Académique Documents
Professionnel Documents
Culture Documents
www.editions-eyrolles.com
Traduit de l’anglais
Ce projet a été commandité par le COSO qui, par un leadership éclairé, a vocation à élaborer des réfé-
rentiels et des lignes directrices de premier plan concernant le contrôle interne, la gestion des risques
et la lutte contre la fraude, destinés à améliorer les performances et la surveillance de l’organisation
et à réduire l’étendue de la fraude dans les organisations. Le COSO est une initiative privée, pilotée
et financée conjointement par :
American Accounting Association (AAA) ;
American Institute of Certified Public Accountants (AICPA) ;
Financial Executives International (FEI) ;
Institute of Management Accountants (IMA) ;
The Institute of Internal Auditors (IIA).
Le code de la propriété intellectuelle du 1er juillet 1992 interdit en effet expressément la photocopie à usage
collectif sans autorisation des ayants droit. Or, cette pratique s’est généralisée notamment dans l’enseigne-
ment, provoquant une baisse brutale des achats de livres, au point que la possibilité même pour les auteurs
de créer des œuvres nouvelles et de les faire éditer correctement est aujourd’hui menacée.
En application de la loi du 11 mars 1957, il est interdit de reproduire intégralement ou partiellement le présent
ouvrage, sur quelque support que ce soit, sans autorisation de l’éditeur ou du Centre français d’exploitation
du droit de copie, 20, rue des Grands-Augustins, 75006 Paris.
Modèles
Évaluation globale d’un système de contrôle interne.................................................. 19
Évaluation des composantes.......................................................................................... 21
Évaluation des principes................................................................................................. 37
Synthèse des déficiences............................................................................................... 73
Scénarios
Scénario A : La composante et ses principes sont-ils mis en place
et fonctionnent-ils ?....................................................................................................... 77
Scénario B : Les cinq composantes du contrôle interne sont-elles mises en place
et fonctionnent-elles conjointement de façon intégrée ?............................................ 101
Scénario C : Comment une faiblesse significative affecte-t-elle les principes,
les composantes et le système de contrôle interne ?.................................................. 127
Scénario D : Les composantes et les principes sont-ils mis en place
et fonctionnent-ils dans une division, une unité opérationnelle ou une fonction
donnée ?......................................................................................................................... 141
Scénario E : Comment les évaluations de plusieurs sites peuvent-elles
être consolidées ?........................................................................................................... 165
MODÈLES
4. Ces modèles ont été conçus avec comme seule ambition la présentation d’une syn-
thèse des résultats de l’évaluation. Ils ne font pas partie intégrante du Référentiel et
ne visent pas à l’exhaustivité des questions à prendre en compte lors de l’évaluation
d’un système de contrôle interne. En outre, ils ne constituent pas une méthode prio-
ritaire ou exclusive de pilotage et de documentation de l’évaluation. Leur objec-
tif est simplement de fournir un exemple de processus d’évaluation fondé sur les
conditions d’un contrôle interne efficace telles que présentées dans le Référentiel.
5. Les modèles n’illustrent pas la manière dont le management sélectionne et déve-
loppe des contrôles relatifs à l’application des principes, ou dont il détermine le
périmètre, la nature, le calendrier et l’étendue de l’évaluation des contrôles inté-
grés dans les composantes. Dans la mesure où les faits et circonstances pertinents
pour l’analyse des constats varient selon les catégories d’objectifs, les entités et les
secteurs d’activité, l’utilisation pratique des Outils d’évaluation variera également.
Format et utilisation
6. À l’instar du Référentiel, les modèles s’appliquent à des entités de tout type et de
toute taille, aux sociétés cotées ou non cotées, aux organismes publics et aux orga-
nismes à but non lucratif. Le management peut les modifier pour que son analyse
des constats tienne compte des faits et circonstances (objectifs et objectifs détail-
lés, périmètre d’application, structure organisationnelle, entre autres) et des pro-
cessus d’évaluation propres à l’entité. Par exemple :
uneentité dotée d’une structure organisationnelle complexe peut modifier ou
compléter ces modèles en conséquence, comme le montre le scénario E « Com-
ment les évaluations de plusieurs sites peuvent-elles être consolidées ? » ;
une petite entité peut simplifier ces modèles pour tenir compte d’une structure
organisationnelle moins complexe et d’un système de contrôle interne moins
formel et moins structuré (impliquant par exemple une supervision plus directe
du contrôle interne et une communication permanente à ce sujet entre le direc-
teur général, les cadres dirigeants et les collaborateurs) ;
une entité peut utiliser les systèmes d’information pour faire la synthèse des
déficiences du contrôle interne constatées dans l’ensemble des modèles plutôt
que de disposer d’une synthèse par modèle.
7. Les organisations peuvent utiliser ces modèles pour développer ou configurer des
solutions informatisées afin d’étayer les évaluations et les processus d’évaluations
ponctuelles et/ou continues. Les solutions informatisées, allant de simples feuilles
de calcul à des applications logicielles sophistiquées déployées à l’échelle de l’en-
treprise, peuvent aider l’organisation à documenter et à superviser les contrôles de
l’entité et l’évaluation de leur efficacité par le management. Grâce à des tableaux
de bord et des rapports informatiques, ces solutions fournissent des informations
pertinentes qui peuvent ensuite être utilisées par des parties prenantes telles que
les propriétaires, le conseil1, la direction générale, les responsables opérationnels
et fonctionnels, les collaborateurs chargés du contrôle et de la conformité, et les
auditeurs. Le management prend en compte les données issues des solutions infor-
matisées pour étayer son évaluation d’un système de contrôle interne, mais il fait
généralement appel à son jugement pour procéder à son évaluation globale, qui
dépasse le cadre de l’application utilisée.
8. Les organisations peuvent, en tant que de besoin, adapter le niveau de détails
figurant dans les modèles. Prenons par exemple le principe n° 2 « Réaliser une
surveillance effective ». Les contrôles relatifs à l’application de ce principe sont
probablement effectués au niveau de l’entité, et le management peut donc décider
qu’il n’est pas nécessaire de disposer d’une documentation plus détaillée sur ces
contrôles pour étayer l’évaluation. Par conséquent, dans cet exemple, les modèles
peuvent être utilisés pour documenter et évaluer la mise en place et le fonctionne-
ment de ce principe. En revanche, les contrôles relatifs à l’application du principe
n° 10 « Sélectionner et développer des activités de contrôle » sont probablement
déployés dans de nombreux processus métier à travers toute l’organisation, et par
conséquent, la documentation concernant ces contrôles devra certainement être
plus approfondie et détaillée. Des modèles supplémentaires, absents des Outils
d’évaluation, tels que des matrices des risques et des contrôles détaillées, seront
probablement nécessaires pour documenter l’évaluation par le management de la
mise en place et du fonctionnement de ce principe.
