Vous êtes sur la page 1sur 332

CONTRÔLE INTERNE

UNE APPROCHE GESTIONNAIRE


DENIS GENDRON
Avec la collaboration de
Nabil Messabia et Danièle Rivest
CONTRÔLE INTERNE
UNE APPROCHE GESTIONNAIRE
DENIS GENDRON , Ph. D., CPA, CA
Université du Québec à Montréal

Avec la collaboration de
Nabil Messabia, M. Sc., CPA, CGA
Danièle Rivest, M. Sc., CPA, CMA

Consultants
Pierre Desforges, CPA, CMA
Daphné Drouin, M.B.A., CPA, CA
Abdelhaq Elbekkali, Ph. D., CPA, CGA
Contrôle interne
Une approche gestionnaire Sources iconographiques

Denis Gendron Couverture et ouverture de la partie 1 et des


Avec la collaboration de Nabil Messabia et Danièle Rivest chapitres 1 à 5 : Jakub Cejpek/Shutterstock.com
Ouverture de la partie 2 et des chapitres 6 à 12 :
© 2016 TC Média Livres Inc. Yulia Grigoryeva/Shutterstock.com
p. V (de gauche à droite) : Blacknote/Shutterstock.
Conception éditoriale : Sylvain Ménard com ; Leena Robinson/Shutterstock.com ; Victoria
Édition : Marie Victoire Martin Antonova/Shutterstock.com
Coordination : Julie Garneau p. 102 (de bas en haut) : © Peter Sobolev/
Révision linguistique : Cindy Villeneuve-Asselin Dreamstime.com ; popcic/Shutterstock.com
Correction d’épreuves : Sarah Bernard
Conception graphique : Julie Ménard

Des marques de commerce sont mentionnées ou illus-


trées dans cet ouvrage. L’Éditeur tient à préciser qu’il
n’a reçu aucun revenu ni avantage conséquemment
à la présence de ces marques. Celles-ci sont repro-
duites à la demande de l’auteur en vue d’appuyer le
propos pédagogique ou scientifique de l’ouvrage.

Le matériel complémentaire mis en ligne dans notre


site Web est réservé aux résidants du Canada, et ce,
à des fins d’enseignement uniquement.

L’achat en ligne est réservé aux résidants du Canada.


Catalogage avant publication
de Bibliothèque et Archives nationales du Québec
et Bibliothèque et Archives Canada

Gendron, Denis
Contrôle interne : une approche gestionnaire
Comprend des références bibliographiques et un index.
ISBN 978-2-7650-5030-8
1. Vérification interne – Manuels d’enseignement supérieur. i. Messabia,
Nabil. ii. Rivest, Danièle. iii. Titre.
HF5668.25.G46 2016 657’.458 C2016-940348-3

TOUS DROITS RÉSERVÉS.


Toute reproduction du présent ouvrage, en totalité ou en partie,
par tous les moyens présentement connus ou à être décou-
verts, est interdite sans l’autorisation préalable de TC Média
Livres Inc.
Toute utilisation non expressément autorisée constitue une
contrefaçon pouvant donner lieu à une poursuite en justice
contre l’individu ou l’établissement qui effectue la reproduction
non autorisée.

ISBN 978-2-7650-5030-8
Dépôt légal : 2e trimestre 2016
Bibliothèque et Archives nationales du Québec
Bibliothèque et Archives Canada
Imprimé au Canada
1 2 3 4 5 M 20 19 18 17 16
Gouvernement du Québec – Programme de crédit d’impôt pour l’édition de
livres – Gestion SODEC.
Présentation des auteurs

Denis Gendron
Denis Gendron, Ph. D., CPA auditeur, CA, est détenteur d’un doctorat en administra-
tion (comptabilité). Il est professeur en certification financière et en comptabilité pub-
lique au Département des sciences comptables de l’École des sciences de la gestion de
l’Université du Québec à Montréal (ESG UQAM). Au cours des 12 dernières années, il a
développé une expertise en enseignement dans plusieurs universités québécoises.
Avant d’entreprendre une carrière universitaire, il a acquis des compétences comme
directeur financier, contrôleur et gestionnaire au sein de plusieurs petites et moyennes en-
treprises (PME). Cette expérience vient enrichir ses écrits et dynamiser son enseignement.
Il a également occupé des postes d’auditeur externe en cabinet. Il continue d’ailleurs
d’agir à titre de consultant externe dans différents dossiers. C’est fort d’une carrière d’une
quinzaine d’années que monsieur Gendron a décidé de se consacrer à l’enseignement.

Nabil Messabia
Nabil Messabia, M. Sc., CPA, CGA, est professeur de comptabilité à l’Université du
Québec en Outaouais. Ses champs de recherche gravitent autour de la gouvernance en
général, et de la gouvernance des technologies de l’information particulièrement. Par
le passé, il a siégé au comité pédagogique de l’Information Systems Audit and Control
Association, où il a contribué à la révision et à la bonification de matériel didactique sur
le référentiel Control Objectives for Information and related Technology (COBIT) et sur la
gestion des risques. Avant d’amorcer sa carrière universitaire, il a eu un parcours profes-
sionnel diversifié qui l’a mené à des postes de direction. Alors qu’il travaillait pour Ernst
& Young, outre sa fonction de directeur de mission, il a été nommé responsable de la
gestion de la qualité.

Danièle Rivest
Danièle Rivest, M. Sc., CPA, CMA, est diplômée de l’UQAM. Elle bénéficie de 25
ans de pratique comptable en entreprise, principalement dans des PME. Elle a travaillé
comme directrice administrative et du contrôle financier au sein d’entreprises de service,
de commerces de détail, d’entreprises de fabrication et d’organisations municipales. Au
cours de sa carrière, elle a utilisé plusieurs systèmes de gestion informatisés et progiciels
de gestion intégrés (PGI), qu’il s’agisse d’applications développées sur mesure ou clés en
main. Son expertise en matière d’utilisation de PGI, d’amélioration des processus d’af-
faires et de qualité de l’information financière est reconnue par ses collègues. Elle estime
que bien arrimer les processus d’affaires au processus informationnel constitue un gage
d’un meilleur contrôle interne.
iv

Avant-propos

Les balbutiements du présent ouvrage ont surgi lorsque nous avons eu la tâche de mettre
sur pied un nouveau cours de contrôle interne pour des étudiants au baccalauréat en
sciences comptables. Une fois le contenu du cours élaboré, nous nous sommes mis à la
recherche d’un livre en français qui pourrait être utilisé comme document de référence.
Après une revue exhaustive de ce qui existait, nous avons constaté qu’aucun manuel ne
répondait aux besoins que nous avions ciblés.
Nous voulions que le cours s’adresse principalement aux utilisateurs des systèmes de
contrôle interne. Il nous semblait important que l’étudiant soit placé dans le rôle du ges-
tionnaire pour bien saisir les éléments à la base de l’élaboration et de la mise à jour des
systèmes de contrôle interne ainsi que pour bien comprendre ce qui motive la mise sur pied
de mesures de contrôle dans un contexte organisationnel. Nous souhaitions également qu’il
saisisse bien que c’est pour favoriser l’atteinte des objectifs organisationnels que l’on met en
place des activités de contrôle interne, et non pas pour des raisons externes à l’entreprise.
Par la suite, il pourrait se servir des connaissances acquises et des compétences développées
pour bien jouer son rôle de gestionnaire, d’auditeur interne ou d’auditeur externe.
Plusieurs livres qui traitent du contrôle interne utilisent la perspective de l’auditeur
externe comme point d’ancrage. Il s’agit d’une approche intéressante, mais notre ex-
périence pédagogique démontre que les étudiants ont tendance à penser que le contrôle
interne est mis en place pour les auditeurs externes, et non pas pour le fonctionne-
ment interne de l’entreprise. Dans cette optique, il s’avère plus difficile de distinguer
le rôle des gestionnaires de l’entreprise qui conçoivent et gèrent le système de contrôle
interne de celui de l’auditeur externe qui l’utilise pour optimaliser son travail. De plus,
puisque c’est la qualité de l’information financière qui prime pour l’auditeur externe, les
objectifs opérationnels et de conformité sont généralement moins présents.
Enfin, d’autres ouvrages sont fort utiles, mais ils présentent un point de vue plus
technique et parfois très théorique sur le contrôle interne. Ces livres sont difficilement
accessibles pour un étudiant qui souhaite apprendre les rudiments du contrôle interne.
De plus, ils contiennent généralement peu d’applications pratiques ciblées pour faciliter
le développement des compétences.

Philosophie du manuel
Il y a de ces sujets dont les ramifications nous entourent depuis tellement longtemps que
nous oublions qu’ils sont omniprésents. Puis tout à coup, ils surgissent dans l’actualité
comme s’il s’agissait d’une nouveauté qui s’impose dans notre univers. Par exemple, les
joutes de hockey extérieures de la Ligue nationale de hockey reviennent annuellement tout
comme les disques vinyles qui reprennent du service. Le contrôle interne s’inscrit dans
ces manifestations qui mettent en lumière périodiquement une réalité qui est présente au
quotidien sans que l’on le réalise vraiment.
Depuis que l’entreprise existe, elle a recours au contrôle interne pour s’assurer d’at-
teindre ses objectifs et de faire une bonne gestion des risques auxquels elle est exposée.
Comme nous le verrons tout au long de cet ouvrage, la pratique même du contrôle existe
sans que les personnes qui l’exercent en soient nécessairement conscientes.
Dans la vie quotidienne, on déploie un certain nombre de mesures de contrôle, sans pour
autant se questionner chaque fois sur les raisons qui poussent à poser ces gestes, ni sur les risques
contre lesquels on souhaite se prémunir. En effet, plusieurs de ces comportements sont issus
d’un certain mimétisme social et de l’éducation. Toutefois, dans le monde des organisations,
Avant-propos v

il est souvent nécessaire de structurer la démarche afin d’éviter les mauvaises surprises. Pour
être en mesure d’effectuer efficacement ce processus, il faut bien comprendre les mécanismes
sur lesquels reposent les assises d’un bon système de contrôle interne et les concepts théoriques
qui permettent de bien s’imprégner de la philosophie qui guide la démarche.
Par exemple, il est naturel de fermer la porte de la maison à clé lorsque l’on s’absente.
Bien que l’on ne fasse pas forcément le raisonnement chaque fois que l’on pose ce geste,
c’est pour réduire le risque de cambriolage que l’on verrouille la porte avant de partir.
Plusieurs facteurs comme la valeur des biens que l’on possède, le taux de criminalité du
quartier où l’on habite ou la qualité du corps policier viennent influencer le choix des
moyens à mettre de l’avant pour réduire les risques de cambriolage. Certaines personnes
optent pour des serrures à double cylindre, d’autres pour un système d’alarme ou un chien
de garde. Ce faisant, elles mettent en place une mesure de contrôle interne qui est entre
autres fonction du risque perçu (voir la gure 1).

FIGURE 1 Analogie du contrôle interne au quotidien

OU OU

Risque faible Risque moyen Risque élevé

Gestionnaire comme personnage central


Durant le processus de réflexion qui a donné naissance à ce livre et à sa rédaction, une
trame de fond a guidé les auteurs dans leur travail. Nous nous sommes toujours placés
dans la peau du gestionnaire qui assure quotidiennement la bonne marche des opérations
de son organisation. Ses préoccupations, son souci d’efficience, sa gestion des ressources
humaines, ses obligations de rendre compte ainsi que son désir d’améliorer le fonctionne-
ment de son organisation ont façonné notre démarche.
Ce manuel s’adresse principalement aux gestionnaires actuels et futurs (étudiants)
qui sont ou seront amenés à utiliser le contrôle interne dans l’accomplissement de leurs
fonctions. Bien qu’il puisse être fort utile pour des professionnels aguerris en contrôle in-
terne, ce livre tente principalement de répondre aux préoccupations de ceux qui l’utilisent
au jour le jour. À ce titre, il s’agit d’un ouvrage pratique qui donne des outils nécessaires
à ceux qui gèrent les activités de contrôle en place et qui seront amenés à les modifier
pour tenir compte de la réalité organisationnelle qui change constamment. D’ailleurs, les
auteurs de cet ouvrage occupent ou ont occupé des postes de gestion au sein de différentes
organisations et ils connaissent bien le contexte dans lequel doivent évoluer les gestion-
naires. Ce bagage professionnel se manifeste dans le livre d’une couverture à l’autre.
Ce choix est aussi guidé par la réalité économique du Québec et du Canada. En effet,
selon les derniers chiffres disponibles sur la composition de l’économie au Canada (voir le
tableau 1), près de 70 % des travailleurs du secteur privé œuvrent dans de petites entre-
prises (comptant de 1 à 99 employés), 20 % dans de moyennes entreprises (comptant de
100 à 499 employés), et les autres 10 % occupent des emplois dans de grandes entreprises.
Donc, 90 % de la main-d’œuvre canadienne (et 88 % de la main-d’œuvre québécoise) se
trouve à l’emploi d’une petite ou moyenne entreprise (PME).
vi Avant-propos

TABLEAU 1 Nombre total d’emplois dans le secteur privé selon la province


et la taille de l’entreprise en 2012

Petites (1–99) Moyennes (100–499) Grandes (500+) Total des emplois

Terre-Neuve-et-Labrador 102 982 74,9 % 24 535 17,9 % 9 921 7,2 % 137 438

Île-du-Prince-Édouard 33 079 80,7 % 5 534 13,5 % 2 353 5,7 % 40 966

Nouvelle-Écosse 213 442 75,3 % 53 539 18,9 % 16 606 5,9 % 283 587

Nouveau-Brunswick 159 525 72,2 % 44 902 20,3 % 16 653 7,5 % 221 080

Québec 1 684 396 66,8 % 521 702 20,7 % 315 724 12,5 % 2 521 822

Ontario 887 141 66,6 % 949 869 21,9 % 497 440 11,5 % 4 334 450

Manitoba 275 847 72,4 % 73 749 19,4 % 31 316 8,2 % 380 912

Saskatchewan 231 064 76,6 % 50 544 16,8 % 20 123 6,7 % 301 731

Alberta 1 053 224 73,5 % 262 003 18,3 % 118 553 8,3 % 1 433 780

Colombie-Britannique 1 105 002 75,8 % 261 403 17,9 % 92 334 6,3 % 1 458 739

745 702 69,7 % 2 247 780 20,2 % 1 121 023 10,1 % 11 114 505

Les explications et les exemples que nous présenterons sont inspirés de la réalité d’un
gestionnaire qui travaille dans une PME. L’approche est un peu plus inductive que celle
que l’on trouve souvent dans les livres qui traitent du contrôle interne. Par exemple,
dans plusieurs PME, la gestion des risques et la mise en place des activités de contrôle
constituent un processus beaucoup plus informel et implicite qu’il ne l’est dans les plus
grandes entreprises. Par conséquent, le présent manuel met beaucoup moins l’accent sur
les structures organisationnelles complexes que sur des exemples simples et concrets qui
sont le quotidien d’un gestionnaire de PME.

Entreprise type
Tout au long de ce livre, les concepts théoriques seront illustrés à l’aide d’exemples
pratiques pour faciliter la compréhension. Puisqu’il s’adresse notamment à de futurs
gestionnaires qui utiliseront le contrôle interne dans leur travail journalier, il est apparu
important de choisir des entreprises dont les structures sont suffisamment sophistiquées
pour avoir un système de contrôle interne assez élaboré pour offrir une base d’analyse
intéressante. Par ailleurs, nous voulions éviter les mégasystèmes qui sont trop complexes
pour illustrer notre propos. Nous ne voulions surtout pas que nos exemples deviennent
contre-productifs en inondant le lecteur de détails qui pourraient masquer l’essentiel
du message.
L’archétype d’entreprise que nous utiliserons tout au long du livre a un chiffre d’af-
faires annuel qui oscille entre 10 et 25 millions de dollars. Selon une étude de la Banque
de développement du Canada (BDC), en 2013, il y avait 7 814 moyennes entreprises
(comptant de 100 à 499 employés) au Canada. Comme le montre la figure 2, la portion
la plus importante des moyennes entreprises a un chiffre d’affaires qui se situe entre 10 et
25 millions de dollars par année.
Ces entreprises ont des systèmes de gestion assez élaborés, des opérations diversifiées
et une complexité organisationnelle suffisante pour couvrir les différentes facettes du
contrôle interne. De plus, nous consacrerons une partie de chapitre aux dynamiques par-
ticulières des plus petites entreprises qui doivent composer avec des ressources moindres
et une réalité opérationnelle différente.
Avant-propos vii

Revenus annuels des moyennes entreprises


canadiennes pour leur dernier exercice
FIGURE 2 financier de 2010 (en millions de dollars)

Source : BDC. (2013). Qu’advient-il des moyennes entreprises canadiennes ? Repéré au https://www.bdc.ca/FR/
Documents/other/BDC_etude_moyenne_entreprise.pdf.

Vulgarisation des éléments théoriques


Il va de soi que le côté très pratique du livre est accompagné d’une première partie qui
explique et vulgarise les grands concepts de base que l’on doit maîtriser pour pouvoir
utiliser efficacement le contrôle interne. Bien que la tentation puisse être forte au premier
abord d’écrire un livre essentiellement technique, nous sommes persuadés que ce serait
une erreur de faire l’économie de la compréhension générale des éléments qui sont à la
base du contrôle interne. Plusieurs raisons nous amènent à cette conclusion.
En tant que gestionnaire, le lecteur sera appelé à remettre en question les activités de
contrôle existantes, que ce soit parce qu’elles ne produisent pas les résultats attendus, parce
qu’elles ne sont plus justifiées en raison de changements organisationnels ou parce qu’elles
sont considérées comme non efficientes par d’autres membres de l’organisation. Pour ce
faire, il devra bien comprendre les conditions dans lesquelles ces mesures sont appliquées,
les objectifs de ces activités ainsi que les façons de mesurer l’efficacité de leur application.
Le gestionnaire sera parfois sollicité à participer à des exercices, de plus en plus
fréquents, de reconfiguration des processus d’affaires de son organisation. Bien qu’il ne
soit pas forcément un spécialiste du domaine, il devra néanmoins posséder une assez
bonne connaissance de la philosophie et des enjeux qui guident l’utilisation du contrôle
interne. De cette façon, il sera en mesure de contribuer efficacement à cette démarche et
de tirer son épingle du jeu.
De plus, il n’est pas possible de concocter une recette qui puisse convenir à chacune
des situations. Par conséquent, le gestionnaire devra suffisamment maîtriser les concepts
de base pour avoir en main les outils adéquats qui lui permettront de relever les défis qu’il
rencontrera en matière de contrôle. Le présent ouvrage se veut un accompagnateur du
gestionnaire pour l’aider dans une ou plusieurs des facettes importantes de son travail.
En somme, le contrôle interne est une dimension que le gestionnaire doit maîtriser,
comme c’est le cas pour la gestion des ressources humaines, des technologies de l’infor-
mation, du marketing et de plusieurs autres domaines de la gestion des organisations.
C’est dans cette perspective que nous vulgariserons le plus possible les concepts
théoriques reliés au contrôle interne, sans pour autant tomber dans une simplification
excessive qui aurait des effets inverses à ceux escomptés. Nous sommes profondément
convaincus qu’il est possible d’obtenir un équilibre entre une haute technicité et une
simplification des concepts. Ce livre va donc en ce sens.
viii Avant-propos

Encadrés « Fallait y penser ! »


Dans plusieurs chapitres du manuel, le lecteur trouvera des encadrés intitulés « Fallait
y penser ! » qui présenteront des questionnements au sujet de différentes activités de
contrôle interne. Il pourra s’agir d’une explication concernant une mesure de contrôle qui
a été contournée, de facteurs particuliers à prendre en compte dans l’élaboration d’une
activité de contrôle, d’une situation insoupçonnée qui survient, etc. Ces encadrés seront
très utiles pour porter un regard critique sur le contrôle interne et ils permettront d’af-
finer les compétences en la matière. Enfin, nous nous en servirons parfois pour présenter
d’autres contextes que celui propre à notre exemple type.

Organisation du livre
Le présent ouvrage se divise en deux parties. La première traite des fondements théoriques
du contrôle interne, tandis que la seconde présente un exemple pratique qui se décline
en fonction des principaux cycles comptables. Cette classification est basée autant sur des
préoccupations d’ordre conceptuel que sur des aspects pédagogiques inhérents à l’ensei-
gnement d’une matière comme le contrôle interne. Après avoir acquis les connaissances
essentielles à la compréhension du contrôle interne dans la partie 1, le lecteur pourra
développer ses compétences en abordant la partie 2 du livre, qui présente les princi-
paux processus d’affaires des entreprises. Ce découpage se veut assez représentatif du
fonctionnement des entreprises et des responsabilités qu’assume le gestionnaire en matière
de contrôle interne.

Partie 1 – Fondements théoriques


La première partie regroupe cinq chapitres. Nous avons réuni les aspects théoriques et
conceptuels dans la partie 1 du livre pour permettre au lecteur d’avoir une vue d’ensemble
des tenants et des aboutissants du contrôle interne. Tout gestionnaire doit ancrer ses
connaissances dans une base solide pour pouvoir s’adapter aux différentes situations qui
se présenteront à lui. Bien que nous illustrions les concepts théoriques par des exemples
pratiques, il n’est pas possible de couvrir tous les cas de figure. Cette partie donnera à
l’étudiant les outils nécessaires pour pallier cette situation et pour s’adapter à plusieurs
autres scénarios auxquels il pourrait éventuellement avoir à faire face.
Après avoir vu les cinq premiers chapitres, le lecteur aura acquis les connaissances
nécessaires pour passer à la partie 2, qui lui offrira la possibilité de parfaire ses compétences.
En d’autres mots, il aura en main un coffre d’outils suffisamment garni pour aller travailler
sur des processus d’affaires présentant des systèmes de contrôle interne.

Chapitre 1 – Fondements du contrôle interne


Le lecteur pourra tout d’abord se familiariser avec les raisons qui font que le contrôle
interne occupe une place aussi importante dans le fonctionnement quotidien des organ-
isations. Ce faisant, il sera en mesure de déterminer les raisons qui justifient la présence
d’une activité de contrôle donnée, de se questionner sur l’utilisation de cette mesure au
détriment d’une autre, ainsi que de mettre en lumière des situations qui justifieraient une
activité de contrôle qui est malheureusement absente.
Le premier chapitre présente les fondements de la discipline, son contexte, de même
que diverses définitions. Il s’agit d’une entrée en matière nécessaire pour bien comprendre
le champ d’action du contrôle et son interaction avec d’autres domaines connexes. Par
exemple, plusieurs disciplines comme le contrôle de gestion et la gestion de la qualité
gravitent dans le même environnement que le contrôle interne, mais elles se distinguent
sur plusieurs aspects.

Chapitre 2 – Législation, réglementation et référentiels


Dans le deuxième chapitre, le lecteur trouvera les principales lois et les principaux règle-
ments qui encadrent le contrôle interne. La législation a grandement influencé la place
que le contrôle interne occupe au sein des grandes entreprises. En effet, plusieurs d’entre
Avant-propos ix

elles ont adapté leur façon de faire pour respecter la lettre et les principes qui émanent
des lois et des règlements. Il suffit de penser au déploiement des systèmes de contrôle
interne qui a suivi l’adoption de la Loi Sarbanes-Oxley (SOX) aux États-Unis, de la
Loi de sécurité financière en France et de la réglementation canadienne sur les valeurs
mobilières.
Ces règles s’appliquent principalement aux entreprises cotées en Bourse, mais elles
peuvent également assujettir les autres entreprises. Pensons par exemple au rapport de
l’auditeur indépendant qui mentionne que la direction est responsable de mettre en
place et de maintenir un système de contrôle interne suffisant pour assurer que les états
financiers sont exempts d’anomalies significatives (Comptables professionnels agréés
du Canada, 2015). À la lecture du libellé du rapport, il est difficile de nier le rôle que
joue le contrôle interne dans le processus de préparation et de publication de l’infor-
mation financière d’une entreprise. Plusieurs sociétés qui ne sont pas cotées en Bourse
présentent tout de même des états financiers accompagnés d’un rapport d’un auditeur
indépendant.

Chapitre 3 – Référentiels et système de contrôle interne


Il existe plusieurs référentiels sur lesquels les entreprises peuvent s’appuyer pour mettre
en place un système de contrôle interne cohérent et efficace. Dans le troisième chapitre,
nous présenterons les principaux de façon sommaire, mais nous décortiquerons toutes les
composantes du référentiel du Committee of Sponsoring Organizations of the Treadway
Commission (COSO). Nous insisterons davantage sur le référentiel COSO, puisque c’est
sans doute le plus utilisé par les entreprises canadiennes. De plus, il nous semble être le
plus accessible et le mieux adapté au contexte des PME.
Les composantes du référentiel de contrôle interne créé par le COSO peuvent être
illustrées au moyen d’une figure géométrique qu’on nomme « cube COSO ». L’une des
forces du cube COSO réside dans la schématisation des principaux éléments à prendre
en considération pour obtenir un système de contrôle interne de qualité. C’est d’ailleurs
ce référentiel qui sera utilisé dans la deuxième partie du livre. En effet, le cas Métalika est
décliné dans les chapitres de la partie 2 en utilisant exactement la même structure que
celle exposée dans le chapitre 3. Le lecteur pourra donc se référer facilement aux explica-
tions de ce chapitre lorsqu’il analysera les différents cycles de Métalika.

Chapitre 4 – Risques d’entreprise et incidence sur le contrôle interne


Comme nous le verrons dans le quatrième chapitre, il n’est pas possible de dissocier le
risque du contrôle. C’est l’ampleur du risque et les répercussions potentielles en cas de
problème qui aiguillent le choix de l’activité de contrôle interne que l’on va mettre en
place. Il existe des outils qui ont été développés pour évaluer les risques, les ordonner et les
hiérarchiser en fonction des objectifs organisationnels. C’est à partir de ces outils que l’on
peut développer les activités de contrôle qui sont les plus appropriées dans les circonstances.
Les approches quant aux risques sont multiples et fortement influencées par le profil
des personnes qui ont développé les modèles. Par exemple, les comptables n’abordent pas
les risques de la même façon que les ingénieurs. Toutefois, il y a sans doute des liens à faire
entre ces deux approches. L’accent est mis par certains sur la modélisation mathématique
des risques, tandis que les autres utilisent des approches non mathématiques. À l’aide
d’une bonne analyse des écrits dans ce domaine, nous ferons une synthèse des éléments
importants et nous présenterons une approche simple et structurée qui servira à l’analyse
des risques dans la partie 2 du livre.

Chapitre 5 – Environnements particuliers


Le cinquième chapitre est nécessaire pour traiter des réalités que nous ne couvrirons
pas forcément dans la partie 2 du livre, ne serait-ce que parce que nous avons décidé de
prendre comme exemple pratique une moyenne entreprise du secteur privé ayant un
chiffre d’affaires entre 10 et 25 millions de dollars. Ce faisant, nous avons délaissé un peu
x Avant-propos

les organismes à but non lucratif (OBNL) ainsi que les petites entreprises qui évoluent
dans un environnement assez différent.
Un bon système de contrôle interne suppose une certaine surveillance entre les per-
sonnes qui travaillent au sein d’un même processus d’affaires. C’est ce que l’on appelle,
en termes de contrôle interne, la séparation des tâches incompatibles. Conséquemment,
l’entreprise doit avoir un nombre suffisant d’employés pour distribuer les fonctions in-
compatibles aux mains des bonnes personnes. Ce chapitre explorera les autres avenues qui
s’offrent aux responsables de la gouvernance pour faire face à cette contrainte en matière
de contrôle interne. C’est le cas pour les plus petites entreprises.
Ce chapitre fera aussi une place aux situations particulières du contrôle interne dans
les OBNL, ainsi qu’à l’incidence du contrôle interne sur les missions d’audit externe.
Notre objectif est de permettre au lecteur de transférer les connaissances et les com-
pétences acquises en matière de contrôle interne à d’autres environnements que celui de
l’exemple pratique que nous utiliserons tout au long de la partie 2. L’étudiant sera à même
de constater que l’approche que nous proposons peut très bien être utilisée dans d’autres
environnements moyennant quelques adaptations.

Partie 2 – Applications pratiques


Fort des connaissances qu’il aura acquises dans la première partie, le lecteur pourra ensuite
développer ses compétences en matière de contrôle interne. L’application pratique des
concepts théoriques vise à lui permettre de comprendre les principaux processus d’affaires
qui existent au sein de la majorité des entreprises. De plus, il se familiarisera avec le sys-
tème de contrôle interne élaboré pour illustrer chaque chapitre.
Aussi, pour concrétiser les concepts théoriques présentés dans la partie 1, nous avons
créé une entreprise fictive (Métalika) à partir des expériences pratiques accumulées au
sein même de différentes entreprises et à titre de consultants. Il va de soi qu’il s’agit d’un
amalgame de situations tirées d’entreprises variées et que toute ressemblance avec une
situation réelle se veut tout à fait fortuite et le fruit du hasard.
Au début de la partie 2, nous présenterons les grandes lignes de cette entreprise et
nous la ferons évoluer d’un chapitre à l’autre en ajoutant les renseignements qui se rap-
portent à chacun des cycles comptables. Nous avons préféré le terme de « cycle » à celui
de « processus », puisqu’il est davantage utilisé pour décrire les systèmes comptables. Par
ailleurs, la responsabilité des systèmes de contrôle interne est souvent déléguée au service
de la comptabilité.

Chapitre 6 – Incidence des technologies sur le contrôle interne


Le sixième chapitre ouvre la deuxième partie du livre, puisqu’il porte sur un sujet pra-
tiquement indissociable des chapitres qui suivent. En effet, les technologies incorporent
des activités de contrôle général qui ont des répercussions significatives sur l’ensemble des
processus d’affaires. Il est donc essentiel de maîtriser ces mesures de contrôle pour pouvoir
élaborer les activités de contrôle propres à chaque cycle. Tout au long de la partie 2, nous
présenterons des mesures de contrôle qui peuvent être manuelles ou informatiques. Ce
qui importe, c’est que le lecteur puisse saisir l’objectif du contrôle, son implantation et
son fonctionnement, indépendamment de ces modalités d’application.
Les technologies ont une incidence majeure sur la gestion des organisations, et les
systèmes de contrôle interne ne font pas exception à cette réalité. Les mots de passe
ont souvent remplacé les signatures, les transferts électroniques de fonds sont de plus
en plus utilisés et les nuages virtuels (clouds) viennent prendre le relais des sauvegardes
sur disque dur. Bien que ces technologies soient devenues des incontournables, le ges-
tionnaire doit exercer les mesures de contrôle appropriées pour assurer la fiabilité, la
confidentialité et la sécurité des données. Dans ce chapitre, nous discuterons de ces
nouveaux défis et de certains moyens qui existent pour les relever de façon à la fois
efficace et sécuritaire.
Avant-propos xi

Chapitre 7 – Cycle des achats, créditeurs et décaissements


Le septième chapitre présente les opérations relatives à l’acquisition des différentes res-
sources de l’entreprise qui visent à assurer son bon fonctionnement. Le cycle débute par
l’identification d’un besoin, auquel on répond au moyen d’un achat, en passant par la
gestion des comptes fournisseurs pour se terminer avec le paiement de la facture. Il sera
aussi question des activités de contrôle que l’on met en place pour s’assurer d’optimiser
les opérations (par exemple, pour obtenir le meilleur prix possible) ainsi que pour veiller
à la conformité aux lois et aux règlements. Nous traiterons également des investissements
en immobilisations, puisqu’ils sont étroitement associés au cycle des approvisionnements.

Chapitre 8 – Gestion des stocks et cycle de la fabrication


Pour des raisons pédagogiques, nous avons regroupé dans le même chapitre le cycle de la
fabrication et celui de la gestion des stocks. Il va de soi qu’il n’y a pas que les entreprises
de fabrication qui doivent assurer une saine gestion de leurs stocks. Ce chapitre traite de la
gestion des stocks dans un contexte de distribution, mais son contenu pourrait s’appliquer
dans d’autres circonstances en apportant quelques modifications.
Les entreprises de fabrication doivent composer avec une réalité différente de celle des
autres organisations. Par exemple, le coût des produits est déterminé par l’accumulation
des charges de fabrication en fonction de certains standards. Dans ce chapitre, nous nous
trouverons davantage dans une zone d’intersection entre le contrôle interne et le contrôle
de gestion, en ce qui concerne l’analyse des écarts de fabrication ou du rendement de la
main-d’œuvre. De plus, dans certaines industries comme celle de la fabrication de pièces
d’avion, le système de contrôle de la qualité va côtoyer celui du contrôle interne.

Chapitre 9 – Cycle des salaires, créditeurs et décaissements


Le cycle des salaires, créditeurs et décaissements est généralement bien encadré, puisqu’il
est soumis à une réglementation abondante, soit à la Loi sur les normes du travail, à la
réglementation de la Commission de la santé et de la sécurité du travail, aux lois fiscales
se rapportant à la rémunération des travailleurs, à la Loi sur l’équité salariale ou aux con-
ventions collectives qui existent au sein de certaines entreprises.
Ce cycle est particulièrement sensible, puisqu’il touche au quotidien de l’ensemble
des employés d’une entreprise. Parmi les activités de contrôle nécessaires figurent no-
tamment le suivi des changements de statut d’un employé ou de taux horaire, ou encore
l’approbation des heures travaillées. Par ailleurs, si le versement de la paie se fait en retard
ou s’il y a des erreurs dans le calcul de la paie, les employés lésés le signaleront promp-
tement et demanderont un correctif rapide, sans compter l’effet que de tels problèmes
peuvent occasionner sur la productivité du personnel.

Chapitre 10 – Cycle des produits, débiteurs et encaissements


Le cycle des produits, débiteurs et encaissements se trouve au cœur même des activités de
plusieurs entreprises, puisque la vie de ces dernières en dépend. Bien que tous les cycles
soient importants, étant donné qu’ils contribuent au fonctionnement de l’entreprise,
celui des ventes s’avère particulièrement névralgique. Sans un système d’achat efficient, il
n’est pas possible de vendre, mais les ventes restent tout de même l’activité génératrice de
liquidité. De par son importance, ce cycle exige généralement plus de mesures de contrôle
opérationnel que d’autres cycles. D’ordinaire, les gestionnaires veulent donc s’assurer
d’atteindre les objectifs organisationnels en la matière.

Chapitre 11 – Processus de fin de mois


Le onzième chapitre présente le processus de fin de mois que suit le service de la comp-
tabilité de Métalika pour préparer ses états financiers mensuels. C’est en quelque sorte
l’aboutissement des quatre cycles précédents. Le processus de fin de mois est particulière-
ment focalisé sur la qualité de l’information financière provenant des différents cycles
comptables. Ce sont les objectifs liés à la qualité de l’information financière qui prennent
xii Avant-propos

presque toute la place dans ce chapitre. Les activités de contrôle dans les autres chapitres
sont principalement axées sur les objectifs opérationnels.
La démarche consiste à analyser les principaux postes des états financiers en présen-
tant les documents qui servent à justifier les montants ainsi que les activités de contrôle
qui sont exercées pour s’assurer de leur fiabilité. De plus, le rôle des intervenants des au-
tres services dans la préparation des états financiers est expliqué. L’étudiant sera à même
de constater que le processus de fin de mois ne se limite pas au service de la comptabilité
et que plusieurs cadres et superviseurs jouent un rôle significatif dans la validation de
nombreuses listes ou dans l’explication de certains écarts.

