Le COSO : mettre en place un système de contrôle interne

Le contrôle interne est un ensemble de processus qui permet à une entreprise de maîtriser ses
activités et d’atteindre ses objectifs.
En effet, pour mettre en place un système de contrôle interne, il est nécessaire de choisir un
référentiel. Le référentiel le plus utilisé est le COSO (Committee Of Sponsoring Organisations). Il
s’adapte à toute entreprise et traite les points les plus importants du contrôle interne.

Valoxy, cabinet d’expertise comptable dans les Hauts de France, explique dans cet article ce qu’est le
COSO.

Système de contrôle interne : qu’est-ce que le COSO ?

Le référentiel COSO suggère une vision en trois dimensions du management des risques. Il est

représenté sous forme de cube.

Grâce à ce cube, on peut alors déterminer, pour chaque niveau de l’organisation (entité, filiale,

direction, unité opérationnelle, etc.), comment les cinq composantes du contrôle interne permettent
d’atteindre les objectifs du COSO.

Les trois objectifs du référentiel COSO sont :

 la conformité aux lois et aux règlements ;

 l’efficacité et l’efficience des opérations ;

 la fiabilité des informations financières.

Le « cube » COSO est ainsi divisé en 3 catégories d’objectifs x 5 composantes du contrôle interne x n
entités. Chaque entité doit atteindre les trois objectifs et intégrer les cinq composantes.

Les 5 composantes du système de contrôle interne COSO :

1ère composante : un environnement interne favorable à la maîtrise des risques

L’environnement interne de contrôle repose sur une culture de l’entreprise favorable à la maîtrise

des risques. (Délégation des pouvoirs, sensibilisation du personnel, etc.). Cet environnement
s’appuie notamment sur :

 une définition précise des pouvoirs et des

responsabilités,

 une implication du personnel en termes d’intégrité et d’éthique,

 une organisation claire et appropriée,

 le pilotage des activités,

 la mobilisation des compétences,

 et aussi des procédures bien formalisées et communiquées.

2ème composante : l’évaluation des risques

L’évaluation des risques dépend de la probabilité du risque et de son impact. Il y a deux temps pour
évaluer les risques :

 identifier les risques tout en analysant les activités globales, et celles propres à chaque
personne de l’entreprise,

 classer les risques en fonction de leur gravité et de leur impact sur les objectifs de
l’entreprise.

Ensuite, des mesures de maîtrise seront mises en place pour faire face à ces risques.

3ème composante : les activités de contrôle

Les activités de contrôle comportent les mesures mises en œuvre pour maîtriser les risques, et les
procédures et les politiques de traitement des risques, qui sont :

 proportionnés aux enjeux,

 de natures diverses (méthode, action de contrôle, action de supervision, etc.).

4ème composante : la maîtrise de l’information et de la communication

La maîtrise de l’information et la communication correspond à la collecte des informations utiles et

à leur identification, à la communication des informations au dirigeant et enfin à la communication
de la part du dirigeant à l’ensemble du personnel de l’entreprise. Cette maîtrise comprend :
  la qualité de l’information (contenu, exactitude, accessibilité),

 la qualité des systèmes stratégiques et  d’information,

 la définition des règles et conditions de communication interne,

 mais aussi la communication externe (information à l’extérieur de l’entreprise sur la mise en

œuvre du contrôle interne).

5ème composante : le pilotage du contrôle interne

Le pilotage du contrôle interne comprend l’évaluation permanente et/ou ponctuelle des activités

de contrôle interne, mais aussi la mise à jour des procédures en fonction des besoins.

Il s’appuie notamment sur :

 l’adaptation du contrôle interne par le personnel qui doit le mettre en place et doit piloter le
système de maîtrise des risques en fonction de sa responsabilité,

 une sensibilisation du personnel à la maîtrise des activités,

 des processus permanents de mises à jour du système de contrôle interne,

 des procédés d’évaluation qui sont internes et permanents.