1. Le terme « conseil » employé dans la présente publication désigne l’organe de gouvernance, notamment
les conseils d’administration ou de surveillance constitués d’administrateurs, de fiduciaires, d’associés com-
mandités, d’actionnaires…
ORGANISATION
11. Pour aider le management à évaluer si un système de contrôle interne réduit à un
niveau acceptable le risque qu’un objectif ne soit pas atteint, les modèles sont orga-
nisés selon une approche fondée sur les risques. Quatre modèles figurent dans les
Outils d’évaluation2 :
évaluation globale d’un système de contrôle interne : fait la synthèse de l’éva-
luation par le management de la mise en place et du fonctionnement des com-
posantes et des principes, du fonctionnement conjoint des composantes et de la
2. À des fins d’illustration, les modèles sont présentés dans des documents séparés. En pratique, les organi-
sations utiliseront probablement un système d’information pour faire le lien entre ces modèles. Pour limiter
les redondances, les informations communes à plusieurs modèles seraient alors automatiquement propagées
d’un modèle à l’autre. De même, une seule synthèse des déficiences du contrôle interne constatées dans
l’ensemble des modèles serait effectuée plutôt que de disposer d’une synthèse par modèle.
3. Dans la présente publication, l’expression « contrôles compensatoires » est employée de manière générale
au sens de la Securities and Exchange Commission des États-Unis : « Les contrôles compensatoires sont des
contrôles visant à atteindre l’objectif qu’un autre contrôle n’a pas réussi à atteindre et permettant de réduire
le risque à un niveau acceptable. »
4. Tous les principes décrits dans le Référentiel figurent dans les modèles. À titre exceptionnel, il est possible
que dans un contexte sectoriel, opérationnel ou réglementaire donné, le management estime qu’un principe
particulier n’est pas pertinent pour une composante donnée.
Overall Assessment of a System of Internal Control Évaluation globale d’un système de contrôle interne
Evaluation summary for each component Synthèse de l’évaluation pour chaque composante
Evaluation summary for each principle Synthèse de l’évaluation pour chaque principe
12. Le schéma ci-dessus illustre le lien entre chacun des modèles et les flux d’informa-
tions clés attendus (par exemple, les synthèses des évaluations et les déficiences du
contrôle interne). Un processus d’évaluation, tel que présenté dans les modèles, se
déroulerait probablement de la façon suivante :
1. évaluation d’un principe : prise en compte des contrôles relatifs à l’application
du principe. Les déficiences du contrôle interne sont identifiées et s’accompagnent
d’une évaluation initiale de leur sévérité ;
2. évaluation d’une composante : prise en compte de la consolidation des résul-
tats de l’évaluation des principes de la composante. La sévérité des déficiences de
contrôle interne est actualisée en tenant compte du fait que les contrôles relatifs
à l’application d’autres principes au sein d’une ou de plusieurs composantes com-
pensent ou non les déficiences ;
3. évaluation de l’efficacité du contrôle interne : prise en compte de la consolida-
tion des résultats de l’évaluation des composantes et évaluation de leur fonctionne-
ment conjoint en déterminant si la combinaison des déficiences du contrôle interne
constitue une déficience majeure.
13. L’étendue et la nature du leadership d’une entité, ses priorités, son modèle écono-
mique, sa structure, ses processus opérationnels et ses activités doivent s’adap-
ter et évoluer au fil des évolutions économiques, sectorielles et réglementaires.
Un contrôle interne efficace dans des conditions données ne le sera pas obliga-
SCÉNARIOS
14. Les scénarios montrent, avec différents exemples pratiques, la manière dont les
modèles peuvent être utilisés dans une évaluation de l’efficacité d’un système de
contrôle interne, selon les critères prévus par le Référentiel. Chaque scénario est
conçu pour mettre en avant un aspect particulier ou plusieurs aspects connexes du
processus d’évaluation. Il comprend deux volets :
les informations contextuelles du scénario (par exemple, historique, extraits
pertinents du Référentiel, synthèse des points clés), et ;
les modèles complétés.
15. Les scénarios mettent en avant les points importants à prendre en compte lors
de la réalisation d’une évaluation. Ils ne présentent pas une vision exhaustive de
la manière dont l’organisation réaliserait l’évaluation de son contrôle interne, ni
l’ensemble des dimensions possibles du processus d’évaluation. Les modèles qui
accompagnent les scénarios sont fournis à titre d’exemple et ne devraient pas être
considérés comme une documentation exhaustive décrivant tous les contrôles per-
tinents relatifs à l’application des principes et à la conduite des évaluations. Pour
concevoir et mettre en place un système de contrôle interne, le management devrait
s’appuyer uniquement sur le Référentiel.
16. Le contenu des modèles doit permettre aux lecteurs de se concentrer sur les
concepts illustrés dans les scénarios. Ils ne représentent pas nécessairement le
niveau de documentation acceptable défini par le management ou prévu par les
lois, règlements et normes. Il se peut par exemple que la liste des contrôles soit
incomplète. De plus, seuls les modèles pertinents dans le cadre du scénario consi-
déré sont inclus.
17. Chaque scénario est pertinent pour tout type d’entité, bien que certains faits et cir-
constances puissent ne pas s’appliquer. Chaque scénario s’accompagne d’une brève
synthèse des différences susceptibles d’exister entre l’entité prise comme exemple
dans le scénario et d’autres types d’entités.
DÉFICIENCES
18. La sévérité des déficiences du contrôle interne proposée dans les différents scé-
narios illustre les points à prendre en compte dans la réalisation d’une évaluation.
À l’exception du scénario C « Comment une faiblesse significative affecte-t-elle
les principes, les composantes et le système de contrôle interne ? », les différents
scénarios utilisent les expressions « déficience du contrôle interne » et « déficience
majeure » au sens du chapitre 3 du Référentiel « Efficacité du contrôle interne ».
L’expression « déficience du contrôle interne » désigne une insuffisance dans une
ou plusieurs composantes et un ou plusieurs principes, qui réduit la probabilité
que l’entité atteigne ses objectifs. Une déficience du contrôle interne ou une com-
binaison de déficiences est qualifiée de « déficience majeure » lorsqu’elle réduit
fortement la probabilité que l’entité atteigne ses objectifs.
19. Les régulateurs, les organismes de normalisation et autres tiers concernés peuvent
définir des critères pour déterminer la gravité, évaluer et communiquer les défi-
ciences du contrôle interne. Le Référentiel reconnaît et s’inscrit dans le cadre du
mandat et de la responsabilité des tiers comme prescrits par les lois, règlements et
normes externes.
20. Lorsque l’entité applique une loi, un règlement ou une norme externe, le mana-
gement devrait utiliser uniquement les critères pertinents qui y sont inclus pour
classer la sévérité des déficiences du contrôle interne, plutôt que de s’appuyer sur
la classification du Référentiel. Toute déficience du contrôle interne qui se tradui-
rait par une inefficacité du système de contrôle interne en regard de ces critères
empêcherait le management de conclure que l’entité satisfait aux exigences d’un
contrôle interne efficace conformément au Référentiel (par exemple, une non-
conformité majeure concernant les objectifs liés aux opérations ou à la conformité,
ou bien une faiblesse significative touchant aux objectifs liés à la conformité ou au
reporting externe).