Chapitre 12 – Analyse des forces et des faiblesses


Nous ne pouvions pas terminer le manuel sans boucler la boucle, ce que nous ferons
en présentant un outil qui permet d’analyser les forces et les faiblesses d’un système de
contrôle interne. Après avoir disséqué le système de contrôle interne de tous les cycles, il
sera temps de poser un diagnostic global sur le contrôle interne de Métalika.
En effet, le dernier chapitre présente une façon d’évaluer les mesures de contrôle in-
terne en place, en se questionnant sur leur utilité ainsi que sur la nécessité d’en implanter
de nouvelles. Après avoir lu ce chapitre, le lecteur devrait être en mesure d’analyser un
système de contrôle comme celui qu’on lui a présenté dans les chapitres précédents.
D’ailleurs, les systèmes de contrôle interne de chaque cycle sont incomplets et imparfaits ;
ils attendent seulement que l’étudiant pose son propre diagnostic et qu’il formule des
recommandations.
Bonne lecture !
Les coûts : définitions,
Lim xiii et classifications
concepts 

Remerciements

Un projet comme celui-ci n’est évidemment pas réalisable sans la collaboration d’un
très grand nombre de personnes. Il est impossible de toutes les nommer, mais je tiens à
souligner l’apport de certaines d’entre elles. Mes premiers remerciements vont à la mai-
son d’édition Chenelière Éducation, et plus particulièrement à Sylvain Ménard (éditeur-
concepteur principal). Il a cru en notre projet dès le début et a accepté de prendre le
risque de travailler avec un auteur qui en était à son premier livre. Il a su mettre en place
les éléments nécessaires à la réussite de cet ouvrage.
J’aimerais aussi remercier mes deux collaborateurs qui ont accepté de faire partie de
cette aventure, de mettre leur talent et leur énergie à contribution. La vaste expérience
pratique de Danièle Rivest doublée de ses compétences en matière de systèmes d’informa-
tion a contribué à rendre le cas Métalika pertinent et représentatif de ce qui se passe dans
une PME de fabrication. De son côté, Nabil Messabia a mis son expertise en technologies
de l’information et en gestion des risques à profit pour expliquer et vulgariser ces deux
dimensions qui sont indispensables à la compréhension du contrôle interne. Je tiens à les
remercier pour l’excellence de leur travail et pour la souplesse dont ils ont fait preuve tout
au long du projet. Je voudrais également souligner le travail de Geneviève Girard, qui a
participé avec rigueur et imagination à la préparation des questions et à la bonification des
tableaux qui se trouvent sur le site Web. De plus, je remercie le cabinet SLBO comptables
professionnels agréés inc. pour sa collaboration.
Bien évidemment, tous mes remerciements vont aussi aux consultants Pierre
Desforges, Daphné Drouin et Abdelhaq Elbekkali, qui ont accepté de commenter les
différents chapitres du manuel. Leurs points de vue à la fois de spécialistes dans le do-
maine du contrôle interne et de pédagogues ont été précieux. Ils ont contribué à enrichir
le produit fini et à donner une perspective différente au travail de rédaction qui se fait
un peu en vase clos. Il va de soi qu’à titre d’auteur, j’assume l’entière responsabilité du
contenu du livre.
Durant plus de 18 mois, j’ai eu la chance et le plaisir de travailler avec l’équipe de
Chenelière Éducation, formée de gens hautement professionnels qui ont à cœur la qualité
du produit et la satisfaction des auteurs. Bien qu’il ne soit pas possible de tous les nommer,
je ne peux passer sous silence le travail exceptionnel de Marie Victoire Martin (éditrice)
et de Julie Garneau (chargée de projet). Elles sont d’un professionnalisme exemplaire et
d’une gentillesse qui facilitent grandement le travail d’auteur.
Enfin, un merci tout particulier à ma conjointe, Johanne, qui a fait montre d’une
patience à toute épreuve. Elle m’a écouté sans jamais laisser voir d’agacement, même si
elle n’a pas une passion particulière pour le contrôle interne. C’est un soutien indispen-
sable lorsque l’on décide d’investir autant de temps et d’énergie dans un tel projet. C’est
indiscutablement une preuve d’amour.

Denis Gendron
xiv Lim Lim xiv

Table des matières

Liste des abréviations ............................................ xvii 3.3 Méthode d’analyse utilisée dans
la partie 2 du livre ............................................... 55
PARTIE 1 3.3.1 Environnement de contrôle ........................ 55
Fondements théorques 3.3.2 Évaluation des risques et activités
de contrôle ................................................. 56
CHAPITRE 1 3.3.3 Information, communication
et pilotage .................................................. 57
Fondements du contrôle nterne ............... 3
1.1 Dénition............................................................. 4 CHAPITRE 4
1.2 Contrôle externe................................................. 5 Rsques d’entreprse et ncdence
1.3 Disciplines connexes ......................................... 6 sur le contrôle nterne .................................... 59
1.3.1 Gouvernance .............................................. 6 4.1 Concepts d’incertitude, de risque
1.3.2 Contrôle de gestion.................................... 8 et d’opportunité .................................................. 60
1.3.3 Contrôle de la qualité ................................. 8 4.1.1 Pluridisciplinarité des concepts ................. 60
1.3.4 Gestion des risques.................................... 9 4.1.2 Dénitions................................................... 61
1.3.5 Comptabilité ............................................... 9 4.1.3 Référentiels des meilleures
1.4 Coordination des activités ................................. 10 pratiques en matière de GRE ..................... 62
4.2 Gestion des risques d’entreprise....................... 65
CHAPITRE 2 4.2.1 Attitude envers le risque............................. 66
4.2.2 Fixation des objectifs ................................. 66
Légslaton, réglementaton
4.2.3 Identication des événements à risque...... 68
et référentels ................................................... 11
4.2.4 Évaluation et hiérarchisation
2.1 Réglementation en matière des risques................................................. 69
de contrôle interne ............................................. 14 4.2.5 Réponses aux risques ............................... 73
2.1.1 Au Canada.................................................. 14 4.3 Rôles des principaux intervenants .................... 76
2.1.2 Aux États-Unis............................................ 17 4.3.1 Rôle du conseil d’administration................ 76
2.1.3 En France ................................................... 19 4.3.2 Rôle de la haute direction........................... 76
2.2 Autres aspects liés à la divulgation 4.3.3 Rôle de l’équipe d’audit interne ................. 77
de l’information nancière ................................. 20 4.3.4 Rôle des autres membres du personnel .... 78
2.2.1 Rapport de gestion..................................... 20
2.2.2 International Integrated CHAPITRE 5
Reporting Council ...................................... 22 Enronnements partculers ....................... 79

CHAPITRE 3 5.1 Petites entreprises ............................................. 80


5.1.1 Environnement de contrôle ........................ 81
Référentels et système
5.1.2 Évaluation des risques ............................... 83
de contrôle nterne .......................................... 25
5.1.3 Activités de contrôle................................... 83
3.1 Principaux référentiels ....................................... 26 5.1.4 Information et communication ................... 84
3.1.1 Recommandations du CoCo...................... 27 5.1.5 Pilotage ...................................................... 84
3.1.2 Référentiel du COSO.................................. 28 5.2 Organismes à but non lucratif ........................... 84
3.2 Cube COSO ........................................................ 29 5.2.1 Environnement de contrôle ........................ 85
3.2.1 Catégories d’objectifs ................................ 30 5.2.2 Évaluation des risques ............................... 86
3.2.2 Cinq éléments de contrôle 5.2.3 Activités de contrôle................................... 87
du cube COSO ................................................. 36 5.2.4 Information et communication ................... 87
3.2.3 Champs d’application ................................ 54 5.2.5 Pilotage ...................................................... 88
Table des matières xv

5.3 Pratiques d’excellence en matière de contrôle 7.2 Objectifs, risques et activités de contrôle......... 140
des TI : exemple du référentiel COBIT .............. 88 7.3 Processus opérationnel ..................................... 143
5.3.1 Principe 1 : Satisfaire aux besoins 7.3.1 Demande d’achat ....................................... 147
des parties prenantes................................. 89
7.3.2 Recherche de fournisseurs......................... 150
5.3.2 Principe 2 : Couvrir l’entreprise
7.3.3 Analyse des soumissions ........................... 153
d’un bout à l’autre ...................................... 89
7.3.4 Émission du bon d’achat............................ 154
5.3.3 Principe 3 : Appliquer un référentiel
intégré unique ............................................ 89 7.3.5 Réception des achats................................. 155
5.3.4 Principe 4 : Faciliter une approche 7.3.6 Enregistrement des factures....................... 157
globale........................................................ 91 7.3.7 Paiement des factures................................ 163
5.3.5 Principe 5 : Distinguer la gouvernance 7.3.8 Classement nal (après paiement) ............. 166
de la gestion............................................... 91 7.4 Information et communication........................... 167
5.4 Audit externe ...................................................... 91 7.5 Pilotage ............................................................... 168
Eercices............................................................... 96 Annee................................................................... 169

PARTIE 2
Applications pratiques
CHAPITRE 8
Gestion des stocks et cycle
Cas Métalika........................................................ 102 de la fabrication ............................................... 171
8.1 Environnement de contrôle................................ 172
CHAPITRE 6 8.2 Objectifs, risques et activités de contrôle......... 172
Incidence des technologies 8.3 Stocks ................................................................. 175
sur le contrôle interne .................................... 115 8.3.1 Opérations ponctuelles .............................. 177
6.1 Environnement de contrôle ............................... 116 8.3.2 Opérations quotidiennes ............................ 181
6.2 Évaluation des risques ...................................... 116 8.3.3 Opérations périodiques.............................. 183
6.2.1 Fraude et malversation............................... 117 8.3.4 Considérations particulières....................... 185
6.2.2 Désastre naturel ......................................... 118 8.4 Fabrication .......................................................... 185
6.2.3 Condentialité des renseignements ........... 118 8.4.1 Modules ou chiers maîtres
6.2.4 Disponibilité des données .......................... 118 de production............................................. 186
6.2.5 Changements technologiques ................... 118 8.4.2 Fabrication ( job)......................................... 193
6.2.6 Objectifs, risques et activités 8.5 Information et communication........................... 199
de contrôle ................................................. 119 8.6 Pilotage ............................................................... 201
6.3 Activités de contrôle général ............................. 122
6.3.1 Gouvernance des TI et activités CHAPITRE 9
de contrôle général .................................... 122 Cycle des salaires, créditeurs
6.3.2 PGI et activités de contrôle général ........... 123 et décaissements .............................................. 203
6.4 Activités de contrôle des applications .............. 126
9.1 Environnement de contrôle................................ 204
6.4.1 Contrôle des entrées .................................. 126
9.2 Objectifs, risques et activités de contrôle......... 205
6.4.2 Contrôle des traitements............................ 126
9.3 Processus opérationnel : encadrement ............ 207
6.4.3 Contrôle des sorties ................................... 127
9.3.1 Recensement des besoins ......................... 207
6.4.4 Complémentarité des activités
9.3.2 Description de poste .................................. 208
de contrôle général et des activités
de contrôle des applications...................... 128 9.3.3 Afchage de poste ..................................... 209
6.5 Sécurité de l’information ................................... 128 9.3.4 Sélection des candidats provenant
de l’externe ................................................ 209
6.5.1 Contrôle préventif....................................... 129
9.3.5 Accueil du nouvel employé ....................... 210
6.5.2 Contrôle de détection................................. 135
9.3.6 Création d’une che d’employé ................. 213
6.5.3 Contrôle correctif........................................ 136
9.3.7 Fin d’emploi................................................ 219
6.6 Information et communication........................... 137
9.3.8 Tâches annuelles........................................ 219
6.7 Pilotage ............................................................... 137
9.4 Processus opérationnel : salaires,
créditeurs et décaissements.............................. 220
CHAPITRE 7 9.4.1 Rappel hebdomadaire aux superviseurs.... 220
Cycle des achats, créditeurs 9.4.2 Mise à jour des chiers de vacances ......... 221
et décaissements .............................................. 139 9.4.3 Changement de statut................................ 221
7.1 Environnement de contrôle................................ 140 9.4.4 Compilation des données .......................... 222
xvi Table des matières

9.4.5 Saisie des feuilles de temps....................... 222 11.3.6 Liste des frais payés d’avance ............... 272
9.4.6 Autorisation des feuilles de temps ............. 224 11.3.7 Liste des immobilisations ....................... 272
9.4.7 Traitement de la paie .................................. 225 11.3.8 Emprunt bancaire ................................... 273
9.4.8 Versement de la paie .................................. 226 11.3.9 Liste chronologique
9.4.9 Récupération du bulletin de paie ............... 227 des comptes fournisseurs...................... 273
9.4.10 Enregistrement du journal de paie ........... 228 11.3.10 Plan de remboursement
9.4.11 Autorisation du journal de paie ................ 229 (dette à long terme) .............................. 275
9.4.12 Tâches annuelles...................................... 229 11.3.11 Capitaux propres.................................. 275
9.5 Information et communication........................... 231 11.3.12 Analyse de certaines charges .............. 276
9.6 Pilotage ............................................................... 231 11.3.13 Écritures de régularisation.................... 276
11.3.14 États nanciers préliminaires................ 277
CHAPITRE 10 11.3.15 États nanciers aux ns
Cycle des produts, débteurs d’approbation....................................... 277
et encassements .............................................. 233 11.4 Information et communication......................... 278
11.5 Pilotage ............................................................. 278
10.1 Environnement de contrôle.............................. 234
10.2 Objectifs, risques et activités de contrôle....... 234
CHAPITRE 12
10.3 Processus opérationnel ................................... 237
Analyse des forces et des fablesses ...... 279
10.3.1 Processus d’ouverture de compte ......... 237
10.3.2 Processus de traitement 12.1 Processus d’évaluation .................................... 280
d’une commande ................................... 242 12.2 Référentiel du CoCo ......................................... 281
10.3.3 Processus de retour de marchandise..... 254 12.2.1 But .......................................................... 281
10.4 Information et communication......................... 257 12.2.2 Engagement ........................................... 285
10.5 Pilotage ............................................................. 258 12.2.3 Capacité ................................................. 287
12.2.4 Suivi et apprentissage ............................ 289
CHAPITRE 11 12.3 Analyse des activités de contrôle.................... 292
Processus de fn de mos ............................... 261 12.3.1 Liens entre les objectifs et les risques ... 292
11.1 Environnement de contrôle.............................. 262 12.3.2 Liens entre les risques et les activités
11.2 Objectifs, risques et activités de contrôle....... 262 de contrôle ............................................. 293
11.3 Processus opérationnel ................................... 266 12.3.3 Liens entre les objectifs et les activités
de contrôle ............................................. 294
11.3.1 Fermeture des auxiliaires........................ 266
12.3.4 Outils d’analyse du système
11.3.2 Balance de vérication ........................... 268
de contrôle interne ................................. 294
11.3.3 Rapprochement bancaire....................... 268
Solutionnaire des exercices .................................. 295
11.3.4 Liste chronologique
des comptes clients ............................... 270 Bibliographie ........................................................... 308
11.3.5 Liste des stocks ..................................... 271 Index......................................................................... 310
Avant-propos xvii

Liste des abréviations

ACP Association canadienne de paiement IIRC International Integrated Reporting Council


ACVM Autorité canadienne des valeurs mobilières ISACA Information Systems Audit and Control Association
AGA Assemblée générale annuelle ISBN Numéro international normalisé du livre
AMF Autorité des marchés nanciers ISO Organisation internationale de normalisation
BA Bon d’achat ITGI IT Governance Institute
BD Base de données LSF Loi de sécurité nancière
BDC Banque de développement du Canada LTO Date limite pour commander
CA Conseil d’administration Mat-ReqDemande de matières
CCSP Conseil sur la comptabilité dans le secteur public MBB Marge bénéciaire brute
CIIF Contrôle interne à l’égard de l’information nancière MEDAF Modèle d’évaluation des actifs nanciers
CNC Conseil des normes comptables NCA Normes canadiennes d’audit
CNT Commission des normes du travail NCECF Normes comptables pour les entreprises à capital
COBIT fermé
NIPPAI Normes internationales pour la pratique professionnelle
CoCo Conseil sur les critères de contrôle créé par l’Institut de l’audit interne
canadien des comptables agréés OBNL Organisme à but non lucratif
COSO Committee of Sponsoring Organizations of the OC Objectif de conformité
Treadway Commission
OCEG Open Compliance and Ethics Group
COSO II Committee of Sponsoring Organizations of the
OIF Objectif d’information nancière
Treadway Commission – II
OO Objectif opérationnel
CPA Comptable professionnel agréé
OSBL Organisme sans but lucratif
CPCI Contrôles et procédures de communication de
l’information PCAOB Public Company Accounting Oversight Board
CPE Centre de la petite enfance PE Petite entreprise
CPMT Commission des partenaires du marché du travail PGI Progiciel de gestion intégré
CSST Commission de la santé et de la sécurité du travail PME Petites et moyennes entreprises
CV Curriculum vitæ RACI
DDS Demande de soumission REER Régime enregistré d’épargne-retraite
DG Directeur général RI intégré
FDRCMO Fonds de développement et de reconnaissance des RQAP Régime québécois d’assurance parentale
compétences de la main-d’œuvre RRQ Régime des rentes du Québec
FGF Frais généraux de fabrication SAAQ Société de l’assurance automobile du Québec
FSS Fonds des services de santé SEC Securities and Exchange Commission
GRE Gestion des risques d’entreprise SOX Loi Sarbanes-Oxley
IFACI Institut français de l’audit et du contrôle internes TI Technologies de l’information
IFRS Normes internationales d’information nancière VAN Valeur actualisée nette
L
a première partie du présent
PARTIE 1 ouvrage regroupe les cinq cha-
pitres qui traitent de tous les
aspects théoriques nécessaires pour
comprendre et gérer efficacement un
système de contrôle interne au sein

Fondements théoriques d’une organisation. Elle offre une vue


d’ensemble des tenants et des abou-
tissants ainsi que des aspects humains
et organisationnels dont il faut tenir
compte pour assurer l’efficience et
l’efficacité d’un système de contrôle.
Il sera tout d’abord question des
fondements du contrôle interne
(chapitre 1), puis de la législation et
de la réglementation qui influencent
les systèmes de contrôle interne des
entreprises (chapitre 2). Par la suite,
nous présentons les principaux réfé-
rentiels utilisés pour structurer les sys-
tèmes de contrôle interne (chapitre 3).
L’accent sera toutefois mis sur le réfé-
rentiel du COSO, qui constitue la pierre
angulaire de notre approche.
Ensuite, le chapitre 4 porte sur les diffé-
rentes facettes associées aux risques.
L’approche proposée offre au lecteur
les outils nécessaires pour apprécier
l’évaluation des risques faite dans
son entreprise et effectuer sa propre
évaluation au sein de son unité admi-
nistrative. Enfin, le chapitre 5 reprend
les principaux concepts étudiés précé-
demment en les adaptant à d’autres
environnements, comme à ceux des
petites entreprises et des organismes à
but non lucratif. Il traite également des
pratiques d’excellence en matière de
technologies de l’information ainsi que
du lien entre le contrôle interne et les
auditeurs externes.
Après avoir lu les cinq premiers cha-
pitres, l’étudiant sera donc en mesure
de passer à l’application de ses
connaissances et au développement
de ses compétences.
CHAPITRE 1 Fondements
du contrôle interne

À
sa simple évocation, le contrôle interne est généralement
mal perçu. En effet, qui souhaite se voir contrôlé dans
l’exécution de son travail ? Qu’on s’aventure à exercer
un contrôle sur une autre personne, et on obtiendra presque à
coup sûr une réaction du genre : « C’est ça, tu ne me fais pas
confiance ! » Dans la catégorie des mots à forte connotation péjo-
rative, le contrôle occupe sans doute une place de choix. Il suffit
de se mettre à la place de la personne qui subit le contrôle pour en
avoir une perception soudainement négative. De notre côté, tout
au long du présent ouvrage, nous tenterons de redorer le blason
du contrôle en présentant les avantages qui en découlent, tant
pour l’employé qui l’exerce que pour l’organisation à laquelle ce
dernier appartient.
Un contrôle interne bien défini permet d’encadrer le pro-
cessus décisionnel et de faciliter le travail de la personne qui
l’applique. Il s’avère effectivement plus aisé de prendre des déci-
sions conformes aux objectifs d’une entreprise lorsque les balises
sont claires. Par exemple, si un employé doit autoriser la vente
de marchandise à crédit à un client, il lui faut avoir une cer-
taine assurance que celui-ci sera en mesure d’acquitter ses factures
le moment venu. Dans pareil cas, le contrôle exercé sur la limite
de crédit du client peut aider l’employé à prendre des décisions
rapides et efficientes. Il est même possible que ce contrôle lui
procure une certaine latitude, selon le pouvoir de responsabilité
qui lui est octroyé. Cet exemple illustre bien que le contrôle faci-
lite la prise de décisions de l’employé et lui évitent de commettre
des erreurs.
Bien sûr, certaines contraintes accompagnent l’exercice d’un
contrôle. Tout comme dans beaucoup d’autres situations, il n’est
pas possible d’en tirer les avantages sans en subir les inconvé-
nients. Dans notre exemple des ventes à crédit susmentionné, le
contrôle sur la limite de crédit peut occasionner un certain délai
attribuable à l’autorisation par un supérieur d’une tolérance au
dépassement, mais il s’agit du prix à payer pour bénéficier des
avantages d’une réduction des mauvaises créances.
4 Partie 1 Fondements théoriques

1.1 Définition
Dans les chapitres à venir, nous verrons en détail les différents éléments qui composent
le contrôle interne. À ce stade-ci, il est néanmoins souhaitable d’en proposer une défini-
tion sommaire afin de présenter cette notion de façon générale. Dans la documentation,
il existe plusieurs définitions du contrôle interne. Toutes font état des mêmes concepts,
même si elles diffèrent un peu quant à l’amplitude du champ d’action, à la terminologie
utilisée ainsi qu’aux éléments pris en compte. Malgré ces différences, il ressort quelques
éléments communs aux diverses variantes. Selon toutes ces définitions en effet, le contrôle
interne vise notamment à assurer l’accès à de l’information fiable et complète ; à protéger
les actifs de l’entreprise ; à accroître la performance de l’entreprise ; à présenter des rap-
ports financiers conformes aux référentiels d’information financière applicables ; à veiller
au respect des lois et des règlements ; et à contrôler les risques (Lakis et Giriunas, 2012).
Puisque le présent manuel n’a pas pour objectif de faire une analyse critique des
différentes approches relatives au contrôle interne, nous utiliserons la définition suivante
de ce concept, proposée dans le Dictionnaire de la comptabilité et de la gestion nancière
(Ménard et al., 2014) :
Ensemble des moyens conçus et mis en œuvre par les responsables de la gouvernance,
par la direction et par d’autres membres du personnel afin de procurer un certain
niveau d’assurance quant à l’atteinte des objectifs de l’entité en matière de fiabilité de
l’information financière, d’efficacité et d’efficience du fonctionnement et de confor-
mité aux lois et aux règlements applicables.
Cette définition présente deux éléments fondamentaux en matière de contrôle interne,
soit l’atteinte des objectifs et l’assurance raisonnable. De fait, en recourant à certaines
mesures nommées « activités de contrôle », les responsables de la gouvernance cherchent à
maximiser leurs probabilités d’atteindre les objectifs qu’ils se sont fixés. On peut donc en
déduire qu’avant la mise en place d’activités de contrôle, un travail d’élaboration d’objec-
tifs organisationnels s’impose. Selon notre approche, la détermination des objectifs ne fait
pas partie du processus de contrôle interne à proprement parler, mais elle doit absolument
être effectuée au préalable. Toutefois, dans certaines organisations, les objectifs ne sont
pas systématiquement consignés dans des documents, de sorte qu’ils se révèlent parfois
plus implicites qu’explicites. Dans de telles situations, il demeure quand même possible
d’établir des activités de contrôle interne pour assurer la réalisation des objectifs tacites.
En ce qui concerne la notion d’assurance raisonnable, elle fait référence à l’évaluation
des risques qui s’impose au moment d’instaurer des mesures de contrôle interne. Comme
nous le verrons dans un chapitre ultérieur, c’est la probabilité qu’un objectif ne soit pas
atteint qui permet de déterminer le type de contrôle à mettre en place pour réduire ce
risque. Donc, après avoir pris connaissance des objectifs, le gestionnaire doit répertorier
les risques qui y sont associés et concevoir des activités de contrôle pour les atténuer.
De manière générale, l’assurance n’est considérée que comme raisonnable, puisqu’il est
impossible de se prémunir totalement contre les risques potentiels. Par conséquent, on
ne peut avoir de certitude absolue en matière de contrôle interne. La figure 1.1 résume
les trois composantes principales d’un système de contrôle interne.

Trois composantes importantes d’un système


FIGURE 1.1 de contrôle interne

Objectif
+ Risque
= Activité
de contrôle
Chapitre 1 Fondements du contrôle interne 5

1.2 Contrôle externe

Si d’une part il existe un contrôle qualifié d’interne, c’est sans doute que, d’autre
part, il existe également un contrôle considéré comme externe. Les mécanismes de
contrôle externe sont nombreux et parfois fort complexes. Loin de nous l’idée d’en
faire une analyse exhaustive ; nous nous contenterons d’en présenter quelques-uns
afin de comprendre un peu leur influence ainsi que la façon dont ils interagissent
avec le système de contrôle interne d’une entreprise. Il va de soi que les activités de
contrôle externe ne font pas partie du système de contrôle interne, puisque ce der-
nier relève exclusivement des responsables de la gouvernance et des gestionnaires de
l’entreprise.
Toute organisation ayant des comptes à rendre à différentes parties prenantes doit
arrimer ses systèmes pour tenir compte de cette réalité. La figure 1.2 présente quelques
parties prenantes qui exercent un certain contrôle externe sur l’entreprise.

Parties prenantes exerçant un contrôle


FIGURE 1.2 externe sur l’entreprise

Notamment, les clients d’une entreprise peuvent exiger qu’elle possède des accré-
ditations telles que celles de l’Organisation internationale de normalisation (ISO),
qu’elle fabrique des produits selon des protocoles précis ou qu’elle fasse affaire avec cer-
tains fournisseurs en particulier. Par ailleurs, les fournisseurs ont souvent des exigences
quant à la santé financière de l’entreprise, ce qui les amène parfois à en demander les
états financiers pour s’assurer que l’organisation se trouve en mesure de faire face à
ses obligations.
6 Partie 1 Fondements théoriques

De plus, la majorité des entreprises ont besoin de fonds provenant de sources externes
pour pouvoir réaliser leurs stratégies organisationnelles. En conséquence, il leur faut satis-
faire à certaines exigences contractuelles rattachées à ce financement, par exemple respec-
ter certains ratios financiers, l’obligation de produire des états financiers mensuels ou les
restrictions dans le versement de dividendes.
Enfin, les auditeurs1 externes comptent sans doute parmi les parties prenantes les plus
importantes en matière de contrôle. Dans le cadre de leur mission, ils doivent porter un
jugement sur le contrôle interne en place au sein de l’entreprise et émettre une opinion sur
les états financiers de celle-ci. Ils ont donc accès à tous ses documents, de même qu’à l’en-
semble des données qu’ils jugent nécessaires pour mener à bien leur mission. Par ailleurs,
dans le cas des entreprises de grande taille, des agences de notation2 analysent aussi leurs
informations financières en vue d’émettre une cote, laquelle sert ensuite aux investisseurs
et aux bailleurs de fonds quand vient le temps d’analyser les dossiers d’investissement ou
de financement.
En somme, l’entreprise a tout avantage à mettre en place un système de contrôle lui
permettant de répondre aux attentes des parties prenantes qui exercent, directement ou
indirectement, un contrôle externe sur elle ; il s’agit même d’une quasi-obligation. Bien
que les activités de contrôle soient souvent mal vues, surtout lorsqu’elles sont menées par
des sources externes, elles ont très souvent des effets bénéfiques sur les organisations, car
elles contribuent à y induire de saines pratiques de gestion.

1.3 Disciplines connexes


Après avoir brièvement défini le contrôle interne, il importe de bien en situer l’objet et
de tenter de le mettre en perspective par rapport aux disciplines qui lui sont connexes.
Comme nous le verrons, il s’avère toujours difficile de délimiter avec précision un concept
tel que celui du contrôle interne, étant donné ses liens étroits, voire sa complémentarité,
avec d’autres domaines. En l’occurrence, il est néanmoins possible de tracer des contours
suffisamment précis pour expliquer en quoi consiste le contrôle interne, ainsi que ce qui
en est exclu. À noter cependant que, comme nous adoptons le point de vue du gestion-
naire, il n’est pas essentiel de nous attarder à toutes les zones grises qui existent entre les
disciplines connexes répertoriées ; un portrait général des interrelations pertinentes suffira
pour bien illustrer notre propos. En outre, les notions théoriques associées aux éléments
qui nous paraissent les plus importants se verront toutes étayées par des exemples.
Comme le montre la figure 1.3, cinq disciplines se rattachent de près au contrôle
interne, soit la gouvernance, le contrôle de gestion, le contrôle de la qualité, la gestion
des risques et la comptabilité. Les endroits où se chevauchent ces six disciplines illustrent
bien les zones grises possibles. Cependant, notre étude se limitera aux liens directs entre
le contrôle interne et chacune des cinq autres disciplines prises individuellement. Le
choix du triangle comme figure pour représenter les cinq disciplines connexes permet
de montrer qu’elles se rejoignent toutes quelque part et qu’elles sont reliées les unes aux
autres. Bien que ces relations soient dignes d’intérêt, elles ne seront pas analysées de façon
particulière dans le présent manuel.

1.3.1 Gouvernance
Depuis plusieurs années, la gouvernance constitue un sujet à la mode utilisé à bien des
sauces. Parfois synonyme de transparence, d’autres fois de saine gestion ou de direc-
tion d’entreprise, la gouvernance peut même forger une façade permettant de légitimer
des décisions sans avoir à les justifier, en partant du principe qu’une décision donnée
« vient du conseil d’administration (CA), qui siège à huis clos ».

1. C’est aussi le cas pour les entreprises dont les états financiers sont accompagnés d’un rapport de mission
d’examen rédigé par un professionnel en exercice.
2. Les agences Moody’s et Standard and Poor’s en sont des exemples.
Chapitre 1 Fondements du contrôle interne 7

FIGURE 1.3 Cinq disciplines connexes au contrôle interne

Selon l’Institut sur la gouvernance d’organisations privées et publiques (IGOPP,


2014), la gouvernance constitue une architecture de pouvoir au sein d’une organisation,
qui vise à en assurer le bon fonctionnement :
La gouvernance, dans sa forme fiduciaire, consiste à mettre en œuvre tous les moyens
pour qu’un organisme puisse réaliser les fins pour lesquelles il a été créé, et ce de
façon transparente, efficiente et respectueuse des attentes de ses parties prenantes.
La gouvernance est donc faite de règles d’imputabilité et de principes de fonc-
tionnement mis en place par le conseil d’administration pour arrêter les orientations
stratégiques de l’organisation, assurer la supervision de la direction, en apprécier la
performance économique et sociale et favoriser l’émergence de valeurs de probité
et d’excellence au sein de l’organisation. La mise en place d’une telle gouvernance
fiduciaire représente un progrès certain dans la plupart des domaines d’activités.
Pour exercer une gouvernance, il faut donc structurer l’organisation de manière à ce
qu’elle réalise ses objectifs dans le meilleur intérêt des principales parties prenantes. Les
responsables de la gouvernance ne s’occupent pas de la gestion quotidienne des activités,
mais ils veillent à ce que l’équipe de direction mette en place les structures nécessaires
pour atteindre les objectifs de l’entreprise et assurer sa pérennité. Or, le contrôle interne
compte parmi ces structures.
Au sein d’une entreprise, la gouvernance est généralement confiée à un CA ou à
un comité de gestion dont la composition varie d’une entité à l’autre. D’après certaines
estimations, seule une faible proportion (soit moins de 10 %) de petites et moyennes
entreprises (PME), souvent familiales ou à propriétaire unique, dispose d’un CA
(IGOPP, 2008). Le rôle normalement joué par celui-ci peut alors être assumé par le
8 Partie 1 Fondements théoriques

propriétaire de l’entreprise ou par un comité de gestion composé de membres de la direc-


tion, et parfois de membres externes.
Il s’avère qu’une gouvernance assurée par des personnes indépendantes et compé-
tentes n’appartenant pas à l’entreprise contribue grandement à l’amélioration de la prise
de décisions et au suivi des choix stratégiques. La transparence nécessite une certaine indé-
pendance pour pouvoir s’exprimer. En ce qui concerne les entreprises cotées en Bourse,
il existe des règles précises relativement à la composition des comités d’audit issus du
CA. Par exemple, la Loi sur les valeurs mobilières du Québec3 exige que les membres
du comité d’audit d’une société ouverte soient indépendants et possèdent des connais-
sances financières. En ce qui a trait aux entreprises non cotées, ce sont leurs actionnaires
qui décident de la pertinence de disposer d’un comité d’audit ainsi que de sa composition,
le cas échéant.
Le contrôle interne constitue un outil indispensable que les responsables de la gouver-
nance, par l’entremise des gestionnaires de l’organisation, utilisent pour mener à bien leur
rôle de fiduciaire. Voilà donc le lien qui existe entre la gouvernance et le contrôle interne.

1.3.2 Contrôle de gestion


Le contrôle de gestion est un autre mécanisme que les responsables de la gouvernance et
les gestionnaires utilisent pour remplir de façon efficace et efficiente leurs fonctions. Le
Dictionnaire de la comptabilité et de la gestion nancière (Ménard et al., 2014) définit le
contrôle de gestion de la façon suivante :
Ensemble des techniques et des moyens mis en œuvre dans une entreprise ou un
organisme qui concourent à la réalisation effective et efficiente des objectifs fixés. Ces
techniques et moyens permettent à la fois de s’assurer que les actions qui devaient
être entreprises l’ont été, de suivre la réalisation d’une politique et de mesurer le
rendement économique de l’entité.
On entend aussi par contrôle de gestion l’ensemble des dispositions prises pour
fournir, aux dirigeants et aux divers responsables, des données chiffrées périodiques
caractérisant la marche de l’entité. La comparaison avec des données passées ou pré-
vues peut, le cas échéant, inciter les dirigeants à déclencher rapidement les mesures
correctives appropriées.
À l’instar du contrôle interne, le contrôle de gestion englobe les notions de contrôle et
de réalisation des objectifs d’entreprise. La similitude s’arrête cependant là, puisque le
contrôle de gestion porte davantage sur les mesures à mettre de l’avant pour améliorer la
performance d’une organisation à l’aide de comparaisons avec des données externes ou
des cibles de performance que l’entreprise s’est fixées. Le contrôle budgétaire, les analyses
d’écarts et les tableaux de bord équilibrés appartiennent entre autres à cette discipline.
Comme nous le verrons dans le prochain chapitre, nous nous éloignons ici des activités de
contrôle interne qui visent à s’assurer que les prix de vente soient exacts, qu’on paie seule-
ment pour la marchandise reçue et en bon état, que les états financiers soient conformes
au référentiel d’information financière acceptable ou qu’on respecte la Loi sur la taxe de
vente du Québec.

1.3.3 Contrôle de la qualité


Toujours dans l’esprit de l’élaboration sommaire des disciplines connexes au contrôle
interne, nous utiliserons la définition simple du contrôle de la qualité proposée dans le
Dictionnaire de la comptabilité et de la gestion nancière (Ménard et al., 2014), où on
le décrit comme étant « [la] procédure mise en œuvre afin de vérifier la conformité d’un
produit ou d’un service à des normes de qualité déterminées ». C’est donc la conformité
de produits ou de services à des normes préalablement définies qui alimente le système de
contrôle de la qualité. Il est ici question, notamment, de systèmes de contrôle de la qualité

3. Plus précisément, le règlement 52-110 sur le comité d’audit de la Loi sur les valeurs mobilières, dont la
plus récente modification est en vigueur depuis le 1er janvier 2011.
Chapitre 1 Fondements du contrôle interne 9

de type ISO4 ou autre, que les entreprises mettent en place afin de veiller à la qualité de
leurs produits et parfois pour répondre aux exigences de certains clients ou partenaires.
De prime abord, on peut se demander où se situe la différence entre le contrôle interne
et le contrôle de la qualité, mais il semble que la frontière entre les deux soit assez bien
définie pour éviter toute confusion.
Dans les deux cas, on se trouve en présence d’activités de contrôle qui visent à assu-
rer une conformité à certains critères, normes, lois ou règlements. Cependant, comme
nous le verrons au chapitre 3, l’un des objectifs du contrôle interne consiste à veiller à la
conformité aux lois et aux règlements. Or, le contrôle de la qualité s’applique plutôt à des
normes et à des critères internes en matière de qualité, ou encore à des exigences externes.
De plus, il se rapporte généralement à l’aspect technique des produits. Par exemple, une
entreprise qui fabrique des composantes de moteurs automobiles doit se conformer aux
exigences du client qui lui octroie le contrat.
Dans certaines situations toutefois, une zone grise peut apparaître entre le contrôle
interne et le contrôle de la qualité. Ce serait par exemple le cas si on devait fabriquer une
pièce d’avion qui ferait l’objet d’une loi quelconque. On se trouverait alors à la fois en
présence d’un contrôle de la qualité selon les normes en place et d’un contrôle interne
axé sur le respect des lois et des règlements en vigueur. En l’occurrence, on considérerait
cependant qu’il est question de contrôle de la qualité plutôt que de contrôle interne.

1.3.4 Gestion des risques


Le lien entre le contrôle interne et la gestion des risques sera élaboré en détail au chapitre 4,
mais nous pouvons tout de même en présenter les grandes lignes ici. Le Dictionnaire de la
comptabilité et de la gestion nancière (Ménard et al., 2014) définit la gestion des risques
ainsi :
Activité de gestion qui consiste à recenser les risques auxquels l’entité est exposée, à
en évaluer les conséquences financières, puis à définir et à mettre en place les mesures
préventives appropriées (diversification, opérations de couverture, assurances, pro-
cédures de contrôle, etc.) en vue de supprimer ou d’atténuer les conséquences finan-
cières des risques courus, tels que défaillance de fournisseurs, insolvabilité de clients,
incendie, accident, fluctuation des taux d’intérêt, variation des cours de change, in-
flation, dépréciation, perte ou destruction de biens, avarie ou utilisation frauduleuse
d’un système informatisé.
Les points communs entre les deux disciplines en question résident dans la conception et
la mise en place d’activités de contrôle visant à prévenir les risques. Notons que ces deux
domaines sont si étroitement liés que certains considèrent le contrôle interne comme une
sous-discipline de la gestion des risques, et d’autres, l’inverse. Quelques-uns vont jusqu’à
prôner leur intégration en une seule discipline : le contrôle des risques (Leitch, 2008).
Cependant, cette proposition se rapporte principalement aux grandes entreprises, les-
quelles disposent parfois d’un service de gestion des risques distinct de celui du contrôle
interne. Dans les PME, la fonction de gestion des risques relève souvent du contrôleur ;
elle se confond donc déjà avec celle du contrôle interne.
Quelles que soient les nuances apportées, il faut surtout retenir qu’au moment de
l’élaboration d’un système de contrôle interne, on doit nécessairement tenir compte des
risques auxquels l’entreprise est exposée. La recension et l’analyse de ces risques s’avèrent
alors impératives.

