activités de
l’entité.
 S’entretenir avec la direction des politiques et procédures adoptées
pour identifier, évaluer et consigner les litiges et pénalités.
 S’entretenir du cadre légal et réglementaire avec les auditeurs des
filiales d’autres pays (par exemple, si la filiale est tenue de se
Page 128
conformer aux réglementations applicables à la société mère en

matière de règle de sécurité).
 Compréhension de l’existence possible de fraudes
La direction, sous la surveillance du gouvernement d’entreprise, est chargée

de donner le ton qui convient pour créer et maintenir une culture d’honnêteté et
de valeurs morales élevées et de mettre en place les contrôles appropriés pour
prévenir et détecter les fraudes.
La norme ISA 240 exige que l’auditeur, lors de la planification et

l’exécution de la mission et afin de réduire le risque d’audit à un niveau
acceptable faible, prenne en considération le risque d’anomalies significatives
dues à la fraude dans les états financiers.
Dans le cadre de la compréhension de l’entité et de son environnement, y

compris de son contrôle interne , l’auditeur exécute les procédures appropriées
pour obtenir l’information utile à l’indentification des risques d’anomalies
significatives dues à la fraude. Ces procédures sont les suivantes :
 Demander des renseignements ou des explications à la direction, au

gouvernement d’entreprise et à d’autres personnes dans l’entité pour
comprendre comment la gouvernance surveille les procédures que la
direction a instituées, visant à identifier et à répondre aux risques de
fraude, et le contrôle interne qu’elle a mis en place pour atténuer ces
fraudes.
 Apprécier la présence éventuelle d’un ou plusieurs facteurs de risque de
fraude.
 Apprécier tous les pourcentages anormaux ou inattendus identifiés lors
de l’exécution des procédures analytiques.
Page 129
 Prendre en considération toute autre information utile à l’identification de

risques d’anomalies significatives dues à la fraude.
L’auditeur doit également obtenir :
 L’évaluation effectuée par la direction concernant le risque potentiel que

les états financiers comportent des anomalies significatives dues à la
fraude.
 La procédure mise en place par la direction pour identifier et répondre
aux risques de fraude dans l’entité.
L’auditeur doit évaluer tous les contrôles mis en place par l’entité et destinés
spécifiquement à lutter contre les risques de fraude susceptibles d’avoir une
incidence significative sur les états financiers. Ces contrôles peuvent appartenir
à l’une ou à l’autre des cinq composantes de contrôle interne65.
Ces contrôles comprennent, sans toutefois s’y limiter, les éléments suivants :
 Les contrôles de prévention de détournements d’actifs de l’entité qui

pourraient entraîner, s’ils n’étaient pas détectés et corrigés dans un temps
opportun, une inexactitude importante dans les états financiers.
 Le processus d’appréciation des risques de l’entité.
 Le caractère adéquat des procédures que l’entité met en place pour traiter
les plaintes et les communications confidentielles reçues, concernant
des pratiques douteuses en matière de comptabilité ou d’audit.
1.2.3 Communication au gouvernement de l’entreprise et à la direction

des sujets relatifs au contrôle interne
Lorsque l’auditeur identifie des risques d’anomalies significatives pour

lesquels l’entité n’a pas mis en œuvre de contrôle, ou pour lesquels les contrôles
65
Mohamed HAMZAOUI : Gestion des risques d’entreprise et contrôle interne , Edition Pearson France- 2008,
page 53
Page 130
ne sont pas pertinents, ou sont pertinents mais incorrectement appliqués selon le

jugement de l’auditeur, il mentionne les faiblesses du contrôle interne dans sa
communication des questions qui touchent à l’audit avec les personnes
constituant la gouvernance d’entreprise.
L’auditeur doit communiquer par écrit, à la direction et au conseil

d’administration ou à son comité d’audit, toute déficience significative ou
faiblesse importante détectée au cours de la mission d’audit. Cette
communication écrite doit se faire préalablement à la délivrance du rapport de
l’auditeur sur le contrôle interne à l’égard de l’information financière.
Dans le cas d’existence d’une comité d’audit et lorsqu’une déficience

significative ou une faiblesse importante existe en raison d’une surveillance
inefficace du processus d’établissement de l’information financière et du
contrôle interne à l’égard de l’information financière de l’entreprise par ce
comité d’audit, l’auditeur doit communiquer par écrit la déficience significative
ou la faiblesse importante en question au conseil d’administration.
Dans ces communications écrites, il doit être mentionné qu’elles sont

préparées dans le seul but d’informer le conseil d’administration, le comité
d’audit, la direction et d’autres personnes de l’organisation et uniquement à leur
intention.
Dans le cadre de son évaluation de l’efficacité du contrôle interne à l’égard

de l’information financière, l’auditeur doit déterminer si les déficiences des
contrôles détectées par l’audit interne et d’autres personnes de l’entreprise,
notamment au moyen des activités de pilotage continu et de l’évaluation
annuelle du contrôle interne , sont signalées aux niveaux de direction appropriés
en temps opportun. L’absence d’un processus interne qui permettrait de signaler
les déficiences dans le contrôle interne à la direction en temps opportun
Page 131
constitue une déficience du contrôle interne dont l’auditeur doit évaluer la

gravité.
1.2.4 Documentation du dossier de travail de l’auditeur sur

l’évaluation des risques
Désormais, les auditeurs doivent mentionner très précisément dans leurs

dossiers leur évaluation des risques et doivent consigner :
 Les relevés des discussions au sein de l’équipe chargée de l’audit.
 Les éléments clés obtenus dans la compréhension de l’entité et de son
environnement (y compris le contrôle interne).
 Les risques identifiés et évalués d’anomalies significatives au niveau des
états financiers et des assertions.
 Les risques identifiés et les contrôles liés qui ont été évalués.
 La nature, le calendrier d’application et l’étendue des procédures
appliqués par l’auditeur.
 Les liens qui existent entre les risques évalués et les résultats des
procédures d’audit.
1.3 Évaluation par l’auditeur des risques d’anomalies significatives
1.3.1 Définition et relation entre risque d’audit et risques d’anomalies

significatives
Le risque66 d’audit correspond à la possibilité pour l’auditeur d’exprimer

une opinion inappropriée sur les états financiers du fait d’anomalies
significatives contenues dans ceux-ci.
Le risque inhérent (R.I) et le risque de non-contrôle (R.C) sont des risques

propres à l’entité et qui existent indépendamment de l’audit des états financiers.
Il est souvent difficile de dissocier ces deux risques, l’auditeur procède à leur
66
Le dictionnaire Larousse donne la définition suivante au terme risque : danger, inconvénient possible
Page 132
évaluation ensemble et on parle alors de risques combinés, ou au sens de l’ISA

200 « objectifs généraux de l’auditeur indépendant et réalisation d’un audit
conforme aux normes internationales d’audit » de risque d’anomalies
significatives dans les états financiers. Ce risque d’anomalies significatives fait
partie d’un ensemble encore plus large appelé risque d’entreprise ou risque
d’affaires (Business-Risk) qui est l’ensemble des risques auxquels s’expose une
entité (risque commercial, financier, change )67 .
Le risque de non détection (R.N.D) est le risque que l’auditeur ne détecte

pas une anomalie significative présente dans une assertion. Il est fonction de
l’efficacité des procédés de l’audit et leur mise en œuvre par l’auditeur. Il
découle en partie du fait que d’ordinaire l’auditeur ne vérifie pas intégralement
une catégorie d’opérations, un solde de compte ou une information fournie dans
les états financiers, et en partie de l’existence d’autres incertitudes. Celles-ci
résultent de la possibilité que l’auditeur choisisse un procédé de vérification
inadéquat, applique de façon incorrecte un procédé de vérification adéquat, ou
interprète mal les résultats de la vérification. Elles peuvent normalement être
ramenées à un niveau négligeable au moyen d’une planification adéquate, d’une
affectation appropriée des membres du personnel de l’audit, ainsi que de la
supervision et la révision du travail de l’audit effectué68.
Les variables précédemment définies sont liées par la formule suivante :
67
Imed ENNOURI et Fethi HAMROUNI : cours de CES révision comptable-Cours d’audit, page 69, année
universitaire 2005/2006
68
IFAC : norme ISA 200 « Objectifs généraux de l’auditeur indépendant et réalisation d’un audit conforme aux
normes internationales d’audit », paragraphe 21
Page 133
R.A
R.A = R.I x R.C x R.N.D

Avec :
 R.A désigne le risque d’audit
 R.I désigne le risque inhérent
 R.C désigne le risque lié au contrôle
 R.N.D désigne le risque de non détection
Le R.A est fixé par les termes de la mission (généralement constant < 5%), il est
fixé d’avance selon le degré de certitude souhaité.
L’expression du modèle pourrait s’écrit alors : R.N.D = R.A/ (R.I x R.C)
Cette expression est de la forme Y= a/X
Avec : Y= R.N.D X= R.I x R.C et a = constante = R.A
Cette représentation graphique donnerait l’allure d’une branche parabolique

comme montre le graphique suivant pour a=5%
Page 134
En revenant à la formule ci-haut et au graphique ci-joint nous pouvons

mieux comprendre l’assise mathématique des dispositions de l’ISA 200 selon
lesquelles « le risque de non détection est inversement proportionnel à
l’appréciation du risque d’anomalies significatives ( risque inhérent et risque lié
au contrôle) au niveau des assertions. Plus l’auditeur estime que le risque
d’anomalies significatives est élevé, plus le risque de non détection qu’il peut
accepter est faible. A l’inverse, plus il estime que le risque d’anomalies
significatives est faible, plus le risque de non détection qu’il peut accepter est
élevé ».
1.3.2 Les procédures d’audit à mettre en œuvre pour l’appréciation des

risques
L’auditeur doit mettre en œuvre les procédures suivantes, d’évaluation

des risques dans le but d’acquérir la connaissance de l’entité et de son
environnement, y compris de son contrôle interne :
 Demandes d’informations auprès de la direction et d’autres personnes au

sein de l’entité ;
 Procédures analytiques ; et
Page 135
 Observation physique et inspection
Lorsque l’auditeur décide d’utiliser les informations recueillies au cours des

exercices précédents sur l’entité et son environnement, il doit vérifier si des
changements sont survenus depuis l’exercice précédent et si ceux-ci peuvent
avoir un impact sur la pertinence des informations utilisées pour l’audit de la
période en cours.
1.3.2.1 Demande d’informations auprès de la direction et d’autres

personnes au sein de l’entité
La demande d’informations consiste à se procurer des informations aussi

bien financières que non financières, auprès de personnes bien informées, à
l’intérieur comme à l’extérieur de l’entité. La demande d’informations est une
procédure d’audit utilisée de façon extensive au cours d’audit ; elle est souvent
complémentaire à la remise en œuvre d’autres procédures d’audit. Les demandes
d’informations englobent les demandes écrites formelles et les demandes orales
informelles. L’évaluation des réponses aux demandes d’informations fait partie
intégrante du processus de demande d’informations69.
Les entretiens avec les personnes chargées de l’audit interne et de

l’inspection permettent d’obtenir la confirmation des forces et des faiblesses des
systèmes de contrôle dans l’entité tels qu’évalués par ces organes.
1.3.2.2 Procédures analytiques

Les procédures analytiques consistent en des appréciations de l’information
financière à partir de l’étude de corrélations plausibles entre les données aussi
bien financières que non financières. Les procédures analytiques comprennent
aussi l’examen des variations et des corrélations constatées qui sont incohérentes
69
http://www.ifac.org/sites/default/files/downloads/RAcsumAc_du_guide_d_audit_IFAC.pdf , site Web
consulté le 24 Novembre 2012
Page 136
avec d’autres informations pertinentes ou qui présentent un écart significatif par

rapport aux montants attendus.
1.3.2.3 Observation et inspection

L’observation physique consiste à examiner un processus ou la façon dont
une procédure est exécutée par d’autres personnes (par exemple, l’observation
de l’inventaire physique des stocks).
La visite des usines, magasins, bureaux, succursales et autres installations

permet à l’auditeur de :
 Connaître les caractéristiques opérationnelles de l’activité (le processus de

fabrication, les aires de stockage, l’état de lieux et du matériel, la
technologie utilisée,…) ;
 Connaître les habitudes de travail (le sérieux de la direction, la discipline
du personnel) ;
 Voir le matériel informatique et les lieux de tenue de la comptabilité.
1.3.3 Finalité des procédures d’audit mises en œuvre
1.3.3.1 Identification des risques d’anomalies significatives aux

niveaux des assertions et des états financiers
L’ISA 315 énonce, dans ses paragraphes 108 et 113, que :
 Dans le cadre de l’évaluation du risque d’audit, l’auditeur doit déterminer

quels sont les risques identifiés qui, sur la base de son jugement
professionnel, requièrent une démarche d’audit identifiée (de tels risques
sont qualifiés de risques significatifs).
 Pour les risques significatifs, et dans la mesure où l’auditeur ne l’aurait
pas déjà fait, il doit évaluer la conception des contrôles de l’entité, y
compris les activités de contrôle, et déterminer si ces contrôles ont été mis
en œuvre.
Page 137
Pour la détermination de ce qui constitue des risques significatifs, on se base

sur :
 La nature du risque ;
 La taille des anomalies ;
 La probabilité de survenance du risque.
Cette qualification de risque significatif ne doit pas tenir compte de

l’existence éventuelle des contrôles internes identifiés relatifs à ce risque, de
manière à ne juger que le risque inhérent. On juge, par exemple, le risque lié au
fait que les stocks soient importants en valeur et susceptible d’être dérobés,
comme risque significatif, indépendamment du fait qu’il puisse ou non exister
une contrôle interne correspondant.
Le paragraphe 109 de L’ISA 315 prévoit qu’en considérant la nature des

risques, l’auditeur prend en considération un certain nombre de facteurs, et
notamment celui de vérifier :
 Si le risque est un risque de fraude ;