21. Par exemple, une société qui doit se conformer aux critères de classification fixés
par la Securities and Exchange Commission des États-Unis utilisera uniquement
les définitions et lignes directrices définies par ce régulateur pour classer les défi-
ciences du contrôle interne dans les catégories « faiblesse significative », « défi-
cience significative » ou « déficience du contrôle ». S’il est jugé qu’une déficience
du contrôle interne entre dans la catégorie « faiblesse significative », l’organisation
ne sera pas en mesure de déterminer qu’une composante donnée et ses principes
sont mis en place et fonctionnent et, par conséquent, ne pourra conclure que son
système de contrôle interne relatif au reporting financier externe satisfait aux exi-
Objectif(s) pris en compte dans le périmètre d’évaluation du contrôle interne Considérations concernant le niveau de risque acceptable par le management
Opérations
Reporting
Conformité
Fonctionnement ? Justification
Mise en place ? (O/N)
(O/N) de la conclusion
Environnement de contrôle
Évaluation des risques
Activités de contrôle
Information et communication
Pilotage
Les cinq composantes fonctionnent-elles conjointement de façon intégrée ?
Évaluer si une combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure*
< Mettre à jour le modèle « Synthèse des déficiences » si nécessaire >
Justification de la conclusion
* S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que le système de contrôle interne n’est pas efficace.
Justification de la conclusion
La composante fonctionne-t-elle ?
Justification de la conclusion
La composante fonctionne-t-elle ?
Justification de la conclusion
La composante fonctionne-t-elle ?
Justification de la conclusion
Évaluation des déficiences au sein de la composante* :
Évaluer si une déficience ou combinaison de déficiences
du contrôle interne dans plusieurs composantes constitue
une déficience majeure**
Évaluer la composante en faisant appel au jugement, sur O/N Justification de la conclusion
la base des principes et des déficiences**
La composante est-elle mise en place ?
La composante fonctionne-t-elle ?
Justification de la conclusion
La composante fonctionne-t-elle ?
Principe n° 1 : Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques
L’organisation démontre son engagement en faveur de l’intégrité et des valeurs éthiques.
Points d’attention :
•• faire preuve d’exemplarité : le conseil et le management, à tous les niveaux de l’entité, démontrent à travers leurs instructions, leurs actes et leur comporte-
ment, l’importance de l’intégrité et des valeurs éthiques pour le bon fonctionnement du système de contrôle interne ;
•• établir les normes de conduite : les attentes du conseil et de la direction générale quant à l’intégrité et aux valeurs éthiques sont définies dans les normes de
conduite et sont comprises à tous les niveaux de l’organisation, ainsi que par les prestataires externes et autres partenaires ;
•• évaluer l’adhésion aux normes de conduite : les processus sont en place pour évaluer la performance individuelle et collective au regard des normes de
conduite définies ;
•• gérer les écarts en temps voulu : les écarts par rapport aux normes de conduite de l’entité sont identifiés et résolus en temps voulu et de façon cohérente ;
•• (le cas échéant, autres points d’attention spécifiques.)
Points d’attention :
Principe n° 12 : Déployer les activités de contrôle par le biais de règles et de procédures
L’organisation déploie les activités de contrôle par le biais de règles qui précisent les objectifs poursuivis, et de procédures qui permettent de mettre en
œuvre ces règles.
Points d’attention :
•• définir des règles et des procédures à l’appui du déploiement des instructions du management : le management établit, grâce à des règles fixant ce qui
est attendu et à des procédures précisant les mesures associées, les contrôles qui seront intégrés au cœur des processus métier et des activités quotidiennes
des collaborateurs ;
•• établir la responsabilité et le devoir de rendre compte de la mise en œuvre des règles et des procédures : le management assigne la responsabilité et
le devoir de rendre compte des activités de contrôle au personnel d’encadrement (ou à d’autres collaborateurs) de l’unité opérationnelle ou de la fonction
concernée par le risque ;
•• exécuter des contrôles en temps voulu : le collaborateur à qui la responsabilité des contrôles a été assignée les exécute dans les délais définis par les règles
et les procédures ;
•• prendre les mesures correctives : le collaborateur à qui la responsabilité des contrôles a été assignée effectue des vérifications et prend des mesures pour
traiter les points identifiés dans le cadre des activités de contrôle ;
•• faire appel à des collaborateurs compétents pour réaliser les contrôles : des collaborateurs compétents, dotés de l’autorité adéquate, exécutent les activités
de contrôle avec la diligence et l’attention qui s’imposent ;
•• réévaluer les règles et les procédures autant que de besoin : le management revoit périodiquement les contrôles afin de s’assurer qu’ils restent pertinents,
et si nécessaire les actualise ;
•• (le cas échéant, autres points d’attention spécifiques.)
Synthèse des contrôles relatifs à l’application du principe n° 12
Ce modèle est un exemple de synthèse des déficiences. Le management peut adapter ce modèle en ajoutant des colonnes
supplémentaires afin de le compiler avec d’autres informations pertinentes.
Scénario A : La composante
et ses principes sont-ils mis en place
et fonctionnent-ils ?
OBJECTIF
Montrer comment l’évaluation des principes au sein d’une composante permet de déterminer si la composante est
mise en place et fonctionne.
Illustrer la nécessité de faire appel au jugement pour déterminer si les principes sont mis en place et fonctionnent, y
compris lorsqu’il existe des déficiences du contrôle interne.
Montrer l’impact des déficiences du contrôle interne au niveau de la composante et des principes.
Illustrer l’adaptation des points d’attention pertinents, le cas échéant, selon l’entité étudiée.
Montrer que l’existence d’une déficience majeure conduit à déterminer qu’un principe n’est pas mis en place ou ne
fonctionne pas et que, par conséquent, la composante concernée n’est pas mise en place et ne fonctionne pas. (Même
si cela n’est pas expressément démontré dans ce scénario, le système de contrôle interne serait considéré comme
inefficace.)
CONTEXTE
Entreprise familiale d’ameublement, non cotée.
200 millions de chiffre d’affaires annuel, exclusivement dans l’ouest des États-Unis.
Le conseil est constitué de membres de la famille propriétaire et d’un certain nombre de professionnels du métier
disposant d’une expérience significative. Le directeur général possède une expérience solide dans la gestion de
grandes entreprises. Le responsable de l’audit interne a plus de quinze ans d’expérience en audit.
CATÉGORIE D’OBJECTIFS
La catégorie d’objectifs visée par l’évaluation est le reporting financier interne. L’accent est mis sur l’établissement
de rapports financiers fiables, exhaustifs et exacts au niveau des divisions, pour gérer l’entreprise et prendre des
décisions stratégiques.
santes ne fonctionnent pas conjointement. Une déficience majeure d’une composante ne peut être ramenée à un
niveau acceptable par la mise en place et le fonctionnement d’une autre composante. De même, une déficience
majeure d’un principe ne peut être ramenée à un niveau acceptable par la mise en place et le fonctionnement d’autres
principes.