1.3.5 Comptabilité
En ce qui concerne la comptabilité, nous discutons de cette discipline connexe en der-
nier, même si c’est probablement celle qui vient à l’esprit en premier lorsqu’on pense au
contrôle interne. La comptabilité et le contrôle interne sont tellement imbriqués l’un

4. L’Organisation internationale de normalisation, ou l’ISO, existe depuis 1947 et est mondialement


connue. Son site Web en français se trouve à l’adresse www.iso.org/iso/fr.
10 Partie 1 Fondements théoriques

dans l’autre qu’on a parfois de la difficulté à les distinguer. D’ailleurs, dans plusieurs
entreprises, la personne responsable de la comptabilité porte le nom de contrôleur et elle
a souvent aussi pour tâches l’élaboration et le suivi du contrôle interne. Cette réalité ainsi
que le rôle joué par les auditeurs externes en matière de contrôle interne font en sorte que
les entreprises mettent souvent l’accent sur des objectifs de qualité de l’information finan-
cière, au détriment de leurs objectifs opérationnels et de conformité.
Pour bien situer le point où le contrôle interne et la comptabilité se rencontrent, voici
la définition que le Dictionnaire de la comptabilité et de la gestion nancière (Ménard et al.,
2014) donne de cette dernière :
Système d’information permettant de rassembler et de communiquer des informa-
tions à caractère essentiellement financier, le plus souvent chiffrées en unités mo-
nétaires, concernant l’activité économique des entreprises et des organismes. Ces
informations sont destinées à aider les personnes intéressées à prendre des décisions
économiques, notamment en matière de répartition des ressources. La comptabilité
recense les événements et opérations caractérisant l’activité économique d’une entité
et, par des procédures d’évaluation, de classification et de synthèse, transforme ces
données brutes en un nombre relativement restreint de renseignements intimement
liés et hautement significatifs. Lorsque rassemblés et présentés adéquatement, ces
renseignements décrivent la situation financière de l’entité, ses résultats d’exploita-
tion ou de fonctionnement et ses flux de trésorerie.
De la lecture de cette définition, il ressort que le contrôle interne peut se révéler un outil
efficace pour permettre au service de la comptabilité d’une entreprise de remplir ses fonc-
tions de collecte, de traitement et d’agrégation des données comptables visant à dresser les
états financiers qui serviront à la prise de décisions internes et externes. Parmi les activités
de contrôle qui contribuent à la production d’informations financières fiables figurent les
comparaisons entre les quantités reçues et celles facturées, les inventaires périodiques,
les rapprochements bancaires, etc.

1.4 Coordination des activités


La présentation sommaire des disciplines connexes au contrôle interne a permis de consta-
ter que certains recoupements potentiels risquent de devenir des zones grises si on ne les
gère pas correctement. Cependant, il ne s’agit pas d’un problème en soi, car ce genre de
situation survient toujours au sein des entreprises, qu’on pense par exemple au chevauche-
ment des responsabilités d’une directrice des ressources humaines et d’une directrice des
ventes dans le cas de l’embauche d’un vendeur, ou de celles d’un directeur de production
et d’un responsable de l’entretien dans le cas d’un problème de fabrication. Intrinsèques
à l’exploitation de toutes les organisations, ces empiètements s’avèrent même nécessaires
au bon déroulement de leurs activités.
Il faut toutefois éviter qu’une fonction importante qui se situe dans une zone grise
finisse par échapper à tout contrôle, ce qui risque de se produire si chacun a l’impression
qu’une autre personne en assume la responsabilité. Par exemple, dans la situation décrite
précédemment à la section sur le contrôle de la qualité, il serait sans doute plus domma-
geable de n’exercer aucun contrôle sur la qualité d’une pièce d’avion faisant l’objet
d’une loi ou d’un règlement, que de le faire en double, soit par les services du contrôle
de la qualité et du contrôle interne. En cas de chevauchement, on se trouverait certes en
présence d’inefficience, mais non d’inefficacité. Autrement dit, l’entreprise consacrerait
alors trop d’énergie à l’atteinte du but visé, mais au moins elle l’atteindrait.
Pour éviter ce genre de situation, les responsables de la gouvernance doivent faire
en sorte que l’analyse des processus soit suffisante pour s’assurer de réaliser les objectifs
fixés au meilleur coût possible, tout en prêtant une attention particulière aux zones grises
susceptibles de poser problème. En définitive, qu’on décide de confier le contrôle à un
service ou à un autre, cela importe peu ; ce qui compte, c’est de ne pas l’échapper.
CHAPITRE 2 Législation, réglementation
et référentiels

B
ien que, dans un premier temps, l’outil que constitue le
contrôle interne vise à améliorer le déroulement des activi-
tés au sein d’une organisation, il comporte également une
dimension légale ou quasi légale pour les entreprises qui publient
des états financiers à l’intention d’utilisateurs externes. Comme
le montre la figure 2.1, ces entreprises se divisent en deux grandes
catégories, soit celle des sociétés ouvertes (cotées en Bourse) et
celle des sociétés fermées (non cotées en Bourse).
La réglementation relative au contrôle interne se rapporte
presque exclusivement aux sociétés ouvertes, même si elle touche
tout de même les autres organisations dans une certaine mesure.
Une grande partie du chapitre en cours traite donc des entreprises
cotées en Bourse et de leurs obligations en matière de contrôle
interne. Outre la législation canadienne, nous présenterons, à titre
comparatif, les lois et les règlements en vigueur en France et aux
États-Unis. Nous aborderons aussi d’autres sujets directement ou
indirectement liés à la réglementation en matière de contrôle in-
terne et qui ont une incidence sur celui-ci, notamment le rapport
de gestion et le reporting intégré.
Si le présent ouvrage s’adresse surtout aux gestionnaires ac-
tuels et futurs susceptibles d’exercer une quelconque forme de
contrôle interne dans le cadre de leurs fonctions, et non à des
spécialistes, nous considérons néanmoins comme impor tant
de leur offrir une vue d’ensemble des lois et des règlements

Entreprises assujetties
FIGURE 2.1 à la réglementation

* CPA Canada : Comptables professionnels agréés du Canada


12 Partie 1 Fondements théoriques

qui encadrent le contrôle interne au sein des sociétés ouvertes. Voilà pourquoi nous
proposons ici un simple survol de cette réglementation en n’en présentant que les
grandes lignes, et non une description légale poussée. À la fin du chapitre, le lecteur
devrait avoir acquis le savoir nécessaire pour se situer dans cet univers, sans pour
autant posséder une connaissance approfondie des tenants et des aboutissants dans
ce domaine.

Manuel de CPA Canada


Les entreprises canadiennes qui publient des états financiers accompagnés d’un rapport
d’audit doivent respecter les normes établies par le Conseil des normes comptables1
et sont soumises, allusivement, à certaines exigences du Conseil des normes d’audit et
de certification2. Bien que ces normes sortent du cadre du présent manuel, celles qui
touchent au rapport d’audit s’avèrent tout de même ici pertinentes. En effet, dans le deu-
xième paragraphe du rapport d’audit, on trouve la mention suivante (Conseil des normes
d’audit et de certification, 2015) :
La direction est responsable de la préparation et de la présentation fidèle de ces états
financiers conformément au référentiel d’information financière applicable (RIFA),
ainsi que du contrôle interne qu’elle considère comme nécessaire pour permettre la
préparation d’états financiers exempts d’anomalies significatives, que celles-ci ré-
sultent de fraudes ou d’erreurs.
Selon ce paragraphe, il incombe à l’entreprise de mettre en place des activités de contrôle
interne suffisantes pour permettre la production d’états financiers exempts d’anomalies
ou de fraudes significatives. La présence et le fonctionnement efficace d’un processus
de contrôle interne revêtent donc un caractère pratiquement légal pour les sociétés qui
publient des états financiers accompagnés d’un rapport d’audit.
Comme nous le verrons au chapitre 3, où le cube COSO (Committee of Sponsoring
Organizations of the Treadway Commission) sera notamment expliqué en détail, un système
de contrôle interne se veut axé sur des objectifs appartenant à trois catégories distinctes, selon
qu’ils sont liés aux opérations de l’entreprise, à la fiabilité de l’information financière ou à
la conformité aux lois et aux règlements (voir la gure 2.2). Pour répondre aux impératifs
de la catégorie rattachée à l’information financière, l’entreprise met en place des activités de
contrôle qui lui permettent ultimement de dresser des états financiers conformes aux normes
en vigueur et exempts d’anomalies significatives. Par contre, les mesures de contrôle associées

FIGURE 2.2 Catégories d’objectifs selon le COSO

1. Pour obtenir de plus amples renseignements au sujet de ce conseil, il est possible de consulter son site
Web à l’adresse www.nifccanada.ca/conseil-des-normes-comptables/index.aspx.
2. Pour obtenir de plus amples renseignements au sujet de ce conseil, il est possible de consulter son site
Web à l’adresse www.nifccanada.ca/conseil-des-normes-daudit-et-decertification/index.aspx.
Chapitre 2 Législation, réglementation et référentiels 13

aux deux autres catégories ne contribuent que de façon indirecte à la qualité de l’informa­
tion financière.
En somme, la publication des états financiers externes fait l’objet d’une normalisation
qui conditionne en partie le système de contrôle interne de l’entreprise. Toutefois, celle­ci
met également en place des activités de contrôle interne qui ne visent pas strictement
à assurer la qualité de l’information financière. Il s’avère notamment possible de fixer
des objectifs directement liés aux états financiers (avoir un solde des débiteurs fiable,
par exemple) et d’implanter des mesures de contrôle (analyser la liste chronologique des
débiteurs et effectuer des recherches sur les anomalies relevées, par exemple) en vue de
réduire le plus possible les risques de non­réalisation de ces objectifs (ne pas être payé par
un client, par exemple).

Relation tripartite
En vertu des lois et des règlements qui régissent les valeurs mobilières, l’audit des états
financiers est soumis à une relation tripartite entre le gestionnaire, l’auditeur externe et
l’utilisateur des états financiers. La figure 2.3 présente les interactions entre ces différents
intervenants.
D’abord, la responsabilité de dresser les états financiers dont se servira l’investisseur
pour prendre des décisions relatives à l’allocation des ressources revient au gestionnaire.
Afin de réduire le risque que celui­ci produise des états financiers contenant des anoma­
lies significatives qui pourraient induire l’utilisateur en erreur, l’entreprise fait appel à un
auditeur externe. Ce dernier a pour mission d’obtenir une assurance raisonnable que les
états financiers respectent le référentiel comptable applicable dans les circonstances et
qu’ils ne contiennent pas d’anomalies significatives. Enfin, c’est l’entreprise qui embauche
l’auditeur et qui le rémunère.

FIGURE 2.3 Relation tripartite en audit

Source : Adapté de CPA Canada. (2014). Guide du praticien canadien. Toronto, Ontario : CPA Canada.

On voit ici le potentiel de conflit d’intérêts inhérent à une telle relation tripartite.
En effet, l’entreprise paie les services d’un auditeur externe qui travaille principalement
pour défendre les intérêts d’un utilisateur externe qu’il ne connaît pas nécessairement et
avec lequel il n’a aucun lien contractuel formel. Il n’est donc pas surprenant de retrou­
ver dans toutes les législations des règles servant à encadrer l’indépendance de l’audi­
teur externe.
14 Partie 1 Fondements théoriques

2.1 Réglementation en matière de contrôle interne


En plus de mettre en place des systèmes de contrôle interne et d’en assurer le fonction-
nement efficace, les sociétés ouvertes doivent produire pour les utilisateurs externes
de leurs états financiers un rapport sur ce contrôle interne. Plusieurs pays ont d’ail-
leurs légiféré en la matière. Nous présenterons ici la réglementation qui régit l’élabo-
ration des rapports sur le contrôle interne au Canada (Autorité des marchés financiers
[AMF]), aux États-Unis (loi Sarbanes-Oxley [SOX]), puis en France (Loi de sécurité
financière [LSF]). Inspiré de la méthode proposée par Sourour Hazami Ammar (2013),
le tableau 2.1 présente une comparaison entre les lois et les règlements de ces trois pays
selon cinq éléments différents.
À quelques nuances près, on peut constater que, de façon générale, ces législations
ciblent les sociétés cotées en Bourse, exigent la signature des rapports par un membre de
leur conseil d’administration (CA) et obligent les entreprises à utiliser un cadre de réfé-
rence (référentiel), sans toutefois leur en imposer un en particulier.

TABLEAU 2.1 Lois et règlements régissant l’élaboration de rapports sur le contrôle


interne par les entreprises cotées en Bourse
AMF SOX LSF

Pays Canada États-Unis France

Champ d’application Émetteurs assujettis (sauf Sociétés ouvertes uniquement Sociétés ouvertes uniquement
fonds d’investissement)

Périmètre relatif Établissement et maintien du DCP*** et contrôle interne sur Conditions de préparation et
au contrôle interne CIIF* et des CPCI** l’information nancière d’organisation des travaux du
Conseil ainsi que des procé-
dures de contrôle interne et
de gestion des risques mises
en place par la société

Référentiel Utilisation d’un cadre de Utilisation obligatoire d’un ré- Utilisation non obligatoire
de contrôle interne contrôle interne férentiel reconnu ; mention du d’un référentiel reconnu
COSO par la Securities and
Exchange Commission

Émetteur du rapport Membre du CA Chef de la direction ou direc- Président du CA


teur nancier

Nature du rapport Rapport portant sur le CIIF et Rapport joint au rapport de Rapport joint au rapport
les CPCI gestion contenant une des- de gestion rendant compte
cription et une évaluation du des procédures de contrôle
contrôle interne interne

* CIIF : Contrôle interne à l’égard de l’information nancière


** CPCI : Contrôles et procédures de communication de l’information
*** DCP : Disclosure controls and procedures (contrôles et procédures relatifs à l’élaboration de toute l’information publiée)
Source : Adapté de Ammar, S. H. (2013). Le rapport portant sur les éléments du contrôle interne : aller au-delà du reporting réglementaire et analyser les
discours. La Revue Gestion et Organisation, 5(1), p. 88-95.

2.1.1 Au Canada
Au Canada, la responsabilité de la réglementation relative aux marchés des capitaux ainsi
que de la surveillance des entreprises cotées en Bourse revient aux provinces et aux ter-
ritoires. Comme l’indique le site Web de l’Autorité canadienne en valeurs mobilières
(ACVM, 2009), elle est elle-même le fruit d’une alliance entre ces provinces et territoires :
La réglementation du commerce des valeurs mobilières relève des dix provinces et des
trois territoires du Canada. Les autorités des provinces et territoires se sont associées
Chapitre 2 Législation, réglementation et référentiels 15

pour former les Autorités canadiennes en valeurs mobilières, ou ACVM, dont la


tâche première consiste à instaurer un processus harmonisé de réglementation des
valeurs mobilières dans l’ensemble du pays.
Même si chaque province et territoire dispose du pouvoir d’édicter ses propres lois et
règlements, il existe une grande homogénéité en matière de réglementation du contrôle
interne au pays. En effet, les normes relatives au contrôle interne ne diffèrent pas vraiment
d’une province ou d’un territoire à l’autre. Pour notre part, nous utiliserons le cadre de
l’AMF du Québec en guise de référence. En ce qui concerne les entreprises cotées en
Bourse, c’est le règlement 52-109 sur l’attestation de l’information présentée dans les
documents annuels et intermédiaires des émetteurs (règlement 52-109, 2011) qui dicte
les obligations en matière de contrôle interne :
Le Règlement 52-109 sur l’attestation de l’information présentée dans les docu-
ments annuels et intermédiaires des émetteurs (le « règlement ») énonce des obliga-
tions d’information et de dépôt visant tous les émetteurs assujettis, à l’exception des
fonds d’investissement. Ces obligations visent à améliorer la qualité, la fiabilité et
la transparence des documents annuels, des documents intermédiaires et des autres
documents que les émetteurs déposent ou transmettent en vertu de la législation sur
les valeurs mobilières.
Le règlement 52-109 contient un certain nombre d’éléments que nous présenterons dans
les paragraphes qui suivent. Nous traiterons plus précisément des définitions propres à
ce règlement en particulier, notamment des concepts de contrôle interne à l’égard de
l’information financière (CIIF) et de contrôles et procédures de communication de l’in-
formation (CPCI) élaborés par l’ACVM. La première notion fait référence au système
de contrôle interne au sein de l’entreprise, tandis que la seconde porte sur les activités de
contrôle à mettre en place pour assurer la fidélité de l’information communiquée à l’AMF.

Contrôle interne à l’égard de l’information financière


Comme l’indique le règlement 52-109, le CIIF constitue un sous-ensemble d’activités
de contrôle interne rattachées à l’information financière. Il porte principalement sur les
mesures de contrôle visant la préparation des états financiers ainsi que sur celles qui
se rapportent à l’autorisation des transactions et à la protection des actifs. Toutefois, il
ne touche que très marginalement les deux autres catégories d’objectifs qu’on retrouve
dans le cube COSO, soit ceux liés aux opérations de l’entreprise et à la conformité aux
lois et aux règlements (voir la gure 2.2 à la page 12). Pour répondre aux exigences du
règlement 52-109, l’entreprise pourrait donc se contenter d’implanter des activités de
contrôle interne axées sur la production d’information financière de qualité, sans tenir
compte des objectifs opérationnels et de conformité pourtant cruciaux pour assurer le
bon fonctionnement de l’entreprise. S’il s’avère quelque peu décevant de constater que
l’AMF limite ses exigences en matière de contrôle interne, on doit néanmoins garder à
l’esprit que cette organisation a pour principal but d’accroître la fiabilité de l’information
financière produite par les entreprises cotées en Bourse afin de protéger les investisseurs.
Par ailleurs, même si l’AMF ne prescrit aucun cadre de référence en particulier pour le
CIIF, elle stipule que l’entreprise doit utiliser un référentiel reconnu pour s’acquitter de ses
responsabilités en la matière (voir le tableau 2.1). Or, l’approche proposée au chapitre 3
est basée sur le COSO et elle va dans le sens des directives de l’AMF.

Contrôles et procédures de communication de l’information


Pour leur part, les CPCI sont conçus dans le but de fournir l’assurance raisonnable que
l’information que doit présenter l’entreprise dans ses documents à transmettre en vertu de
la réglementation de l’AMF est enregistrée, traitée, condensée et présentée correctement
ainsi que dans les délais prescrits (règlement 52-109, 2011).
16 Partie 1 Fondements théoriques

Il existe plusieurs points de convergence entre le CIIF et les CPCI propres à l’AMF3,
puisque les états financiers font partie des documents exigés par celle-ci. Comme le
montre la figure 2.4, on peut considérer le CIIF comme faisant partie des CPCI. Chacun
de ces types de contrôle comprend des activités distinctes, mais plusieurs de ces mesures
se chevauchent. Toutefois, l’utilisation d’un cadre théorique n’est exigée que dans le cas
du CIIF.

Points de convergence et de divergence


FIGURE 2.4 entre le CIIF et les CPCI

Attestations relatives aux CPCI et au CIIF


Selon le règlement 52-109, toute attestation relative aux CPCI et au CIIF doit être signée
par le chef de la direction et le chef des finances de l’entreprise, prendre la forme pres-
crite par l’AMF et comprendre :
• une attestation du contenu qui porte sur la présentation des états financiers ;
• une attestation de la conception des contrôles qui porte sur l’élaboration des
CPCI et du CIIF ;
• une attestation de l’efficacité des contrôles qui porte sur le fonctionnement effi-
cace des CPCI et du CIIF ;
• une mention des faiblesses importantes des contrôles en place, le cas échéant.
Pour satisfaire aux exigences de l’AMF, l’entreprise doit implanter un système
comportant les cinq principaux éléments reconnus du processus de soutien de l’attesta-
tion des CPCI et du CIIF, comme le montre la figure 2.5. Comme son nom l’indique, il
s’agit d’un processus qui devrait être intégré aux autres mécanismes de contrôle interne
de l’entreprise.
En effet, le gestionnaire d’une entreprise cotée en Bourse ne doit pas perdre de vue
qu’il lui faut élaborer son système de contrôle interne en s’assurant de respecter les exi-
gences en matière de CPCI et de CIIF. Il pourrait en outre s’avérer judicieux d’ajouter une
colonne à sa matrice des objectifs, des risques et des contrôles (dont il sera notamment
question au chapitre 3) afin d’y inclure les activités rattachées aux CPCI et au CIIF. Cela
facilitera l’évaluation des processus prescrits par le règlement 52-109.

3. À notre connaissance, les notions de CIIF et de CPCI ne figurent que dans la réglementation de l’AMF.
Chapitre 2 Législation, réglementation et référentiels 17

FIGURE 2.5 Cinq éléments du processus de soutien de l’attestation

Source : Goodfellow, J. L. et Willis, A. D. (2014). Recommandations à l’intention des administrateurs. Communication de


l’information et attestation : quels sont les enjeux? Toronto, Ontario : CPA Canada, p. 9.

2.1.2 Aux États-Unis


En ce qui a trait à la réglementation en matière de contrôle interne, les États-Unis
ont sans doute servi de modèle aux autres pays. Il est probable que les importants
scandales financiers qui ont touché son économie et ébranlé son système financier y
soient pour quelque chose. À la suite de l’affaire Enron et de la disparition du cabinet
d’experts-comptables Arthur Andersen, le Congrès américain a formé, sur l’initiative
du sénateur Paul Sarbanes et du député Mike Oxley, une commission pour analyser la
situation de la fiabilité de l’information financière ainsi que de sa divulgation aux inves-
tisseurs et autres parties prenantes. De cette démarche est née la loi états-unienne 107-
204, mieux connue sous le nom de « loi Sarbanes-Oxley » ou « loi SOX ». Cette loi vise
principalement à accroître la responsabilité des entreprises ; à rendre la communication
de l’information financière plus fiable ; et à lutter contre les comportements déviants et
frauduleux des entreprises.

Loi Sarbanes-Oxley
Comme le montre le tableau 2.2 (voir la page suivante), la loi SOX se divise en
11 sections rattachées à diverses dimensions de la gouvernance des entreprises cotées
en Bourse. Par exemple, la section I porte sur les responsabilités de l’exercice en
matière de surveillance du système financier ; la section II, sur l’indépendance des
auditeurs externes ; et la section IX, sur les sanctions contre les fraudeurs « à cravate ».
De manière générale, la loi SOX vise à accroître la confiance des investisseurs à l’égard
du marché financier des États-Unis.
Pour y arriver, elle tente d’encadrer les comportements des différents intervenants du
milieu financier, qu’il s’agisse des administrateurs qui gouvernent les sociétés ouvertes, des
analystes financiers qui conseillent les investisseurs ou des auditeurs externes qui donnent
de la crédibilité aux états financiers publiés par les entreprises. L’indépendance des inter-
venants constitue la clé de voûte de la loi SOX. Cette dernière prescrit en effet la mise
en place de balises suffisantes pour veiller à ce que tout administrateur, analyste financier
et auditeur externe puisse être libre d’agir dans l’intérêt des utilisateurs externes des états
financiers, même s’il reçoit sa rémunération de l’entreprise auditée.
Bien que toutes les relations entre l’entreprise et les différents intervenants finan-
ciers revêtent de l’importance, celle qu’elle entretient avec son auditeur externe se
veut particulièrement cruciale pour le gestionnaire. De fait, en plus de jouer un rôle
primordial pour accroître la crédibilité de l’information financière produite par la
18 Partie 1 Fondements théoriques

TABLEAU 2.2 Sections de la loi SOX


Section Objet
I Organisme de réglementation états-unien en matière d’audit (nommé
Public Company Accounting Oversight Board)
II Indépendance de l’auditeur
III Responsabilité des entreprises
IV Amélioration de la divulgation de l’information nancière
V Conits d’intérêts des analystes nanciers
VI Pouvoirs et ressources de la Commission
VII Études et rapports
VIII Responsabilité criminelle en cas de fraude
IX Augmentation de la sévérité des peines en cas de criminalité économique
X Déclarations de revenus des sociétés
XI Responsabilité des entreprises en matière de fraude
Source : Public Law 107–204. (2002). Repéré au www.sec.gov/about/laws/soa2002.pdf.

société, l’auditeur externe doit également attester l’efficacité du système de contrôle


interne qu’elle a implanté. Par conséquent, les interrelations qui existent entre ces
trois parties (entreprise, auditeurs et utilisateurs) présentent un grand intérêt auquel
il convient de s’attarder.

Indépendance de l’auditeur externe


La loi SOX comprend différentes dispositions destinées à accroître l’indépendance de
l’auditeur externe et à protéger les intérêts de l’utilisateur des états financiers. Par exemple,
elle restreint les services connexes que peut offrir l’auditeur à l’entreprise (article 201) ; elle
impose une rotation de l’associé responsable de chaque mission à une fréquence détermi-
née (article 203) ; et elle prescrit l’instauration d’un processus de communication directe
entre le comité d’audit de la société et l’auditeur externe (article 204).

Section IV et contrôle interne


Bien que la loi SOX contribue dans son ensemble à accroître la confiance des investisseurs
à l’égard de la divulgation de l’information financière par les entreprises, c’est la section IV
qui traite plus particulièrement de cette question en la matière. Plus précisément encore,
l’article 404 porte sur l’évaluation du contrôle interne par les administrateurs de l’entre-
prise. Aux États-Unis, depuis la promulgation de cette loi, toute entreprise est tenue de
produire un rapport sur le contrôle interne contenant :
• une déclaration de la direction, dans laquelle elle reconnaît sa responsabilité dans
l’élaboration et le maintien d’un système de contrôle interne assurant la fiabilité
de l’information financière qu’elle publie ;
• une évaluation de l’efficacité du système de contrôle interne mis en place pour
assurer la fiabilité de l’information financière.
Ce rapport doit faire l’objet d’une attestation de l’auditeur externe également respon-
sable de l’audit des états financiers de l’entreprise. Dans le rapport, la première déclaration
vise à sensibiliser l’administrateur à l’importance du contrôle interne pour assurer une
qualité et une fiabilité de l’information financière. En effet, avant la mise en application
de la loi SOX, les entreprises états-uniennes accordaient moins d’importance au contrôle
interne, et son lien avec la qualité de l’information financière n’était pas explicitement
énoncé.
D’après les conclusions de l’étude de Wang (2013) qui portent sur les corrections
apportées à l’information financière déjà publiées, il existerait un lien entre le contrôle
Chapitre 2 Législation, réglementation et référentiels 19

interne et les modifications effectuées rétroactivement par les entreprises dans leurs
états financiers. Selon ces résultats, les entreprises dont le système de contrôle interne
comporterait des faiblesses restreintes à un compte du grand livre en particulier (et qui
disposeraient donc d’un meilleur contrôle interne) auraient des corrections ultérieures
moins importantes à apporter que les sociétés dont les faiblesses seraient davantage géné-
ralisées. Ainsi, cette étude tend à donner raison aux autorités de réglementation ayant
entre autres misé sur le contrôle interne pour assurer la fiabilité de l’information finan-
cière. Toutefois, même un bon système de contrôle interne peut difficilement empêcher
les pratiques de comptabilité créatives qui consistent à utiliser les normes comptables à
la limite de l’acceptable pour obtenir un résultat conforme aux attentes de l’entreprise.
À la suite de la promulgation de la loi SOX, les entreprises inscrites à la cote d’une
Bourse états-unienne ont déployé des efforts considérables pour mettre en place des sys-
tèmes de contrôle interne répondant aux nouvelles exigences. Cette loi oblige également
les entreprises à instaurer un système de contrôle interne axé sur la gestion des risques liés
à l’autorisation adéquate des transactions, à l’exactitude de leurs enregistrements ainsi qu’à
la protection des actifs (Tchotourian, 2007). Plusieurs intervenants ont mis en lumière
les coûts considérables associés à l’application de telles mesures. En cette matière, il faut
tenter d’établir un équilibre entre les coûts de la mise en œuvre de ces mesures et les avan-
tages qu’elles procurent. Or, ces derniers sont beaucoup plus difficiles à chiffrer, puisqu’ils
représentent les pertes potentielles que pourraient subir les créanciers et les investisseurs
en cas de divulgation erronée.

2.1.3 En France
Mû par les mêmes préoccupations que les autorités états-uniennes, le gouvernement fran-
çais a décidé de légiférer pour améliorer la qualité et la fiabilité des renseignements finan-
ciers publiés par les entreprises françaises. La LSF a ainsi vu le jour en 2003. Elle s’inscrit
dans la continuité de la loi SOX, avec laquelle elle présente de nombreuses similitudes,
mais également certaines différences (Cappelletti, 2004).

Loi de sécurité financière


Tout comme la loi SOX, la LSF encadre le fonctionnement des sociétés ouvertes, et plus
précisément des sociétés anonymes 4, en matière de gouvernance et de divulgation de
l’information financière. Les questions relatives au contrôle interne font aussi l’objet
de cette loi, en vertu de laquelle le rapport de gestion de l’entreprise doit comprendre une
section distincte sur les principales caractéristiques de ses systèmes de contrôle interne et
de gestion des risques au moment du processus d’établissement de l’information finan-
cière (AMF, 2010). Bien que le cadre de référence de l’AMF de France présente séparé-
ment les systèmes de contrôle interne et ceux de gestion des risques, il y est tout de même
stipulé que « [l]es dispositifs de gestion des risques et de contrôle interne participent de
manière complémentaire à la maîtrise des activités de la société » (AMF, 2010). À l’instar
de la loi SOX, la LSF exige que la direction prépare un rapport sur le contrôle interne
au sein de l’entreprise. Il existe toutefois quelques différences concernant la forme et le
contenu des rapports établis conformément aux dispositions de chacune de ces lois.
Par ailleurs, même si elle impose la préparation de rapports portant spécifiquement
sur le contrôle interne, la LSF ne propose aucune définition de ce dernier. Les entreprises
doivent donc se tourner vers d’autres sources pour en élaborer leur propre définition. De
plus, la loi SOX prévoit des sanctions civiles et pénales pour les dirigeants reconnus cou-
pables de crimes économiques, alors qu’en vertu de la LSF, les condamnations sont indi-
rectes et reposent sur la diffusion de faux renseignements. Dans ce cas, les contrevenants
peuvent écoper de peines allant jusqu’à deux ans d’emprisonnement ou à 1,5 million
d’euros d’amende.

4. La société anonyme constitue l’équivalent en France de la société par actions au Canada, avec quelques
règles particulières en sus (par exemple, posséder au moins sept actionnaires ou fournir une mise de fonds
d’au moins 37 000 euros).
20 Partie 1 Fondements théoriques

2.2 Autres aspects liés à la divulgation de l’information financière


Dans la présente section, comme la divulgation de l’information financière se trouve au
cœur de la relation entre l’entreprise et l’investisseur, nous traiterons de deux autres modes
de communication de ces renseignements, soit le rapport de gestion et le reporting intégré
(RI). Tout récent, ce dernier est actuellement peu utilisé, mais il pourrait s’imposer au
cours des prochaines années.

2.2.1 Rapport de gestion


Les sociétés ouvertes produisent chaque année un rapport annuel contenant une pre-
mière partie qui discute des résultats financiers et de la situation de l’entreprise et une
seconde qui contient les états financiers audités ainsi que les notes complémentaires.
La première partie est généralement connue sous le nom de « rapport de gestion »5.
Il s’agit d’une section peu réglementée qui permet aux entreprises de contextualiser
leurs résultats financiers et d’expliquer aux investisseurs l’orientation qu’elles sou-
haitent prendre.
Bien que peu de règles régissent le contenu et la présentation du rapport de gestion,
il s’avère pertinent d’exposer sommairement ce que les Comptables professionnels agréés
du Canada (CPA Canada, 2014b) suggèrent comme approche structurée pour sa prépa-
ration. D’entrée de jeu, leurs lignes directrices en la matière précisent que le rapport de
gestion doit être rédigé à l’intention des investisseurs actuels et éventuels, et qu’il doit
expliquer, du point de vue de la direction, la performance passée de l’entité, sa situation
financière et ses perspectives d’avenir.
Comme le montre l’encadré 2.1, six principes généraux devraient guider la prépara-
tion et la rédaction du rapport de gestion. En suivant ces principes, l’entreprise s’assure
de respecter les exigences de la réglementation canadienne sur les valeurs mobilières et de
produire un document cohérent.
Selon le premier principe, la philosophie du rapport de gestion repose sur l’hypo-
thèse que la direction de l’entreprise possède les connaissances internes et externes néces-
saires pour pouvoir bien expliquer et mettre en contexte l’information qui figure dans ses
états financiers. Par ailleurs, la communication de ces renseignements additionnels vise à
réduire l’asymétrie de l’information, et donc à diminuer le coût en capital pour l’émetteur.
En vertu du deuxième principe, comme le rapport de gestion constitue un supplément
d’information aux états financiers, il doit faire référence aux éléments importants contenus
dans ceux-ci. On doit en outre essayer d’y expliquer les conditions qui ont donné lieu aux
résultats obtenus ainsi que préciser les probabilités que ces circonstances se reproduisent
dans l’avenir. L’estimation des flux de trésorerie futurs
que l’entreprise pourra générer s’en voit alors facilitée.
Le troisième principe vise à aiguiller le prépara-
Principes généraux teur du rapport de gestion en présentant certaines
ENCADRÉ 2.1 du rapport de gestion balises en matière de sélection de l’information à
communiquer. L’intégralité n’est possible que si
1. Le point de vue de la direction
l’entreprise a mis en place des systèmes de contrôle
2. L’intégration aux états nanciers interne suffisants pour reconnaître l’information
3. L’intégralité et l’importance relative pertinente, l’enregistrer dans ses systèmes d’informa-
4. L’orientation prospective tion et la traiter de manière à pouvoir la présenter
5. La perspective stratégique de façon succincte et compréhensible au lecteur du
6. L’utilité rapport. Cela pose des défis intéressants en matière de
contrôle interne, particulièrement en ce qui concerne
Source : CPA Canada. (2014). Le rapport de gestion : Lignes directrices
concernant la rédaction et les informations à fournir. Toronto, Ontario :
l’information externe à intégrer dans le rapport. Bien
CPA Canada. entendu, il ne faut pas perdre de vue l’équilibre entre
les coûts et les avantages, tant sur le plan de la collecte

5. C’est ce qu’on appelle le management discussion and analysis, ou MDA, en anglais.


Chapitre 2 Législation, réglementation et référentiels 21

de l’information que sur celui des risques de nuire à la compétitivité de l’entreprise


en publiant de l’information sensible et confidentielle.
Le quatrième principe relatif au rapport de gestion ajoute aux documents comp-
tables une dimension axée sur les prévisions et les projections, moins présentes dans
les états financiers comme tels6. Dans ce cas, il s’agit d’insister davantage sur les évé-
nements passés qui auront des incidences futures ainsi que sur les éventuels risques et
possibilités susceptibles d’influencer les résultats dans l’avenir. Puisque les prévisions
sont moins utilisées dans la comptabilisation des opérations, les systèmes d’information
ne sont pas forcément adaptés pour traiter adéquatement ce type de renseignements. Il
faut donc mettre en place un processus de contrôle diligent pour s’assurer de la fiabilité
et du caractère raisonnable des prévisions effectuées.
La perspective stratégique, qui constitue le cinquième principe, fait référence aux
moyens mis en œuvre pour assurer la création de valeur dont bénéficient les investisseurs.
Enfin, d’après le sixième principe, l’information présentée dans le rapport de gestion
doit s’avérer utile aux investisseurs. On doit notamment éviter de les submerger de détails
superflus ou de renseignements moins pertinents qui pourraient les induire en erreur.

FIGURE 2.6 Éléments du cadre d’information du rapport de gestion

Source : CPA Canada. (2014). Le rapport de gestion : Lignes directrices concernant la rédaction et les informations à fournir. Toronto, Ontario : CPA Canada.

