CONTROLE INTERNE

Introduction
L’audit : est un jugement ou une appréciation d’une réalité par un professionnel. C’est
un métier normé c’est-à-dire se fait par rapport à des normes, à un référentiel choisi
par le client (normes marocaines, normes européennes, IFRS, ISA…). L’audit n’est
pas une assurance tous risques et n’a surtout pas vocation à déceler toutes les fraudes
ou malveillances avérées, contrairement aux démarches d’inspection.

L’audit s’attache notamment à détecter les anomalies et les risques (un risque est la
combinaison de la probabilité d'un événement et de ses conséquences) dans les
organisations et secteurs d’activités qu’il examine.

Une anomalie/ une irrégularité est toute action, omission ou situation qui viole la loi et
les textes réglementaires de base régissant les entités ou les dispositions des statuts et
les résolutions de l’assemblée générale.

L’audit comptable : est un examen par un professionnel indépendant et compétent

(avoir une formation, des stages, une expérience, et s’il ya lieu se baser sur une
expertise quant il s’agit d’évaluer la contenance en or d’un stock par exemple).

L’audit interne : est une activité indépendante et objective qui donne à une
organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer et contribue à créer de la valeur ajoutée.

La relation entre audit et contrôle interne

•L’auditeur utilise le contrôle interne quand il est efficace pour planifier sa mission
d’audit.
•La conception et la gestion des systèmes de CI reviennent aux gestionnaires de
l’organisation. L’auditeur utilise le système de CI pour optimiser son travail.

En résumé :
Le contrôleur interne contrôle les différents départements de la société c.-à-d. dans
chaque département il y a un contrôleur interne et l’auditeur se base sur le travail du
contrôleur (chef hiérarchique) pour planifier sa mission d’audit.
Jamais l’expert comptable sera aussi un auditeur au sein de l’entreprise.
Hiérarchie des différentes formes d’audit

Audit légal
•La légalité de l’audit repose sur le fait que l’activité de l’auditeur est exercée dans un
cadre légal prédéfini et obligatoire.
•Au Maroc, c’est le commissariat aux comptes (la cour des comptes pour le secteur
public) qui aboutit à une certification des états financiers.
Objectif principal: la certification du bilan et du compte de résultat, à partir de deux
principes fondamentaux : la régularité et la sincérité des comptes annuels.

Audit contractuel
Un audit peut être sollicité par une organisation en dehors de toute obligation légale
pour répondre à des besoins spécifiques.
Objectif de la mission : défini par le client et régi par le DOC

Audit opérationnel
Il est orienté vers l’évaluation des opérations de gestion dans toutes les fonctions/
processus de l’organisation.
Objectif: économie + efficience + efficacité des choix effectués dans l’organisation et
des résultats obtenus.

L’audit externe
L’audit externe est exercé par des experts indépendants de l’organisation.

L’audit interne
L’audit interne, est réalisé par un salarié de l’entreprise après un contrat signé par le
directeur général.

Chapitre 1. Les fondamentaux du contrôle interne

I. Définition et objectifs du CI selon COSO

Le contrôle interne est défini comme : «un processus mis en œuvre par le conseil
d’administration, les dirigeants et le personnel d’une organisation, destiné à fournir
une assurance (confiance) raisonnable quant à la réalisation des objectifs suivants : la
réalisation et l’optimisation des opérations, la fiabilité des informations financières et
la conformité aux lois et aux règlements en vigueur ».
Objectifs du CI

1) Réalisation et optimisation des opérations: objectifs liés à l’amélioration des

performances, sécurité du patrimoine, au profit, rentabilité, ….

2) Fiabilité des informations financières (E/F) utilisable aussi bien en interne qu’en
externe (bq, impôts, invest…);
3) Conformité aux lois et règlements en vigueur: l’organisation doit prévoir des
règles/ des mesures allant dans le sens du respect de la législation et de la
réglementation en vigueur….

Donc plus précisément :

Catégorie d’objectifs

Objectifs opérationnels
Objectifs liés à l’information financière
Objectifs liés à la conformité

Objectifs opérationnels : se résument dans une approche de formulation des objectifs

opérationnels qui s’appelle SMART.

S (Spécifique : une action, un objectif (pour réaliser un objectif on met en place une
action))
M (Mesurable : un objectif, un indicateur de résultats «on mesure un obj par un
indicateur »)
A (Atteignable : quelles sont les étapes à franchir pour atteindre un objectif?)
R (Réaliste : avez vous prévu les moyens ? Hommes, fiances, matériel, temps…)
T (Temporel : un objectif, une date)

Objectifs liés à l’information financière : Produire des rapports (de gestion, d’audit)
servant comme guides à la prise des décisions stratégiques et opérationnelles

Objectifs liés à la conformité : la conformité fait référence au respect des lois et

réglementation en vigueur

En résumé
Dans le monde des organisations, il est souvent nécessaire de structurer la démarche
de CI pour éviter les mauvaises surprises. Les organisations recourent au CI pour
s’assurer d’atteindre les objectifs et de faire une bonne gestion des risques auxquels
s’exposent.
La (ou les) mesure(s) de CI prise (s) est fonction du risque perçu : risque faible risque
moyen ou risque élevé.