Pour déterminer si les composantes et les principes sont mis en place et fonctionnent, le management peut utiliser
les contrôles relatifs à l’application des principes. Par exemple, lorsque l’organisation évalue la possibilité que le
principe n° 8 « Évaluer le risque de fraude » ne soit pas mis en place et ne fonctionne pas, elle peut utiliser les
contrôles relatifs à l’application des autres principes, tels que le principe n° 3 « Définir des structures, des pou-
voirs et des responsabilités » et le principe n° 5 « Instaurer un devoir de rendre compte ». En utilisant les contrôles
initialement envisagés dans le contexte d’autres principes, le management peut être en mesure de déterminer si le
principe n° 8 « Évaluer le risque de fraude » est mis en place et fonctionne.
Lorsqu’il détermine si les principes et les composantes sont mis en place et fonctionnent, et si ces dernières fonc-
tionnent conjointement, et in fine, lorsqu’il conclut à l’efficacité du système de contrôle interne de l’entité, le mana-
gement fait appel à son jugement pour évaluer la sévérité d’une déficience du contrôle interne, ou d’une combinaison
de déficiences. En outre, ces jugements peuvent varier selon la catégorie d’objectifs.
Le Référentiel identifie des points d’attention qui correspondent à des caractéristiques importantes des principes.
Mais le management peut estimer que certains de ces points d’attention ne sont pas appropriés ou ne sont pas perti-
nents, et qu’il faut intégrer d’autres points d’attention selon la situation spécifique de l’entité. Les points d’attention
peuvent aider le management dans le cadre de la conception, de la mise en place et du pilotage du contrôle interne,
ainsi que dans le cadre de sa vérification de la mise en place et du fonctionnement correct des principes. Le Référen-
tiel n’exige pas que le management évalue séparément la mise en place de chaque point d’attention.
ÉVALUATION DE LA COMPOSANTE
Le management conclut que la composante n’est pas mise en place et ne fonctionne pas, puisque deux des principes
ne sont pas mis en place et ne fonctionnent pas en raison des déficiences majeures identifiées. Voici le résumé des
évaluations des principes :
–– principe n° 1 : déficience majeure ; le principe n’est pas mis en place et ne fonctionne pas ;
–– principe n° 2 : déficiences du contrôle interne (contrôles compensatoires constatés) ; le principe est mis en place
et fonctionne ;
–– principe n° 3 : déficience du contrôle interne (contrôles compensatoires constatés) ; le principe est mis en place
et fonctionne ;
–– principe n° 4 : aucune déficience du contrôle interne ; le principe est mis en place et fonctionne ;
–– principe n° 5 : déficience majeure ; le principe n’est pas mis en place et ne fonctionne pas.
Remarque : étant donné que le management a conclu que la composante « Environnement de contrôle » ne fonctionne
pas, il devrait également conclure que le système global de contrôle interne n’est pas efficace, même si cela n’est pas
expressément démontré dans le scénario.
Le management fait appel à son jugement pour déterminer si les principes sont mis en place et fonctionnent, y com-
pris lorsqu’il existe des déficiences du contrôle interne.
La sévérité des déficiences du contrôle interne est évaluée au niveau des principes et de la composante.
Les points d’attention peuvent être complétés ou adaptés pour tenir compte des faits et circonstances propres à la
société.
Si une déficience majeure est détectée au niveau d’un principe, alors le principe et la composante associée ne fonc-
tionnent pas et le système de contrôle interne n’est pas efficace.
5. Après avoir examiné l’ensemble des déficiences du contrôle interne du principe et conclu qu’il y avait une déficience majeure, le management devrait
modifier l’analyse préliminaire de la sévérité des déficiences et indiquer que chacune d’entre elles constitue une déficience majeure.
Évaluation des déficiences au sein du principe* : La combinaison de déficiences du contrôle interne constatées dans le principe n° 1
Évaluer si une déficience ou une combinaison de déficiences du (EC 1-1, EC 1-2, et EC 1-3) conduit à reconsidérer chacune de ces déficiences comme
contrôle interne, prises ensemble au sein du principe, constituent une une déficience majeure. En l’absence de formation pour sensibiliser les personnes aux
déficience majeure** règles d’éthique et de conformité – même si elles sont publiées et communiquées de
manière formelle – et en l’absence de processus pour évaluer les collaborateurs afin
< Mettre à jour le modèle « Synthèse des déficiences » si nécessaire >
d’identifier et de gérer les écarts, l’organisation ne fait pas preuve de l’exemplarité
attendue car elle ne communique pas clairement sur le fait que le non-respect de ces
règles est inacceptable.
6. Idem.
7. Idem.
Mise en place ?
Fonctionnement ? (O/N) Justification de la conclusion
(O/N)
1. Démontrer son engagement en faveur de l’intégrité et N N L’absence d’un programme formel de
des valeurs éthiques : l’organisation démontre son engage- formation ne permet pas à l’organisa-
ment en faveur de l’intégrité et des valeurs éthiques. tion de faire preuve de l’exemplarité
attendue et il n’existe aucun processus
pour identifier et garantir le respect
des règles d’intégrité et d’éthique (voir
déficiences EC 1-1, EC 1-2 et EC 1-3).
Évaluation de la sévérité de la déficience du contrôle
interne : (Déterminer si les contrôles relatifs à
l’application d’un autre principe compensent la Recenser les déficiences du contrôle
déficience du contrôle interne.)
N° Description de la déficience interne liées à un autre principe qui
d’identification du contrôle interne pourraient avoir un impact sur cette
La déficience
déficience du contrôle interne.
du contrôle Commentaires/Contrôles
interne est-elle compensatoires
majeure ? (O/N)
EC 1-1 Il n’existe pas de programme formel de for- O Bien qu’en soi, il puisse ne pas s’agir
mation pour accompagner la sensibilisation d’une déficience majeure, cette défi-
des collaborateurs à l’importance du respect cience est considérée comme telle
des normes de conduite. lorsqu’elle est associée aux défi-
ciences EC 1-2 et EC 1-3. Cette défi-
cience n’est pas compensée par des
contrôles dans d’autres principes.
EC 1-2 La société ne dispose pas de processus pour O Bien qu’en soi, il puisse ne pas s’agir
évaluer les individus en fonction des règles d’une déficience majeure, cette défi-
d’éthique et d’intégrité en vigueur. cience est considérée comme telle
lorsqu’elle est associée aux défi-
ciences EC 1-1 et EC 1-3. Cette défi-
cience n’est pas compensée par des
contrôles dans d’autres principes.
Mise en place ?
Fonctionnement ? (O/N) Justification de la conclusion
(O/N)
5. Instaurer un devoir de rendre compte : l’organisation N N Les mécanismes de rémunération et
instaure pour chacun un devoir de rendre compte de ses d’incitation comportent une déficience
responsabilités en matière de contrôle interne afin d’atteindre du contrôle interne (voir déficience du
les objectifs. contrôle interne EC 5-1).
Évaluation des déficiences au sein de la composante* : Déficiences majeures constatées dans les principes n os 1 et 5.