 Si le risque est lié à des faits nouveaux significatifs de nature économique,
comptable ou autre, et requiert, en conséquence, une attention
particulière ;
 La complexité des opérations ;
 Si le risque résulte de transactions significatives avec des parties liées ;
 Le degré de subjectivité attaché à l’évaluation des informations
financières concernant ce risque, plus particulièrement pour celles qui
comportent de différents degrés d’incertitudes ; et
 Si le risque résulte d’opérations significatives sortant du cadre normal de
celles couramment traitées par l’entité ou paraissent, par ailleurs,
inhabituelles.
Page 138
1.3.3.2 Evaluation des risques d’anomalies significatives aux niveaux

des assertions et des états financiers
L’auditeur doit identifier et évaluer le risque d’anomalies significatives :
 Au niveau des états financiers ;
 Au niveau des assertions pour les flux d’opération, les soldes de comptes
et les informations fournies dans les états financiers. Cette évaluation va
constituer la base de détermination de la nature, du calendrier et l’étendue
des procédures d’audit.
L’ISA 330 « Réponses de l’auditeur à l’évaluation des risques » énonce,

dans ses paragraphes 44 et 45, que :
 Lorsque, conformément au paragraphe 108 de l a norme ISA 315,

l’auditeur a estimé qu’un risque identifié d’anomalies significatives au
niveau d’une assertion est significatif et qu’il prévoit de s’appuyer sur
l’efficacité du fonctionnement des contrôles destinés à réduire ce risque
significatif, il doit recueillir des éléments probants portant sur l’efficacité
du fonctionnement de ces contrôles à partir de tests de procédures mises
en œuvre durant la période en cours.
 Lorsque, conformément au paragraphe 108 de la norme ISA 315,
l’auditeur a considéré que le risque d’anomalies significatives au niveau
d’une assertion est significatif, il doit mettre en œuvre des contrôles de
substance qui répondent spécifiquement à ce risque.
Page 139
Section 2 : Démarche d’évaluation du contrôle interne dans une

mission d’audit des états financiers
2.1 Appréciation du processus d’évaluation du contrôle interne par
l’entité
2.1.1 Intérêt et apport de l’appréciation du processus d’évaluation par

l’entité du contrôle interne dans la mission d’audit des états financiers
L’appréciation par l’auditeur du processus d’évaluation par l’entité du
contrôle interne à l’égard de l’information financière fait partie de la prise de
connaissance du contrôle interne et plus généralement de l’entité elle-même afin
d’identifier les domaines où des faiblesses importantes de contrôle interne
pourraient exister.
En deuxième lieu, cette appréciation permet à l’auditeur de vérifier si

l’entité dispose de bases appropriées et adéquates pour soutenir son évaluation
du contrôle interne à l’égard de l’information financière. Dans le cas où il juge
que le processus ne constitue pas une base appropriée et adéquate pour
l’évaluation faite par entité, l’auditeur doit considérer les conséquences de cette
situation sur la suite à réserver à sa mission d’audit du contrôle interne. En
d’autres termes, l’auditeur cherche à savoir si pareille situation ne constitue pas
une sérieuse limitation à son travail l’empêchant de mettre en œuvre les
procédures d’audit qu’il juge nécessaires dans les circonstances et par
conséquent à réaliser sa mission ? Il en serait ainsi, si l’auditeur devait conclure
que :
 Le contrôle interne mis en place au sein de l’entité n’est pas suffisamment
documenté, formalisé, il n’a pas même fait l’objet d’une évaluation de
son efficacité ;
 Les critères d’appréciation du contrôle interne retenus par l’entité ne sont
pas convenables.
Page 140
Enfin, l’appréciation par l’auditeur du processus d’évaluation du contrôle

interne par l’entité, lui permettra de se faire une idée sur les travaux effectués
par l’entité ou tous autres intervenants externes agissant selon sa demande et ses
besoins, et sur lesquels il pourrait envisager de s’appuyer lors de la collecte des
éléments probants.
2.1.2 Critère d’appréciation du processus d’évaluation du contrôle

interne par l’entité
L’auditeur doit acquérir une compréhension du processus auquel l’entité a
eu recours pour apprécier le contrôle interne à l’égard de l’information
financière de l’entité, et il doit apprécier ce processus. Lorsqu’il acquiert cette
compréhension, l’auditeur se demande si l’entité a :
 Déterminé les contrôles à tester, y compris les contrôles portant sur
chacune des assertions pertinentes relatives à chaque compte significatif
et chaque information significative contenue dans les états financiers ;
 Évalué la probabilité qu’une déficience du contrôle interne puisse aboutir
à une inexactitude, l’ampleur d’une telle inexactitude, et la mesure dans
laquelle les autres contrôles permettent, s’ils sont efficaces, d’atteindre les
mêmes objectifs de contrôle ;
 Évalué l’efficacité de la conception des contrôles ;
 Évalué l’efficacité du fonctionnement des contrôles en se fondant sur des
procédés suffisamment étendus pour concevoir à cette fin ;
 Déterminé les déficiences dans le contrôle interne à l’égard de
l’information financière dont l’ampleur et la probabilité de survenance
sont telles qu’elles constituent des déficiences significatives ou des
faiblesses importantes ;
 Communiqué ses constations à l’auditeur et aux autres collaborateurs à
qui il y a lieu de le faire ;
 Jugé si ses constations sont raisonnables et appuient son évaluation.
Page 141
Lorsqu’il acquiert une compréhension du processus utilisé par l’entité et

lorsqu’il l’apprécie, l’auditeur doit acquérir une compréhension des résultats des
procédures mises en œuvre, tout au long du processus, par d’autres personnes.
Ces autres personnes comprennent l’équipe projet chargée de conduire
l’évaluation faite par l’entité, les auditeurs internes et les tiers agissant selon les
instructions de l’entité. Il peut s’agir d’autres auditeurs ou experts comptable
engagés pour mettre en œuvre des procédures dont l’entité utilisera les résultats
pour procéder à son évaluation.
La prise de renseignements concernant ce processus, auprès des membres de

l’entité et d’autres personnes constitue un point de départ pour l’acquisition
d’une compréhension du contrôle interne à l’égard de l’information financière,
mais elle ne permet pas à l’elle seule tirer quelque conclusion que ce soit sur
l’efficacité du contrôle interne à l’égard de l’information financière.
L’auditeur doit s’assurer que l’évaluation faite par l’entité, de l’efficacité du

contrôle interne à l’égard de l’information financière ne repose d’aucune façon
sur des procédés qu’il a lui-même mis en œuvre.
2.1.3 Examen de la documentation existant du processus d’évaluation

du contrôle interne
L’auditeur doit déterminer si l’entité dispose d’une documentation appropriée et
adéquate à l’appui de son évaluation. Pour ce faire, l’auditeur cherche à savoir si
cette documentation traite les éléments suivants :
 La conception des contrôles portant sur chacune des assertions
pertinentes relatives à chaque compte significatif et chaque information
significative contenus dans les états financiers : l’auditeur détermine si la
documentation réunis traite des cinq composants du contrôle interne à
l’égard de l’information financière qui sont l’environnement de contrôle,
Page 142
l’appréciation des risques, les activités de contrôle, l’information et la

communication, le pilotage.
 La manière dont les opérations significatives sont déclenchées, autorisées,
enregistrées, traitées et présentées ;
 Le cheminement des opérations : les informations consignées doivent être
suffisantes pour permettre de déterminer les points où des inexactitudes
importantes résultant d’une fraude ou d’une erreur pourraient se produire ;
 Les contrôles visant à prévenir ou à détecter les fraudes, notamment les
personnes chargées d’appliquer ces contrôles et la séparation des tâches
en conséquence ;
 Les contrôles portant sur le processus de clôture comptable ;
 Les contrôles portant sur la protection des actifs ;
 Les résultats des tests et de l’évaluation effectués par l’entité.
La documentation peut se présenter sur différentes formes : papier, fichiers

électroniques ou autres. Elle peut comprendre différents documents : manuels de
politiques, modèles de processus, graphiques d’acheminement, définitions de
fonction, documents et formulaires. La forme et l’étendue de la documentation
varient en fonction de la taille, de la nature et de la complexité de l’entité.
Lorsque la documentation concernant la conception des contrôles portant sur

des assertions pertinentes relatives aux comptes significatifs et aux informations
significatives est inadéquate, l’auditeur doit juger si cette déficience de contrôle
à l’égard de l’information financière est significative. A cet effet, l’auditeur doit
déterminer si l’entité peut démontrer que le contrôle interne à l’égard de
l’information financière comporte une composante pilotage et surveillance
adéquate.
L’auditeur pourrait alors conclure qu’il s’agit d’une simple déficience, d’une
déficience significative ou d’une faiblesse importante. Une documentation
Page 143
inadéquate pourrait aussi amener l’auditeur à conclure qu’il y a limitation à son

travail.
2.2 Compréhension du contrôle interne pertinent à l’égard de

2.2.1 Identification des contrôles pertinents pour l’établissement des

états financiers
Les contrôles opérés au niveau de l’entité ont souvent une incidence
généralisée sur les contrôles au niveau des processus, des opérations et des
applications. C’est pourquoi il peut être préférable, d’un point de vue pratique,
que l’auditeur teste et évalue d’abord l’efficacité de la conception des contrôles
au niveau de l’entité, car les résultats de son travail pourraient influer sur son
évaluation des autres aspects de contrôle interne à l’égard de l’information
financière.
Ci-dessous des exemples de contrôles au niveau de l’entité :
 Les contrôles faisant partie de l’environnement de contrôle, notamment :

le ton donné par la direction, l’attribution de l’autorité et de la
responsabilité, un ensemble cohérent de politiques, de procédures et de
programmes à l’échelle de l’entité, tels que les codes d’éthique et les
programmes de prévention de la fraude ;
 Le processus d’appréciation des risques par la direction ;
 Les traitements et les contrôles centralisés ;
 Les contrôles de pilotage et de surveillance des résultats d’exploitation ;
 Les contrôles qui consistent à surveiller d’autres contrôles, notamment :
les activités de l’audit interne, le comité d’audit et les programmes
d’autoévaluation ;
Page 144
 Les politiques approuvées par le conseil et portant sur les pratiques

significatives en matière de contrôle des activités et de gestion des
risques.
L’inefficacité des contrôles au niveau de l’entité constitue une déficience qui

influera sur l’étendue du travail de l’auditeur essentiellement dans les entités de
grande taille ayant de multiples établissements ou unités d’exploitation.
Cependant, l’auditeur doit être conscient, même si ces contrôles sont efficaces,
qu’il n’est pas suffisant de vérifier seulement les contrôles au niveau de l’entité
dans une mission d’audit du contrôle interne à l’égard de l’information
financière.
2.2.2 Evaluation de l’efficacité de la conception des contrôles

La conception du contrôle interne est efficace lorsque le respect des
contrôles mis en place permet de prévenir ou détecter les erreurs ou les fraudes
qui pourraient engendrer une anomalie significative dans les états financiers70.
L’auditeur doit déterminer si l’entité dispose de contrôles qui permettent

d’atteindre les objectifs des critères de contrôles. Pour ce faire, il doit :
 Recenser les objectifs de contrôle interne de l’entité pour chaque
processus ;
 Recenser les contrôles qui permettent de satisfaire à chaque objectif ;
 Déterminer si les contrôles, lorsqu’ils fonctionnent adéquatement,
permettent de prévenir ou de détecter efficacement les erreurs ou les
fraudes qui pourraient aboutir à des inexactitudes dans les états financiers.
L’auditeur doit tester et évaluer l’efficacité de la conception en ayant

recours à des procédures qui comprennent la prise de renseignements,
l’observation, les tests de cheminement, l’inspection de la documentation
pertinente, ainsi qu’une évaluation portant spécifiquement sur la question de
70
Mohamed HAMZAOUI : Gestion des risques et contrôle interne -édition Pearson, 2008, page 190
Page 145
savoir si les contrôles, lorsqu’ils sont appliqués comme prévu par des personnes
ayant des qualifications appropriées, peuvent vraisemblablement prévenir ou
détecter les erreurs ou les fraudes qui pourraient aboutir à des anomalies ou
inexactitudes significatives.
Les procédures mises en œuvre par l’auditeur pour apprécier le processus

d’évaluation faite par l’entité et pour acquérir une compréhension du contrôle
interne à l’égard de l’information financière lui fournissent aussi des éléments
probants de l’efficacité de la conception de ce même contrôle.
Les procédures mises en œuvre par l’auditeur pour tester et évaluer

l’efficacité de la conception peuvent aussi fournir des éléments probants de
l’efficacité du fonctionnement.
2.2.3 Evaluation de l’efficacité du fonctionnement des contrôles

L’auditeur doit évaluer l’efficacité du fonctionnement du contrôle en
déterminant si le contrôle fonctionne comme prévu et si la personne qui l’exerce
possède l’autorité et les qualifications nécessaires pour le mettre en œuvre
efficacement.
2.2.3.1 Nature des tests des contrôles