Un peu d’histoire en conclusion

Le COSO est issu d’une initiative indépendante américaine qui souhaitait étudier, dès 1985, les
raisons et les facteurs de causalité pouvant mener à la rédaction de rapports financiers frauduleux. Il
a également mis au point des recommandations :

 pour les entreprises publiques et leurs auditeurs indépendants,

 ainsi que pour la SEC (Securities and Exchange Commission, l’organisme fédéral américain de
réglementation et de contrôle des marchés financiers),

 pour d’autres organismes de réglementation,

o le NYSE (New York Stock Exchange,

o la Bourse de New York),

o des établissements d’enseignement, etc. 

En 1992, sa commission sur le contrôle interne des organisations (le “Committee Of Sponsoring

Organisations”) a promulgué des recommandations sur le contrôle interne, qui en a gardé le nom
COSO. C’est aujourd’hui encore le référentiel de contrôle interne le plus utilisé.
Objectifs : Le contrôle interne est un acte inhérent à tout acte de management, et constitue un
préalable indispensable à la maîtrise et au développement d'une action ou d'un projet.

De ce fait, il doit permettre de garantir que :

-Les opérations sont réalisées et sécurisées,

-Les procédures - facilitent l'atteinte des objectifs,

- assurent la protection du patrimoine,

- assurent l'optimisation des performances et de la rentabilité.

-En matière comptable, les principaux objectifs du contrôle interne sont de s'assurer de :

- l'exhaustivité : toutes les opérations sont enregistrées ;

- la réalité : chaque opération enregistrée est réelle (correspond à un événement) ;

- l'exactitude : toutes les factures sont conformes aux commandes, contrats... ;

- l'évaluation : toutes les provisions, les charges à payer et les produits à recevoir sont correctement
évalués ;

- la comptabilisation : toutes les opérations sont correctement enregistrées en comptabilité (bons

comptes) et sur la bonne période (principe du cut off);

- la séparation des fonctions : séparation des tâches en identifiant les personnes qui effectuent des
fonctions de traitement, de contrôle, d'autorisation de sauvegarde ;

- la protection des actifs : tous les actifs sont en sécurité (sauvegarde du patrimoine) ;

- la maîtrise des coûts : tous les coûts sont correctement maîtrisés.

Les conséquences d'une insuffisance de contrôle interne peuvent s'avérer préjudiciables au bon
fonctionnement d'une activité.

Le contrôle interne regroupe les dispositions prises en matière d'organisation, de règles de

comportement et de fonctionnement, de procédures, de reporting et de modalités de pilotage et de
contrôle de chacune des activités de l'entreprise.

Chaque entité est responsable de la définition et de la mise en œuvre des dispositifs du contrôle
interne adaptés à la nature de ses activités et à la réalisation de ses objectifs.
Les objectifs du contrôle interne sont définis et mis en œuvre par le conseil , le management et
les collaborateurs. Le conseil a un rôle important car il apporte des avis et des orientations, valide
les politiques et les transactions stratégiques, et supervise les activités du management. De ce
fait, le conseil est essentiel au bon fonctionnement du contrôle interne.
D’après le COSO, le conseil et la Direction Générale doivent faire preuve d’exemplarité quant à
l’importance du contrôle interne et des normes de conduites applicables dans l’entité. Le COSO a
défini des objectifs, des composantes et des principes sur lesquels doivent s’appuyer les entités
afin d’exercer un bon contrôle interne. Pour que ces objectifs soient applicables à toutes entités,
ils ont été définis en s’appuyant sur des objectifs que la plupart des entités ont en commun. Ces
objectifs sont :

 préserver une croissance durable ;

 fournir des informations aux parties prenantes ;
 recruter et fidéliser des personnes compétentes et motivées ;
 construire et maintenir leur réputation ;
 se conformer aux lois et règlements.
Les objectifs des entités et les composantes du contrôle interne et la structure de l’entité sont
donc liés. Chaque composante s’applique aux différentes catégories d’objectifs, ce qui fait du
contrôle interne un processus dynamique où les composantes sont interdépendantes.
Le COSO reprend :
Ce cube reprend :