Par ailleurs, en ce qui concerne la forme du rapport de gestion, la figure 2.6


expose une façon de présenter l’information de manière à respecter les six principes
susmentionnés tout en facilitant la compréhension du lecteur. La démarche proposée
consiste à partir de la stratégie de l’entreprise, puis à intégrer les indicateurs de per-
formance importants dans le processus de manière à expliquer les moyens employés
pour atteindre les objectifs fixés. Par la suite, l’entreprise doit discuter de sa capacité

6. Notons cependant que l’application des Normes internationales d’information financière (International
Financial Reporting Standards ou IFRS) et le recours désormais plus important à la juste valeur repré-
sentent tout de même une forme de projection dans les états financiers.
22 Partie 1 Fondements théoriques

à produire des résultats dans les années à venir, en s’appuyant à la fois sur ses résultats
passés et sur les prévisions relatives à ses résultats anticipés. Comme l’illustre égale-
ment bien la figure, les facteurs de risque sont omniprésents tout au long du proces-
sus de divulgation de l’information. Il s’avère en effet que les investisseurs souhaitent
de plus en plus disposer des renseignements nécessaires pour évaluer les risques liés
à leurs investissements.

2.2.2 International Integrated Reporting Council


Par souci d’améliorer les relations entre les entreprises cotées en Bourse et les investis-
seurs, des entreprises, des investisseurs, des autorités de réglementation, des instances
de normalisation, des représentants de la profession comptable et des organisations non
gouvernementales ont formé une coalition mondiale : l’International Integrated Repor-
ting Council (IIRC). Les membres de ce conseil sont convaincus que la création de valeur
dans un sens large (c’est-à-dire pour l’ensemble des parties prenantes) doit se trouver au
centre du processus de divulgation de l’information des entreprises. Par ailleurs, l’IIRC est
préoccupé par la multitude des sources d’information que produisent les entreprises et par
la difficulté des utilisateurs de s’y retrouver. Son approche constitue une façon différente
d’aborder la question de la divulgation de l’information financière et de reconnaître les
besoins des utilisateurs des états financiers.
Afin de réaliser les objectifs qu’il s’est fixés, l’IIRC a publié le Cadre de réfé-
rence international portant sur le reporting intégré (2013), dans lequel il présente les
bases conceptuelles que doivent respecter les entreprises pour produire des rapports
conformes à ses normes.
Comme le montrent les parties gauche et droite de la figure 2.7, il est possible d’iden-
tifier six types de capital7 au sein d’une entreprise, soit le capital financier, le capital

FIGURE 2.7 Processus de création de valeur

Source : IIRC. (2013). Cadre de référence international portant sur le reporting intégré. Repéré au http://integratedreporting.org/wp-content/
uploads/2015/03/13-12-08-THE-INTERNATIONAL-IR-FRAMEWORKFrench.pdf.

7. Selon le Grand dictionnaire terminologique de l’Office québécois de la langue française, le capital consti-
tue une richesse composée d’un stock qui fournit des biens et des services, et dont dispose une société
pour assurer son bien-être et sa prospérité.
Chapitre 2 Législation, réglementation et référentiels 23

manufacturier, le capital intellectuel, le capital humain, le capital social et sociétal ainsi


que le capital environnemental. Chaque type peut être associé à une ou plusieurs parties
prenantes qui sont au cœur du fonctionnement d’une entreprise. Par exemple, le capital
financier va de pair avec les actionnaires et les créanciers, tandis que le capital humain est
généralement rattaché aux employés.
D’après l’approche de l’IIRC, les activités de l’entreprise ont pour conséquence
de transformer le capital de début d’exercice (intrants) en un capital de fin d’exercice
(extrants). La variation du capital et les éléments qui l’influencent (notamment les risques,
la performance et l’environnement externe) constituent l’essentiel du RI. En bref, selon
cette optique, l’entreprise doit présenter le plus clairement possible les tenants et les abou-
tissants permettant de comprendre son processus de création de valeur.
Le Cadre de référence international portant sur le reporting intégré expose avant tout
des principes généraux que doit adapter l’entreprise en fonction de sa réalité, de cer-
taines contraintes légales ou réglementaires ainsi que de la relation coûts-avantages
inhérente au processus de divulgation de l’information financière. L’IIRC a ainsi énoncé
sept grands principes (voir l’encadré 2.2). Nous les esquisserons dans les prochains para-
graphes, en prêtant une attention toute particulière à leurs répercussions sur le système
de contrôle interne de l’entreprise.

ENCADRÉ 2.2 Principes directeurs du RI

A La présentation des priorités stratégiques et orientations futures


B La connectivité de l’information
C Les relations avec les principales parties prenantes
D La sélectivité
E La concision
F La abilité et la complétude de l’information
G La cohérence et la comparabilité des données
Source : IIRC. (2013). Cadre de référence international portant sur le reporting intégré. Repéré au http://integrate-
dreporting.org/wp-content/uploads/2015/03/13-12-08-THE INTERNATIONAL-IR-FRAMEWORKFrench.pdf, p. 18.

Selon le principe A, tout rapport dressé conformément à la méthode du RI doit pré-


senter les principaux éléments de la stratégie de l’entreprise qui lui permettent de créer de
la valeur. Il doit aussi décrire l’incidence de ces éléments sur les différents types de capital.
Ce principe fait référence aux organes de gouvernance de l’entreprise ainsi qu’à la gestion
des risques auxquels cette dernière est exposée. Comme nous le verrons au chapitre 3, les
notions de risque et de gouvernance sont bien intégrées dans l’approche COSO. Cepen-
dant, la divulgation de ces renseignements en vertu du RI exige l’ajout d’activités de
contrôle interne spécifiques, par exemple un système de contrôle axé sur la classification
des risques et des priorités stratégiques.
Le principe B traite des relations et des interactions entre les principaux éléments
du processus d’affaires de l’entreprise présentés à la figure 2.7, qu’on pense par exemple
aux liens entre les nouveaux investissements et la stratégie de l’entreprise ou entre l’en-
vironnement externe et les risques de l’entreprise. Il s’agit là d’une façon de concevoir la
dynamique d’entreprise qui n’est généralement pas prise en compte dans les systèmes de
contrôle interne habituels.
D’après le principe C, l’entreprise doit également analyser les relations qui existent
entre ses parties prenantes, de même que leurs éventuelles répercussions sur le processus
de création de valeur. Pour ce faire, il lui faut reconnaître l’importance de ces autres par-
ties prenantes en s’assurant qu’elles trouveront des renseignements pertinents au sein du
rapport dressé conformément au RI. Généralement, les sociétés ont tendance à dresser
des rapports financiers axés sur les principales parties prenantes principales que sont les
24 Partie 1 Fondements théoriques

investisseurs et les créanciers, en accordant peu d’importance aux autres ; leurs systèmes
de contrôle sont donc conçus en conséquence.
Les principes D et E que constituent la sélectivité et la concision, respectivement, ren-
voient au contenu du rapport et aux choix que l’entreprise doit effectuer pour produire un
document qui soit complet tout en demeurant compréhensible. Les sections du cadre de
référence de l’IIRC portant sur ces principes proposent différentes pistes à explorer pour
parvenir à atteindre ce difficile équilibre. Comme le dit si bien l’expression populaire : « Trop,
c’est comme pas assez. » Toutefois, il s’agit ici d’un processus habituel pour les entreprises
puisqu’elles doivent toujours procéder à une certaine sélection d’information au moment de
préparer leurs rapports annuels. En l’occurrence cependant, la différence réside surtout dans
la nature plus intégrée de l’approche du RI. Celle-ci est effectivement davantage systéma-
tique que les méthodes habituellement employées pour dresser les autres types de rapports
aux contenus moins balisés. Le processus de contrôle interne axé sur la sélection des rensei-
gnements à présenter s’avère par contre assez difficile à mettre en place puisqu’il repose sur
de l’information moins définie. Il est en effet plus facile de vérifier la fiabilité d’une donnée
choisie que de s’assurer de l’exhaustivité des renseignements importants dans un rapport.
Enfin, la fiabilité et la complétude de l’information (qui constituent le principe F),
ainsi que la cohérence et la comparabilité des données (qui constituent le principe G)
relèvent essentiellement du même système de contrôle interne. Ces quatre qualités de
l’information sont en lien direct avec le souci d’intégration du rapport. D’après les prin-
cipes directeurs du cadre de référence de l’IIRC, il est clair que ce rapport doit contenir
l’ensemble de l’information prépondérante, tant la positive que la négative. Il importe ici
de le souligner, puisque lorsqu’elles divulguent leur information financière, les entreprises
ont très souvent tendance à éluder les points délétères pour laisser toute la place aux
éléments favorables. En outre, tout rapport dressé conformément au RI doit traiter des
autres renseignements publiés par l’entreprise en y incluant par exemple des hyperliens.
Il faut également faire en sorte que le format de présentation ressemble le plus possible
à celui de rapports similaires publiés ailleurs. De surcroît, ce souci de comparabilité doit
aussi porter sur les éléments présentés par les autres entreprises du même secteur d’acti-
vité, ce qui permet aux utilisateurs des états financiers de s’y retrouver plus facilement.
En somme, le RI est le signe actuel d’une tendance au regroupement des informa-
tions financières et extrafinancières fournies au public, et en particulier aux investisseurs
(Ledouble, Stordeur et Crette, 2015). Dans le cadre de sa mission, l’IIRC aspire à ce que
l’ensemble des sociétés ouvertes adhèrent au RI et à ce que ce dernier devienne une norme
incontournable pour les entreprises.
CHAPITRE 3 Référentiels et système
de contrôle interne

T
rop souvent, les entreprises élaborent des activités de
contrôle interne sans vraiment suivre de méthode sys-
tématique qui tienne compte de l’ensemble des facteurs
pertinents, notamment de l’évaluation des risques. De fait, la
mise en place d’une mesure de contrôle résulte fréquemment
de l’observation d’une situation indésirable (du rembourse-
ment de frais de déplacement excessifs, par exemple) ayant eu
des répercussions fâcheuses pour l’entreprise ou le gestionnaire.
Dans ces circonstances, on décide alors d’instaurer une mesure
de contrôle pour éviter que le problème ne survienne de nou-
veau. La mesure de contrôle ainsi établie repose donc sur une
conséquence relevée, et non sur un risque mesuré. Or, lorsqu’elle
est généralisée, une telle façon de faire réduit significativement
l’efficacité et l’efficience du système de contrôle interne en place
au sein de l’entreprise.
Tout d’abord, il est possible qu’il s’agisse d’une situation iso-
lée peu susceptible de se répéter. Si on instaure une mesure de
contrôle en réaction à cette situation, on se trouve alors à mettre
en place une solution inutile qui occasionnera des coûts pour
l’entreprise sans qu’elle n’en retire d’avantages réels (problème
d’efficience). Par ailleurs, si on prend une conséquence plutôt
qu’un risque comme point d’ancrage, il se peut que l’activité de
contrôle créée se révèle utile, mais qu’elle ne vise pas la bonne
cause et que, par conséquent, elle ne règle que partiellement la
question (problème d’efficacité).
Une approche semblable axée sur le cas par cas fait fi de la vue
d’ensemble essentielle en matière de contrôle interne. Il semble
alors souhaitable de baser la démarche sur un cadre conceptuel qui
englobe le plus possible les différentes dimensions relatives à ce
type de contrôle. Voilà justement le rôle du référentiel de contrôle
interne, lequel consiste en une liste d’éléments qui composent un
système de référence servant à organiser les activités de contrôle
interne d’une entreprise en fonction de normes reconnues.
26 Partie 1 Fondements théoriques

3.1 Principaux référentiels


Comme le montre le tableau 3.1, les entreprises peuvent recourir à divers référentiels
pour élaborer leurs systèmes de contrôle interne. Toutefois, des huit cadres de réfé-
rence recensés, seuls trois portent spécifiquement sur le contrôle interne, soit ceux
de l’Autorité des marchés financiers (AMF) de France, du Committee of Sponso-
ring Organizations of the Treadway Commission (COSO) et du Conseil sur les
critères de contrôle (CoCo1). Dans le présent ouvrage, nous ne traiterons toutefois
pas du référentiel de l’AMF de France, puisqu’il est beaucoup moins étoffé que celui
du COSO et qu’il a surtout vu le jour pour aider les présidents d’entreprises fran-
çaises à préparer leurs rapports sur le contrôle interne et les risques de l’entreprise.
Par ailleurs, nous nous intéressons à l’élaboration des activités de contrôle interne au
sein des entreprises, et non au processus de divulgation de l’information financière
des sociétés ouvertes.
Les cinq autres référentiels présentés dans le tableau 3.1 sont axés sur le contrôle
des technologies de l’information (TI), ce qui s’éloigne du propos principal du pré-
sent manuel. Nous avons donc jugé suffisant d’en mentionner l’existence, sans pour
autant en expliquer toutes les ramifications. De plus, ces cadres de référence seront
de nouveau abordés au chapitre 6, qui traite de l’incidence des technologies sur le
contrôle interne.

TABLEAU 3.1 Référentiels en matière de contrôle interne et de TI


Référentiel Élaboration ou historique Portée ou objet
Cadre de référence sur les Élaboration en 2007 par l’AMF de France Guide pour la gestion des risques et le
dispositifs de gestion des risques contrôle interne visant principalement à aider
et de contrôle interne les présidents d’entreprises à préparer leurs
rapports sur les processus de contrôle interne
Capability Maturity Model Publication en 1991 par le Software Enginee- Guide pour l’amélioration des processus de
Integration ring Institute de la Carnegie Mellon University, développement logiciel
puis intégration dans le référentiel COBIT an
de mesurer la maturité de ses 34 processus
Control Objectives for Information Élaboration en 1996 par l’Information Systems Cadre de référence pour la gouvernance des TI
and related Technology (COBIT) Audit and Control Association et l’IT Gover-
nance Institute
Recommandations sur le contrôle Élaboration en 1995 par le CoCo formé par Guide pour la conception et l’évaluation des
l’Institut canadien des comptables agréés systèmes de contrôle ainsi que la communica-
tion d’information au sujet de ces systèmes
Internal Control – Integrated Élaboration en 1992 par le COSO Référentiel de mise en place des activités de
Framework contrôle et d’évaluation de leur efcacité

Norme ISO 27000 Mise en place en 2005 par l’Organisation inter- Référentiel axé sur la sécurité des systèmes
nationale de normalisation (ISO) d’information
Information Technology Élaboration au Royaume-Uni à la n des an- Guide pour l’amélioration des services infor-
Infrastructure Library nées 1980 par la Central Computer and Tele- matiques destinés aux utilisateurs internes
communications Agency
Internal Control : Guidance for Mise en place en 1999 par le Financial Repor- Guide pour la mise en place des activités de
Directors on the Combined Code ting Council contrôle et l’évaluation de leur efcacité
(Turnbull Report)
Source : Adapté de Messabia, N., Elbekkali, A. et Blanchette, M. (2014). Le modèle du risque d’audit et la complexité des technologies de l’information :
une étude exploratoire. Journal of Global Business Administration, 6(1), p. 6. Repéré au www.jgba.org/index.php/jgba/article/downloadSuppFile/150/12.

1. Le Conseil sur les critères de contrôle est également connu sous l’acronyme de CCC.
Chapitre 3 Référentiels et système de contrôle interne 27

Le référentiel du COSO étant le mieux connu des entreprises et sans doute le plus uti-
lisé, nous lui prêterons une attention particulière. C’est d’ailleurs celui que nous utiliserons
dans la seconde partie de l’ouvrage pour illustrer le fonctionnement du système de contrôle
interne dans les différents cycles de l’entreprise. Qui plus est, la section 3.2 du chapitre en
cours sera entièrement consacrée à l’analyse détaillée des composantes du cube COSO.
Si le référentiel du COSO semble l’outil le mieux adapté pour guider la mise en place
de systèmes de contrôle interne dans les petites et moyennes entreprises (PME), nous pré-
senterons néanmoins les grandes lignes du référentiel du CoCo élaboré en 1995 par l’Ins-
titut canadien des comptables agréés (ICCA)2. Son approche s’avère un peu différente de
celle du COSO, mais les mêmes concepts de base se retrouvent dans les deux référentiels.
Pour sa part, le Turnbull Report porte essentiellement sur les mêmes concepts que
le cadre de référence du COSO, mais son modèle se veut moins élaboré. De plus, on s’y
réfère rarement dans la documentation qui porte sur le contrôle interne. En regard des
objectifs du présent ouvrage, l’analyse de ce référentiel n’apporterait aucun élément sup-
plémentaire vraiment pertinent, selon nous.

3.1.1 Recommandations du CoCo


Au milieu des années 1990, l’ICCA a formé le CoCo afin que celui-ci donne des recomman-
dations en matière de contrôle. Voici un extrait de la préface du document qui en a résulté
(CoCo, 1995) :
Le Conseil sur les critères de contrôle a reçu du Conseil des gouverneurs de l’Institut
Canadien des Comptables Agréés (ICCA) le mandat de publier des recommandations
sur la conception et l’évaluation des systèmes de contrôle et sur la communication
d’informations au sujet de ces systèmes. Les recommandations du Conseil sont des-
tinées à aider à la formulation de jugements sur ces activités : elles ne doivent pas être
interprétées comme constituant des règles minimales d’application obligatoire.
À l’instar du référentiel de l’AMF de France, les recommandations du CoCo ont été éla-
borées principalement, mais pas exclusivement, pour aider les entreprises cotées en Bourse
à préparer les rapports sur le contrôle interne exigés par les autorités de réglementation
des valeurs mobilières au Canada. Comme le montre le tableau 3.2, les recommandations
en question se divisent en quatre grandes familles. Notons cependant que les familles 2 et
4 portent davantage sur la gouvernance que sur le système de contrôle interne à propre-
ment parler. Par ailleurs, la famille 3 présente une approche intéressante pour l’analyse
des forces et des faiblesses du système de contrôle interne en place, mais elle est moins
bien adaptée pour la conception d’un système de contrôle interne que le référentiel du
COSO. Nous étudierons néanmoins une partie des recommandations de la famille 3 dans
le dernier chapitre du manuel, qui traite justement de l’évaluation du contrôle interne.

TABLEAU 3.2 Synthèse des recommandations du CoCo


Famille Portée

1. Critères de contrôle L’environnement de contrôle et les éléments qui favo-


risent un bon système de contrôle interne
2. Processus de gouvernement Les responsabilités du conseil d’administration en ma-
d’entreprise liés au contrôle tière de gouvernance du système de contrôle interne
3. Évaluation des contrôles La présentation de 10 étapes pour évaluer les activités
de contrôle interne
4. Traitement du risque (au conseil) L’importance de bien cerner les risques et d’établir des
mesures de contrôle pour les réduire au minimum
Source : Adapté de CoCo. (1995). Recommandations sur le contrôle. Toronto, Ontario : ICCA.

2. Comptables professionnels agréés du Canada (CPA Canada) a remplacé l’ICCA à la suite de la fusion
des ordres professionnels d’experts-comptables au Canada.
28 Partie 1 Fondements théoriques

En définitive, parmi toutes les recommandations du CoCo, celles appartenant à la


famille 1 portent précisément sur les éléments à prendre en compte pour élaborer un bon
système de contrôle interne. Au même titre que le COSO, le CoCo y traite de l’environ-
nement de contrôle ainsi que des composantes nécessaires à la mise en place de mesures
de contrôle interne de qualité. Son cadre de référence utilise le point de vue de l’individu
en guise d’unité d’analyse. D’après ce cadre, il y a quatre catégories de critères à respecter
pour favoriser l’obtention d’un contrôle interne efficace (voir la gure 3.1).

FIGURE 3.1 Modèle de contrôle interne selon le CoCo

D’abord, les critères relatifs au but englobent ceux qui traitent de l’orientation de l’en-
treprise exprimée sous forme d’objectifs opérationnels spécifiques, ainsi que des risques de
non-réalisation de ces objectifs. De manière générale, le but doit être connu de l’ensemble
du personnel responsable de l’application des mesures de contrôle interne mises en place. Les
employés sont donc indissociables du bon fonctionnement du système de contrôle établi.
L’engagement fait référence aux critères qui portent sur le comportement des
employés, notamment en ce qui concerne l’intégrité, l’éthique et la confiance mutuelle.
Sous cette rubrique, on traite également des questions de responsabilité, de délégation de
pouvoir et de séparation des tâches incompatibles.
Pour leur part, les critères en matière de capacité se rapportent aux moyens que
l’entreprise met en œuvre pour atteindre ses objectifs. Ils concernent notamment la cir-
culation de l’information qui alimente le système de contrôle interne, les compétences
nécessaires à l’application des mesures en place et les activités de contrôle en tant que
telles. Cette catégorie comprend également les critères liés à la qualité de l’information, à
la documentation nécessaire et à la coordination des activités.
Enfin, la catégorie du suivi et de l’apprentissage regroupe les critères qui touchent
à la rétroaction et au pilotage du système de contrôle interne. Pour qu’un tel système
conserve son utilité et sa pertinence, ses acteurs et ceux qui en ont la responsabilité
doivent continuellement le remettre en question. Cette catégorie présente également les
activités de pilotage indépendant qui servent à assurer le bon fonctionnement à long
terme du contrôle interne.
Comme nous le verrons à la section 3.3 du présent chapitre, le référentiel du COSO
comprend entre autres les mêmes critères que ceux établis dans les recommandations du
CoCo. De surcroît, la méthode qu’il propose nous semble plus facile d’application. Enfin,
si on considère uniquement les recommandations du CoCo appartenant à la famille 1, la
principale différence entre ce cadre de référence et celui du COSO réside dans la façon
d’organiser et de présenter les composantes du contrôle interne.

3.1.2 Référentiel du COSO


Le COSO est un comité du secteur privé issu de l’alliance de cinq organisations influentes
dans le monde de la comptabilité aux États-Unis, nommément l’American Accounting
Association, l’American Institute of Certified Public Accountants, le Financial Executives
International, l’Association of Accountants and Financial professionals in Business et
l’Institute of Internal Auditors. La réputation des organisations composant ce regroupe-
ment donne une forte crédibilité au référentiel qu’il a élaboré.
Chapitre 3 Référentiels et système de contrôle interne 29

Le COSO a été créé au cours des années 1985 dans le cadre des travaux de la National
Commission on Fraudulent Financial Reporting (COSO, 2015). Toutefois, ce n’est qu’en
1992 qu’il a publié la première version de son référentiel sur le contrôle interne intitulé
Internal Control – Integrated Framework, lequel a été mis à jour et bonifié par la suite. De
plus, le COSO a aussi publié d’autres documents pour répondre aux besoins particuliers
de certains producteurs d’information financière3.
Au fil des ans, le référentiel élaboré par le COSO s’est imposé et est finalement devenu
un incontournable en matière de contrôle interne. Ce cadre de référence, par extension sim-
plement nommé « référentiel COSO », est d’ailleurs celui privilégié par la loi Sarbanes-Oxley
en vigueur pour les entreprises inscrites à la cote d’une Bourse états-unienne.

3.2 Cube COSO


Les composantes du référentiel de contrôle interne créé par le COSO peuvent être illus-
trées au moyen d’une figure géométrique qu’on nomme « cube COSO ». L’une des forces
du cube COSO réside dans la schématisation des principaux éléments à prendre en consi-
dération pour obtenir un système de contrôle interne de qualité. Comme le montre la
figure 3.2, cette représentation en trois dimensions permet de visualiser rapidement les
interrelations qui existent entre les rouages d’un bon système de contrôle interne.

FIGURE 3.2 Cube COSO

Source : Institut français de l’audit et du contrôle internes et PriceWaterhouseCoopers. (2002). La pratique du contrôle
interne : . Paris, France : Les Éditions d’Organisation, p. 31.

Même si ce schéma peut laisser croire à tort que les frontières entre les divers éléments
sont étanches et qu’il n’existe pas de chevauchement (ce qui n’est pas aussi tranché en réa-
lité), il constitue néanmoins une façon efficace et imagée d’aborder le contrôle interne. Il
offre également toute la souplesse nécessaire pour permettre aux gestionnaires de s’adapter
à la multitude de situations auxquelles ils doivent faire face dans le cadre de leurs fonctions.

3. Parmi ces publications figurent notamment Internal Control Issues in Derivatives Usage, Internal Control
over Financial Reporting – Guidance for Smaller Public Companies, Guidance on Monitoring Internal
Control Systems et Enterprise Risk Management – Integrated Framework, comme en fait foi le site Web de
ce comité (www.coso.org).
30 Partie 1 Fondements théoriques

Au cours des prochaines pages, nous expliquerons chacune des composantes du cube
en les situant dans le contexte de l’exploitation d’une entreprise et en faisant référence à
d’autres concepts qu’on utilise en gestion des organisations. Pour favoriser une vue d’en-
semble constante des éléments du référentiel COSO, un pictogramme de ce schéma se
retrouvera dans la marge aux endroits appropriés. Dans chaque pictogramme, une section
ombragée indiquera la partie du cube COSO faisant l’objet de la section de l’analyse, ce
qui en permettra la localisation immédiate.

3.2.1 Catégories d’objectifs


La notion d’objectifs se veut sous-jacente à la logique du référentiel COSO. En effet,
dans ce cadre de référence, tout converge vers la réalisation des objectifs organisation-
nels de l’entreprise. Pour faciliter la mise en place d’un système de contrôle interne, et
plus particulièrement des activités de contrôle, on a divisé les objectifs en trois catégories.
On trouve ainsi ceux liés aux opérations de l’entreprise, à la fiabilité de l’information
financière, de même qu’à la conformité aux lois et aux règlements (voir la gure 3.3).

Objectifs opérationnels
Parmi les trois catégories d’objectifs présentées dans la figure 3.3, celle qui se rattache aux opé-
rations est sans aucun doute la plus importante pour l’entreprise, même si elle s’avère souvent le
parent pauvre de la documentation sur le contrôle interne4. L’entreprise instaure avant tout des
activités de contrôle interne pour s’assurer de réaliser ses objectifs stratégiques qui se déclinent
en objectifs opérationnels. Le système de contrôle interne vise prioritairement à favoriser l’at-
teinte des objectifs ainsi fixés en réduisant les risques qui pourraient empêcher leur réalisation.5

FIGURE 3.3 Catégories d’objectifs

ENCADRÉ 3.1 Cinq cycles opérationnels5 La détermination des objectifs constitue un


processus plus ou moins formel selon la taille de
l’organisation et le cycle opérationnel en cause (voir
1. Cycle des achats, créditeurs et décaissements
l’encadré 3.1). Au sein des plus petites entreprises,
2. Cycle des ventes, débiteurs et encaissements plusieurs objectifs ne sont qu’implicites, la direction
3. Cycle des salaires, créditeurs (paie) et décaissements se contentant de les communiquer verbalement (en
4. Cycle de fabrication et d’entreposage ce qui concerne la protection des actifs ou l’achat de
5. Cycle de n de mois produits au meilleur prix possible, notamment).
Par contre, d’autres objectifs se voient imposés de

4. En effet, c’est sans contredit la catégorie des objectifs liés à la fiabilité de l’information financière qui
occupe le plus de place dans les écrits sur le contrôle interne.
5. Il s’agit des cinq cycles qui se retrouvent dans la seconde partie du présent ouvrage. Ce découpage peut
varier d’une entreprise à l’autre.
Chapitre 3 Référentiels et système de contrôle interne 31

façon plus explicite au moyen d’une planification stratégique TABLEAU 3.3 Approche SMART pour la
ou de la préparation de budgets annuels (pour ce qui est des formulation d’objectifs6
cibles de croissance des ventes ou du coût de la main-d’œuvre
Spécique Utiliser des mots précis.
par rapport aux ventes, entre autres).
Bien que la formalisation des objectifs opérationnels ne Mesurable Favoriser des indicateurs bien dénis lorsque
s’avère pas essentielle, elle apporte un avantage non négli- c’est possible.

geable en ce qui concerne le contrôle interne. En effet, il Ambitieux Demander un effort de la part des employés.
est plus facile de cerner les risques qui menacent l’atteinte Réaliste Tenir compte des compétences et des
des objectifs lorsque ces derniers sont clairement énoncés. moyens en place (argent, ressources, etc.).
La possibilité de négliger des risques importants augmente Temporel S’assurer d’établir un échéancier de réalisation.
considérablement lorsque les objectifs ne sont qu’implicites
et transmis de façon informelle. Il faut donc les formuler
avec suffisamment de clarté et de précision pour les rendre réalisables. Quand vient le
temps de les élaborer, une méthode comme l’approche SMART peut se révéler utile (voir
le tableau 3.3). Ainsi, chaque objectif doit être spécifique et mesurable, tout en étant fixé
dans le temps. Le caractère ambitieux et réaliste de l’objectif a très peu d’influence sur la
conception du système de contrôle interne, mais il s’avère primordial pour la motivation
des employés qui contribuent à atteindre cet objectif. 6
Dans la seconde partie du manuel, nous présenterons des objectifs propres à chacun
des cycles opérationnels, ainsi que d’autres communs aux cinq (voir l’encadré 3.1). Parmi les
objectifs se rapportant à l’ensemble de ces cycles pourraient figurer des cibles de croissance
des ventes de 5 %, de réduction du coût des matières premières de 2 %, d’amélioration des
compétences par l’entreprise d’une moyenne de 20 heures de formation par employé, etc.
Enfin, comme le mentionne le COSO dans son référentiel, la protection des actifs appar-
tient aussi à la catégorie des objectifs opérationnels. Les mesures de sécurité, l’installation de
caméras de surveillance de même que la mise en place d’autres procédures semblables consti-
tuent autant d’exemples d’activités de contrôle interne visant à assurer la protection des actifs.

Objectifs liés à la fiabilité de l’information financière


Les objectifs liés à la fiabilité de l’information financière se trouvent souvent au premier
plan des discussions relatives au contrôle interne, au point où certaines personnes supposent
qu’un système de contrôle interne n’existe que pour servir ce type d’objectifs. Une telle idée
préconçue s’explique facilement, puisque ce sont les scandales financiers qui ont déclenché la
remise en question de la gouvernance au sein des entreprises cotées en Bourse, puis entraîné
la réglementation qui en a découlé7. Or, le contrôle interne a pris une place prépondérante
dans cette réglementation. De plus, l’atteinte des objectifs liés à la fiabilité de l’information
financière permet de satisfaire à l’obligation légale de rendre compte de l’entreprise.
Parmi les trois catégories d’objectifs comprises dans le cube COSO, celle liée à la fiabilité de
l’information financière constitue la plus « comptable » des trois mais, contrairement à ce que l’on
pourrait croire, elle ne se limite pas exclusivement aux états financiers préparés à des fins externes.
Comme le montre la figure 3.4 (voir la page suivante), l’information financière se divise en deux
catégories, selon le type d’utilisateurs auxquels elle est destinée. L’information à l’intention des utili-
sateurs externes sert en bonne partie à répondre à l’obligation de rendre compte de l’entreprise, tandis
que celle à l’intention des utilisateurs internes vise à améliorer la prise de décisions des gestionnaires.

Information financière à l’intention des utilisateurs externes


L’entreprise est tenue de présenter des états financiers qui respectent un référen-
tiel d’information financière applicable à sa situation 8. C’est le Conseil des normes

6. La signification de chaque lettre de l’acronyme peut varier d’un auteur à l’autre ; ce qui compte, c’est
le principe mnémotechnique.
7. Le chapitre 2 du présent manuel porte précisément sur les principaux éléments de la réglementation
en matière de contrôle interne.
8. Les petites entreprises qui dressent des états financiers accompagnés d’un rapport intitulé Avis au lecteur
peuvent toutefois faire exception à la règle.
32 Partie 1 Fondements théoriques

Objectifs liés à la fiabilité de l’information


FIGURE 3.4 financière en fonction du type d’utilisateurs

comptables qui établit les normes comptables qui régissent les entreprises canadiennes9.
Selon le Manuel de CPA Canada – Comptabilité (2015), quatre référentiels différents
sont en vigueur au Canada10. D’abord, dans sa partie I, le Manuel présente les Normes
internationales d’information financière (IFRS), qui encadrent principalement la
préparation des états financiers des entreprises cotées en Bourse. Puis, la partie II traite des
Normes comptables pour les entreprises à capital fermé, que peuvent adopter les entre-
prises non cotées au lieu des normes IFRS. Vient ensuite la partie III, qui porte sur les
Normes comptables pour les organismes sans but lucratif, puis la partie IV, sur les Normes
comptables pour les régimes de retraite.
Le processus de préparation et présentation de l’information financière s’avère plus
formel que celui de l’élaboration des objectifs opérationnels. Il fait par ailleurs souvent
intervenir des experts-comptables externes pour la certification des états financiers. Par
conséquent, l’entreprise doit mettre en place un système de contrôle interne permettant
de colliger les données nécessaires à la préparation des états financiers, de traiter adé-
quatement ces renseignements et de les présenter en respectant les normes comptables
établies. Par exemple, les contrôles sur les stocks doivent être conçus de manière à assurer
le dénombrement adéquat des quantités, la fiabilité des coûts associés à chaque produit,
ainsi que l’identification appropriée des stocks désuets et l’établissement d’une provision
pour tenir compte de la perte de valeur correspondante.
Outre ses états financiers, l’entreprise présente aussi d’autres renseignements aux utilisateurs
externes, qui ne sont toutefois pas soumis aux normes comptables en vigueur. Dans la création
d’un système de contrôle interne, il faut également prévoir des mesures de contrôle pour ces
données. Cela demande une attention particulière puisque ces renseignements peuvent prove-
nir de différentes sources et être destinés à des utilisateurs variés. À titre d’exemples, il peut s’agir
d’une liste de stocks devant être produite mensuellement à une institution financière, de l’état
de l’occupation et des présences réelles des enfants dans un centre de la petite enfance ou d’une
demande de crédit d’impôt pour des activités de recherche et développement.
Toute information inhabituelle est susceptible de contenir plus d’anomalies que les
renseignements traités quotidiennement. Comme elles ne se retrouvent pas forcément
dans le processus courant de collecte des données, les activités de contrôle de détection
s’avèrent parfois plus efficientes pour assurer la fiabilité de ces renseignements (voir la
gure 3.10 à la page 45). Par exemple, les inventaires remis à une institution financière

9. Il en va ainsi pour toutes les entreprises, sauf celles du secteur public, dont le Conseil sur la comptabilité
dans le secteur public a plutôt la responsabilité.
10. En fait, il y en a cinq si on ajoute celui qui s’adresse au secteur public.
Chapitre 3 Référentiels et système de contrôle interne 33

tous les mois ne font généralement pas l’objet des mêmes mesures de contrôle que l’in-
ventaire dressé en fin d’exercice au moment du dénombrement des stocks de clôture.

Information financière à l’intention des utilisateurs internes


Généralement, un système de contrôle interne a tendance à se focaliser sur la qualité de
l’information produite pour les utilisateurs externes, au détriment parfois de l’information
utilisée à l’interne. Cela s’explique entre autres par le risque de poursuites judiciaires si les
renseignements publiés sont erronés ou par la nécessité de répondre adéquatement aux
demandes des auditeurs externes. Pourtant, nous n’insisterons jamais trop sur l’importance
de l’information destinée aux utilisateurs internes, puisqu’elle sert à prendre des décisions
qui peuvent avoir des répercussions majeures sur le fonctionnement de l’entreprise.
Dans le cadre de leurs fonctions, les gestionnaires utilisent plusieurs types de rapports,
qu’il s’agisse de rapports de ventes par produits, d’états financiers partiels sur la rentabilité
d’une unité administrative ou de rapports sur les heures travaillées par les employés de chaque
service. Si on ne veille pas préalablement à l’exhaustivité et à la fiabilité des données recueillies,
de mauvaises décisions risquent de s’ensuivre. Par exemple, une directrice des ventes pourrait
décider de cesser de vendre dans un secteur donné parce que le rapport de vente par territoire
indique que les ventes ne sont pas suffisantes. Or, il serait dommage qu’un rapport incomplet
ou erroné l’ait induite en erreur et que l’entreprise regrette ultérieurement sa décision.
En ce qui concerne les autres renseignements destinés aux utilisateurs internes, le sys-
tème de contrôle interne doit faire face aux mêmes défis que dans le cas des autres données
externes. En effet, dans un cas comme dans l’autre, le caractère non répétitif de chaque
demande d’information et la détermination des besoins ponctuels précis de l’utilisateur
augmentent le risque d’erreur au moment d’extraire, de traiter et de présenter les résultats. À
titre d’exemple, si un utilisateur interne demande un rapport spécial de vente (qui n’est pas
produit mensuellement) pour une ville en particulier, il faut bien définir la composante que
constitue la ville. Notamment, si certaines villes ont été fusionnées, mais que cette donnée
ne se trouve pas nécessairement à jour dans les fichiers, il faut se demander quels sont les
champs disponibles pour effectuer l’extraction attendue. On doit également vérifier si l’uti-
lisateur qui présente la demande souhaite connaître le nombre d’articles livrés dans la ville
qui l’intéresse, ou s’il a plutôt besoin du nombre d’articles vendus aux clients dont le siège
social se situe dans cette ville. D’autres questions variées peuvent se poser selon la situation.