Afin de procéder à cette évaluation, l’auditeur met en œuvre des tests des
contrôles qui comprennent une combinaison des procédures suivantes : prise de
renseignement auprès du personnel approprié, inspection de la documentation
pertinente, observations des activités de l’entité et reprise de l’application de
contrôle.
 La prise de renseignements auprès du personnel approprié : Ce procédé

consiste à obtenir des informations, financières ou non financières, auprès
des personnes intervenant dans le cheminement des opérations clés,
depuis l’ouverture du courrier jusqu’à la dernière activité relative à ces
Page 146
opérations. La prise de renseignements est largement utilisée tout au long

de l’audit et elle sert souvent de complément à l’application d’autres
procédures. Elle peut aller des demandes officielles envoyées par écrit
aux questions posées lors d’un entretien.
 L’observation d’une séquence de l’opération clé de la catégorie

d’opération clé : Ce procédé conduit l’auditeur à décrire dans un
diagramme, par exemple, le cheminement réel qui résulte de ses
observations, notamment lorsque l’entité n’a pas formalisé les contrôles,
ce qui est généralement le cas dans les petites et moyennes entités.
 L’inspection de la documentation pertinente : Dans l’exemple des

conventions de formation, les feuilles de présence des stagiaires, les
factures ou mémoires de formation, entre autres, et dans l’exemple des
contrôles faits par la direction, les rapports qu’il a établis sur les écarts de
marge brute.
 Les tests de cheminement : L’auditeur doit exécuter au moins un test de

cheminement pour chaque catégorie clé d’opérations. Ce test consiste à
suivre une opération à travers les systèmes d’information de l’entité,
depuis son origine jusqu’aux états financiers dans lesquelles est incluse.
Les tests de cheminement fournissent des éléments probants qui
conforment :
 La compréhension par l’auditeur du déroulement effectif des
opérations ;
 Sa compréhension de la conception de contrôles identifiés pour les
cinq composantes du contrôle interne pertinentes pour l’audit, y
compris ceux relatifs à la prévention ou à la détection des fraudes ;
 Son évaluation si tous les points du processus susceptibles de
contenir une anomalie ont été identifiés pour chacune des assertions
Page 147
 Son évaluation de l’efficacité de la conception des contrôles ;

 La mise en œuvre des contrôles.
Dans le test de cheminement, à chaque point où une procédure ou un

contrôle de traitement important de l’opération est mis en œuvre, l’auditeur
interroge le personnel de l’entité pour savoir s’il comprend les exigences des
procédures et contrôles imposées par l’entité. De plus, il détermine si les
procédures de traitement sont exécutées comme prévu initialement et en temps
opportun.
Tout au long du test de cheminement, l’auditeur reste attentif aux exceptions

aux procédures et contrôles mis en place par l’entité, notamment lorsqu’il
examine le cheminement des procédures :
 De déclenchement ;
 D’autorisation ;
 D’enregistrement et de traitement des écritures de journal reportées au
grand livre ;
 De comptabiliser des ajustements récurrents et non récurrents dans les
états financiers annuels et trimestriels (ajustements au titre de la
consolidation, regroupements aux fins des rapports et reclassements).
 De préparation des états financiers annuels et trimestriels et des notes
complémentaires.
2.2.3.2 Calendrier d’application des tests de contrôles

Le paragraphe 35 de la norme ISA 330 précise que le calendrier
d’application des tests d’application des tests de contrôles dépend de l’objectif
de l’auditeur et détermine la période pendant laquelle celui-ci peut s’appuyer sur
ces contrôles. Si l’auditeur teste les contrôles à une date donnée, les éléments
probants qu’il obtient indiquent uniquement que les contrôles fonctionnent
efficacement à cette date. En revanche, s’il teste les contrôles sur l’ensemble
Page 148
d’une période, il obtient des éléments probants indiquant que les contrôles
fonctionnaient efficacement au long de cette période.
La période durant laquelle l’auditeur effectue ses tests de contrôles varie en

fonction de la nature des contrôles qui font l’objet de tests et de la fréquence de
contrôle particuliers mis en œuvre et des politiques particulières appliquées.
Certains contrôles fonctionnent de façon répétitive (par exemple, les contrôles
sur les ventes), et d’autres ne fonctionnent qu’a certains moments (par exemple,
les contrôles sur l’établissement des états financiers périodiques et les contrôles
sur les inventaires physiques).
Selon le paragraphe 36 de la norme ISA 330, des éléments probants qui ne

portent que sur une date donnée peuvent répondre au besoin de l’auditeur, par
exemple lorsqu’il teste les contrôles sur les données périodiques non courantes,
comme le dénombrement physique des stocks de l’entité à la fin de l’exercice.
En revanche, si l’auditeur a besoin d’éléments probants concernant l’efficacité
d’un contrôle sur une période donnée, les éléments probants portant uniquement
sur une date donnée peuvent se révéler insuffisants. Dans ce cas, l’auditeur
complète ses tests par d’autres tests de contrôles qui lui permettent de réunir des
éléments probants indiquant que le contrôle a fonctionné efficacement aux
moments pertinents, au cours de la période visée par l’auditeur71.
2.2.3.3 Etendue des tests de contrôles

Pour chaque exercice, l’auditeur doit réunir, des éléments probants
suffisants et appropriés du fonctionnement efficace du contrôle interne à l’égard
de l’information financière. C’est donc dire que pour chaque exercice, l’auditeur
doit réunir des éléments probants de l’efficacité des contrôles à l’égard de toutes
assertions pertinentes relatives à chaque compte significatif et chaque
information significative contenus dans les états financiers.
71
Mohamed HAMZAOUI : Gestion des risques et Contrôle interne -édition Pearson, 2008, page 198
Page 149
L’auditeur doit aussi varier d’un exercice à l’autre la nature, le calendrier

d’application et l’étendue des tests de contrôles afin d’y introduire un élément
d’imprévisibilité et de réagir aux changements de l’environnement.
Lorsqu’il détermine l’étendue des procédures à mettre en œuvre, l’auditeur

doit concevoir les procédures de manière à obtenir un niveau élevé d’assurance
que les contrôles testés fonctionnent efficacement. A cet égard, l’auditeur prend
en considération les facteurs suivants :
 La nature du contrôle ;
 La fréquence de la mise en œuvre ;
 L’importance du contrôle.
- Nature du contrôle : L’étendue des tests des contrôles dépend des
caractéristiques suivants :
 Les contrôles sont manuels ou automatisés : dans certaines
situations, il peut suffire de tester une seule mise en œuvre d’un
contrôle automatisé pour obtenir un niveau élevé d’assurance
que le contrôle a fonctionné efficacement, pourvu que les
contrôles informatiques généraux fonctionnent efficacement eux
aussi. Dans le cas d’un contrôle manuel, on obtient des éléments
probants suffisants et appropriés de l’efficacité du
fonctionnement en évaluant plusieurs mises en œuvre du contrôle
que les résultats obtenus à chaque fois.
 La complexité des contrôles ;
 L’importance des jugements devant être posés en rapport avec
leur fonctionnement ;
 Le niveau de compétence attendu de la personne qui les applique
afin d’en assurer le fonctionnement efficace.
Page 150
Plus la complexité et le niveau de jugement requis sont élevés, ou plus le niveau

de compétence de la personne qui applique le contrôle est faible, plus l’auditeur
procède des tests étendus.
- Fréquence de mise en œuvre : En général, plus la mise en œuvre d’un

contrôle manuel est fréquente, plus l’auditeur teste un nombre élevé de
mises en œuvre du contrôle. De ce fait :
 Dans le cas d’un contrôle manuel qui fonctionne en lien avec
chaque opération, l’auditeur teste la mise en œuvre du contrôle à
plusieurs reprises sur une période de temps suffisante pour
obtenir un niveau élevé d’assurance que le contrôle a fonctionné
efficacement.
 Dans le cas de contrôles mis en œuvre moins fréquemment,
l’auditeur peut tester un nombre sensiblement moindre de mises
en œuvre du contrôle. Cependant, l’auditeur procédera
vraisemblablement à une évaluation plus étendue de chacune de
ces mises en œuvre. Par exemple, lorsqu’il évalue un état de
rapprochement bancaire, l’auditeur évalue si les jugements posés
quant aux mesures à prendre en réponse aux opérations en
suspens, étaient appropriés et fondés.
 Lorsqu’il convient de procéder par échantillonnage et que la
population du contrôle à tester est grande, un accroissement de la
taille de la population ne nécessite pas une augmentation
proportionnelle de la taille de l’échantillon.
- Importance du contrôle : Les contrôles dont l’importance relative est plus

grande font l’objet de tests plus étendus. Etant précisé que l’importance
relative d’un contrôle donné est fonction de l’importance relative des
inexactitudes potentielles, susceptibles de survenir au niveau des états
financiers si ce contrôle n’est pas efficace. Par exemple, certains contrôles
Page 151
peuvent porter simultanément sur plusieurs assertions contenues dans les

états financiers, et certains contrôles de détection de fin de période
peuvent être considérés comme étant plus importants que les contrôles
préventifs correspondants. L’auditeur teste donc un plus grand nombre de
remises en œuvre de ces contrôles ou, si leur mise en œuvre est peu
fréquente, l’auditeur évalue de manière plus étendue chaque mise en
œuvre du contrôle.
2.3 Evaluation des déficiences du contrôle interne à l’égard de

Lorsqu’il se forme une opinion sur le contrôle interne à l’égard de
l’information financière, l’auditeur doit évaluer les éléments probants obtenus de
toute provenance, notamment le résultat de l’appréciation du caractère adéquat
de l’évaluation effectuée par l’entité ainsi que les résultats de l’évaluation de la
conception et des tests de l’efficacité du fonctionnement des contrôles qu’il a
effectué.
Toutes les déficiences de contrôles détectées doivent êtres évaluées afin de

déterminer si elles constituent, individuellement ou en combinaison avec
d’autres, des déficiences significatives ou des faiblesses importantes.
L’évaluation du caractère significatif d’une déficience doit comporter tant des
facteurs qualitatifs que quantitatifs.
2.3.1 Critère d’appréciation du critère significatif d’une déficience

L’auditeur doit juger du caractère significatif d’une déficience du contrôle
interne à l’égard de l’information financière en déterminant les éléments
suivants :
- La probabilité que la déficience, seule ou en combinaison avec d’autres,
puisse aboutir à une inexactitude dans le solde de compte ou une
information dans les états financiers.
Page 152
- L’ampleur de l’inexactitude potentielle résultant de la déficience ou des

déficiences.
2.3.1.1 Probabilité que la déficience puisse aboutir à une inexactitude

Plusieurs facteurs influent sur la probabilité qu’une déficience, seule ou en
combinaison avec d’autres, puisse aboutir à une inexactitude dans les soldes des
comptes ou les informations dans les états financiers. Ces facteurs peuvent être à
titre indicatif les suivants :
- La nature des comptes, informations et assertions contenus dans les
états financiers qui sont en cause ;
- La vulnérabilité à la perte ou à la fraude des actifs.
- Le niveau de subjectivité, de complexité ou de jugement requis pour
déterminer le montant en question ;
- L’interaction ou le lien et d’autres contrôles ;
- L’interaction des déficiences ;
- Les conséquences éventuelles de la déficience.
Lorsqu’il évalue la probabilité qu’une déficience ou une combinaison de

déficiences puisse aboutir à une inexactitude, l’auditeur doit évaluer la manière
dont les contrôles interagissant avec d’autres. Il y a des contrôles, tels que les
contrôles informatiques généraux, dont dépendant d’autres contrôles. Certains
contrôles fonctionnent en interaction avec d’autres, constituant un groupe de
contrôle. Il y a aussi des contrôles qui se recoupent, c'est-à-dire qui visent la
réalisation d’un même objectif.
2.3.1.2 Ampleur de l’inexactitude

Plusieurs facteurs influent sur l’ampleur de l’inexactitude qui pourrait
résulter d’une ou de plusieurs déficiences des contrôles. Ces facteurs
comprennent entre autres :
Page 153
- Le montant des comptes contenus dans les états financiers ou le total des
opérations exposées à la déficience ;
- Le volume des comptes ou des catégories d’opérations exposées à la
déficience pour la période considérée, ou dont on prévoit qu’ils le seront
dans les périodes futures.
Lorsqu’il procède aux tests des contrôles sur un échantillon représentatif de

la population, l’auditeur ne peut pas se contenter de calculer le nombre
d’exceptions ou le taux de déviation constatés sur l’échantillon examiné. Il
doit, plutôt procéder au calcul de l’ampleur monétaire des inexactitudes
potentielles qui pourraient survenir au niveau des comptes sur la base des
exceptions trouvées dans l’échantillon. Par la suite, il procède à la projection de
l’ampleur monétaire des inexactitudes potentielles calculées au niveau de
l’échantillon sur toute la population.
Ce calcul de l’ampleur monétaire des inexactitudes potentielles peut être

effectué soit avant, soit après la prise en considération des comptes additionnels
ou compensatoires en rapport avec le même objectif de contrôle.
2.3.2 Indice d’une faiblesse importante

