LE CONTRÔLE INTERNE

- CONCEPTS ET DÉFINITIONS -

Formation
- 2013-
2013-
 Sommaire

Le contrôle interne : Eléments de définition

Définition
Le référentiel COSO
Contrôle interne et fonctions voisines

Le cycle de vie du contrôle interne

Les âges du contrôle interne

Du contrôle interne à la gestion des risques

Le risque et la mesure du risque
Comment appréhender le risque

La gestion des risques

Identification et évaluation des risques
Stratégie face au risque
Typologie des risques
Cartographie des risques

31/10/2013 2
Le contrôle interne : Eléments de définition

3
 Définition et objectifs du Contrôle Interne

 Le contrôle interne est redevenu d’actualité au début des années 2000 en réponse aux
scandales financiers qui ont eu lieu.

 les législations (en Europe comme aux Etats-Unis) ont imposé aux entreprises, sous
certaines conditions, la mise en place de dispositifs de contrôle interne (mise en jeu de
l’épargne publiques).

 Une multitude d’initiatives a donc vu le jour pour définir des cadres de références
relatifs à la conception et à la mise en œuvre de tels dispositifs

Le CI n’est pas une invention nouvelle

• Le contrôle interne est un concept qui consiste à donner à une organisation les
moyens de maîtriser son activité dans toutes ses dimensions.

4
 Définition et objectifs du Contrôle Interne
Quelque définitions

La Commission Fédérale des Banques suisse :

« Par contrôle interne, on entend l’ensemble des structures et processus de contrôle qui,
à tous les échelons de l’établissement, constituent la base de son bon fonctionnement et
la réalisation des objectifs de la politique commerciale ».

L’Autorité des Marchés Financiers (AMF) française:

« l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté
d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de
l’autre l’application des instructions de la Direction et de favoriser l’amélioration des
performances. Il se manifeste par l’organisation, les méthodes et les procédures de
chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci ».

5
 Définition et objectifs du Contrôle Interne
Quelque définitions

L'International Federation of Accountents (IFAC),

« un processus, conçu et mis en place par les personnes constituant le gouvernement
d’entreprise, la direction et d’autres membres du personnel, pour fournir une assurance
raisonnable quant à la réalisation des objectifs de l'entité en ce qui concerne la fiabilité de
l’information financière, l'efficacité et l'efficience des opérations, ainsi que leur
conformité avec les textes législatifs et réglementaires applicables. Il en résulte que le
contrôle interne est conçu et mis en œuvre pour répondre aux risques identifiés liés à
l’activité qui menacent la réalisation de l’un de ces objectifs »

6
 Définition et objectifs du Contrôle Interne
Quelque définitions
Le référentiel le plus répandu est, sans doute, le document américain publié en 1992 et
intitulé « Internal Control – Integrated Framework », plus connu sous l’appellation de
COSO, acronyme de « Committee of Sponsoring Organizations of the Treadway
Commission », du nom du comité qui a conçu ce référentiel.

COSO
« un processus mis en œuvre par les dirigeants à tous les niveaux de l’entreprise et
destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs
suivants :
• l'efficacité et l'efficience des opérations,
• la fiabilité des informations financières,
• la conformité aux lois et règlements. »

7
 Définition et objectifs du Contrôle Interne
Définition retenue à la TGR :

Le contrôle interne est un processus intégré mis en place par l'ensemble

du personnel de la TGR dans le but de gérer les risques et de donner une
assurance raisonnable quant à la réalisation des objectifs majeurs
suivants :

Efficacité dans l’exécution des missions et maitrise de l'activité

Conformité aux lois et aux réglementations en vigueur
Fiabilité de l'information financière

8
 Définition et objectifs du Contrôle Interne
Ces définitions sont articulées autour de quelques idées maîtresses :

 le contrôle interne est un dispositif : il comprend des dispositions

d’ordre organisationnel, procédural ou technique, qu’elles soient automatiques ou
intellectuelles.