Objectifs liés à la conformité aux lois et aux règlements


Des trois catégories d’objectifs illustrées dans le cube COSO, celle relative à la conformité aux
lois et aux règlements est la moins connue, sans doute parce qu’elle s’éloigne souvent des sys-
tèmes d’information comptable les plus visés par le contrôle interne. Rappelons que, dans la
majorité des PME, le contrôle interne relève du contrôleur financier11. Or, celui-ci a une prédis-
position pour les activités de contrôle qui touchent son expertise, ce qui ne veut pas dire qu’il ne
peut instaurer des activités de contrôle en matière de confor-
mité, mais simplement que cela se veut moins naturel pour lui.
Selon l’approche du cube COSO, les objectifs liés Objectifs liés à la
à la conformité font référence au respect des lois et des FIGURE 3.5 conformité
règlements auxquels les entreprises sont assujetties. Cer-
tains de ces codes sont communs à la majorité des entre-
prises (la Loi sur les normes du travail, par exemple),
alors que d’autres sont propres à des secteurs d’activité en
particulier (la Loi sur les permis d’alcool, notamment).
Comme le montre la figure 3.5, il est possible de séparer
les activités de contrôle en matière de conformité en deux
catégories, soit celle des mesures qui ont une incidence
financière directe sur l’entreprise et celle des mesures qui
influent plutôt sur les opérations (CPA Canada, 2015).

11. La terminologie peut varier d’une entreprise à l’autre (chef comptable, directeur financier, etc.).
34 Partie 1 Fondements théoriques

Cette classification s’avère utile, étant donné que les activités de contrôle interne axées
sur les objectifs relatifs à la conformité diffèrent d’une catégorie à l’autre.

Incidence sur les états financiers


Parmi les lois et les règlements qui influent directement sur les états financiers figurent
entre autres les normes du travail, les lois fiscales et la réglementation de la Commission de
la santé et de la sécurité du travail (CSST). Pour s’assurer de respecter l’ensemble des codes
applicables, la plupart des entreprises intègrent des mesures de contrôle interne à même
leurs systèmes d’information comptable. Par exemple, lors de la création d’un produit, on
lui attribue un code de taxe de vente en fonction des lois sur la taxe de vente en vigueur. De
cette façon, l’entreprise s’assure de respecter la législation en utilisant une mesure de contrôle
automatisée (voir la gure 3.10 à la page 45). Au moment de la création d’un client ou d’un
employé dans le système, on procède également de la même façon, mais selon d’autres lois.
Par ailleurs, dans l’application des lois et des règlements en place, l’entreprise joue sou-
vent un rôle de fiduciaire qui l’oblige à produire périodiquement certains rapports (en ce qui
concerne les retenues à la source ou les remises de taxe de vente, par exemple). Or, cette red-
dition de compte a des effets positifs sur la qualité des activités de contrôle en matière de
conformité mises en place. Les contrôles sont généralement meilleurs lorsqu’ils sont liés à des
obligations légales, car il y a un impératif externe qui exerce alors une pression sur l’entreprise.
En ce qui a trait à toute la réglementation à respecter, il est parfois difficile de s’y
retrouver. Penser qu’un document pourrait présenter l’ensemble des lois et des règlements
auxquels une entreprise doit se soumettre relève de l’utopie. Cependant, CPA Canada a
publié un guide recensant plusieurs lois et règlements qui touchent les entreprises cana-
diennes. Comme le montre l’encadré 3.2, ce guide compte sept parties portant sur les
grandes questions qui façonnent le cycle de vie des entreprises. Chacune de ces parties
est elle-même subdivisée en sections qui traitent des principales lois et des principaux
règlements gouvernant les entreprises.
Par exemple, dans la partie III du guide, qui traite de la conformité régulière, on
trouve une section sur les lois qui encadrent les conditions d’emploi des travailleurs
ainsi qu’une sous-section plus précisément consacrée à l’équité salariale. Cette dernière
détaille la législation par province et résume les éléments importants dont il faut tenir
compte pour être conforme dans ce domaine. La classification de CPA Canada présente
une arborescence permettant d’accéder rapidement à la réglementation qui touche un
sujet particulier. Ainsi, le respect de la conformité devient beaucoup plus concret avec ce
guide. Il s’agit également d’une bonne source de référence pour connaître les lois et les
règlements qui s’appliquent, les analyser et faire ressortir les risques auxquels l’entreprise
est exposée. À partir de cette évaluation, il devient possible de concevoir des activités de
contrôle qui permettent d’atteindre les objectifs de conformité propres à l’entreprise.

Incidence sur les opérations


Plusieurs autres lois et règlements encadrent le fonctionnement de l’entreprise, même s’ils
n’ont pas d’incidence financière aussi directe12. Citons notamment les lois environnemen-
tales, celles sur la gestion de la salubrité dans l’industrie de l’alimentation ou le Code de la
sécurité routière. La violation de telles lois peut avoir de graves conséquences sur l’entre-
prise, voire mettre sa pérennité en péril. À titre d’exemple, un restaurant pourrait perdre
son permis et sa réputation s’il était reconnu coupable d’un manquement à la Loi sur les
produits alimentaires du Québec. De manière générale, l’entreprise doit gérer les risques
associés à cette éventualité. Par ailleurs, comme nous l’avons vu au premier chapitre, la fron-
tière entre le contrôle de la qualité et le contrôle interne se veut parfois mince en matière
de conformité13.

12. Au bout du compte, le non-respect d’une loi ou d’un règlement entraîne presque toujours des consé-
quences financières.
13. Plusieurs PME ne disposent d’aucun service de contrôle de la qualité. Dans ces cas, le système
de contrôle interne doit absolument permettre de gérer les risques liés à la non-conformité aux lois et
aux règlements.
Chapitre 3 Référentiels et système de contrôle interne 35

Parties du
ENCADRÉ 3.2

Partie I Organisation des entités


Droit des sociétés
Franchisage
Droit sur les sociétés contractuelles
Organismes de bienfaisance enregistrés
Partie II Financement
Finances
Mathématiques nancières
Aide gouvernementale
Investissements
Résumé de la Loi sur les valeurs mobilières
Partie III Conformité régulière
Emploi
Assurance-emploi
Régimes de retraite privés
Programmes publics de retraite et de sécurité
Fiscalité – généralités
Santé et sécurité au travail
Partie IV Conformité périodique
Commerce électronique et loi sur l’Internet
Accès à l’information et protection de la vie privée
Assurance
Propriété intellectuelle
Loi sur le recyclage des produits de la criminalité et le nancement des activités terroristes
Partie V Questions internationales
Investissement étranger
Commerce international
Impôt sur le revenu fédéral et d’État aux États-Unis
Partie VI Questions de finances personnelles
Droit de la famille
Lois régissant les ducies et imposition des ducies
Testaments et planication successorale
Partie VII Restructuration
Faillite
Insolvabilité
Achat et vente d’une entreprise
Source : Adapté de CPA Canada. (2011). Guide sur la conformité pour les entreprises canadiennes. Toronto,
Ontario : CPA Canada.
36 Partie 1 Fondements théoriques

S’il s’avère particulièrement difficile de développer des activités de contrôle


interne axées sur la conformité aux lois et aux règlements qui ont une incidence sur
les opérations, c’est qu’elles doivent s’appliquer à d’autres systèmes d’information
que ceux qui traitent les informations comptables et financières. On doit alors bien
cerner les systèmes de données qui y sont associés, en déterminer les risques inhé-
rents et élaborer des activités de contrôle en conséquence. Il faut également effectuer
un bon travail d’analyse afin de bien circonscrire tous les éléments légaux auxquels
l’entreprise est assujettie.

3.2.2 Cinq éléments de contrôle du cube COSO


Les différents encadrés liés aux principes relatifs au contrôle de la présente section sont
traduits du document Internal Control over External Financial Reporting : A Compendium
of Approaches and Examples publié en septembre 2013 par le COSO. La numérotation
des principes est la même que celle utilisé dans le document original. Voilà pourquoi cette
numérotation se poursuit d’un encadré à l’autre.

Environnement de contrôle
Dans le cadre de son approche, le COSO postule explicitement que l’environnement
de contrôle constitue la pierre angulaire des autres éléments de contrôle, car il pro -
cure la discipline et les structures essentielles au contrôle interne (Chtioui et Thiery-
Dubuisson, 2011). L’environnement de contrôle englobe les rouages de base nécessaires
au bon fonctionnement de l’organisation. Comme le montre l’encadré 3.3, le référen-
tiel COSO propose cinq principes à respecter pour disposer d’un environnement de
contrôle propice à un bon système de contrôle interne. Ces principes s’articulent autour
des processus de délégation de pouvoir et de gestion des ressources humaines (RH).
Bien que les structures aient leur importance, c’est l’humain qui se trouve au centre de
l’environnement de contrôle.
Sans trop vouloir insister sur les structures de l’environnement de contrôle, il va
de soi que, pour fonctionner adéquatement, un système de contrôle interne a besoin
d’un certain nombre de structures organisationnelles et d’un environnement favorable.
Dans la section en cours, nous présentons les principes formulés par le COSO de façon
systémique afin d’en faciliter la compréhension ainsi que l’adaptation à la réalité de
chaque entreprise (voir l’encadré 3.3).

Principes relatifs à l’environnement


ENCADRÉ 3.3 de contrôle selon le COSO

1. L’organisation s’engage à être intègre et à respecter des valeurs éthiques.


2. Le conseil d’administration (CA) est indépendant de la direction et il exerce une
surveillance sur le développement et le fonctionnement du système de contrôle
interne.
3. La direction, sous la supervision du CA, met en place des structures, un processus
de délégation de pouvoir et un système de reporting pour assurer l’atteinte des
objectifs organisationnels.
4. L’organisation démontre sa volonté de recruter, de former et de conserver
des employés ayant les compétences nécessaires à l’atteinte des objectifs
organisationnels.
5. L’organisation s’assure que les employés sont conscients de leur responsabilité per-
sonnelle dans le fonctionnement du système de contrôle interne et dans l’atteinte
des objectifs organisationnels.
Source : Adapté de COSO. (2012). Internal Control – Integrated Framework : Framework and Appendices. http://
aechile.cl/wp-content/uploads/2012/11/coso_framework_body1.pdf
Chapitre 3 Référentiels et système de contrôle interne 37

FIGURE 3.6 Approche systémique de l’environnement de contrôle

Environnement
de contrôle
Principe 1 Principe 2

Culture
Intégrité
organisationelle
Principes 4 et 5 Principe 3

Ressources Structures
humaines de pouvoir

Conseil Autorité et
Gestion des RH Compétences
d’administration reponsabilités

L’approche systémique permet également de garder le cap sur la philosophie qui


guide le présent ouvrage en focalisant sur les principes les plus pertinents pour les gestion-
naires de PME (voir la gure 3.6). De plus, l’étude approfondie du CA relevant davantage
de la gouvernance des organisations que du contrôle interne à proprement parler, nous ne
nous y attarderons pas outre mesure.
Rappelons que le référentiel COSO est d’abord conçu pour les entreprises cotées en
Bourse qui doivent répondre à des impératifs légaux en matière de contrôle interne. Par
exemple, dans le cas des sociétés ouvertes, la composition et le rôle du comité d’audit sont
assujettis à une certaine réglementation14. Pour leur part, les sociétés fermées15 ont très
peu de contraintes en la matière, si ce n’est qu’elles doivent mettre en place un système
de contrôle suffisant pour assurer le bon déroulement de leurs activités. En effet, dans
plusieurs PME, le CA est souvent composé uniquement des principaux actionnaires qui
participent dans bien des cas à la gestion quotidienne de leur entreprise, contrairement
aux sociétés ouvertes, lesquelles bénéficient généralement d’une certaine représentation
de personnes externes et souvent indépendantes.

Intégrité
On parle parfois d’intégrité organisationnelle comme si l’entreprise était une personne
physique. Or, l’intégrité se rapporte plutôt à un individu qui manifeste « une probité
absolue, en étant honnête, équitable, impartial et juste » (Le Petit Robert de la langue fran-
çaise, 2015), et non à une organisation. Il s’agit d’un comportement qui va bien au-delà
du simple respect des lois et des règlements. Lorsqu’elle prend une décision, la personne
intègre tient compte des différentes parties prenantes. Elle cherche à établir un juste
équilibre entre les objectifs organisationnels, ses propres intérêts et ceux des autres parties
prenantes. Dans l’absolu, l’intégrité pourrait même amener un employé à faire des choix
qui ne sont pas totalement compatibles avec les intérêts de l’entreprise pour laquelle il
travaille. Les chantres de l’intégrité affirment qu’il est toujours dans l’intérêt à long terme
de l’entreprise que ses membres se comportent de façon intègre.

14. Les sociétés ouvertes doivent en effet respecter le règlement 52-110 sur le comité d’audit de l’AMF du
Québec.
15. L’expression « sociétés fermées » désigne les entreprises qui ne sont pas cotées en Bourse, par opposition
aux sociétés ouvertes, qui, elles, le sont.
38 Partie 1 Fondements théoriques

À titre d’exemple, pour éviter d’effrayer un investisseur potentiel et l’amener à investir


dans son entreprise, un gestionnaire dénué d’intégrité pourrait lui cacher une poursuite
judiciaire en cours. Toutefois, ce comportement pourrait avoir des répercussions négatives à
long terme, notamment si l’entreprise était plus tard tenue de verser certains montants à la
suite du dénouement défavorable d’un procès. Elle perdrait alors toute crédibilité auprès
de l’investisseur et même peut-être auprès d’autres parties prenantes.
Dans d’autres circonstances, un manque d’intégrité pourrait également être motivé
par le désir d’un gestionnaire de profiter personnellement d’un avantage quelconque.
Il pourrait par exemple surévaluer des résultats afin d’obtenir une prime de rendement
convoitée.
Dans l’analyse des différents cycles d’affaires, il faut garder en tête que l’intégrité
est un état d’esprit individuel. Cet aspect de l’environnement de contrôle peut varier
d’un cycle à l’autre au sein d’une même entreprise. Les employés qui travaillent dans le
cycle des achats n’ont pas forcément le même degré d’intégrité que ceux qui travaillent
dans le cycle des ventes.
Bien que tous les employés doivent adopter un comportement intègre, il s’avère encore
plus important que la haute direction et les gestionnaires agissent de même. Dans toute
organisation, l’exemple donné par la haute direction influence généralement le compor-
tement des autres employés. Comme le dit si bien l’expression populaire : « Ce qui vaut
pour l’un vaut aussi pour l’autre. » Les gestes posés ont souvent beaucoup plus d’effet sur
les subordonnés que les beaux discours et les codes d’éthique publiés dans les entreprises.

Culture organisationnelle
Si l’intégrité est une caractéristique intrinsèque à l’individu, la culture se rapporte pour sa
part à l’entreprise. Selon Thevenet (Lassoued, 2005), la culture d’entreprise16 se veut un
ensemble d’hypothèses de base et d’évidences partagées (parfois de façon inconsciente)
par les membres d’une organisation. La culture se construit au cours de l’histoire de
l’entreprise pour affronter les problèmes qu’elle rencontre. La culture regroupe les façons
de faire et les croyances qui sont véhiculées au sein de l’entreprise et servent de point
d’ancrage à la prise de décisions. Certes, la culture de l’entreprise englobe sa vision, sa
mission, ses objectifs organisationnels, ses procédures internes et ses autres règles claire-
ment énoncées, mais elle va encore bien plus loin.
Ces hypothèses de base ou croyances, quant aux « bonnes » façons de penser et d’agir
dans l’entreprise, sont autant de valeurs de référence reconnues par les membres de
l’organisation qui n’ont pas besoin de démonstration et qui sont la base de toute
réflexion, attitude et comportement (Lassoued, 2005).
La culture organisationnelle teinte le comportement des employés et a des répercussions
sur le fonctionnement du système de contrôle interne. Par exemple, certaines entreprises
appréhendent davantage les risques que d’autres. Elles ont alors souvent tendance à se
montrer plus rigoureuses dans l’application des mesures de contrôle interne que les orga-
nisations plus à l’aise avec les risques. Cette attitude joue aussi un rôle non négligeable
sur le nombre d’activités de contrôle en place.

Gestion des ressources humaines


Le quatrième principe énoncé dans l’encadré 3.3 (voir la page 36) suppose que l’entre-
prise a mis en place un système de gestion des RH efficace qui inclut entre autres un
processus d’embauche, de formation et d’évaluation des employés (voir la gure 3.7 ).
Comme l’efficacité et l’efficience du contrôle interne reposent en grande partie sur les
employés, il est primordial que ceux-ci possèdent une attitude exemplaire et des apti-
tudes suffisantes.
Avant d’entreprendre son processus d’embauche, l’entreprise doit préparer une des-
cription de tâches pour le poste à pourvoir, déterminer la formation générale requise, fixer

16. Certains auteurs utilisent l’expression « philosophie de gestion » pour exprimer la même réalité.
Chapitre 3 Référentiels et système de contrôle interne 39

Trois activités de gestion des RH


FIGURE 3.7 qui influencent le contrôle interne

le nombre d’années d’expérience souhaité et, enfin, définir les autres exigences liées à l’em-
ploi. L’offre d’emploi ainsi élaborée doit ensuite être assez largement diffusée pour rejoindre
les employés potentiels. Dans le processus de sélection des candidats, il faut tenir compte
des exigences de l’offre. Les entrevues visent à obtenir un supplément d’information sur les
candidats retenus, mais elles doivent également servir à évaluer d’autres facteurs humains,
comme la capacité du candidat à adhérer à la culture de l’entreprise. En fonction du poste
à pourvoir, il peut s’avérer souhaitable de vérifier l’intégrité du futur employé. D’ailleurs,
certaines sociétés se spécialisent dans ce genre de recherche.
Recruter les bonnes personnes n’est pas tout ; encore faut-il s’assurer qu’elles entre-
tiennent leurs connaissances et leurs compétences au cours des années. À cette fin, les
entreprises répertorient les besoins de leurs employés en matière de formation et déve-
loppent des programmes en conséquence. Toutefois, compte tenu du peu de ressources
internes disponibles, très souvent les PME inscrivent leurs employés à des séances de
formation données par des organismes externes, au lieu de les concevoir elles-mêmes.
De plus, les besoins de formation varient beaucoup d’un poste à l’autre. Comme
nous le verrons dans la section intitulée « Information et communication » (voir la
page 48 ), il ne faut pas oublier la formation qui se rapporte directement aux activités
de contrôle. Les mesures de contrôle évoluent en effet au fil du temps et les employés
doivent parfaire leurs connaissances et leurs compétences pour pouvoir s’adapter aux
nouvelles tendances.
Enfin, il faut évaluer périodiquement les employés pour s’assurer qu’ils atteignent les
objectifs fixés et ajuster le tir, le cas échéant. Cet exercice permet également d’élaborer un
plan de formation avec chaque employé ainsi que de connaître ses objectifs de carrière et
ses sources d’insatisfaction. Au final, une bonne gestion de ces facteurs contribue généra-
lement à accroître la rétention du personnel.

Compétences
Même si les compétences font partie de la gestion des RH, il s’agit d’aptitudes tellement
importantes qu’il n’est pas superflu d’en faire un point distinct. Comme le montre la figure 3.8
(voir la page suivante), une compétence résulte d’une combinaison de savoir, de savoir-être
et de savoir-faire. La personne doit tout d’abord acquérir un bagage de connaissances dans
un domaine donné. Nous nous intéressons ici principalement aux connaissances en compta-
bilité, en administration et en gestion des organisations. Puis, à ce savoir s’ajoute le savoir-être,
lequel fait référence aux aptitudes et aux comportements nécessaires pour déployer les connais-
sances acquises dans un contexte donné. Enfin, le savoir-faire se rattache aux méthodes et aux
procédures à suivre pour appliquer ces connaissances à une situation particulière.
Comme l’illustre la figure 3.8, les types de savoir qui caractérisent différents travail-
leurs au sein de l’entreprise se recoupent en certains endroits. Par exemple, une combinai-
son du savoir et du savoir-être est caractéristique d’un individu connaissant, c’est-à-dire
40 Partie 1 Fondements théoriques

capable de communiquer adéquatement l’information sur un sujet donné en utilisant


le vocabulaire approprié. L’employé, qui naît du croisement entre le savoir-être et le
savoir-faire, est une personne en mesure d’appliquer ses connaissances à une situation
donnée en faisant montre d’une bonne attitude, sans pour autant comprendre tous les
concepts sur lesquels reposent ses actes. Les commis et les préposés appartiennent souvent
à cette catégorie. Par ailleurs, la combinaison du savoir et du savoir-faire engendre ce
que Boudreault nomme les performants, c’est-à-dire les individus qui associent la réus-
site d’une action à sa finalité. Enfin, c’est la réunion de ces trois éléments qui permet de
considérer une personne comme compétente d’un point de vue professionnel.

FIGURE 3.8 Composantes de la compétence professionnelle

Source : Blogue d’Henri Boudreault. Repéré au http://didapro.me/videos/competence-professionnelle.

Pour qu’un environnement de contrôle soit propice au bon fonctionnement d’un sys-
tème de contrôle interne, les employés doivent posséder les compétences suffisantes pour
mener à bien les tâches qui leur sont attribuées. Si par exemple un contrôleur connaît
en profondeur les normes comptables qui régissent l’évaluation des stocks, mais qu’il ne
maîtrise pas les procédures de la prise d’inventaire physique de fin d’exercice, le solde des
stocks aux états financiers risque alors d’être erroné. Il lui manque le savoir-faire nécessaire
pour accomplir adéquatement son travail.
Par ailleurs, plus un employé occupe un poste stratégique dans le fonctionnement du
système de contrôle interne, plus son manque de compétences a de répercussions signifi-
catives sur la bonne marche de celui-ci. À titre d’exemple, si les compétences du respon-
sable de l’autorisation des limites de crédit des clients laissent à désirer, les conséquences
sur le recouvrement des comptes clients risquent de s’avérer plus importantes que si c’est
le préposé à la saisie des commandes qui présente une telle lacune.

Conseil d’administration
Comme nous l’avons déjà mentionné, les recommandations du COSO concernant le
CA s’appliquent surtout aux entreprises cotées en Bourse. Bien que le présent ouvrage
ne porte pas précisément sur ce type d’entreprises, il convient néanmoins de tracer les
grandes lignes du CA, dont traite plus en détail le chapitre 2.
Chapitre 3 Référentiels et système de contrôle interne 41

Le CA constitue l’instance suprême en matière de gouvernance d’entreprise. Selon


plusieurs auteurs, il devrait se composer de membres compétents et indépendants. Les
opinions divergent toutefois quant au type d’indépendance qui s’impose, mais il semble
y avoir consensus en ce qui concerne le caractère impératif de l’indépendance à l’égard de
la haute direction. En effet, selon l’Institut sur la gouvernance d’organisations privées et
publiques, l’indépendance vis-à-vis de la direction se trouve à la base du concept d’indé-
pendance (Allaire, 2008).
Le CA voit à la conduite adéquate de l’entreprise et surveille les agissements de la
haute direction. Ultimement, c’est à lui qu’incombe la responsabilité de la mise en place et
du suivi des activités de contrôle interne. Dans ces tâches, il reçoit bien sûr l’assistance des
hauts dirigeants ainsi que l’aide des employés chargés de concevoir le système de contrôle
interne, de l’implanter, puis d’en assurer le bon fonctionnement.
Au moment de l’analyse de l’environnement de contrôle, il faut tenir compte de
la composition du CA, s’il en existe un. Notons que l’absence de CA ne témoigne pas
nécessairement d’un problème majeur dans l’environnement de contrôle. Dans pareil
cas cependant, il importe de s’assurer qu’il existe d’autres mécanismes qui comblent le
vide laissé par de cette absence. Par exemple, au sein d’une entreprise, il se peut que l’ac-
tionnaire principal assume également les rôles de directeur général et de responsable du
contrôle interne. C’est une situation dialectique qui comporte des avantages et des incon-
vénients, selon le point de vue adopté. Elle apporte notamment un avantage au proprié-
taire de l’entreprise, parce qu’il peut surveiller directement ses intérêts. Par contre, elle
entraîne un inconvénient potentiel pour les autres parties prenantes (pour les actionnaires
minoritaires, par exemple), puisque le dirigeant peut alors faire fi de leurs intérêts en
contournant les mesures de contrôle en place.
Cependant, il ne faudrait pas interpréter négativement la situation de plusieurs PME
dirigées par leur propriétaire. Nous ne présenterons pas ici les nombreux avantages d’un
contexte semblable. Notons toutefois que, sur le plan du contrôle interne, une telle situa-
tion peut comporter certains défis, principalement lorsqu’il y a des actionnaires minori-
taires qui ne participent pas à la gestion quotidienne de l’entreprise. Certaines sources de
contrôle externe (les auditeurs externes ou les bailleurs de fonds, par exemple) viennent
malgré tout rétablir un peu d’équilibre dans le rapport de force interne parfois inégal dans
ce genre d’entreprise. Nous traiterons plus en détail de cette situation au chapitre 5, qui
porte sur les environnements particuliers.

Autorité et responsabilités
Pour qu’une organisation fonctionne de façon efficiente et efficace, il faut définir les
pouvoirs et les responsabilités le plus clairement possible et arrimer chaque niveau
d’autorité au niveau de décision approprié. Cette délégation incontournable pré-
sente des défis majeurs. Par exemple, le directeur général d’une chaîne d’alimentation
ne peut pas régler les problèmes de gestion d’horaire du personnel de l’ensemble des
épiceries. Il délègue alors ce pouvoir aux directeurs des différentes succursales, qui en
délèguent à leur tour une partie aux chefs de service. Le directeur de chaque épice-
rie peut ensuite contrôler sa délégation de pouvoir en s’assurant que le nombre total
d’heures allouées à chacun des services ne dépasse pas celui préalablement autorisé.
Cette délégation doit aussi veiller à bien répartir les tâches de façon à améliorer le contrôle
interne.
Comme nous le verrons tout au long du manuel, la séparation des tâches incom-
patibles requiert un équilibre parfois difficile à atteindre, puisqu’elle peut être perçue
comme de la bureaucratie inutile qui alourdit le fonctionnement de l’entreprise. Tou-
tefois, c’est toujours après la découverte d’une fraude évitable (c’est-à-dire qu’on aurait
pu prévenir si on avait adéquatement divisé les différentes fonctions) qu’on accuse un
gestionnaire de s’être montré négligent en confiant des responsabilités incompatibles à
un même employé. Voilà la réalité en matière de contrôle interne. Cependant, il ne faut
jamais perdre de vue les objectifs de l’entreprise, ni les risques de non-réalisation qui y
sont associés.
42 Partie 1 Fondements théoriques

Comme le montre la figure 3.9, certaines fonctions doivent de préférence être exécu-
tées par des personnes différentes. Parmi celles-ci figurent l’autorisation ou l’approbation
des opérations liées aux actifs, l’enregistrement de ces transactions, la garde des actifs et
le rapprochement des comptes. Pour accroître la qualité du système de contrôle interne,
on doit tenir compte de ce partage des fonctions incompatibles en tentant de les répartir
entre plusieurs employés.

FIGURE 3.9 Principales fonctions incompatibles

Pour illustrer ce partage, prenons l’exemple de l’achat d’un camion destiné à la livrai-
son de marchandise. Dans ce cas, le directeur général de l’entreprise approuve d’abord
l’achat. Puis, l’acheteur prépare le bon de commande (ce qui constitue l’enregistrement
de l’a transaction) et l’expédie au concessionnaire. Ensuite, le responsable du parc des
véhicules assure la gestion du camion acheté (ce qui constitue la garde de l’actif ). Enfin,
le préposé à la comptabilité vérifie périodiquement si le bien immobilisé (en l’occurrence, le
camion) qui figure à l’auxiliaire des immobilisations existe vraiment (ce qui constitue
le rapprochement).
En somme, une séparation des tâches appropriée permet d’éviter qu’une personne
malveillante puisse commettre un méfait et le camoufler en manipulant ensuite les
registres de l’entreprise. En effet, si les fonctions sont bien réparties dans l’entreprise,
pour dissimuler son méfait, un fraudeur aurait absolument besoin de l’aide d’un autre
employé. Or, la nécessité d’une telle collusion complique la fraude, ce qui réduit le risque
qu’elle se produise.

1. Autorisation ou approbation
L’autorisation ou l’approbation constitue le point de départ de la plupart des opérations
au sein d’une entreprise. Il s’agit du pouvoir exercé par une autorité compétente pour per-
mettre la réalisation d’une opération. Par exemple, des employés disposant des pouvoirs
appropriés peuvent autoriser l’ouverture de comptes clients ou l’achat d’immobilisations,
approuver les feuilles de temps des employés ou effectuer une multitude d’autres activités
de ce genre. L’autorisation se donne avant que l’opération ait lieu, tandis que l’approba-
tion survient après. Dans les deux cas, il s’agit d’une étape nécessaire pour que l’opération
suive son cours.

2. Enregistrement
À la suite de leur autorisation ou de leur approbation, la très grande majorité des opéra-
tions doivent être inscrites dans les registres comptables. Ces enregistrements vont bien
au-delà des écritures de journal traditionnelles. L’utilisation d’un progiciel de gestion
intégré (PGI)17 permet de générer des écritures sans que la personne qui exécute la tâche
correspondante en soit nécessairement consciente. Par exemple, la préparation d’un bon
17. Dans l’usage, le PGI est mieux connu sous son acronyme anglais ERP (pour enterprise resource planning).
Chapitre 3 Référentiels et système de contrôle interne 43

de commande, l’enregistrement d’un dépôt provenant d’un client ou la saisie d’un bon
de réception de marchandise engendrent automatiquement une inscription dans les dif-
férentes bases de données du PGI. Le PGI contrôle partiellement la séparation des tâches
incompatibles au moyen des profils d’utilisateur et des mots de passe des employés. En
effet, en créant un utilisateur dans le système, on lui donne accès à certaines fonction-
nalités (à l’émission de bons de commande, par exemple), mais on restreint son accès à
d’autres fonctions incompatibles (à la réception de marchandise, par exemple).

3. Garde des actifs


Certains employés voient à la bonne gestion des actifs acquis par l’entreprise. Ils doivent
ainsi s’assurer que les biens sous leur supervision soient convenablement entreposés ou
conservés et qu’ils soient gérés de façon efficace et efficiente en fonction des objectifs de
l’entreprise et de leur valeur. Chaque entreprise évalue les coûts et les avantages associés
à la garde des actifs, les compare ensemble, puis prend des décisions en conséquence. Par
exemple, il arrive très souvent qu’une boutique de sport garde dans un présentoir verrouillé
les verres fumés de haute qualité, mais accroche les T-shirts sur des cintres accessibles aux
clients. Une logique semblable guide généralement la garde des actifs.

4. Rapprochement
Enfin, il est souhaitable que le rapprochement entre les actifs réels et les informations
inscrites dans les registres soit exécuté par une personne qui ne possède aucun des trois
autres niveaux d’autorité. Le rapprochement consiste à s’assurer d’une parfaite cohérence
entre les informations qui figurent dans les registres de l’entreprise et les actifs réels cor-
respondants. Il peut notamment s’agir de comparer des quantités en stock avec celles de
l’inventaire permanent dans le système informatique ; de comparer le solde d’un compte
fournisseur avec le montant de l’état de compte de ce fournisseur ; ou de préparer un
rapprochement bancaire. Si un employé responsable du rapprochement avait aussi pour
tâche d’enregistrer les opérations, il lui serait possible de camoufler d’éventuels écarts
pour dissimuler une malversation.

Évaluation des risques


L’évaluation des risques est une étape fondamentale préalable à l’élaboration des activités
de contrôle qui visent justement à réduire au minimum les risques. Étant donné la place
centrale occupée par les risques dans un système de contrôle interne, tout le chapitre 4
sera consacré à ce sujet. Dans la présente section, seuls les principaux éléments liés aux
risques sont donc abordés.
Pour faciliter la gestion des risques auxquels l’organisation fait face, le COSO énonce
quatre grands principes (voir l’encadré 3.4 à la page suivante). Essentiellement, le risque
se définit comme étant la probabilité qu’un objectif (voir la gure 3.3 à la page 30) ne se
réalise pas, c’est-à-dire comme un obstacle à son atteinte. Par ailleurs, plusieurs risques
peuvent menacer un même objectif, et un risque donné peut toucher plusieurs objec-
tifs. Supposons par exemple qu’une entreprise a pour objectif d’acheter des produits au
meilleur prix possible. Le nombre restreint de fournisseurs, l’inefficacité du processus de
soumissions et la collusion entre l’acheteur et le fournisseur sont autant de risques qui
menacent l’obtention du meilleur prix d’achat possible. D’un autre côté, le risque d’une
augmentation majeure du coût unitaire des matières premières menace à la fois l’objectif
de l’entreprise de générer des bénéfices et son objectif de croissance des ventes si l’aug-
mentation du prix de vente de ses produits fait fuir les clients. Comme le démontrera le
chapitre 4, il est possible de concevoir une matrice qui tient compte des interactions entre
les risques et les objectifs.
Plus précisément, le COSO insiste sur l’importance de tenir compte du potentiel
de fraude dans l’analyse des risques. Au départ, il faut se questionner à propos des diffé-
rences entre une erreur et une fraude, puis s’interroger au sujet des effets qu’elles peuvent
avoir sur la mise en place des activités de contrôle et de pilotage. Ainsi, une erreur est un
44 Partie 1 Fondements théoriques

événement aléatoire qui survient en raison de la mauvaise application d’une mesure de


contrôle ou de l’absence de tout contrôle, tandis que la fraude naît d’un geste délibéré
posé par un acteur qui tente ensuite de camoufler ce geste. Il s’avère donc plus difficile
de découvrir ou de prévenir la fraude, puisqu’elle survient dans des circonstances particu-
lières que le responsable essaie de dissimuler. En outre, la fraude peut aussi découler d’une
collusion entre plusieurs individus.
Par ailleurs, le dernier principe de l’encadré 3.4 rappelle que le système de contrôle
interne doit demeurer dynamique pour faire face aux changements tant internes qu’ex-
ternes auxquels l’entreprise est exposée. De plus, certains risques s’atténuent avec le temps,
alors que d’autres font leur apparition. À titre d’exemple, dans le processus de paie, main-
tenant que les calculs s’effectuent automatiquement en fonction de certains paramètres,
les risques liés aux erreurs de calcul sur les retenues à la source sont beaucoup moins
importants qu’ils ne l’étaient lorsque la paie était traitée manuellement18. À l’inverse,
depuis l’avènement des opérations bancaires électroniques, les risques relatifs aux trans-
ferts de fonds frauduleux se veulent beaucoup plus élevés qu’ils ne l’étaient à l’époque des
paiements par chèque.

Activités de contrôle
Si l’environnement de contrôle est considéré comme la pierre angulaire du contrôle
interne, les activités de contrôle constituent les matériaux assemblés pour obtenir un
système de contrôle interne efficient. Autant l’environnement de contrôle peut être
diffus, autant les activités de contrôle sont concrètes et précises. L’encadré 3.5 présente
les trois principes du COSO guidant l’élaboration des activités de contrôle. Ces prin-
cipes font référence à la réduction des risques et à l’atteinte des objectifs, à la nécessité
de mettre en place des mesures de contrôle général au moyen d’une infrastructure
technologique, ainsi qu’à la mise en place des politiques et des procédures nécessaires
pour mettre le tout en œuvre.
Même si cela ne se trouve pas mentionné explicitement dans les principes du COSO,
les éléments d’un bon système de contrôle interne devraient être consignés, et la docu-
mentation ainsi créée devrait être accessible aux personnes concernées. Il est possible
d’analyser les activités de contrôle sous plusieurs angles. Voici un exemple de typologie
pratico-pratique facilitant l’élaboration des activités de contrôle.
La compréhension des différentes mesures de contrôle est facilitée lorsqu’elles sont
regroupées selon trois perspectives différentes. Comme le montre la figure 3.10, il y a la

Principes relatifs à l’évaluation des risques


ENCADRÉ 3.4 selon le COSO

6. L’organisation élabore ses objectifs avec sufsamment de clarté pour qu’il soit
possible d’évaluer les risques susceptibles d’empêcher leur réalisation.
7. L’organisation cerne les risques susceptibles d’empêcher la réalisation
de ses objectifs et les analyse de manière à déterminer la meilleure façon de
les gérer.
8. L’organisation prend en considération le potentiel de fraude dans l’analyse des
risques.
9. L’organisation détermine et évalue les changements qui pourraient avoir des réper-
cussions sur le système de contrôle interne.
Source : Adapté de COSO. (2012). Internal Control – Integrated Framework : Framework and Appendices.
http://aechile.cl/wp-content/uploads/2012/11/coso_framework_body1.pdf

18. Cela n’est toutefois vrai que si les fichiers maîtres contiennent des données qui ne sont pas fiables.
Chapitre 3 Référentiels et système de contrôle interne 45

Principes relatifs aux composantes


ENCADRÉ 3.5 des activités de contrôle selon le COSO

10. L’organisation choisit et crée des activités de contrôle susceptibles de réduire à un


niveau acceptable les risques de non-réalisation de ses objectifs.
11. L’organisation choisit et crée des activités de contrôle général à l’aide de moyens
technologiques an de soutenir la réalisation de ses objectifs.
12. L’organisation élabore des politiques et des procédures pour mettre en œuvre les
activités de contrôle qu’elle a créées.
Source : Adapté de COSO. (2012). Internal Control – Integrated Framework : Framework and Appendices.
http://aechile.cl/wp-content/uploads/2012/11/coso_framework_body1.pdf

perspective du moment où on applique la mesure de contrôle, celle des systèmes en cause


et, enfin, celle du mode d’application de cette activité. Une même activité de contrôle
peut à la fois être analysée sous chacun de ces trois angles et être classée dans les trois
groupes en même temps.
Dans les paragraphes qui suivent, les critères de classification des activités de
contrôle de la figure 3.10 sont présentés en détail. Cette catégorisation facilite le
choix des mesures de contrôle à mettre en place en permettant de répondre à des
questions telles que : Doit-on implanter une activité de contrôle de prévention ou de
détection ? Quel mode (général ou d’application) répondrait le mieux à une situation
donnée ? Est-il plus efficace et efficient d’implanter une activité de contrôle manuelle
ou informatique ?