Éléments fondamentaux constituant les piliers du CI:

- l'atteinte des objectifs : En utilisant certaines mesures nommées « activités de

contrôle », les responsables de la gouvernance cherchent à maximiser leur probabilité
d’atteindre les objectifs fixés.
L’atteinte des objectifs opérationnels se fait par l’instauration des activités de contrôle
- l'assurance raisonnable : L’assurance raisonnable fait référence à l’évaluation des
risques qui s’imposent au moment de l’instauration des activités de contrôle interne.
Elle est considérée comme raisonnable dans la mesure où il serait impossible de se
prémunir totalement contre les risques potentiels de l’organisation.

II les composantes du système de CI

Le contrôle interne, tel que défini par le COSO (2013), comporte cinq composants:
Pour faire un contrôle interne il faut suivre les étapes suivantes :
1- L’environnement de contrôle

L’environnement de contrôle interne est lié généralement aux RH

Correspond, pour l'essentiel, aux valeurs diffusées dans l'entreprise ;
Dans l’environnement de contrôle il existe deux types de facteurs :

Contrôles tangibles (On peut définir une mesure tangible comme une mesure
facile à quantifier et à évaluer par exemple : structure organisationnelle,
politique en matière de ressources humaines,
Contrôles intangibles (il existe également dans les entreprises des mesures dites
«intangibles». Par exemple : Intégrité des salariés, éthique, engagement envers
la compétence dans les recrutements et dans la promotion interne).

Facteurs qui influencent l’environnement du contrôle sont :

 la politique de délégation des responsabilités d’organisation

 l’intégrité, l’éthique (la morale) et la compétence du personnel
 la philosophie des dirigeants et le style de management
 le conseil d’administration
2- L’évaluation des risques

Elle se fait à l'aune (à base de) de leur importance et fréquence (gravité)

Le processus d'évaluation des risques permet à l’entité de disposer d’informations
pertinentes pour déterminer les risques d'entreprise et les risques de fraude à gérer et
les mesures à prendre le cas échéant (plans, programmes, actions) afin de répondre aux
risques identifiés.

Les éléments clés de l’évaluation des risques:

✔ La définition préalable des objectifs;
✔ L’identification des risques associés à l’atteinte des objectifs;
✔ La détermination des risques qui sont cruciaux (importants);
✔ La détermination de la probabilité de réalisation et des conséquences
✔ La détermination des mesures de réduction des risques.
3- Les activités de contrôle

Elles sont définies comme les règles et procédures mises en œuvre pour traiter les
risques ;
Ces activités répondent au besoin de politiques, procédures et actions spécifiques pour
gérer les risques liés à la réalisation d'objectifs de contrôles spécifiques en matière.
EX. Au niveau de la section personnel, suite à un volume de travail pénible et à des
tâches qui se complexifient, l’organisation externalise la paie c.-à-d. la société a fait
appel à un prestataire externe pou s’occupé de la paie.

4- L’information et la communication

L'information et la communication devraient être optimisées

 Compréhension par le personnel de ses responsabilités à l’égard du contrôle
interne;

Pour protéger les actifs de l’organisation, il faut bien informer le personnel de ses
responsabilités.
 Mécanismes de traitement, en temps opportun, des préoccupations et plaintes des
clients, fournisseurs ou employés et des litiges…

5- Le pilotage ou la surveillance

C'est-à-dire le « contrôle du contrôle » interne.

 Supervision des contrôles par la direction ou d’autres parties extérieures au
processus (à l’interne ou à l’externe).

 L’auditeur doit vérifier si les règles du CI répondent bien à des objectifs

d’efficacité (CI bien conçu et appliqué)

Différence entre référentiel COSO 1 et COSO 2

 COSO 1 :
Axe de composantes :
 Environnement interne
 Evaluation des risques
 Activités de contrôle
 Information et communication
 Pilotage

Axe des objectifs

 Les objectifs opérationnels
 Les objectifs d’informations
 Les objectifs de conformité
 COSO 2 :