L’auditeur doit considérer chacune des situations suivantes comme
constituant à tous le moins une déficience significative et comme étant un solide
indice de l’existence d’une faiblesse importante dans le contrôle interne à
l’égard de l’information financière :
- La détection, par l’auditeur, d’une inexactitude importante dans les états
financiers de l’exercice considéré qui n’avait pas été détecté par le
contrôle interne à l’information financière, même lorsque l’entité corrige
l’inexactitude suite à sa découverte ;
- Un pilotage inefficace de l’établissement des états financiers et du
contrôle interne par le comité d’audit ou par le conseil d’administration ;
Page 154
- Une fonction audit interne inefficace dans une entité où une telle fonction
se doit d’être efficace pour que le contrôle de l’entité comporte une
composante pilotage et appréciation des risques efficace ;
- Une fonction conformité avec les règlements inefficaces dans une entité
qui œuvre dans un secteur hautement réglementé.
- La détection d’une fraude de quelque ampleur que ce soit impliquant la
haute direction. Bien que l’auditeur soit tenu de planifier et de mettre en
œuvre des procédures visant à obtenir une assurance raisonnable que les
inexactitudes importantes résultant de fraudes seront détectées, il doit, à la
fin de l’évaluation et de la communication des déficiences dans le
contrôle interne à l’égard de l’information financière, évaluer toute fraude
de quelque ampleur que ce soit (y compris les fraudes aboutissant à des
inexactitudes négligeables) impliquant la haute direction et dont il a
connaissance ;
- Le fait que des déficiences significatives dont l’existence a été signalée à
la direction et au comité d’audit ou au conseil d’administration ne sont
pas toujours corrigées après un certain délai raisonnable ;
- Un environnement de contrôle inefficace.
2.3.3 Prise en compte du jugement professionnel

Lorsqu’il évalue le caractère significatif d’une déficience dans le contrôle
interne à l’égard de l’information financière, l’auditeur doit déterminer le niveau
de détail et le degré d’assurance satisfaisant qui permettraient à des dirigeants
prudents d’avoir, dans la conduite normale de leurs propres affaires, une
assurance raisonnable que les opérations sont enregistrées comme il se doit pour
permettre l’établissement d’états financiers selon les conventions comptables
généralement admises. Si l’auditeur détermine que la déficience empêcherait les
dirigeants de conclure qu’ils disposent de cette assurance raisonnable dans la
conduite de leur propres affaires, il doit considérer que la déficience constitue à
Page 155
tout le moins une déficience significative. Par la suite, l’auditeur doit poursuivre
son évaluation de cette déficience afin de déterminer si elle constitue, seule ou
combinée avec d’autres, une faiblesse importante.
L’auditeur doit évaluer aussi, le caractère significatif des déficiences du

contrôle interne résultant d’une documentation inadéquate de la conception des
contrôles et de l’absence de document suffisant à l’appui de l’évaluation, faite
par l’entité, de l’efficacité du fonctionnement du contrôle interne à l’égard de
l’information financière. Dans ce genre d’évaluation, l’auditeur fait recours à
son expérience acquise lors des missions précédentes ou dans des situations
similaires rencontrées dans d’autres missions.
2.3.4 Communication des déficiences du contrôle interne aux

responsables de la gouvernance et à la direction
Les défaillances du contrôle interne objet d’une communication dans une
mission d’audit des états financiers peuvent être résumées comme suit :
- Déficience de l’environnement de contrôle : par exemple, des faiblesses
telle que le manque de compétence de la direction peuvent avoir un effet
diffus sur les états financiers ;
- Risque d’affaire significatif pour lequel il n’existe pas de procédures de
contrôle spécifique ;
- Procédures inadéquates mises en place pour :
 Appliquer les principes comptables ;
 Déterminer les estimations comptables et évaluer leur caractère
raisonnable ;
 Préparer les états financiers.
Le paragraphe 120 de l’ISA 315 énonce que l’auditeur doit informer, dès
que possible, les personnes constituant le gouvernement d’entreprise ou la
direction au niveau approprié de responsabilité, des faiblesses majeures qu’il a
Page 156
relevé dans la conception ou la mise en œuvre du contrôle interne. Ensuite, il est

de la responsabilité de la direction de mettre en place le contrôle interne
approprié ou de donner les raisons de ne pas le faire.
Il en est de même pour l’auditeur des petites entités, quant à l’obligation de
communiquer les défaillances du contrôle interne aux personnes chargées de la
gouvernance de l’entité72.
2.3.5 Formulation d’une opinion sans réserve

L’auditeur ne doit exprimer une opinion sans réserve que lorsque aucune
faiblesse importante n’a été relevée et qu’il n’a eu aucune limitation du travail.
Comme il sera développé dans le paragraphe 2.5 « Le rapport du commissaire
aux comptes sur le contrôle interne », l’existence d’une faiblesse importante
oblige l’auditeur à exprimer une opinion avec réserve ou à déclarer qu’il lui est
impossible d’exprimer une opinion, le tout étant conditionné par le caractère
significatif de la limitation du travail.
2.4 Utilisation des travaux des autres personnes

Dans un audit du contrôle interne à l’égard de l’information financière,
l’auditeur doit effectuer suffisamment de travail d’audit lui-même, de sorte que
son propre travail soit à l’origine des principaux éléments probants à l’appui de
son opinion. Cependant, l’auditeur peut utiliser le travail d’autres personnes
pour modifier la nature, le calendrier d’application ou l’étendue des travaux
qu’il aurait par ailleurs effectués. A cet égard, le travail d’autres personnes
comprend les travaux de l’audit interne, celui d’autres membres du personnel ou
de tierces personnes travaillant selon les instructions de la direction ou du
comité d’audit. Vraisemblablement, l’auditeur aura une chance de trouver parmi
les travaux effectués lors de l’évaluation par l’entité de son propre contrôle
72
Hechmi Abdewahed : Guide pour l’utilisation des Normes Internationales d’Audit dans l’Audit des Petites et
Moyennes Entreprises
site web : http://www.ifac.org/sites/default/files/downloads/RAcsumAc_du_guide_d_audit_IFAC.pdf, site Web
consulté le 27 Novembre 2012
Page 157
interne, une manière qui lui éviterait de consacrer un budget temps non
négligeable à refaire un travail déjà effectué.
Pour déterminer dans quelle mesure il peut utiliser le travail d’autres

personnes, l’auditeur doit :
- Evaluer la nature des contrôles effectués par des autres personnes ;
- Evaluer la compétence et l’objectivité des autres personnes ;
- Tester les travaux des autres personnes.
La responsabilité de faire un rapport sur l’efficacité du contrôle interne à

l’égard de l’information financière incombe entièrement à l’auditeur,
indépendamment de l’étendue des travaux qu’il doit exécuter lui-même. De ce
fait, il ne peut partager cette responsabilité avec d’autres personnes dont il utilise
les travaux. Cependant, il faut garder à l’esprit que l’étendue des travaux que
l’auditeur doit effectuer lui-même ne se prête pas à une mesure quantitative
précise. Le plus important est que l’auditeur donne davantage de poids, aux
éléments probants obtenus par ses propres travaux, dans les zones à risque élevé.
2.4.1 Evaluation de la nature des contrôles effectués par des autres

personnes
L’auditeur doit considérer les facteurs suivants lorsqu’il évalue la nature des
contrôles qui ont fait l’objet du travail d’autres personnes :
- L’importance relative des comptes et des informations faisant l’objet du
contrôle interne et le risque d’inexactitude importante ;
- La part de jugement nécessaire pour évaluer l’efficacité du
fonctionnement du contrôle ;
- L’incidence généralisée du contrôle ;
- La mesure dans laquelle le compte ou l’information fait appel au
jugement ou à l’estimation ;
- La possibilité que la direction contourne le contrôle ;
Page 158
Plus ces facteurs sont significatifs, plus l’auditeur effectue lui-même le

travail portant sur les contrôles en question. Moins ils sont significatifs, moins il
importe que l’auditeur fasse le travail lui-même.
Il est jugé important que l’auditeur fasse lui-même le travail de contrôle

dans deux domaines spécifiques. En premier lieu, il s’agit de l’environnement de
contrôle. Dans ce domaine, l’auditeur ne doit pas se fonder sur le travail des
autres personnes. De plus il ne tient compte de leurs résultats qu’ à titre
d’indication de la nécessité d’augmenter l’étendue de son travail. En deuxième
lieu, il s’agit des tests de cheminement. Dans ce domaine et en raison de la part
de jugement que ce travail comporte, l’auditeur doit effectuer lui-même ces
tests. Toutefois, afin de réunir des éléments probants additionnels, l’auditeur
peut passer aussi en revue le travail d’autres personnes qui ont effectué des tests
de cheminement et ont consigné les résultats dans le dossier du travail.
2.4.2 Evaluation de la compétence et de l’objectivité des autres

personnes
La mesure dans laquelle l’auditeur peut utiliser le travail d’autres personnes
dépend du niveau de compétence et d’objectivité des personnes qui font le
travail. Plus ce niveau est élevé, plus l’auditeur peut utilise leur travail dans une
large mesure. Plus il est faible, moins il peut utiliser leur travail.
Les facteurs relatifs à la compétence des personnes qui effectuent les tests
des contrôles comprennent :
- Le niveau de scolarité et d’expérience ;
- Le titre professionnel et la formation continue ;
- La supervision et la révision du travail ;
- La qualité de la documentation produite, y compris, s’il y a lieu, les
rapports et les recommandations.
Page 159
Les facteurs relatifs à l’objectivité des personnes qui effectuent les tests des
contrôles comprennent les suivants :
- La situation, au sein de l’organisation, des personnes responsables du

travail en matière de tests de contrôles. En l’occurrence, il s’agit de juger
le poids de l’autorité de la fonction d’audit interne au sein de l’entité, son
rattachement hiérarchique et le degré d’implication et de supervision du
comité d’audit ou du conseil d’administration en matière d’emploi et de
recrutement.
- Les politiques destinées à préserver l’objectivité du personnel de l’entité.
2.4.3 Tester les travaux des autres personnes

L’auditeur doit tester par sondage le travail des autres personnes afin d’en
évaluer la qualité et l’efficacité. Pour ce faire, l’auditeur peut procéder :
- Soit en testant certains des contrôles que les autres personnes ont testé ;
- Soit en testant des contrôles similaires que les autres personnes n’ont pas
testés.
L’auditeur doit juger si son évaluation de la qualité et de l’efficacité globales

du travail qu’il envisage d’utiliser a un effet sur ces conclusions quant à la
compétence et à l’objectivité des personnes qui effectuent ce travail.
Lorsqu’il évalue la qualité et l’efficacité du travail d’autres personnes,

l’auditeur doit notamment :
- Si l’étendue du travail est suffisante pour atteindre les objectifs ;

- Si les programmes de travail sont adéquats ;
- Si le travail effectué fait l’objet d’une documentation adéquate, qui
comporte notamment des traces de supervision et de révision ;
- Si les conclusions sont appropriées dans les circonstances ;
Page 160
- Si les rapports produits sont cohérents avec les résultats du travail

effectué.
2.5 Le rapport du commissaire aux comptes sur le contrôle interne
2.5.1 Le contenu et la forme du rapport sur le contrôle interne

Une mission d’audit du contrôle interne à l’égard de l’information financière
a pour objectif l’expression d’une assurance raisonnable quant à la fiabilité de
l’assertion de l’entité que son contrôle interne est efficace ou quant à l’efficacité
du contrôle interne à l’égard de l’information financière. Etant précisé que le
choix de l’une ou l’autre des deux formulations de l’opinion a des conséquences
identiques sur l’étendue des travaux mis en œuvre par l’auditeur ainsi que sur le
niveau d’assurance procuré par chacune des deux.
De ce fait, les éléments de base, qu’un rapport d’audit du contrôle interne à

l’égard de l’information financière devrait inclure, sont les suivants :
- Le titre indiquant clairement que ce rapport est un rapport d’audit

indépendant ;
- L’identification des destinataires du rapport ;
- L’identification et la description du rapport de l’entité consignant sa
propre assertion ou titre du contrôle interne , ainsi que du contrôle interne
lui-même. Ces informations peuvent inclure par exemple :
 La date à la quelle s’effectue l’évaluation du contrôle interne ;
 Le nom de l’entité ;
 Une mention qui précise que le contrôle interne à l’égard de
l’information financière est mise en place par le conseil
d’administration, les dirigeants et le personnel de l’entité dans le
but de fournir une assurance raisonnable que l’information
financière est fiable et que les états financiers ont été établis
conformément aux conventions comptables généralement admises.
Page 161
 Un paragraphe qui mentionne qu’en raison de limites inhérentes au

contrôle interne à l’égard de l’information financière, il se peut que
celui-ci ne permettre pas de prévenir ou détecter certaines
inexactitudes.
Lorsqu’il est amené à exprimer son opinion selon les termes de l’assertion
de l’entité, l’auditeur doit annexer à son rapport, le rapport de l’entité consignant
cette assertion et il doit reproduire cette même assertion dans son rapport.
- Identification des critères : le rapport d’audit doit identifier les critères

d’application retenus pour l’évaluation de l’efficacité du contrôle interne
de telle sorte que les destinataires du rapport puissent comprendre la base
de l’opinion de l’auditeur. L’auditeur doit considérer s’il est pertinent
d’inclure la source de ces critères et si ou non ces critères sont issus ou
exprimés par des textes de Lois, des instances de régulation ou des corps
d’experts reconnus et autorisés.
- Description de la limitation inhérente associés à l’évaluation de
l’efficacité du contrôle interne selon les critères retenus : l’auditeur doit
préciser dans son rapport que toute projection du résultat d’une évaluation
de l’efficacité du contrôle interne sur des périodes futures est exposée au
risque que les contrôles deviennent inadéquats en raison de changements
de situations ou d’une détérioration du niveau de respect des politiques et
de procédures.
- Lorsque les critères d’appréciation retenus sont valables uniquement pour
une catégorie spécifique de destinataires ainsi que lorsqu’ils sont
pertinents uniquement pour un objectif spécifique, l’auditeur doit inclure
une mention de restitution de l’utilisation de son rapport uniquement pour
les destinataires ou les objectifs concernés : ce paragraphe constitue un
avertissement des lectures de ce rapport que ce dernier est restreint à des
utilisateurs précis ou des objectifs précis.
Page 162
- Une mention qui identifie la partie responsable et qui décrit sa