 le contrôle interne n'est pas uniquement un ensemble de

procédures et de documents formels.
 le contrôle interne est mis en œuvre par l’ensemble du personnel
quels que soient leurs postes, leurs rangs ou leurs fonctions. Ce n'est
pas uniquement un ensemble de procédures et de documents formels

 le contrôle interne est un moyen et non pas une fin en soi

 ilne peut être attendu du contrôle interne qu'une assurance

raisonnable et non une assurance absolue

le contrôle interne est une réponse au risque. Sa mise en œuvre

est donc associée à l’analyse des risques.
9
 Définition et objectifs du Contrôle Interne
Principes du contrôle interne

Principe n°1: l’organisation

 Un CI efficient suppose l’organisation de l’activité :
◦ Description des tâches dans un guide des procédures ;
◦ Séparation des tâches(fonctions inconciliables)
◦ Formalisation de l’organisation des tâches (organigramme fonctionnel)
Principe n°2: Indépendance
• Transparence vis-à-vis des ressources disponibles (systèmes de remplacement ou de
délégation en cas d’absence).
• Autocontrôle indépendamment des moyens (humains et informatiques) et de
l’organisation(structures).
• Système informatique organisé et conforme aux règles du CI et prévoyant en
particulier des systèmes de contrôle d’accès respectant les incompatibilités de
fonctions.

10
 Définition et objectifs du Contrôle Interne
Principes du contrôle interne

Principe n°3: Permanence

• La mise à l’épreuve du dispositif de CI requiert un temps d’usage permettant aux
personnels de s’adapter à la nouvelle organisation et aux nouvelles procédures qui ont
accompagné la mise en place du système.

• Une fois le dispositif rôdé chaque agent doit s’être approprié les règles(respect des
procédures en permanence).
Principe n°4: Universalité
• Application des règles du contrôle interne:
◦ à toutes les opérations effectuées, sans aucune exception.
◦ de façon homogène, quels que soient les services ou la qualité présumée des agents
concernés.
◦ et tout traitement dérogatoire doit être motivé (confidentialité; urgence).
Principe n°5: Harmonie
• Chaque dispositif de CI doit nécessairement être adapté aux spécificités du service (Il
n’existe pas de modèle unique de contrôle interne).
 Définition et objectifs du Contrôle Interne
Organisation du contrôle interne à Trésorerie Générale du Royaume :

 Les contrôles permanents : sont l'ensemble des contrôles mis en œuvre

par les opérationnels eux-mêmes pour s'assurer de la bonne réalisation des
opérations, en dehors des contrôles qui relèvent de l'exercice de leur activités
propres.

Les contrôles périodiques : sont l'ensemble des contrôles réalisés a posteriori

sur la base de sondages et qui ont, notamment, pour but de s'assurer de la
conformité et de la pertinence des activités de contrôle.

12
 Le référentiel COSO

OBJECTIFS

Environnement de

Cycle 2
contrôle

Cycle 1
Évaluation des risques

Site B
Site A
Activités de contrôle
COMPOSANTES
Information et
communication
ORGANISATION
Pilotage

À la base le modèle COSO (le COSO Framework alias COSO 1) est une méthodologie pour
évaluer le dispositif de contrôle interne d’une entité donnée.

13
 Le référentiel COSO
Le CI est composé de cinq éléments interdépendants intégrés aux processus de gestion :
I - Analyse de l’environnement de contrôle
Explorer La structure et l’organisation de l’entité, comprendre la façon dont les valeurs
d’intégrité et d’éthique sont présentes et diffusées au sein de l’entité et saisir l’affectation
des domaines de responsabilité et les délégations des pouvoirs.

II - Identification et évaluation des risques

Analyser d’une manière précise l’activité de l’entité pour identifier les risques qu’elle
encourt, évaluer leur impact, leur fréquence (dans la mesure du possible) et leur degré de
couverture actuel.