 les catégories d’objectifs : opérations, reporting (informations financières),

conformités ;
 les composantes : environnement de contrôle, évaluation des risques, activités de
contrôle, information et communication et le pilotage ;
 la structure de l’entité : correspond aux divisions, les filiales ou les processus métier,
par exemple.
Afin d’obtenir un système de contrôle interne performant, des objectifs doivent être définit par le
management sous le contrôle du conseil. Il est essentiel que les personnes qui soient impliquées
dans le contrôle interne comprennent la stratégie et les objectifs définis par l’entité.
Le Référentiel du COSO a donc regroupé les objectifs en trois catégories :

 Les objectifs liés aux opérations Ces objectifs sont liés à la réalisation de la mission de
l’entité afin d’en obtenir une meilleure vision. Par exemple, améliorer les résultats financiers,
la satisfaction des clients et des collaborateurs, l’innovation etc. La définition de ces objectifs
permet d’effectuer une meilleure allocation des ressources.
 Les objectifs liés au reporting Ces objectifs sont fixés dans le but d’établir des rapports
destinés aux organisations et aux parties prenantes de l’organisation. On distingue deux
types d’objectifs, les objectifs liés au reporting interne, répondant à des besoins internes, et
les objectifs liés au reporting externe, qui sont fixés essentiellement par les règlements, les
normes ou via des organismes de normalisation.

 Les objectifs de conformité Ils correspondent aux lois et règlements s’appliquant à

l’entité. Ils peuvent êtres plus ambitieux que ceux fixés par les lois et règlements, ce qui
assurera à l’entreprise une meilleure gestion de ses risques.
Bien que le COSO ait définit une série d’objectifs, ils peuvent varier d’une entité à une autre
selon l’information, la compétence des personnes, la stratégie de l’organisation etc.
Les composantes du contrôle interne[modifier | modifier le wikicode]
Outre les objectifs, le COSO référence cinq composantes du contrôle interne et dix-sept principes
associés aux composantes, applicables à toutes les entités.
1. Environnement de contrôle:
C’est l’ensemble des normes, processus et des structures qui constituent la mise en œuvre du
contrôle interne. Cinq principes sont associés à cette composante :

 l’entité démontre son engagement en faveur de l’intégrité et des valeurs éthiques ;

 le conseil surveille la mise en place et le bon fonctionnement du système de contrôle
interne ;
 le management agit sous la surveillance et définit les structures, les pouvoirs et les
responsabilités pour atteindre les objectifs ;
 démontrer l’engagement de l’entité à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs ;
 l’entité instaure pour tous un devoir de rendre compte de ses responsabilités en contrôle
interne pour atteindre les objectifs.

2. Evaluation des risques:

C’est un processus qui permet d’analyser les risques susceptibles d’affecter la réalisation des
objectifs. Pour cela, le management prend en compte les éventuelles évolutions dans
l’environnement externe ou interne qui empêcheraient l’entité d’atteindre ses objectifs. Il existe
quatre principes qui sont associés à cette composante :

 définir des objectifs clairs pour identifier et évaluer les risques susceptibles d’affecter leur
réalisation ;
 identifier les risques qui pourraient affecter la réalisation des objectifs dans l’ensemble de
son périmètre et déterminer leur gestion ;
 intégrer le risque de fraude dans l’évaluation des risques susceptibles d’affecter la
réalisation des objectifs ;
 identifier et évaluer les changements qui pourraient impacter le système de contrôle
interne.
3. Activités de contrôle :
Permettent de définir les règles et procédures que le management utilise pour maîtriser les
risques susceptibles d’affecter la réalisation des objectifs. Cette composante est réalisée à tous
les niveaux de l’entité et à plusieurs stades des processus métier. Trois principes sont associés à
cette composante :

