Outils D Évaluation de L Efficacité Du Contrôle Interne PDF

C8325_CLE.
indb 1 14/11/14 16:28

C8325_CLE.indb 2 14/11/14 16:28
Référentiel intégré
de contrôle interne
Outils d’évaluation de l’efficacité
du contrôle interne
C8325_CLE.indb 1 14/11/14 16:28

Groupe Eyrolles
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-eyrolles.com
Traduit de l’anglais
Ce projet a été commandité par le COSO qui, par un leadership éclairé, a vocation à élaborer des réfé-
rentiels et des lignes directrices de premier plan concernant le contrôle interne, la gestion des risques
et la lutte contre la fraude, destinés à améliorer les performances et la surveillance de l’organisation
et à réduire l’étendue de la fraude dans les organisations. Le COSO est une initiative privée, pilotée
et financée conjointement par :
American Accounting Association (AAA) ;
American Institute of Certified Public Accountants (AICPA) ;
Financial Executives International (FEI) ;
Institute of Management Accountants (IMA) ;
The Institute of Internal Auditors (IIA).
Copyright © 2013 by Committee of Sponsoring Organizations of the Treadway Commission, (“COSO”)

strictly reserved. No parts of this material may be reproduced in any form without the written permis-
sion of COSO.
Permission has been obtained from the copyright holder, Committee of Sponsoring Organizations of
the Treadway Commission to publish this translation, which is the same in all material respects, as
the original unless approved as changed. No parts of this document may be reproduced, stored in any
retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying,
recording, or otherwise, without prior written permission of COSO.
Le code de la propriété intellectuelle du 1er juillet 1992 interdit en effet expressément la photocopie à usage
collectif sans autorisation des ayants droit. Or, cette pratique s’est généralisée notamment dans l’enseigne-
ment, provoquant une baisse brutale des achats de livres, au point que la possibilité même pour les auteurs
de créer des œuvres nouvelles et de les faire éditer correctement est aujourd’hui menacée.
En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent
ouvrage, sur quelque support que ce soit, sans autorisation de l’éditeur ou du Centre français d’exploitation
du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
© Groupe Eyrolles 2015, dans le seul cadre de cet ouvrage.
C8325_CLE.indb 2 14/11/14 16:28

Référentiel intégré
Outils d’évaluation
de l’efficacité
du contrôle interne
C8325_CLE.indb 3 14/11/14 16:28

C8325_CLE.indb 4 14/11/14 16:28
Sommaire
Introduction.................................................................................................................... 7
Modèles
Évaluation globale d’un système de contrôle interne.................................................. 19
Évaluation des composantes.......................................................................................... 21
Évaluation des principes................................................................................................. 37
Synthèse des déficiences............................................................................................... 73
Scénarios
Scénario A : La composante et ses principes sont-ils mis en place
et fonctionnent-ils ?....................................................................................................... 77
Scénario B : Les cinq composantes du contrôle interne sont-elles mises en place
et fonctionnent-elles conjointement de façon intégrée ?............................................ 101
Scénario C : Comment une faiblesse significative affecte-t-elle les principes,
les composantes et le système de contrôle interne ?.................................................. 127
Scénario D : Les composantes et les principes sont-ils mis en place
et fonctionnent-ils dans une division, une unité opérationnelle ou une fonction
donnée ?......................................................................................................................... 141
Scénario E : Comment les évaluations de plusieurs sites peuvent-elles
être consolidées ?........................................................................................................... 165
Une version réutilisable des modèles, au format Excel,

est également proposée sur la clé USB.
C8325_00_CLE_LIM.indd 5 20/11/14 12:02

C8325_CLE.indb 6 14/11/14 16:28
Introduction
C8325_CLE.indb 7 14/11/14 16:28

8 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE
L’objectif de la présente publication, intitulée Référentiel intégré de contrôle interne

– Outils d’évaluation de l’efficacité d’un système de contrôle interne (les Outils
d’évaluation), est d’accompagner le management dans l’évaluation de l’efficacité de
son système de contrôle interne selon les critères prévus par le Référentiel intégré
de contrôle interne, version actualisée de l’ouvrage La pratique du contrôle interne
publié par le COSO (le Référentiel). Un système efficace de contrôle interne fournit
une assurance raisonnable que les objectifs de l’entité liés aux opérations, au repor-
ting et à la conformité seront atteints. Il permet de réduire à un niveau acceptable le
risque qu’un objectif relevant d’une ou de plusieurs des trois catégories d’objectifs
ne soit pas atteint. Par conséquent, les Outils d’évaluation peuvent aider le manage-
ment à évaluer si un système de contrôle interne satisfait aux conditions suivantes :
chacune des cinq composantes du contrôle interne et leurs principes sont mis en
place et fonctionnent correctement ;
les cinq composantes fonctionnent conjointement de façon intégrée.
1. Lors de l’utilisation des Outils d’évaluation, veuillez consulter le Référentiel, et en
particulier le chapitre 2 « Objectifs, composantes et principes », qui décrit le lien
direct qui existe entre les objectifs que l’entité cherche à atteindre, les composantes
du contrôle interne nécessaires à leur réalisation et les principes qui correspondent
aux concepts fondamentaux associés à ces composantes. Par ailleurs, le chapitre 3
« Efficacité du contrôle interne » présente les conditions d’un contrôle interne effi-
cace et les critères permettant, pour chaque catégorie d’objectifs, de classer la sévé-
rité des déficiences du contrôle interne.
2. La présente publication est composée de deux grandes sections, les modèles et les
scénarios :
lesmodèles servent à évaluer l’efficacité d’un système de contrôle interne et à
documenter cette évaluation ;
lesscénarios montrent, avec différents exemples pratiques, la manière dont les
modèles peuvent être utilisés dans le cadre d’une évaluation de l’efficacité d’un
système de contrôle interne.
3. Les modèles et les scénarios visent essentiellement à évaluer les composantes et les
principes, et non les contrôles sous-jacents (par exemple, les activités de contrôle
au niveau des transactions) qui affectent les principes. Ces outils n’ont pas été
conçus pour répondre à tous les critères fixés par les lois et règlements ou aux
normes externes d’évaluation de la sévérité des déficiences du contrôle interne
liées à un objectif particulier d’une entité, comme le reporting financier externe.
Comme précisé dans le Référentiel, dès lors que les régulateurs, les organismes de
normalisation et autres tiers concernés définissent des critères pour déterminer
C8325_CLE.indb 8 14/11/14 16:28

Introduction 9
la sévérité, évaluer et communiquer les déficiences du contrôle interne, seuls ces

critères devraient être utilisés par le management.
MODÈLES
4. Ces modèles ont été conçus avec comme seule ambition la présentation d’une syn-
thèse des résultats de l’évaluation. Ils ne font pas partie intégrante du Référentiel et
ne visent pas à l’exhaustivité des questions à prendre en compte lors de l’évaluation
d’un système de contrôle interne. En outre, ils ne constituent pas une méthode prio-
ritaire ou exclusive de pilotage et de documentation de l’évaluation. Leur objec-
tif est simplement de fournir un exemple de processus d’évaluation fondé sur les
conditions d’un contrôle interne efficace telles que présentées dans le Référentiel.
5. Les modèles n’illustrent pas la manière dont le management sélectionne et déve-
loppe des contrôles relatifs à l’application des principes, ou dont il détermine le
périmètre, la nature, le calendrier et l’étendue de l’évaluation des contrôles inté-
grés dans les composantes. Dans la mesure où les faits et circonstances pertinents
pour l’analyse des constats varient selon les catégories d’objectifs, les entités et les
secteurs d’activité, l’utilisation pratique des Outils d’évaluation variera également.
Format et utilisation
6. À l’instar du Référentiel, les modèles s’appliquent à des entités de tout type et de
toute taille, aux sociétés cotées ou non cotées, aux organismes publics et aux orga-
nismes à but non lucratif. Le management peut les modifier pour que son analyse
des constats tienne compte des faits et circonstances (objectifs et objectifs détail-
lés, périmètre d’application, structure organisationnelle, entre autres) et des pro-
cessus d’évaluation propres à l’entité. Par exemple :
uneentité dotée d’une structure organisationnelle complexe peut modifier ou
compléter ces modèles en conséquence, comme le montre le scénario E « Com-
ment les évaluations de plusieurs sites peuvent-elles être consolidées ? » ;
une petite entité peut simplifier ces modèles pour tenir compte d’une structure
organisationnelle moins complexe et d’un système de contrôle interne moins
formel et moins structuré (impliquant par exemple une supervision plus directe
du contrôle interne et une communication permanente à ce sujet entre le direc-
teur général, les cadres dirigeants et les collaborateurs) ;
C8325_CLE.indb 9 14/11/14 16:28

une entité peut utiliser les systèmes d’information pour faire la synthèse des
déficiences du contrôle interne constatées dans l’ensemble des modèles plutôt
que de disposer d’une synthèse par modèle.
7. Les organisations peuvent utiliser ces modèles pour développer ou configurer des
solutions informatisées afin d’étayer les évaluations et les processus d’évaluations
ponctuelles et/ou continues. Les solutions informatisées, allant de simples feuilles
de calcul à des applications logicielles sophistiquées déployées à l’échelle de l’en-
treprise, peuvent aider l’organisation à documenter et à superviser les contrôles de
l’entité et l’évaluation de leur efficacité par le management. Grâce à des tableaux
de bord et des rapports informatiques, ces solutions fournissent des informations
pertinentes qui peuvent ensuite être utilisées par des parties prenantes telles que
les propriétaires, le conseil1, la direction générale, les responsables opérationnels
et fonctionnels, les collaborateurs chargés du contrôle et de la conformité, et les
auditeurs. Le management prend en compte les données issues des solutions infor-
matisées pour étayer son évaluation d’un système de contrôle interne, mais il fait
généralement appel à son jugement pour procéder à son évaluation globale, qui
dépasse le cadre de l’application utilisée.
8. Les organisations peuvent, en tant que de besoin, adapter le niveau de détails
figurant dans les modèles. Prenons par exemple le principe n° 2 « Réaliser une
surveillance effective ». Les contrôles relatifs à l’application de ce principe sont
probablement effectués au niveau de l’entité, et le management peut donc décider
qu’il n’est pas nécessaire de disposer d’une documentation plus détaillée sur ces
contrôles pour étayer l’évaluation. Par conséquent, dans cet exemple, les modèles
peuvent être utilisés pour documenter et évaluer la mise en place et le fonctionne-
ment de ce principe. En revanche, les contrôles relatifs à l’application du principe
n° 10 « Sélectionner et développer des activités de contrôle » sont probablement
déployés dans de nombreux processus métier à travers toute l’organisation, et par
conséquent, la documentation concernant ces contrôles devra certainement être
plus approfondie et détaillée. Des modèles supplémentaires, absents des Outils
d’évaluation, tels que des matrices des risques et des contrôles détaillées, seront
probablement nécessaires pour documenter l’évaluation par le management de la
mise en place et du fonctionnement de ce principe.
1. Le terme « conseil » employé dans la présente publication désigne l’organe de gouvernance, notamment
les conseils d’administration ou de surveillance constitués d’administrateurs, de fiduciaires, d’associés com-
mandités, d’actionnaires…
C8325_CLE.indb 10 14/11/14 16:28

Introduction 11
9. En résumé, le management peut utiliser ces modèles pour :

déterminer si les cinq composantes d’un système de contrôle interne fonc-
tionnent conjointement de façon intégrée ;
déterminer si les composantes du contrôle interne et leurs principes sont mis en
place et fonctionnent correctement ;
évaluer l’efficacité du système de contrôle interne par rapport à une catégorie
d’objectifs donnée, le reporting par exemple, ou par rapport à plusieurs catégo-
ries d’objectifs ;
documenter l’évaluation par le management de l’efficacité d’un système de
contrôle interne au niveau de l’entité et des unités, en tenant compte des compo-
santes et des principes ;
documenter les déficiences du contrôle interne identifiées durant le processus
d’évaluation.
10. Si les modèles sont utilisés comme recommandé :
ils fournissent au management un schéma logique pour analyser et documenter
l’évaluation de l’efficacité du contrôle interne, notamment de la mise en place
et du fonctionnement des composantes et principes décrits dans le Référentiel ;
ils accompagnent le management dans le développement d’un processus d’iden-
tification et d’évaluation des déficiences du contrôle interne au sein des compo-
santes et des principes liés à l’évaluation de l’efficacité du contrôle interne.
ORGANISATION
11. Pour aider le management à évaluer si un système de contrôle interne réduit à un
niveau acceptable le risque qu’un objectif ne soit pas atteint, les modèles sont orga-
nisés selon une approche fondée sur les risques. Quatre modèles figurent dans les
Outils d’évaluation2 :
évaluation globale d’un système de contrôle interne : fait la synthèse de l’éva-
luation par le management de la mise en place et du fonctionnement des com-
posantes et des principes, du fonctionnement conjoint des composantes et de la
2. À des fins d’illustration, les modèles sont présentés dans des documents séparés. En pratique, les organi-
sations utiliseront probablement un système d’information pour faire le lien entre ces modèles. Pour limiter
les redondances, les informations communes à plusieurs modèles seraient alors automatiquement propagées
d’un modèle à l’autre. De même, une seule synthèse des déficiences du contrôle interne constatées dans
l’ensemble des modèles serait effectuée plutôt que de disposer d’une synthèse par modèle.
C8325_CLE.indb 11 14/11/14 16:28

sévérité des déficiences du contrôle interne ou d’une combinaison de déficiences

dans plusieurs composantes ;
évaluation des composantes : fait la synthèse de l’évaluation par le management
de la mise en place et du fonctionnement de chaque composante et de ses prin-
cipes. Les déficiences du contrôle interne liées à un principe sont énumérées et
la sévérité de chaque déficience est évaluée en tenant compte des contrôles com-
pensatoires3 (qu’ils soient associés ou non à cette composante ou à ce principe) ;
évaluation des principes : fait la synthèse de l’évaluation par le management de
la mise en place et du fonctionnement des principes4. Le management examine
les contrôles en tenant compte de son évaluation des composantes et des prin-
cipes. Le Référentiel n’impose pas de contrôles spécifiques dont la sélection, le
développement et le déploiement seraient impératifs pour garantir l’efficacité du
système de contrôle interne. La sélection des contrôles incombe au management
qui fait appel à son jugement en se fondant sur des facteurs propres à chaque
entité. L’absence de contrôles nécessaires à l’application des principes serait
considérée comme une déficience du système de contrôle interne.
Le Référentiel permet de faire appel au jugement lors de l’évaluation de l’impact
potentiel d’une déficience sur la mise en place et le fonctionnement d’un prin-
cipe. Le management peut prendre en compte d’autres contrôles (associés ou non
à la composante ou au principe en question) afin de compenser une déficience
du contrôle interne. Ces modèles font également la synthèse de toutes les défi-
ciences de contrôle interne identifiées et de l’évaluation préliminaire de leur
sévérité. L’évaluation de la sévérité reste préliminaire tant que l’existence ou
l’absence de contrôles compensatoires n’a pas été déterminée.
Le Référentiel identifie des points d’attention qui correspondent à des caractéris-
tiques importantes des principes. Ces points d’attention peuvent aider le mana-
gement dans le cadre de sa vérification de la mise en place et du fonctionnement
correct des principes. Le Référentiel n’exige pas que le management évalue sépa-
rément la mise en place de chaque point d’attention. Les points d’attention sont
fournis dans les Outils d’évaluation à titre de référence ;
3. Dans la présente publication, l’expression « contrôles compensatoires » est employée de manière générale
au sens de la Securities and Exchange Commission des États-Unis : « Les contrôles compensatoires sont des
contrôles visant à atteindre l’objectif qu’un autre contrôle n’a pas réussi à atteindre et permettant de réduire
le risque à un niveau acceptable. »
4. Tous les principes décrits dans le Référentiel figurent dans les modèles. À titre exceptionnel, il est possible
que dans un contexte sectoriel, opérationnel ou réglementaire donné, le management estime qu’un principe
particulier n’est pas pertinent pour une composante donnée.
C8325_CLE.indb 12 14/11/14 16:28

Introduction 13
synthèse des déficiences du contrôle interne : relevé de toutes les déficiences du

contrôle interne identifiées qui peut être utilisé dans l’évaluation des compo-
santes et des principes, et qui permet de consolider les déficiences.
Overall Assessment of a System of Internal Control Évaluation globale d’un système de contrôle interne
Component Evaluation (x 5) Évaluation d’une composante (x 5)
Evaluation summary for each component Synthèse de l’évaluation pour chaque composante
Update severity of internal control deficiencies Actualisation de la sévérité des déficiences du

contrôle interne
Evaluation summary for each principle Synthèse de l’évaluation pour chaque principe
Principle Evaluation (x 17) Évaluation d’un principe (x 17)
Record internal control deficiencies Recensement des déficiences du contrôle interne
Summary of Internal Control Deficiencies Synthèse des déficiences du contrôle interne
12. Le schéma ci-dessus illustre le lien entre chacun des modèles et les flux d’informa-
tions clés attendus (par exemple, les synthèses des évaluations et les déficiences du
contrôle interne). Un processus d’évaluation, tel que présenté dans les modèles, se
déroulerait probablement de la façon suivante :
1. évaluation d’un principe : prise en compte des contrôles relatifs à l’application
du principe. Les déficiences du contrôle interne sont identifiées et s’accompagnent
d’une évaluation initiale de leur sévérité ;
2. évaluation d’une composante : prise en compte de la consolidation des résul-
tats de l’évaluation des principes de la composante. La sévérité des déficiences de
contrôle interne est actualisée en tenant compte du fait que les contrôles relatifs
à l’application d’autres principes au sein d’une ou de plusieurs composantes com-
pensent ou non les déficiences ;
3. évaluation de l’efficacité du contrôle interne : prise en compte de la consolida-
tion des résultats de l’évaluation des composantes et évaluation de leur fonctionne-
ment conjoint en déterminant si la combinaison des déficiences du contrôle interne
constitue une déficience majeure.
13. L’étendue et la nature du leadership d’une entité, ses priorités, son modèle écono-
mique, sa structure, ses processus opérationnels et ses activités doivent s’adap-
ter et évoluer au fil des évolutions économiques, sectorielles et réglementaires.
Un contrôle interne efficace dans des conditions données ne le sera pas obliga-
C8325_CLE.indb 13 14/11/14 16:28

toirement si ces conditions changent radicalement. Dans le cadre de l’évaluation

des risques, le management identifie les changements pouvant avoir un impact
significatif sur le système de contrôle interne de l’entité, et prend les mesures qui
s’imposent. Par conséquent, après une évaluation initiale, le management continue
d’évaluer l’efficacité du système de contrôle interne. Ainsi, même si le processus
est décrit de manière séquentielle, dans la pratique, il sera probablement itératif.
SCÉNARIOS
14. Les scénarios montrent, avec différents exemples pratiques, la manière dont les
modèles peuvent être utilisés dans une évaluation de l’efficacité d’un système de
contrôle interne, selon les critères prévus par le Référentiel. Chaque scénario est
conçu pour mettre en avant un aspect particulier ou plusieurs aspects connexes du
processus d’évaluation. Il comprend deux volets :
les informations contextuelles du scénario (par exemple, historique, extraits
pertinents du Référentiel, synthèse des points clés), et ;
les modèles complétés.
15. Les scénarios mettent en avant les points importants à prendre en compte lors
de la réalisation d’une évaluation. Ils ne présentent pas une vision exhaustive de
la manière dont l’organisation réaliserait l’évaluation de son contrôle interne, ni
l’ensemble des dimensions possibles du processus d’évaluation. Les modèles qui
accompagnent les scénarios sont fournis à titre d’exemple et ne devraient pas être
considérés comme une documentation exhaustive décrivant tous les contrôles per-
tinents relatifs à l’application des principes et à la conduite des évaluations. Pour
concevoir et mettre en place un système de contrôle interne, le management devrait
s’appuyer uniquement sur le Référentiel.
16. Le contenu des modèles doit permettre aux lecteurs de se concentrer sur les
concepts illustrés dans les scénarios. Ils ne représentent pas nécessairement le
niveau de documentation acceptable défini par le management ou prévu par les
lois, règlements et normes. Il se peut par exemple que la liste des contrôles soit
incomplète. De plus, seuls les modèles pertinents dans le cadre du scénario consi-
déré sont inclus.
17. Chaque scénario est pertinent pour tout type d’entité, bien que certains faits et cir-
constances puissent ne pas s’appliquer. Chaque scénario s’accompagne d’une brève
synthèse des différences susceptibles d’exister entre l’entité prise comme exemple
dans le scénario et d’autres types d’entités.
C8325_CLE.indb 14 14/11/14 16:28

Introduction 15
DÉFICIENCES
18. La sévérité des déficiences du contrôle interne proposée dans les différents scé-
narios illustre les points à prendre en compte dans la réalisation d’une évaluation.
À l’exception du scénario C « Comment une faiblesse significative affecte-t-elle
les principes, les composantes et le système de contrôle interne ? », les différents
scénarios utilisent les expressions « déficience du contrôle interne » et « déficience
majeure » au sens du chapitre 3 du Référentiel « Efficacité du contrôle interne ».
L’expression « déficience du contrôle interne » désigne une insuffisance dans une
ou plusieurs composantes et un ou plusieurs principes, qui réduit la probabilité
que l’entité atteigne ses objectifs. Une déficience du contrôle interne ou une com-
binaison de déficiences est qualifiée de « déficience majeure » lorsqu’elle réduit
fortement la probabilité que l’entité atteigne ses objectifs.
19. Les régulateurs, les organismes de normalisation et autres tiers concernés peuvent
définir des critères pour déterminer la gravité, évaluer et communiquer les défi-
ciences du contrôle interne. Le Référentiel reconnaît et s’inscrit dans le cadre du
mandat et de la responsabilité des tiers comme prescrits par les lois, règlements et
normes externes.
20. Lorsque l’entité applique une loi, un règlement ou une norme externe, le mana-
gement devrait utiliser uniquement les critères pertinents qui y sont inclus pour
classer la sévérité des déficiences du contrôle interne, plutôt que de s’appuyer sur
la classification du Référentiel. Toute déficience du contrôle interne qui se tradui-
rait par une inefficacité du système de contrôle interne en regard de ces critères
empêcherait le management de conclure que l’entité satisfait aux exigences d’un
contrôle interne efficace conformément au Référentiel (par exemple, une non-
conformité majeure concernant les objectifs liés aux opérations ou à la conformité,
ou bien une faiblesse significative touchant aux objectifs liés à la conformité ou au
reporting externe).
21. Par exemple, une société qui doit se conformer aux critères de classification fixés
par la Securities and Exchange Commission des États-Unis utilisera uniquement
les définitions et lignes directrices définies par ce régulateur pour classer les défi-
ciences du contrôle interne dans les catégories « faiblesse significative », « défi-
cience significative » ou « déficience du contrôle ». S’il est jugé qu’une déficience
du contrôle interne entre dans la catégorie « faiblesse significative », l’organisation
ne sera pas en mesure de déterminer qu’une composante donnée et ses principes
sont mis en place et fonctionnent et, par conséquent, ne pourra conclure que son
système de contrôle interne relatif au reporting financier externe satisfait aux exi-
C8325_CLE.indb 15 14/11/14 16:28

gences d’un contrôle interne efficace conformément au Référentiel. Si une défi-

cience du contrôle interne n’entre pas dans la catégorie « faiblesse significative »,
l’entité est susceptible d’avoir mis en œuvre un contrôle interne efficace relatif au
reporting financier externe. Le scénario C utilise les critères de classification de la
SEC parce que l’entité prise en exemple est une société américaine cotée soumise
aux règlements de cette institution.
22. Pour les objectifs liés au reporting interne et les autres liés aux opérations, la direc-
tion générale peut, sous la surveillance du conseil, définir des critères objectifs
aux fins de l’évaluation des déficiences du contrôle interne et de la communication
d’informations aux personnes responsables de la réalisation de ces objectifs.
23. Lorsqu’il détermine si les principes et les composantes sont mis en place et fonc-
tionnent, et si ces dernières fonctionnent conjointement, et in fine, lorsqu’il conclut
à l’efficacité du système de contrôle interne de l’entité, le management fait appel à
son jugement, dans les limites fixées par les lois, règlements et normes applicables,
pour évaluer la sévérité d’une déficience du contrôle interne, ou d’une combinaison
de déficiences.
C8325_CLE.indb 16 14/11/14 16:28

Modèles
C8325_CLE.indb 17 14/11/14 16:28

C8325_CLE.indb 18 14/11/14 16:28
Évaluation globale d’un système de contrôle interne 19
Évaluation globale d’un système

C8325_CLE.indb 19 14/11/14 16:28

ÉVALUATION GLOBALE D’UN SYSTÈME DE CONTRÔLE INTERNE
Entité ou élément de la structure de l’organisation faisant l’objet de l’évaluation

(entité, division, unité opérationnelle, fonction)
Objectif(s) pris en compte dans le périmètre d’évaluation du contrôle interne Considérations concernant le niveau de risque acceptable par le management
Opérations
Reporting
Conformité
Fonctionnement ? Justification
Mise en place ? (O/N)
(O/N) de la conclusion
Environnement de contrôle
Évaluation des risques
Activités de contrôle
Information et communication
Pilotage
Les cinq composantes fonctionnent-elles conjointement de façon intégrée ?
Évaluer si une combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure*
< Mettre à jour le modèle « Synthèse des déficiences » si nécessaire >
Le système global de contrôle interne est-il efficace ? < O/N >*
Justification de la conclusion
* S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le système de contrôle interne n’est pas efficace.
C8325_CLE.indb 20 14/11/14 16:28

Évaluation des composantes 21
Évaluation des composantes
C8325_CLE.indb 21 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »
Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

1. Démontrer son engagement en faveur de l’intégrité
et des valeurs éthiques : l’organisation démontre son
engagement en faveur de l’intégrité et des valeurs
éthiques.
Évaluation de la sévérité de la déficience du
contrôle interne : (Déterminer si des contrôles
relatifs à l’application d’autres principes compensent Recenser les déficiences du contrôle
Description
la déficience du contrôle interne.) interne liées à un autre principe qui
N° d’identification de la déficience
pourraient avoir un impact sur cette
du contrôle interne La déficience du contrôle déficience du contrôle interne.
Commentaires/Contrôles
interne est-elle majeure ?
compensatoires
(O/N)

2. Réaliser une surveillance effective : le conseil fait
preuve d’indépendance vis-à-vis du management. Il
surveille la mise en place et le bon fonctionnement du
système de contrôle interne.
Description
compensatoires
(O/N)
C8325_CLE.indb 22 14/11/14 16:28

3. Définir des structures, des pouvoirs et des respon-

sabilités : le management, agissant sous la surveillance
du conseil, définit les structures, les rattachements, ainsi
que les pouvoirs et les responsabilités appropriés pour
atteindre les objectifs.