FIGURE 3.10 Types d’activités de contrôle

Source : Adapté de Institut français de l’audit et du contrôle internes et PriceWaterhouseCoopers. (2007). La pratique du contrôle interne : COSO Report.
Paris, France : Les Éditions d’Organisation.
46 Partie 1 Fondements théoriques

Moment d’application
Puisque le contrôle interne vise à réduire les risques de non-réalisation des objectifs,
il est sans doute préférable de disposer d’activités de contrôle de prévention, c’est-
à-dire de mesures qui permettent de cibler les erreurs ou les fraudes avant qu’elles
ne surviennent. Comme le dit si bien l’expression populaire : « Mieux vaut prévenir
que guérir. » Partant de là, on serait à même de mettre en doute l’utilité des activités
de contrôle de détection ou de se demander si leur existence ne représente pas en soi
un constat navrant des limites de la prévention. Certes, il y a malheureusement un
peu de vrai dans cette logique, mais d’autres raisons justifient également l’utilisation
d’activités de contrôle de détection.
Chaque mesure de contrôle interne a ses limites et son application peut parfois se
révéler défaillante, même si l’activité comme telle se veut tout à fait appropriée. De plus,
le système de contrôle interne est vulnérable à la collusion entre différents employés qui
occupent des fonctions incompatibles (voir la gure 3.9 à la page 42) ou aux contourne-
ments par les membres de la haute direction, qui peuvent utiliser leur pouvoir coercitif
pour arriver à leurs fins. Voilà donc quelques motifs qui justifient le recours à des activités
de contrôle de détection à appliquer a posteriori.
Au-delà des limites inhérentes au contrôle interne, il faut également tenir compte
de la relation coûts-bénéfices. L’application d’une procédure de prévention s’avère par-
fois plus coûteuse que celle d’une mesure de contrôle de détection. Par exemple, en vue
de s’assurer que le prix de vente d’un produit soit suffisant pour obtenir la marge brute
souhaitée, une entreprise pourrait mettre en place une activité de contrôle consistant
à comparer le prix de vente avec le coût du produit au moment de chaque opération, à
calculer le pourcentage de marge brute, à effectuer un rapprochement avec le pourcentage
souhaité et à approuver l’opération lorsque le prix de vente permet d’atteindre l’objectif
de rentabilité visé.
Or, en raison du rapport entre les coûts et les avantages, nombre d’entreprises
préfèrent mettre en place une activité de contrôle de détection consistant à produire
un rapport périodique qui présente la marge brute de toutes les ventes de la période19.
Un responsable doit alors effectuer le suivi des marges brutes jugées trop faibles et
prendre les mesures qui s’imposent, en modifiant par exemple un prix de vente en vue
des opérations suivantes.

Systèmes d’information
Comme le chapitre 6 traite de façon approfondie de l’incidence des technologies
sur le contrôle interne, seules les grandes lignes des activités de contrôle liées aux
systèmes d’information seront présentées ici. La figure 3.11 expose les principales
composantes des deux catégories d’activités de contrôle rattachées aux systèmes
d’information.
Comme leur nom le suggère, les activités de contrôle général ont une portée
plus étendue sur le contrôle interne que celles d’application, puisqu’elles touchent
habituellement les opérations du centre de traitement, l’acquisition et la main-
tenance des logiciels d’exploitation, les contrôles d’accès, ainsi que le développe-
ment et la maintenance des applications (Institut français de l’audit et du contrôle
internes [IFACI] et PriceWater houseCoopers [PWC], 2007). Elles peuvent donc
servir à plusieurs modules en même temps. Le contrôle d’accès en représente un très
bon exemple. C’est lors de la création d’un code d’accès, et ultérieurement lors sa
mise à jour, qu’on détermine les applications auxquelles un employé a droit. Ainsi,
la séparation des tâches incompatibles se gère en partie au moyen de la création
des droits d’accès.
En revanche, les activités de contrôle des applications focalisent sur une seule
fonction particulière du progiciel de gestion utilisé. Par exemple, une telle mesure
de contrôle pourrait strictement porter sur la gestion de la paie. De façon générale,

19. Certaines entreprises produisent un tel rapport quotidiennement.


Chapitre 3 Référentiels et système de contrôle interne 47

FIGURE 3.11 Activités de contrôle général et des applications

Source : Adapté de CPA Canada. (2014). Guide du praticien canadien. Toronto, Ontario : CPA Canada.

les activités de contrôle de ce type permettent d’assurer l’exhaustivité et l’exactitude


des traitements des transactions, leur autorisation et leur validité (IFACI et PWC,
2007). Grâce à ces activités de contrôle, une certaine validation des données se
fait automatiquement, c’est-à-dire indépendamment de la personne qui saisit les
renseignements. Par exemple, des formats sont parfois prescrits pour le numéro de
téléphone, le code postal, le numéro d’un produit ou la date d’achat. Dans pareil cas,
le système s’assure que les données saisies respectent ces formats. En conséquence,
certaines erreurs attribuables à une mauvaise saisie peuvent être détectées et corrigées
à la source. Il peut également y avoir des contrôles en matière de vraisemblance qui
empêchent par exemple de saisir une date de livraison antérieure à la date du jour
ou qui exigent une approbation en cas de dépassement d’une certaine période (par
exemple, de plus de 60 jours).
Selon nous, la gestion des fichiers maîtres fait également partie des mesures de
contrôle liées aux systèmes d’information qui profitent à plusieurs modules. Prenons
l’exemple de la création et de la gestion du fichier maître des clients. Lors de la création
d’une fiche client, on inscrit plusieurs renseignements qui doivent ultérieurement ser-
vir au traitement des transactions. Ainsi, l’adresse de livraison doit servir au service de
l’expédition ; le code de taxe de vente, au calcul des taxes à percevoir ; la limite de crédit,
à l’autorisation des commandes ; le code postal, à la présentation des ventes par terri-
toire ; etc. Une mauvaise gestion des fichiers maîtres pourrait avoir des effets multiples
et répétitifs sur les trois catégories d’objectifs définies dans le référentiel COSO (voir la
gure 3.3 à la page 30).

Mode d’application
Comme le montre le tableau 3.4 (voir la page suivante), en comparant les avantages
rattachés à chacun des deux modes d’application des activités de contrôle interne,
on constate que ce sont souvent les circonstances qui dictent l’utilisation d’un mode
de contrôle plutôt qu’un autre. Ainsi, les mesures de contrôle automatisées ont
48 Partie 1 Fondements théoriques

TABLEAU 3.4 Avantages relatifs à chacun des deux modes


d’application
Activités de contrôle manuelles Activités de contrôle automatisées

• Utilisées pour suivre l’efcacité des ac- • Application systématique des règles prédénies et
tivités de contrôle automatisées. exécution des calculs complexes en traitant d’impor-
• Particulièrement appropriées dans les tants volumes d’opérations ou de données.
domaines qui font appel au jugement • Accroissement de la rapidité, de la disponibilité et de
et à l’appréciation relativement à des l’exactitude des données.
opérations importantes de nature inha- • Facilitation de l’analyse plus poussée des données.
bituelle ou non récurrente.
• Accroissement de la capacité de faire le suivi des ré-
• Avantageuses dans les situations où il sultats des activités de l’entreprise, ainsi que de ses
est difcile de dénir, d’anticiper ou de politiques et procédures.
prévoir les erreurs.
• Réduction du risque de contournement des activités
• Les nouvelles situations peuvent né- de contrôle interne.
cessiter, en matière de contrôle, une
réponse que ne permet pas une acti- • Accroissement de la capacité à réaliser une sépa-
ration efcace des tâches en mettant en place des
vité de contrôle automatisée existante.
contrôles d’accès appropriés dans les applications,
les bases de données et les systèmes d’exploitation.
Source : Adapté de CPA Canada. (2014). Guide du praticien canadien. Toronto, Ontario : CPA Canada.

l’avantage d’être plus rapides d’exécution et d’application systématique ; de per-


mettre un traitement de données plus important ; et de cristalliser la séparation des
tâches incompatibles.
D’autre part, les activités de contrôle manuelles ont l’avantage d’être plus flexibles et
peuvent s’adapter à des situations moins prévisibles. Les entreprises font parfois face à des
circonstances qu’elles n’avaient pas envisagées et qui exigent une prise de décision rapide.
Supposons par exemple qu’un client passe dans un magasin pour effectuer des achats impor-
tants et qu’il souhaite venir acquitter sa facture dans deux jours. Selon la politique de l’entre-
prise, toutes les ventes doivent immédiatement être réglées au comptant, par carte de débit
ou de crédit. La caisse enregistreuse n’est donc pas programmée pour créer des comptes
clients. Vu la situation, la gérante du magasin pourrait avoir le pouvoir d’autoriser une telle
transaction en faisant certaines vérifications de crédit. Un tel exemple montre bien la flexi-
bilité des activités de contrôle manuelles.
De plus, de par leur nature, certaines activités de contrôle telles que l’inspection des
produits lors de la réception de marchandise, le dénombrement des stocks ou la vérifica-
tion de l’authenticité d’une signature sont difficiles à automatiser. Dans ces circonstances,
les activités de contrôle manuelles s’imposent d’office.

Information et communication
L’élément de contrôle que constituent l’information et la communication fait réfé-
rence à la manière dont les renseignements circulent entre les différentes compo-
santes de l’entreprise. Pour fonctionner adéquatement, le système de contrôle interne
a besoin de recevoir constamment des données. Comme le montre l’encadré 3.6,
l’entreprise se doit de respecter certains principes pour bénéficier d’un système d’in-
formation et de communication de qualité. Il lui faut notamment prêter une atten-
tion particulière à la pertinence et à la qualité des données recueillies ainsi que de leur
source. De plus, il ne faut pas oublier que cet échange d’information se fait autant
à l’interne qu’à l’externe.
Plus précisément, il est possible d’analyser le système d’information et de commu-
nication sous quatre angles différents (voir la gure 3.12). Chacune de ces perspectives
représente un élément dont il faut tenir compte dans l’analyse de la dimension infor-
mation et communication telle qu’elle se trouve définie dans le cube COSO (voir la
gure 3.2 à la page 29).
Chapitre 3 Référentiels et système de contrôle interne 49

Principes relatifs à l’information


ENCADRÉ 3.6 et à la communication selon le COSO

13. L’organisation recueille et utilise des renseignements pertinents et de qualité an


de soutenir le fonctionnement des autres composantes du système de contrôle
interne.
14. L’organisation communique à l’interne les renseignements recueillis, y compris les
objectifs xés et les responsabilités établies, an de soutenir le fonctionnement des
autres composantes du système de contrôle interne.
15. L’organisation communique avec les parties prenantes externes sur des sujets qui
inuent sur le fonctionnement des autres composantes du système de contrôle
interne.

Source : Adapté de COSO. (2012). Internal Control – Integrated Framework : Framework and Appendices.
http://aechile.cl/wp-content/uploads/2012/11/coso_framework_body1.pdf

Principales composantes de l’élément de contrôle


FIGURE 3.12 que constituent l’information et la communication

Source : Adapté de IFACI et PWC. (2007). La pratique du contrôle interne : COSO Report. Paris, France : Les Éditions d’Organisation.

Source d’information
Pour pouvoir fonctionner de façon optimale, le système de contrôle interne a constam-
ment besoin d’être alimenté en données. Ces informations doivent être de bonne qualité
et assez nombreuses pour contribuer à l’atteinte des objectifs opérationnels, des objectifs
relatifs à l’information financière et de ceux liés à la conformité aux lois et aux règle-
ments (voir la gure 3.3 à la page 30).
50 Partie 1 Fondements théoriques

D’une part, on trouve les informations provenant de l’interne, qu’on qualifie par-
fois d’endogènes. Il peut entre autres s’agir de procédures de contrôle interne, d’une liste
de prix de vente de produits, de ratios de marge bénéficiaire brute à respecter ou d’un
taux d’absentéisme du personnel à ne pas dépasser. De telles données sont recueillies au
sein même de l’entreprise et sont utilisées par les différents employés dans l’exécution
de leurs tâches. Les informations provenant de l’interne sont souvent de meilleure qua-
lité que celles issues de sources externes, puisque l’entreprise exerce généralement un
meilleur contrôle sur elles.
D’autre part, on trouve les données externes, ou exogènes, qui viennent nourrir le
système de contrôle interne et sont indispensables à son bon fonctionnement. Parmi
celles-ci peuvent notamment figurer les commandes reçues d’un client, les factures
d’achat provenant d’un fournisseur, un taux de satisfaction de la clientèle ou un taux
de cotisation à la CSST. De toute évidence, la collecte de telles données s’avère toujours
un peu plus complexe que celle des données internes, puisqu’elles sont plus difficile-
ment contrôlables. De plus, les données externes sont généralement indépendantes des
systèmes d’information de l’entreprise. Par exemple, si un changement survient dans
la Loi sur la taxe de vente du Québec, le système de facturation de l’entreprise ne se
mettra pas automatiquement à jour en conséquence ; il faudra qu’un employé informé
du changement en avise un responsable afin que des modifications soient apportées
dans le système de facturation.
Qu’elle provienne d’une source interne ou externe, l’entreprise doit continuellement
veiller à la qualité et à la diffusion adéquate de l’information recueillie ou transmise.

Qualité de l’information
Même si on parvient à élaborer le meilleur système de contrôle interne qui soit, l’exercice
est vain si ce système n’est pas alimenté en renseignements suffisants et de qualité. Comme
le dit si bien l’expression populaire : « Les mauvaises informations sont synonymes de mau-
vaises conclusions. » Dans le même ordre d’idées, ajoutons que l’absence d’information est
souvent synonyme d’absence de décision. Comme le montre la figure 3.12, pour s’avérer
de bonne qualité, les données véhiculées dans un système de contrôle interne doivent
posséder cinq caractéristiques, soit l’exactitude, l’exhaustivité, la rapidité, l’accessibilité
et la mise à jour20.
Pour commencer, il faut s’assurer que les données recueillies soient exactes, c’est-à-dire
exemptes d’erreurs. Sans une assurance raisonnable de l’exactitude de l’information,
tout le reste devient inutile, voire dommageable. Un simple renseignement erroné risque
d’entraîner la prise d’une mauvaise décision et donc l’application inadéquate d’une acti-
vité de contrôle. À titre d’exemple, si la quantité d’un produit qui se trouve dans l’inven-
taire permanent est de trois unités, mais qu’en réalité, il ne reste plus la moindre unité de
ce produit en stock, le préposé aux commandes pourrait confirmer une vente à un client à
partir des données qu’il a sous les yeux. Toutefois, au moment de préparer la commande,
le préposé à l’expédition se verrait dans l’impossibilité de livrer la marchandise, puisque le
produit en question ne serait plus sur les tablettes. En conséquence, cette erreur occa-
sionnerait une perte de vente et une réduction de la satisfaction du client. Si l’inventaire
permanent avait été exact, l’acheteur de l’entreprise aurait pu passer une commande au
fournisseur et éviter la rupture de stock.
Outre l’exactitude, l’exhaustivité des renseignements s’impose également. Elle consiste à
veiller à ce que toute l’information nécessaire à la bonne application d’une mesure
de contrôle soit présente. À cette fin, il faut préalablement déterminer les données dont
une personne ou un système informatique a besoin pour exécuter une tâche en particu-
lier. Dans certaines situations, cela va de soi, mais, dans d’autres, la démarche est plus
complexe qu’il n’y paraît. Par exemple, pour pouvoir fixer la limite de crédit d’un client,

20. En ce qui concerne certaines caractéristiques, tout en respectant l’esprit du référentiel COSO, nous
avons privilégié la terminologie employée dans le Manuel de CPA Canada – Comptabilité (CPA Canada,
2015) car, selon nous, elle exprime mieux les qualités de l’information dans certaines circonstances.
Chapitre 3 Référentiels et système de contrôle interne 51

la personne responsable a possiblement besoin d’un rapport de crédit du client produit


par une entreprise de notation (telle qu’Equifax), de ses états financiers des trois dernières
années, de son plumitif 21, de ses prévisions d’achat mensuelles, etc. En règle générale,
il s’avère souvent plus difficile de s’assurer de l’exhaustivité de l’information que de son
exactitude puisqu’un renseignement erroné est plus facile à repérer qu’une information
manquante.
Troisième caractéristique propre à l’information de qualité, la rapidité fait référence
au synchronisme entre le moment où les renseignements sont disponibles et celui où ils
sont requis pour l’application d’une activité de contrôle. La séquence des actions doit
être coordonnée de sorte que les données arrivent suffisamment rapidement pour ali-
menter le système de contrôle interne et contribuer à son bon fonctionnement. Il arrive
que l’exactitude nuise à la rapidité. En effet, pour s’assurer de l’exactitude de l’infor-
mation, il faut parfois effectuer certaines vérifications qui demandent du temps et qui
en retardent la disponibilité. Par exemple, au sein d’une entreprise, avant d’approuver
les ventes à crédit pour des clients plus ou moins connus, le service de la comptabilité
doit faire certaines vérifications. Or, même si l’enquête de crédit n’est pas terminée, les
vendeurs exercent souvent une certaine pression pour précipiter les choses de peur de
perdre des clients. Dans de telles circonstances, l’entreprise peut décider de limiter les
vérifications à effectuer (réduisant ainsi l’exactitude des données) pour accélérer le pro-
cessus de vente (accroissant ainsi la rapidité des données). Dans tous les cas, il importe
cependant de maintenir un juste équilibre entre le risque de perdre une vente et celui
de ne jamais être payé.
Une fois exacte, complète et disponible en temps opportun, l’information doit
être accessible aux personnes pertinentes, et ce, sous un format facile à utiliser. En
ce qui a trait à l’accessibilité, il faut prêter autant d’attention à la disponibilité de
l’information qu’au contrôle d’accès. Ainsi, l’entreprise doit rendre ses renseigne-
ments faciles d’accès pour les employés autorisés à les modifier, mais elle peut aussi
permettre aux autres employés susceptibles d’en avoir besoin dans le cadre de leur
travail de les consulter en mode « lecture seulement »22. Voilà un moyen efficace de
veiller à la séparation des fonctions incompatibles. Par ailleurs, les données doivent se
présenter sous une forme qui facilite l’application de la mesure de contrôle correspon -
dante. Pour les contrôles automatisés, les formats sont standards et répétitifs. Il suffit
de bien définir les besoins au départ et l’information devient accessible de la même
façon chaque fois. Cette standardisation accélère le traitement des données et réduit
les erreurs. De plus, il ne faut pas négliger le format employé pour présenter l’infor-
mation qui sera disponible pour les contrôles manuels. Par exemple, il faut classer les
bordereaux de réception de manière à faciliter le travail de l’employé responsable de
leurs appariements avec les factures des fournisseurs. Un classement inadéquat pour-
rait avoir des répercussions négatives sur l’efficience du système de contrôle interne,
car il entraînerait des pertes de temps.
Enfin, pour demeurer de qualité, l’information doit faire l’objet d’une fréquente
mise à jour. À titre d’exemple, si une entreprise ne mettait pas son inventaire perma-
nent à jour en temps réel, ses vendeurs en boutique se verraient incapables de s’y fier
pour renseigner leurs clients quant à la disponibilité des articles désirés. Ils devraient
donc eux-mêmes aller vérifier sur les tablettes la présence des produits en question.
Toutefois, la mise à jour en temps réel n’est pas toujours essentielle. Elle occasionne
parfois des problèmes techniques et engendre des délais inutiles. Par exemple, la mise
à jour de la planification des activités de production peut réduire la vitesse de fonc-
tionnent du système informatique (y compris des autres modules). Elle risque alors
de nuire à la qualité des données lorsqu’un employé travaille avec une application

21. Le plumitif est un registre dans lequel se trouvent les faits juridiques.
22. La plupart des logiciels offrent la possibilité de rendre des données accessibles soit à des fins de modifica-
tion, soit à des fins de consultation seulement. Par exemple, un employé pourrait se trouver en mesure de
consulter le fichier maître d’un fournisseur, sans toutefois pouvoir modifier les renseignements qui y figurent.
52 Partie 1 Fondements théoriques

en même temps qu’une mise à jour informatique s’effectue. Somme toute, avant de
prendre la décision de mettre des données à jour en temps réel, mieux vaut réaliser
une analyse coûts-bénéfices.

Mode de circulation de l’information


Comme nous venons de le voir, l’accessibilité compte parmi les caractéristiques inhérentes
à de l’information de qualité. Or, c’est le mode de circulation établi qui permet de s’assurer
que les renseignements appropriés soient accessibles à la bonne personne, au bon moment.
Comme le montre la figure 3.12 (voir la page 49), le COSO désigne trois directions dont
l’information peut circuler, soit de façon descendante, ascendante ou transversale. Le
sens de la communication est dicté par le type d’information et les besoins des utilisateurs.
En fonction de la taille de l’entreprise, du type d’information à transmettre ou du style de
gestion de la direction, la communication peut s’avérer plus ou moins formelle et utiliser
différents modes de circulation.
La communication descendante part des niveaux hiérarchiques les plus élevés et
se dirige vers les subordonnés. Il s’agit souvent du mode de communication le plus
officiel. On y a recours entre autres pour présenter les objectifs de l’entreprise, les
procédures de contrôle interne ou la délégation de pouvoir, notamment au moyen
d’un organigramme.
La communication ascendante suit le chemin inverse. Elle est amorcée par
un employé qui souhaite informer son supérieur d’une situation quelconque. Elle
peut entre autres prendre la forme de demandes d’autorisation pour des achats qui
dépassent un certain montant, de rapports sur les ventes par produits ou de témoi-
gnages visant à informer un supérieur d’irrégularités relevées. Quand l’information
circule de bas en haut, les modes de communication peuvent être très différents et
sont souvent influencés par les circonstances. Pour rependre les exemples précédents,
les demandes d’autorisation et les rapports se veulent généralement assez formels et
sont parfois même automatisés, tandis que les renseignements sur des irrégularités
peuvent être transmis au cours d’une conversation impromptue entre un employé et
son supérieur.
Pour ce qui est de la communication transversale, elle s’opère entre des services qui
ont besoin de renseignements provenant d’un autre service. C’est le cas, par exemple,
pour le service de la planification des activités de fabrication, qui a besoin des prévisions
de vente (service des ventes), des délais d’approvisionnement auprès des fournisseurs
(service des achats) et de la disponibilité de la main-d’œuvre (service des RH) pour
exécuter sa planification mensuelle. La circulation transversale de l’information peut
être formelle, comme dans l’exemple précédent, ou beaucoup plus informelle, pour
la conception d’un nouveau produit par exemple. Le vocabulaire spécialisé de chaque
service peut représenter un défi de la communication transversale et par conséquent du
système de contrôle interne.

Fréquence d’application
Pour terminer, la fréquence d’application d’une activité de contrôle est fonction du
risque perçu et de l’analyse coûts-bénéfices effectuée par le gestionnaire responsable
de cette mesure. On dira que certains contrôles sont systématiques lorsqu’ils sont
appliqués chaque fois qu’une opération a lieu. Les mesures de contrôle systématiques
peuvent être automatisées ou manuelles. Les activités de contrôle automatisées sont
forcément systématiques, puisqu’elles sont programmées pour être exécutées chaque
fois qu’une opération donnée survient. Les mesures de contrôle axées sur la vérification
de la limite de crédit des clients, la disponibilité de produits dans un système d’inven-
taire permanent ou la vérification des taux horaires des employés lors du calcul de la
paie en sont quelques exemples. D’un autre côté, parmi les activités de contrôle systé-
matiques manuelles figurent le dénombrement des quantités reçues par un préposé à la
Chapitre 3 Référentiels et système de contrôle interne 53

réception de la marchandise, le rapprochement des sommes perçues et des rapports de


caisse dans un magasin de vente au détail, ainsi que la comparaison des prix figurant
sur une facture d’achat avec les montants sur le bon de commande correspondant qui
a été préparé par un acheteur.
Pour leur part, les activités de contrôle sur demande sont généralement déclenchées
parce qu’il semble y avoir des erreurs qui n’ont pas été décelées par le système de contrôle
interne. Cela se produit par exemple lorsqu’à plusieurs reprises, des préposés à la prépa-
ration des commandes ne trouvent pas des produits, même si le système d’inventaire per-
manent indique qu’il devrait y en avoir en stock. Le responsable peut alors déclencher une
procédure de contrôle sur demande en effectuant un dénombrement surprise de certains
produits. Il imprime les quantités figurant à l’inventaire et se rend dans l’entrepôt pour
dénombrer les produits réels. Il compare le nombre d’articles réels obtenu avec celui de
l’inventaire et amorce un processus d’enquête afin de trouver les raisons qui expliquent
les écarts relevés.
Les activités de contrôle sur demande peuvent également servir à tester l’effi-
cacité du système de contrôle interne. Pour ce faire, il suffit d’exécuter la même
procédure que celle que nous venons de décrire, mais en ayant pour objectif de
s’assurer du bon fonctionnement du système de contrôle interne sans avoir de rai-
sons de croire qu’il est défaillant. C’est ce que l’on appelle le pilotage du système
de contrôle interne.

Pilotage23
À l’instar de la plupart des systèmes, celui du contrôle interne doit faire l’objet d’une sur-
veillance visant à s’assurer de son bon fonctionnement et de son utilité. Selon le COSO,
l’entreprise doit piloter les activités de contrôle interne en respectant les trois grands
principes qu’on trouve dans l’encadré 3.7.
L’évaluation doit être effectuée périodiquement par des personnes indépen-
dantes du processus analysé. Même s’il peut s’avérer intéressant que des personnes
n’appartenant pas à l’entreprise procèdent à cette analyse, on peut aussi recourir
à des ressources internes qui détiennent l’expertise nécessaire et travaillent dans
un service autre que celui touché 24. Il est ici question de pilotage périodique

Principes relatifs au pilotage des activités


ENCADRÉ 3.7 de contrôle selon le COSO

16. L’organisation recueille et utilise des renseignements pertinents et de qualité pour


soutenir le fonctionnement des autres composantes du système de contrôle interne.
17. L’organisation met en place un processus de suivi périodique ainsi qu’une éva­
luation indépendante pour vérier que les activités de contrôle interne existent et
qu’elles fonctionnent adéquatement.
18. L’organisation évalue et communique en temps opportun les faiblesses du système
de contrôle interne aux personnes concernées an qu’elles puissent y apporter les
correctifs nécessaires. Elle doit veiller à informer le niveau hiérarchique approprié,
y compris le CA lorsqu’elle le juge nécessaire.
Source : Adapté de COSO. (2012). Internal Control – Integrated Framework : Framework and Appendices.
http://aechile.cl/wp­content/uploads/2012/11/coso_framework_body1.pdf

23. Certains auteurs utilisent l’expression « surveillance des activités de contrôle » au lieu du terme
« pilotage ».
24. Au sein des grandes entreprises, le service d’audit interne joue un rôle important dans le processus
de pilotage.
54 Partie 1 Fondements théoriques

(voir la figure 3.13), qui dépend des risques perçus, des


défaillances observées dans le cadre du pilotage per-
FIGURE 3.13 Types de pilotage
manent ou des changements au sein de l’entreprise
susceptibles de faire craindre une baisse d’efficacité et
d’efficience du système de contrôle interne. Le pilotage
périodique vise également à analyser l’adéquation entre
les risques et les activités de contrôle mises en place
pour les réduire. De fait, des procédures qui se voulaient
efficaces à un moment donné peuvent ultérieurement se
révéler insuffisantes ou ne plus être appliquées (IFACI
et PWC, 2007). L’entreprise doit alors s’adapter aux
nouvelles réalités. Bien que le pilotage ne soit pas une
activité de révision des objectifs ni d’analyse des risques,
il peut néanmoins mettre en évidence des situations susceptibles de déclencher une
telle révision ou analyse.
Comme son nom l’indique, le pilotage permanent est exercé tout au long de
l’année par les personnes responsables des activités de contrôle interne. Il peut
notamment s’effectuer au moyen de la supervision du personnel qui applique les
mesures de contrôle, de l’information reçue d’une partie externe qui laisse planer
un doute sur l’application d’une activité de contrôle ou par l’utilisation de procédés
analytiques25 .
Pour s’assurer de l’efficacité du système, certains gestionnaires consultent des rap-
ports d’exceptions qui présentent les situations jugées inhabituelles et mettent en lumière
les faiblesses potentielles en ce qui a trait au contrôle interne. Ce type de rapports peut
notamment faire ressortir des incohérences entre les ventes effectuées auprès d’un client
par un vendeur qui ne travaille pourtant pas dans la région où il se situe (ce qui témoigne
de la possibilité d’erreurs dans la codification des clients) ; l’emploi d’une application par
un utilisateur qui ne devrait pas y avoir accès ; ou l’achat de produits qui dépassent une
limite préétablie.
Les procédés analytiques sont des relations que l’on fait entre des informations
provenant de différentes sources pour juger du caractère raisonnable d’une infor-
mation. Il s’agit d’une activité de pilotage très utile pour déceler des anomalies
importantes en termes de valeur ou de fréquence. Par exemple, une marge bénéfi -
ciaire brute plus faible que prévue pourrait être attribuable à un prix de vente trop
bas, qui lui-même pourrait provenir d’une erreur dans la saisie des éléments d’une
liste de prix.
Par ailleurs, comme en fait foi l’encadré 3.7, il faut promptement communiquer les
faiblesses découvertes aux niveaux hiérarchiques appropriés afin que les corrections néces-
saires soient apportées. Si les anomalies relevées ont des effets généralisés ou si elles sont
vraisemblablement causées par des activités frauduleuses, le CA doit aussi être informé
de la situation.

3.2.3 Champs d’application


La dimension « profondeur » du cube COSO (voir la gure 3.2 à la page 29 ) fait référence
aux champs d’application de chacune des trois catégories d’objectifs ainsi que de chacun
des cinq éléments de contrôle dont il a été question précédemment. Ce découpage varie
d’une entreprise à l’autre, souvent en fonction de la taille de l’entreprise, de la complexité

25. Selon le Dictionnaire de la comptabilité et de la gestion nancière (Ménard et al., 2014) un procédé
analytique consiste en un ensemble de procédés ou de procédures mis en œuvre par le professionnel
comptable et consistant à effectuer une analyse de la cohérence et de la plausibilité ou vraisemblance
des informations ou autres éléments faisant l’objet de sa mission, par l’étude des relations significatives
qui existent entre diverses données, financières et non financières.
Chapitre 3 Référentiels et système de contrôle interne 55

de ses opérations, de sa structure corporative et de sa dispersion géographique (par filiales,


par pays ou par unités administratives, notamment). Il peut également exister des sous-
découpages qui ramènent à des structures d’analyse plus restreintes, telles que le cycle des
achats pour la filiale ABC.
Dans le présent ouvrage, le découpage a été fait par cycles comptables. C’est
effectivement ce qui reflète le mieux la réalité opérationnelle de plusieurs PME et
qui favorise une meilleure compréhension du contrôle interne. Ce découpage permet
également de discerner plus facilement les objectifs opérationnels de ceux reliés à la
fiabilité de l’information financière. En effet, le cycle des ventes se veut associé à des
objectifs opérationnels très différents de ceux du cycle des salaires. On peut alors assez
aisément imaginer que les risques et les activités de contrôle propres à chacun sont
aussi assez distincts.

3.3 Méthode d’analyse utilisée dans la partie 2 du livre


Comme nous l’avons mentionné en début de chapitre, nous adopterons l’approche
du COSO pour analyser le contrôle interne des principaux cycles qui se trouvent
généralement au sein des entreprises. Au début de la deuxième partie du manuel,
un cas fictif, Métalika, mais empreint d’un très grand réalisme, sera présenté. Il
constitue une combinaison pédagogiquement intéressante des expériences vécues
par les auteurs en entreprise, en consultation ainsi que dans le cadre de travaux de
recherche.
En effet, Métalika est une entreprise familiale ayant un chiffre d’affaires d’envi-
ron 25 millions de dollars. Elle se spécialise dans l’usinage de feuilles de métal ser-
vant entre autres à la fabrication de convecteurs, de plinthes électriques et d’autres
appareils de chauffage. La famille Prévost possède 75 % des actions ; la Banque
de développement du Canada, 10 % ; et les employés, les 15 % qui restent. Cette
structure de capital un peu diversifiée a été un incitatif important qui a amené
Métalika à se doter d’un CA dans lequel les différents groupes d’actionnaires sont
représentés.
Pour son bon fonctionnement quotidien, Métalika utilise un PGI depuis plusieurs
années. L’ensemble des systèmes de gestion et les différents cycles comptables de l’en-
treprise sont donc réunis au moyen de ce PGI. Tout au long de la partie 2 du présent
manuel, nous traiterons de l’incidence des systèmes d’information sur le contrôle interne
en présentant certains écrans de saisie pour illustrer diverses situations.
Les chapitres de la partie 2 sont conçus selon le modèle du cube COSO, c’est-à-dire
qu’ils reflètent chaque élément de contrôle dans le même ordre que celui de ce cube.
Comme le montre la figure 3.2 (voir la page 29), les éléments d’évaluation des risques
et les activités de contrôle sont combinés avec les différentes catégories d’objectifs dans
le tableau des objectifs, des risques et des activités de contrôle de chaque chapitre. Il est
donc possible de visualiser les liens entre ces trois éléments et d’analyser le système de
contrôle interne de Métalika.

3.3.1 Environnement de contrôle


Outre les renseignements généraux sur le cas présenté, chaque chapitre contien-
dra des éléments additionnels propres au cycle analysé. Ces éléments permettront
de porter un certain jugement sur l’environnement et son influence possible sur
le fonctionnement du système de contrôle interne. Nous encourageons le lecteur
à compléter les renseignements attribuables à l’environnement de contrôle de
manière à bonifier le système en place et à lui donner un autre éclairage. Il pourra
entre autres se questionner sur la pertinence de la séparation des fonctions incom-
patibles ou sur le degré d’influence des dirigeants. Évidemment, il ne trouvera pas
56 Partie 1 Fondements théoriques

réponse unique à toutes ses questions, mais le plus important consiste à imaginer
les questions à se poser et les analyses à effectuer pour mieux comprendre l’envi-
ronnement de contrôle. À titre de gestionnaire, c’est cette habileté que l’étudiant
doit acquérir et parfaire.

3.3.2 Évaluation des risques et activités de contrôle


Chaque cycle comptable sera illustré à l’aide d’un graphique d’acheminement présen-
tant son fonctionnement, ses interrelations et les possibilités de contrôle interne. Il va
de soi que l’exemple proposé ne constitue pas un système modèle, mais simplement
une représentation pratique avec ses forces et ses faiblesses. Le lecteur pourra alors jouer
le rôle d’un gestionnaire en imaginant d’autres objectifs, des risques supplémentaires
et des activités de contrôle additionnelles. Une telle approche favorisera l’appropriation
des concepts et offrira au lecteur la possibilité de parfaire ses compétences en matière de
contrôle interne. Or, voilà justement la dimension pédagogique que nous souhaitons
donner à ce manuel.
Puisque les notions d’objectifs, de risques et d’activités de contrôle sont étroi-
tement liées, il est plus intéressant pour le gestionnaire de les aborder simultané -
ment que séquentiellement. Par conséquent, à chaque cycle analysé, un tableau
Excel présentera ces trois éléments en même temps. Le tableau 3.5 donne un
exemple de matrice contenant les trois éléments pour le cycle des achats, crédi-
teurs et décaissements.

Objectifs
Comme nous l’avons vu auparavant, il existe trois catégories d’objectifs selon le COSO
(voir la gure 3.3 à la page 30). Dans le tableau 3.5, l’abréviation OO fait référence aux
objectifs opérationnels ; l’abréviation OIF, aux objectifs liés à la fiabilité de l’informa-
tion financière ; et l’abréviation OC, aux objectifs relatifs à la conformité aux lois et
aux règlements. Dans chaque catégorie, les objectifs sont numérotés par incrémentation
aléatoire (OO-1, OO-2, OO-3… OC-1, OC-2… OIF-1, OIF-2…) en commençant
toujours par 1. Il s’avère donc vain de chercher une logique à cette incrémentation.
Pour ajouter un nouvel objectif, il suffit de continuer là où on est rendu. De manière à
ne pas alourdir la tâche du lecteur et pour ne pas l’obliger à revenir consulter un cha-
pitre antérieur, nous recommencerons la numérotation à partir de 1 à chaque chapitre.
Il n’y aura donc pas de lien entre l’objectif OIF-2 du chapitre 7 et l’objectif OIF-2 du
chapitre 8, par exemple.