Évaluer si une déficience ou combinaison de déficiences du
contrôle interne dans plusieurs composantes constitue une
déficience majeure**
La composante fonctionne-t-elle ? N La composante ne peut pas fonctionner car elle n’est pas mise en place.
OBJECTIF
Montrer comment l’évaluation du contrôle interne est réalisée en déterminant que chaque composante est mise en
place et fonctionne correctement.
Illustrer l’évaluation du fonctionnement conjoint des composantes.
CONTEXTE
Société manufacturière cotée de taille moyenne (plus de 1 000 collaborateurs). L’organisation est spécialisée dans
la production de pièces détachées pour des applications aérospatiales. L’unité A fournit des pièces détachées à un
constructeur aéronautique depuis trente ans. Ces pièces détachées sont très spécifiques, leur fabrication nécessite des
processus de haute précision et elles doivent être d’une qualité irréprochable. L’année dernière, le client a demandé
une nouvelle pièce détachée qui entre dans la composition d’un nouveau produit. Les procédés de fabrication de cette
pièce utilisent des technologies plus récentes et impliquent des changements dans les procédés existants.
CATÉGORIE D’OBJECTIFS
Le management évalue l’efficacité par rapport aux objectifs liés aux opérations.
Toutes les composantes du contrôle interne décrites dans le Référentiel sont adaptées et pertinentes pour toutes les
entités.
Les composantes fonctionnent conjointement de façon intégrée. Le « fonctionnement conjoint » signifie que les cinq
composantes contribuent collectivement à ramener à un niveau acceptable le risque qu’un objectif ne soit pas atteint.
Les composantes sont interdépendantes et reliées par une multitude de liens tels que l’interaction entre les principes
au sein d’une composante et entre les composantes. Les composantes qui sont mises en place et fonctionnent captent
les interdépendances et les liens qui leur sont propres.
En conséquence, le management peut démontrer que les composantes fonctionnent conjointement lorsque :
–– les composantes sont mises en place et fonctionnent ;
–– les déficiences du contrôle interne de toutes les composantes n’aboutissent pas toutes à la conclusion qu’il existe
une ou plusieurs déficiences majeures.
L’expression « déficience du contrôle interne » désigne une insuffisance dans une ou plusieurs composantes et un
ou plusieurs principes, qui réduit la probabilité que l’entité atteigne ses objectifs. Une déficience du contrôle interne
ou une combinaison de déficiences est qualifiée de « déficience majeure » lorsqu’elle réduit fortement la probabilité
que l’entité atteigne ses objectifs. Une déficience majeure est un sous-ensemble des déficiences du contrôle interne
et non une catégorie de déficiences distincte. Ainsi, une déficience majeure est également une déficience du contrôle
interne, par définition.
Lorsqu’il détermine si les principes et les composantes sont mis en place et fonctionnent, et si ces dernières fonc-
tionnent conjointement, et in fine, lorsqu’il conclut à l’efficacité du système de contrôle interne de l’entité, le mana-
gement fait appel à son jugement pour évaluer la sévérité d’une déficience du contrôle interne, ou d’une combinaison
de déficiences. En outre, ces jugements peuvent varier selon la catégorie d’objectifs.
et l’évaluation globale. Une déficience du contrôle interne est constatée et elle concerne l’absence d’un programme
efficace de formation et de développement des compétences.
que les modèles présentés étayent l’évaluation préliminaire de la sévérité des déficiences par le management. Après
la consolidation, le management sera sans doute amené à modifier les modèles dans le cadre de l’analyse causale
de la déficience du contrôle interne, qui n’avait pas été considérée comme majeure à l’origine et qui a ensuite été
classée comme telle. Il devrait également considérer que le principe et la composante associée ne sont pas mis en
place et ne fonctionnent pas.)
1. Démontrer son engagement en faveur de l’inté- O O Historiquement, la société fait preuve d’un fort
grité et des valeurs éthiques : l’organisation démontre engagement en matière d’intégrité et de déon-
son engagement en faveur de l’intégrité et des valeurs tologie. Chaque année, tous les collaborateurs
éthiques. doivent lire et signer un code de conduite. Les
politiques et les règles incitent constamment à
faire preuve d’intégrité et de déontologie
Évaluation de la sévérité de la déficience du
contrôle interne : (Déterminer si les contrôles
relatifs à l’application d’un autre principe
Description Recenser les déficiences du contrôle interne
compensent la déficience du contrôle interne.)
N° d’identification de la déficience liées à un autre principe qui pourraient avoir un
du contrôle interne impact sur cette déficience du contrôle interne.
La déficience du Commentaires/
contrôle interne est-elle Contrôles
majeure ? (O/N) compensatoires
N/A N/A N/A N/A N/A
Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion
2. Réaliser une surveillance effective : le conseil fait O O Les membres du conseil n’ont aucun lien pro-
preuve d’indépendance vis-à-vis du management. Il fessionnel ou personnel avec le management et
surveille la mise en place et le bon fonctionnement du formulent des lignes directrices, des instructions
système de contrôle interne. et des critiques constructives à propos des
processus de contrôle interne déployés à travers
l’ensemble de la société.
Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une
déficience du contrôle interne a été constatée. Aucune déficience majeure
Évaluer si une déficience ou combinaison de déficiences du contrôle interne dans
ou combinaison de déficiences majeures n’a été constatée.
plusieurs composantes constitue une déficience majeure**
6. Définir des objectifs appropriés : l’organisation O O Les objectifs sont clairement définis au
définit des objectifs de façon suffisamment claire pour sein de l’organisation. Ils sont axés sur
permettre l’identification et l’évaluation des risques la maîtrise des coûts et la gestion des
susceptibles d’affecter leur réalisation. défauts. Ces objectifs ont été détaillés en
tenant compte de la performance et des
buts de l’organisation.
Évaluation de la sévérité de la déficience du
contrôle interne : (Déterminer si les contrôles relatifs
à l’application d’un autre principe compensent la Recenser les déficiences du contrôle
Description
déficience du contrôle interne.) interne liées à un autre principe qui
N° d’identification de la déficience
pourraient avoir un impact sur cette
du contrôle interne La déficience du contrôle déficience du contrôle interne.
Commentaires/Contrôles
interne est-elle majeure ?
compensatoires
(O/N)
N/A N/A N/A N/A N/A
Mise en place ? (O/N) Fonctionnement ? (O/N) Justification de la conclusion
7. Identifier et analyser les risques : l’organisation O O À l’issue du processus annuel de défini-
identifie les risques susceptibles d’affecter la réalisation tion des objectifs, les risques sont identi-
de ses objectifs dans l’ensemble de son périmètre et fiés par la direction générale et revus par
procède à leur analyse de façon à déterminer comment le responsable de l’assurance qualité.
ils doivent être gérés.
Évaluation de la sévérité de la déficience du
contrôle interne : (Déterminer si les contrôles relatifs
à l’application d’un autre principe compensent la Recenser les déficiences du contrôle
Description
déficience du contrôle interne.) interne liées à un autre principe qui
N° d’identification de la déficience
pourraient avoir un impact sur cette
du contrôle interne La déficience du contrôle déficience du contrôle interne.