III - Définition des activités de contrôle

Mettre en œuvre les mesures, les règles et les procédures pour traiter les risques. Cela
intègre aussi bien les contrôles proprement dits (verrous) que les mesures correctives.
Cette brique comprend également l’élaboration d’un schéma d’organisation pour la mise
en œuvre du dispositif.

14
 Le référentiel COSO
Le CI est composé de cinq éléments interdépendants intégrés aux processus de gestion :

IV - L’information et la communication
Les flux d’information qui circule entre les différents acteurs doit être normalisé. De plus,
les systèmes d’information et de communication sont articulés autour de ces activités de
contrôle ; (Livrables : référentiel des contrôles, plan d’actions « correctives », charte du
contrôle interne)

V – Le pilotage

Le dispositif de contrôle interne est vivant par principe. Il doit être dynamique pour
prendre en charge de nouveaux risques et s’adapter, en permanence, aux évolutions de
l’activité. Des mécanismes doivent donc être mis en place pour mettre à jour le dispositif.
(Livrables : grille de diagnostic à l’usage des auditeurs, grille d’autodiagnostic)

15
 Contrôle interne et fonctions voisines

INSPECTION AUDIT INTERNE CONTRÔLE INTERNE

Périodicité Ponctuelle, voire improviste Périodique et systématique Permanente

Extérieure au service, voire

Position supérieure
Interne Intégrée

Objet Opérations, Personnes Système, Résultats Gestion, Risques

But La régularité Efficacité Maîtrise

Méthodologie Guides Standards Référentiels de Cl

Conséquences Sanctions Recommandations Régularisations

Métiers «Policier» Consultant Manager

16
Le cycle de vie du contrôle interne

17
 Les âges du CI
Management des risques
Contrôle Interne Le champion
La maturité
Les premières
poussées  Des procédures
Les balbutiements formalisées,  Réflexion de
 Des procédures mises à jour et tous sur les
Le degré 0 formalisées et communiquées : procédures
 Procédures non communiquées système qualité  Un système de
exhaustives et  Un système de animé pilotage orienté
 Absence de contrôle  Un système de vers
non
procédures organisé à partir contrôle l'autocontrôle
communiquées
 Contrôles à d'informations opérationnel  La formalisation
 Un système de
l'initiative de financières autant que de la carte des
contrôle réduit
chacun  Une financier risques
 Des risques
 Pas formalisation  Une réflexion
connus mais
d'identification des principaux généralisée sur
non formalisés
des risques risques les risques

 Pas de fonction  Une fonction  La fonction  Une fonction  Un contrôle de

contrôle interne contrôle interne contrôle interne Audit interne gestion en
 Des informelle entre rattachée aux efficace et réseau
opérationnels les mains de finances indépendante  Une veille
réfractaires au "bénévoles"  Des objectifs  Des permanente des
mot contrôle  Des objectifs formalisés et opérationnels services
opérationnels suivis participatifs à la  L’audit interne
démarche comme support
d’audit interne aux
opérationnels

"La gestion de crises" "La culture orale" "La gestion "La gestion "Le management des
orientée finance » contractuelle" risques"

18
Du contrôle interne à la gestion des risques

19
 Le risque et la mesure du risque
Toute activité peut provoquer des événements profitables et d’autres dommageables

D’une manière intuitive, le risque est :

une prise en compte par une personne (ou une organisation) de la possibilité de réalisation
d'un évènement contraire à ses attentes ou à son intérêt. Lorsque la personne (ou
l’organisation) s'expose volontairement à cette possibilité, on dit qu'elle prend un risque.
Lorsque cette exposition est involontaire ou sous contrainte on dit plutôt qu'elle court un
risque.

D’une manière plus méthodique et plus générale:

Le risque se défini comme la menace qu’un évènement, une situation, une action ou une
inaction puisse affecter l’organisation. En effet, souvent on ne prend en considération que
les évènements qui ont des conséquences négatives.