 sélectionner et développer des activités de contrôle qui visent à maîtriser et à ramener à

un niveau acceptable les risques susceptibles d’affecter la réalisation des objectifs ;
 sélectionner et développer des contrôles informatiques facilitant la réalisation des
objectifs ;
 mettre en œuvre des règles déployant des activités de contrôle qui précisent les objectifs
et les procédures.
4. Information et communication :
La communication interne et externe d’une entité permet de lui fournir des informations
nécessaires à l’exercice de ses contrôles. La communication interne permet aux collaborateurs
de comprendre les responsabilités liées au contrôle interne et leur importance pour la réalisation
des objectifs.
Il existe trois principes :

 pour faciliter le fonctionnement de son contrôle interne, l’organisation obtient produit et

utilise des informations pertinentes ;
 communication en interne des informations nécessaires au bon fonctionnement du
contrôle interne, particulièrement les informations relatives aux objectifs du contrôle interne ;
 communication aux tiers des éléments pouvant affecter le fonctionnement du contrôle
interne.
5. Pilotage :
Cette dernière composante permet d’évaluer continuellement ou ponctuellement que les cinq
composantes du contrôle interne et leurs principes sont mis en place et fonctionnent. Les
constats sont évalués, les déficiences sont communiquées en temps voulu et les points
importants sont signalés à la Direction Générale et au conseil.
Deux principes sont associés à cette composante :

 sélectionner, développer et réaliser des évaluations continues et/ou ponctuelles

 évaluation et communication des déficiences du contrôle interne en temps voulu aux
responsables des mesures correctives.

Références[modifier | modifier le wikicode]
1. ↑ Revenir plus haut en :1,0 et 1,1 « Contrôle interne 4ème édition » de Frédéric BERNARD, Rémi
GAYRAUD et Laurent ROUSSEAU.
2. ↑ PWC, IFACI. (2014). Référentiel intégré de contrôle interne: Principes de mise en
oeuvre et de pilotage. PARIS: EYROLLES.
3. ↑ PWC, IFACI. (2015). Référentiel intégré du contrôle interne: Application au reporting
financier externe. Paris : EYROLLES
Le rapport entre environnement de contrôle et gestion des
risques
Le COSO est composé de cinq piliers, dont l’environnement de contrôle qui est
certainement le plus important de tous puisqu’il conditionne les autres, lesquels
sont : la gestion des risques, le contrôle, l’information, le pilotage du contrôle.
L’environnement de contrôle est ainsi déterminant au sein de l’organisation, pour la
gestion des risques, compte tenu des caractéristiques suivantes :

 valeurs éthiques : il s’agit pour la gouvernance d’énoncer la façon dont

l’organisation doit se comporter. Autant la stratégie donne une direction,
autant les valeurs prônent une ligne de conduite. Selon que les activités de
l’entité sont encadrées fortement ou peu par des impératifs éthiques, les
exigences en matière de contrôle sont plus ou moins conséquentes ;

 style de la direction : il n’y a pas un mais des styles de direction différents.

Que le management soit autoritaire en laissant peu de place à la discussion,
ou participatif en encourageant les initiatives, le contrôle ne sera pas
considéré de la même façon, ceci ne signifiant pas qu’il sera plus efficace
dans un cas plutôt que dans un autre ;

 organigramme : que l’organisation soit fonctionnelle en délimitant

précisément les contributions de chaque Direction, ou matricielle en favorisant
la transversalité, le contrôle interne sera exercé différemment ;

 exercice de l’autorité : la responsabilisation est essentielle à l’efficacité des

contrôles. Les responsabilités étant fonction du schéma délégataire, le
contrôle est donc déterminé par les niveaux et l’exercice de l’autorité au
travers des délégations ;

 pratiques et politiques en matière de ressources humaines : le contrôle

pour être efficace a besoin de motivation et de compétences actualisées au
niveau des collaborateurs.

