Académique Documents
Professionnel Documents
Culture Documents
fraudes et d’extraire des états financiers qui retrace la réelle situation économique de la
société. L’AMF définit cinq composantes du contrôle interne : l’organisation, la diffusion
d’information, la gestion des risques, l’activité de contrôle et la surveillance (publication par
l’IFACI). L’importance du contrôle interne est démontrée dans le cadre réglementaire par la
nécessité, pour les sociétés cotées notamment, pour le président d’établir un rapport sur les
procédures de contrôle interne relatives à l'élaboration et au traitement de l'information
comptable et financière, rapport visé par le commissaire aux comptes (NEP-9505).
Le contrôle interne est très important dans une société aussi bien dans une structure très
informatisée que peu informatisée.
Pour une société très informatisée, si une partie des extractions sont mal déversées ou le sont
de façon incomplète entre les différents systèmes d’information, les états comptables et
financiers ne retraceront pas de façon exhaustive les opérations. Les décisions stratégiques qui
seront prises seront basées sur des états erronés et donc pourront être mal orientées.
La mise en place de procédures de contrôle interne, la création d’un service dédié et surtout
l’appel à des cabinets extérieurs (qui sont donc indépendants) permettent de traquer les zones
de faiblesse dans les processus de l’organisation.
Plusieurs outils de contrôle interne sont utilisés.
Le contrôle interne met en place des grilles de séparation des tâches. Ces grilles permettent
de mettre le doigt sur les faiblesses de la société et donc de pouvoir réorganiser les tâches au
sein d’un service et de redéfinir les responsabilités de chacun.
Au niveau du système d’information, le contrôle des accès et des opérations (permission de
lecture / écriture / périmètre / aptes après départ du salarié…) représente un contrôle de
premier niveau pour sécuriser les flux. Les droits des utilisateurs sont donc un point
primordial à suivre. Les grilles de séparations de tâches permettent de valider et de tracer
leurs droits.
Benoît Briand : Alors si vous me le permettez, je vais prendre un exemple, une image qui
devrait parler à tout le monde.
Imaginez que vous êtes dans votre bureau. Vous levez la tête en direction du plafond. Que
voyez-vous ? Vous devriez normalement déjà apercevoir au moins un détecteur de fumée.
Si vous n’en voyez pas, ne paniquez pas… Enfin pas tout de suite.
Ce détecteur de fumée dans votre bureau a été installé pour une raison très simple : Réduire
au minimum le risque qu’un incendie se déclare dans votre entreprise et détruise tout, vous
inclus.
Soit c’est la législation qui a imposé au dirigeant de l’entreprise de l’installer. Soit c’est le
dirigeant lui-même et les collaborateurs de l’entreprise qui ont fait une revue des
risques. Ils ont considéré le risque incendie comme étant critique concernant la bonne
continuité de l’activité de l’entreprise. Et ils ont donc pris la décision de l’installer à cet
endroit précis.
Maintenant, un autre choix aurait été possible. Et là, les personnes qui nous écoutent et qui
cherchent encore le détecteur de fumée dans la pièce vont comprendre… Mais pas forcément
apprécier.
Cet autre choix consiste à ne pas investir dans les détecteurs de fumée, pour plusieurs
raisons :
Soit c’est volontaire : Installer des détecteurs de fumée constitue une sortie de cash. Et il se
peut que la direction ne souhaite pas investir dedans.
Soit c’est totalement involontaire : Le risque incendie n’a pas été identifié par le dirigeant et
les collaborateurs lorsqu’ils ont fait leur revue des risques pouvant impacter la continuité des
activités de l’entreprise. Ou le risque n’a pas été considéré comme important.
Voilà pour le cadre. Soit des détecteurs ont été bien installés. Soit il n’y en a pas.
Dans le cas où aucun détecteur de fumée n’a été installé, vous ne pouvez généralement
compter que sur une alerte lancée par un employé de l’entreprise, un fournisseur ou un
client de passage qui voit de la fumée.
Vous ne savez pas d’où et quand est parti le feu. Et l’alerte n’est pas systématique. Vous
dépendez en général du coup de chance. De la personne qui passe ou bon endroit au bon
moment.
Donc, vous évacuez donc les locaux. Puis vous appelez les pompiers. Les pompiers arrivent.
Ils commencent par passer beaucoup de temps à identifier l’origine du feu. Pendant ce
temps, celui-ci continue de se propager. Quand tout est terminé, une grosse partie voire la
totalité de votre entreprise est partie en fumée.
La bonne continuité de vos activités est menacée. Du fait de la perte de vos stocks ou
documents par exemple. Mais aussi du fait de la perte de confiance de vos clients,
actionnaires ou fournisseurs.