responsabilité ainsi que la responsabilité de l’auditeur : cette mention doit
inclure :
 Dans le cas où il est établi par l’entité un rapport consignant son
assertion au titre de l’efficacité du contrôle interne et mis à la
disposition des destinataires, l’auditeur doit mentionner dans son
rapport que c’est le conseil d’administration qui est responsable
de l’établissement de ce rapport et de l’assertion y figure.
 Dans le cas où un pareil rapport n’est pas établi par l’entité,
l’auditeur doit mentionner dans son rapport que c’est le conseil
d’administration et la direction générale qui sont responsables de
la mise en place et du maintien au sein de l’entité d’un système de
contrôle interne adéquat.
 S’agissant de la responsabilité de l’auditeur, ce dernier doit
mentionner dans son rapport que sa responsabilité consiste à
exprimer en toute indépendance, une opinion sur l’efficacité du
contrôle à l’égard de l’information financière.
- Une mention selon laquelle l’audit du contrôle à l’égard de l’information
financière a été effectué conformément aux normes internationales d’audit
ou une autre base de vérification.
- Une synthèse du travail effectué : cette synthèse inclut les informations
suivantes :
 Une mention qui indique que l’audit du contrôle interne à l’égard
de l’information financière a été planifié et réalisé en vue d’obtenir
une assurance raisonnable que ce contrôle interne ne comporte pas
de faiblesses importantes ;
 Une mention qui indique qu’un audit du contrôle interne à l’égard
de l’information financière comprend l’acquisition d’une
compréhension du contrôle interne à l’égard de l’information
Page 163
financière, l’appréciation de l’évaluation faite par l’entité, la mise

en œuvre de tests et l’évaluation de l’efficacité de la conception et
du fonctionnement du contrôle interne ainsi que la mise en œuvre
d’autres procédures que l’auditeur a jugées nécessaires dans les
circonstances ;
 Une mention selon laquelle l’auditeur estime que l’audit constitue
une base raisonnable pour l’expression de ses opinions ;
- L’option de l’auditeur : la formulation de l’option de l’auditeur doit
considérer les circonstances suivantes :
 Dans le cas où il intervient dans une mission dans laquelle l’entité
établit et met à la disposition des destinataires, un rapport de
contrôle interne consignant sa propre assertion quant à l’efficacité
du contrôle interne, l’auditeur peut choisir de :
 Formuler son opinion selon les termes de l’assertion de
l’entité. Son opinion serait alors formulée comme suit : « A
notre avis, l’assertion de l’entité que le contrôle interne, dans
tous ses aspects importants et sur la base des critères
d’appréciation retenus, est faible ».
 Exprimer directement une opinion sur l’efficacité du contrôle
interne sur la base de critères d’appréciation retenus. Son
opinion serait alors formulée comme suit : « A notre avis, le
contrôle interne est efficace, dans tous ses aspects importants
et sur la base des critères d’appréciation retenus ».
 Dans le cas où il intervient dans une mission dans laquelle l’entité
n’établit et ne met pas à la disposition des lecteurs des états
financiers, un rapport de contrôle interne, l’auditeur exprime
directement une opinion sur l’efficacité du contrôle interne sur la
base des critères retenus. La formulation serait alors comme suit : «
Page 164
A notre avis, le contrôle interne est efficace, dans ses aspects

importants et sur la base des critères d’appréciation retenus ».
- La date du rapport : ceci permet aux lecteurs de savoir que l’auditeur a
tenu compte de l’incidence sur le contrôle interne et sur son rapport, des
événements dont l’auditeur a eu connaissance et qui se sont produits
jusqu’à cette date ;
- Le nom de la société d’audit ou de l’auditeur ainsi que le lieu de
délivrance du rapport.
2.5.2 Rapport combiné ou rapport séparé

Le cadre conceptuel international des missions d’audit d’assurance ainsi que
la norme ISAE 3000 « Missions d’assurance autre que audit et examen limité de
l’information financière historique » ne donnent aucune indication si l’auditeur
peut choisir de délivrer un rapport combiné, contenant à la fois une opinion sur
les états financiers et une opinion sur le contrôle interne à l’égard de
l’information financière.
Néanmoins, dans l’hypothèse d’établissement de deux rapports distincts et

étant donné la relation entre audit des états financiers et un audit du contrôle
interne, l’auditeur pourrait juger utile de rajouter dans chacun de ses rapports
une information qui explicite cette relation.
2.5.3 Insertion d’un paragraphe sur le contrôle interne dans le rapport

d’audit
En pratique, l’auditeur pourrait ajouter :
- Dans son rapport exprimant un avis sur les états financiers de l’entité, un
paragraphe qui :
 Indique qu’il a également audité l’efficacité du contrôle interne à
l’égard de l’information financière de l’entité et spécifie la date à
laquelle s’applique son opinion ;
Page 165
 Mentionne que l’audit du contrôle interne à l’égard de l’information

financière a été effectué conformément à la norme des missions
d’assurance ISAE 3000 « Missions d’assurance autre que audit et
examen limité de l’information financière historique » ;
 Identifie les critères appropriés pour procéder à l’évaluation du
contrôle interne à l’égard de l’information financière et faire
rapport sur celui-ci ;
 Indique la date du rapport ;
 Précise la nature de l’opinion.
- Dans son rapport sur le contrôle interne à l’égard de l’information
financière, un paragraphe qui :
 Indique qu’il a également audité les états financiers de l’entité ;
 Mentionne que l’audit des états financiers a été exécuté
conformément aux normes d’audit généralement reconnues ;
 Indique la date des états financiers ;
 Indique la date du rapport ;
 Précise la nature de l’opinion.
2.5.4 Modification du rapport

L’auditeur doit apporter des modifications à son rapport lorsque l’une ou
l’autre des situations suivantes se présente :
- Il y a une limitation du travail ;

- Il y a désaccord avec l’entité concernant la fiabilité de son assertion
relative à l’efficacité du contrôle interne à l’égard de l’information
financière ;
- Il y a une faiblesse importante dans le contrôle interne à l’égard de
l’information financière ;
Page 166
Dans la circonstance décrite au point un, l’auditeur doit exprimer ou bien

une opinion avec réserve ou bien une impossibilité d’exprimer une opinion.
Dans les circonstances deux et trois, l’auditeur doit exprimer une opinion avec
réserve ou une opinion défavorable.
2.5.4.1 Opinion sans réserve avec paragraphe d’observation

Une opinion sans réserve avec paragraphe d’observation doit être exprimée
si l’auditeur conclut qu’il est nécessaire et selon son jugement professionnel
d’ajouter un paragraphe d’observation pour attirer l’attention des utilisateurs sur
un point qui est présenté ou fait l’objet d’informations dans le rapport du
contrôle interne présenté par le conseil d’administration ou par la direction.
Une opinion sans réserve avec paragraphe d’observation est traduite par le
terme « Sans remettre en cause notre opinion, nous attirons votre attention sur
les circonstances présentées dans le point n°…, qui décrivent des faiblesses
limitées du système de contrôle interne . Étant donné que ces faiblesses ne font
pas peser de risque important sur les objectifs du contrôle interne, elles ne sont
pas considérées comme significatives dans le contexte de notre audit. Nous vous
les communiquons cependant, de sorte que l’entité puisse en être informée et y
remédier, afin d’encore renforcer le système du contrôle interne ».
2.5.4.2 Opinion avec réserve

Une opinion avec réserve doit être exprimée si l’auditeur conclut qu’une
opinion sans réserve ne peut être exprimée mais que les circonstances ne sont
pas aussi importantes ou qu’elles n’ont pas un effet généralisé, qu’elles
entraînent une opinion défavorable ou une impossibilité d’exprimer une opinion.
Une opinion avec réserve est traduite par le terme « sous réserve de l’effet des
circonstances sur lesquelles porte la réserve, l’assertion de l’entité que son
contrôle interne est fiable, est efficace (ou directement le contrôle interne est
efficace) ».
Page 167
2.5.4.3 Opinion défavorable

Une opinion défavorable doit être exprimée lorsque l’effet des circonstances
est si important ou qu’il a un effet généralisé que l’auditeur estime qu’une
réserve ne suffirait pas à qualifier ou bien, la nature trompeuse de l’assertion de
l’entité relative à l’efficacité de son contrôle interne ou bien, le caractère
important de l’inefficacité du contrôle interne.
Dans tous les cas où l’auditeur exprime une opinion autre que sans réserve,
il doit inclure dans son rapport un paragraphe qui décrit les raisons substantielles
de cette modification.
- Limitation du travail : Une limitation du travail de l’auditeur pourrait

résulter soit, à la suite de :
 Restrictions imposées par l’entité ou ;
 Restrictions imposées par les circonstances.
Lorsqu’une limitation du travail est imposée par l’entité, l’auditeur doit

déclarer qu’il lui est impossible d’exprimer son opinion. Dans de telles
circonstances, si les procédures limitées qu’il a mises en œuvre l’amènent à
conclure à l’existence d’une faiblesse importante, son rapport doit comporter
une description de toute faiblesse importante détectée. Cette description doit
fournir aux utilisateurs du rapport d’audit des informations précises sur la nature
de la faiblesse importante et sur son effet avéré et potentiel sur la présentation
des états financiers.
Les circonstances pouvant entraîner une limitation du travail de l’auditeur

peuvent être les suivantes :
 Le contrôle interne à l’égard de l’information financière est

inapproprié ;
Page 168
 Les critères d’appréciation retenus par l’entité ne sont pas

convenables ;
 Le processus d’évaluation par l’entité de son contrôle interne est
inadéquat ;
 Lorsque l’auditeur juge qu’il est incapable de conduire et de
réaliser les procédures d’audit qu’il juge nécessaires.
- Désaccord avec la direction concernant la fiabilité de son

assertion : Dans le cas où l’entité établit et met à la disposition des
lecteurs un rapport de contrôle interne consignant sa propre assertion que
le contrôle interne est efficace, l’auditeur doit modifier son rapport en
exprimant une opinion avec réserve ou une opinion défavorable, s’il juge
que cette assertion n’est pas fiable.
C’est essentiellement, lorsque l’entité n’a pas tenu compte des

faiblesses importantes qui sont relevées, soit par elle-même au cours de
l’évaluation de son contrôle interne soit par l’auditeur au cours de la
réalisation de sa mission d’audit, lors de l’expression de son assertion que
le contrôle interne est efficace. C’est aussi le cas lorsqu’il y a désaccord
sur la qualification d’une ou de plusieurs déficiences de contrôles entre
l’auditeur et l’entité.
Dans de telles circonstances, le rapport de l’auditeur doit comporter les

éléments suivants :
 La définition d’une faiblesse importante ;
 Une description de toute faiblesse importante détectée dans le
contrôle interne à l’égard de l’information de l’entité. Cette
description doit fournir aux utilisateurs du rapport d’audit des
informations précises sur la nature de la faiblesse importante et sur
Page 169
son effet avéré et potentiel sur la présentation des états financiers de

l’entité.
- Faiblesse importante : Dans le cas où l’entité n’établit pas et ne met pas à
la disposition des lecteurs un rapport de contrôle interne consignant
l’assertion de l’entité relative au contrôle interne, l’auditeur doit exprimer
une opinion défavorable sur le contrôle interne à l’égard de l’information
lorsque celui-ci comporte des déficiences significatives qui, seules ou
avec d’autres, donnent lieu à plusieurs faiblesses importantes qui
empêchent l’entité de conclure à l’efficacité du contrôle interne à l’égard
de l’information financière. Dans de telles circonstances, le rapport de
l’auditeur doit comporter les éléments cités dans le paragraphe précédent.
Dans d’autres circonstances où l’auditeur juge fiable, l’assertion de

l’entité selon laquelle le contrôle interne à l’égard de l’information
financière n’est pas efficace, il exprime soit :
 Directement, une opinion avec réserve ou une opinion défavorable
sur le contrôle interne soit ;
 Une opinion sans réserve sur l’assertion de l’entité que le contrôle
interne n’est pas efficace tout en rajoutant dans son rapport
l’assertion de l’entité et en annexant le rapport de l’entité.
2.5.4.4 Impossibilité d’exprimer une opinion

L’impossibilité d’exprimer une opinion doit être prononcée lorsque l’effet
de la limitation du travail est si importante ou qu’elle a un effet généralisé que
l’auditeur n’est pas en mesure d’obtenir des éléments probants suffisants et
appropriés et qu’il est par conséquent incapable d’exprimer une opinion sur la
fiabilité de l’assertion de l’entité que son contrôle interne est fiable ou
directement sur l’efficacité du contrôle interne.
Page 170
2.5.4.5 Communication avec les responsables de la gouvernance sur la

nature de la modification apportée au rapport
Lorsque l’auditeur prévoit d’exprimer une opinion modifiée dans son
rapport, il doit informer les responsables de la gouvernance des circonstances à
l’origine de la modification prévue et du libellé envisagé pour l’opinion
modifiée.
Cette communication permet à :