Description
compensatoires
(O/N)
4. Démontrer son engagement en faveur du dévelop-

pement des compétences : l’organisation démontre son
engagement à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs.
C8325_CLE.indb 23 14/11/14 16:28


Description
compensatoires
(O/N)
5. Instaurer un devoir de rendre compte : l’organisation

instaure pour chacun un devoir de rendre compte de
ses responsabilités en matière de contrôle interne afin
d’atteindre les objectifs.

Description
compensatoires
(O/N)
C8325_CLE.indb 24 14/11/14 16:28

Évaluation des déficiences au sein de la composante* :

Évaluer si une déficience ou combinaison de déficiences
du contrôle interne dans plusieurs composantes
constitue une déficience majeure**
Évaluer la composante en faisant appel au jugement,

O/N Justification de la conclusion
sur la base des principes et des déficiences**
La composante est-elle mise en place ?
La composante fonctionne-t-elle ?
* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

** S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que la composante n’est pas mise en place et ne fonctionne pas, et que le système de contrôle interne
n’est pas efficace.
C8325_CLE.indb 25 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ÉVALUATION DES RISQUES »

6. Définir des objectifs appropriés : l’organisation
définit des objectifs de façon suffisamment claire pour
permettre l’identification et l’évaluation des risques
susceptibles d’affecter leur réalisation.
Description
compensatoires
(O/N)

7. Identifier et analyser les risques : l’organisation
identifie les risques susceptibles d’affecter la réalisation
de ses objectifs dans l’ensemble de son périmètre et
procède à leur analyse de façon à déterminer comment
ils doivent être gérés.
Description
compensatoires
(O/N)
C8325_CLE.indb 26 14/11/14 16:28


8. Évaluer le risque de fraude : l’organisation intègre le
risque de fraude dans son évaluation des risques suscep-
tibles d’affecter la réalisation des objectifs.
Description
compensatoires
(O/N)

9. Identifier et analyser les changements significatifs :
l’organisation identifie et évalue les changements qui
pourraient avoir un impact significatif sur le système de
contrôle interne.
C8325_CLE.indb 27 14/11/14 16:28


Description
compensatoires
(O/N)

constitue une déficience majeure


C8325_CLE.indb 28 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ACTIVITÉS DE CONTRÔLE »
10. Sélectionner et développer des activités de

contrôle : l’organisation sélectionne et développe des
activités de contrôle qui visent à maîtriser et à ramener
à un niveau acceptable les risques susceptibles d’affecter
la réalisation des objectifs.
Évaluation de la sévérité de la déficience du contrôle

interne : (Déterminer si des contrôles relatifs
à l’application d’autres principes compensent Recenser les déficiences du contrôle
Description la déficience du contrôle interne.) interne liées à un autre principe qui
du contrôle interne
La déficience du contrôle déficience du contrôle interne.
compensatoires
(O/N)
11. Sélectionner et développer des contrôles généraux

informatiques : l’organisation sélectionne et développe
des contrôles généraux informatiques pour faciliter la
réalisation des objectifs.
C8325_CLE.indb 29 14/11/14 16:28


Description
compensatoires
(O/N)

12. Déployer les activités de contrôle par le biais de
règles et de procédures : l’organisation déploie les
activités de contrôle par le biais de règles qui précisent
les objectifs poursuivis, et de procédures qui permettent
de mettre en œuvre ces règles.
Description
compensatoires
(O/N)
C8325_CLE.indb 30 14/11/14 16:28


Évaluer la composante en faisant appel au jugement, O/N Justification de la conclusion

sur la base des principes et des déficiences*

C8325_CLE.indb 31 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « INFORMATION ET COMMUNICATION »
13. Utiliser des informations pertinentes : l’organisation

obtient, produit et utilise des informations pertinentes
et de qualité pour faciliter le fonctionnement du contrôle
interne.

La déficience du contrôle déficience du contrôle interne
compensatoires
(O/N)
14. Communiquer en interne : l’organisation com-

munique en interne l’information nécessaire au bon
fonctionnement du contrôle interne, notamment les
informations relatives aux objectifs et aux responsabilités
du contrôle interne.
C8325_CLE.indb 32 14/11/14 16:28


Description
du contrôle interne La déficience du contrôle déficience du contrôle interne
compensatoires
(O/N)

15. Communiquer en externe : l’organisation commu-
nique aux tiers les éléments qui peuvent affecter le
fonctionnement du contrôle interne.
Description
compensatoires
(O/N)
C8325_CLE.indb 33 14/11/14 16:28

du contrôle interne dans plusieurs composantes constitue
une déficience majeure**
Évaluer la composante en faisant appel au jugement, sur O/N Justification de la conclusion
la base des principes et des déficiences**

C8325_CLE.indb 34 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « PILOTAGE »
16.Conduire des évaluations continues et/ou ponc-

tuelles : l’organisation sélectionne, développe et réalise
des évaluations continues et/ou ponctuelles pour s’as-
surer que les composantes du contrôle interne sont mises
en place et fonctionnent.

compensatoires
(O/N)
17. Évaluer et communiquer les déficiences du contrôle

interne : l’organisation évalue et communique les
déficiences de contrôle interne en temps voulu aux
responsables des mesures correctives, y compris, le cas
échéant, à la direction générale et au conseil.
C8325_CLE.indb 35 14/11/14 16:28


Description
compensatoires
(O/N)



C8325_CLE.indb 36 14/11/14 16:28

Évaluation des principes 37
Évaluation des principes
C8325_CLE.indb 37 14/11/14 16:28

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »
Principe n° 1 : Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques
L’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.
Points d’attention :
•• faire preuve d’exemplarité : le conseil et le management, à tous les niveaux de l’entité, démontrent à travers leurs instructions, leurs actes et leur comporte-
ment, l’importance de l’intégrité et des valeurs éthiques pour le bon fonctionnement du système de contrôle interne ;
•• établir les normes de conduite : les attentes du conseil et de la direction générale quant à l’intégrité et aux valeurs éthiques sont définies dans les normes de
conduite et sont comprises à tous les niveaux de l’organisation, ainsi que par les prestataires externes et autres partenaires ;
•• évaluer l’adhésion aux normes de conduite : les processus sont en place pour évaluer la performance individuelle et collective au regard des normes de
conduite définies ;
•• gérer les écarts en temps voulu : les écarts par rapport aux normes de conduite de l’entité sont identifiés et résolus en temps voulu et de façon cohérente ;
•• (le cas échéant, autres points d’attention spécifiques.)
Synthèse des contrôles relatifs à l’application du principe n° 1
C8325_CLE.indb 38 14/11/14 16:28

Déficiences liées au principe n° 1
Évaluation préliminaire de la sévérité de la déficience :

(Déterminer si d’autres contrôles relatifs à l’application
de ce principe compensent la déficience du contrôle Recenser les déficiences du contrôle
Description
interne.) interne liées à un autre principe qui
du contrôle interne A priori, la déficience du déficience du contrôle interne.
contrôle interne est-elle
compensatoires
majeure ? (O/N)
Évaluation des déficiences au sein du principe* : <Commentaires >

du contrôle interne au sein du principe constitue une
déficience majeure**
< Mettre à jour le modèle « Synthèse des déficiences » si
nécessaire >
Évaluer le principe en faisant appel au jugement** O/N Justification de la conclusion
Le principe est-il mis en place ?
Le principe fonctionne-t-il ?
** S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le principe n’est pas mis en place et ne fonctionne pas, et que le système de contrôle interne
C8325_CLE.indb 39 14/11/14 16:28

Principe n° 2 : Réaliser une surveillance effective

Le conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du système de contrôle interne.
•• établir les responsabilités de surveillance : le conseil appréhende et accepte ses responsabilités de surveillance dans le cadre des exigences et des attentes
définies ;
•• mettre en œuvre l’expertise requise : le conseil définit, maintient et évalue périodiquement les compétences et l’expertise requises parmi ses membres pour
leur permettre de poser des questions pertinentes à la direction générale et de suivre les actions qui s’imposent ;
•• agir en toute indépendance : le conseil compte suffisamment de membres indépendants du management et agissant objectivement dans leurs évaluations et
leurs prises de décisions ;
•• assurer la surveillance du système de contrôle interne : le conseil a la responsabilité de la surveillance concernant la conception, la mise en œuvre et le
pilotage du contrôle interne par le management :
–– environnement de contrôle : établir les attentes en matière d’intégrité et de valeurs éthiques, d’instances de surveillance, de pouvoirs et de responsabi-
lités, ainsi que les attentes concernant les compétences et le devoir de rendre compte au conseil,
–– évaluation des risques : surveiller l’évaluation faite par le management des risques susceptibles d’affecter la réalisation des objectifs, notamment l’im-
pact potentiel de changements significatifs, de fraudes et du contournement par le management des principes de contrôle interne,
–– activités de contrôle : surveiller les actions de la direction générale pour s’assurer de la mise en place et du bon fonctionnement des activités de contrôle,
–– information et communication : analyser et discuter des informations sur la réalisation des objectifs de l’entité,
–– pilotage : apprécier et surveiller la nature et le périmètre des activités de pilotage, ainsi que l’évaluation par le management des déficiences et les
mesures prises pour y remédier ;
C8325_CLE.indb 40 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 41 14/11/14 16:28

Principe n° 3 : Définir des structures, des pouvoirs et des responsabilités

Le management, agissant sous la surveillance du conseil, définit les structures, les rattachements, ainsi que les pouvoirs et les responsabilités appropriés
pour atteindre les objectifs.
•• prendre en compte l’ensemble des structures de l’entité : le management et le conseil prennent en compte la complexité des structures organisationnelles
(unités opérationnelles, entités juridiques, distribution géographique et prestataires externes) qui contribuent à la réalisation des objectifs ;
•• établir les rattachements : le management définit et évalue les rattachements pour chaque structure de l’entité afin de favoriser l’exercice des pouvoirs et
des responsabilités et le flux d’informations nécessaires à la gestion des activités de l’entité ;
•• définir, assigner et délimiter les pouvoirs et les responsabilités : le management et le conseil délèguent les pouvoirs, définissent les responsabilités, uti-
lisent des processus et des systèmes d’information appropriés pour assigner les responsabilités et séparer les tâches comme il convient aux différents niveaux
de l’organisation :
–– le conseil détient en dernier ressort le pouvoir de procéder à des décisions et à des révisions significatives concernant l’établissement et la délimitation
des pouvoirs et des responsabilités du management,
–– la direction générale définit les instructions, les lignes directrices et les contrôles afin de permettre au management et aux collaborateurs de comprendre
et d’exercer leurs responsabilités de contrôle interne,
–– le management guide et facilite l’exécution des instructions de la direction générale au sein de l’entité et de ses unités,
–– les collaborateurs comprennent les normes de conduite de l’entité, les risques susceptibles d’affecter la réalisation des objectifs et les activités de
contrôle associées à leurs niveaux respectifs, les flux de communication et d’information attendus, et les activités de pilotage utiles pour la réalisation des
objectifs,
–– les prestataires externes adhèrent à la définition par le management de l’étendue de leurs pouvoirs et de leurs responsabilités ;
C8325_CLE.indb 42 14/11/14 16:28


(Déterminer si d’autres contrôles relatifs à l’application de Recenser les déficiences du contrôle
Description ce principe compensent la déficience du contrôle interne.) interne liées à un autre principe qui
du contrôle interne A priori, la déficience du
Commentaires/Contrôles déficience du contrôle interne.
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 43 14/11/14 16:28

Principe n° 4 : Démontrer son engagement en faveur du développement des compétences

L’organisation démontre son engagement à attirer, former et fidéliser des personnes compétentes conformément aux objectifs.
•• établir des politiques et des modalités pratiques : les politiques et les modalités pratiques reflètent les compétences attendues, nécessaires à la réalisation
des objectifs ;
•• évaluer les compétences disponibles et remédier aux insuffisances : le conseil et le management évaluent les compétences disponibles dans l’ensemble de
l’organisation et chez les prestataires externes au regard de politiques et de modalités pratiques établies, et le cas échéant, prennent des mesures pour remé-
dier aux insuffisances ;
•• attirer, former et fidéliser les personnes : l’organisation prévoit le mentorat et la formation nécessaires pour attirer, former et fidéliser suffisamment de
salariés compétents et de prestataires externes pour réaliser ses objectifs ;
•• planifier et préparer la succession : la direction générale et le conseil élaborent des plans pour assurer la continuité des responsabilités clés en matière de
contrôle interne ;
C8325_CLE.indb 44 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 45 14/11/14 16:28

Principe n° 5 : Instaurer un devoir de rendre compte

L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne afin d’atteindre les objectifs.
•• instaurer un devoir de rendre compte à travers les structures, les pouvoirs et les responsabilités : le management et le conseil déterminent les mécanismes
de communication des responsabilités individuelles en matière de contrôle interne et de devoir de rendre compte, et prennent, si nécessaire, les mesures
correctives ;
•• établir des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil établissent des indicateurs de per-
formance, des mesures d’incitation et des gratifications adaptés aux responsabilités à tous les échelons de l’entité, en tenant compte du niveau approprié de
performance et des normes de conduite attendues, ainsi que de la réalisation des objectifs à court et à long terme ;
•• évaluer en continu la pertinence des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil alignent les
mesures d’incitation et les gratifications sur la réalisation des responsabilités liées au contrôle interne en vue de la réalisation des objectifs ;
•• tenir compte des pressions excessives : le management et le conseil évaluent et limitent les pressions associées à la réalisation des objectifs lorsqu’ils
assignent les responsabilités, définissent les indicateurs de performance et évaluent les performances ;
•• évaluer les performances individuelles et récompenser ou sanctionner les personnes : le management et le conseil évaluent l’exercice des responsabilités
liées au contrôle interne, notamment le respect des normes de conduite et les niveaux de compétence attendus et récompensent ou sanctionnent selon le
cas ;
C8325_CLE.indb 46 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 47 14/11/14 16:28

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « ÉVALUATION DES RISQUES »
Principe n° 6 : Définir des objectifs appropriés

L’organisation définit des objectifs de façon suffisamment claire pour permettre l’identification et l’évaluation des risques susceptibles d’affecter
leur réalisation.
Objectifs liés aux opérations

•• refléter les choix du management : les objectifs liés aux opérations reflètent les choix du management concernant la structure, le secteur d’activité et la
performance de l’entité ;
•• prendre en compte les seuils de tolérance au risque : le management prend en compte les écarts acceptables par rapport à l’atteinte des objectifs liés aux
opérations ;
•• intégrer des cibles de performance opérationnelle et financière : les performances opérationnelles et financières souhaitées sont reflétées dans les objectifs
liés aux opérations ;
•• constituer les bases de l’allocation des ressources : le management se base sur les objectifs liés aux opérations pour affecter les ressources nécessaires à la
réalisation de la performance opérationnelle et financière souhaitée ;
Objectifs liés au reporting financier externe

•• respecter les normes comptables applicables : les objectifs liés au reporting financier sont cohérents avec les principes comptables adéquats et applicables à
l’entité. Les principes comptables retenus sont appropriés aux circonstances ;
•• tenir compte de l’importance relative : le management tient compte de l’importance relative dans la présentation des états financiers ;
•• refléter les activités de l’entité : le reporting externe reflète les transactions et les événements sous-jacents, dans le respect des critères de qualité commu-
nément admis ;
Objectifs liés au reporting extra-financier externe

•• respecter les normes et les référentiels externes : le management définit des objectifs conformes aux lois et aux règlements, ou aux normes et aux référen-
tiels d’organismes externes reconnus ;
•• prendre en compte le niveau de précision requis : le management prend en compte le niveau de précision et d’exactitude requis pour les besoins des utilisa-
teurs et des critères fixés par les tiers pour le reporting extra-financier ;
•• refléter les activités de l’entité : le reporting externe reflète les transactions et les événements sous-jacents dans des limites acceptables ;
C8325_CLE.indb 48 14/11/14 16:28


Points d’attention (suite) :
Objectifs liés au reporting interne

•• refléter les choix du management : le reporting interne fournit au management des informations exactes et exhaustives sur ses choix, et celles dont il a
besoin pour gérer l’entité ;
•• prendre en compte le niveau de précision requis : le management prend en compte le niveau de précision et d’exactitude requis pour les besoins des utilisa-
teurs dans le cadre des objectifs liés au reporting extra-financier, et l’importance relative dans le cadre des objectifs liés au reporting financier ;
•• refléter les activités de l’entité : le reporting interne reflète les transactions et les événements sous-jacents dans des limites acceptables ;
Objectifs liés à la conformité

•• refléter les lois et règlements externes : les lois et règlements fixent des normes minimales de conduite que l’entité intègre dans ses objectifs liés à la
conformité ;
•• prendre en compte les seuils de tolérance au risque : le management prend en compte les écarts acceptables par rapport à l’atteinte des objectifs liés à la
conformité ;
C8325_CLE.indb 49 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >


C8325_CLE.indb 50 14/11/14 16:28

Principe n° 7 : Identifier et analyser les risques

L’organisation identifie les risques susceptibles d’affecter la réalisation de ses objectifs dans l’ensemble de son périmètre
et procède à leur analyse de façon à déterminer comment ils doivent être gérés.
•• englober l’entité, les filiales, les divisions, les unités opérationnelles et les services fonctionnels : l’organisation identifie et évalue les risques à l’échelle
de l’entité, au niveau des filiales, des divisions, des unités opérationnelles et des services fonctionnels impliqués dans la réalisation des objectifs ;
•• analyser les facteurs internes et externes : l’identification des risques tient compte des facteurs internes et externes et de leur impact sur la réalisation des
objectifs ;
•• impliquer les niveaux appropriés du management : l’organisation met en place des dispositifs efficaces d’évaluation des risques qui impliquent les niveaux
appropriés du management ;
•• estimer l’importance des risques identifiés : les risques identifiés sont analysés grâce à un processus qui inclut l’estimation de l’importance potentielle des
risques ;
•• déterminer les modalités de traitement des risques : l’évaluation des risques permet de définir la façon dont le risque doit être géré et s’il doit être accepté,
évité, réduit ou partagé ;
C8325_CLE.indb 51 14/11/14 16:28


Commentaires/ déficience du contrôle interne.
Contrôles compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 52 14/11/14 16:28

Principe n° 8 : Évaluer le risque de fraude

L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles d’affecter la réalisation des objectifs.
•• envisager différents types de fraude : l’évaluation du risque de fraude couvre le reporting frauduleux, la perte éventuelle d’actifs, et la corruption découlant
des différentes possibilités de survenance d’une fraude ou d’un comportement répréhensible ;
•• évaluer les incitations et les pressions : l’évaluation du risque de fraude tient compte des incitations et des pressions ;
•• évaluer les opportunités : l’évaluation du risque de fraude prend en considération les opportunités d’acquisition, d’utilisation ou de cession non autorisées
d’actifs, de modification des registres comptables ou d’autres agissements inappropriés ;
•• évaluer les comportements et les justifications : l’évaluation du risque de fraude tient compte de la façon dont le management et les collaborateurs pour-
raient commettre ou justifier des actes inappropriés ;
C8325_CLE.indb 53 14/11/14 16:28


compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 54 14/11/14 16:28

Principe n° 9 : Identifier et analyser les changements significatifs

L’organisation identifie et évalue les changements qui pourraient avoir un impact significatif sur le système de contrôle interne.
•• évaluer les évolutions de l’environnement externe : le processus d’identification des risques tient compte des évolutions de l’environnement réglementaire,
économique et physique dans lequel l’entité exerce ses activités ;
•• évaluer les évolutions du modèle économique : l’organisation tient compte de l’impact potentiel de nouvelles lignes d’activité, des changements en profon-
deur affectant les lignes existantes, et des activités acquises ou cédées sur le système de contrôle interne, d’une croissance rapide, de l’évolution de la dépen-
dance vis-à-vis d’autres zones géographiques, et des nouvelles technologies ;
•• évaluer les changements de management : l’organisation tient compte de l’effet des changements de management et des évolutions du comportement et de
la philosophie de management sur le système de contrôle interne ;
C8325_CLE.indb 55 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 56 14/11/14 16:28

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « ACTIVITÉS DE CONTRÔLE »
Principe n° 10 : Sélectionner et développer des activités de contrôle