Commentaires/Contrôles
interne est-elle majeure ?
compensatoires
(O/N)
12. Déployer les activités de contrôle par le biais de O O L’organisation maintient des règles qui
règles et de procédures : l’organisation déploie les soulignent les attentes liées à la réalisa-
activités de contrôle par le biais de règles qui précisent tion des objectifs et les principes de son
les objectifs poursuivis, et de procédures qui permettent environnement de contrôle. En outre, il
de mettre en œuvre ces règles. existe des procédures pour soutenir la
mise en œuvre de ces règles. Toutefois,
dans certains cas, le personnel n’a pas
les compétences suffisantes pour mettre
en œuvre correctement ces procédures.
AC 12-1 Les règles et procédures N La plupart des collabo- Voir la déficience du contrôle interne
associées sont robustes et rateurs ont beaucoup (EC 4-1) constatée dans le principe n° 4
détaillées. Toutefois, les d’ancienneté et jusqu’à « Démontrer son engagement en faveur
collaborateurs n’ont pas présent, les problèmes ont du développement des compétences ».
reçu de formation formelle toujours été mineurs et
concernant ces règles et aisément corrigés.
procédures. Il y a eu des
erreurs de production parce
que les nouveaux collabo-
rateurs n’avaient pas été
formés.
Justification de la conclusion
Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une déficience du contrôle
interne a été constatée dans le principe n° 12. Aucune déficience majeure ou combinaison de défi-
Évaluer si une déficience ou combinaison de déficiences
ciences majeures n’a été constatée.
du contrôle interne dans plusieurs composantes
constitue une déficience majeure**
Évaluation des déficiences au sein de la composante* : Aucune déficience du contrôle interne constatée.
Évaluer si une déficience ou une combinaison de
déficiences du contrôle interne, prises ensemble au sein
de la composante, constituent une déficience majeure**
Évaluer la composante en faisant appel au jugement,
O/N Justification de la conclusion
sur la base des principes et des déficiences**
La composante est-elle mise en place ? O Aucune déficience du contrôle interne constatée.
La composante fonctionne-t-elle ? O Aucune déficience du contrôle interne constatée.
Justification de la conclusion
Évaluation des déficiences au sein de la composante* : Sur la base de l’analyse préliminaire réalisée au niveau du principe, une déficience du contrôle interne
a été constatée dans le principe n° 16. Celle-ci n’a pas été jugée majeure et il n’existe aucune combi-
Évaluer si une déficience ou combinaison de
naison de déficiences à prendre en compte.
déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure**
Entité ou élément de la structure de l’organisation faisant Division manufacturière produisant des pièces détachées pour l’industrie aérospatiale.
l’objet de l’évaluation (entité, division, unité opérationnelle,
fonction)
Opérations Qualité des pièces détachées Tolérance de 0,1 % de variation par rapport aux spécifications pour les pièces produites pour
correspondant aux seuils de tolé- les clients.
rance fixés par les clients.
Reporting
Conformité
Mise en Fonctionnement ?
Justification de la conclusion
place ? (O/N) (O/N)
Les cinq composantes fonctionnent-elles conjointement de Les cinq composantes ne fonctionnent pas conjointement de façon intégrée.
façon intégrée ? Dans l’évaluation préliminaire des principes et des composantes, les déficiences du contrôle
Évaluer si une combinaison de déficiences du contrôle interne constatées (EC 4-1, ER 9-1, AC 12-1 et P 16-1) n’ont pas été classées en tant que défi-
interne dans plusieurs composantes constitue une déficience ciences majeures*. Cependant, lors de l’évaluation conjointe des composantes, il a été noté
majeure* que la plupart des déficiences sont liées aux compétences (voir principe n° 4 « Démontrer son
engagement en faveur du développement des compétences »). Par conséquent, nous jugeons
< Mettre à jour le modèle « Synthèse des déficiences » si
que ces déficiences, considérées ensemble, constituent une déficience majeure et que les
nécessaire >
composantes ne fonctionnent pas conjointement de manière intégrée**.
OBJECTIF
Montrer comment une faiblesse significative identifiée au niveau de l’activité de contrôle des transactions est prise en
compte dans l’évaluation des principes et des composantes, et dans l’évaluation de l’efficacité du système de contrôle
interne.
CONTEXTE
Société cotée de services financiers.
Trois divisions : A, B et C.
CATÉGORIE D’OBJECTIFS
Objectifs liés au reporting financier externe 8.
Les régulateurs, les organismes de normalisation et autres tiers concernés peuvent définir des critères pour déter-
miner la sévérité, évaluer et communiquer les déficiences du contrôle interne. Le Référentiel reconnaît et s’inscrit
dans le cadre du mandat et de la responsabilité des tiers comme prescrits par les lois, règlements et normes externes.
Lorsque l’entité applique une loi, un règlement ou une norme externe, le management devrait utiliser uniquement les
critères pertinents qui y sont inclus pour classer la sévérité des déficiences du contrôle interne, plutôt que de s’ap-
puyer sur la classification du Référentiel. Toute déficience du contrôle interne qui se traduirait par une inefficacité
du système de contrôle interne en regard de ces critères empêcherait le management de conclure que l’entité satis-
fait aux exigences d’un contrôle interne efficace conformément au Référentiel (par exemple, une non-conformité
majeure concernant les objectifs liés aux opérations ou à la conformité, ou bien une faiblesse significative touchant
aux objectifs liés à la conformité ou au reporting externe).
9. Ni le modèle d’évaluation de la composante « Évaluation des risques », ni celui du principe n° 9 ne sont inclus dans ce scénario.
du processus d’évaluation des risques, qui n’a pas permis de déterminer que le chiffre d’affaires de la division C
était devenu significatif pour l’exercice en cours, comme le montre la faiblesse significative identifiée dans le
principe n° 9.
Pour obtenir un système de contrôle interne efficace aux termes du Référentiel, le management doit corriger les
faiblesses significatives spécifiques en sélectionnant et en développant des activités de contrôle adéquates pour le
processus de comptabilisation du chiffre d’affaires de la division C, et mettre en place des mesures correctives pour
toute déficience du contrôle interne ayant conduit ou contribué à cette faiblesse significative, à savoir les aspects
liés à l’identification des processus métier pertinents dans le principe n° 10 et à l’évaluation des risques dans le
principe n° 9.
Justification de la conclusion
Évaluation des déficiences au sein de la composante* : Les déficiences constatées dans le principe n° 10 constituent des
faiblesses significatives. Voir les commentaires ci-dessus.
Évaluer si une déficience ou combinaison de déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure ou une faiblesse significative** Aucune autre faiblesse significative constatée.
Évaluer la composante en faisant appel au jugement, sur la base des principes et des
O/N Justification de la conclusion
déficiences**
N En raison des faiblesses signifi-
catives constatées dans le prin-
La composante est-elle mise en place ?
cipe n° 10, la composante n’est pas
mise en place.