Axe de composantes :
 Environnement interne: acceptation et tolérance d’un risque, dans le cadre d’un
niveau d’efficacité recherchée ainsi identification des événements potentiels
pouvant affecter l’organisation
 Fixation des objectifs : émission des objectifs conformément à la mission de
l’organisation par la hiérarchie
 Identification des évènements à risque : identifier les évènements à risque puis
déterminer si elles ont un effet positif pour qu’elles soient des opportunités ou
un effet négatif donc un risque à gérer (classer les risques)
 Evaluation des risques : Évaluation et classification de chaque risque identifié en
fonction de sa probabilité d’apparition et de son impact sur les objectifs de
l’organisation
 Réponses aux risques : Pour répondre à un risque, une réaction s’impose. La
réponse consiste à l’éviter, le réduire, le partager ou l’accepter.
 Activités de contrôle : comportent les mesures mises en œuvre pour maîtriser les
risques, les procédures et les politiques de traitement des risques.
 Information et communication : correspond à la collecte des informations utiles, à
la communication des informations au responsables de la gouvernance et enfin à
la communication de la part de ce responsable à l’ensemble du personnel de
l’organisation
 Pilotage : comprend l’évaluation permanente et/ou ponctuelle des activités de
contrôle interne et la mise à jour des procédures en fonction des besoins, Les
déficiences doivent être signalées aux responsables de la gouvernance

Axe des objectifs

 Les objectifs stratégiques : découlent de la définition de la mission de
l’entreprise.
 Les objectifs opérationnels : tournent autour de l'efficacité et l'efficience des
opérations
 Les objectifs d’informations : désigne la fiabilité des informations financières
 Les objectifs de conformité : Le respect des lois et des réglementations en
vigueur

Processus de gestion des risques

Le COSO 2 ne parle pas juste de l’évaluation de risque mais aussi la réponse à ces
risques, donc le processus de gestion de risques est le suivant :
 Attitude envers le risque : l’organisation doit définir son attitude envers le risque
et donc définir clairement sa tolérance au risque.
 Identification des éléments à risque : l’organisation devra identifier tous les
évènements susceptibles d'affecter le déroulement et/ou la réalisation des
objectifs
 Matrice de risques ou la cartographie de risques : hiérarchisation c'est-à-dire
classer les risques par ordre de priorité pour simplifier le choix des risques à
traiter tout en respectant la limitation des ressources.
 Fixation des objectifs : l’organisation doit fixer des objectifs à atteindre : objectifs
stratégiques, objectifs opérationnels, objectifs de conformité, objectifs
d'information)
 Evaluation du risque : l’organisation doit évaluer la probabilité et la gravité c'est-
à-dire les conséquences qu’un risque peut générer

Evaluation et appréciation du risque

Les risques ayant une probabilité faible ou des conséquences peu importantes ne
font pas l’objet d’un traitement.
Donc risque avec une probabilité faible et une gravité peu importante le risque est
appelé risque mineur et si la probabilité est faible avec une gravité grave le risque est
appelé risque acceptable, si la probabilité est élevée avec une gravité peu importante
le risque est acceptable et si la probabilité est élevée et la gravité est élevée aussi le
risque est majeur.
La cartographie de risques
 Risques à traiter 
 Risque à surveiller
 Risque acceptable : il ne fait pas objet d’un traitement
Réponses aux risques
 La réduction : le fait de ramener le risque résiduel à un niveau acceptable
 L’élimination : consiste à éliminer l'action au l'activité origine de risques
 Le transfert : transférer les risques à des parties externes Assurance par exemple
 L'acceptation : si le coût du traitement des risques excède la perte potentielle
l'entreprise peut accepter le risque
Pour la réduction et l’élimination il faut mettre en place des activités de contrôle
efficace.
Résumé
Le COSO 2 dit qu’il ne suffit pas d’identifier et d’évaluer le risque mais aussi de
mettre en place des activités de contrôle pour le réduire, l’éliminer ou l’accepter.
III- Types de contrôles

 Les contrôles préventifs: visent à ce que des anomalies ne se produisent pas (il
vaut mieux prévenir que guérir c.-à-d. qu’il faut mettre en place des mesures
pour éviter les risques. exp: pour éviter les risques de voles de mets en place des
agents de sécurités).
 Les contrôles de détection: ont pour objectif de détecter les anomalies qui
pourraient se produire malgré l’existence des contrôles préventifs (par exp :
mettre en place des logiciels licenciés de comptabilité pour éviter les fautes).
 Les contrôles correctifs: ont pour objectif de corriger les anomalies détectées
(exp : enregistrer tous les informations de l’entreprise sur un disque dur externe
pour éviter le risque de perte).
 Les contrôles compensatoires (supervision): Ces contrôles sont mis en place pour
pallier la faiblesse d’un contrôle existant (les 3 contrôles déjà citer). C.-à-d. il faut
mettre en place des superviseurs qui vont contrôler les contrôles déjà existant
pour savoir s’ils dont bien appliquer.