20
 Le risque et la mesure du risque
Les attributs liés à la définition du risque (cas de la TGR)sont :

◦La désignation : qui est l’énoncé du risque ;

◦ Les sous-risques : Lorsque le risque est relativement agrégé, il est nécessaire de faire
apparaître ses différentes composantes ;
◦ La catégorie : Métier, environnement du métier ou sécurité ;
◦ Le domaine : Il précise le volet de l’activité ou de la structure sur laquelle porte le risque ;
◦ Les manifestations : qui sont les effets par lesquels le risque se manifeste ;
◦ Les facteurs de risque : qui sont les causes ou les éléments déclencheurs du risque ;
◦ Les épisodes du risque : à titre d’illustration, il est nécessaire de garder une trace
des précédents épisodes liés à l’avènement du risque.

21
 Le risque et la mesure du risque

Les attributs liés à la mesure du risque sont :

◦ La fréquence : mesure la récurrence du risque et la répétition de ses épisodes dans le
temps ;
◦ L’impact : mesure les effets et les conséquences du risque ;

Pour le cas de la TGR:

La fréquence est notée sur 5 points.

L’impact est évalué par rapport à 5 critères pondérés qui sont, chacun, noté sur 3 points:

◘ L’enjeu financier ;
◘ Fiabilité de l’information financière et comptable ;
◘ Responsabilité ;
◘ Image ;
◘ Organisation.

22
 Le risque et la mesure du risque

◘ Le risque est lié au niveau de contrôle interne de la structure : plus le niveau de

contrôle interne est faible, plus le niveau de risque est élevé.

◘ Le contrôle interne est une réponse au risque : sa mise en œuvre est donc
associée à la gestion des risques.

 Le risque inhérent est le risque identifié et évalué avant mesure de

contrôle interne.
 Le risque résiduel est le risque inhérent après mesure de contrôle interne.

23
 Le risque et la mesure du risque
Exemples de vulnérabilités / facteurs de risque :

Les ressources humaines :

 Moyens en personnels (petites unités et grosses unités),
 Maîtrise technique et réglementaire des opérations,
 Besoin de formation ressenti par les agents (caractère imparfait ou incomplet des
connaissances, connaissance imparfaite des processus, formation et informations non acquises…).

La complexité des traitements à opérer :

 Opérations administratives simples complexes
 Opérations intégrant divers paramètres de nature juridique, comptable, informatique…

Les moyens techniques mis à disposition :

 Traitements automatisés ou non,
 Contrôles automatisés, bloquants ou non bloquants,
 Fiabilité et stabilité du système d’information (à mesurer par des tests d’intrusion)
 Existence et qualité (contenu, périodicité) des restitutions.

24
La gestion des risques

25
 Identification et évaluation des risques

L'analyse des risques peut être faite en suivant un processus logique débutant par une phase
d'identification puis d'évaluation des risques pour ensuite les gérer : analyser et mener les actions
de réduction .

Les risques peuvent être identifiés et analysés à partir d'un tableau de classification des grandes
catégories de risques déclinés en sous-catégories propre à chaque domaine.
Les anglo-saxons appellent cela le RBS (Risk Breakdown Structure), c.à d. une décomposition
structurée des risques par familles de risques :

26
 Identification et évaluation des risques
Les méthodes traditionnelles d’identification des risques :
Approche par les actifs :
 Identifier les risques ayant un effet sur "les actifs" (caisse, valeurs, comptes
financiers…). Cela concerne les hommes, les équipements, les données…; cela
nécessite une analyse des processus, des opérations d'encaissement et de
décaissements, des procédures d'inventaire, etc.).

Approche par « l'environnement » :

 Identifier les risques provenant de facteurs externes. Cela concerne
l'environnement physique (site, accès…), l'environnement gouvernemental (lois,
réglementation…), l'environnement technologique. Cela suppose une analyse
des normes de sécurité, des procédures, etc.

Approche par « la menace » :

 Identifier les risques liés aux fraudes, pertes ou destructions. Cela concerne les
erreurs, les omissions, les délits, les fraudes. Cela suppose une analyse des
sécurités informatiques, des back-up, etc.