On comprend donc l’importance du rapport entre l’environnement de contrôle et la

gestion des risques. Cette relation exige des fonctions de contrôle, dont l’audit
interne, qu’elle en saisisse la nature, les caractéristiques, la dimension, afin de
réaliser des travaux adéquats. A défaut, ces fonctions contribueraient à accroître les
risques de l’organisation, ce qui est un comble pour des contrôleurs !

Étape 1 : Identifier les dangers

En fonction des différents lieux de travail, quels sont les dangers apparents et ceux camouflés?
L’identification des dangers provient d’une analyse de l’environnement de travail, de l’étude du
comportement de l’employé face à la tâche, etc. Il est ensuite possible de définir les phénomènes, les
situations et les événements dangereux.

Les dangers peuvent être de nature biologique, chimique, ergonomique, physique, psychosociale et
liés à la sécurité.

Étape 2 : Évaluer les risques

Suite à l’identification des dangers, il faut lister les risques associés. Les responsables désignés dans
votre entreprise étudieront les conséquences de chaque danger pour déterminer quels types
d’accidents peuvent en résulter.

Pour ce faire, l’utilisation d’une grille d’analyse est fortement recommandée, car celle-ci permet
d’obtenir une vue d’ensemble des préjudices.

Étape 3 : Hiérarchiser les risques    

Bien qu’une situation risquée demeure sérieuse, certains risques pèsent plus que d’autres. Par
exemple, se frapper le doigt avec un marteau vs faire une chute de 4 mètres de haut. N’oubliez pas
aussi l’effet long terme des conséquences d’un risque. Par exemple, le bruit et l’air ambiant peuvent
sembler anodins, mais causent des dommages permanents.

L'évaluation des risques est primordiale pour établir l’ordre de priorité de la mise en place des
mesures de prévention.

Étape 4 : Déterminer les moyens de prévention

Les moyens de prévention sont illimités. Dépendamment de la situation et des conséquences du

risque, une ou plusieurs mesures de protection peuvent être mises en place. Par exemple : installer
un garde-corps ou un cadenas, porter des lunettes de sécurité, établir des zones de circulation
précises, etc.

Une solution parfois oubliée est la formation. N’hésitez pas à parcourir les plans de formation offerts,
que ce soit pour les principes de base en secourisme ou en santé et sécurité (chute, échafaudage,
travail à chaud, etc.), pour l’utilisation d’équipements mobiles ou électriques, etc. Des employés
formés sont des employés plus conscients des risques et des bonnes pratiques, donc plus prudents. 

Notez qu’il est important de créer un plan d’action et de fixer une date butoir pour s’assurer que les
mesures de prévention seront apportées à l’environnement de travail.

Saviez-vous que... 

L'erreur la plus fréquente chez les entrepreneurs est la mise en place de moyens de prévention sans
faire d'analyse de risques, le saviez-vous? Cette erreur peut mener à des coûts exorbitants. En effet,
suite à l’analyse, l’avenue empruntée pourrait être différente et probablement moins coûteuse.

Avez-vous les bons outils pour réaliser une évaluation des risques?

SIM propose une formation spécifique à l’analyse de risques SST. Celle-ci vous permet de démystifier
tous les éléments de l’évaluation de risques pour que vous deveniez le champion analyse de risques
SST dans votre organisation. Inscrivez-vous!

Étape 5 : Vérifier les résultats

On connait tous le dicton « difficile d’améliorer ce que l’on ne mesure pas ». Le même principe
s’applique à une analyse de risques. Est-ce que les recommandations ont porté fruits? Est-ce que les
employés appliquent les nouvelles mesures mises en place?

Un contrôle rigoureux des procédures doit être effectué à chaque fois que les matériaux et les
procédés changent pour s’assurer que le tout demeure sécuritaire.

L’implication des employés est cruciale pour assurer le succès d’une bonne analyse de risques. Ceux-
ci peuvent cibler les niveaux d’écarts et proposer des pistes d’amélioration pour les nouvelles
procédures en place.