- L’auditeur d’aviser les responsables de la gouvernance de la ou des
modifications prévues et des raisons (ou des circonstances) qui en sont à
l’origine ;
- L’auditeur de chercher à obtenir des responsables de la gouvernance
qu’ils reconnaissent les faits constituant le ou les problèmes à l’origine de
la ou des modifications prévues, ou qu’ils confirment leurs points de
désaccords avec la direction ;
- Aux responsables de la gouvernance d’avoir l’occasion, le cas échéant, de
fournir des renseignements ou des explications supplémentaires à
l’auditeur au sujet du ou des problèmes à l’origine de la ou des
modifications prévues.
Section 3 : Propositions en vue d’améliorer l’aptitude dans

l’évaluation du système du contrôle interne dans une mission
d’audit des états financiers
Dans cette présente section, notre investigation est conduite à partir d’un
questionnaire ciblé aux experts comptables inscrits à l’OECT, aux experts
comptables mémorialistes et aux experts comptables stagiaires afin de statuer
sur leurs idées de l’amélioration de l’évaluation du système du contrôle interne
dans une mission d’audit des états financiers.
Page 171
Pour se faire, on a choisi comme démarche, la présentation de l’enquête

(3.1) et la synthèse et le résultat de l’enquête (3.2).
3.1 Présentation de l’enquête

Dans ce paragraphe nous présentons d’abord l’objet de l’enquête (3.1.1),
ensuite sa méthodologie et son déroulement (3.1.2) et enfin son champ et les
caractéristiques de l’échantillon (3.1.3).
3.1.1 Objet de l’enquête

Cette enquête vise, de façon globale l’idée de l’amélioration et de
l’évaluation du système du contrôle interne dans une mission d’audit des états
financiers par les commissaires aux comptes tunisiens, lors de leurs
interventions dans les phases suivantes :
- Collecte des informations pour l’évaluation du système de contrôle

interne,
- Communication avec les organes de gestion de la société,
- Relation avec les auditeurs internes,
- Relation avec le comité d’audit et leur rôle de coordination avec les
organes de gestion de la société,
- Recours à un spécialiste pour l’évaluation du système de contrôle interne,
- Et enfin le rapport sur les procédures de contrôle interne.
A travers les résultats de l’enquête, nous allons relever les difficultés pour
les experts comptables inscrits à l’OECT , les experts comptables mémorialistes
et les experts comptables stagiaires sur le plan opérationnel c'est-à-dire la
coordination des organes de la société ainsi que les techniques et les outils
d’évaluation du système de contrôle interne.
Page 172
3.1.2 Méthodologie et déroulement de l’enquête

Cette enquête a été menée à l’aide d’un questionnaire d’orientation. Ce
questionnaire tel qu’il figure dans l’annexe «questionnaires» , comporte 16
questions regroupées en 5 sections. Il est structuré de la manière suivante :
- La première section est réservée aux informations générales concernant le

commissaire aux comptes notamment sa qualité et son expérience
professionnelle ;
- La deuxième section traite les méthodes de collecte des informations
auprès de la société pour l’évaluation de son système de contrôle interne ;
- La troisième section traite de la coordination des organes de la société
notamment les organes de gestions, les auditeurs internes et le comité
d’audit avec le commissaire aux comptes afin d’améliorer la qualité du
système de contrôle interne ;
- La quatrième section traite le recours du commissaire aux comptes à un
spécialiste pour l’évaluation du système de contrôle interne notamment
dans les domaines non maitrisés par le premier,
- La cinquième section traite de l’importance allouée au rapport du
commissaire aux comptes sur les procédures de contrôle interne quant aux
défaillances soulevées.
3.1.3 Champ de l’enquête et caractéristique de l’échantillon

Notre démarche consiste à retenir comme population les experts comptables
inscrits au tableau de l’OECT suivant la situation du 31 octobre 2012 (soit 807
membres), les experts comptables mémorialistes (soit 31 mémorialistes inscrits
dans les écoles IHEC, FSEG et ISCAE pour la session de décembre 2012) ou
même les experts comptables stagiaires (soit 810 stagiaires) soit au total 1 648
personnes.
Page 173
Pour le choix de échantillon, nous avons choisi un échantillon représentant

30% de la population totale soit 494 commissaires aux comptes auxquels nous
avons communiqué le questionnaire par email en procédant à des relances
téléphoniques. Nous avons voulu choisir un échantillon qui soit représentatif de
toute la population pour cela on a choisi une méthode probabiliste consistant à
un tirage au sort.
Les données relatives à la population globale et à l’échantillon sélectionné
se présentent comme suit :
Population et échantillon sélectionné

Qualité Expert Expert Expert
Comptable Comptable Comptable Total
Désignation Diplômé Mémorialiste Stagiaire
Population 807 31 810 1 648
Echantillon (30%) 242 9 243 494
3.2 Synthèse et résultat de l’enquête
Dans ce paragraphe nous présentons dans un premier sous paragraphe

(3.2.1) les résultats de l’enquête et dans un sous deuxième sous paragraphe
(3.2.2) les propositions en vue d’améliorer l’aptitude dans l’évaluation du
système de contrôle interne dans une mission d’audit.
3.2.1 Présentation des résultats de l’enquête
Avant de développer les résultats obtenus (3.2.1.2) nous présentons

brièvement les caractéristiques de l’échantillon répondant (3.2.1.1).
3.2.1.1 Caractéristiques de l’échantillon répondant

Notre enquête a visé les experts comptables inscrits au tableau de l’OECT,
mémorialistes ou même stagiaires.
Page 174
Sur un échantillon total de 30% soit 494 des experts comptables inscrits à
OECT, experts comptables mémorialistes et experts comptables stagiaires
auxquels nous avons communiqué le questionnaire, nous avons pu obtenir 208
réponses, soit un taux réponse de 42% ( 10% par Internet et 90% en face a face).
Les données relatives à la population globale, à l’échantillon choisi et aux

réponses obtenues, se présentent comme suit :
Expert Expert Expert

Qualité Comptable Comptable Comptable Total
Désignation Diplômé Mémorialiste Stagiaire
Population 807 31 810 1 648
Echantillon (30%) 242 9 243 494
Réponses 79 9 120 208
Taux de réponses / à l'échantillon 33% 100% 49% 42%
Les experts comptables inscrits à OECT, les experts comptables mémorialistes

et les experts comptables stagiaires répondant sont relativement jeunes dans le
métier ;158 parmi les 208des experts comptables inscrits à OECT, des experts
comptables mémorialistes et des experts comptables stagiaires répondants ont
une expérience professionnelle moins de 10 ans.
3.2.1.2 Résultats obtenus
En interrogeant les experts comptables inscrits à l’OECT, les experts

comptables mémorialistes et les experts comptables stagiaires si la société met à
leur disposition la documentation nécessaire sur les composantes de contrôle
interne (notamment l’environnement de contrôle, la fixation des objectifs,
l’identification des événements, le processus d’évaluation des risques, le
traitement des risques, l’information et la communication, les activités de
contrôle et le système de pilotage), 91,83% des experts comptables inscrits à
l’OECT, des experts comptables mémorialistes et des experts comptables
Page 175
stagiaires ont répondu entre toujours, souvent et parfois et seulement 8,17% ont
répondu jamais.
À la question relative à l’accès systématique à certains documents de la

société notamment les rapports des auditeurs internes, le manuel des procédures
et les rapports de gestion préparés par la société, 4,33% ont répondu jamais par
contre 95,67% leur réponses varient entre toujours, souvent et parfois. Les
réponses sont résumées dans le tableau suivant :
Toujours Souvent Parfois Jamais
Les rapports des auditeurs internes 33,65% 58,17% 8,17%

Le manuel des procédures 38,46% 45,19% 16,35%
Les rapports de gestion préparés par la société * 33,65% 61,54% 4,81%
* 20 répondants ont ajouté qu’il n’est même pas systématique d’accéder au

rapport de gestion de la société mais c’est obligatoirement.
Quant à la question si les organes de gestion de la société procèdent ou
non à une évaluation du contrôle interne, la plupart des experts comptables
inscrits à l’OECT, des experts comptables mémorialistes et des experts
comptables stagiaires soit 198 (95,19%) ont répondu oui mais leurs réponses
varient entre souvent et parfois. En fait les réponses sont compréhensibles avec
le développement de la mentalité des chefs d’entreprises.
Toutefois si les tests d’évaluation auxquels la société procède sont

pertinents et suffisants, 26,26% des consultés ont répondu souvent et 73,73%
ont répondu parfois.
A la question relative à l’établissement par les organes de gestion de la

société d’un rapport sur les procédures de contrôle interne, 79 des experts
comptables inscrits à l’OECT, des experts comptables mémorialistes et des
Page 176
experts comptables stagiaires soit 37,98% ont confirmé et le reste soit 129
(62,02%) ont répondu jamais. A notre avis la réponse à cette question dépend de
la taille et l’organisation de la société.
Certains experts comptables inscrits à OECT, experts comptables

mémorialistes et experts comptables stagiaires consultés ont ajouté que les
insuffisances décelées par la société feront l’objet de notes de service pour palier
aux risques inhérents à certaines constatations de faiblesses ou d’anomalies.
En interrogeant les experts comptables inscrits à OECT, les experts

comptables mémorialistes et les experts comptables stagiaires s’ils
communiquent et discutent avec les auditeurs internes sur des sujets comme le
plan de travail, les faiblesses relevées et la lettre de contrôle interne avant sa
transmission à la direction générale d’une mission intérimaire de l’évaluation du
système du contrôle interne , 91,82% des réponses varient entre toujours et
parfois, par contre 8,18% ont répondu jamais.
Toutefois concernant le plan de travail, certains interrogés ont vu que la

discussion avec l’auditeur interne pour ce point n’est pas systématique.
A la question relative au recours des experts comptables inscrits à OECT,

des experts comptables mémorialistes et des experts comptables stagiaires aux
travaux des auditeurs internes, 204 interrogés (98,08%) ont confirmé le recours,
et 4 (1,92%) ont répondu non.
Toutefois les réponses différent suivant la nature de recours, les réponses

sont résumées dans le tableau suivant :
Page 177

Discussion du résultat de travail avec les
17,16% 40,20% 39,22% 3,43%
auditeurs internes
Se baser sur le travail des auditeurs internes
pour fixer le planning de l’intervention
intérimaire de l’évaluation du système de 50,00% 42,65% 7,35%
contrôle interne dans le cadre d’une mission
d’audit des états financiers
Se baser sur le travail des auditeurs internes

pour fixer le planning de l’intervention pour le
49,02% 36,27% 14,71%
contrôle des comptes dans le cadre d’une
Selon la totalité des experts comptables inscrits à OECT, des experts

comptables mémorialistes et des experts comptables stagiaires interrogés,
l’existence d’un comité permanent d’audit au sein de la société améliore la
qualité de contrôle interne toutefois selon 17 (8,17%) son existence ne réduit pas
les risques liés au contrôle.
En interrogeant les experts comptables inscrits à OECT, les experts

comptables mémorialistes et les experts comptables stagiaires si le comité
d’audit améliore leur coordination avec les organes de gestion de la société, 179
soit 86,06% ont répondu oui avec quelques nuances dans leurs réponses entre
toujours et parfois et seulement 29 soit 13,94% ont répondu jamais.
Quant à la question relative au recours à un spécialiste dans un domaine bien

spécifique pour l’évaluation du système de contrôle interne , 90,38% ont
confirmé le recours et seulement 9,62% ont affirmé.
Les domaines selon les consultés, sont principalement :

- Informatique, essentiellement en matière de sécurité des réseaux
informatiques,
- Sécurité du système d’information notamment dans le cas d’un ERP,
- Assurances, notamment pour le calcul des provisions techniques,
Page 178
- Technique ; ingénieurs en usine,…

- Juridique,
- Fiscalité,…
La plupart des experts comptables inscrits à OECT, des experts comptables
mémorialistes et des experts comptables stagiaires interrogés ont confirmé la
prise en compte des défaillances soulevées par le commissaire aux comptes dans
son rapport sur les procédures de contrôle interne. Les résultats se présentent
dans le tableau suivant :
Oui Non
Les défaillances soulevées par le CAC dans son rapport sur les
procédures de contrôle interne sont-t-elles prises en compte par les 85,58% 14,42%
organes de gestion de la société ?
Pour les défaillances soulevées par le CAC et qui ont un impact

majeur sur les comptes annuels, les organes de gestion de la 90,38% 9,62%
société concluraient-t-ils sur ces dernières?
3.2.2 Propositions en vue d’améliorer l’aptitude dans l’évaluation du

système de contrôle interne dans une mission d’audit des états
financiers
Les propositions qui seront annoncées dans les paragraphes suivants auront
pour but l’amélioration de l’évaluation du système de contrôle interne dans le
cadre d’une mission d’audit des états financiers.
3.2.2.1 Création de comité permanent d’audit