TABLEAU 3.5 Trois éléments de contrôle selon le cube COSO


Objectif Risque Activité de contrôle
No Description No Description No Description
OO-1 S’assurer d’obtenir le meil- R-1 Payer trop cher AC-1 Demander trois
leur prix possible pour une pour un produit soumissions lors de
qualité donnée l’achat d’un produit
OO-1 S’assurer d’obtenir le meil- R-1 Payer trop cher AC-22 Négocier des ententes
leur prix possible pour une pour un produit de prix à long terme
qualité donnée
OC-7 Respecter les lois environ- R-15 Payer des péna- AC-14 Former le personnel
nementales relatives aux lités pour décon-
matières dangereuses taminer un site
OIF-3 S’assurer que les charges R-25 Enregistrer la AC-19 Faire codier par le
soient comptabilisées dans charge dans le chef comptable les
le bon compte de grand livre mauvais compte factures non récur-
de grand livre rentes ou inhabituelles
Chapitre 3 Référentiels et système de contrôle interne 57

Pour éviter toute confusion, nous avons délibérément choisi d’associer à un objec-
tif donné une seule catégorie, soit celle qui nous apparaissait comme étant la plus
significative. Par exemple, l’objectif « S’assurer que les charges soient comptabilisées dans
le bon compte de grand livre » a reçu le code OIF-3, puisque qu’il concerne principale-
ment la présentation de l’information financière et que c’est le troisième à être identifié.
Même si la comptabilisation dans le bon compte de grand livre peut également avoir des
répercussions sur la conformité lorsqu’il est question de charges qui ont une influence
sur les dépenses de recherche et développement, nous avons tranché pour la catégorie qui
nous semblait la plus significative.
Au moment de certaines analyses, il faudra regarder l’ensemble des objectifs pour
cibler ceux qui conviennent, sans se limiter au découpage de catégories. Par exemple,
dans le cadre d’une mission d’audit externe, l’auditeur s’intéressera sans aucun doute à la
catégorie OIF, mais il souhaitera sûrement aussi utiliser certains objectifs de la catégorie
OO et OC. Il faut bien comprendre la façon dont le tableau est construit et rester vigi-
lant dans son utilisation. Cette mise au point ne réduit toutefois en rien la pertinence de
la catégorisation.

Analyse des risques


En ce qui concerne les risques, une seule numérotation a été utilisée, sans égard à la
catégorie d’objectifs ciblée. Comme le montre le tableau 3.5, les risques sont identifiés
par un R et sont eux aussi incrémentés aléatoirement (R-1, R-2, R-3…). La numérota-
tion ne suit pas une logique, ni une hiérarchie particulière. Lorsqu’on cible un nouveau
risque, on le numérote à la suite du dernier en liste. Un risque peut affecter plus d’une
catégorie d’objectifs à la fois. Lorsque c’est le cas, il se retrouve à plusieurs endroits dans
la matrice. Comme pour les objectifs, la numérotation recommence à partir de 1 dans
chaque chapitre. Il n’y a donc pas de lien entre le risque R-4 du chapitre 8 et le risque
R-4 du chapitre 9.
Dans le tableau utilisé, nous ne faisons volontairement pas intervenir les cri-
tères d’importance des risques (soit leurs répercussions), ni ceux de la probabilité
qu’ils se manifestent. À l’étape de l’initiation aux activités de contrôle interne
qui existent, il semble prématuré d’introduire ces notions dans la description de
chaque cycle et la présentation des mesures de contrôle. Il est préférable que le lec-
teur évalue lui-même ces éléments dans un second temps. Nous traiterons cepen-
dant de ce sujet dans le dernier chapitre, qui traite des forces et des faiblesses du
système de contrôle interne.

Activités de contrôle
Les deux dernières colonnes du tableau présentent les activités de contrôle (AC-14) qui
se rattachent à un objectif (OC-7) et à un risque (R-15). Comme le montre cet exemple,
la numérotation des activités de contrôle (AC-1, AC-2, AC-3…), n’a rien à voir avec la
numérotation des risques et des objectifs. De plus, il existe une multitude de combinai-
sons possibles entre les trois éléments de la matrice. Par exemple, pour un risque donné
(R-1), il peut y avoir plusieurs activités de contrôle (AC-1 et AC-22) qui visent à le
réduire. Une même activité de contrôle peut également porter sur plus d’un risque. En
ce qui concerne la numérotation des activités de contrôle, elle a été effectuée de la même
manière que celle des objectifs et des risques, en recommençant à AC-1 dans chaque cha-
pitre, et sans qu’il y ait de lien entre l’activité de contrôle AC-3 du chapitre 8 et l’activité
AC-3 du chapitre 9, par exemple.

3.3.3 Information, communication et pilotage


Le présent ouvrage s’adresse principalement aux gestionnaires actuels et futurs sus-
ceptibles de mener certaines activités de contrôle interne dans le cadre de leurs
tâches. Même s’il peut se révéler fort utile pour des professionnels chevronnés en
58 Partie 1 Fondements théoriques

matière de contrôle interne, il tente surtout de répondre aux préoccupations de


ceux qui n’y recourront qu’à l’occasion. Par conséquent, nous n’insisterons pas outre
mesure sur les activités d’information et de communication, ni sur celles de pilo-
tage, lesquelles sont plutôt du ressort des spécialistes qui font du contrôle interne
leur travail quotidien.
Nous nous devons néanmoins d’aborder quelque peu la question du suivi à exer-
cer par les gestionnaires sur le système de contrôle interne. En conformité avec la
figure 3.13 (voir la page 54), nous discuterons du pilotage périodique de façon géné-
rale au chapitre 12, l’analyse des forces et des faiblesses du système de contrôle interne
se prêtant bien à cet exercice. Il sera aussi en partie question du pilotage permanent
dans le chapitre 12, ainsi que de façon parcimonieuse pour chacun des cycles. D’ordi-
naire, les gestionnaires mettent en place certaines mesures qui permettent de s’assurer
que le contrôle interne dont ils ont la responsabilité joue efficacement son rôle. Ces
activités de contrôle se retrouveront dans le tableau Excel des objectifs, des risques et
des activités de contrôle.
CHAPITRE 4 Risques d’entreprise
et incidence
sur le contrôle interne

D
ans les petites et moyennes entreprises, sur lesquelles est
précisément axé le présent ouvrage, le processus de gestion
des risques se veut généralement assez limité. Nous consi­
dérons néanmoins comme important et formateur de prendre le
temps d’analyser un peu plus en profondeur les éléments rela­
tifs à l’évaluation et à la gestion des risques. Bien que l’approche
préconisée dans le chapitre en cours soit généralement l’apa­
nage des grandes entreprises, les concepts théoriques qui y sont
présentés pourraient se révéler fort utiles aux futurs gestionnaires.
L’analyse proposée donnera au lecteur les outils nécessaires
pour ultimement apprécier l’évaluation des risques faite dans son
entreprise, voire effectuer sa propre évaluation dans son unité
administrative. Cela à une échelle plus réduite, mais non moins
importante. Au chapitre précédent, nous avons présenté très suc­
cinctement la notion d’évaluation des risques, qui faisait partie
des éléments du cube COSO (Committee of Sponsoring Orga­
nizations of the Treadway Commission). Le moment est mainte­
nant venu de nous pencher de plus près sur la question.

Importance des risques dans la gestion


de l’entreprise
La question fondamentale à laquelle le présent chapitre tente
d’apporter des éléments de réponse est la suivante : Comment
s’assurer que le niveau de contrôle interne mis en œuvre au sein
de l’organisation soit approprié ? En d’autres termes, comment
atteindre un niveau de contrôle qui ne se situe pas en deçà de
ce qui est nécessaire, sans pour autant se trouver trop au­dessus
de ce qui est suffisant ? Contrairement à l’idée reçue à ce sujet,
une insuffisance de contrôle n’est pas nécessairement pire qu’un
excès de contrôle. De fait, un niveau de contrôle trop élevé
se traduit par un formalisme bureaucratique inefficace dont
les avantages sont insuffisants pour contrebalancer les effets
néfastes de la lourdeur et de la rigidité organisationnelle qu’il
cause, sans en oublier le coût financier. Il faut donc s’efforcer de
cibler un niveau de contrôle équilibré et d’établir un système de
contrôle judicieux.
Supposons qu’une personne se rend à l’aéroport en vue d’un
voyage à l’étranger. Quelles mesures prend­elle alors pour sur­
veiller ses bagages ? Il y a fort à parier que l’effort mental et phy­
sique qu’elle consacre à la surveillance de sa valise à l’intérieur de
laquelle se trouvent son passeport et ses cartes bancaires est plus
intense que celui voué à la surveillance de la valise d’à côté dont
60 Partie 1 Fondements théoriques

le contenu se résume à divers objets de moindre importance. C’est que l’enjeu n’est pas le
même. Les problèmes qui risquent de survenir dans un pays étranger si la première valise
s’égare sont probablement incomparables à ceux qu’occasionnerait la perte de la seconde.
Morale de l’histoire : entre le risque et le contrôle, l’association s’avère instinctive. Le
risque est donc naturellement le déterminant clé du niveau de contrôle requis dans
chaque situation. Par ailleurs, le risque est aussi ce qui définit le caractère judicieux du
contrôle au sein de l’entreprise.

Approche préconisée dans le présent chapitre


Toute entreprise se trouve d’une manière ou d’une autre dotée d’un système de contrôle
interne. L’élément déterminant du niveau de maturité de ce système réside dans l’ap-
proche adoptée pour sa mise en œuvre. La méthode axée sur la protection des actifs
en constitue un bon exemple. Elle consiste à concevoir et à implanter des mesures de
contrôle en fonction des besoins de surveillance et de protection des actifs. Elle se carac-
térise par la prédominance du souci de la fraude et repose essentiellement sur la fiabilité
du système comptable de l’entreprise. Cette approche est toutefois tombée en désuétude
en raison de son manque d’efficacité et d’efficience.
Une approche de contrôle éclairée repose plutôt sur les risques auxquels l’entité est
réellement exposée et tient compte du niveau d’aversion ou d’appétence pour le risque,
qui peut varier d’une période à l’autre et d’un projet à l’autre. Selon cette méthode, on
considère qu’il existe différents niveaux de performance et que les objectifs de l’entreprise
peuvent varier au fil du temps et dans l’espace, induisant ainsi un changement en matière
de risques et entraînant par conséquent la nécessité d’activités de contrôle évolutives. Il
s’agit là d’une approche basée sur l’apprentissage, l’expérience et l’adaptation dynamique
des plans de contrôle interne. En adoptant une démarche intégrée de contrôle, l’entreprise
devient plus habile à gérer les risques et les opportunités d’une façon efficace, ce qui aide
à créer et à préserver de la valeur pour l’ensemble de ses parties prenantes.

4.1 Concepts d’incertitude, de risque et d’opportunité

4.1.1 Pluridisciplinarité des concepts


Dans le chapitre en cours, nous nous concentrons bien évidemment sur l’usage des
concepts d’incertitude et de risque qui prédominent dans le champ d’expertise visé par
le manuel, soit celui du contrôle interne dans sa conception comptable. Dans la présente
section, nous souhaitons néanmoins attitrer l’attention du lecteur sur la pluridiscipli-
narité qui, d’une part, régit et nourrit le développement de ces notions mais, d’autre part,
accentue la confusion qui entoure leur emploi.
Depuis longtemps, la gestion des risques constitue souvent un champ de compéti-
tion acharnée entre deux communautés professionnelles, soit les spécialistes en contrôle
de la qualité (généralement des ingénieurs) et les spécialistes en contrôle interne
(généralement des comptables). D’ordinaire, les premiers abordent les risques au moyen
de la modélisation mathématique et des calculs de probabilités. Dans ce contexte, ce qui
reflète les risques, ce sont des variables incertaines dans un modèle d’optimisation ou
de simulation, par exemple. Quant aux seconds, ils abordent les risques à l’aide d’une
approche plutôt mixte incluant à la fois des mesures qualitatives et quantitatives. Dans
ce contexte, loin d’être le résultat de calculs compliqués, l’appréciation des risques repose
davantage sur le jugement professionnel, l’apprentissage, le remue-méninges et les pra-
tiques similaires.
De leur côté, les économistes, les financiers et les actuaires contribuent eux aussi
prestement au développement des concepts d’incertitude, de risque et d’opportunité.
L’aversion pour le risque comme comportement économique constitue en effet un
champ de connaissances et d’études classique en économie et en finance de marché.
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 61

L’incertitude et les risques, souvent mesurés en termes de volatilité, entrent en jeu dans
plusieurs modèles financiers bien connus, tels que le modèle de Black-Scholes-Merton
pour l’évaluation des options et le modèle d’évaluation des actifs financiers. Par ailleurs,
l’incertitude associée aux flux de trésorerie futurs attendus d’un investissement donné est
prise en considération dans le calcul de la valeur actualisée nette du projet correspondant,
soit pour l’estimation du taux d’actualisation, soit pour l’estimation des montants des flux
de trésorerie futurs en question. Toujours dans le domaine des choix d’investissement, le
coût d’opportunité, qui constitue le coût de renonciation aux possibilités de remplace-
ment, est un paramètre dont on tient compte dans l’arbitrage entre des projets ou des
placements en particulier.
Paradoxalement, la pluridisciplinarité en général se trouve être à la fois source d’en-
richissement et de confusion. Or, des concepts comme la gouvernance1 et l’architecture
d’entreprise2 souffrent de cette contradiction, et la gestion des risques n’est pas épargnée.
La distinction entre l’incertitude et les risques illustre bien cette situation. En effet, pour
certains un risque correspond à toute situation pour laquelle il existe un marché d’as-
surance, alors que l’incertitude se rapporte à toute situation pour laquelle il n’en existe
aucun (Leroy et Singell, 1987). Ainsi, dans un environnement économique donné, s’il
y avait entre divers intervenants de l’offre et de la demande portant sur une assurance
contre le terrorisme, ce dernier serait considéré comme un risque. En revanche, dans un
environnement où un tel marché ferait défaut, le terrorisme serait considéré comme une
source d’incertitude. Pour d’autres, le risque se veut le résultat négatif de l’incertitude,
tandis que l’opportunité en est le résultat positif (Hillson, 2002). De toute évidence, ces
deux manières de voir les choses sont inconciliables, d’où l’incontournable nécessité de
nous attarder sur les définitions que nous adopterons pour ces concepts dans la suite du
chapitre.

4.1.2 Définitions
Il y a au moins autant de définitions du concept de risque qu’il y a de perspectives pour
l’aborder. On le décrit parfois comme étant la possibilité de perte ou de dommage créée
par une activité ou une personne (Tarantino, 2008) ou comme une conséquence poten-
tiellement indésirable découlant de la gestion (Boisvert et Vézina, 2014). Pour sa part, le
Dictionnaire de la comptabilité et de la gestion nancière (Ménard et al., 2014) le définit
comme étant un événement préjudiciable, plus ou moins prévisible, qui peut affecter la
réalisation d’un programme, d’un plan ou d’une politique.
De l’éventail de définitions possibles du risque et de ses dérivés, nous retenons au
tableau 4.1 (voir la page suivante) celles qui s’avèrent utiles à la compréhension de la ges-
tion des risques d’entreprise (GRE). Dans ce contexte, les risques et leur gestion n’ont de
sens que s’ils sont explicitement reliés aux objectifs et aux sous-objectifs de l’entreprise
(Power, 2009).
En définitive, le risque et l’opportunité représentent les deux revers de la médaille de
l’incertitude. Ainsi, un même événement incertain peut être perçu comme un risque ou
comme une opportunité, dépendamment de l’attitude de l’entreprise à l’égard des risques
en termes d’appétence et de tolérance. À titre d’exemple, si une averse de neige représente
souvent un risque aux yeux de la population en général, elle représente sans doute plutôt
une opportunité pour une entreprise de déneigement ou une station de ski.

1. D’après Rhodes (1996, p. 652), le terme « gouvernance » est très répandu, mais imprécis. Ce manque
de précision se veut attribuable au caractère vague du concept de la gouvernance des technologies de
l’information (TI), dont l’emploi chaotique s’explique, selon Peterson (2004, cité dans Ko et Fink,
2009, p. 663), par la spécialisation et la scission des différentes parties prenantes de la gouvernance des
TI dispersées dans le monde entier.
2. Selon le promoteur du concept d’architecture d’entreprise John A. Zachman (2009), ce qui tue l’archi-
tecture d’entreprise, c’est que chaque programmeur, chef de projet et directeur des systèmes d’informa-
tion qualifie tout ce qu’il fait ou souhaite faire d’architecture, ce qui provoque un total chaos.
62 Partie 1 Fondements théoriques

TABLEAU 4.1 Exemples de définitions compatibles avec la GRE


Source ou auteur Concept Dénition

Hillson (2002) Incertitude Terme générique qui comporte deux volets, soit le
risque, qui réfère à l’incertitude à effet négatif sur les
objectifs ; et l’opportunité, qui réfère à l’incertitude à
effet positif sur les objectifs.

ISO 31000 (2009), cité dans Grant (2010) Risque Effet de l’incertitude sur les objectifs.
et Leitch (2010)

Project Management Body of Knowledge Risque et opportunité Événement ou condition qui, s’il se manifeste, a un effet
du Project Management Institute (2013) positif ou négatif sur l’objectif d’un projet.

Olsson (2007) Risque Résultat négatif de l’incertitude.

Fox (2012) Appétence pour le risque Niveau total de risque que l’entreprise préfère entre-
prendre sur la base de son arbitrage risque-rendement
par rapport à un ou plusieurs résultats escomptés.

Fox (2012) Tolérance au risque Niveau total d’incertitude qu’une entreprise est disposée
à accepter.

4.1.3 Référentiels des meilleures pratiques


en matière de GRE
Par le passé, certaines associations et organisations professionnelles ont élaboré des référen-
tiels de pratiques exemplaires en matière de GRE. Même si l’assertion de « meilleures pra-
tiques » que ces référentiels sont censés incarner demeure un sujet de controverse dans la
documentation universitaire, toute entreprise gagne à utiliser un référentiel de GRE pour
organiser son système de contrôle des risques. D’un côté, cela permet d’éviter le gaspil-
lage d’énergie dans la conception d’un modèle qui, au bout du compte, ne consiste qu’à
réinventer le bouton à quatre trous. D’un autre côté, il s’avère plus aisé de convaincre un
auditeur externe de l’efficacité d’un système de contrôle interne lorsque celui-ci repose sur
un référentiel des meilleures pratiques généralement reconnu. Le tableau 4.2 présente les
référentiels les plus répandus et en donne un bref aperçu.

TABLEAU 4.2 Principaux référentiels de GRE


Référentiel Élaboration ou historique Description

Enterprise Risk Management – Élaboration en 2004 par le COSO Référentiel de mise en place des activités
Integrated Framework de contrôle et d’évaluation de leur efcacité

Norme ISO 31000 – Management du risque Mise en place en 2009 par l’Organisa- Référentiel de gestion des risques
tion internationale de normalisation (ISO)

The Orange Book : Management of Risk – Élaboration en 2004 par le ministère Guide établissant le concept de gestion des
Principles and Concepts de l’Économie et de la Finance risques dans un contexte gouvernemental
du Royaume-Uni

GRC Capability Model : « Red Book » 2.1 Élaboration en 2009 par l’Open Guide élaboré par un groupe de réexion
Compliance and Ethics Group sans but lucratif aidant les entreprises à
atteindre la performance raisonnée

Risk Management Guide for Information Publication en 2002 par le National Référentiel de gestion des risques dans le
Technology Systems Institute of Standards and Technology domaine des TI

The Professional Risk Managers’ Élaboration en 2005 par Alexander Guide axé sur la théorie contemporaine et
Handbook Sheedy et publication par PRMIA les meilleures pratiques
Publications aux États-Unis
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 63

Par ailleurs, l’encadré 4.1 porte sur la conception comptable de la GRE, laquelle est
typiquement représentée par le référentiel Enterprise Risk Management – Integrated Frame-
work du COSO, aussi communément appelé COSO-ERM ou COSO II. Le COSO
l’a élaboré une dizaine d’années après son cadre de référence COSO I exposé au cha-
pitre précédent, lequel est axé sur le contrôle interne. Ainsi, le référentiel COSO II vient
déployer les champs couverts par sa version antérieure et les placer dans un contexte plus
global que le contrôle interne, soit celui de la GRE.

ENCADRÉ 4.1 Cadre COSO II comme référence en matière de GRE


Dès sa publication en 2004, le COSO II est devenu un objectifs stratégiques, opérationnels, d’information
référentiel phare des meilleures pratiques en matière (ou de reporting) et de conformité. Ainsi, dans une
de GRE à l’échelle mondiale (Paape et Speklé, 2012 ; entreprise où le référentiel COSO II est mis en œuvre,
Power, 2009 ; Tekathen et Dechow, 2013). Sa principale la haute direction établit les objectifs stratégiques,
utilité réside dans ce qu’il propose comme principes fait des choix stratégiques et fixe ses autres objectifs
clés, concepts, terminologie uniée et lignes directrices et sous-objectifs en cascade selon une approche du
pour la GRE dans sa conception comptable. À la diffé- haut vers le bas (top-down), en passant par les dif-
rence du cadre de référence COSO I, qui est davantage férents niveaux de l’entreprise et sans jamais perdre
axé sur la conformité, l’utilisation du référentiel COSO II de vue sa stratégie. L’ensemble du mégaprocessus
dans la pratique s’avère souvent motivée par la confor- est illustré à l’aide d’un cube tridimensionnel multi-
mité aussi bien que par la performance (Tekathen et colore semblable au cube Rubik, le fameux jeu dont
Dechow, 2013). l’objectif consiste à disposer les blocs colorés de
Dans le référentiel COSO II, on utilise une approche manière à obtenir une couleur uniforme sur chacune
holistique 3 qui porte simultanément sur tous les des faces du cube. L’analogie entre ce cube et le réfé-
risques associés aux différentes catégories d’objec- rentiel COSO II vise à mettre en évidence la cohérence
tifs, et non sur les divers risques pris de façon dis- du mégaprocessus quand chacun de ses éléments
tincte en fonction de ces catégories (voir la figure 4.1). occupe la place qui lui est réservée. Alors, chaque
Cette approche se présente sous la forme d’un modèle élément s’intègre avec les autres à l’intérieur d’un
de référence tridimensionnel qui intègre et aligne les ensemble homogène et entièrement aligné.

Figure 4.1 Cube COSO II

Source : www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf

3. Une approche holistique se traduit par la mise en place d’un système qui s’intéresse à son objet dans sa globalité.
64 Partie 1 Fondements théoriques

ENCADRÉ 4.1 Cadre COSO II comme référence en matière de GRE ( )

Axe des objectifs l’identication des événements susceptibles de générer


La face supérieure du cube COSO II comprend les des risques, l’évaluation des risques ainsi que la déter-
quatre catégories d’objectifs suivantes : mination des réponses à ces risques.
1. Les objectifs stratégiques constituent des objectifs 3. Identication des événements à risque
de haut niveau qui découlent de la dénition de la Le référentiel COSO II exige que la haute direction
mission de l’entreprise. identie les événements, c’est-à-dire les incidents
2. Les objectifs opérationnels se rapportent à l’efcacité susceptibles d’inuer sur la réalisation des objectifs
et à l’efcience de l’exploitation en termes de perfor- de l’entreprise. Par la suite, il lui faut déterminer si ces
mance et de protection du patrimoine. événements sont susceptibles d’avoir un effet positif
3. Les objectifs d’information visent la abilité des rap- ou négatif sur la capacité de l’entreprise à atteindre ses
ports internes et externes de l’entreprise, qu’ils soient objectifs. Les événements à incidence potentiellement
de nature nancière ou non. positive représentent des opportunités, alors que ceux
à incidence potentiellement négative correspondent à
4. Les objectifs de conformité visent le respect par l’en- des risques. Les opportunités deviennent ensuite de
treprise des lois et des règlements en vigueur ainsi nouveaux intrants dans le processus de xation des
que des normes instaurées par l’industrie ou par des objectifs, alors que les risques font l’objet des étapes
parties externes inuentes. suivantes du processus de GRE.
En ce qui concerne les objectifs stratégiques et opéra- 4. Évaluation des risques
tionnels, comme ils s’avèrent le plus souvent tribu-
taires d’événements externes sur lesquels l’entreprise Ensuite, il faut évaluer les risques identiés an de
dispose d’une marge de manœuvre limitée, la seule déterminer leurs répercussions sur la capacité de l’en-
assurance raisonnable que le référentiel COSO II peut treprise à réaliser ses objectifs ainsi que de les gérer
fournir est celle découlant du ux régulier d’information convenablement. L’appréciation peut reposer sur des
adressé à la direction et au conseil d’administration mesures aussi bien quantitatives que qualitatives et por-
(CA) pour leur permettre de surveiller les progrès dans ter tant sur l’aspect inhérent de chaque risque que sur
la réalisation des objectifs et de s’ajuster au besoin. son aspect résiduel.
En revanche, les objectifs d’information et ceux de 5. Réponses aux risques
conformité sont contrôlables à l’interne, d’où le degré An d’aligner les risques identiés sur l’appétence
plus élevé d’assurance raisonnable que le cadre COSO et la tolérance au risque établies par l’entreprise, une
II peut procurer quant à leur atteinte. réaction s’impose. La réponse à un risque donné peut
Axe des composantes consister à l’éviter, à le réduire, à le partager ou à l’ac-
cepter. Le choix d’une réponse appropriée repose sur
La face avant du cube COSO comporte les huit élé- l’appréciation de la probabilité du risque, de ses éven-
ments de risque et de contrôle qui forment le processus tuelles conséquences, de même que sur les coûts et les
de GRE. avantages des autres réactions possibles.
1. Environnement interne 6. Activités de contrôle
Essentiellement similaire à l’environnement de contrôle Les activités de contrôle servent à mettre en œuvre les
décrit dans le référentiel COSO I, l’environnement in- réponses aux risques jugés signicatifs. Elles consis-
terne réfère ici à la culture et à la discipline de contrôle tent à établir puis à exécuter des politiques et des
et de conscience des risques qu’incarnent les dirigeants procédures de contrôle qui contribuent à assurer l’ef-
et les employés d’une manière générale dans leur com- cacité des réactions aux risques désignés par la haute
portement et leur attitude. direction.
2. Fixation des objectifs 7. Information et communication
Le cadre de référence COSO II exige que la xation des L’information relative à l’entreprise et aux différents
objectifs stratégiques, opérationnels, d’information et éléments de sa GRE doit être circonscrite, consignée,
de conformité soit autorisée par la haute direction puis communiquée à toutes les fonctions et les unités
et émane d’un processus bien documenté. Au cours au sein de l’organisation de manière à permettre aux
de cette démarche, il faut veiller à ce que les objectifs employés de s’acquitter de leurs responsabilités. Une
soient établis conformément à la mission de l’entreprise communication efcace requiert la mise en place de
et en ten.ant compte de l’attitude de la haute direction canaux informationnels reliant entre eux l’ensemble des
à l’égard des risques. Formulés en premier lieu, les niveaux et des fonctions de l’entreprise et rattachant
objectifs stratégiques tiennent ensuite lieu de lignes celle-ci à ses parties prenantes externes.
directrices pour la xation des trois autres catégories
d’objectifs. Une fois bien dénis, les objectifs ser- 8. Pilotage
vent à guider l’entreprise dans l’élaboration des trois Le référentiel COSO II prescrit un pilotage de la
étapes suivantes du processus. En effet, ils orientent GRE effectué de façon continue plutôt qu’au moyen
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 65

ENCADRÉ 4.1 Cadre COSO II comme référence en matière de GRE ( )

d’évaluations intermittentes. Les déciences doivent divisions, de ses unités ou de ses liales. Il couvre
être signalées à la haute direction, et les ajustements l’entreprise d’un bout à l’autre. Ainsi, chacun des huit
nécessaires apportés instantanément, le cas échéant. éléments du processus s’applique à chacune des
quatre catégories d’objectifs dans l’entité en entier,
Axe des niveaux organisationnels
de même que dans chacune de ses divisions, unités
Le processus s’applique à différents niveaux, soit et liales.
à ceux de l’entreprise dans son ensemble, de ses

4.2 Gestion des risques d’entreprise


Les vagues de scandales financiers ont, sans l’ombre d’un doute, suscité un engouement
pour la GRE. Devenue célèbre depuis les années 1990, cette appellation désigne un
groupe de lignes directrices et d’orientations fondées sur un ensemble organisé de concepts
qui se rapportent aux risques et aux activités de contrôle. La GRE repose sur la prémisse
que l’objectif ultime de l’entreprise consiste à créer de la valeur pour ses propriétaires
ainsi que pour ses autres parties prenantes et que, tout au long du processus de création
de valeur, l’incertitude est omniprésente. Or, cette incertitude présente deux facettes : elle
peut donner lieu à des risques, comme à des opportunités. En ce qui a trait aux risques, ils
sont reflétés par les événements susceptibles de compromettre la capacité de l’entreprise
à créer de la valeur ou à la préserver. Pour leur part, les opportunités sont reflétées par les
événements potentiellement favorables à la création ou au maintien de la valeur. Avant
d’amorcer le mégaprocessus de GRE, il s’avère donc essentiel que la haute direction se pro-
nonce d’abord sur le degré d’incertitude qu’elle est disposée à accepter (voir la gure 4.2).
L’entreprise doit d’abord identifier l’ensemble des risques significatifs influant sur
chacun de ses objectifs et de ses sous-objectifs. Ensuite, il lui faut choisir une réponse
appropriée à chacun de ces risques. Si, dans le cas de certains risques, la réponse choisie
consiste à les atténuer, il y a lieu de concevoir pour chacun d’eux des activités de contrôle
et d’atténuation permettant de tolérer seulement un risque résiduel correspondant au
niveau de risque acceptable du point de vue de l’entreprise. Ce niveau de risque acceptable

FIGURE 4.2 Principales composantes du processus de GRE


66 Partie 1 Fondements théoriques

traduit l’appétence pour le risque et la tolérance aux risques ciblés par l’organisation. Par
la suite, il faut mettre en place un processus de surveillance afin de pouvoir repérer les
faiblesses du système établi et apporter les modifications qui s’imposent pour assurer le
déroulement adéquat du processus de GRE.

4.2.1 Attitude envers le risque


L’implantation d’un système de GRE au sein d’une entreprise exige entre autres que la
haute direction définisse clairement sa tolérance au risque. L’attitude envers le risque
résulte d’un mélange de valeurs éthiques, de culture organisationnelle et d’attitudes indi-
viduelles des dirigeants (Power, 2009). De là découle la détermination de chaque objectif
spécifique. On mesure normalement la tolérance selon la même unité de mesure que
l’objectif correspondant, qu’il soit exprimé en termes qualitatifs (par exemple, le niveau
de satisfaction de la clientèle) ou quantitatifs (par exemple, le nombre de plaintes de
clients). Ce sont leurs seuils respectifs qui délimitent les frontières entre les opportunités,
les risques acceptables et les risques non acceptables (voir la gure 4.3).

4.2.2 Fixation des objectifs


Comme le montre la figure 4.4, les objectifs sont classés selon leur nature en quatre
grandes catégories, à savoir les objectifs stratégiques, les objectifs opérationnels, les objec-
tifs d’information et les objectifs de conformité.
Au chapitre précédent, nous avons vu que les objectifs opérationnels, d’information
et de conformité comptaient parmi les éléments du référentiel COSO I et nous les avons
étudiés en détail. À présent, les deux sous-sections qui suivent focalisent respectivement
sur les objectifs stratégiques et sur l’interaction entre les différentes catégories d’objectifs.

Hiérarchisation des objectifs


Les objectifs stratégiques découlent de la mission et de la vision de l’entreprise. Tout
d’abord, la haute direction définit la raison pour laquelle l’entreprise existe de même

Attitude envers le risque et démarcation entre


FIGURE 4.3 les zones des risques et celles des opportunités
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 67

FIGURE 4.4 Quatre principales catégories d’objectifs d’entreprise

que le rôle qu’elle espère jouer dans son environnement d’affaires. Une fois approuvée
par le CA, la déclaration de mission et de vision devient le document fondamental à
partir duquel on établit ensuite les objectifs stratégiques de l’entreprise. Comme le
montre la figure 4.5, la définition et la hiérarchisation des autres types d’objectifs s’ef-
fectuent en cascade. On part donc des objectifs stratégiques pour déterminer les objec-
tifs opérationnels, d’information et de conformité, lesquels servent ensuite à fixer les
sous-objectifs par processus ou par programme ainsi que les objectifs spécifiques par
unité, par division ou par projet. À tous les niveaux, la haute direction associe à chaque
objectif général ou spécifique des facteurs clés de succès et des mesures de perfor-
mance en vue d’une évaluation fiable et précise de leur atteinte. Il va sans dire que
des critères de performance mal définis ne peuvent donner lieu qu’à des évaluations
peu concluantes.

FIGURE 4.5 Hiérarchie des objectifs d’entreprise


68 Partie 1 Fondements théoriques

En règle générale, la mission et les objectifs stratégiques de l’entreprise sont stables.


Puis, plus on descend dans la hiérarchie des objectifs, plus ceux-ci deviennent évolutifs
et changeants. On leur apporte en effet des modifications successives qui découlent de
facteurs externes et internes afin de les réaligner sur les objectifs stratégiques et la mission
de l’entreprise. Reprenons l’exemple de l’objectif de conformité présenté à la figure 4.4,
qui consistait à s’assurer que les communications électroniques se fassent dans le respect
de la loi anti-pourriels. La loi en question ayant été promulguée le 1er juillet 2014, il
est évident que ce facteur survenu à cette date ne change en rien les objectifs de haut
niveau de l’entreprise. Il impose toutefois l’ajout d’un nouvel objectif spécifique visant à
se réaligner sur l’objectif fondamental de conformité, soit celui de respecter en tout temps
les lois et les règlements en vigueur.

Interaction entre les différentes catégories d’objectifs


Comme nous l’avons mentionné, les objectifs opérationnels, d’information et de confor-
mité découlent tous des objectifs stratégiques. Bien entendu, les trois premières catégories
d’objectifs ne s’excluent pas nécessairement mutuellement. Par exemple, un organisme
sans but lucratif (OSBL) pourrait avoir parmi ses objectifs de conformité de toujours
maintenir une réserve suffisante pour satisfaire aux exigences d’un organisme subven-
tionnaire gouvernemental en particulier. De cet objectif de conformité découlerait alors
un objectif opérationnel consistant à disposer d’un placement en dépôt à terme au moins
égal au montant de la réserve requise par le bailleur de fonds. Enfin, ces deux objectifs
combinés en entraîneraient un troisième lié à la fiabilité de l’information financière, soit
celui d’établir avec exactitude l’actif net non affecté de l’OSBL, lequel détermine la réserve
constituée par celui-ci à une date de clôture donnée. Notons que, dans cet exemple, il
n’est pas question de conformité à une loi ou à un règlement en vigueur, mais plutôt à
une règle établie par une partie prenante cruciale pour la survie de l’OSBL. En effet, de
manière générale, une entreprise peut très bien avoir des objectifs de conformité plus
stricts que ceux prescrits par les lois et les règlements, dans le but par exemple de mériter
une certaine cote de crédit visée par la haute direction.