3-3- Activités de contrôle

Les activités de contrôle correspondent à l'ensemble des politiques et des

procédures mises en place pour maîtriser les risques et réaliser les
objectifs de l'organisation.

Pour être efficaces, les activités de contrôle doivent être appropriées;

fonctionner de manière cohérente, conformément aux plans, tout au long
de la période; respecter un équilibre entre coût et bénéfices; être
exhaustives, raisonnables et directement liées aux objectifs du contrôle.2

3-3-1- Typologie des activités de contrôle

Il existe de nombreux types d'activités de contrôle, qu'il s'agisse:

+ de contrôles orientés vers la prévention ou vers la détection;

+ de contrôles manuels ou informatiques;

+ ou encore de contrôles hiérarchiques.3

Le personnel effectue couramment et à tous les niveaux de l'organisation

les activités de contrôle qu'on peut présenter comme suit:

a) Procédures d'autorisation et d'approbation: Les transactions et

autres événements ne peuvent être respectivement autorisés et exécutés
que par les personnes qui y sont spécialement habilitées. L'autorisation
constitue le principal moyen de garantir que seuls ont lieu des transactions
et des événements valides, conformes aux intentions de la direction. Les
procédures

1 Coopers, Lybrand, 2002. La nouvelle pratique du Contrôle Interne.Paris,

édition d'organisation, pp 63-66.
2 Comité des normes de contrôle interne (Cour des comptes de Belgique),
Lignes directrices sur les normes de contrôle interne à promouvoir dans le
secteur public, p31.

3 Pricewaterhouse, IFACI, 2004.La pratique du Contrôle Interne.Paris,

édition d'organisation, p72.

D’autorisation, qui doivent être documentées et clairement communiquées

aux responsables et aux agents, doivent prévoir les conditions et les termes
à respecter pour que l'autorisation soit accordée.

b) Séparation des tâches (autorisation, traitement, enregistrement,

analyse): afin de réduire les risques d'erreurs, d'irrégularités et les
incompatibilités des fonctions, les taches sont reparties entre les employés,
aucun individu ou équipe ne doit pouvoir contrôler toutes les étapes clés
d'une transaction ou d'un événement.

c) Contrôle de l'accès aux ressources et aux documents: L'accès aux

ressources et aux documents doit être limité aux personnes habilitées, qui
ont à répondre de leur garde ou de leur utilisation. Pour rendre compte de
la garde, on peut s'appuyer sur l'existence de reçus, inventaires ou toute
autre note portant sur cette garde et reprenant le transfert de garde.

d) Vérifications: Les transactions et les événements importants doivent

être vérifiés avant et après leur traitement. Par exemple, lorsque des biens
sont livrés, le nombre fourni doit être comparé au nombre commandé. Par
la suite, le nombre de biens facturés est comparé au nombre effectivement
reçu. Le stock peut aussi être contrôlé au moyen de sondages.

e) Réconciliations: Les enregistrements sont comparés régulièrement aux

documents appropriés: par exemple, les pièces comptables relatives aux
comptes en banque sont comparées aux relevés bancaires
correspondants.

f) Analyses de performance opérationnelle: La performance

opérationnelle est analysée régulièrement sur la base d'un ensemble de
normes permettant de mesurer l'efficacité et l'efficience. S'il ressort du suivi
des performances que les réalisations réelles ne rencontrent pas les
normes ou objectifs fixés, les processus et activités établis pour atteindre
les objectifs doivent être revus pour déterminer quelles améliorations sont
nécessaires.