N La composante ne peut pas fonc-
La composante fonctionne-t-elle ? tionner car elle est considérée
comme n’étant pas mise en place.
* Recenser les déficiences dans le modèle « Synthèse des déficiences ».
** S’il s’avère qu’il existe une déficience majeure, le management doit alors en conclure que la composante n’est pas mise en place et ne fonctionne pas, et que le système de contrôle
interne n’est pas efficace.
OBJECTIF
Montrer comment le Référentiel peut être appliqué au niveau d’une division, d’une unité opérationnelle ou d’une
fonction.
CONTEXTE
Fabricant d’ordinateurs et distributeur de logiciels de taille moyenne, doté d’une unité opérationnelle qui produit et
commercialise des ordinateurs et des équipements associés (unité opérationnelle A) et d’une autre unité opération-
nelle qui commercialise et distribue des logiciels tiers (unité opérationnelle B).
CATÉGORIE D’OBJECTIFS
La catégorie d’objectifs visée par cette évaluation concerne la conformité à la législation environnementale pour
l’unité opérationnelle A.
Le management de l’unité opérationnelle A possède une faible tolérance au risque de non-réalisation de cet objectif10.
10. Toutes les évaluations dans les modèles sont axées sur cet objectif dans la mesure où il se rapporte à l’unité opérationnelle A.
Évaluation
Composante « Environnement de contrôle »
Le management a évalué le principe n° 1 « Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques »
au niveau de l’unité opérationnelle et de l’entité puisque les règles, procédures et actions définies au niveau de l’entité
ont un effet sur l’entité opérationnelle. Des déficiences du contrôle interne ont été identifiées au niveau de l’entité.
–– Le management a constaté que le principe était mis en place et fonctionnait au niveau de l’unité opérationnelle.
Néanmoins, les déficiences du contrôle interne au niveau de l’entité peuvent compromettre l’objectif de confor-
mité à la législation environnementale sur le long terme. Un manque d’engagement en faveur de l’intégrité et
des valeurs éthiques au niveau de l’entité peut, au fil du temps, conduire à une dégradation de cet engagement au
niveau de l’unité opérationnelle.
–– Le management a considéré que le principe était mis en place et fonctionnait au niveau de l’unité opérationnelle
malgré des déficiences.
Le management a évalué le principe n° 2 « Réaliser une surveillance effective ». Étant donné la spécificité de ce
principe qui fait référence au conseil, ce principe doit être évalué au niveau de l’entité, en considérant les engage-
ments qui ont un impact sur l’objectif de l’unité opérationnelle.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité.
Le management a évalué le principe n° 3 « Définir des structures, des pouvoirs et des responsabilités » au niveau
de l’unité opérationnelle et de l’entité.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité
et de l’unité opérationnelle.
Le management a évalué le principe n° 4 « Démontrer son engagement en faveur du développement des compé-
tences » au niveau de l’unité opérationnelle et de l’entité.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’entité
et de l’unité opérationnelle.
Le management a évalué le principe n° 5 « Instaurer un devoir de rendre compte » au niveau de l’unité opération-
nelle. Le management a estimé qu’il devrait évaluer la mise en place et le fonctionnement du principe au niveau de
l’unité opérationnelle, car il s’agissait du niveau le plus pertinent compte tenu de l’objectif de conformité de l’unité
opérationnelle.
–– Le management a considéré que le principe était mis en place et fonctionnait sans déficience au niveau de l’unité
opérationnelle.
Évaluation de la composante « Environnement de contrôle ».
–– Le management a considéré que les cinq principes de l’environnement de contrôle étaient mis en place et fonc-
tionnaient dans l’unité opérationnelle A. Le management devra déterminer si les déficiences du contrôle interne
au niveau de l’entité dans le principe n° 1 sont suffisamment critiques pour conclure à l’absence de mise en place
et de fonctionnement de la composante.
Composante « Pilotage »
Le management a évalué les principes nos 16 « Conduire des évaluations continues et/ou ponctuelles » et 17 « Éva-
luer et communiquer les déficiences du contrôle interne » aux niveaux de l’entité et de l’unité opérationnelle. Les
évaluations continues sont conduites au niveau de l’unité opérationnelle, et les évaluations ponctuelles sont menées
par le management de l’unité opérationnelle et par le service d’audit interne de l’entité. Les déficiences sont évaluées
aux deux niveaux.
–– Le management a considéré que les principes étaient mis en place et fonctionnaient sans déficience.
–– Dans l’évaluation de la composante « Pilotage », le management a considéré que la composante était mise en
place et fonctionnait.
Justification de la conclusion
Évaluation des déficiences au sein de la Il a été considéré que la déficience du contrôle interne constatée dans le principe n° 1 (EC 1-1) ne
composante* : constitue pas une déficience majeure. Étant donné que cette revue concerne l’unité opérationnelle,
il a été considéré que la déficience du contrôle interne au niveau de l’entité était compensée par les
Évaluer si une déficience ou combinaison de contrôles réalisés dans l’unité opérationnelle. Toutefois, la déficience du contrôle interne au niveau
déficiences du contrôle interne dans plusieurs de l’entité pourrait finir par avoir un impact sur l’unité opérationnelle et nous prévoyons de mettre en
composantes constitue une déficience majeure** œuvre un processus relatif à la conformité et au respect des règles éthiques au niveau de l’entité.
Évaluer la composante en faisant appel au jugement,
O/N Justification de la conclusion
sur la base des principes et des déficiences**
O Tous les principes sont mis en place, malgré des déficiences du contrôle
La composante est-elle mise en place ?
interne constatées.
O Tous les principes fonctionnent, malgré des déficiences du contrôle
La composante fonctionne-t-elle ?
interne constatées.
* Recenser les déficiences dans le modèle « Synthèse des déficiences ».
** S’il s’avère qu’il existe une déficience majeure, le management doit en conclure que la composante n’est pas mise en place et ne fonctionne pas, et que le système de contrôle interne
n’est pas efficace.
9. Identifier et analyser les changements signifi- O O Ce principe a été évalué au niveau de l’unité
catifs : l’organisation identifie et évalue les change- opérationnelle.
ments qui pourraient avoir un impact significatif sur le Aucune déficience du contrôle interne
système de contrôle interne. constatée.
Justification de la conclusion
Évaluation des déficiences au sein de la Il a été considéré que la déficience du contrôle interne constatée dans le principe n° 11 (AC 11-1) est effi-
composante* : cacement compensée par le contrôle des accès au niveau des transactions de l’unité opérationnelle. Par
conséquent, il a été considéré que ces déficiences du contrôle interne ne constituaient pas une déficience
Évaluer si une déficience ou combinaison de
majeure.
déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure**
La composante est-elle mise en place ? O Tous les principes sont mis en place, malgré des déficiences du contrôle interne.
La composante fonctionne-t-elle ? O Tous les principes fonctionnent, malgré des déficiences du contrôle interne.