L’organisation sélectionne et développe des activités de contrôle qui visent à maîtriser et à ramener à un niveau acceptable les risques susceptibles d’affecter
•• relier les activités de contrôle à l’évaluation des risques : les activités de contrôle permettent de s’assurer que les modalités de traitement sont mises en
œuvre pour gérer et maîtriser les risques ;
•• tenir compte des facteurs propres à l’entité : le management tient compte de la façon dont l’environnement, la complexité, la nature et l’étendue de ses
activités, ainsi que les spécificités de son organisation, affectent la sélection et le développement des activités de contrôle ;
•• se focaliser sur les processus métier pertinents : le management détermine les processus nécessitant des activités de contrôle ;
•• combiner différents types d’activités de contrôle : les activités de contrôle englobent un large éventail de contrôles et peuvent comprendre un ensemble
équilibré d’approches destinées à maîtriser les risques, dont des contrôles manuels et automatisés ainsi que d’autres, préventifs et détectifs ;
•• tenir compte du niveau auquel doivent s’appliquer les activités de contrôle : le management apprécie la nécessité de développer des activités de contrôle
aux différents niveaux de l’entité ;
•• tenir compte de la séparation des tâches : le management sépare les tâches incompatibles et lorsqu’il n’est pas possible de le faire, il sélectionne et déve-
loppe des activités de contrôle alternatives ;
C8325_CLE.indb 57 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 58 14/11/14 16:28

Principe n° 11 : Sélectionner et développer des contrôles généraux informatiques

L’organisation sélectionne et développe des contrôles généraux informatiques pour faciliter la réalisation des objectifs.
•• prendre en compte le lien entre l’utilisation des systèmes d’information dans les processus métier et les contrôles généraux informatiques : le manage-
ment comprend et détermine la dépendance et le lien entre processus métier, activités de contrôle automatisées et contrôles généraux ;
•• mettre en place les contrôles pertinents liés à l’infrastructure informatique : le management sélectionne et développe des contrôles relatifs à l’infrastruc-
ture informatique, qui sont conçus et mis en œuvre afin de contribuer à l’exhaustivité, à l’exactitude et à la disponibilité du traitement informatique ;
•• mettre en place les contrôles pertinents au sein des processus de gestion de la sécurité : le management sélectionne et développe des contrôles conçus
et mis en œuvre afin de restreindre les habilitations informatiques aux utilisateurs autorisés dans la limite de leurs responsabilités, mais également afin de
protéger les actifs de l’entité contre les menaces externes ;
•• mettre en place les contrôles pertinents liés aux processus d’acquisition, de développement et de maintenance des systèmes d’information : afin de
réaliser ses objectifs, le management sélectionne et développe des contrôles liés à l’acquisition, au développement et à la maintenance des systèmes d’infor-
mation et de son infrastructure ;
C8325_CLE.indb 59 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 60 14/11/14 16:28

Principe n° 12 : Déployer les activités de contrôle par le biais de règles et de procédures
L’organisation déploie les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui permettent de mettre en
œuvre ces règles.
•• définir des règles et des procédures à l’appui du déploiement des instructions du management : le management établit, grâce à des règles fixant ce qui
est attendu et à des procédures précisant les mesures associées, les contrôles qui seront intégrés au cœur des processus métier et des activités quotidiennes
des collaborateurs ;
•• établir la responsabilité et le devoir de rendre compte de la mise en œuvre des règles et des procédures : le management assigne la responsabilité et
le devoir de rendre compte des activités de contrôle au personnel d’encadrement (ou à d’autres collaborateurs) de l’unité opérationnelle ou de la fonction
concernée par le risque ;
•• exécuter des contrôles en temps voulu : le collaborateur à qui la responsabilité des contrôles a été assignée les exécute dans les délais définis par les règles
et les procédures ;
•• prendre les mesures correctives : le collaborateur à qui la responsabilité des contrôles a été assignée effectue des vérifications et prend des mesures pour
traiter les points identifiés dans le cadre des activités de contrôle ;
•• faire appel à des collaborateurs compétents pour réaliser les contrôles : des collaborateurs compétents, dotés de l’autorité adéquate, exécutent les activités
de contrôle avec la diligence et l’attention qui s’imposent ;
•• réévaluer les règles et les procédures autant que de besoin : le management revoit périodiquement les contrôles afin de s’assurer qu’ils restent pertinents,
et si nécessaire les actualise ;
C8325_CLE.indb 61 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 62 14/11/14 16:28

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « INFORMATION ET COMMUNICATION »
Principe n° 13 : Utiliser des informations pertinentes

L’organisation obtient, produit et utilise des informations pertinentes et de qualité pour faciliter le fonctionnement du contrôle interne.
•• identifier les besoins en matière d’information : un processus est en place afin d’identifier les besoins d’information nécessaires au fonctionnement des
autres composantes du contrôle interne et à la réalisation des objectifs de l’entité ;
•• s’appuyer sur des données d’origine interne et externe : les systèmes d’information permettent d’accéder aux sources internes et externes de données ;
•• traiter les données pertinentes : les systèmes d’information utilisent des données pertinentes pour les transformer en informations ;
•• garantir la qualité tout au long du traitement : les systèmes d’information produisent en temps voulu des informations à jour, exactes, exhaustives, acces-
sibles, protégées, vérifiables et conservées. Les informations sont examinées afin d’évaluer leur pertinence dans le cadre de la mise en œuvre des compo-
santes du contrôle interne ;
•• prendre en compte le rapport coûts/bénéfices : la nature, la quantité et la précision des informations communiquées sont proportionnées aux objectifs, et
contribuent à leur réalisation ;
C8325_CLE.indb 63 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 64 14/11/14 16:28

Principe n° 14 : Communiquer en interne

L’organisation communique en interne les informations nécessaires au bon fonctionnement du contrôle interne, notamment les informations relatives
aux objectifs et aux responsabilités du contrôle interne.
•• communiquer des informations relatives au contrôle interne : un processus est en place afin de communiquer les informations nécessaires, permettant à
l’ensemble des collaborateurs de comprendre et d’exercer leurs responsabilités en matière de contrôle interne ;
•• communiquer avec le conseil : le management et le conseil communiquent de telle sorte que ces deux organes détiennent les informations nécessaires pour
remplir leur rôle dans la poursuite des objectifs de l’entité ;
•• mettre à disposition des canaux de communication spécifiques : des canaux de communication spécifiques, tels que des dispositifs d’alerte, sont en place
comme mécanismes de sécurité permettant une communication anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou inefficaces ;
•• sélectionner un mode de communication adéquat : le mode de communication est choisi en tenant compte de la nature, des destinataires et des délais de
transmission des informations ;
C8325_CLE.indb 65 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >

C8325_CLE.indb 66 14/11/14 16:28

Principe n° 15 : Communiquer en externe

L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionnement du contrôle interne.
•• communiquer aux tiers : des processus sont en place pour communiquer en temps voulu des informations pertinentes aux tiers, notamment aux actionnaires,
partenaires, propriétaires, régulateurs, clients, analystes financiers ;
•• faciliter la réception des communications : des canaux de communication ouverts permettent de recevoir des informations provenant de clients, consomma-
teurs, fournisseurs, auditeurs externes, régulateurs, analystes financiers et autres tiers, de sorte que le management et le conseil disposent d’informations
pertinentes ;
•• communiquer avec le conseil : les informations pertinentes découlant d’évaluations réalisées par des tiers sont communiquées au conseil ;
•• mettre à disposition des canaux de communication spécifiques : des canaux de communication spécifiques, tels que des dispositifs d’alerte, sont en place
comme mécanismes de sécurité permettant une communication anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou inefficaces ;
•• sélectionner un mode de communication approprié : le choix du mode de communication tient compte de la nature et des destinataires de la communica-
tion, des aspects liés au délai, des obligations légales, réglementaires ou fiduciaires et des attentes ;
C8325_CLE.indb 67 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 68 14/11/14 16:28

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « PILOTAGE »
Principe n° 16 : Conduire des évaluations continues et/ou ponctuelles

L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponctuelles pour s’assurer que les composantes du contrôle interne sont
mises en place et fonctionnent.
•• envisager une combinaison d’évaluations continues et d’évaluations ponctuelles : le management combine de manière équilibrée les évaluations continues
et les évaluations ponctuelles ;
•• prendre en compte le rythme des changements : le management tient compte du rythme de changement des activités et des processus métier lors de la
sélection et du développement des évaluations continues ou ponctuelles ;
•• s’appuyer sur un niveau de référence : un état des lieux de la conception et de l’état du système de contrôle interne permet de définir le niveau de référence
des évaluations continues ou ponctuelles ;
•• faire appel à des collaborateurs avertis : les collaborateurs chargés des évaluations continues ou ponctuelles possèdent des connaissances suffisantes pour
comprendre les processus évalués ;
•• intégrer les évaluations continues au cœur des processus métier : les évaluations continues sont intégrées au cœur des processus métier et peuvent être
modifiées en fonction de l’évolution du contexte ;
•• ajuster le périmètre et la fréquence : le management modifie le périmètre et la fréquence des évaluations ponctuelles en fonction des risques ;
•• évaluer objectivement : des évaluations ponctuelles sont réalisées périodiquement afin d’obtenir des informations objectives ;
C8325_CLE.indb 69 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 70 14/11/14 16:28

Principe n° 17 : Évaluer et communiquer les déficiences du contrôle interne

L’organisation évalue et communique les déficiences de contrôle interne en temps voulu aux responsables des mesures correctives, y compris, le cas échéant,
à la direction générale et au conseil.
•• évaluer les résultats : le management et/ou le conseil, selon le cas, évaluent les résultats des évaluations continues et des évaluations ponctuelles ;
•• communiquer les déficiences : les déficiences sont communiquées aux parties chargées de prendre des mesures correctives ainsi qu’à la direction générale et
au conseil, le cas échéant ;
•• effectuer le suivi des mesures correctives : le management effectue un suivi afin de s’assurer que les déficiences sont corrigées en temps voulu ;
C8325_CLE.indb 71 14/11/14 16:28


Description
compensatoires
majeure ? (O/N)

nécessaire >
C8325_CLE.indb 72 14/11/14 16:28

Synthèse des déficiences 73
Synthèse des déficiences
C8325_CLE.indb 73 14/11/14 16:28

SYNTHÈSE DES DÉFICIENCES
Origine de la Recenser toutes

déficience du contrôle les déficiences du
interne contrôle interne
Considérations La déficience
Description de Impact sur la liées à d’autres
relatives à la du contrôle Plan d’actions
N° ID
la déficience du Responsable mise en place/le principes qui

sévérité de la interne est-elle correctives, date
contrôle interne fonctionnement pourraient avoir
Composante Principe déficience majeure ? (O/N)
engendré cette
déficience du
contrôle interne
Ce modèle est un exemple de synthèse des déficiences. Le management peut adapter ce modèle en ajoutant des colonnes
supplémentaires afin de le compiler avec d’autres informations pertinentes.
C8325_CLE.indb 74 14/11/14 16:28

Scénarios
C8325_CLE.indb 75 14/11/14 16:28

C8325_CLE.indb 76 14/11/14 16:28
Scénario A 77
Scénario A : La composante
et ses principes sont-ils mis en place
et fonctionnent-ils ?
C8325_CLE.indb 77 14/11/14 16:28

OBJECTIF
Montrer comment l’évaluation des principes au sein d’une composante permet de déterminer si la composante est
mise en place et fonctionne.
Illustrer la nécessité de faire appel au jugement pour déterminer si les principes sont mis en place et fonctionnent, y
compris lorsqu’il existe des déficiences du contrôle interne.
Montrer l’impact des déficiences du contrôle interne au niveau de la composante et des principes.
Illustrer l’adaptation des points d’attention pertinents, le cas échéant, selon l’entité étudiée.
Montrer que l’existence d’une déficience majeure conduit à déterminer qu’un principe n’est pas mis en place ou ne
fonctionne pas et que, par conséquent, la composante concernée n’est pas mise en place et ne fonctionne pas. (Même
si cela n’est pas expressément démontré dans ce scénario, le système de contrôle interne serait considéré comme
inefficace.)
CONTEXTE
Entreprise familiale d’ameublement, non cotée.
200 millions de chiffre d’affaires annuel, exclusivement dans l’ouest des États-Unis.
Le conseil est constitué de membres de la famille propriétaire et d’un certain nombre de professionnels du métier
disposant d’une expérience significative. Le directeur général possède une expérience solide dans la gestion de
grandes entreprises. Le responsable de l’audit interne a plus de quinze ans d’expérience en audit.
CATÉGORIE D’OBJECTIFS
La catégorie d’objectifs visée par l’évaluation est le reporting financier interne. L’accent est mis sur l’établissement
de rapports financiers fiables, exhaustifs et exacts au niveau des divisions, pour gérer l’entreprise et prendre des
décisions stratégiques.
C8325_CLE.indb 78 14/11/14 16:28

Scénario A
Scénario A 79
RÉFÉRENCES PERTINENTES ISSUES DU RÉFÉRENTIEL

Un système efficace de contrôle interne permet de réduire à un niveau acceptable le risque qu’un objectif relevant
d’une ou de plusieurs des trois catégories d’objectifs ne soit pas atteint. L’efficacité du contrôle interne suppose que :
–– chacune des cinq composantes du contrôle interne et leurs principes soient mis en place et fonctionnent correc-
tement ;
–– les cinq composantes fonctionnent conjointement de façon intégrée.
L’expression « mis en place et fonctionnent » s’applique aux composantes et aux principes.
–– La « mise en place » désigne le fait que les composantes et les principes sont pris en considération dans la concep-
tion et la mise en œuvre du système de contrôle interne en vue d’atteindre les objectifs fixés.
–– Le « fonctionnement » désigne le fait que les composantes et les principes continuent d’être pris en compte dans
le cadre du pilotage du système de contrôle interne en vue d’atteindre les objectifs fixés.
Pour déterminer si une composante est mise en place et fonctionne, la direction générale doit, sous la surveillance
du conseil, vérifier dans quelle mesure les principes sont correctement appliqués. Toutefois, la mise en place et le
fonctionnement d’un principe n’impliquent pas que celui-ci soit appliqué en visant le niveau maximum de perfor-
mance. En effet, le management dispose d’un pouvoir d’appréciation pour peser sur les coûts et les avantages liés à
la conception, à la mise en place et au pilotage du système de contrôle interne.
L’expression « déficience du contrôle interne » désigne une insuffisance dans une ou plusieurs composantes et un
ou plusieurs principes, qui réduit la probabilité que l’entité atteigne ses objectifs. Une déficience du contrôle interne
ou une combinaison de déficiences est qualifiée de « déficience majeure » lorsqu’elle réduit fortement la probabilité
que l’entité atteigne ses objectifs. Une déficience majeure est un sous-ensemble des déficiences du contrôle interne.
Ainsi, une déficience majeure est également une déficience du contrôle interne, par définition.
Lorsqu’il existe une déficience majeure, l’organisation ne peut conclure qu’elle satisfait aux exigences d’un système
de contrôle interne efficace. Une déficience majeure peut exister dans plusieurs cas de figure : une composante ou
plus précisément un de ses principes ne sont pas mis en place ou ne fonctionnent pas, ou bien lorsque les compo-
C8325_CLE.indb 79 14/11/14 16:28

santes ne fonctionnent pas conjointement. Une déficience majeure d’une composante ne peut être ramenée à un
niveau acceptable par la mise en place et le fonctionnement d’une autre composante. De même, une déficience
majeure d’un principe ne peut être ramenée à un niveau acceptable par la mise en place et le fonctionnement d’autres
principes.
Pour déterminer si les composantes et les principes sont mis en place et fonctionnent, le management peut utiliser
les contrôles relatifs à l’application des principes. Par exemple, lorsque l’organisation évalue la possibilité que le
principe n° 8 « Évaluer le risque de fraude » ne soit pas mis en place et ne fonctionne pas, elle peut utiliser les
contrôles relatifs à l’application des autres principes, tels que le principe n° 3 « Définir des structures, des pou-
voirs et des responsabilités » et le principe n° 5 « Instaurer un devoir de rendre compte ». En utilisant les contrôles
initialement envisagés dans le contexte d’autres principes, le management peut être en mesure de déterminer si le
principe n° 8 « Évaluer le risque de fraude » est mis en place et fonctionne.
Lorsqu’il détermine si les principes et les composantes sont mis en place et fonctionnent, et si ces dernières fonc-
tionnent conjointement, et in fine, lorsqu’il conclut à l’efficacité du système de contrôle interne de l’entité, le mana-
gement fait appel à son jugement pour évaluer la sévérité d’une déficience du contrôle interne, ou d’une combinaison
de déficiences. En outre, ces jugements peuvent varier selon la catégorie d’objectifs.
Le Référentiel identifie des points d’attention qui correspondent à des caractéristiques importantes des principes.
Mais le management peut estimer que certains de ces points d’attention ne sont pas appropriés ou ne sont pas perti-
nents, et qu’il faut intégrer d’autres points d’attention selon la situation spécifique de l’entité. Les points d’attention
peuvent aider le management dans le cadre de la conception, de la mise en place et du pilotage du contrôle interne,
ainsi que dans le cadre de sa vérification de la mise en place et du fonctionnement correct des principes. Le Référen-
tiel n’exige pas que le management évalue séparément la mise en place de chaque point d’attention.
C8325_CLE.indb 80 14/11/14 16:28

Scénario A
Scénario A 81
ANALYSE DES CONSTATS

La composante « Environnement de contrôle » est utilisée à titre d’exemple.
Évaluation de la composante « Environnement de contrôle »

Principe n° 1 « Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques »
Déficiences du contrôle interne constatées à la suite de l’évaluation du principe :
–– il n’existe pas de programme formel de formation pour accompagner la sensibilisation des collaborateurs à l’im-
portance du respect des normes de conduite ;
–– la société ne dispose pas de processus pour évaluer les individus en fonction des règles d’éthique et d’intégrité en vigueur ;
–– les processus d’identification et de gestion des écarts sont exécutés de manière ponctuelle dans l’organisation.
Le management considère que la combinaison des déficiences du contrôle interne (tel qu’indiqué ci-dessus) conduit
à une déficience majeure et, par conséquent, il en a conclu que le principe n° 1 n’est pas mis en place et ne fonc-
tionne pas.
Principe n° 2 « Réaliser une surveillance effective »

Déficience du contrôle interne constatée parce que les évaluations des risques sont menées et revues par le manage-
ment mais leur revue par le conseil n’est pas formellement documentée.
Déficience du contrôle interne constatée car le conseil ne documente pas formellement sa revue des plans d’actions
correctives et des activités de pilotage.
À la suite de l’analyse préliminaire, le management a considéré que les déficiences du contrôle interne n’étaient pas signi-
ficatives et/ou que d’autres contrôles permettaient d’y pallier. Ces déficiences ne constituent pas une déficience majeure.
Le management conclut que le principe est mis en place et fonctionne malgré les déficiences du contrôle interne.
Cette conclusion repose sur l’évaluation de la sévérité des déficiences ou sur l’existence de contrôles compensatoires.
C8325_CLE.indb 81 14/11/14 16:28

Principe n° 3 « Définir des structures, des pouvoirs et des responsabilités »

Déficience du contrôle interne constatée du fait de l’absence d’évolution des structures de contrôle et de surveillance
malgré les transformations de l’activité.
Bien que la déficience du contrôle interne soit importante, le management ne l’a pas considérée comme une défi-
cience majeure à l’issue de l’analyse préliminaire. En effet, les transformations de l’activité ne concernent qu’une
partie limitée de l’entité.
Le management en conclut que le principe n° 3 est mis en place et fonctionne car les déficiences n’affectent qu’une
partie limitée de l’entité.
Principe n° 4 « Démontrer son engagement en faveur du développement des compétences »

Aucune déficience du contrôle interne constatée.
Le management en conclut que le principe n° 4 est mis en place et fonctionne.
Il convient de noter que pour le principe n° 4, le management a supprimé le point d’attention « Planifier et préparer
la succession », considérant que les aspects relatifs à celui-ci seront évalués dans le point d’attention « Évaluer les
compétences disponibles et remédier aux insuffisances ».
Principe n° 5 « Instaurer un devoir de rendre compte »

Déficience du contrôle interne constatée dans la mesure où les primes de la direction générale et des responsables
de division et d’unité opérationnelle sont directement liées à la performance des ventes ; de plus, elles représentent
une part importante de la rémunération du management, et il n’existe aucune preuve que les pressions pouvant en
résulter ainsi que les contrôles visant à maîtriser les risques ont été pris en compte.
Le management considère que la déficience du contrôle interne est une déficience majeure et, par conséquent, en
conclut que le principe n° 5 n’est pas mis en place et ne fonctionne pas.
Ilconvient de noter que pour le principe n° 5, le management a adapté le point d’attention « Instaurer un devoir
de rendre compte à travers les structures, les pouvoirs et les responsabilités » (modifications indiquées en gras) :
C8325_CLE.indb 82 14/11/14 16:28

Scénario A
Scénario A 83
« Comment le management et le conseil déterminent-ils les mécanismes pour la communication et le devoir de

rendre compte de chacun en matière de contrôle interne, et prennent-ils, si nécessaire, les mesures correctives ?
Dans le cadre de ce processus, comment le management forme-t-il des responsables suppléants pour tous les
aspects du contrôle interne ? »
ÉVALUATION DE LA COMPOSANTE
Le management conclut que la composante n’est pas mise en place et ne fonctionne pas, puisque deux des principes
ne sont pas mis en place et ne fonctionnent pas en raison des déficiences majeures identifiées. Voici le résumé des
évaluations des principes :
–– principe n° 1 : déficience majeure ; le principe n’est pas mis en place et ne fonctionne pas ;
–– principe n° 2 : déficiences du contrôle interne (contrôles compensatoires constatés) ; le principe est mis en place
et fonctionne ;
–– principe n° 3 : déficience du contrôle interne (contrôles compensatoires constatés) ; le principe est mis en place
et fonctionne ;
–– principe n° 4 : aucune déficience du contrôle interne ; le principe est mis en place et fonctionne ;
–– principe n° 5 : déficience majeure ; le principe n’est pas mis en place et ne fonctionne pas.
Remarque : étant donné que le management a conclu que la composante « Environnement de contrôle » ne fonctionne
pas, il devrait également conclure que le système global de contrôle interne n’est pas efficace, même si cela n’est pas
expressément démontré dans le scénario.
SYNTHÈSE DES POINTS CLÉS

Les résultats préliminaires de l’évaluation de la mise en place et du fonctionnement d’un principe étayent l’évalua-
tion au niveau de la composante.
C8325_CLE.indb 83 14/11/14 16:28

Le management fait appel à son jugement pour déterminer si les principes sont mis en place et fonctionnent, y com-
pris lorsqu’il existe des déficiences du contrôle interne.
La sévérité des déficiences du contrôle interne est évaluée au niveau des principes et de la composante.
Les points d’attention peuvent être complétés ou adaptés pour tenir compte des faits et circonstances propres à la
société.
Si une déficience majeure est détectée au niveau d’un principe, alors le principe et la composante associée ne fonc-
tionnent pas et le système de contrôle interne n’est pas efficace.
NOTE SUR LES DIFFÉRENTS TYPES D’ENTITÉ

Ce scénario peut s’appliquer à l’identique à tout autre type d’entité. Cependant, en raison de la nature de certaines enti-
tés, certains principes tels que le principe n° 2 « Réaliser une surveillance effective » peuvent être formulés autrement
(par exemple dans les entités publiques).
C8325_CLE.indb 84 14/11/14 16:28