La fonction contrôle interne repère les incidents & limite leurs conséquences
Ceux-ci ont été installés de manière stratégique en fonction des risques de départ de feu. Il y
en a peut-être un peu plus dans vos entrepôts de marchandises que dans vos bureaux par
exemple.
Dans tous les cas, si départ de feu il y a, celui-ci sera immédiatement identifié et localisé.
Deux avantages :
Ces détecteurs de fumée installés de manière optimisée dans votre entreprise peuvent donc lui
permettre d’identifier une défaillance très rapidement et de prendre les décisions
appropriées.
Ils demandent simplement un peu d’entretien et des tests réguliers. Pour être certain qu’ils
fonctionnent et qu’ils se déclencheront correctement le moment voulu.
Il y a une définition du contrôle interne qui aujourd’hui fait référence est celle du COSO : “Le
contrôle interne est un processus mis en œuvre par l’organe de direction (c’est-à-dire le
Conseil d’Administration), les dirigeants et le personnel d’une organisation, et destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
Pour faire simple, le contrôle interne permet de s’assurer que les opérations courantes de
l’entreprise se déroulent normalement.
Une chose importante : Le contrôle interne ne se limite donc pas à un ensemble de procédures
ni aux seuls processus comptables et financiers.
Simon Janvier : On parle ici de contrôle interne. Quelle est la différence avec l’audit
interne ?
Benoit Briand : Les 2 fonctions, comme leurs noms l’indiquent contiennent le mot “interne”.
Elles sont donc « internes » à l’entreprise, contrairement aux commissaires aux comptes.
Leur mission est de déterminer si celle-ci maitrise ses risques. Et si les contrôles mis en place
pour maîtriser ces risques fonctionnent.
Chose importante à souligner : Ce n’est pas aux auditeurs d’identifier les risques ni de
spécifier les contrôles à mettre en place. L’audit interne va évaluer le process
d’identification des risques, que l’on appelle la cartographie des risques. Et il va vérifier si
les contrôles déjà mis en place fonctionnent comme ils le devraient. Nous sommes donc sur
des interventions en général spécifiques.
De son côté, le contrôle interne pourrait s’apparenter à de la vidéo. C’est-à-dire que c’est un
process continu.
Il s’agit de procédures, process et mesures mises en place afin que l’organisation puisse
atteindre ses objectifs et que les risques afférents soient identifiés et maitrisés.
Là où les audits sont effectués par des auditeurs internes, le contrôle interne est de la
responsabilité de tous les employés.
Il existe également des postes de contrôleurs internes dans certaines entreprises. Ces postes
sont fonction de la taille de l’organisation et de l’importance qu’elle accorde à ces sujets. Les
contrôleurs internes vont être en charge de la coordination, de l’animation et du pilotage du
dispositif de contrôle interne.
Simon Janvier : Est-ce que le monde de l’entreprise est placé à la même enseigne face au
contrôle interne selon que l’on est soit un grand groupe ou une PME ?
Benoit Briand : Tout le monde est concerné.
Concernant les différences entre les grands groupes et les PME maintenant. Je dirais que cela
dépend :
Dans un premier temps de la différence de moyens qui peuvent être mis à disposition
Et des différences de législation qui peuvent être applicables.
Les moyens par exemple : Se doter d’un service d’audit interne ou de contrôle interne
correspond à un investissement en temps et en argent.
Il y a souvent une taille critique à partir de laquelle une PME pourra ou devra se doter de tels
départements pour assurer un pilotage efficace du process.
Les contraintes règlementaires ensuite. Je ne vais pas aborder aujourd’hui les sujets sur les
lois Sarbanes-Oxley aux Etats-Unis ou la Loi de Sécurité Financière en France.
En revanche, je vais prendre un exemple d’actualité : la Loi Sapin 2. Sans entrer dans le
détail, cette loi, promulguée en décembre 2016, donne obligation aux entreprises de plus de
500 salariés et de de plus de 100 millions d’euros de chiffre d’affaires de mettre en place tout
un dispositif de contrôle interne ciblé sur la lutte contre la corruption.
Simon Janvier : Voilà pour la première partie de cette émission consacrée à l’audit et au
contrôle interne. Dans une seconde émission toujours sur ce sujet, on mettra en avant
quelques exemples de fraudes qui peuvent toucher les entreprises non sensibilisées au
contrôle interne. On se posera aussi ces questions : Comment mettre en place un contrôle
interne dans une entreprise et surtout combien ça coûte?
Cette interview vous a parlé ? Vous avez des questions ou vous souhaitez apporter des
précisions ? Je vous invite maintenant à faire 2 choses :
L’audit interne est une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les
améliorer, et contribue à créer de la valeur ajoutée. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche systématique et méthodique, ses processus de
management des risques, de contrôle, et de gouvernance, et en faisant des propositions pour
renforcer leur efficacité.