IV- Les contrôles comptables

Objectifs détaillés des contrôles internes

Le contrôle interne comptable vise 6 objectifs:
 La réalité : s’assurer que les opérations comptables enregistrer en bien eu lieu, et
qui sont liées au cycle d’exploitation de l’entreprise.
 L’autorisation : il faut s’assurer que les décisions sont prises par le niveau
hiérarchique (responsabilisation des chefs de services).
 L’exhaustivité (complétude) : s’assurer que toutes les opérations sont
enregistrées (comptabilisé).
 L’exactitude : s’assurer que toutes les opérations sont enregistrées avec le
montant exact et le compte exact.
 Le classement : s’assurer que toutes les opérations sont classées dans les
comptes concernées.
 La séparation des périodes : s’assurer que les opérations de l’exercice N sont
enregistrées dans l’exercice N.

V- Législation et réglementation en matière de CI

L’implémentation des systèmes de CI s’inspire du système de gouvernance de

l’entreprise anglo-saxon ….
La législation aux États- Unis
• Loi SOX (SARBANES OXLY) entrée en vigueur aux États-Unis en 2002, visant à
renforcer le contrôle exercé sur la gouvernance de l’entreprise et à augmenter la
CONFIANCE des investisseurs selon trois principes : exactitude et accessibilité de
l’information, Responsabilité des gestionnaires, Indépendance des vérificateurs.
Selon la loi SOX toute entreprise est tenue d’élaborer un rapport sur le contrôle
interne concernant :
 L’évaluation de l’efficacité du système de contrôle interne
 La déclaration de la direction assurant la fiabilité des états financiers publiés
Ce rapport doit être certifié par un auditeur externe

V. Législation et réglementation en matière de CI

La portée de la loi SOX s’étend au-delà des frontières des Etats-Unis.

La législation au Canada
Selon le manuel des Comptables Professionnel Agréées du Canada, les entreprises
cotées en bourse doivent établir des états financiers conformément aux normes
établis par le conseil des normes comptable et le conseil des normes d’audit et de
certification.
Le conseil des normes d’audit et de certification (2015), considère que le contrôle
interne comme nécessaire pour permettre la préparation des états financiers qui
doivent être élaborés conformément au référentiel d’information financière
applicable
La législation en France
La Loi de Sécurité Financière encadrant le fonctionnement des sociétés cotées et des
SA, a été adoptée en 2003 fin de renforcer les dispositions légales en matière de
gouvernance d'entreprise.
La loi de sécurité financière repose principalement sur:
 Un renforcement du contrôle interne
 Une responsabilité accrue des dirigeants
 Une réduction des sources de conflits d'intérêt
Impose aux autorités de gouvernance de rendre compte, dans un rapport joint au
rapport de gestion annuel, des procédures de contrôle interne et de gestion des
risques mises en place par la société.

La législation dans le cas du Maroc

Il n’existe pas de loi type sur le système de CI à mettre en place par toutes les
organisations privées et publiques et qui soit obligatoire.
Certains secteurs sont dotés de textes juridiques (lois, décrets, circulaires…)
spécifiques rendant la mise en place d’un système de contrôle interne, une chose
obligatoire.

VI- Les limites du contrôle interne

 Les progrès technologiques peuvent accroître le risque d’accès non autorisé aux
systèmes et aux données
 Le risque d’abus (erreur) de pouvoir de la part des responsables de l’application
du contrôle interne.
 Une personne de la direction pourrait annuler n’importe quelle étape d’un
système de CI pour son avantage personnel….
 Le risque d’erreurs humaines : une personne impliquée dans un système de CI
pourrait simplement faire une erreur, par exemple en oubliant une étape de
contrôle. Ou une personne qui ne comprend pas comment un système
informatique doit être utilisé.
 Le risque de collusion. Deux ou plusieurs personnes censées contrôler et
surveiller les unes les autres pourraient en même temps s’entendre pour
contourner le système….
 Le fait que la direction exige habituellement que le contrôle interne soit
rentable
 Le fait que la plupart des contrôles soient conçus surtout en fonction
d’opérations de nature répétitive et non d’opérations inhabituelles
 La variation de l’efficacité des contrôles en fonction du volume des opérations
ou des mouvements du personnel

VII- Les responsabilités à l’égard du contrôle interne

La responsabilité en matière de contrôle interne revient à la direction. Cette

responsabilité porte sur:

 La conception des contrôles

 La mise en place des contrôles
 L’efficacité des contrôles

L’auditeur des états financiers (commissaire aux comptes) doit prendre connaissance
des contrôles comptables et signaler les lacunes (manque ou omission) significatives
de ces contrôles et éventuellement (à l'occasion), faire les recommandations
nécessaires à la direction pour améliorer ces contrôles.