27
 Identification et évaluation des risques
Les autres méthodes d’identification des risques :

Approche intuitive :

 Repérage des risques par analogie

 Repérage des risques par expérience du contrôle interne.

Approche analytique :

 Procédure
 Questionnaire de contrôle interne (QCI)
 Analyse matricielle

28
 Traitement des risques

En réponse à un risque, le gestionnaire a plusieurs options :

Réponse à un risque Actions à mener

Accepter Surveiller le risque

Éviter Éliminer le risque

Réduire Mettre en place des contrôles

Partager S’associer avec un partenaire

29
 Exemple de typologie des risques
Risques organisationnels :

 Dilution des responsabilités

 Absence des délégations et habilitations
 Formalisation insuffisante des attributions
 Absence de politique d'objectifs
 Absence (insuffisance) de politique documentaire
 Absence/ insuffisance de gestion des ressources humaines (formation / information)

Risques opérationnels :

 Non respect des règles budgétaires

 Non respect des règles de la commande publique
 Insuffisance dans la gestion des stocks
 Insuffisante traçabilité des opérations
 Absence de sincérité comptable
 Enregistrement tardif des opérations
 Fragilité de la conservation des pièces justificatives

30
 Exemple de typologie des risques

Risques financiers :

 Caractère aberrant des données ou des résultats

 Sortie non sécurisée de flux financiers importants
 Non-détection des opérations présentant un risque financier

Risques liés au changement :

 Facteurs externes (évolution du rôle des acteurs partenaires des procédures…)

 Modifications législatives ou réglementaires
 Introduction de nouvelles technologies (évolution du système d’information…)
 Facteurs internes (recrutements, départs…)

31
 La typologie des risques retenue à la TGR

Environnement
Catégorie Métier Sécurité
Métier

 Contrôle et exécution des  Organisation.  Sécurité des

dépenses publiques.  Ressources Personnes.
 Recouvrement des humaines.  Sécurité des Biens.
créances publiques.  Système  Sécurité du Système
 Activité bancaire. d’information. d’information.
Domaine  Comptabilité et
centralisation comptable.
 Support

32
 Cartographie des risques

Exemple d’un calcul matriciel des risques

Nature du risque Risque Risque

Probabilité Impact CI résiduel
inhérent Priorité Classement
(a) (b) (c) ((a)*(b))
(a) * (b)
(c)

Financier 3 8 24 3 3 8 4

Juridique 4 6 24 3 2 12 2

Informatique 6 8 48 1 2 24 1

Matériel 2 3 6 4 1 6 5

Administratif 6 5 30 2 3 10 3

33
 Cartographie des risques

La cartographie des risques peut avoir deux sens :

1- Identifier les risques, les évaluer et les présenter d’une manière qui facilite la lecture et la
prise de décision ;
2- Fournir une représentation des risques qui en facilite la lecture et le suivi dans l’espace et
dans le temps.

• Risque inhérent : Avant la prise en compte du dispositif de contrôle

• Risque résiduel : Après la prise en compte du dispositif de contrôle

• Lorsque des éléments probants (missions d’audit interne récentes, plans d’action et projets en
cours ...) d’évaluation du dispositif de contrôle interne sont connus, ceux-ci doivent être pris en
compte afin d’obtenir une évaluation du risque résiduel.

34
 Cartographie des risques

Zone d'action
Probabilité pour maîtriser les
risques

Élevée

Modérée

Faible
Impact

Risques faibles
Faible Modéré Élevé
 Cartographie des risques
La cartographie consiste à représenter l’importance des risques sur un graphique
à deux axes : la fréquence et l’impact.

5
Risque Inhérent

4
Fréquence

2
Risque Résiduel

1 2 3 5 6 7 8 9 10 11 12
Impact

36
 Exemple d’une cartographie des risques

Risque résiduel élevé donc non couvert par le contrôle interne existant
Risque résiduel moyen donc partiellement couvert par le contrôle interne existant ;
Risque résiduel faible donc couvert par le contrôle interne existant.

37
Merci

38