Scénario A
Scénario A 85

Principe n° 1 : Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques
L’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.
•• faire preuve d’exemplarité : le conseil et le management, à tous les niveaux de l’entité, manifestent à travers leurs instructions, leurs actes et leur compor-
tement, l’importance de l’intégrité et des valeurs éthiques pour le bon fonctionnement du système de contrôle interne ;
•• établir les normes de conduite : les attentes du conseil et de la direction générale quant à l’intégrité et aux valeurs éthiques sont définies dans les normes
de conduite et sont comprises à tous les niveaux de l’organisation, ainsi que par les prestataires externes et autres partenaires ;
•• évaluer l’adhésion aux normes de conduite : les processus sont en place pour évaluer la performance individuelle et collective au regard des normes de
conduite définies ;
•• gérer les écarts en temps voulu : les écarts par rapport aux normes de conduite de l’entité sont identifiés et résolus en temps voulu et de façon cohérente.
Le conseil et la direction générale ont établi un ensemble de règles d’éthique et d’intégrité qui sont régulièrement publiées sur le site Intranet de la société
ainsi que dans les lettres d’information. Elles sont également incluses dans les contrats avec les prestataires externes.
La responsabilité de l’évaluation du respect des règles d’éthique et d’intégrité de l’organisation incombe au management de chaque unité opérationnelle. Dans
la plupart des cas, cette évaluation n’a pas lieu.
Il revient au management de chaque unité opérationnelle d’identifier et de gérer les écarts par rapport aux règles d’éthique et d’intégrité de l’organisation. En
réalité, cela se produit uniquement lorsqu’une situation particulière est portée à la connaissance du management.
Évaluation préliminaire de la sévérité
de la déficience : (Déterminer si d’autres contrôles Recenser les déficiences
relatifs à l’application de ce principe compensent du contrôle interne liées
Description de la déficience la déficience du contrôle interne.) à un autre principe qui
N° d’identification
du contrôle interne pourraient avoir un impact
A priori, la déficience Commentaires/Contrôles sur cette déficience du
du contrôle interne est- compensatoires contrôle interne.
elle majeure ? (O/N)
EC 1-1 Il n’existe pas de programme formel de N5 N/A
formation pour accompagner la sensibili-
sation des collaborateurs à l’importance
du respect des normes de conduite.
5. Après avoir examiné l’ensemble des déficiences du contrôle interne du principe et conclu qu’il y avait une déficience majeure, le management devrait
modifier l’analyse préliminaire de la sévérité des déficiences et indiquer que chacune d’entre elles constitue une déficience majeure.
C8325_CLE.indb 85 14/11/14 16:28

EC 1-2 La société ne dispose pas de processus N6 N/A

pour évaluer les individus en fonction
des règles d’éthique et d’intégrité en
vigueur.
EC 1-3 Les processus d’identification et de ges- N7 N/A

tion des écarts sont exécutés de manière
ponctuelle dans l’organisation.
Évaluation des déficiences au sein du principe* : La combinaison de déficiences du contrôle interne constatées dans le principe n° 1
Évaluer si une déficience ou une combinaison de déficiences du (EC 1-1, EC 1-2, et EC 1-3) conduit à reconsidérer chacune de ces déficiences comme
contrôle interne, prises ensemble au sein du principe, constituent une une déficience majeure. En l’absence de formation pour sensibiliser les personnes aux
déficience majeure** règles d’éthique et de conformité – même si elles sont publiées et communiquées de
manière formelle – et en l’absence de processus pour évaluer les collaborateurs afin
d’identifier et de gérer les écarts, l’organisation ne fait pas preuve de l’exemplarité
attendue car elle ne communique pas clairement sur le fait que le non-respect de ces
règles est inacceptable.

Le principe est-il mis en place ? N En raison d’une déficience majeure, le principe n’est pas mis en
place.
Le principe fonctionne-t-il ? N Le principe ne peut pas fonctionner car il n’est pas mis en place.
6. Idem.
7. Idem.
C8325_CLE.indb 86 14/11/14 16:28

Scénario A
Scénario A 87
Principe n° 2 : Réaliser une surveillance effective

Le conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en place et le bon fonctionnement du système de contrôle interne.
•• établir les responsabilités de surveillance : le conseil appréhende et accepte ses responsabilités de surveillance dans le cadre des exigences et des attentes définies ;
•• mettre en œuvre l’expertise requise : le conseil définit, maintient et évalue périodiquement les compétences et l’expertise requises parmi ses membres pour
leur permettre de poser des questions pertinentes à la direction générale et de suivre les actions qui s’imposent ;
•• agir en toute indépendance : le conseil compte suffisamment de membres indépendants du management et agissant objectivement dans leurs évaluations et
leurs prises de décisions ;
•• assurer la surveillance du système de contrôle interne : le conseil a la responsabilité de la surveillance concernant la conception, la mise en œuvre et le
pilotage du contrôle interne par le management :
–– environnement de contrôle : établir les attentes en matière d’intégrité et de valeurs éthiques, d’instances de surveillance, de pouvoirs et de responsabilités
ainsi que les attentes concernant les compétences et le devoir de rendre compte au conseil,
–– évaluation des risques : surveiller l’évaluation faite par le management des risques susceptibles d’affecter la réalisation des objectifs, notamment l’impact
potentiel de changements significatifs, de fraudes et du contournement par le management des principes de contrôle interne,
–– activités de contrôle : surveiller les actions de la direction générale pour s’assurer de la mise en place et du bon fonctionnement des activités de contrôle,
–– information et communication : analyser et discuter des informations sur la réalisation des objectifs de l’entité,
–– pilotage : apprécier et surveiller la nature et le périmètre des activités de pilotage, ainsi que l’évaluation par le management des déficiences et les mesures
prises pour y remédier.
Le conseil dispose d’une charte qui décrit les responsabilités de surveillance du conseil de manière cohérente avec les attentes et l’environnement réglementaire
de l’entité. La charte exprime la volonté du conseil concernant l’instauration d’un climat d’intégrité et de valeurs éthiques. Elle décrit la structure organisation-
nelle ainsi que les exigences en matière d’intégrité, d’éthique, de compétence et de responsabilité à chaque niveau. La charte spécifie que le conseil devrait
revoir l’évaluation des risques faite par le management, cependant les détails de cette revue ne sont pas formellement documentés.
Le conseil est constitué de membres de la famille propriétaire et d’un certain nombre de professionnels du métier disposant d’une expérience significative. Le
directeur général possède une expérience solide dans la gestion de grandes entreprises. Un certain nombre de membres du conseil viennent d’organisations
extérieures et ont des expériences diverses.
Le conseil a délégué certaines de ses responsabilités à des comités. Chacun d’entre eux dispose d’une charte précisant ses responsabilités dans le cadre des
attentes et de l’environnement réglementaire de l’entité.
Le conseil a revu le projet de synthèse des activités de contrôle. Il l’a commenté et a donné des instructions. La synthèse des activités de contrôle et le plan de
contrôle interne sont présentés une fois par an par le responsable de la conformité.
Le comité exécutif rend régulièrement compte des progrès réalisés par l’organisation et de l’atteinte des objectifs liés au reporting financier interne. Chaque
déficience est analysée par le management et un plan d’actions correctives est adressé au conseil. Cependant, le conseil ne formalise pas sa revue de l’achève-
ment des mesures correctives.
C8325_CLE.indb 87 14/11/14 16:28


N° d’identification de la déficience
compensatoires
majeure ? (O/N)
EC 2-1 Bien que la charte spécifie N Il s’agit principalement
que le conseil devrait revoir d’un problème de docu-
l’évaluation des risques mentation : le conseil
faite par le management, procède bien à la revue de
les détails de cette revue l’évaluation des risques,
ne sont pas formellement comme l’indiquent les
documentés. procès-verbaux de réunion.
EC 2-2 Le conseil ne formalise N Les plans d’actions correc-
pas sa revue des plans tives des déficiences sont
d’actions correctives et des revus par le conseil mais
activités de pilotage. ne sont pas formellement
documentés.
Contrôle compensatoire :
les mesures correctives
et leur achèvement sont
supervisés par le manage-
ment opérationnel.
Évaluation des déficiences au sein du principe* : Les déficiences du contrôle interne constatées dans le principe n° 2 sont mineures ou sont com-
Évaluer si une déficience ou combinaison de déficiences pensées par d’autres contrôles (voir les commentaires relatifs aux déficiences EC 2-1 et EC 2-2). Ces
du contrôle interne au sein du principe constitue une déficiences ne constituent pas une déficience majeure.
nécessaire >
C8325_CLE.indb 88 14/11/14 16:28

Scénario A
Scénario A 89

Le principe est-il mis en place ? O Les déficiences du contrôle interne constatées ne sont
pas jugées suffisamment critiques pour être considérées
comme majeures, ou elles font l’objet de contrôles
compensatoires. Voir les commentaires relatifs aux
déficiences EC 2-1 et EC 2-2.
Le principe fonctionne-t-il ? O Les déficiences du contrôle interne constatées ne sont
pas jugées suffisamment critiques pour être considérées
comme majeures, ou elles font l’objet de contrôles
compensatoires. Voir les commentaires relatifs aux
déficiences EC 2-1 et EC 2-2.
C8325_CLE.indb 89 14/11/14 16:28

Principe n° 3 : Définir des structures, des pouvoirs et des responsabilités

Le management, agissant sous la surveillance du conseil, définit les structures, les rattachements, ainsi que les pouvoirs
et les responsabilités appropriés pour atteindre les objectifs.
•• prendre en compte l’ensemble des structures de l’entité : le management et le conseil prennent en compte la complexité des structures organisationnelles
(unités opérationnelles, entités juridiques, distribution géographique et prestataires externes) qui contribuent à la réalisation des objectifs ;
•• établir les rattachements : le management définit et évalue les rattachements pour chaque structure de l’entité afin de favoriser l’exercice des pouvoirs et
des responsabilités et le flux d’informations nécessaires à la gestion des activités de l’entité ;
•• définir, assigner et délimiter les pouvoirs et les responsabilités : le management et le conseil délèguent les pouvoirs, définissent les responsabilités, uti-
lisent des processus et des systèmes d’information appropriés pour assigner les responsabilités et séparer les tâches comme il convient aux différents niveaux
de l’organisation :
–– le conseil détient en dernier ressort le pouvoir de procéder à des décisions et à des révisions significatives concernant l’établissement et la délimitation des
pouvoirs et des responsabilités du management,
–– la direction générale définit les instructions, les lignes directrices et les contrôles afin de permettre au management et aux collaborateurs de comprendre et
d’exercer leurs responsabilités de contrôle interne,
–– le management guide et facilite l’exécution des instructions de la direction générale au sein de l’entité et de ses unités,
–– les collaborateurs comprennent les normes de conduite de l’entité, les risques susceptibles d’affecter la réalisation des objectifs et les activités de contrôle
associées à leurs niveaux respectifs, les flux de communication et d’information attendus, et les activités de pilotage utiles pour la réalisation des objectifs,
–– les prestataires externes adhèrent à la définition par le management de l’étendue de leurs pouvoirs et de leurs responsabilités.
La conception du système de contrôle interne et les objectifs liés au reporting financier interne sont discutés au cours des réunions du conseil. Le schéma d’orga-
nisation du contrôle interne est conjointement évalué par le conseil et le management.
Les mécanismes de reporting et la structure de gouvernance sont conçus après consultation d’une instance de gouvernance composée de membres compétents
de la direction générale.
Cette instance de gouvernance collabore avec le contrôleur financier pour s’assurer que les responsabilités sont clairement définies et que les contrôles relatifs à
la séparation des tâches sont conçus de manière adéquate.
C8325_CLE.indb 90 14/11/14 16:28

Scénario A
Scénario A 91
Évaluation préliminaire de la sévérité Recenser les

de la déficience : (Déterminer si d’autres déficiences du contrôle
contrôles relatifs à l’application de ce principe
interne liées à un autre
N° compensent la déficience du contrôle interne.)
Description de la déficience du contrôle interne principe qui pourraient
d’identification
A priori, la déficience avoir un impact sur
Commentaires/Contrôles cette déficience du
du contrôle interne est-
compensatoires contrôle interne.
EC 3-1 Le management a défini et le conseil a approuvé les structures, les N Cette déficience du
rattachements, les pouvoirs et les responsabilités de l’entreprise. contrôle interne est
Toutefois, le modèle économique a changé. Il comprend désormais importante, mais elle
des partenaires, des prestataires externes et de nouvelles gammes n’atteint pas le niveau
de produits, de sorte qu’une évolution des structures de surveil- d’une déficience
lance et de contrôle, voire la création de nouvelles structures, est majeure. En effet, les
nécessaire. Les faiblesses du contrôle interne liées à cette nouvelle transformations de
dimension de l’activité pourraient donc ne pas être identifiées alors l’activité ne concernent
qu’elles pourraient empêcher la société d’atteindre ses objectifs qu’une partie relative-
liés au reporting financier interne. ment limitée de l’entité.
Évaluation des déficiences au sein du principe* : Bien que la sévérité de la déficience du contrôle interne constatée dans le
Évaluer si une déficience ou une combinaison de déficiences du contrôle interne, principe n° 3 (EC 3-1) soit importante, le management ne l’a pas considérée
prises ensemble au sein du principe, constituent une déficience majeure** comme une déficience majeure à l’issue de l’analyse préliminaire.
Le principe est-il mis en place ? O
Le principe fonctionne-t-il ? O
C8325_CLE.indb 91 14/11/14 16:28

Principe n° 4 : Démontrer son engagement en faveur du développement des compétences

L’organisation démontre son engagement à attirer, former et fidéliser des personnes compétentes conformément aux objectifs.
•• établir des politiques et des modalités pratiques : les politiques et les modalités pratiques reflètent les compétences attendues, nécessaires à la réalisation
des objectifs ;
•• évaluer les compétences disponibles et remédier aux insuffisances : le conseil et le management évaluent les compétences disponibles dans l’ensemble de
l’organisation et chez les prestataires externes au regard de politiques et de modalités pratiques établies, et le cas échéant, prennent des mesures pour remé-
dier aux insuffisances ;
•• attirer, former et fidéliser les personnes : l’organisation prévoit le mentorat et la formation nécessaires pour attirer, former et fidéliser suffisamment de
salariés compétents et de prestataires externes pour réaliser ses objectifs ;
•• planifier et préparer la succession : la direction générale et le conseil élaborent des plans pour assurer la continuité des responsabilités clés en matière de
contrôle interne.

Le référentiel des compétences est intégré dans les règles et les procédures de l’organisation. Plus spécifiquement, certaines sections des règles et des procé-
dures portent essentiellement sur les capacités requises à chaque niveau pour réaliser efficacement les contrôles liés au reporting financier.
L’équipe de contrôle interne évalue et rend compte des compétences au sein de l’organisation et chez les prestataires externes. Ces rapports sont analysés et les
écarts sont pris en charge par le management et le conseil.
L’organisation dispose d’un cadre de formation et de mentorat permettant d’orienter et d’aider les collaborateurs et les prestataires externes dans la mise en
œuvre des règles et des procédures.
C8325_CLE.indb 92 14/11/14 16:28

Scénario A
Scénario A 93

(Déterminer si d’autres contrôles relatifs
à l’application de ce principe compensent la déficience Recenser les déficiences du contrôle
Description
du contrôle interne.) interne liées à un autre principe qui
compensatoires
majeure ? (O/N)
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein du principe* : Aucune déficience du contrôle interne constatée.
Évaluer si une déficience ou une combinaison de défi-
ciences du contrôle interne, prises ensemble au sein du
principe, constituent une déficience majeure**
nécessaire >
Le principe est-il mis en place ? O Aucune déficience du contrôle interne constatée.
Le principe fonctionne-t-il ? O Aucune déficience du contrôle interne constatée.
C8325_CLE.indb 93 14/11/14 16:28

Principe n° 5 : Instaurer un devoir de rendre compte

L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités en matière de contrôle interne afin d’atteindre les objectifs.
•• instaurer un devoir de rendre compte à travers les structures, les pouvoirs et les responsabilités : le management et le conseil déterminent les mécanismes
de communication des responsabilités individuelles en matière de contrôle interne et de devoir de rendre compte, et prennent, si nécessaire, les mesures
correctives ;
•• établir des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil établissent des indicateurs de perfor-
mance, des mesures d’incitation et des gratifications pour les responsabilités à tous les échelons de l’entité, en tenant compte du niveau de performance et
des normes de conduite attendues, ainsi que de la réalisation des objectifs à court et à long terme ;
•• évaluer en continu la pertinence des indicateurs de performance, des mesures d’incitation et des gratifications : le management et le conseil alignent les
mesures d’incitation et les gratifications sur la réalisation des responsabilités liées au contrôle interne en vue de la réalisation des objectifs ;
•• tenir compte des pressions excessives : le management et le conseil évaluent et limitent les pressions associées à la réalisation des objectifs lorsqu’ils
assignent les responsabilités, définissent les indicateurs de performance et évaluent les performances ;
•• évaluer les performances individuelles et récompenser ou sanctionner les personnes : le management et le conseil évaluent l’exercice des responsabilités
liées au contrôle interne, notamment le respect des normes de conduite et les niveaux de compétence attendus et récompensent ou sanctionnent selon le cas.

Les responsabilités quant à l’exécution des contrôles relatifs à l’objectif lié au reporting financier interne sont clairement définies. Le conseil procède à une revue
annuelle de ces responsabilités.
Les responsabilités et la structure organisationnelle dans laquelle elles s’intègrent sont articulées à un système d’évaluation transparent qui comprend des
bonnes pratiques, incitant à adopter un comportement souhaitable et responsable.
Il existe un système de gratification des performances qui, pour la plupart des collaborateurs, est lié à leurs responsabilités en matière de contrôle interne. Le
conseil évalue la performance de l’équipe de management à travers des discussions et des revues plutôt qu’à l’aide d’indicateurs chiffrés.
La performance est revue en fonction des objectifs fixés en matière de contrôle interne et à partir des responsabilités définies au début de l’année. Il existe
également une revue du schéma d’organisation du contrôle interne de telle sorte que, lorsque des problèmes sont identifiés, les collaborateurs et les équipes
qui ont la responsabilité de ces domaines puissent être identifiés. Des gratifications et/ou des sanctions appropriées sont appliquées et font l’objet d’une revue
trimestrielle par le conseil.
C8325_CLE.indb 94 14/11/14 16:28

Scénario A
Scénario A 95
Évaluation préliminaire de la sévérité de la

déficience : (Déterminer si d’autres contrôles
relatifs à l’application de ce principe compensent Recenser les déficiences du contrôle interne
N° Description de la déficience la déficience du contrôle interne.) liées à un autre principe qui pourraient
d’identification du contrôle interne avoir un impact sur cette déficience du
A priori, la déficience Commentaires/ contrôle interne.
du contrôle interne est- Contrôles
elle majeure ? (O/N) compensatoires
EC 5-1 La structure de rémunération de la direc- O Il n’existe aucune La politique de rémunération variable exerce
tion générale est fortement orientée vers preuve que les pres- une pression sur la direction générale, l’inci-
les primes sur les ventes qui représentent sions potentielles ou tant à agir de manière contraire à l’éthique.
une part importante de la rémunération. les contrôles existants En raison des déficiences majeures au sein
Cela peut entraîner des pressions exces- visant à maîtriser les du principe n° 1 (EC 1-1, EC 1-2 et EC 1-3),
sives pour atteindre les objectifs et risques ont été pris en l’exemplarité fait défaut et l’organisation ne
produire des rapports financiers internes compte. démontre pas le caractère inacceptable d’un
favorables. manquement à la déontologie.
Évaluation des déficiences au sein du principe* : La déficience du contrôle interne constatée dans le principe (EC 5-1) constitue une déficience majeure.
Évaluer si une déficience ou une combinaison de déficiences
du contrôle interne, prises ensemble au sein du principe,
constituent une déficience majeure**
Le principe est-il mis en place ? N En raison d’une déficience majeure (EC 5-1), le principe n’est pas mis en place.
Le principe fonctionne-t-il ? N Le principe ne peut pas fonctionner car il n’est pas mis en place.
C8325_CLE.indb 95 14/11/14 16:28

Mise en place ?
Fonctionnement ? (O/N) Justification de la conclusion
(O/N)
1. Démontrer son engagement en faveur de l’intégrité et N N L’absence d’un programme formel de
des valeurs éthiques : l’organisation démontre son engage- formation ne permet pas à l’organisa-
ment en faveur de l’intégrité et des valeurs éthiques. tion de faire preuve de l’exemplarité
attendue et il n’existe aucun processus
pour identifier et garantir le respect
des règles d’intégrité et d’éthique (voir
déficiences EC 1-1, EC 1-2 et EC 1-3).
interne : (Déterminer si les contrôles relatifs à
l’application d’un autre principe compensent la Recenser les déficiences du contrôle
déficience du contrôle interne.)
N° Description de la déficience interne liées à un autre principe qui
d’identification du contrôle interne pourraient avoir un impact sur cette
La déficience
déficience du contrôle interne.
du contrôle Commentaires/Contrôles
interne est-elle compensatoires
majeure ? (O/N)
EC 1-1 Il n’existe pas de programme formel de for- O Bien qu’en soi, il puisse ne pas s’agir
mation pour accompagner la sensibilisation d’une déficience majeure, cette défi-
des collaborateurs à l’importance du respect cience est considérée comme telle
des normes de conduite. lorsqu’elle est associée aux défi-
ciences EC 1-2 et EC 1-3. Cette défi-
cience n’est pas compensée par des
contrôles dans d’autres principes.
EC 1-2 La société ne dispose pas de processus pour O Bien qu’en soi, il puisse ne pas s’agir
évaluer les individus en fonction des règles d’une déficience majeure, cette défi-
d’éthique et d’intégrité en vigueur. cience est considérée comme telle
lorsqu’elle est associée aux défi-
ciences EC 1-1 et EC 1-3. Cette défi-
C8325_CLE.indb 96 14/11/14 16:28

Scénario A
Scénario A 97

EC 1-3 Les processus d’identification et de gestion O Bien qu’en soi, il puisse ne pas s’agir
des écarts sont exécutés de manière ponc- d’une déficience majeure, cette défi-
tuelle dans l’organisation. cience est considérée comme telle
lorsqu’elle est associée aux défi-
ciences EC 1-1 et EC 1-2. Cette défi-
Mise en place ?
(O/N)
2. Réaliser une surveillance effective : le conseil fait preuve O O Les déficiences du contrôle interne
d’indépendance vis-à-vis du management. Il surveille la mise constatées dans le principe n° 2 (EC 2-1
en place et le bon fonctionnement du système de contrôle et EC 2-2) sont relativement mineures
interne. et sont compensées par d’autres
contrôles (voir la rubrique Commen-
taires/Contrôles compensatoires).
La déficience
majeure ? (O/N)
EC 2-1 Bien que la charte spécifie que le conseil N Il s’agit principalement d’un pro-
devrait revoir l’évaluation des risques faite blème de documentation : le conseil
par le management, cette revue n’est pas procède bien à la revue de l’évalua-
formellement documentée. tion des risques.
C8325_CLE.indb 97 14/11/14 16:28


EC 2-2 Le conseil ne formalise pas sa revue des N Les plans d’actions correctives des
plans d’actions correctives et des activités déficiences sont également revus
de pilotage. par le conseil mais ne sont pas
formellement documentés.
Contrôle compensatoire : les
mesures correctives et leur achève-
ment sont supervisés par le mana-
gement opérationnel.
Mise en place ?
(O/N)
3. Définir des structures, des pouvoirs et des responsa- O O Les structures de contrôle et de sur-
bilités : le management, agissant sous la surveillance du veillance n’ont pas évolué malgré
conseil, définit les structures, les rattachements, ainsi que les les transformations de l’activité (voir
pouvoirs et les responsabilités appropriés pour atteindre les déficience 3-1).
objectifs.
contrôle interne : (Déterminer si les contrôles relatifs
à l’application d’un autre principe compensent la Recenser les déficiences du contrôle
La déficience
majeure ? (O/N)
EC 3-1 Le management a défini et le conseil a N Cette déficience du contrôle interne
approuvé les structures, les rattachements, est importante, mais elle n’atteint
les pouvoirs et les responsabilités de pas le niveau d’une déficience
l’entreprise. Toutefois, le modèle écono- majeure. En effet, les transforma-
mique a changé. Il comprend désormais des tions de la structure de l’activité ne
partenaires, des prestataires externes et concernent qu’une partie limitée de
de nouvelles gammes de produits, de sorte l’entité.
qu’une évolution des structures de
C8325_CLE.indb 98 14/11/14 16:28

Scénario A
Scénario A 99

EC 3-1 (suite) surveillance et de contrôle, voire la création
de nouvelles structures, est nécessaire. Les
faiblesses du contrôle interne liées à cette
nouvelle dimension de l’activité pourraient
donc ne pas être identifiées alors qu’elles
pourraient empêcher la société d’atteindre
ses objectifs liés au reporting financier
interne.
Mise en place ?
(O/N)
4. Démontrer son engagement en faveur du dévelop- O O Aucune déficience du contrôle interne
pement des compétences : l’organisation démontre son constatée.
engagement à attirer, à former et à fidéliser des personnes
compétentes conformément aux objectifs.
La déficience
majeure ? (O/N)
N/A N/A N/A N/A N/A
Mise en place ?
(O/N)
5. Instaurer un devoir de rendre compte : l’organisation N N Les mécanismes de rémunération et
instaure pour chacun un devoir de rendre compte de ses d’incitation comportent une déficience
responsabilités en matière de contrôle interne afin d’atteindre du contrôle interne (voir déficience du
les objectifs. contrôle interne EC 5-1).
C8325_CLE.indb 99 14/11/14 16:28


N° Description de la déficience du contrôle déficience du contrôle interne.) interne liées à un autre principe qui
d’identification interne La déficience pourraient avoir un impact sur cette
du contrôle Commentaires/Contrôles déficience du contrôle interne.
majeure ? (O/N)
EC 5-1 La structure de rémunération de la direction O Il n’existe aucune preuve que EC 1-1, EC 1-2, EC 1-3
générale est fortement orientée vers les les pressions potentielles ou les
primes sur les ventes. qui représentent une contrôles existants visant à maîtriser
part importante de la rémunération les risques ont été pris en compte.
Cela peut entraîner des pressions excessives
pour atteindre les objectifs et produire des
rapports financiers internes favorables.
Évaluation des déficiences au sein de la composante* : Déficiences majeures constatées dans les principes n os 1 et 5.
Évaluer si une déficience ou combinaison de déficiences du
contrôle interne dans plusieurs composantes constitue une
Évaluer la composante en faisant appel au jugement, sur la

O/N Explication
base des principes et des déficiences**
La composante est-elle mise en place ? N Déficiences majeures constatées.
La composante fonctionne-t-elle ? N La composante ne peut pas fonctionner car elle n’est pas mise en place.