Justification de la conclusion
Évaluation des déficiences au sein de la composante* : Il a été considéré que la déficience du contrôle interne constatée au niveau de l’entité dans le prin-
cipe n° 14 (AC 14-1) est efficacement compensée par les contrôles dans l’unité opérationnelle. Il a
Évaluer si une déficience ou combinaison de déficiences
donc été considéré que cette déficience ne constituait pas une déficience majeure.
du contrôle interne dans plusieurs composantes
constitue une déficience majeure**
Justification de la conclusion
OBJECTIF
Illustrercomment une grande entreprise procédant à une évaluation globale de l’efficacité du contrôle interne
consolide et combine les évaluations de plusieurs divisions.
Montrer qu’il existe plusieurs manières de conduire une évaluation en fonction de la structure organisationnelle.
Montrer qu’une évaluation globale de l’efficacité du contrôle interne en fonction de la tolérance au risque fait appel
au jugement.
CONTEXTE
Société cotée productrice de peintures et d’enduits, constituée de dix divisions.
Siège basé en Europe, sites de production et de distribution basés en Europe et en Amérique latine.
Chiffre d’affaires net : 7 milliards ; résultat net : 400 millions.
CATÉGORIE D’OBJECTIFS
L’évaluation concerne les objectifs opérationnels, et a pour but de s’assurer que les dispositifs de contrôle interne
relatifs à la qualité sont efficaces.
La tolérance au risque de la société en matière de qualité est la suivante : le pourcentage de produits expédiés avec
un défaut mesurable doit être inférieur à 1 % (± 0,25 %).
efficace de contrôle interne permet de réduire à un niveau acceptable le risque qu’un objectif relevant d’une ou de
plusieurs des trois catégories d’objectifs ne soit pas atteint. L’efficacité du contrôle interne suppose que :
–– chacune des cinq composantes du contrôle interne et leurs principes soient mis en place et fonctionnent correctement ;
–– les cinq composantes fonctionnent conjointement de façon intégrée.
La tolérance au risque désigne la variation acceptable dans l’atteinte des objectifs. Maintenir les activités à l’inté-
rieur des limites de tolérance au risque renforce la confiance du management quant à la réalisation de ses objectifs.
Le concept de tolérance au risque est mentionné dans le Référentiel en tant que condition préalable du contrôle
interne. Il ne fait donc pas partie du contrôle interne.
–– La déficience majeure est la suivante : le processus d’analyse permettant de déterminer les modalités de gestion
des risques ne fonctionne pas. Il est constaté que cette déficience majeure ne concerne que cette division.
Le scénario montre qu’il doit être fait appel au jugement pour déterminer si une déficience du contrôle interne dans
une division doit être évaluée au niveau de l’entité globale.
–– La division concernée est relativement petite, elle représente 20 % du total des ventes de produits (en nombre
d’unités) de l’entreprise. Toutefois, le management estime qu’en raison de cette déficience majeure, 10 % des
nouveaux produits de cette division peuvent potentiellement ne pas répondre aux spécifications ; il existe donc
une forte probabilité que plus de 1 % des produits expédiés par l’entité ne répondent pas aux spécifications si
la déficience n’est pas corrigée. Le management en conclut que, concernant cet objectif, le système de contrôle
interne n’est pas efficace.
Évaluation des déficiences au sein de la composante* : ER 7-1 est considérée comme une déficience majeure au sein de l’entité
Évaluer si une déficience ou combinaison de
déficiences du contrôle interne dans plusieurs
composantes constitue une déficience majeure**
Tableau adapté pour évaluer la composante « Évaluation des risques » dans les différentes divisions
Division 1 Division 2 Division 3 Division 4 Division 5 Division 6 Division 7 Division 8 Division 9 Division 10
Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en
Principe place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc-
n° 6 tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans
déficience déficience déficience déficience déficience déficience déficience déficience déficience déficience
Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en
Principe place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc-
n° 8 tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans
déficience déficience déficience déficience déficience déficience déficience déficience déficience déficience
Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en Mis en
Principe place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc- place/fonc-
n° 9 tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans tionne sans
déficience déficience déficience déficience déficience déficience déficience déficience déficience déficience
Membres du conseil
David L. Landsittel Mark S. Beasley Richard F. Chambers
Président du COSO Douglas F. Prawitt The Institute of Internal Auditors
American Accounting Association
Charles E. Landes Marie N. Hollein Sandra Richtermeyer
American Institute of Certified Public Accountants Financial Executives International Jeffrey C. Thomson
Institute of Management Accountants
PwC – Auteur
Principaux rédacteurs
Miles E.A. Everson Charles E. Harris Catherine I. Jourdan
Engagement Leader New York, Partner Director
États-Unis Florham Park, États-Unis Paris, France
Cara M. Beston Keith Handler Frank J. Martens
Partner Director Director
San José, États-Unis Florham Park, États-Unis Vancouver, Canada
Subhojit Goswami Jay A. Posklensky Sallie Jo Perraglia
Director Project Lead Director Florham Park, États-Unis Manager
New York, États-Unis New York, États-Unis
Stephen E. Soske J. Aaron Garcia Director
Project Lead Partner Boston, États-Unis San Diego, États-Unis
Autres contributeurs
Junya Hakoda Alan Martin Eric M. Bloesch
Partner (à la retraite) Partner Managing Director
Tokyo, Japon Francfort, Allemagne Philadelphie, États-Unis
James M. Downs Christopher Michaelson
Director Director
San Francisco, États-Unis Minneapolis, États-Unis
(en janvier 2012)
Comité consultatif
Représentants des organisations membres du COSO
Audrey A. Gramling Steven E. Jameson J. Stephen McNally
Université Bellarmine Community Trust Bank Campbell Soup Company
Executive Vice President and Internal Chief Finance
Audit & Risk Officer Director/Controller
Fr. Raymond J. Treece William D. Schneider Sr.
Endowed Chair AT&T
Director of Accounting
Ray Purcell
Pfizer
Director of Financial Controls
Membres externes qualifiés
Jennifer Burns Thomas Montminy Sharon Todd
Deloitte PwC KPMG
Partner Partner Partner
Cees Klumper Dr. Larry E. Rittenberg Kenneth L. Vander Wal
Le Fonds mondial de lutte contre le sida, Université du Wisconsin ISACA
la tuberculose et le paludisme Emeritus Professor of Accounting Chair Emeritus International President
Chief Risk Officer COSO 2011-2012
Thomas Ray Trent Gazzaway
Baruch College Grant Thornton Partner
James DeLoach Alan Paulus
Protiviti Ernst & Young LLP Partner
Managing Director
Régulateurs et autres observateurs
James Dalkin Christian Peo Vincent Tophoff
Government Accountability Office Securities and Exchange Commission International Federation of Accountants
Director in the Financial Management and Assurance Professional Accounting Fellow (jusqu’en juin 2012) Senior Technical Manager
Team
Harrison E. Greene, Jr. Amy Steele Keith Wilson
Federal Deposit Insurance Corporation Securities and Exchange Commission Public Company Accounting Oversight Board
Assistant Chief Accountant Associate Chief Accountant (à partir de juillet 2012) Deputy Chief Auditor