Rattaché à la Direction Générale, l’audit interne entretient une relation étroite avec le Comité
d’Audit ou ses comités spécialisés en leur apportant une assurance sur l’efficacité des
systèmes de gestion des risques et de contrôle interne.
Le contrôle interne
Le contrôle interne est un processus mis en œuvre par le conseil, le management et les
collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la réalisation
d’objectifs liés aux opérations, au reporting et à la conformité.
Cette définition renvoie à certains concepts fondamentaux et met l’accent sur les aspects
suivants du contrôle interne :
il est axé sur la réalisation d’objectifs relevant d’une ou plusieurs catégories – objectifs liés
aux opérations, au reporting et à la conformité
il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités continues. Il
constitue un moyen et non une fin en soi
il est mis en œuvre par des personnes. Il ne repose pas simplement sur un ensemble de règles
et de manuels de procédures, de documents et de systèmes
il est assuré par des personnes œuvrant à tous les niveaux de l’organisation
il permet à la direction générale et au conseil d’obtenir une assurance raisonnable et non une
assurance absolue
il est adaptable à la structure de toute entité. Il offre une certaine souplesse d’application pour
l’ensemble de l’entité ou une filiale, une division, une unité opérationnelle ou un processus
métier en particulier.
COSO 2013
AMF
Catégories :
Le contrôle interne est défini, globalement, comme étant un processus mis en œuvre par la
direction, la hiérarchie, le personnel d'une entreprise, ... (source : procomptable)
... Le contrôle interne est «la totalité des actions conduites par la direction... SUR LE
GOUVERNEMENT D'ENTREPRISE ET LE CONTROLE INTERNE... (source : controle-
interne-theses-syntheses)
Le contrôle interne est un processus mis en œuvre par la direction d'une entreprise pour lui
permettre de maîtriser les opérations à risques que doit effectuer l'entreprise. Grâce à une
meilleure maîtrise de ses processus et ainsi atteindre les objectifs que le management s'est
fixé. Pour cela ses ressources sont mesurées, dirigées et supervisées de manière à permettre à
l'entreprise de réaliser ses objectifs. Le contrôle interne est un processus dont l'objectif est de
maîtriser la totalité des processus mis en œuvre par l'entreprise. C'est une notion principale du
management des entreprises qui va amener dans les années à venir leur restructuration en
profondeur.
Cette définition n'est pas idéale mais elle a le mérite de définir le contrôle interne comme un
processus et précise qu'elle a pour but de mettre la notion d'assurance raisonnable concernant
les opérations. Par contre elle ne prend pas en compte la notion de gestion des risques qui a
été prise en compte dans COSO 2. Mais en particulier elle ne fait pas référence à l'état des
pratiques ni aux processus de l'entreprise.
Cette définition a été beaucoup reprise comme par exemple dans le cadre de référence de
l'AMF :"Le contrôle interne est un système de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et
d'actions adaptés aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités, à l'efficacité de ses opérations ainsi qu'à l'utilisation
efficiente de ses ressources, et
doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu'ils
soient opérationnels, financiers ou de conformité".
La multiplicité des définitions de la notion de contrôle interne est due à la variété des
préoccupations des différents intervenants : cela dépend du métier, du secteur d'activité, des
crises rencontrées, ... Il est certain que la vision du commissaire aux comptes est assez
différente de celle de l'auditeur interne, du dirigeant ou du consultant en stratégie.
Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à une
démarche plus large particulièrement proche de la gouvernance. Mais ces définitions ne sont
pas complètes car elles précisent le "comment" mais ne disent pas le "pourquoi".
la dérive des pratiques des entreprises (laxisme, oubli des règles de contrôle ou de sécurité,
fraudes internes, ... ),
la montée des risques liée à la globalisation, la dématérialisation, la financiarisation, ...
le développement des dispositifs d'information.
règles générales :
Ces règles sont les bonnes pratiques que tout professionnel connaît et doit appliquer.
Le rôle de l'audit
Le contrôle interne vient de la pratique de l'audit. L'auditeur constate des situations à risques.
L'objectif est d’éviter que cela continue.
Les objectifs de contrôle se déduisent des bonnes pratiques.
L'auditeur interne ou externe doit veiller à l'application des règles de contrôle interne.
La gouvernance de l'entreprise
Les règles de contrôle interne sont de plus en plus mis en œuvre par les dispositifs
d'information des entreprises.
Rôle du règlement CRBF 97.02 "Condition d'exercice du contrôle interne des établissements
bancaire" du Comité de la réglementation bancaire et financière
L'atteinte des objectifs de l'entreprise ne dépendant pas seulement des facteurs internes
Notes et références
Voir aussi
Liens externes
L'Autorité des marchés financiers, AMF [1]
Le Committee Of Sponsoring Organisations of the Treadway Commission, le COSO [2]
Le Public Company Accounting Oversight Board : PCAOB [3]
Bibliographie