** S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que la composante n’est pas mise en place et ne fonctionne pas, et que le système de contrôle
interne n’est pas efficace.
C8325_CLE.indb 100 14/11/14 16:28

Scénario B 101
Scénario B : Les cinq composantes

du contrôle interne sont-elles mises
en place et fonctionnent-elles
conjointement de façon intégrée ?
C8325_CLE.indb 101 14/11/14 16:28

OBJECTIF
Montrer comment l’évaluation du contrôle interne est réalisée en déterminant que chaque composante est mise en
place et fonctionne correctement.
Illustrer l’évaluation du fonctionnement conjoint des composantes.
CONTEXTE
Société manufacturière cotée de taille moyenne (plus de 1 000 collaborateurs). L’organisation est spécialisée dans
la production de pièces détachées pour des applications aérospatiales. L’unité A fournit des pièces détachées à un
constructeur aéronautique depuis trente ans. Ces pièces détachées sont très spécifiques, leur fabrication nécessite des
processus de haute précision et elles doivent être d’une qualité irréprochable. L’année dernière, le client a demandé
une nouvelle pièce détachée qui entre dans la composition d’un nouveau produit. Les procédés de fabrication de cette
pièce utilisent des technologies plus récentes et impliquent des changements dans les procédés existants.
Le management évalue l’efficacité par rapport aux objectifs liés aux opérations.

Un système efficace de contrôle interne permet de réduire à un niveau acceptable le risque qu’un objectif relevant
d’une ou de plusieurs des trois catégories d’objectifs ne soit pas atteint. L’efficacité du contrôle interne suppose que :
–– chacune des cinq composantes du contrôle interne et leurs principes soient mis en place et fonctionnent correc-
tement ;
C8325_CLE.indb 102 14/11/14 16:28

Scénario B
Scénario B 103
Toutes les composantes du contrôle interne décrites dans le Référentiel sont adaptées et pertinentes pour toutes les
entités.
Les composantes fonctionnent conjointement de façon intégrée. Le « fonctionnement conjoint » signifie que les cinq
composantes contribuent collectivement à ramener à un niveau acceptable le risque qu’un objectif ne soit pas atteint.
Les composantes sont interdépendantes et reliées par une multitude de liens tels que l’interaction entre les principes
au sein d’une composante et entre les composantes. Les composantes qui sont mises en place et fonctionnent captent
les interdépendances et les liens qui leur sont propres.
En conséquence, le management peut démontrer que les composantes fonctionnent conjointement lorsque :
–– les composantes sont mises en place et fonctionnent ;
–– les déficiences du contrôle interne de toutes les composantes n’aboutissent pas toutes à la conclusion qu’il existe
une ou plusieurs déficiences majeures.
L’expression « déficience du contrôle interne » désigne une insuffisance dans une ou plusieurs composantes et un
ou plusieurs principes, qui réduit la probabilité que l’entité atteigne ses objectifs. Une déficience du contrôle interne
ou une combinaison de déficiences est qualifiée de « déficience majeure » lorsqu’elle réduit fortement la probabilité
que l’entité atteigne ses objectifs. Une déficience majeure est un sous-ensemble des déficiences du contrôle interne
et non une catégorie de déficiences distincte. Ainsi, une déficience majeure est également une déficience du contrôle
interne, par définition.

Dans ce scénario, des déficiences constatées dans certaines des composantes sont ensuite consolidées lors de l’éva-
luation globale du système de contrôle interne. Les points suivants résument les déficiences dans chaque composante
C8325_CLE.indb 103 14/11/14 16:28

et l’évaluation globale. Une déficience du contrôle interne est constatée et elle concerne l’absence d’un programme
efficace de formation et de développement des compétences.
Évaluation de la composante « Environnement de contrôle »

Principe n° 4 « Démontrer son engagement en faveur du développement des compétences »
Déficience du contrôle interne constatée concernant l’absence d’un programme efficace de formation et de déve-
loppement des compétences. Sur la base de son jugement, le management considère de manière préliminaire que la
composante « Environnement de contrôle » est mise en place et fonctionne.
Évaluation de la composante « Évaluation des risques »

Principe n° 9 « Identifier et analyser les changements significatifs »
Déficience du contrôle interne constatée concernant certains opérationnels qui ne possèdent pas les compétences et
aptitudes requises pour identifier les risques associés à la nouvelle technologie. Sur la base de son jugement, et en
tenant compte de la robustesse des autres principes de la composante, le management considère de manière prélimi-
naire que la composante « Évaluation des risques » est mise en place et fonctionne.
Évaluation de la composante « Activités de contrôle »

Principe n° 12 « Déployer les activités de contrôle par le biais de règles et de procédures »
Déficience du contrôle interne constatée concernant des collaborateurs qui ne sont pas correctement formés. Sur la
base de son jugement, et en tenant compte de la robustesse des autres principes de la composante, le management
considère de manière préliminaire que la composante « Activités de contrôle » est mise en place et fonctionne.
C8325_CLE.indb 104 14/11/14 16:28

Scénario B
Scénario B 105
Évaluation de la composante « Information et communication »

Sur la base de son jugement, le management considère de manière préliminaire que la composante « Information et
communication » est mise en place et fonctionne sans déficience du contrôle interne.
Évaluation de la composante « Pilotage »

Principe n° 16 « Conduire des évaluations continues et/ou ponctuelles »
Déficience du contrôle interne constatée concernant des collaborateurs qui ne disposent peut-être pas des connais-
sances suffisantes concernant la nouvelle technologie et les processus métier sous-jacents. Sur la base de son juge-
ment, et en tenant compte de la robustesse des autres principes de la composante, le management considère de manière
préliminaire que la composante « Pilotage » est mise en place et fonctionne.
Évaluation globale du système de contrôle interne

Le management a revu les déficiences du contrôle interne dans l’ensemble de l’entité pour déterminer si les compo-
santes fonctionnaient conjointement de manière intégrée. Le management a constaté que le niveau de compétence
était un facteur commun à plusieurs déficiences du contrôle interne. L’engagement concernant la mise en œuvre de
normes de qualité particulièrement exigeantes, combiné à une faible tolérance au risque de défaut de fabrication
mettent en exergue l’absence d’un cadre approprié de formation et d’acquisition de compétences, qui s’applique à
l’ensemble de l’organisation. Les responsables de la revue ont constaté que les collaborateurs étaient expérimentés
et possédaient des connaissances suffisantes, mais qu’il leur était difficile de respecter les nouvelles exigences de
production nécessitant une adaptation rapide aux changements, en l’absence d’une culture d’entreprise favorisant
le développement des compétences. Cette situation est susceptible d’affecter l’atteinte de l’objectif opérationnel
consistant à fabriquer des produits selon des critères de qualité correspondants aux seuils de tolérance fixés par le
client.
Dans ce scénario, sur la base de l’évaluation du fonctionnement conjoint des composantes, le management conclut
qu’il existe une déficience majeure et que le système de contrôle interne n’est donc pas efficace. (Il convient de noter
C8325_CLE.indb 105 14/11/14 16:28

que les modèles présentés étayent l’évaluation préliminaire de la sévérité des déficiences par le management. Après
la consolidation, le management sera sans doute amené à modifier les modèles dans le cadre de l’analyse causale
de la déficience du contrôle interne, qui n’avait pas été considérée comme majeure à l’origine et qui a ensuite été
classée comme telle. Il devrait également considérer que le principe et la composante associée ne sont pas mis en
place et ne fonctionnent pas.)

Pour évaluer l’efficacité du contrôle interne, le management doit déterminer si chaque composante est mise en place
et fonctionne et si les composantes fonctionnent conjointement de façon intégrée. Dans cette optique, le management
se base sur son jugement pour déterminer si une déficience ou une combinaison de déficiences du contrôle interne
constitue une déficience majeure compte tenu des informations dont il dispose sur l’ensemble des composantes.

Ce scénario peut s’appliquer à l’identique à tout autre type d’entité. Cependant, en raison de la nature de certaines
entités, certains principes tels que le n° 2 « Réaliser une surveillance effective » peuvent se présenter sous une forme
légèrement différente. Par exemple, il se peut qu’une entité non cotée ne possède pas de conseil indépendant, mais
dispose d’un comité consultatif faisant preuve d’indépendance par rapport au management de la société.
C8325_CLE.indb 106 14/11/14 16:28

Scénario B
Scénario B 107
1. Démontrer son engagement en faveur de l’inté- O O Historiquement, la société fait preuve d’un fort
grité et des valeurs éthiques : l’organisation démontre engagement en matière d’intégrité et de déon-
son engagement en faveur de l’intégrité et des valeurs tologie. Chaque année, tous les collaborateurs
éthiques. doivent lire et signer un code de conduite. Les
politiques et les règles incitent constamment à
faire preuve d’intégrité et de déontologie
contrôle interne : (Déterminer si les contrôles
relatifs à l’application d’un autre principe
Description Recenser les déficiences du contrôle interne
compensent la déficience du contrôle interne.)
N° d’identification de la déficience liées à un autre principe qui pourraient avoir un
du contrôle interne impact sur cette déficience du contrôle interne.
La déficience du Commentaires/
contrôle interne est-elle Contrôles
majeure ? (O/N) compensatoires
N/A N/A N/A N/A N/A
2. Réaliser une surveillance effective : le conseil fait O O Les membres du conseil n’ont aucun lien pro-
preuve d’indépendance vis-à-vis du management. Il fessionnel ou personnel avec le management et
surveille la mise en place et le bon fonctionnement du formulent des lignes directrices, des instructions
système de contrôle interne. et des critiques constructives à propos des
processus de contrôle interne déployés à travers
l’ensemble de la société.
C8325_CLE.indb 107 14/11/14 16:28


N/A N/A N/A N/A N/A

3. Définir des structures, des pouvoirs et des O O La société possède une structure organisation-
responsabilités : le management, agissant sous la nelle très claire avec des rôles et des responsa-
surveillance du conseil, définit les structures, les ratta- bilités bien définis, et notamment des services
chements, ainsi que les pouvoirs et les responsabilités opérationnels et d’assurance qualité dotés d’un
appropriés pour atteindre les objectifs. personnel suffisant en termes d’effectifs et de
compétences.
N/A N/A N/A N/A N/A
4. Démontrer son engagement en faveur du dévelop- O O
pement des compétences : l’organisation démontre
son engagement à attirer, former et fidéliser des
personnes compétentes conformément aux objectifs.
C8325_CLE.indb 108 14/11/14 16:28

Scénario B
Scénario B 109

EC 4-1 L’organisation s’appuie sur N Bien qu’il n’y ait pas
des collaborateurs expé- de programme formel
rimentés recrutés dans le de formation, il existe
secteur d’activité, mais une méthode informelle
elle n’a pas mis en place de développement et
un programme formel et de mise à niveau des
efficace de formation et talents à travers un
de développement des système de mentorat.
compétences pour les Puisque les processus
collaborateurs déjà en métier évoluent peu,
poste. l’absence de programme
formel de formation
n’est pas jugée suffi-
samment critique pour
que cette déficience
soit considérée comme
majeure.
5. Instaurer un devoir de rendre compte : l’organisa- O O Le directeur général adjoint chargé des opéra-
tion instaure pour chacun un devoir de rendre compte tions et le responsable de l’assurance qualité
de ses responsabilités en matière de contrôle interne ont le devoir de rendre compte de l’atteinte des
afin d’atteindre les objectifs. objectifs de contrôle interne.
C8325_CLE.indb 109 14/11/14 16:28


N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une
déficience du contrôle interne a été constatée. Aucune déficience majeure
Évaluer si une déficience ou combinaison de déficiences du contrôle interne dans
ou combinaison de déficiences majeures n’a été constatée.
plusieurs composantes constitue une déficience majeure**
Évaluer la composante en faisant appel au jugement, sur la base des principes et

des déficiences**
O Bien qu’une déficience du contrôle interne (EC 4-1) ait été
identifiée dans le principe n° 4 « Démontrer son engagement
La composante est-elle mise en place ? en faveur du développement des compétences », celle-ci n’a
pas été considérée comme une déficience majeure et la mise
en place de tous les principes a été établie.
O Bien qu’une déficience du contrôle interne (EC 4-1) ait été
identifiée dans le principe n° 4 « Démontrer son engagement
La composante fonctionne-t-elle ? en faveur du développement des compétences », celle-ci
n’a pas été considérée comme une déficience majeure et le
fonctionnement de tous les principes a été établi.
** S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que la composante n’est pas mise en place et ne fonctionne pas correctement et que le système
de contrôle interne n’est pas efficace.
C8325_CLE.indb 110 14/11/14 16:28

Scénario B
Scénario B 111
6. Définir des objectifs appropriés : l’organisation O O Les objectifs sont clairement définis au
définit des objectifs de façon suffisamment claire pour sein de l’organisation. Ils sont axés sur
permettre l’identification et l’évaluation des risques la maîtrise des coûts et la gestion des
susceptibles d’affecter leur réalisation. défauts. Ces objectifs ont été détaillés en
tenant compte de la performance et des
buts de l’organisation.
Description
déficience du contrôle interne.) interne liées à un autre principe qui
compensatoires
(O/N)
N/A N/A N/A N/A N/A
7. Identifier et analyser les risques : l’organisation O O À l’issue du processus annuel de défini-
identifie les risques susceptibles d’affecter la réalisation tion des objectifs, les risques sont identi-
de ses objectifs dans l’ensemble de son périmètre et fiés par la direction générale et revus par
procède à leur analyse de façon à déterminer comment le responsable de l’assurance qualité.
ils doivent être gérés.
Description
compensatoires
(O/N)
C8325_CLE.indb 111 14/11/14 16:28


N/A N/A N/A N/A N/A
8. Évaluer le risque de fraude : l’organisation intègre le O O L’organisation dispose de règles, de
risque de fraude dans son évaluation des risques suscep- procédures et de contrôles liés à l’identi-
tibles d’affecter la réalisation des objectifs. fication et à l’élimination des fraudes.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
9. Identifier et analyser les changements significatifs : O O Dans le cadre du processus d’évaluation
l’organisation identifie et évalue les changements qui des risques, nous avons tenu compte
pourraient avoir un impact significatif sur le système de des changements dans la structure orga-
contrôle interne. nisationnelle, dans l’environnement de
production et financier.
Description
compensatoires
(O/N)
C8325_CLE.indb 112 14/11/14 16:28

Scénario B
Scénario B 113

ER 9-1 Certains opérationnels N Contrôle compensatoire : Voir la déficience du contrôle interne EC
ne possèdent pas les les opérationnels n’ont pas 4-1 dans le principe n° 4 « Démontrer son
compétences nécessaires reçu de formation concer- engagement en faveur du développe-
pour identifier les risques nant la nouvelle techno- ment des compétences ».
associés à la nouvelle logie, mais le management
technologie. procède chaque année à
une revue générale des
risques, qui devrait per-
mettre d’identifier tout
changement majeur dans le
profil de risque.
Sur la base de l’analyse préliminaire réalisée au niveau du principe,
une déficience du contrôle interne a été constatée dans le principe n° 9
Évaluer si une déficience ou une combinaison de déficiences du contrôle interne, (ER 9-1). Aucune déficience majeure ou combinaison de déficiences
prises ensemble au sein de la composante, constituent une déficience majeure** majeures n’a été constatée.
Évaluer la composante en faisant appel au jugement, sur la base des principes et des
déficiences**
O Malgré la déficience du contrôle interne
constatée dans le principe n° 9 (ER 9-1), nous
avons conclu que la composante « Évaluation
des risques » était mise en place.
O Malgré la déficience du contrôle interne
constatée dans le principe n° 9 (ER 9-1),
nous avons conclu que la composante
« Évaluation des risques » fonctionnait.
C8325_CLE.indb 113 14/11/14 16:28


10. Sélectionner et développer des activités de O O L’organisation a développé des activités
contrôle : l’organisation sélectionne et développe des de contrôle en lien avec les risques
activités de contrôle qui visent à maîtriser et à ramener identifiés lors du processus d’évaluation
à un niveau acceptable les risques susceptibles d’affecter des risques.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
11. Sélectionner et développer des contrôles généraux O O L’organisation a déployé des contrôles
informatiques : l’organisation sélectionne et développe relatifs aux systèmes d’information,
des contrôles généraux informatiques pour faciliter la notamment à l’accès aux systèmes, à
réalisation des objectifs. la gestion du changement et à l’infras-
tructure.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 114 14/11/14 16:28

Scénario B
Scénario B 115
12. Déployer les activités de contrôle par le biais de O O L’organisation maintient des règles qui
règles et de procédures : l’organisation déploie les soulignent les attentes liées à la réalisa-
activités de contrôle par le biais de règles qui précisent tion des objectifs et les principes de son
les objectifs poursuivis, et de procédures qui permettent environnement de contrôle. En outre, il
de mettre en œuvre ces règles. existe des procédures pour soutenir la
mise en œuvre de ces règles. Toutefois,
dans certains cas, le personnel n’a pas
les compétences suffisantes pour mettre
en œuvre correctement ces procédures.
Évaluation de la sévérité de la déficience du Recenser les déficiences du contrôle

contrôle interne : (Déterminer si les contrôles relatifs interne liées à un autre principe qui
à l’application d’un autre principe compensent la pourraient avoir un impact sur cette
Description déficience du contrôle interne.) déficience du contrôle interne.
La déficience du contrôle
compensatoires
(O/N)
AC 12-1 Les règles et procédures N La plupart des collabo- Voir la déficience du contrôle interne
associées sont robustes et rateurs ont beaucoup (EC 4-1) constatée dans le principe n° 4
détaillées. Toutefois, les d’ancienneté et jusqu’à « Démontrer son engagement en faveur
collaborateurs n’ont pas présent, les problèmes ont du développement des compétences ».
reçu de formation formelle toujours été mineurs et
concernant ces règles et aisément corrigés.
procédures. Il y a eu des
erreurs de production parce
que les nouveaux collabo-
rateurs n’avaient pas été
formés.
C8325_CLE.indb 115 14/11/14 16:28

Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une déficience du contrôle
interne a été constatée dans le principe n° 12. Aucune déficience majeure ou combinaison de défi-
ciences majeures n’a été constatée.

O Malgré la déficience du contrôle interne constatée dans le prin-
La composante est-elle mise en place ? cipe n° 12, nous avons conclu que la composante « Activités de
contrôle » était mise en place.
O Malgré la déficience du contrôle interne constatée dans le prin-
La composante fonctionne-t-elle ? cipe n° 12, nous avons conclu que la composante « Activités de
contrôle » fonctionnait.
C8325_CLE.indb 116 14/11/14 16:28

Scénario B
Scénario B 117

13. Utiliser des informations pertinentes : l’organisation O O Les règles relatives aux informations sont
obtient, produit et utilise des informations pertinentes bien développées, et des informations
et de qualité pour faciliter le fonctionnement du contrôle pertinentes et de qualité sont produites
interne. pour étayer tous les aspects du contrôle
interne.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
14. Communiquer en interne : l’organisation com- O O Chaque trimestre, les objectifs et les
munique en interne l’information nécessaire au bon responsabilités en matière de contrôle
fonctionnement du contrôle interne, notamment les interne sont clairement communiqués.
informations relatives aux objectifs et aux responsabilités
du contrôle interne.
l’application d’autre principe compensent la déficience Recenser les déficiences du contrôle
Description
du contrôle interne.) interne liées à un autre principe qui
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 117 14/11/14 16:28


15. Communiquer en externe : l’organisation commu- O O Il existe plusieurs dispositifs de commu-
nique aux tiers les éléments qui peuvent affecter le nication externe, notamment à destina-
fonctionnement du contrôle interne. tion de nos clients et dans le cadre de
partenariats avec les fournisseurs.
Description
N° d’identification de la déficience
compensatoires
(O/N)
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la composante* : Aucune déficience du contrôle interne constatée.
Évaluer si une déficience ou une combinaison de
déficiences du contrôle interne, prises ensemble au sein
de la composante, constituent une déficience majeure**
La composante est-elle mise en place ? O Aucune déficience du contrôle interne constatée.
La composante fonctionne-t-elle ? O Aucune déficience du contrôle interne constatée.