Selon les dispositions de l’article 256 Bis du CSC, la création d’un comité
permanent d’audit est obligatoire pour :
- Les sociétés faisant appel public à l'épargne à l'exception des sociétés

classées comme telles du fait de l'émission d'obligations;
Page 179
- La société mère lorsque le total de son bilan au titre des états financiers
consolidés dépasse un montant fixé par décret73;
- Les sociétés qui remplissent les limites chiffrées fixées par décret relatives
au total du bilan et au total de leurs engagements auprès des établissements
de crédit et de l'en-cours de leurs émissions obligataires74.
Le comité permanent d'audit veille au respect par la société de la mise en

place de systèmes de contrôle interne performant de nature à promouvoir
l'efficience, l'efficacité, la protection des actifs de la société, la fiabilité de
l'information financière et le respect des dispositions légales et réglementaires.
Le comité assure le suivi des travaux des organes de contrôle de la société,
propose la nomination du ou des commissaires aux comptes et agrée la
désignation des auditeurs internes.
Le comité permanent d'audit est composé de trois membres au moins,

désignés selon le cas par le conseil d'administration ou le conseil de surveillance
parmi leurs membres.
Pour que le comité permanent d’audit accomplit bien ses fonctions, on

propose d’ :
- Augmenter le nombre des membres de ce comité ;
- Elargir les tâches du comité permanent d’audit (suivi des gestions de
risque, examen du plan d’audit, examen des risques significatifs identifiés,
résoudre les désaccords éventuels avec la direction générale) ;
- Suivre des travaux du commissaire aux comptes.
73
Le montant du total du bilan est fixé à cinquante millions de dinars au titre des états financiers consolidés (50
MDT).
74
Les limites chiffrées, prévues au troisième tiret du premier paragraphe 256 bis du CSC sont fixées :
- Cinquante millions de dinars ( 50 MDT) pour le total du bilan ;
- et à vingt cinq millions de dinars (25 MDT) pour le total des engagements auprès des établissements de
crédit et l'encours des émissions obligataires.
Page 180
On propose aussi que la création d’un comité permanent d’audit soit

obligatoire pour toutes les sociétés anonymes et pour les sociétés à
responsabilité limité lorsque le total du bilan atteint une certaine limite.
3.2.2.2 Certification du système de contrôle interne

Tout processus de certification doit se faire par rapport à un référentiel
reconnu. Pour la certification du système de contrôle interne , généralement,
c’est le référentiel COSO qui est le plus adopté.
En Tunisie, la certification du système de contrôle interne par le CAC dans

le cadre d’une mission d’audit des états financiers ne se base sur aucun
référentiel.
On propose dans ce cadre ce qui suit:
- S’aligner avec les pratiques américaines en utilisant le COSO comme un

cadre de référence pour la certification du contrôle interne ; ou bien
- L’établissement d’un cadre conceptuel pour le contrôle interne par les
autorités compétentes qui obéit aux spécificités économique, juridique,des
entités tunisiennes (cette pratique a été utilisée par les autorités
canadiennes en développant un cadre de contrôle interne « COCO :
Guidance on Criteria of Conttrol » et le «Turnbull guidance » par les
autorités britanniques.
3.2.2.3 Prise en compte des travaux d’auditeur interne

L’auditeur interne désigne un service de contrôle au sein d’une entité
effectuant des vérifications pour le compte de celle-ci. Ces vérifications
comprennent, par exemple, l’évaluation et le contrôle de la pertinence et
l’efficacité des systèmes comptable et de contrôle interne.
Pour bien accomplir ses fonctions, l’auditeur interne doit à notre avis :
Page 181
- Avoir réussi ses études universitaires dans des disciplines bien précises
(comptabilité, gestion, fiscalité, juridique….) ;
- Avoir assisté à des séminaires ou des cycles de formations pour améliorer
ses compétences ;
Afin d’améliorer la qualité du contrôle interne dans les entités tunisiennes, on
propose d’ :
- Avoir pour chaque entité qui a dépassé leur total bilan ou leur chiffre
d’affaires une certaine limite un auditeur interne qui a pour rôle principal
l’évaluation du système du contrôle interne;
- Une étroite collaboration entre le CAC et l’auditeur interne dans le but
d’améliorer la qualité de contrôle interne dans les entités.
- La nécessité de l’utilisation par le CAC des résultats aboutis par l’auditeur
interne dans le cadre de l’évaluation du contrôle interne .
3.3 Conclusion de l’ enquête

Notre enquête a était basée sur un questionnaire adressé aux :
- Experts Comptables inscrits à l’OECT ;
- Aux experts comptables mémorialiste ; et
- Aux expert comptables stagiaires.
Les personnes interrogées ont accentué leurs réponses sur les points suivants :
- L’importance de la phase d’évaluation du système de contrôle interne dans
le cadre d’une mission d’audit des états financiers ;
- L’existence d’un comité d’audit compétent, au sein de l’entité, assure une
bonne qualité du système de contrôle interne (conception et
fonctionnement) ;
- L’assurance que peut donner l’auditeur interne au CAC ainsi que l’impact
de ses travaux sur la mission d’évaluation de système de contrôle dans le
cadre d’une mission d’audit des états financiers;
Page 182
- La nécessité du recours du CAC à un cadre conceptuel connu ( COSO par

exemple) pour l’évaluation du système de contrôle interne et pour
l’établissement de son rapport sur ce dernier.
Page 183
CONCLUSION
Suite aux différents scandales financiers dans le monde, le contrôle interne
est devenu une réalité publique. De nombreuses dispositions ont été prises dans
les pays avancés pour le rendre obligatoire (exemples : aux Etats-Unis
d’Amérique par la Loi Sarbanes-Oxley, en France par la Loi de Sécurité
Financière).
La Tunisie, elle aussi, a pris des dispositions légales concernant le contrôle

interne dans les sociétés qui font appel public à l’épargne.
Cependant, l’application ou le respect de ces obligations de la part des

responsables d’entreprises reste encore insuffisant. Cela est dû à la fois au
manque de contrôle de la part des institutions de l’Etat sur la mise en œuvre de
ces Lois, mais aussi au peu d’importance que donnent certains responsables au
contrôle interne.
L’adoption d’un référentiel reconnu tel que le COSO, nous semble être une
bonne solution. L’étude menée par la commission Tradway visait à aider les
responsables des différentes entreprises aux Etats-Unis, à mettre en place leur
propre dispositif de contrôle interne et à l’évaluer régulièrement selon les
dispositions et les principes que le COSO a établis.
Dans cette optique, nous avons choisi d’utiliser le COSO comme cadre de
référence. Sa perception du contrôle interne en tant que processus visant à
fournir une assurance raisonnable quant à la réalisation des objectifs liés aux
opérations, aux informations financières et à la conformité aux Lois et
réglementations en vigueur, ainsi que le fait qu’il se soit basé sur cinq
composantes (environnement de contrôle, évaluation des risques, activité de
contrôle, informations et communication et activité de pilotage), nous a permis
d’apprécier toute l’importance que revêt un dispositif de contrôle interne
Page 184
efficace. Cette affirmation s’est renforcée par le fait que pour répondre aux
besoins d’informations rapides, l’entité doit constamment ajuster ses méthodes
de fonctionnement, surtout dans un contexte de mondialisation et d’incertitude
où la concurrence est de plus en plus rude.
S’agissant de la contribution du commissaire aux comptes dans le dispositif

de publication d’une information sur le contrôle interne, nous avons enregistré
que les récents travaux de normalisation ont permis d’outiller le commissaire
aux comptes avec de nouvelles normes. Ces normes lui permettent de conduire
une mission d’audit du système de contrôle interne et de répondre par
conséquent aux attentes des lecteurs en augmentant leur confiance dans
l’efficacité du dit système.
Dans l’audit du contrôle interne, les diligences du commissaire aux comptes

consistent essentiellement à apprécier l’efficacité de la conception et du
fonctionnement des contrôles susceptibles de prévenir ou de détecter et corriger
des inexactitudes importantes, réelles ou potentielles, au niveau des états
financiers. Or, selon la nouvelle démarche d’audit des états financiers, le
commissaire aux comptes aura, désormais, du mal à justifier l’expression d’une
opinion appropriée sur la fiabilité de ces états financiers, s’il se limite à un
niveau faible, sa prise de connaissance et son appréciation du contrôle interne.
Autant dire que, les diligences mises en œuvre dans le cadre d’un audit du
contrôle interne sont devenues des diligences incontournables pour l’audit des
états financiers.
De ce fait une intégration entre l’audit du contrôle interne et l’audit des états
financiers devrait être envisagée par le commissaire aux comptes. Cette
intégration entre ces deux missions d’audit, devrait permettre une meilleure
planification de l’intervention du commissaire aux comptes ainsi qu’une
maîtrise des budgets temps consacrés pour la conduite de ces deux missions. De
Page 185
plus, nous avons observé, aux Etats-Unis d’Amérique, que cette intégration a été
vivement recommandée afin d’optimiser les coûts supplémentaires générés par
l’audit du contrôle interne du moment qu’une hausse des honoraires des
auditeurs externes de 30 à 40% a été enregistrée lors de la première mise en
œuvre de cet audit en 2005. Dans le même ordre d’idée, il a été recommandé
aux auditeurs externes de tirer davantage profit de la flexibilité significative
offerte par les normes d’audit qui autorisent l’utilisation par ces derniers des
travaux d’évaluation du contrôle interne effectués par l’entité.
Pour conclure, il est essentiel de souligner qu’un dispositif de contrôle

interne aussi bien conçu et aussi bien appliqué soit-il, ne peut fournir une
garantie absolue quant à la réalisation des objectifs de l’entité. Il existe en effet
des limites inhérentes à tout système de contrôle interne. Ces limites résultent de
nombreux facteurs, notamment des incertitudes liées au monde extérieur, de
l’exercice de la faculté de jugement ou de dysfonctionnement pouvant survenir
en raison d’une défaillance humaine ou d’une simple erreur.
Page 186
QUESTIONNAIRE
Mesdames, Messieurs,
Dans le cadre de l’élaboration d’un mémoire d’expertise comptable intitulé « le
contrôle interne : les nouvelles réglementations et son évaluation par l’auditeur
dans le cadre d’une mission d’audit des états financiers », nous avons le plaisir
de vous adresser ce questionnaire. En effet, votre expérience nous sera d’un
précieux apport dans la finalisation de notre travail de recherche.
Je certifie que, par la suite, vos réponses seront traitées d’une manière
strictement confidentielle et anonyme.
Je vous remercie infiniment pour votre aide et pour le temps que vous allez
consacrer à la réponse au questionnaire.
Très Cordialement,
Chams Eddine YENGUI

Expert Comptable Mémorialiste
(97 855 316 / 52 955 316)
Page 187
1- Informations sur le répondant :
1-1 Qualité du répondant :
Expert Comptable Diplômé

Expert Comptable Mémorialiste
Expert Comptable Stagiaire
Autre à préciser : …………………………………….
1-2 Votre expérience professionnelle est de :
Moins de 5 ans
Entre 5 et 10 ans
Plus de 10 ans
2- Réception systématique des informations lors de la phase d’évaluation du

système de contrôle interne
2-1 La société met elle à la disposition du CAC une documentation sur les
procédures de contrôle interne ?
Dans l’affirmative cette documentation porte t-elle sur les différentes

composantes de contrôle interne?
L’environnement de
contrôle
Fixation des objectifs
Identification des
événements
Le processus d’évaluation
des risques
Traitement des risques
Les activités de contrôle
Information et
Page 188
communication
Pilotage
2-2 Est-ce que vous pouvez accéder systématiquement aux documents

suivants ?

Les rapports des auditeurs internes
Le manuel des procédures
Les rapports de gestion préparés par la
société :
 Autres à préciser :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………….
3- Communication du CAC avec les organes de gestion de la société :
3-1 Les organes de gestion de la société procèdent-ils à une évaluation du

contrôle interne ?
Dans l’affirmative ces tests s’avèrent-ils?

Pertinents ?
Suffisants ?
3-2 Les organes de gestion de la société établissent-ils un rapport de contrôle

interne ?
Page 189
Dans l’affirmative existe-t-il une base de mesure et laquelle ?

……………………………………………………………………………………
……………………………………………………………………………………
………………………….…………………………………………………………
……………………………………….
4- Relation du CAC avec les auditeurs internes :

4-1 Communication avec les auditeurs interne :
Est-ce que vous communiquez et discutez avec les auditeurs internes sur les
sujets suivants ?

Le plan de travail d’une mission
intérimaire de l’évaluation du système du
contrôle interne dans le cadre d’une
Les faiblesses de contrôle interne relevé
au cours d’une mission de l’évaluation du
système du contrôle interne dans le cadre
d’une mission d’audit des états financiers
La Lettre de contrôle interne avant sa
transmission à la Direction Générale
……………………………………………………………………………………
……………………………………………………………………………………
…………………………
4-2 Utilisation des travaux de l’audit interne par le CAC :
Est-ce que vous recourez aux travaux des auditeurs internes ?

Oui Non
Page 190
Dans l’affirmative :
Discussion du résultat de travail des auditeurs
internes
Se baser sur le travail des auditeurs internes pour
fixer le planning de l’intervention intérimaire de
l’évaluation du système du contrôle interne dans
le cadre d’une mission d’audit des états financiers
Se baser sur le travail des auditeurs internes pour
fixer le planning de l’intervention pour le
contrôle des comptes dans le cadre d’une
……………………………………………………………………………………
……………………………………………………………………………………
……………………..…
5- Rôle du comité d’audit dans l’amélioration de la coordination entre le

CAC et les organes de gestion de la société :
5-1 Le fait d’avoir un comité permanent d’audit interne au sein de la société

améliore-il la qualité de contrôle interne ?
Oui Non
5-2 Le fait d’avoir un comité permanent d’audit interne au sein de

l’établissement réduit-il les risques liés au contrôle ?
Oui Non
Page 191
5-3 Le comité d’audit permet-il d’améliorer les efforts de coordination entre le

CAC et les organes de gestion de la société ?
5-4 Le comité d’audit assure-il le suivi des progrès de coordination entre les
organes de gestion et le CAC ?
6- Recours à un spécialiste dans l’évaluation du système de contrôle interne
6-1 Le CAC fait-t-il appel à un spécialiste dans un domaine bien spécifique

dans le cadre d’une mission intérimaire de l’évaluation du système du contrôle
interne ?
Oui Non
6-2 Dans l’affirmative, citez les domaines ?