g) Analyses des opérations, des processus et des activités : Les

opérations, les processus et les activités doivent être périodiquement
analysés pour s'assurer qu'ils sont en accord avec les réglementations,
politiques, procédures et autres exigences actuelles. Ce type d'analyse des
opérations réalisées effectivement par une organisation est à distinguer
clairement du suivi du contrôle interne,

h) Supervision (affectation, analyse et approbation, lignes directrices

et formation) : La réalisation des objectifs du contrôle interne suppose
également que les superviseurs soient qualifiés. Pour confier un travail à un
agent, le vérifier et l'approuver, il est nécessaire de :

· communiquer clairement à chaque membre du personnel les fonctions,

les responsabilités et les obligations de rendre compte qui lui sont
assignés;

· vérifier systématiquement, au degré qui convient, le travail de chaque

membre du personnel;

· approuver le travail à des moments clés pour s'assurer qu'il se déroule

comme prévu. 1

3-3-2- Normes et procédures

Les activités de contrôles reposent habituellement sur deux éléments : -

des normes qui définissent ce qui doit être fait (objectifs);

- des procédures pour réaliser ces objectifs.

3-3-3- Intégration des activités de contrôle à l'évaluation des risques

Les activités de contrôle font partie intégrante du processus par lequel

l'entreprise s'efforce d'atteindre ses objectifs, Parallèlement à l'évaluation
des risques, le management doit déterminer et mettre en œuvre le plan
d'action destiné à les maitriser. Une fois déterminées, ces actions devront
également servir à définir les opérations de contrôle qui seront mises en
oeuvre pour garantir leur exécution correcte et en temps voulu.

3-3-4-Activités de contrôle relatives à la technologie de l'information

Les systèmes d'information jouent un rôle croissant et très important dans

la gestion de l'entreprise, qu'ils s'agissent des systèmes d'informations
manuels ou bien des systèmes informatiques qui gèrent et traitent les
informations.

Les opérations de contrôle sur ces domaines précités peuvent être

reparties en deux groupes:
3-3-4-1- Contrôles globaux

Ils s'appliquent à l'ensemble des systèmes, qu'ils s'agissent des ordinateurs

centraux, des mini-ordinateurs ou de l'environnement utilisateur.

Ces contrôles globaux portent habituellement sur:

+ Contrôles sur les opérations du centre de traitement: les contrôles

portent sur l'organisation et la planification des travaux, les interventions
des operateurs, les procédures de sauvegardes.

+ Contrôles sur les logiciels d'exploitation: les contrôles portent sur

l'acquisition, l'installation et la maintenance des logiciels nécessaires au
fonctionnement de l'ensemble du système et à l'exécution des applications
(système d'exploitation, système de gestion de base de données...).

+ Contrôles d'accès: ils limitent ou détectent l'accès aux actifs

informatiques (données, programmes, équipements et infrastructures),
préservant ainsi ces ressources contre toute modification, perte ou
divulgation non autorisées.

+ Contrôles sur le développement et la maintenance des

applications: ils empêchent l'introduction non autorisée de programmes
nouveaux ou de modifications aux programmes existants.

3-3-4-2- Contrôles applicatifs

Ils sont conçus pour contrôler le fonctionnement des applications, ils

permettent d'assurer l'exhaustivité et l'exactitude des traitements, des
transactions, leur autorisation et leur validité.

Ils sont constitués par la structure, les politiques et les procédures liées à
des systèmes d'application individuels distincts - telles que le traitement des
dettes fournisseurs, du stock, la gestion des salaires, les procédures de
subventions ou de prêts - et sont conçus pour couvrir le traitement des
données dans le cadre d'applications informatiques spécifiques.

3-3-4-3- Relation entre contrôles globaux et contrôles applicatifs

Ces deux catégories de contrôles du système informatique sont

interdépendantes et les deux sont nécessaires pour assurer un traitement
exhaustif et correct des données.

L'efficacité des contrôles globaux est déterminante pour l'efficacité des

contrôles applicatifs qui dépendent de la fiabilité des traitements
informatiques.
A noter que par rapport aux changements rapides des technologies de
l'information, les contrôles dont elles font l'objet doivent eux aussi évoluer
constamment pour rester efficaces.