C8325_CLE.indb 118 14/11/14 16:28

Scénario B
Scénario B 119

16. Conduire des évaluations continues et/ou ponc- O O Le service qualité conduit des revues opé-
tuelles : l’organisation sélectionne, développe et rationnelles internes avec la contribution
réalise des évaluations continues et/ou ponctuelles et sous la surveillance de l’audit interne.
pour s’assurer que les composantes du contrôle interne Cependant, les collaborateurs opérationnels
sont mises en place et fonctionnent. responsables des évaluations ne sont pas tous
correctement formés et ne connaissent pas
tous suffisamment cette nouvelle technologie.
à l’application d’un autre principe compensent la Recenser les déficiences du contrôle interne
N° Description de la déficience déficience du contrôle interne.) liées à un autre principe qui pourraient avoir
d’identification du contrôle interne un impact sur cette déficience du contrôle
La déficience du interne
contrôle interne est-
compensatoires
AP 16-1 Bien qu’expérimentés, les col- N Contrôle compensatoire : Voir la déficience du contrôle interne (EC 4-1)
laborateurs qui effectuent les cette déficience du contrôle constatée dans le principe n° 4 « Démontrer
revues formelles n’ont pas reçu de interne est partiellement son engagement en faveur du développement
formation formelle concernant la compensée par le fait que la des compétences ».
nouvelle technologie et les nou- direction générale révise les
veaux procédés. Par conséquent, rapports et est en mesure
des constats figurant dans certains de corriger les constats
projets de rapport doivent être grâce à ses compétences et
corrigés à son expérience.
17. Évaluer et communiquer les déficiences du O O Dans le cadre de sa revue de l’efficience
contrôle interne : l’organisation évalue et communique interne, l’organisation évalue les déficiences
les déficiences de contrôle interne en temps voulu aux constatées, identifie les responsabilités et
responsables des mesures correctives, y compris, le cas en communique les résultats à la direction
échéant, à la direction générale et au conseil. générale.
C8325_CLE.indb 119 14/11/14 16:28


à l’application d’un autre principe compensent la Recenser les déficiences du contrôle interne
Description
déficience du contrôle interne.) liées à un autre principe qui pourraient avoir
un impact sur cette déficience du contrôle
du contrôle interne La déficience du interne
compensatoires
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une déficience du contrôle interne
a été constatée dans le principe n° 16. Celle-ci n’a pas été jugée majeure et il n’existe aucune combi-
Évaluer si une déficience ou combinaison de
naison de déficiences à prendre en compte.
déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure**

O Malgré la déficience du contrôle interne constatée dans le
principe n° 16, nous avons conclu que tous les principes liés
à la composante « Pilotage » étaient mis en place et que la
composante était mise en place.
O Malgré la déficience du contrôle interne constatée dans le
La composante fonctionne-t-elle ? principe n° 16, nous avons conclu que la composante « Pilo-
tage » fonctionnait.
C8325_CLE.indb 120 14/11/14 16:28

Scénario B
Scénario B 121
Entité ou élément de la structure de l’organisation faisant Division manufacturière produisant des pièces détachées pour l’industrie aérospatiale.
l’objet de l’évaluation (entité, division, unité opérationnelle,
fonction)
Objectif(s) pris en compte dans le périmètre d’évaluation du

Considérations concernant le niveau de risque acceptable par le management
contrôle interne
Opérations Qualité des pièces détachées Tolérance de 0,1 % de variation par rapport aux spécifications pour les pièces produites pour
correspondant aux seuils de tolé- les clients.
rance fixés par les clients.
Reporting
Conformité
Mise en Fonctionnement ?
place ? (O/N) (O/N)
Environnement de contrôle O O EC 4-1, classée comme déficience du contrôle interne.
Évaluation des risques O O ER 9-1, classée comme déficience du contrôle interne.
Activités de contrôle O O AC 12-1, classée comme déficience du contrôle interne.
Information et communication O O Aucune déficience constatée.
Pilotage O O P 16-1, classée comme déficience du contrôle interne.
Les cinq composantes fonctionnent-elles conjointement de Les cinq composantes ne fonctionnent pas conjointement de façon intégrée.
façon intégrée ? Dans l’évaluation préliminaire des principes et des composantes, les déficiences du contrôle
Évaluer si une combinaison de déficiences du contrôle interne constatées (EC 4-1, ER 9-1, AC 12-1 et P 16-1) n’ont pas été classées en tant que défi-
interne dans plusieurs composantes constitue une déficience ciences majeures*. Cependant, lors de l’évaluation conjointe des composantes, il a été noté
majeure* que la plupart des déficiences sont liées aux compétences (voir principe n° 4 « Démontrer son
engagement en faveur du développement des compétences »). Par conséquent, nous jugeons
que ces déficiences, considérées ensemble, constituent une déficience majeure et que les
nécessaire >
composantes ne fonctionnent pas conjointement de manière intégrée**.
C8325_CLE.indb 121 14/11/14 16:28

Le système global de contrôle interne est-il efficace ? N

< O/N >***
Sur la base de notre évaluation conjointe des composantes, nous jugeons qu’il existe une
Base de conclusion
déficience majeure. Par conséquent, le système global de contrôle interne n’est pas efficace.
* S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que le système global de contrôle interne n’est pas efficace.
** Au vu de cette évaluation, le management devra probablement mettre à jour les modèles pour refléter le fait que les déficiences ont été reclassées en tant que déficiences majeures
et que les composantes et principes associés ne sont pas mis en place et ne fonctionnent pas.
*** S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que le système global de contrôle interne n’est pas efficace.
C8325_CLE.indb 122 14/11/14 16:28

Scénario B
Scénario B 123
LISTE DES DÉFICIENCES DU CONTRÔLE INTERNE

Origine Recenser les
de la déficience déficiences du
du contrôle interne contrôle interne
Description La déficience du Plan Impact sur
Considérations liées à d’autres
de la déficience contrôle interne d’actions la mise en
N° ID relatives à la sévérité Responsable principes qui
du contrôle est-elle majeure ? correctives, place/ le
de la déficience pourraient avoir
Composante Principe interne (O/N) date fonctionnement
engendré cette
déficience du
contrôle interne
EC EC 4 L’organisation Bien qu’il n’y ait N John XYZ Voir le Le principe est
4-1 s’appuie sur des pas de programme mémo sur mis en place et
collaborateurs formel de formation, Réponse posi- le « plan fonctionne.
expérimentés il existe une méthode tive (O) dans un d’actions La composante
recrutés dans le informelle de déve- second temps. correc- est mise en
secteur d’acti- loppement et de mise tives ». place et fonc-
vité, mais elle à niveau des talents à tionne.
n’a pas mis en travers un système de
place un pro- mentorat. Puisque les
gramme efficace processus métier évo-
de formation luent peu, l’absence
et de dévelop- de programme formel
pement des de formation n’est pas
compétences jugée suffisamment
pour les collabo- critique pour que
rateurs déjà en cette déficience soit
poste. considérée comme
majeure.
C8325_CLE.indb 123 14/11/14 16:28


engendré cette
déficience du
contrôle interne
ER ER 9 Certains opé- Contrôle compensa- N Jane ABC Voir le Le principe est EC 4-1
9-1 rationnels ne toire : bien que les mémo sur mis en place et
possèdent pas opérationnels n’aient le « plan fonctionne.
les compétences pas reçu de formation d’actions La composante
nécessaires pour concernant la nou- correc- est mise en
identifier les velle technologie, le tives ». place et fonc-
risques associés management procède tionne.
à la nouvelle chaque année à une
technologie. revue générale des
risques, qui devrait
permettre d’identifier
tout changement
majeur dans le profil
de risque.
C8325_CLE.indb 124 14/11/14 16:28

Scénario B 125

engendré cette
déficience du
contrôle interne
AC AC 12 Les règles et La plupart des colla- N Jeff CDE Voir le Le principe est EC 4-1
12-1 procédures borateurs ont beau- mémo sur mis en place et
associées sont coup d’ancienneté et le « plan fonctionne.
robustes et jusqu’à présent, les d’actions La composante
détaillées. problèmes ont tou- correc- est mise en
Toutefois, les jours été mineurs et tives ». place et fonc-
collaborateurs aisément corrigés. tionne.
n’ont pas reçu
de formation
formelle concer-
nant ces règles
et procédures.
Il y a eu des
erreurs de
production car
les nouveaux
collaborateurs
n’avaient pas
été formés.
C8325_CLE.indb 125 14/11/14 16:28


engendré cette
déficience du
contrôle interne
P 16-1 P 16 Bien qu’expéri- Contrôle compensa- N Joe FGH Voir le Le principe est EC 4-1
mentés, les col- toire : cette déficience mémo sur mis en place et
laborateurs qui du contrôle interne le « plan fonctionne.
effectuent les est partiellement d’actions La composante
revues formelles compensée par le correc- est mise en
n’ont pas reçu fait que la direction tives ». place et fonc-
de formation générale révise les tionne.
formelle concer- rapports et est en
nant la nouvelle mesure de corriger les
technologie et conclusions grâce à
les nouveaux ses compétences et à
procédés. Par son expérience.
conséquent, des
constats figurant
dans certains
projets de
rapport doivent
être corrigés.
C8325_CLE.indb 126 14/11/14 16:28

Scénario C 127
Scénario C : Comment une faiblesse

significative affecte-t-elle les principes,
les composantes et le système
de contrôle interne ?
C8325_CLE.indb 127 14/11/14 16:28

OBJECTIF
Montrer comment une faiblesse significative identifiée au niveau de l’activité de contrôle des transactions est prise en
compte dans l’évaluation des principes et des composantes, et dans l’évaluation de l’efficacité du système de contrôle
interne.
CONTEXTE
Société cotée de services financiers.
Trois divisions : A, B et C.
Objectifs liés au reporting financier externe 8.

8. Étant donné que les objectifs sont liés au reporting financier externe, et qu’il s’agit d’une société basée aux États-Unis et enregistrée à la Securities
and Exchange Commission (SEC), ce scénario utilise les expressions « déficience significative » et « faiblesse significative » au sens que leur donne la
SEC aux États-Unis (Règle 12b-2 du Securities and Exchange Act [loi boursière américaine] de 1934). Par conséquent, dans ce scénario, le management
a adapté les modèles pour tenir compte de cette classification. « Faiblesse significative » signifie une déficience ou une combinaison de déficiences du
contrôle interne relatif au reporting financier telle qu’il existe une possibilité raisonnable qu’une inexactitude significative dans les états financiers
annuels ou intermédiaires du déposant ne soit pas évitée ou détectée en temps voulu.
C8325_CLE.indb 128 14/11/14 16:28

Scénario C
Scénario C 129
Les régulateurs, les organismes de normalisation et autres tiers concernés peuvent définir des critères pour déter-
miner la sévérité, évaluer et communiquer les déficiences du contrôle interne. Le Référentiel reconnaît et s’inscrit
dans le cadre du mandat et de la responsabilité des tiers comme prescrits par les lois, règlements et normes externes.
Lorsque l’entité applique une loi, un règlement ou une norme externe, le management devrait utiliser uniquement les
critères pertinents qui y sont inclus pour classer la sévérité des déficiences du contrôle interne, plutôt que de s’ap-
puyer sur la classification du Référentiel. Toute déficience du contrôle interne qui se traduirait par une inefficacité
du système de contrôle interne en regard de ces critères empêcherait le management de conclure que l’entité satis-
fait aux exigences d’un contrôle interne efficace conformément au Référentiel (par exemple, une non-conformité
majeure concernant les objectifs liés aux opérations ou à la conformité, ou bien une faiblesse significative touchant
aux objectifs liés à la conformité ou au reporting externe).

Une faiblesse significative a été identifiée par le management dans le processus de comptabilisation du chiffre
d’affaires de la société. Une des sources de revenus de la société ne faisait pas l’objet de contrôles suffisants, d’où
une forte probabilité qu’une inexactitude significative dans les états financiers de l’entité ne soit pas évitée, détectée
ou corrigée en temps voulu. Aucune inexactitude significative n’avait été décelée dans les états financiers de la
société dans la période en cours.
Une analyse causale a mis en évidence le fait que le management n’avait pas établi d’activités de contrôle concer-
nant un important processus de comptabilisation du chiffre d’affaires dans la division C. Cette division était petite
mais en croissance et n’avait pas mis en place des contrôles financiers approfondis pour contribuer à renforcer
sa dynamique entrepreneuriale. La division C s’est étoffée jusqu’à représenter une part significative du chiffre
d’affaires global de l’organisation au cours de l’année, mais les contrôles suffisants n’ont jamais été mis en place.
Une faiblesse significative s’y rapportant a été constatée dans le principe n° 9 « Identifier et analyser les change-
ments significatifs ». Le management a conclu qu’il existait une déficience dans le système de contrôle interne qui
conduisait à une faiblesse significative.
C8325_CLE.indb 129 14/11/14 16:28

Au vu des faiblesses significatives, le management conclut que :

–– le principe n° 10 « Sélectionner et développer des activités de contrôle » n’est pas mis en place et ne fonctionne
pas,
●●la composante « Activités de contrôle » n’est pas mise en place et ne fonctionne pas ;
–– le principe n° 9 « Identifier et analyser les changements significatifs » n’est pas mis en place et ne fonctionne pas,
●●la composante « Évaluation des risques » n’est pas mise en place et ne fonctionne pas9 ;
–– il existe une forte probabilité qu’une inexactitude significative des états financiers de l’organisation ne soit pas
évitée, détectée ou corrigée en temps voulu ;
–– le système de contrôle interne n’est pas efficace.

Les faiblesses significatives identifiées dans les activités de contrôle au niveau des transactions conduisent le mana-
gement à conclure que les composantes « Activités de contrôle » et « Évaluation des risques » ne sont pas mises en
place et ne fonctionnent pas, et que le système de contrôle interne n’est pas efficace. Des faiblesses significatives ont
été identifiées, bien qu’aucune inexactitude significative n’ait encore été identifiée dans les états financiers.
Le management devrait procéder à une analyse causale de ces faiblesses significatives en évaluant quels principes
de la composante « Activités de contrôle » n’ont pas été mis en place et ne fonctionnent pas. Les points d’attention
peuvent faciliter cette évaluation. Par exemple, dans ce scénario, les activités de contrôle adéquates n’ont jamais
été sélectionnées et déployées pour le processus en question, car l’évaluation des risques n’a pas mis en évidence le
changement significatif dans la division C et le processus d’identification des processus métier pertinents dans le
cadre du principe n° 10 n’a pas correctement fonctionné.
Étant donné que le COSO est un référentiel intégré, il existe probablement des facteurs explicatifs d’une faiblesse
significative dans l’une des composantes. Dans ce scénario, au moins l’un de ces facteurs est un dysfonctionnement
9. Ni le modèle d’évaluation de la composante « Évaluation des risques », ni celui du principe n° 9 ne sont inclus dans ce scénario.
C8325_CLE.indb 130 14/11/14 16:28

Scénario C
Scénario C 131
du processus d’évaluation des risques, qui n’a pas permis de déterminer que le chiffre d’affaires de la division C
était devenu significatif pour l’exercice en cours, comme le montre la faiblesse significative identifiée dans le
principe n° 9.
Pour obtenir un système de contrôle interne efficace aux termes du Référentiel, le management doit corriger les
faiblesses significatives spécifiques en sélectionnant et en développant des activités de contrôle adéquates pour le
processus de comptabilisation du chiffre d’affaires de la division C, et mettre en place des mesures correctives pour
toute déficience du contrôle interne ayant conduit ou contribué à cette faiblesse significative, à savoir les aspects
liés à l’identification des processus métier pertinents dans le principe n° 10 et à l’évaluation des risques dans le
principe n° 9.

Ce scénario peut s’appliquer à l’identique à tout autre type d’entité. Cependant, le management d’une petite entité
serait probablement plus au fait de tout changement significatif dans ses processus de comptabilisation du chiffre
d’affaires et pourrait remédier plus rapidement à une absence d’activités de contrôle.
C8325_CLE.indb 131 14/11/14 16:28

Principe n° 10 : Sélectionner et développer des activités de contrôle

L’organisation sélectionne et développe des activités de contrôle qui visent à maîtriser et à ramener à un niveau acceptable
les risques susceptibles d’affecter la réalisation des objectifs.
•• relier les activités de contrôle à l’évaluation des risques : les activités de contrôle permettent de s’assurer que les modalités de traitement sont mises en
œuvre pour gérer et maîtriser les risques ;
•• tenir compte des facteurs propres à l’entité : le management tient compte de la façon dont l’environnement, la complexité, la nature et l’étendue de ses
activités, ainsi que les spécificités de son organisation, affectent la sélection et le développement des activités de contrôle ;
•• se focaliser sur les processus métier pertinents : le management détermine les processus nécessitant des activités de contrôle ;
•• combiner différents types d’activités de contrôle : les activités de contrôle englobent un large éventail de contrôles et peuvent comprendre un ensemble
équilibré d’approches destinées à maîtriser les risques, dont des contrôles manuels et automatisés ainsi que d’autres, préventifs et détectifs ;
•• tenir compte du niveau auquel doivent s’appliquer les activités de contrôle : le management considère la nécessité de développer des activités de contrôle
aux différents niveaux de l’entité ;
•• tenir compte de la séparation des tâches : le management sépare les tâches incompatibles et lorsqu’il n’est pas possible de le faire, il sélectionne et déve-
loppe des activités de contrôle alternatives.

En général, les activités de contrôle sont établies pour remédier à des risques spécifiques identifiés lors du processus d’évaluation des risques. Le bilan, le
compte de résultat et l’évaluation des risques de la société sont utilisés pour déterminer les processus métier qui nécessitent des activités de contrôle. Cette
analyse, mise à jour au début de chaque année, n’est pas réactualisée en cours d’année. Dans le cadre du processus d’évaluation des risques, l’environnement
concurrentiel, la situation de l’entreprise et les particularités de l’organisation sont pris en compte pour déterminer et développer les activités de contrôle spéci-
fiques.
Des contrôles manuels et automatisés, tout comme des contrôles préventifs et détectifs, sont pris en compte. L’évaluation des risques est annuellement mise à
jour et tient compte des changements au sein des systèmes et des processus. Une analyse de l’entité dans son ensemble est réexaminée en tenant compte des
activités de contrôle au niveau de l’entité, ainsi qu’aux niveaux de la division et des processus. Une analyse de l’accès aux informations sensibles est réalisée, et
comprend notamment une matrice détaillée qui définit les conflits potentiels en termes de séparation des tâches et conduit éventuellement à modifier les droits
d’accès. Lorsque ces modifications ne sont pas possibles, des contrôles sont développés et mis en place pour s’assurer que les activités potentiellement conflic-
tuelles sont tracées et supervisées.
Voir la matrice de risques et de contrôles (MRC) de chaque processus, pour plus de détails sur l’activité de contrôle.
C8325_CLE.indb 132 14/11/14 16:28

Scénario C
Scénario C 133
Évaluation préliminaire de la sévérité de la déficience : Recenser les déficiences du contrôle

(Déterminer si d’autres contrôles relatifs à l’application interne liées à un autre principe qui
de ce principe compensent la déficience du contrôle pourraient avoir un impact sur cette
Description
interne.) déficience du contrôle interne.
A priori, la déficience
du contrôle interne est-elle
compensatoires
majeure ? (O/N)
AC 10-1 Les activités de contrôle du Faiblesse significative. En raison de l’absence Faiblesse significative constatée dans le
processus de comptabili- d’activités de contrôle principe n° 9 (Identifier et analyser les
sation du chiffre d’affaires concernant une des sources changements significatifs : l’organisation
de la division C étaient de revenus, il existe une identifie et évalue les changements qui
inadéquates. Nous avons forte probabilité qu’une pourraient avoir un impact significatif sur
procédé à une analyse inexactitude significative le système de contrôle interne).
causale et nous avons des états financiers de
conclu que les activités l’organisation ne soit pas
de contrôle n’étaient pas évitée, détectée ou cor-
mises en place dans la divi- rigée en temps voulu.
sion C car il s’agissait d’une
petite division en phase de
croissance. Durant l’année,
le chiffre d’affaires de la
division C est devenu une
part importante du chiffre
d’affaires global, mais
les contrôles adéquats
n’étaient pas mis en place.
C8325_CLE.indb 133 14/11/14 16:28


AC 10-2 L’existence de processus Faiblesse significative. En raison de l’absence Faiblesse significative constatée dans le
métier pertinents (signi- d’activités de contrôle principe n° 9 (Identifier et analyser les
ficatifs) dans la division C concernant une des sources changements significatifs : l’organisation
pour les états financiers de revenus, il existe une identifie et évalue les changements qui
de l’entité n’a pas été forte probabilité qu’une pourraient avoir un impact significatif sur
détectée, impliquant inexactitude significative le système de contrôle interne).
l’absence de contrôles des états financiers de
adéquats concernant la l’organisation ne soit pas
comptabilisation du chiffre évitée, détectée ou cor-
d’affaires. rigée en temps voulu.
Évaluation des déficiences au sein du principe* : Voir section de commentaires ci-dessus.
Évaluer si une déficience ou combinaison de déficiences du contrôle interne au sein du
principe constitue une déficience majeure**
Le principe est-il mis en place ? N En raison des faiblesses significatives
constatées, le principe n’est pas mis en
place.
Le principe fonctionne-t-il ? N Le principe ne peut pas fonctionner car il
n’est pas mis en place.
C8325_CLE.indb 134 14/11/14 16:28

Scénario C
Scénario C 135

10. Sélectionner et développer des activités de contrôle : N N Une faiblesse significative a été
l’organisation sélectionne et développe des activités de constatée dans le principe n° 10.
contrôle qui visent à maîtriser et à ramener à un niveau Voir la description détaillée de cette
acceptable les risques susceptibles d’affecter la réalisation des faiblesse.
objectifs.
contrôle interne : (Déterminer si les contrôles relatifs Recenser les déficiences du
à l’application d’un autre principe compensent la contrôle interne liées à un autre
Description de la déficience déficience du contrôle interne.)
N° d’identification principe qui pourraient avoir un
impact sur cette déficience du
Commentaires/Contrôles contrôle interne.
compensatoires
(O/N)
AC 10-1 Les activités de contrôle du Faiblesse significative. En raison de l’absence Faiblesse significative constatée
processus de comptabilisation du d’activités de contrôle dans le principe n° 14 (Commu-
chiffre d’affaires de la division C concernant une des sources niquer en interne : l’organisation
étaient inadéquates. Une analyse de revenus, il existe une communique en interne l’informa-
causale a révélé que les activités forte probabilité qu’une tion nécessaire au bon fonctionne-
de contrôle n’étaient pas mises faiblesse significative des ment des autres composantes du
en place dans la division C car il états financiers de l’orga- contrôle interne, notamment les
s’agissait d’une petite division nisation ne soit pas évitée, informations relatives aux objectifs
en phase de croissance. Durant détectée ou corrigée en et aux responsabilités du contrôle
l’année, le chiffre d’affaires de temps voulu. interne).
la division C est devenu une part
importante du chiffre d’affaires
global, mais les contrôles adé-
quats n’étaient pas mis en place.
C8325_CLE.indb 135 14/11/14 16:28