……………………………………………………………………………………
…………….………………………………………………………………………
………………………….…………………………………………………………
………………………………………..
7- Rapport du CAC sur les procédures de contrôle interne :
6-1 Les défaillances soulevées par le CAC dans son rapport sur les procédures
de contrôle interne sont-t-elles prises en compte par les organes de gestion
de la société ?
Oui Non
Page 192
6-2 Est-ce que les organes de gestion de la société concluraient pour les
défaillances soulevées ont un impact majeur sur les comptes annuels ?
Oui Non
Page 193
BIBLIOGRAPHIE
I- TEXTES LEGISLATIFS ET REGLEMENTAIRES :
 Code des Sociétés Commerciales tel que promulgué par la Loi n°
2000-93 du 3 novembre 2000
 Loi n°2005-96 du 18 Octobre 2005, relative au renforcement de la
sécurité des relations financières
 Loi n° 96-112 du 30 décembre 1996, relative au système comptable
des entreprises
 Décret n° 96-2459 du 30 décembre 1996, portant approbation du cadre
conceptuel de la comptabilité
 Loi n°94-117 du 14 Novembre 1994, portant réorganisation du marché
financier
 Décret n°87-529 du 1er Avril 1987, fixant les conditions et les
modalités de la révision des comptes des établissements publics à
caractère industriel et commercial et des sociétés dont le capital est
totalement détenu par l’Etat
II- SOURCES OFFCIELLES INTERNATIONALES

 La Loi américaine Sarbanes-Oxley du 30 juillet 2002
 La Loi française sur la sécurité financière n° 2003-706 du 1 août 2003
III- LES NORMES
 Normes de l’Ordre des Experts Comptables de Tunisie

 Normes Comptable Générale Tunisienne
 Les normes d’audit émises par l’IFAC
Page 194
IV- LES OUVRAGES

 Lionel COLLINS, Gérard VALIN : « Audit et contrôle interne :
Aspects financiers, opérationnels et stratégiques », Editions Dalloz-
1992
 Mohamed HAMZAOUI avec la participation de Benoît PIGÉ :
« Gestion des risques d’entreprises et contrôle interne », Village
mondial Pearson éducation France-2008
 Mohamed FESSI : « la pratique du contrôle interne », Editions C.L.E.-
1999
 Jacques RENARD : « théorie et pratique de l’audit interne », édition
d’organisation groupe eyrolles- 2010
 Jacques RENARD : « Permanence et actualité du contrôle interne »,
les cahiers de recherche de l’ESCE
 Benoît PIGÉ : « Audit et contrôle interne », éditions management et
société – 2009
 Antoine MERCIER , Phillipe MERLE : « Audit et commissariat aux
comptes », édition Francis Lefebvre-2008
 Gérard VALIN, : « controlor et auditor » édition Dunod- paris 2006
 Frédéric BERNARD, Rémi GAYRAUD et Laurent ROUSSEAU : «
contrôle interne », édition MAXIMA- 2008
 Institut de l’Audit Interne, Price Watherhouse Coopers et Landwell &
Associés : « Le management des risques de l’entreprise, cadre de
référence- techniques d’application- COSO II Report », édition
d’organisation-2005
 Herni-Pierre MADERS et Jean-Luc MASSELIN : « Contrôle interne
des Risques », éditions d’organisations-2006
Page 195
 Isabelle BRINK, Thierry COLATRELLA, Eléna FOURES et Pierre

FOURES : « Pénalement responsable Loi du 01-08-2003-Le contrôle
interne qui dérange », éditions d’organisation-2004
 Frank BANCEL : « La gouvernance d’entreprise des entreprises »,
éditions Economica- 1997
 Etienne BARBIER : « Mieux piloter et mieux utiliser l’audit- l’apport
de l’audit aux entreprises et aux organisations » , édition Maxima-1998
 Pascal KEREBEL : « Management des risques », Édition
d’Organisation-2009
V- MEMOIRES D’EXPERTISE COMPTABLE

 Bouthaina ELLEUCH : « Mise en place d’un processus d’audit interne
dans une PME : Missions d’accompagnement par l’expert
comptable », Janvier 2006
 Nicolas MATHON : « La certification du contrôle interne dans le
cadre de la Loi Sarbanes-Oxley, un environnement nouveau pour le
commissaire aux comptes : difficultés et proposition pratique du
standard n°2 du PCAOB », Mai 2006
 Thameur FENDRI : « Sécurité financière et contrôle interne dans les
banques : Etat de lieu en Tunisie, perspectives d’amélioration et
contribution de l’expert comptable », Septembre 2008
 Yahia ROUATBI : « Évolution de la gouvernance et du contrôle
interne pour la sécurité financière », Mai 2008
 Esma BALMA : « Gouvernance d’entreprise et commissariat aux
comptes : enjeux pour les sociétés tunisienne », Mars- 2005
 Makram YAICH : « Le pilotage du système de contrôle interne :
démarche, outils et rôle de l’expert-comptable », Septembre 2010
VI- ARTICLES
Page 196
 Abderraouf YAICH
- « Le cadre de référence du dispositif de gestion des risques et de
contrôle interne français », RCF 95-Premier trimestre 2012
- « La prise en compte de l'impact des changements sur l'efficacité
du contrôle interne », RCF 92-Deuxième trimestre 2011
- « Les concepts de performance du contrôle interne », RCF 89-
Troisième trimestre 2011
- « Le cadre de management des risques de l’entreprise (COSO 2) »,
RCF 85-Troisième trimestre 2009
- « Cadre intégré du contrôle interne (COSO 1) », RCF 84-
Deuxième trimestre 2009
- « La nouvelle loi sur le renforcement de la sécurité financière »,
RCF 73- Eté 2006
- « La nouvelle définition du contrôle interne », RCF 70-Automne
2005
- « Faut-t-il normaliser le contrôle interne ? », RCF 68-Printemps
2005
- « Le retour en puissance du contrôle interne et de l’analyse des
risques », RCF 66-Quatrième trimestre 2004
 IFACI :
- « Le contrôle interne au service de la sécurité financière », numéro
171, septembre 2004
- « L’influence des lois et règlementations internationaux sur la
pratique de l’audit interne en France », numéro 191, septembre
2008
 Institute of Internal Auditor’s : « Internal Auditing’s Role in Section
302 and 404 of the US Sarbanes-Oxley Act of 2002», Mai 2004
Page 197
 Ernst & Young : « Preparing for Internal Control Reporting, A Guide

for Managements’s Assessment under Section 404 of the Sarbanes
Oxley Act, 2002»
 AICPA : « How Sarbanes Oxley will change the audit process »,
Septembre 2003
VII- COLLOQUES ET SEMI NAIRES

 « La sécurité Financière : Enjeux et Perspectives », Colloque
International organisé par l’Ordre des Experts Comptable de Tunis le
15 janvier 2004
 « Commentaire de la Loi n°2005-96 du 18 Octobre 2005 relative au
renforcement de la sécurité financière », séminaire organisé le 10
décembre 2005 par le cabinet GEM, et animé par messieurs
Abderrazek GABSI et Mohamed AMOUS
 « La gouvernance de l’entreprise en Tunisie : responsabilité et
éthiques », Séminaire organisé par l’Institut Arabe de Chefs
d’Entreprise le 08 octobre 2004
VIII- COMMUNIQUES-AVIS
 Recommandations de l’AMF sur le : « Le dispositif de contrôle
interne : Cadre de référence », Janvier 2007
 CNCC : « Les procédures de contrôle interne : avis technique reconnu
par HCCC au titre des bonnes pratiques professionnelles identifiées
portant sur le premier exercice d’application des dispositions du
dernier alinéa de l’article 225-235 du code de commerce », Bulletin
n°133, édition CNCC, Paris, Mars 2004
 AMF : « Rapport 2004 de l’AMF sur le gouvernance d’entreprise et le
contrôle interne », AMF, Janvier 2005
IX- ENQUETES
Page 198
 Cabinet Mazars : « contrôle interne-concept et réalités-résultat de

l’enquête 2003 sur la sensibilisation et la préparation des entreprises
aux dispositions de la Loi de sécurité financière », Février-2004
 Cabinet Grant Thornton France : « En matière de contrôle interne , les
principales évolutions dans les pratiques des sociétés SBF 120 en
2006 », Janvier 2007
X- SITES D’INTERNET
 www.cncc.fr
 www.amf-france.org
 www.legifrance.gouv.fr
 www.otc-conseil.fr
 www.ifaci.com
 www.ifac.org
 www.cmf.org.tn
 www.coso.org
 www.kpmg.com
 www.mazars.com
 www.pwc.com
 www.deloitte.com
 www.uec.com.tn
 www.404nstitute.com
 www.intosi.org
 www.webmanagercenter.com
 www.oecd.org
 www.legifrance.gouv.fr
 fr.scribd.com
Page 199

Table Des Matieres: Chapitre Premier: Le Cadre Général Du Contrôle Interne ................................ 17

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Table Des Matieres: Chapitre Premier: Le Cadre Général Du Contrôle Interne ................................ 17

Transféré par

Droits d'auteur :

Formats disponibles

LE CONTROLE INTERNE : SES NOUVELLES REGLEMENTATIONS ET SON EVALUATION PAR

L’AUDITEUR DANS LE CADRE D’UNE MISSION D’AUDIT DES ETATS FINANCIERS

TABLE DES MATIERES

PREMIERE PARTIE : LES NOUVELLES REGLEMENTATIONS SUR

Chapitre Premier : Le cadre général du contrôle interne ................................ 17

1.3.3 Les contrôles « outrepassées » ou contournés par le management

3.2.3.1 Rôle et responsabilité de la direction générale en matière du

Chapitre Deuxième :Le contrôle interne :exigence réglementaire et évolution

1.1.4 Comparaison entre les Lois SOX, LSF et LRRSRF ................... 68

2.2.4 Lien entre la gestion des risques d’entreprise et le contrôle

DEUXIEME PARTIE : EVALUATION DU SYSTEME DU CONTROLE

Chapitre Premier : Nature de l’intervention du commissaire aux comptes et sa

1.1.3.1 Selon la norme 7 de l’Ordre des Experts Comptable de

Chapitre Deuxième : Démarche d’évaluation du contrôle interne et de gestion

Section 1 : place de l’appréciation du système de contrôle interne et

2.1 Appréciation du processus d’évaluation du contrôle interne par

2.4 Utilisation des travaux des autres personnes ................................... 157

3.2.2 Propositions en vue d’améliorer l’aptitude dans l’évaluation du

CONCLUSION ................................................................................................ 184

QUESTIONNAIRE ......................................................................................... 187

BIBLIOGRAPHIE .......................................................................................... 194

Les faillites retentissant d’entreprises intervenues aux cours des dernières

Dans le contexte de l’adoption de la Loi Sarbanes-Oxley « SOX » aux Etats-

Le législateur tunisien, à l'instar des ses paires américains et européens, a

code des sociétés commerciales, suite à la promulgation de la Loi n°2005-65 du

Conscients de l’importance que revêt le système de contrôle interne en

De leurs côtés les commissaires aux comptes jouent un rôle de contrepoids

Cette notion de contrôle interne fait, depuis lors, l’objet d’intenses

Les nouveaux textes réglementaires consécutifs des scandales financiers ont

La certification du contrôle interne modifie considérablement la mission du

Les objectifs ultimes de cette étude sont :

 Définir le cadre général du contrôle interne, ses objectifs et ses

 Développer un cadre de réflexion sur les spécificités de l’intervention du

Nous cherchons dans la première partie à démonter l’incidence des Lois de

Dans un premier chapitre nous essayerons de définir le contrôle interne, ses

Nous étudierons dans un deuxième chapitre l’impact des Lois de la sécurité

La deuxième partie de notre travail sera consacrée à l’évaluation du contrôle

Dans un premier chapitre nous mettrons en exergue les modifications

Le deuxième chapitre sera consacré pour l’étude d’une phase importante

PREMIERE PARTIE : LES

Avant d’aborder l’impact des Lois de la sécurité financière sur le contrôle

 Comment le contrôle interne est-il défini et quelles sont les notions

 Les dispositions issues des Lois de renforcement de la sécurité financière

Chapitre Premier : Le cadre général du contrôle interne

1.1.1 Aperçu historique de la notion du contrôle interne

1.1.2 La définition adoptée par le système comptable des entreprises

- Promouvoir l’efficience et l’efficacité ;

1.1.3 La définition du contrôle interne adoptée par l’Ordre des Experts

sauvegarde du patrimoine et la qualité de l’information, de l’autre côté,

En 1987, dans ses commentaires des normes relatives à l’appréciation du

1.1.4 La définition stipulée par les normes de l’IFAC

1.1.5 La définition du contrôle interne prévue par l’IFACI et IIA

 Contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à

Le dispositif vise plus particulièrement à assurer :

1.1.6 La définition du contrôle interne adoptée par l’AMF

Et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de

En contribuant à prévenir et à maîtriser les risques de ne pas atteindre les

1.2 Les notions proches au contrôle interne

Le contrôle interne ne suffit pas de tâches ponctuelles de supervision mais

Contrairement à certaines idées préconçues, le contrôle interne n’est pas une

Le conseil de surveillance, qui est investi notamment d’une mission légale

Le conseil d’administration peut constituer un comité de contrôle qui lui est

1.2.2 Mission de contrôle par le comité d’audit