AC 10-2 Comme indiqué ci-dessus, le lien Faiblesse significative. En raison de l’absence Faiblesse significative constatée
entre l’évaluation des risques d’activités de contrôle dans le principe n° 14 (Commu-
et la mise en place de contrôles concernant une des sources niquer en interne : l’organisation
dans la division C n’a pas été des revenus, il existe une communique en interne l’informa-
fait, impliquant l’absence de forte probabilité qu’une tion nécessaire au bon fonctionne-
contrôles adéquats concernant faiblesse significative des ment des autres composantes du
le chiffre d’affaires. Bien que le états financiers de l’orga- contrôle interne, notamment les
processus de définition du péri- nisation ne soit pas évitée, informations relatives aux objectifs
mètre soit globalement robuste, détectée ou corrigée en et aux responsabilités du contrôle
il devrait être plus étroitement temps voulu. interne).
lié à l’évaluation des risques.
11. Sélectionner et développer des contrôles généraux O O Aucune déficience constatée.
informatiques : l’organisation sélectionne et développe des
contrôles généraux informatiques pour faciliter la réalisation
des objectifs.
contrôle interne : (Déterminer si les contrôles relatifs Recenser les déficiences du
à l’application d’un autre principe compensent la contrôle interne liées à un autre
Description de la déficience déficience du contrôle interne.)
N° d’identification principe qui pourraient avoir un
Commentaires/Contrôles contrôle interne.
compensatoires
(O/N)
N/A N/A N/A N/A N/A
12. Déployer les activités de contrôle par le biais de règles O O Aucune déficience constatée.
et de procédures : l’organisation déploie les activités de
contrôle par le biais de règles qui précisent les objectifs pour-
suivis, et de procédures qui permettent de mettre en œuvre
ces règles.
C8325_CLE.indb 136 14/11/14 16:28

Scénario C
Scénario C 137

interne :
(Déterminer si les contrôles relatifs à l’application d’un Recenser les déficiences du
autre principe compensent la déficience du contrôle contrôle interne liées à un autre
Description de la déficience
N° d’identification interne.) principe qui pourraient avoir un
La déficience du contrôle contrôle interne.
compensatoires
(O/N)
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la composante* : Les déficiences constatées dans le principe n° 10 constituent des
faiblesses significatives. Voir les commentaires ci-dessus.
Évaluer si une déficience ou combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure ou une faiblesse significative** Aucune autre faiblesse significative constatée.
Évaluer la composante en faisant appel au jugement, sur la base des principes et des
déficiences**
N En raison des faiblesses signifi-
catives constatées dans le prin-
cipe n° 10, la composante n’est pas
mise en place.
N La composante ne peut pas fonc-
La composante fonctionne-t-elle ? tionner car elle est considérée
comme n’étant pas mise en place.
C8325_CLE.indb 137 14/11/14 16:28

Entité ou élément de la structure de l’organisation Entité.

faisant l’objet de l’évaluation (entité, division, unité
opérationnelle, fonction)
Objectif(s) pris en compte dans le périmètre

Considérations concernant le niveau de risque acceptable par le management
d’évaluation du contrôle interne
Opérations
Reporting Reporting financier Le niveau de risque acceptable pour cette évaluation repose sur le seuil de signification fixé à 5 % du
externe. résultat avant impôt.
Conformité
Environnement de contrôle O O Tous les principes sont mis en place et fonctionnent,

malgré des déficiences du contrôle interne.
Évaluation des risques N N Faiblesse significative constatée dans le principe
n° 9.
Activités de contrôle N N Faiblesse significative constatée dans le principe
n° 10.
Information et communication O O Tous les principes sont mis en place et fonctionnent,
Pilotage O O Tous les principes sont mis en place et fonctionnent,
Les cinq composantes fonctionnent-elles En raison des faiblesses significatives constatées, les composantes « Activités de contrôle » et « Évalua-
conjointement de façon intégrée ? tion des risques » ne sont pas mises en place et ne fonctionnent pas. En outre, les deux composantes ne
fonctionnent pas conjointement de façon intégrée. Aucune autre déficience ou combinaison de défi-
Évaluer si une combinaison de déficiences du contrôle
ciences pouvant être considérée comme une faiblesse ou une déficience significative n’a été constatée.
interne dans plusieurs composantes constitue une
déficience majeure ou une faiblesse significative*
< Mettre à jour le modèle « Synthèse des
déficiences » si nécessaire >
C8325_CLE.indb 138 14/11/14 16:28

Scénario C
Scénario C 139
Le système global de contrôle interne est-il efficace ? N

< O/N >*
En raison des faiblesses significatives constatées, les composantes « Activités de contrôle » et « Évalua-
Justification de la conclusion tion des risques » ne sont pas mises en place et ne fonctionnent pas, et le système global de contrôle
* S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le système de contrôle interne n’est pas efficace.
C8325_CLE.indb 139 14/11/14 16:28

C8325_CLE.indb 140 14/11/14 16:28
Scénario D 141
Scénario D : Les composantes

et les principes sont-ils mis en
place et fonctionnent-ils dans une
division, une unité opérationnelle
ou une fonction donnée ?
C8325_CLE.indb 141 14/11/14 16:28

OBJECTIF
Montrer comment le Référentiel peut être appliqué au niveau d’une division, d’une unité opérationnelle ou d’une
fonction.
CONTEXTE
Fabricant d’ordinateurs et distributeur de logiciels de taille moyenne, doté d’une unité opérationnelle qui produit et
commercialise des ordinateurs et des équipements associés (unité opérationnelle A) et d’une autre unité opération-
nelle qui commercialise et distribue des logiciels tiers (unité opérationnelle B).
La catégorie d’objectifs visée par cette évaluation concerne la conformité à la législation environnementale pour
l’unité opérationnelle A.
Le management de l’unité opérationnelle A possède une faible tolérance au risque de non-réalisation de cet objectif10.

Le contrôle interne s’applique tant à l’entité considérée dans son ensemble qu’à ses unités. Un système efficace de
contrôle interne peut par conséquent concerner une partie spécifique de la structure organisationnelle.
10. Toutes les évaluations dans les modèles sont axées sur cet objectif dans la mesure où il se rapporte à l’unité opérationnelle A.
C8325_CLE.indb 142 14/11/14 16:28

Scénario D
Scénario D 143

Approche
Bien que l’efficacité des dispositifs de contrôle interne soit évaluée au niveau de l’unité opérationnelle, le manage-
ment peut avoir besoin d’évaluer les composantes et les principes au niveau de la société mère, c’est-à-dire de l’entité
dans ce scénario. En effet, les dispositifs de contrôle au niveau de la société peuvent affecter le système de contrôle
interne au niveau de l’unité opérationnelle.
–– Le management devra planifier l’évaluation des dix-sept principes aux niveaux pertinents. Il peut évaluer les
principes au niveau de l’unité opérationnelle et/ou de l’entité.
–– Dans certains cas, le niveau de l’unité opérationnelle peut être plus pertinent que celui de l’entité, dans d’autres
cas, l’inverse sera vrai.
Cet exemple illustre la méthode retenue par le management pour évaluer l’efficacité du contrôle interne à partir de
l’évaluation des composantes et de principes pertinents qui ont été sélectionnés par rapport à l’objectif fixé pour
l’unité opérationnelle A.
Évaluation
Composante « Environnement de contrôle »
Le management a évalué le principe n° 1 « Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques »
au niveau de l’unité opérationnelle et de l’entité puisque les règles, procédures et actions définies au niveau de l’entité
ont un effet sur l’entité opérationnelle. Des déficiences du contrôle interne ont été identifiées au niveau de l’entité.
–– Le management a constaté que le principe était mis en place et fonctionnait au niveau de l’unité opérationnelle.
Néanmoins, les déficiences du contrôle interne au niveau de l’entité peuvent compromettre l’objectif de confor-
mité à la législation environnementale sur le long terme. Un manque d’engagement en faveur de l’intégrité et
des valeurs éthiques au niveau de l’entité peut, au fil du temps, conduire à une dégradation de cet engagement au
niveau de l’unité opérationnelle.
C8325_CLE.indb 143 14/11/14 16:28

–– Le management a considéré que le principe était mis en place et fonctionnait au niveau de l’unité opérationnelle
malgré des déficiences.
Le management a évalué le principe n° 2 « Réaliser une surveillance effective ». Étant donné la spécificité de ce
principe qui fait référence au conseil, ce principe doit être évalué au niveau de l’entité, en considérant les engage-
ments qui ont un impact sur l’objectif de l’unité opérationnelle.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité.
Le management a évalué le principe n° 3 « Définir des structures, des pouvoirs et des responsabilités » au niveau
de l’unité opérationnelle et de l’entité.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité
et de l’unité opérationnelle.
Le management a évalué le principe n° 4 « Démontrer son engagement en faveur du développement des compé-
tences » au niveau de l’unité opérationnelle et de l’entité.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité
et de l’unité opérationnelle.
Le management a évalué le principe n° 5 « Instaurer un devoir de rendre compte » au niveau de l’unité opération-
nelle. Le management a estimé qu’il devrait évaluer la mise en place et le fonctionnement du principe au niveau de
l’unité opérationnelle, car il s’agissait du niveau le plus pertinent compte tenu de l’objectif de conformité de l’unité
opérationnelle.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’unité
opérationnelle.
Évaluation de la composante « Environnement de contrôle ».
–– Le management a considéré que les cinq principes de l’environnement de contrôle étaient mis en place et fonc-
tionnaient dans l’unité opérationnelle A. Le management devra déterminer si les déficiences du contrôle interne
au niveau de l’entité dans le principe n° 1 sont suffisamment critiques pour conclure à l’absence de mise en place
et de fonctionnement de la composante.
C8325_CLE.indb 144 14/11/14 16:28

Scénario D
Scénario D 145
Composante « Évaluation des risques »

Dans la mesure où le processus d’évaluation des risques relatifs à l’objectif est propre à cette unité opérationnelle,
tous les principes dans la composante « Évaluation des risques » ont été uniquement examinés au niveau de l’unité
opérationnelle.
–– Le management a considéré que les principes étaient mis en place et fonctionnaient au niveau de l’unité opéra-
tionnelle.
Évaluation de la composante « Évaluation des risques ».
–– Le management a évalué les quatre principes liés à la composante « Évaluation des risques » et en a conclu que la
composante était mise en place et fonctionnait.
Composante « Activités de contrôle »

Le management n’a évalué les principes nos 10 et 12 qu’au niveau de l’unité opérationnelle, car les activités de
contrôle du processus métier relatives à cet objectif ne sont présentes qu’au niveau de l’unité opérationnelle.
–– Le management a considéré que les principes étaient mis en place et fonctionnaient au niveau de l’unité opéra-
tionnelle.
Le management a évalué le principe n° 11 « Sélectionner et développer des contrôles généraux informatiques » au
niveau de l’entité (en raison de l’existence d’un centre de données centralisé) et de l’unité opérationnelle. Dans le
centre de données centralisé, une déficience du contrôle interne a été constatée dans les activités de contrôle rela-
tives à la sécurité des accès au réseau. Cependant, les activités de contrôle des accès au niveau des transactions dans
l’unité opérationnelle sont jugées suffisamment robustes pour compenser cette déficience.
–– Le management a considéré que le principe était mis en place et fonctionnait.
Évaluation de la composante « Activités de contrôle ».
–– Le management a évalué les trois principes liés à la composante « Activités de contrôle » et en a conclu que la
composante était mise en place et fonctionnait.
C8325_CLE.indb 145 14/11/14 16:28

Composante « Information et communication »

Le management a évalué le principe n° 13 « Utiliser des informations pertinentes » aux niveaux de l’entité et de
l’unité opérationnelle, car des informations pertinentes par rapport à l’objectif sont générées et utilisées à ces deux
niveaux.
Le management a évalué le principe n° 14 « Communiquer en interne » au niveau de l’entité et de l’unité opération-
nelle, car l’information circule entre les deux niveaux.
–– Au niveau de l’unité opérationnelle, le management a conclu que le principe était mis en place et fonctionnait.
Cependant, le management a identifié une déficience du contrôle interne au niveau de l’entité. Une mauvaise com-
munication des responsabilités du contrôle interne au niveau de l’entité pouvait affecter l’unité opérationnelle.
Le management a évalué le principe n° 15 « Communiquer en externe » au niveau de l’entité, car la communication
externe de l’information pertinente par rapport à l’objectif est effectuée au niveau de l’entité.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience.
Évaluation de la composante « Information et communication ».
–– Le management a considéré que les trois principes liés à la composante « Information et communication » étaient
mis en place et fonctionnaient au niveau de l’unité opérationnelle. Le management devra déterminer si la défi-
cience du contrôle interne au niveau de l’entité dans le principe n° 14 est suffisamment critique pour conclure à
l’absence de mise en place et de fonctionnement de la composante. Pour ce faire, le management pourra utiliser
les points d’attention associés aux principes pour déterminer s’il existe des contrôles compensatoires au niveau
approprié (unité opérationnelle ou entité), dans cette composante ou dans une autre, qui réduiraient le risque que
la déficience identifiée conduise à une non-réalisation de l’objectif fixé.
C8325_CLE.indb 146 14/11/14 16:28

Scénario D
Scénario D 147
Composante « Pilotage »
Le management a évalué les principes nos 16 « Conduire des évaluations continues et/ou ponctuelles » et 17 « Éva-
luer et communiquer les déficiences du contrôle interne » aux niveaux de l’entité et de l’unité opérationnelle. Les
évaluations continues sont conduites au niveau de l’unité opérationnelle, et les évaluations ponctuelles sont menées
par le management de l’unité opérationnelle et par le service d’audit interne de l’entité. Les déficiences sont évaluées
aux deux niveaux.
–– Le management a considéré que les principes étaient mis en place et fonctionnaient sans déficience.
–– Dans l’évaluation de la composante « Pilotage », le management a considéré que la composante était mise en
place et fonctionnait.
Évaluation globale d’un système de contrôle interne

Ce modèle n’est pas inclus dans le scénario. Les aspects à prendre en compte pour utiliser et compléter le modèle
d’évaluation globale sont présentés dans le scénario B « Les cinq composantes du contrôle interne sont-elles mises en
place et fonctionnent-elles conjointement de façon intégrée ? ».

Lors de l’évaluation d’une division, d’une unité opérationnelle ou d’une fonction :
certainsprincipes sont à évaluer au niveau de l’entité, de l’unité opérationnelle ou à ces deux niveaux. Le manage-
ment détermine le niveau approprié en fonction de l’objectif et de la manière dont est organisée l’entreprise ;
les déficiences du contrôle interne constatées au niveau de l’entité peuvent affecter ou non l’évaluation de l’effica-
cité du contrôle interne à un niveau inférieur à l’entité. Le management devrait déterminer si un contrôle réalisé au
niveau de l’entité est prédominant ou s’il fonctionne conjointement avec des contrôles réalisés à un niveau inférieur.
Il pourra ainsi évaluer toute déficience du contrôle interne en conséquence.
C8325_CLE.indb 147 14/11/14 16:28


Ce scénario peut s’appliquer à l’identique à tout autre type d’entité. Toutefois, dans une petite entité ou une entité
basée sur un seul site, il y aura un écart plus faible, voire aucun écart, entre les contrôles au niveau de l’entité et ceux
de l’unité opérationnelle.
C8325_CLE.indb 148 14/11/14 16:28

Scénario D
Scénario D 149

1. Démontrer son engagement en faveur de O O Ce principe a été évalué au niveau de
l’intégrité et des valeurs éthiques : l’organisation l’entité et au niveau de l’unité opération-
démontre son engagement en faveur de l’intégrité et nelle.
des valeurs éthiques. La mise en place et le fonctionnement
du principe dans l’unité opérationnelle
A ont été établis, mais une déficience
du contrôle interne (EC 1-1) au niveau de
l’entité pourrait avoir à long terme un
impact sur les objectifs au niveau de l’unité
opérationnelle. Puisque cette revue est
axée sur l’unité opérationnelle, et que des
contrôles adéquats existent à ce niveau, il
a été considéré que le principe était mis en
place et fonctionnait malgré la déficience du
contrôle interne.
à l’application d’un autre principe compensent Recenser les déficiences du contrôle
Description
compensatoires
(O/N)
EC 1-1 Il n’existe aucune exigence N Contrôle compensatoire :
au niveau de l’entité visant chaque année, chaque col-
à confirmer régulière- laborateur de l’unité opé-
ment que le personnel a rationnelle A doit déclarer
lu et compris les règles qu’il a lu et compris les
d’éthique. règles d’éthique.
C8325_CLE.indb 149 14/11/14 16:28


2. Réaliser une surveillance effective : le conseil fait O O Ce principe a été évalué au niveau de
preuve d’indépendance vis-à-vis du management. Il l’entité.
surveille la mise en place et le bon fonctionnement Aucune déficience du contrôle interne
du système de contrôle interne. constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
3. Définir des structures, des pouvoirs et des O O Ce principe a été évalué au niveau de
responsabilités : le management, agissant sous la l’entité et au niveau de l’unité opération-
surveillance du conseil, définit les structures, les nelle.
rattachements, ainsi que les pouvoirs et les responsa- Aucune déficience du contrôle interne
bilités appropriés pour atteindre les objectifs. constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 150 14/11/14 16:28

Scénario D
Scénario D 151

4. Démontrer son engagement en faveur du O O Ce principe a été évalué au niveau de
développement des compétences : l’organisation l’entité et au niveau de l’unité opération-
démontre son engagement à attirer, former et nelle.
fidéliser des personnes compétentes conformément Aucune déficience du contrôle interne
aux objectifs. constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
5. Instaurer un devoir de rendre compte : l’organisa- O O Ce principe a été évalué au niveau de l’unité
tion instaure pour chacun un devoir de rendre compte opérationnelle.
de ses responsabilités en matière de contrôle interne Aucune déficience du contrôle interne
afin d’atteindre les objectifs. constatée.
interne :
(Déterminer si les contrôles relatifs à l’application Recenser les déficiences du contrôle
Description d’un autre principe compensent la déficience interne liées à un autre principe qui
N° d’identification de la déficience du contrôle interne.) pourraient avoir un impact sur cette
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 151 14/11/14 16:28

Évaluation des déficiences au sein de la Il a été considéré que la déficience du contrôle interne constatée dans le principe n° 1 (EC 1-1) ne
composante* : constitue pas une déficience majeure. Étant donné que cette revue concerne l’unité opérationnelle,
il a été considéré que la déficience du contrôle interne au niveau de l’entité était compensée par les
Évaluer si une déficience ou combinaison de contrôles réalisés dans l’unité opérationnelle. Toutefois, la déficience du contrôle interne au niveau
déficiences du contrôle interne dans plusieurs de l’entité pourrait finir par avoir un impact sur l’unité opérationnelle et nous prévoyons de mettre en
composantes constitue une déficience majeure** œuvre un processus relatif à la conformité et au respect des règles éthiques au niveau de l’entité.
O Tous les principes sont mis en place, malgré des déficiences du contrôle
interne constatées.
O Tous les principes fonctionnent, malgré des déficiences du contrôle
interne constatées.
C8325_CLE.indb 152 14/11/14 16:28

Scénario D
Scénario D 153

6. Définir des objectifs appropriés : l’organisation O O Ce principe a été évalué au niveau de l’unité
définit des objectifs de façon suffisamment claire opérationnelle.
pour permettre l’identification et l’évaluation des Aucune déficience du contrôle interne
risques susceptibles d’affecter leur réalisation. constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
7. Identifier et analyser les risques : l’organisa- O O Ce principe a été évalué au niveau de l’unité
tion identifie les risques susceptibles d’affecter la opérationnelle.
réalisation de ses objectifs dans l’ensemble de son Aucune déficience du contrôle interne
périmètre et procède à leur analyse de façon à déter- constatée.
miner comment ils doivent être gérés.
Description à l’application d’un autre principe compensent la Recenser les déficiences du contrôle
N° d’identification de la déficience pourraient avoir un impact sur cette
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 153 14/11/14 16:29


8. Évaluer le risque de fraude : l’organisation intègre O O Ce principe a été évalué au niveau de l’unité
le risque de fraude dans son évaluation des risques opérationnelle.
susceptibles d’affecter la réalisation des objectifs. Aucune déficience du contrôle interne
constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
9. Identifier et analyser les changements signifi- O O Ce principe a été évalué au niveau de l’unité
catifs : l’organisation identifie et évalue les change- opérationnelle.
ments qui pourraient avoir un impact significatif sur le Aucune déficience du contrôle interne
système de contrôle interne. constatée.

Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 154 14/11/14 16:29

Scénario D
Scénario D 155
Évaluation des déficiences au sein de la composante* : N/A



C8325_CLE.indb 155 14/11/14 16:29


10. Sélectionner et développer des activités de O O Ce principe a été évalué au niveau de
contrôle : l’organisation sélectionne et développe l’unité opérationnelle.
des activités de contrôle qui visent à maîtriser Aucune déficience du contrôle interne
et à ramener à un niveau acceptable les risques constatée.
susceptibles d’affecter la réalisation des objectifs.
Évaluation de la sévérité de la déficience du contrôle interne :
(Déterminer si les contrôles relatifs à l’application d’un autre Recenser les déficiences du contrôle
principe compensent la déficience du contrôle interne.)
d’identification du contrôle interne pourraient avoir un impact sur cette
La déficience du
contrôle interne est-elle Commentaires/Contrôles compensatoires
majeure ? (O/N)
N/A N/A N/A N/A N/A

11. Sélectionner et développer des contrôles O O Ce principe a été évalué au niveau de
généraux informatiques : l’organisation sélec- l’entité (en raison de l’existence d’un
tionne et développe des contrôles généraux centre de données centralisé) et au
informatiques pour faciliter la réalisation des niveau de l’unité opérationnelle. Dans
objectifs. le centre de données centralisé, nous
avons identifié une déficience du
contrôle interne concernant les acti-
vités de contrôle relatives à la sécu-
rité des accès au réseau (AC 11-1).
Toutefois, les activités de contrôle
relatives à la sécurité au niveau des
transactions dans l’unité opération-
nelle compensent efficacement cette
C8325_CLE.indb 156 14/11/14 16:29

Scénario D
Scénario D 157

(Déterminer si les contrôles relatifs à l’application d’un autre Recenser les déficiences du contrôle
d’identification du contrôle interne pourraient avoir un impact sur cette
La déficience du
majeure ? (O/N)
AC 11-1 Des activités de contrôle concer- N Contrôle compensatoire : les activités
nant l’administration (ajout, de contrôle relatives à la sécurité des
suppression et modification) des accès au niveau des transactions dans
droits d’accès des utilisateurs au l’unité opérationnelle (c’est-à-dire les
réseau de l’entreprise existent contrôles d’accès propres à l’applica-
et sont gérées au niveau du tion) compensent efficacement cette
centre de données centralisé. déficience du contrôle interne, de sorte
Cependant, il n’existe pas de que celle-ci n’est pas considérée comme
revue périodique de l’accès au une déficience majeure pour l’unité
réseau. Si le processus d’admi- opérationnelle. Bien que la déficience
nistration de la sécurité permet du contrôle interne puisse permettre à
à un utilisateur de disposer d’un des utilisateurs de disposer d’un accès
accès non autorisé au réseau non autorisé au réseau de l’entreprise,
de l’entreprise, cela peut passer ceux-ci ne devraient pas être en mesure
inaperçu pendant un certain d’accéder aux applications de l’unité
temps. opérationnelle.
12. Déployer les activités de contrôle par le O O Ce principe a été évalué au niveau
biais de règles et de procédures : l’organisation de l’entité et au niveau de l’unité
déploie les activités de contrôle par le biais de opérationnelle.
règles qui précisent les objectifs poursuivis, et de Aucune déficience du contrôle interne
procédures qui permettent de mettre en œuvre constatée.
ces règles.
C8325_CLE.indb 157 14/11/14 16:29

Recenser les déficiences du contrôle

interne liées à un autre principe qui
(Déterminer si les contrôles relatifs à l’application d’un autre
N° Description de la déficience déficience du contrôle interne.
d’identification du contrôle interne
La déficience du
majeure ? (O/N)
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la Il a été considéré que la déficience du contrôle interne constatée dans le principe n° 11 (AC 11-1) est effi-
composante* : cacement compensée par le contrôle des accès au niveau des transactions de l’unité opérationnelle. Par
conséquent, il a été considéré que ces déficiences du contrôle interne ne constituaient pas une déficience
majeure.
Évaluer la composante en faisant appel au

jugement, sur la base des principes et des O/N Justification de la conclusion
déficiences**
La composante est-elle mise en place ? O Tous les principes sont mis en place, malgré des déficiences du contrôle interne.
La composante fonctionne-t-elle ? O Tous les principes fonctionnent, malgré des déficiences du contrôle interne.

C8325_CLE.indb 158 14/11/14 16:29

Scénario D
Scénario D 159

13. Utiliser des informations pertinentes : l’organisation O O Ce principe a été évalué au niveau de
obtient, produit et utilise des informations pertinentes l’entité et au niveau de l’unité opéra-
et de qualité pour faciliter le fonctionnement du contrôle tionnelle.
interne. Aucune déficience du contrôle interne
constatée.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A

14. Communiquer en interne : l’organisation com- O O Ce principe a été évalué au niveau
munique en interne l’information nécessaire au bon de l’unité opérationnelle et aucune
fonctionnement du contrôle interne, notamment les déficience du contrôle interne n’a été
informations relatives aux objectifs et aux responsabilités constatée. Toutefois, une déficience du
du contrôle interne. contrôle interne (IC 14-1) a été constatée
au niveau de l’entité. Nous avons consi-
déré qu’il existait des contrôles compen-
satoires, et nous avons pu conclure que
le principe était mis en place et fonction-
nait au niveau de l’unité opérationnelle.
C8325_CLE.indb 159 14/11/14 16:29


Description
compensatoires
(O/N)
IC 14-1 Il n’existe pas de communi- Déficience du contrôle Contrôle compensatoire :

cation régulière au niveau interne. il a été constaté que les
de l’entité à propos des responsabilités du contrôle
responsabilités relatives au interne étaient mises en
contrôle interne. place au niveau de l’unité
opérationnelle.
15. Communiquer en externe : l’organisation commu- O O Ce principe a été évalué au niveau de

nique aux tiers les éléments qui peuvent affecter le l’entité.
fonctionnement du contrôle interne. Aucune déficience du contrôle interne
constatée.

Description déficience du contrôle interne.) interne liées à un autre principe qui
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 160 14/11/14 16:29

Scénario D
Scénario D 161
Évaluation des déficiences au sein de la composante* : Il a été considéré que la déficience du contrôle interne constatée au niveau de l’entité dans le prin-
cipe n° 14 (AC 14-1) est efficacement compensée par les contrôles dans l’unité opérationnelle. Il a
donc été considéré que cette déficience ne constituait pas une déficience majeure.

O Tous les principes sont mis en place, malgré une déficience du contrôle
interne.
O Tous les principes fonctionnent, malgré une déficience du contrôle
interne.
C8325_CLE.indb 161 14/11/14 16:29


16. Conduire des évaluations continues et/ou ponc- O O Ce principe a été évalué au niveau de
tuelles : l’organisation sélectionne, développe et réalise l’entité.
des évaluations continues et/ou ponctuelles pour s’as- Aucune déficience du contrôle interne
surer que les composantes du contrôle interne sont mises constatée.
en place et fonctionnent.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
17. Évaluer et communiquer les déficiences du contrôle O O Ce principe a été évalué au niveau de
interne : l’organisation évalue et communique les l’entité.
déficiences de contrôle interne en temps voulu aux Aucune déficience du contrôle interne
responsables des mesures correctives, y compris, le cas constatée.
échéant, à la direction générale et au conseil.
Description
compensatoires
(O/N)
N/A N/A N/A N/A N/A
C8325_CLE.indb 162 14/11/14 16:29

Scénario D
Scénario D 163
Évaluation des déficiences au sein de la composante* : N/A



C8325_CLE.indb 163 14/11/14 16:29

C8325_CLE.indb 164 14/11/14 16:29
Scénario E 165
Scénario E : Comment les évaluations

de plusieurs sites peuvent-elles
être consolidées ?

C8325_CLE.indb 165 14/11/14 16:29

OBJECTIF
Illustrercomment une grande entreprise procédant à une évaluation globale de l’efficacité du contrôle interne
consolide et combine les évaluations de plusieurs divisions.
Montrer qu’il existe plusieurs manières de conduire une évaluation en fonction de la structure organisationnelle.
Montrer qu’une évaluation globale de l’efficacité du contrôle interne en fonction de la tolérance au risque fait appel
au jugement.
CONTEXTE
Société cotée productrice de peintures et d’enduits, constituée de dix divisions.
Siège basé en Europe, sites de production et de distribution basés en Europe et en Amérique latine.
Chiffre d’affaires net : 7 milliards ; résultat net : 400 millions.
L’évaluation concerne les objectifs opérationnels, et a pour but de s’assurer que les dispositifs de contrôle interne
relatifs à la qualité sont efficaces.
La tolérance au risque de la société en matière de qualité est la suivante : le pourcentage de produits expédiés avec
un défaut mesurable doit être inférieur à 1 % (± 0,25 %).

Un système efficace de contrôle interne fournit une assurance raisonnable que les objectifs de l’entité seront atteints.
Le contrôle interne s’applique tant à l’entité considérée dans son ensemble qu’à ses unités. Un système efficace de
contrôle interne peut par conséquent concerner une partie spécifique de la structure organisationnelle. Un système
C8325_CLE.indb 166 14/11/14 16:29

Scénario E
Scénario E 167
efficace de contrôle interne permet de réduire à un niveau acceptable le risque qu’un objectif relevant d’une ou de
plusieurs des trois catégories d’objectifs ne soit pas atteint. L’efficacité du contrôle interne suppose que :
–– chacune des cinq composantes du contrôle interne et leurs principes soient mis en place et fonctionnent correctement ;
La tolérance au risque désigne la variation acceptable dans l’atteinte des objectifs. Maintenir les activités à l’inté-
rieur des limites de tolérance au risque renforce la confiance du management quant à la réalisation de ses objectifs.
Le concept de tolérance au risque est mentionné dans le Référentiel en tant que condition préalable du contrôle
interne. Il ne fait donc pas partie du contrôle interne.

Il existe plusieurs manières d’aborder cette évaluation, par exemple :
–– évaluer chaque composante dans l’ensemble de l’entreprise ;
–– évaluer l’ensemble des composantes au niveau de chaque division et consolider les évaluations ;
–– évaluer l’ensemble des composantes au niveau de chaque zone géographique majeure et consolider les résultats.
Il n’existe pas de solution unique ; tout dépend de la manière dont l’organisation est structurée. Dans ce scénario, les
processus et les contrôles sont similaires d’une zone géographique à l’autre, mais diffèrent d’une division à l’autre
car l’entreprise est décentralisée et chaque division agit comme une entreprise autonome. En raison de cette décen-
tralisation, le management considère que l’approche la plus logique est d’évaluer l’ensemble des composantes au
niveau de chaque division et de consolider les résultats pour l’évaluation globale au niveau de l’entité. Ce scénario
montre comment les évaluations de chaque division sont consolidées dans le modèle de synthèse de chaque compo-
sante. Il présente les conclusions globales pour chaque composante et la liste de toutes les déficiences.
Seule la composante « Évaluation des risques » est étudiée dans le scénario.
Dans cet exemple, le management constate qu’il existe une déficience majeure au sein de la composante « Évalua-
tion des risques » dans la division 4 et conclut que cette composante n’est pas mise en place et ne fonctionne pas
pour cette division.
C8325_CLE.indb 167 14/11/14 16:29

–– La déficience majeure est la suivante : le processus d’analyse permettant de déterminer les modalités de gestion
des risques ne fonctionne pas. Il est constaté que cette déficience majeure ne concerne que cette division.
Le scénario montre qu’il doit être fait appel au jugement pour déterminer si une déficience du contrôle interne dans
une division doit être évaluée au niveau de l’entité globale.
–– La division concernée est relativement petite, elle représente 20 % du total des ventes de produits (en nombre
d’unités) de l’entreprise. Toutefois, le management estime qu’en raison de cette déficience majeure, 10 % des
nouveaux produits de cette division peuvent potentiellement ne pas répondre aux spécifications ; il existe donc
une forte probabilité que plus de 1 % des produits expédiés par l’entité ne répondent pas aux spécifications si
la déficience n’est pas corrigée. Le management en conclut que, concernant cet objectif, le système de contrôle

Une déficience majeure relevée au niveau de la division (ou à tout niveau inférieur à celui pour lequel les dispositifs
de contrôle sont évalués) doit être évaluée dans le contexte de l’entité pour déterminer s’il existe une déficience
majeure au niveau auquel se situe l’évaluation des dispositifs de contrôle interne.
Lorsqu’elles sont consolidées au niveau de l’entité, les déficiences du contrôle interne doivent être évaluées dans le
contexte de l’objectif fixé et de la tolérance au risque de l’organisation.
Le management peut choisir d’adapter les modèles à ses besoins propres, en fonction de son organisation et de ses
objectifs.

Moins la structure organisationnelle est compliquée, plus le processus de combinaison de plusieurs évaluations est
susceptible d’être simple.
C8325_CLE.indb 168 14/11/14 16:29

Scénario E
Scénario E 169
Mise en place ? (O/N) Fonctionnement ? (O/N)

6. Définir des objectifs appropriés : l’organisation O O Ce principe a été évalué dans chaque division
définit des objectifs de façon suffisamment claire pour et aucune déficience du contrôle interne n’a
permettre l’identification et l’évaluation des risques été constatée.
susceptibles d’affecter leur réalisation.
relatifs à l’application d’un autre principe Recenser les déficiences du contrôle interne
Description
compensent la déficience du contrôle interne.) liées à un autre principe qui pourraient avoir
du contrôle interne La déficience du interne.
compensatoires
N/A N/A N/A N/A N/A
7. Identifier et analyser les risques : l’organisation O N Ce principe a été évalué dans chaque division
identifie les risques susceptibles d’affecter la réalisa- et une déficience du contrôle interne (ER 7-1)
tion de ses objectifs dans l’ensemble de son périmètre a été constatée dans la division 4 : le pro-
et procède à leur analyse de façon à déterminer com- cessus d’analyse permettant de déterminer la
ment ils doivent être gérés. manière dont les risques devraient être gérés
ne fonctionne pas. Les contrôles détaillés (les
règles et procédures) ont été sélectionnés et
développés mais ils n’ont pas été déployés.
L’analyse des risques n’est pas efficace
puisqu’elle ne permet pas d’évaluer leur
importance et de déterminer la manière dont
ils devraient être gérés. La revue des pro-
cessus d’évaluation des risques dans les autres
divisions montre qu’ils sont mis en place et
qu’ils fonctionnent.
C8325_CLE.indb 169 14/11/14 16:29


Description
compensatoires
ER 7-1 Dans la division 4, le O La déficience majeure se
processus d’identification situe au niveau de la division.
et d’analyse des risques
ne fonctionne pas.
8. Évaluer le risque de fraude : l’organisation intègre O O Ce principe a été évalué dans chaque division
le risque de fraude dans son évaluation des risques et aucune déficience du contrôle interne n’a
susceptibles d’affecter la réalisation des objectifs. été constatée.
Description
compensatoires
N/A N/A N/A N/A N/A
9. Identifier et analyser les changements significa- O O Ce principe a été évalué dans chaque division
tifs : l’organisation identifie et évalue les changements et aucune déficience du contrôle interne n’a
qui pourraient avoir un impact significatif sur le sys- été constatée.
tème de contrôle interne.
C8325_CLE.indb 170 14/11/14 16:29

Scénario E
Scénario E 171

Description
compensatoires
N/A N/A N/A N/A N/A
Évaluation des déficiences au sein de la composante* : ER 7-1 est considérée comme une déficience majeure au sein de l’entité

La composante est-elle mise en place ? O
N La division concernée par la déficience majeure représente 20 % du total des

ventes (en nombre d’unités) de la société. Il est estimé qu’en raison de la défi-
cience majeure dans la division 4, 10 % des nouveaux produits de cette division
La composante fonctionne-t-elle ? peuvent potentiellement ne pas répondre aux spécifications ; il existe donc une
forte probabilité que plus de 1 % des produits expédiés par l’entité ne répondent
pas aux spécifications si la déficience n’est pas corrigée. Le management en
conclut que le système de contrôle interne n’est pas efficace pour cet objectif.
C8325_CLE.indb 171 14/11/14 16:29

Tableau adapté pour évaluer la composante « Évaluation des risques » dans les différentes divisions
Division 1 Division 2 Division 3 Division 4 Division 5 Division 6 Division 7 Division 8 Division 9 Division 10
Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en
Principe place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc-
n° 6 tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans
déficience déficience déficience déficience déficience déficience déficience déficience déficience déficience
Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en

Déficience
Principe place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc-
majeure
n° 7 tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans
constatée
déficience déficience déficience déficience déficience déficience déficience déficience déficience
C8325_CLE.indb 172 14/11/14 16:29

Scénario E
Scénario E 173

Entité ou élément de la structure de l’organisation faisant l’objet de Entité.
l’évaluation (entité, division, unité opérationnelle, fonction)
Objectif(s) combinés dans le périmètre d’évaluation du contrôle interne Considérations concernant le niveau de risque acceptable par le management
Opérations L’objectif concerne l’efficacité des contrôles qualité. La tolérance au risque de la société en matière qualité est la suivante : le
pourcentage de produits expédiés avec un défaut mesurable doit être inférieur
à 1 % (± 0,25 %).
Reporting
Conformité
Mise en place ? Fonctionnement ?
(O/N) (O/N)
Environnement de contrôle O O
Évaluation des risques O N La déficience ER 7-1 est considérée
comme étant une déficience majeure.
Activités de contrôle O O
Information et communication O O
Pilotage O O
Les cinq composantes fonctionnent-elles conjointement de façon intégrée ? La déficience dans la composante « Évaluation des risques » a été détectée
Évaluer si une combinaison de déficiences du contrôle interne dans plusieurs dans le cadre des activités de pilotage de l’organisation et l’investigation n’a
composantes constitue une déficience majeure* constaté aucune déficience liée aux composantes « Information et communica-
< Mettre à jour le modèle « Synthèse des déficiences » si nécessaire > tion », « Environnement de contrôle », et « Activités de contrôle ».
Le système global de contrôle interne est-il efficace ? < O/N >* N

La division concernée par la déficience majeure représente 20 % du total des ventes
(en nombre d’unités) de la société. Il est estimé qu’en raison de la déficience
majeure dans la division 4, 10 % des nouveaux produits de cette division peuvent
Base de conclusion potentiellement ne pas répondre aux spécifications ; il existe donc une forte pro-
babilité que plus de 1 % des produits expédiés par l’entité ne répondent pas aux
spécifications si la déficience n’est pas corrigée. Le management en conclut que,
concernant cet objectif, le système de contrôle interne n’est pas efficace.
* S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que le système de contrôle interne n’est pas efficace.
C8325_CLE.indb 173 14/11/14 16:29

C8325_CLE.indb 174 14/11/14 16:29
175
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Membres du conseil
David L. Landsittel Mark S. Beasley Richard F. Chambers
Président du COSO Douglas F. Prawitt The Institute of Internal Auditors
American Accounting Association
Charles E. Landes Marie N. Hollein Sandra Richtermeyer
American Institute of Certified Public Accountants Financial Executives International Jeffrey C. Thomson
Institute of Management Accountants
PwC – Auteur
Principaux rédacteurs
Miles E.A. Everson Charles E. Harris Catherine I. Jourdan
Engagement Leader New York, Partner Director
États-Unis Florham Park, États-Unis Paris, France
Cara M. Beston Keith Handler Frank J. Martens
Partner Director Director
San José, États-Unis Florham Park, États-Unis Vancouver, Canada
Subhojit Goswami Jay A. Posklensky Sallie Jo Perraglia
Director Project Lead Director Florham Park, États-Unis Manager
New York, États-Unis New York, États-Unis
Stephen E. Soske J. Aaron Garcia Director
Project Lead Partner Boston, États-Unis San Diego, États-Unis
Autres contributeurs
Junya Hakoda Alan Martin Eric M. Bloesch
Partner (à la retraite) Partner Managing Director
Tokyo, Japon Francfort, Allemagne Philadelphie, États-Unis
James M. Downs Christopher Michaelson
Director Director
San Francisco, États-Unis Minneapolis, États-Unis
(en janvier 2012)
C8325_CLE.indb 175 14/11/14 16:29

Comité consultatif
Représentants des organisations membres du COSO
Audrey A. Gramling Steven E. Jameson J. Stephen McNally
Université Bellarmine Community Trust Bank Campbell Soup Company
Executive Vice President and Internal Chief Finance
Audit & Risk Officer Director/Controller
Fr. Raymond J. Treece William D. Schneider Sr.
Endowed Chair AT&T
Director of Accounting
Ray Purcell
Pfizer
Director of Financial Controls
Membres externes qualifiés
Jennifer Burns Thomas Montminy Sharon Todd
Deloitte PwC KPMG
Partner Partner Partner
Cees Klumper Dr. Larry E. Rittenberg Kenneth L. Vander Wal
Le Fonds mondial de lutte contre le sida, Université du Wisconsin ISACA
la tuberculose et le paludisme Emeritus Professor of Accounting Chair Emeritus International President
Chief Risk Officer COSO 2011-2012
Thomas Ray Trent Gazzaway
Baruch College Grant Thornton Partner
James DeLoach Alan Paulus
Protiviti Ernst & Young LLP Partner
Managing Director
Régulateurs et autres observateurs
James Dalkin Christian Peo Vincent Tophoff
Government Accountability Office Securities and Exchange Commission International Federation of Accountants
Director in the Financial Management and Assurance Professional Accounting Fellow (jusqu’en juin 2012) Senior Technical Manager
Team
Harrison E. Greene, Jr. Amy Steele Keith Wilson
Federal Deposit Insurance Corporation Securities and Exchange Commission Public Company Accounting Oversight Board
Assistant Chief Accountant Associate Chief Accountant (à partir de juillet 2012) Deputy Chief Auditor
C8325_CLE.indb 176 14/11/14 16:29

Outils D Évaluation de L Efficacité Du Contrôle Interne PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Outils D Évaluation de L Efficacité Du Contrôle Interne PDF

Transféré par

Droits d'auteur :

Formats disponibles

C8325_CLE.

indb 1 14/11/14 16:28

C8325_CLE.indb 1 14/11/14 16:28

Copyright © 2013 by Committee of Sponsoring Organizations of the Treadway Commission, (“COSO”)

© Groupe Eyrolles 2015, dans le seul cadre de cet ouvrage.

C8325_CLE.indb 2 14/11/14 16:28

C8325_CLE.indb 3 14/11/14 16:28

Une version réutilisable des modèles, au format Excel,

C8325_00_CLE_LIM.indd 5 20/11/14 12:02

C8325_CLE.indb 7 14/11/14 16:28

L’objectif de la présente publication, intitulée Référentiel intégré de contrôle interne

C8325_CLE.indb 8 14/11/14 16:28

la sévérité, évaluer et communiquer les déficiences du contrôle interne, seuls ces

C8325_CLE.indb 9 14/11/14 16:28

C8325_CLE.indb 10 14/11/14 16:28

9. En résumé, le management peut utiliser ces modèles pour :

C8325_CLE.indb 11 14/11/14 16:28

sévérité des déficiences du contrôle interne ou d’une combinaison de déficiences

C8325_CLE.indb 12 14/11/14 16:28

synthèse des déficiences du contrôle interne : relevé de toutes les déficiences du

Component Evaluation (x 5) Évaluation d’une composante (x 5)

Update severity of internal control deficiencies Actualisation de la sévérité des déficiences du

Principle Evaluation (x 17) Évaluation d’un principe (x 17)

Record internal control deficiencies Recensement des déficiences du contrôle interne

Summary of Internal Control Deficiencies Synthèse des déficiences du contrôle interne

C8325_CLE.indb 13 14/11/14 16:28

toirement si ces conditions changent radicalement. Dans le cadre de l’évaluation

C8325_CLE.indb 14 14/11/14 16:28

C8325_CLE.indb 15 14/11/14 16:28

gences d’un contrôle interne efficace conformément au Référentiel. Si une défi-

C8325_CLE.indb 16 14/11/14 16:28

C8325_CLE.indb 17 14/11/14 16:28

Évaluation globale d’un système

C8325_CLE.indb 19 14/11/14 16:28

ÉVALUATION GLOBALE D’UN SYSTÈME DE CONTRÔLE INTERNE

Entité ou élément de la structure de l’organisation faisant l’objet de l’évaluation

Le système global de contrôle interne est-il efficace ? < O/N >*

C8325_CLE.indb 20 14/11/14 16:28

Évaluation des composantes

C8325_CLE.indb 21 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

C8325_CLE.indb 22 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

3. Définir des structures, des pouvoirs et des respon-

Évaluation de la sévérité de la déficience du

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

4. Démontrer son engagement en faveur du dévelop-

C8325_CLE.indb 23 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Évaluation de la sévérité de la déficience du

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

5. Instaurer un devoir de rendre compte : l’organisation

Évaluation de la sévérité de la déficience du

C8325_CLE.indb 24 14/11/14 16:28

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Évaluation des déficiences au sein de la composante* :

Évaluer la composante en faisant appel au jugement,

La composante est-elle mise en place ?

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

C8325_CLE.indb 25 14/11/14 16:28

9. En résumé, le management peut utiliser ces modèles pour :

synthèse des déficiences du contrôle interne : relevé de toutes les déficiences du

Le système global de contrôle interne est-il efficace ? < O/N >*

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

5. Instaurer un devoir de rendre compte : l’organisation

ÉVALUATION DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

ÉVALUATION DE LA COMPOSANTE « ÉVALUATION DES RISQUES »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ÉVALUATION DES RISQUES »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ÉVALUATION DES RISQUES »

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

ÉVALUATION DE LA COMPOSANTE « ACTIVITÉS DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ACTIVITÉS DE CONTRÔLE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « ACTIVITÉS DE CONTRÔLE »

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

ÉVALUATION DE LA COMPOSANTE « INFORMATION ET COMMUNICATION »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

13. Utiliser des informations pertinentes : l’organisation

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

14. Communiquer en interne : l’organisation com-

ÉVALUATION DE LA COMPOSANTE « INFORMATION ET COMMUNICATION »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « INFORMATION ET COMMUNICATION »

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

ÉVALUATION DE LA COMPOSANTE « PILOTAGE »

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion

ÉVALUATION DE LA COMPOSANTE « PILOTAGE »

Évaluation des déficiences au sein de la composante* :

La composante est-elle mise en place ?

* Recenser les déficiences dans le modèle « Synthèse des déficiences ».

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Synthèse des contrôles relatifs à l’application du principe n° 1

ÉVALUATION DES PRINCIPES DE LA COMPOSANTE « ENVIRONNEMENT DE CONTRÔLE »

Déficiences liées au principe n° 1

Évaluation préliminaire de la sévérité de la déficience :

Évaluation des déficiences au sein du principe* : <Commentaires >