4.2.3 Identification des événements à risque


Qu’elle recoure ou non au référentiel COSO II ou à un autre cadre de référence en
matière de GRE, toute entreprise doit se livrer à un exercice de hiérarchisation des événe-
ments à risque, lequel exige en premier lieu leur identification et, en second lieu, leur
évaluation. La présente section porte sur certaines techniques qui peuvent être utilisées
dans ce processus.
L’identification des risques est une tâche complexe, même en présence d’un référen-
tiel qui propose une association entre les risques et les objectifs. Dans le cas d’objectifs
explicites bien définis, il ne s’avère déjà pas facile de dresser une liste assez complète
d’événements prévisibles susceptibles de nuire à leur réalisation. Lorsque les objectifs
sont implicites, la tâche devient encore plus complexe, puisque certains événements sont
provoqués par des facteurs internes et externes qui interagissent de manière imprévisible,
voire inconnue.
Plus qu’un simple exercice d’association entre les éléments d’une liste préétablie
d’objectifs et ceux d’une liste préétablie d’événements potentiels, l’identification des ris-
ques d’entreprise requiert l’utilisation d’une ou de plusieurs techniques. Celle par défaut
consiste à apprendre des expériences vécues par l’entreprise au moyen d’un processus de
surveillance des risques et des activités de contrôle. En effet, la documentation et l’analyse
des défaillances détectées dans un processus d’affaires donné ou des écarts entre les objec-
tifs prévus et ceux atteints permettent généralement d’établir un registre de plus en plus
complet d’événements à risque.
Outre cette technique de base, les entreprises recourent aussi à beaucoup d’autres pra-
tiques et techniques pour identifier les événements à risque. À ce propos, il est d’usage de
constituer un comité interne qui se charge de l’analyse des événements. À l’interne comme
à l’externe, ce comité mène des entrevues orientées vers l’identification d’événements
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 69

potentiels en plus de ceux vécus par l’entreprise. Les entrevues en question sont effectuées
auprès de personnes-ressources susceptibles, en raison de leur expertise ou de leur bonne
connaissance de l’entreprise ou de l’industrie, de participer au processus d’identification
des événements et des risques connexes.
Toujours dans le but d’établir les événements à risque, il est également de coutume
d’organiser des groupes de discussion. Cette approche qualitative repose sur l’interaction
entre des participants qui se penchent sur un thème donné de manière approfondie.
Par ailleurs, des méthodes avancées nécessitant des technologies plus sophistiquées
peuvent aussi servir à cerner les événements à risque. À titre d’exemple, la technique de
l’exploration de données (datamining), qui consiste à extraire automatiquement des infor-
mations pertinentes à partir d’une base constituée d’un très grand nombre de données,
est parfois employée à cette fin.
De son côté, le remue-méninges peut lui aussi être consacré à l’identification des
événements à risque. À cette technique bien connue de génération d’idées prennent part
des personnes-ressources qui possèdent un savoir spécialisé. Que le remue-méninges s’ef-
fectue en personne ou en ligne, les participants interagissent pour partager leurs idées,
discuter de diverses possibilités et parvenir à des décisions consensuelles concernant les
risques potentiels associés à chaque objectif.

4.2.4 Évaluation et hiérarchisation des risques


Une fois les risques identifiés, il y a lieu d’apprécier leur importance. Cette étape nécessite
l’évaluation de deux aspects associés à chaque risque, soit la probabilité et l’incidence. En
d’autres termes, quelle est la probabilité que l’événement à risque se manifeste et, le cas
échéant, quelle serait l’ampleur de son incidence ?

Appréciation de la probabilité et de l’incidence des risques


La probabilité qu’un événement à risque donné survienne ne s’exprime pas nécessairement
en pourcentage. Elle peut aussi prendre la forme d’une variable discrète de type « très peu
probable », « peu probable », « probable », et ainsi de suite ; ou encore d’une fréquence telle
que « risque d’arriver une fois tous les 10 ans », « tous les 5 ans », « tous les 3 ans », et ainsi
de suite. Quant à l’incidence, elle s’exprime souvent en unités monétaires et représente
alors le montant de la perte que l’entreprise est susceptible de subir si l’événement de
risque se produit. Par ailleurs, à l’instar de la probabilité, l’incidence peut également
prendre la forme d’une variable discrète.
La combinaison des deux dimensions susmentionnées permet de mesurer l’impor-
tance globale, ou l’ampleur, d’un risque en particulier (voir la gure 4.6). De fait, toute
augmentation de la probabilité ou de l’incidence d’un risque en accroît l’importance,
entraînant par conséquent la nécessité de le gérer.

FIGURE 4.6 Composantes de l’évaluation des risques

À titre d’exemple, une compagnie d’assurance peut juger que la probabilité qu’un
conducteur donné parmi ses clients commette un accident mortel est de 1 pour 100 000
par année et que la perte à subir en cas de décès d’un individu en conséquence se chiffre
à 1 000 000 $. La compagnie peut par ailleurs considérer que la probabilité que l’auto
70 Partie 1 Fondements théoriques

assurée par ce même client fasse l’objet d’un vol est de 1 % et que la perte à subir en cas
de vol s’élève à 10 000 $. Dans ces conditions, il est possible de conclure que l’accident
mortel constitue un risque 10 fois moins important que le vol de l’auto, étant donné que
le risque de perte dans le premier cas se chiffre à 10 $ (1 000 000 × 1 ÷ 100 000), alors
que, dans le deuxième cas, il atteint 100 $ (10 000 × 1 ÷ 100)4.
Il importe de noter que l’appréciation de chaque risque doit à la fois être axée sur son
aspect inhérent et son aspect résiduel (voir la gure 4.7). On qualifie d’inhérent le risque
qui existe au départ, avant toute action entreprise par l’organisation en vue d’en contrôler la
probabilité ou l’incidence. En revanche, le risque résiduel correspond à celui qui demeure,
même après l’implantation d’activités de contrôle interne ou la mise en œuvre d’autres
réponses à son égard. Dans le cas de chaque risque identifié, il s’avère essentiel que l’éva­
luation et les réévaluations subséquentes portent aussi bien sur le risque inhérent que sur le
risque résiduel. La figure 4.7 présente les deux niveaux d’évaluation d’un risque identifié.
Supposons par exemple que la fraude soit définie comme un risque touchant un
processus ou une unité donnée au sein d’une entreprise. Alors, il ne conviendrait pas de
se contenter d’évaluer ce risque en tenant compte des activités de contrôle en place, sans
réévaluer le risque qui existait avant l’instauration de toute activité de contrôle. En effet,
il se pourrait que, postérieurement à la dernière évaluation menée par l’entreprise, un
changement majeur dans la composition de l’équipe d’employés concernée ou dans la
description de leurs tâches se soit soldé par une réduction substantielle du risque inhérent
et que, par conséquent, certaines mesures de contrôle s’avèrent désormais excessives.
Les différentes techniques employées pour l’identification des risques peuvent égale­
ment se révéler utiles pour leur évaluation. En outre, certaines entreprises se servent de
logiciels spécialisés dans l’appréciation collaborative des risques.

Évaluation de l’aspect inhérent et de l’aspect résiduel


FIGURE 4.7 d’un risque identifié

4. Cet exemple ne s’applique toutefois pas dans le cadre de la législation québécoise, puisque c’est la Société
de l’assurance automobile du Québec qui assure la protection des accidentés de la route.
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 71

Matrice des risques


Aussitôt les risques identifiés, leur probabilité et leur incidence évaluées, on peut procéder à
leur hiérarchisation. Celle-ci s’impose à l’entreprise en raison de la contrainte que constitue
la rareté des ressources. Notamment, un gestionnaire peut très bien être conscient d’un
risque donné et choisir pourtant de l’ignorer, du moins temporairement, faute de budget.
Pour classer les risques par ordre de priorité, il est d’usage d’employer une matrice. Le
point fort de la présentation matricielle réside dans la visualisation et la synthèse qu’elle permet
de faire, de même que dans l’harmonie entre les différents éléments qu’elle met en lumière.
Par ailleurs, ces avantages se voient encore accrus si on exploite en plus les fonctionnalités d’un
tableur comme Excel pour créer une matrice dynamique facile à manier et à mettre à jour.
Au chapitre précédent, nous avons vu un modèle de matrice des objectifs, des risques et
des activités de contrôle. Or, nous aborderons ici la conception d’une matrice davantage axée
sur la hiérarchisation des risques. À la base, une matrice des risques a pour but de présenter
le résultat de l’évaluation de chaque risque associé à un objectif d’un processus d’affaires
donné. Cette évaluation se divise en trois éléments, soit la probabilité, l’incidence et le risque
global. Dans la matrice présentée au tableau 4.3, la probabilité et l’incidence sont toutes
deux exprimées en valeurs qualitatives qui peuvent être transformées en valeurs quantitatives
au moyen d’une formule de conversion unique. Ainsi, pour chaque risque, la multiplication
de sa probabilité d’occurrence par celle de son incidence correspond à sa cote de risque
global, laquelle reflète son importance relative par rapport aux autres risques de la matrice.

TABLEAU 4.3 Exemple de matrice des risques


Processus Exemple Risque Probabilité Incidence Risque
d’objectif global

Ventes – Accélérer le Perte de Moyenne Élevée 5 × 9 = 45


encaissements recouvrement clients

Gestion des S’assurer de Erreur de dé- Moyenne Moyenne 5 × 5 = 25


stocks la abilité de nombrement
l’inventaire

Ressources Abolir les Grève du Faible Faible 1×1=1


humaines heures sup- personnel
plémentaires

Dans cet exemple, la cote la plus élevée correspond à la pondération 9 ; la moyenne,


à 5 ; et la plus faible, à 1.
Grâce à une telle matrice, il est possible d’élaborer un registre de risques pour chaque
unité, processus ou projet, ainsi qu’un registre de risques global. Pour la haute direction
et le CA, une source de référence semblable s’avère des plus utiles, car elle leur procure un
bref aperçu intéressant, par exemple un sommaire des 10 risques les plus élevés auxquels
l’entreprise, une unité ou un processus font face, ce qui permet ultimement de recentrer
l’attention sur les risques les plus saillants.
Par ailleurs, dans d’autres modèles de matrices des risques, on présente parfois des dimen-
sions additionnelles, notamment la contrôlabilité et la capacité de détection. La première traduit
le degré dans lequel une fonction ou une unité de l’entreprise est facile à contrôler. La seconde
traduit le degré d’efficacité des activités de contrôle en place dans la détection des anomalies.

Cartographie des risques


Dans les grandes entreprises, afin de faciliter la communication visuelle, les praticiens
du contrôle interne procèdent souvent à la conversion de la matrice des risques en un
graphique nommé cartographie des risques. Ce mode de présentation, dont les axes sont
constitués de la probabilité et de l’incidence, illustre la zone des risques inacceptables, la
72 Partie 1 Fondements théoriques

FIGURE 4.8 Exemple de cartographie des risques

zone des risques acceptables et la zone des opportunités, c’est-à-dire celle de l’appétence
pour le risque. La figure 4.8 en donne un exemple.
Dans cet exemple, l’incidence et la probabilité sont toutes deux exprimées à l’aide
de valeurs discrètes sur une échelle de 0 à 10 référant respectivement au risque nul
et au risque maximum. Les nombres qui figurent dans la carte reflètent l’importance
des risques et ils sont obtenus dans chaque case en multipliant le degré de probabilité
par le degré d’incidence correspondant. Inspirée de la cartographie météorologique, la
cartographie des risques utilise des couleurs différentes pour délimiter l’aire de chacune
des trois zones sur la carte en fonction des seuils établis par la haute direction quant à
l’appétence pour le risque et à la tolérance au risque. Les risques spécifiques sont par la
suite placés sur la carte afin d’en faciliter la hiérarchisation, exercice qui se fait aussi bien
a priori avec les risques inhérents qu’a posteriori avec les risques résiduels.
Dans l’exemple de la figure 4.8, le risque R1 se trouve à l’intérieur de la zone des ris-
ques acceptables. Quant au risque R2, la place qu’il occupe se situe dans l’aire des risques
inacceptables, nécessitant ainsi une attention particulière de la part de la direction. Pour
ce qui est du risque R3, il figure dans la zone des opportunités.
Il convient ici d’examiner la position du risque R3 de plus près. D’une part, s’il s’agit
d’un risque inhérent qui, avant toute intervention de la part de l’entreprise, se trouve dans
la zone des opportunités, son identification en tant qu’opportunité peut servir d’intrant
pour la fixation des objectifs relativement à la période à venir. Ce pourrait notamment
être le cas d’un risque d’insolvabilité d’une catégorie donnée de clients qui s’avérerait situé
à un niveau si bas qu’il susciterait une révision de la politique de vente à crédit en faveur
des clients concernés en vue de les fidéliser. Cette révision aurait alors pour conséquence
d’accroître d’une manière contrôlée le risque inhérent en question.
D’autre part, le risque R3 peut également découler d’un risque inhérent à l’origine
inacceptable à l’égard duquel des mesures ont été prises pour le ramener dans la zone
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 73

d’acceptabilité. Dans ce cas, se retrouver avec un risque résiduel situé dans la zone des
opportunités témoignerait d’une réponse excessive de la part de l’entreprise à l’égard
du risque inhérent en question. Bien que loin de présenter une situation alarmante, ce
positionnement du risque R3 pourrait alors être perçu comme le résultat d’une mau-
vaise gestion des risques, de la même manière qu’un excédent perpétuel de liquidités est
perçu comme une mauvaise gestion de la trésorerie dans une perspective de saine gestion
financière.

4.2.5 Réponses aux risques


Dès que les risques sont évalués et classés en fonction de leur degré de priorité dans un
registre, une matrice ou une carte, l’étape qui suit consiste à déterminer le type de réponse
approprié pour chacun. Il existe généralement quatre manières de traiter un risque, soit
le réduire, l’éliminer, le transférer ou l’accepter.

Réduction des risques


La réponse la plus fréquente à l’égard d’un risque donné consiste sans doute à prendre des
mesures pour l’atténuer, en mettant en place certaines activités de contrôle ou en modifiant
le processus à l’origine du risque en question. En l’occurrence, ces mesures n’ont pas pour
objectif d’éliminer complètement le risque, mais plutôt d’amener le risque résiduel à un
niveau acceptable correspondant à l’attitude générale de la haute direction envers le risque.
Dans le chapitre précédent et la seconde partie du présent manuel, l’approche
préconisée vise expressément à concevoir des activités de contrôle susceptibles de réduire
les risques auxquels l’entreprise est exposée, et ce, dans chaque cycle comptable.
En plus d’instaurer des activités de contrôle, il est possible d’atténuer les risques en les
diversifiant. Ainsi, la diversification est une stratégie dérivée de la réduction des risques.
Un exemple type de risque propice à la diversification serait la perte de valeur potentielle
d’un portefeuille de placements détenu par l’entreprise. La métaphore des œufs dans un
même panier symbolise bien ce risque.

Élimination des risques


Lorsque l’entreprise ne souhaite courir aucune chance, elle peut carrément abolir le pro-
cessus d’affaires ou l’activité qui donne naissance à l’événement à risque. Ce faisant, elle
élimine ce dernier. Par exemple, s’il est question d’un nouveau secteur d’activité en voie
d’exploration par l’entreprise, l’élimination des risques revient simplement à refuser de
poursuivre le projet, limitant ainsi la perte au coût assumé pour l’étude du projet. Cette
réponse se veut appropriée si la direction juge qu’il n’y a aucun moyen de ramener les
risques à un niveau de tolérance acceptable. Cependant, dans la même situation, une
autre entreprise ayant une tolérance aux risques plus élevée pourrait considérer comme
acceptables les risques que le projet présente (voire préférables à son abandon) et finir
par y adhérer. Rappelons qu’il existe un lien assez étroit entre les risques et le rendement
espéré, de sorte que, dans un contexte semblable, une entreprise dont le portefeuille de
risques est relativement peu fourni pourrait s’avérer disposée à tolérer des risques accrus.

Transfert des risques


Dans certains cas, il est possible de ramener les risques à un niveau acceptable en les trans-
férant à des parties externes qui de par la nature de leurs activités témoignent d’une plus
grande appétence pour le risque. Les compagnies d’assurance en constituent un excellent
exemple. En effet, en contrepartie des primes que leur versent périodiquement leurs clients,
les assureurs assument des risques aussi variés que les incendies, les accidents de travail, les
vols d’actifs, la responsabilité civile, les pertes d’exploitation, les catastrophes naturelles et
le terrorisme. Par ailleurs, une autre forme de transfert ou de partage des risques consiste
74 Partie 1 Fondements théoriques

à sous-traiter un processus d’affaires donné en le confiant à une tierce partie qui accepte
la prise en charge totale ou partielle des risques stipulés dans le contrat de sous-traitance.

Acceptation des risques


Si le coût associé à la réduction, au transfert ou à l’élimination d’un risque excède la perte
potentielle qu’il est susceptible de causer, il convient alors de simplement l’accepter. Par
exemple, la haute direction d’une entreprise peut décider de cesser de payer une assurance
contre le risque de perte d’exploitation si elle juge que les assureurs demandent trop cher
pour cette protection. Or, si cette décision ne s’accompagne d’aucune mesure de remplace-
ment pour composer avec le risque en question, cela veut dire que la haute direction a fait
le choix d’accepter, désormais, le risque inhérent de perte d’exploitation. Une des inter-
prétations possibles de cette situation est que l’évaluation de la probabilité ou de l’incidence
d’une éventuelle perte d’exploitation faite par la haute direction se veut significativement
inférieure à celle effectuée par les compagnies d’assurance. Une autre interprétation envisa-
geable est que, toutes choses égales par ailleurs, le seuil de tolérance au risque accepté par
les assureurs s’avère considérablement plus restreint que celui accepté par l’entreprise.

Choix de la réponse appropriée


Dans chaque contexte, le choix de l’une ou l’autre des quatre réponses possibles dépend,
entre autres, de l’évaluation de la probabilité et de l’incidence de l’événement à risque,
comme le suggère le tableau 4.4. Deux situations en particulier conduisent à des réponses
assez évidentes. Ainsi, il convient d’accepter un risque quand sa probabilité et son inci-
dence sont faibles ; et de l’éliminer quand sa probabilité et son incidence sont élevées.
Toutefois, dans les cas se situant entre ces deux extrêmes, la réduction et le transfert des
risques ont plus de chance d’être adoptés comme réponses.

TABLEAU 4.4 Choix d’une réponse à un risque

Élevée Réduction ou transfert Élimination


Incidence
Faible Acceptation Réduction ou transfert

Faible Élevée

Probabilité

Bien évidemment, la faisabilité du transfert comme réponse aux risques est tributaire
de facteurs plus ou moins contrôlables par l’entreprise. Primo, elle repose sur l’existence
d’une tierce partie disposée à accepter le transfert. Secundo, elle dépend du coût que cette
tierce partie demande en contrepartie de son acceptation de partage d’un risque donné.
Tertio, elle est aussi fonction de l’ampleur du risque résiduel susceptible de demeurer
même si le transfert a lieu. Enfin, elle varie selon l’appétence pour le risque et la tolérance
au risque établies par la haute direction.
Prenons le cas d’un risque inhérent de perte d’exploitation dont une entreprise
évalue la probabilité à 1/300, et l’incidence, à 30 000 000 $ par année. Supposons
que l’entreprise se voit offrir une assurance contre ce risque jusqu’à concurrence de
20 000 000 $ annuellement contre une prime annuelle de 10 000 $. Il en résulterait
alors un risque résiduel de 10 000 000 $ après le transfert. La figure 4.9 indique la zone
d’appétence pour le risque (zone des opportunités) ainsi que la zone d’intolérance au
risque. Ces zones sont délimitées par un arc inférieur et un arc supérieur représentant
respectivement le seuil d’appétence et le seuil de tolérance sur le repère probabilité-
incidence. Les montants présentés dans la figure 4.9 ne tiennent pas compte de la prime
d’assurance. Vaudrait-il la peine de transférer le risque en cause dans ces conditions ?
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 75

FIGURE 4.9 Illustration d’un choix de transfert de risque

Coût de l’assurance (prime d’assurance) ……………………………………………..... 10 000 $


Perte probable associée au risque résiduel : 10 000 000 $ × 1 ÷ 300 ………………. 33 333 $
Coût total du transfert de risque ………………… 43 333 $

Notons d’abord que le projet de transfert du risque de perte d’exploitation à l’assu-


reur déplace le risque de la zone d’intolérance à la zone d’acceptabilité. Le coût total de
ce transfert se compose de la prime d’assurance à laquelle s’ajoute la perte probable causée
par le risque résiduel :
Ce coût total, comparé à la perte associée au risque inhérent qui est estimée à
100 000 $ (30 000 000 $ × 1 ÷ 300) permet de conclure que le transfert s’avère avanta-
geux pour l’entreprise. En effet, il est efficace en termes d’acceptabilité de risque résiduel
et il est efficient si on considère son rapport coût-avantage.
Examinons maintenant un scénario où le transfert aurait pour conséquence de
ramener le risque à un niveau tellement bas qu’il se retrouverait à l’intérieur de la zone
des opportunités. Dans ce cas-là, compte tenu de son appétence pour le risque, il serait
opportun pour l’entreprise de négocier une protection d’assurance plus restreinte contre
une prime moins élevée. Ce faisant, elle réduirait le coût du transfert et augmenterait le
risque résiduel de manière à ce qu’il se place en dehors de la zone des opportunités sans
pour autant tomber dans la zone d’intolérance.
76 Partie 1 Fondements théoriques

4.3 Rôles des principaux intervenants


La présente section s’intéresse aux intervenants clés qui se trouvent bien placés pour
influencer la gestion des risques et des activités de contrôle.

4.3.1 Rôle du conseil d’administration


L’autorité ultimement responsable de la gouvernance des risques et des activités de con-
trôle comme partie intégrante de la gouvernance d’entreprise est le CA. Son rôle consiste
essentiellement à surveiller le processus et à orienter ses rajustements. Pour que le CA
puisse remplir ses fonctions de manière efficace, des facteurs internes et externes entrent
en jeu. À l’interne, il faut que les membres du conseil soient dotés de qualités personnelles
et professionnelles clés pour assurer une gouvernance efficace et efficiente des risques et des
activités de contrôle. Curiosité, habileté à poser les bonnes questions, capacité d’écoute,
bonne connaissance de l’entreprise et du secteur d’activité, ainsi que maîtrise des concepts
de base associés aux risques et aux mesures de contrôle constituent les atouts d’un leader-
ship efficace en la matière. Par ailleurs, une étroite collaboration entre les administrateurs
indépendants qui apportent un savoir externe utile aux fins de l’exercice de benchmarking
et les administrateurs internes qui apportent une bonne connaissance de l’entreprise et
de son environnement interne ne peut être que bénéfique pour le bon déroulement de la
surveillance des risques et des activités de contrôle.
Quant aux facteurs extérieurs au CA, le degré de maturité de la GRE au sein de l’en-
treprise, notamment celui des mécanismes d’information et de communication, contribue
ou nuit sans l’ombre d’un doute à l’accomplissement adéquat de son rôle à l’égard de la
maîtrise des risques et des activités de contrôle. En outre, la transparence, l’intégrité et
la collaboration des dirigeants de l’entreprise comptent également parmi les facteurs qui
facilitent le leadership du conseil en la matière.
Bien que la responsabilité de la définition de l’attitude de l’entreprise envers le risque
revienne à la haute direction, c’est le CA qui doit ensuite entièrement en répondre. Il
s’agit là de l’aspect le plus délicat de la tâche d’un administrateur, dans la mesure où il
s’y trouve contraint de s’appuyer de moins en moins sur les règles associées aux bonnes
pratiques et de plus en plus sur un jugement professionnel à l’égard de considérations plus
ou moins objectives formulées par l’équipe dirigeante.
Supposons qu’une entreprise dotée d’une GRE mature et parfaitement opéra-
tionnelle dispose d’un excellent mécanisme d’information et de communication qui
porte régulièrement à l’attention des administrateurs toute l’information fiable et utile
à l’accomplissement de leurs fonctions. Certes, une telle maturité de la GRE contribue
énormément à faciliter la tâche des administrateurs et à leur procurer une certaine tran-
quillité d’esprit. Néanmoins, en aucun cas elle ne peut garantir que les objectifs et le
niveau de tolérance au risque déterminés par les dirigeants sont appropriés, et encore
moins qu’ils ont été établis dans l’intérêt exclusif de l’entreprise. Les habiletés clés d’un
administrateur dans un tel contexte se rapportent à sa capacité de poser les bonnes ques-
tions à l’équipe dirigeante de manière à l’amener à formuler une justification cohérente
et bien fondée de ses choix en la matière, et de réviser éventuellement ces choix en faveur
d’une meilleure aptitude à la création de valeur par l’entreprise.

4.3.2 Rôle de la haute direction


Il va sans dire que les choix faits par la haute direction constituent non seulement
le déclencheur, mais aussi le moteur du système de gestion des risques et des activités de
contrôle au sein d’une entreprise. Tout au long du présent chapitre, nous avons vu le
caractère essentiel de deux éléments du processus de GRE qui reviennent presque à
chaque étape : les objectifs et l’attitude envers le risque. Or, l’établissement de ces élé-
ments revient à la haute direction, force motrice de l’ensemble du processus de gestion
des risques et des activités de contrôle.
Chapitre 4 Risques d’entreprise et incidence sur le contrôle interne 77

Les membres de la haute direction sont responsables de la GRE. Ils doivent se l’ap-
proprier pour pouvoir sensibiliser l’ensemble des employés aux risques auxquels l’entre-
prise est exposée ainsi qu’aux mesures de contrôle mises en place pour les réduire. Les
hauts dirigeants jouent vis-à-vis des directeurs, des cadres intermédiaires et des chefs
de projet un rôle semblable à celui que joue le CA vis-à-vis de l’équipe de direction. Il
leur faut surveiller la gestion quotidienne des risques effectuée par leurs subordonnés et
s’assurer que les coûts et les avantages des activités de contrôle sont régulièrement mesurés
et communiqués. De plus, ils doivent obtenir des preuves quant à l’efficacité des activités
de contrôle en place. L’équipe dirigeante s’occupe de la promotion et du développement
d’une culture d’entreprise qui met la conscience aux risques et aux mesures de contrôle
au cœur des préoccupations de l’ensemble du personnel. Pour ce faire, elle doit d’abord
donner l’exemple en matière d’intégrité et d’éthique. Par la suite, il lui faut s’assurer que
l’exemple déontologique se transmet d’un niveau hiérarchique à l’autre. C’est ainsi qu’un
environnement de contrôle sain peut s’instaurer dans l’entreprise.
Par ailleurs, il revient à la haute direction de choisir les réponses aux risques appro-
priées. Enfin, elle a aussi un rôle clé à jouer dans l’information et la communication
relatives aux risques, que ce soit en amont ou en aval.

4.3.3 Rôle de l’équipe d’audit interne


Comme nous l’avons mentionné en introduction à ce chapitre, la GRE n’est dans les faits
utilisée que par les grandes entreprises ; il en va de même de l’audit interne. Bien qu’en
pratique, la ligne de démarcation entre le contrôle interne et l’audit interne soit floue, il
importe de faire la distinction entre les deux. Au premier chapitre, nous avons précisé que
le présent manuel de contrôle interne s’adressait en premier lieu aux gestionnaires. Qu’il
s’agisse d’un membre de la direction, d’un administrateur, d’un chef de division, d’un
propriétaire de processus d’affaires ou d’un responsable d’unité ou de filiale, un gestion-
naire a besoin de comprendre le contrôle interne pour pouvoir s’impliquer activement
dans le processus de prise de décisions lié à la conception, à l’implantation, à l’évaluation
et à l’amélioration de la GRE et des activités de contrôle.
En revanche, l’auditeur interne a pour mission d’apporter une assurance quant au bon
fonctionnement de la GRE. Il doit en effet s’assurer que les mesures de contrôle en place
opèrent d’une manière efficace. La mission de l’auditeur interne porte, du moins théorique-
ment, sur l’audit des activités de contrôle, et non sur leur conception ou leur implantation.
De fait, l’auditeur interne est présumé indépendant de la haute direction ; il n’intervient
donc pas dans la gestion, y compris dans celle des risques et des activités de contrôle. Il ne lui
est pas permis, par exemple, de recommander une réponse à un risque donné. Par ailleurs,
l’incompatibilité entre la conception des mesures de contrôle d’une part et leur vérification
d’autre part fait en sorte que l’auditeur interne ne devrait pas intervenir dans la conception
ni l’implantation d’activités de contrôle qu’il lui appartient d’auditer par la suite.
Ces restrictions trouvent leur origine dans le fait que la profession d’audit interne
est normalisée et régie par un code de déontologie. Au Canada, l’Institut des auditeurs
internes adopte les normes internationales pour la pratique professionnelle de l’audit
interne (NIPPAI). Selon ces normes, lorsque les auditeurs internes aident la direction
dans la conception et l’amélioration des processus de gestion des risques, ils doivent
s’abstenir d’assumer une responsabilité opérationnelle en la matière (Institut français de
l’audit et du contrôle internes, 2013).
En pratique, quand une entreprise possède un service d’audit interne,
l’équipe dirigeante ne peut se passer de son expertise au moment d’implanter un pro-
cessus de GRE. Parce qu’on les considère comme les ressources les plus compétentes au
sein de l’entreprise en ce qui concerne les risques et les activités de contrôle, on sollicite
de temps à autre les auditeurs internes afin qu’ils interviennent dans des missions de
conseil en la matière. Ils ne doivent toutefois accepter ce type de mandat que sur une
base exceptionnelle pour faciliter par exemple le démarrage d’un système de GRE, sans
oublier de mettre les parties prenantes internes en garde relativement aux responsabilités
78 Partie 1 Fondements théoriques

de la GRE qui incombent à la haute direction. Enfin, il leur appartient d’expliquer à cette
dernière qu’en tant qu’auditeurs internes, ils ne peuvent compromettre leur objectivité
et leur indépendance en s’impliquant dans les aspects de la GRE qui se veulent incom-
patibles avec leur mission.
Outre ces interventions occasionnelles, l’équipe d’audit interne joue un rôle clé dans
le processus de GRE, essentiellement en termes d’évaluation, de documentation et de
communication. Elle procure au CA et, le cas échéant, au comité d’audit, une assurance
quant à l’efficacité du processus de GRE. Elle leur garantit que les risques sont évalués
d’une manière appropriée, que les mesures prises à l’égard de ces derniers sont pertinentes
et efficaces, et que les activités de contrôle en place permettent d’atténuer les risques de la
manière souhaitée par la haute direction. De plus, l’équipe d’audit interne peut également
assister la haute direction dans le processus d’identification et d’évaluation des risques.
Le tableau 4.5 présente certaines tâches liées à la GRE et au contrôle qui font partie
du travail de l’auditeur interne selon les NIPPAI.

TABLEAU 4.5 Rôle de l’auditeur interne dans la GRE


et le contrôle selon les NIPPAI
Gestion des risques Contrôle

L’auditeur interne doit évaluer l’efcacité des L’auditeur interne doit aider l’organisation à
processus de gestion des risques et contribuer maintenir un dispositif de contrôle approprié en
à leur amélioration (NIPPAI 2120). évaluant son efcacité et son efcience et
en encourageant son amélioration continue
(NIPPAI 2130).

Pour ce faire, il doit notamment s’assurer : Pour ce faire, il doit notamment vérier :
• que les objectifs de l’organisation sont cohé- • l’atteinte des objectifs stratégiques de
rents avec sa mission et y contribuent ; l’organisation ;
• que les risques signicatifs sont identiés et • la abilité et l’intégrité de l’information nan-
évalués ; cière et opérationnelle ;
• que les modalités de traitement des risques • l’efcacité et l’efcience des opérations et
retenues sont appropriées et en adéqua- des programmes ;
tion avec l’appétence pour le risque de • la protection des actifs ;
l’organisation ; • le respect des lois, des règlements, des
• que les renseignements relatifs aux risques règles, des procédures et des contrats.
sont recensés et communiqués en temps
opportun pour permettre aux collabora-
teurs, à la direction et au CA d’exercer leurs
responsabilités.

4.3.4 Rôle des autres membres du personnel


L’ensemble des employés de l’entreprise a aussi un rôle à jouer dans la GRE. En premier
lieu, il s’avère indispensable que chaque individu au sein de l’entreprise soit sensibilisé
à l’incertitude et aux risques. Tant au moment de la planification que de l’exécution
des tâches, il importe de tenir compte des risques comme d’une réalité incontournable.
Chaque employé doit connaître et respecter ses limites quant aux risques qu’il lui est per-
mis de courir lors de l’accomplissement de ses tâches. De surcroît, il faut comprendre le
caractère changeant des risques et savoir adapter ses mesures d’atténuation en conséquence.
Il incombe aussi à chaque employé d’utiliser son expertise dans les tâches qui lui sont
confiées pour aider à l’identification des risques et des activités de contrôle rattachés à
ces tâches. En somme, le contrôle des risques est l’affaire de tous, au même titre que la
survie de l’entreprise.
CHAPITRE 5 Environnements
particuliers

C
omme nous l’avons mentionné dans l’avant-propos, le
présent manuel a pris comme archétype une société fer-
mée dont le chiffre d’affaires annuel oscille entre 10 et
25 millions de dollars. Il s’agit d’une taille idéale pour bien illus-
trer les concepts relatifs au contrôle interne sans être en présence
d’un système trop sophistiqué ou trop rudimentaire, réduisant
l’efficacité de la démarche pédagogique.
Néanmoins, tout ce que nous avons présenté dans les quatre
premiers chapitres s’applique également à d’autres environne-
ments, comme à ceux des petites entreprises (PE) et des orga-
nismes à but non lucratif (OBNL). Au cours des deux prochaines
sections, nous traiterons des ajustements nécessaires afin d’adap-
ter aux PE et aux OBNL le modèle présenté au chapitre 3 (voir la
gure 5.1), en nuançant l’incidence de leurs environnements sur
l’application de l’approche préconisée. Puisque nous avons déjà
présenté les cinq éléments d’un système de contrôle interne fondé
sur le cube COSO (Committee of Sponsoring Organizations of
the Treadway Commission), nous insisterons simplement sur les
différences entre le modèle présenté auparavant et la situation
existant généralement au sein des PE et des OBNL.

FIGURE 5.1 Cube COSO

Source : Institut français de l’audit et du contrôle internes et PriceWaterhouseCoopers.


(2007). La pratique du contrôle interne : COSO Report. Paris, France : Les Éditions
d’Organisation, p. 31.
80 Partie 1 Fondements théoriques

Toujours dans cette perspective d’environnements particuliers, nous avons déterminé


deux autres sujets dont nous souhaitons discuter, soit le référentiel en matière de contrôle
interne des technologies de l’information (Control Objectives for Information and related
Technology ou COBIT) et la relation entre le contrôle interne et les auditeurs externes.
Bien que nous traitions au chapitre suivant de l’incidence des technologies de l’infor-
mation (TI) sur le système de contrôle interne, nous avons jugé plus opportun de discuter
des référentiels en matière de TI dans le présent chapitre, puisque nous y présentons les
notions théoriques. De plus, étant donné que nous croyons qu’il est important d’aborder
cette question dans un manuel de contrôle interne, nous en avons fait un sujet particulier.
Dans une certaine mesure, le travail de l’auditeur externe peut aussi être considéré
comme un environnement particulier, puisqu’il interagit de façon spécifique avec le sys-
tème de contrôle interne de l’entreprise. Nous ferons donc ressortir les principaux liens
qui existent entre l’auditeur externe et le système de contrôle interne de l’entreprise. Nous
discuterons plus précisément de l’influence de cette partie prenante sur le fonctionne-
ment du système de contrôle. En effet, elle joue un rôle dans l’évaluation du système de
contrôle interne mis en place par la direction et, conséquemment, contribue à son amé-
lioration éventuelle. Bien que le mandat d’audit externe n’ait pas pour objectif d’émettre
une opinion sur l’efficacité du contrôle interne, nous verrons que l’auditeur externe peut
tout de même contribuer à l’amélioration de ce type de contrôle.

5.1 Petites entreprises


Comme le montre le tableau 5.1, 95 % des entreprises canadiennes ont moins de
50 employés. Ces organisations peuvent-elles aussi utiliser l’approche COSO préconisée
dans le présent ouvrage, même si elles sont de petite taille ? Absolument. Elles doivent

TABLEAU 5.1 Représentation des entreprises en fonction


du nombre d’employés
Nombre d’emplacements commerciaux

Nombre Pourcentage cumulatif des Total Secteur Secteur


d’employés entreprises avec employés des biens* des services*

1-4 55,1 610 178 138 526 471 652

5-9 74,9 219 771 45 958 173 813

10-19 87,4 138 031 26 905 111 126

20-49 95,6 91 026 18 491 72 535

50-99 98,2 28 797 6 686 22 111

100-199 99,4 12 619 3 322 9 297

200-499 99,9 5 550 1 576 3 974

500+ 100,0 1 568 437 1 131

Total 1 107 540 241 901 865 639

* D’après la dénition, le secteur des biens regroupe les secteurs suivants : fabrication ; construction ; foresterie, pêche,
extraction minière, exploitation en carrière et extraction de pétrole et de gaz. Le secteur des services regroupe les
secteurs suivants : commerce de gros et de détail ; hébergement et services de restauration ; services professionnels,
scientiques et techniques ; nances, assurances, services immobiliers et services de location à bail ; soins de santé
et assistance sociale ; services aux entreprises, services relatifs aux bâtiments et autres services de soutien ; industrie
de l’information et industrie culturelle et loisirs ; transport et entreposage ; et autres services.
Source : Adapté de Statistique Canada. (Décembre 2012). Registre des entreprises, dans Industrie Canada. (2013).
Principales statistiques relatives aux petites entreprises – Août 2013. Repéré au https://www.ic.gc.ca/eic/site/061.nsf/
fra/02804.html.
Chapitre 5 Environnements particuliers 81

cependant faire quelques ajustements pour tenir compte des particularités qui leur sont
propres. Ces adaptations sont parfois moins importantes que ce que l’on pourrait ima-
giner de prime abord. C’est principalement l’environnement de contrôle et le processus
de communication de l’information qui sont différents. Il est facile d’imaginer que les
PE ont des structures moins formelles, que leurs propriétaires sont plus présents dans
leur gestion quotidienne, que les niveaux hiérarchiques y sont moins nombreux et qu’il
y a moins de documentation que dans les entreprises de plus grande taille.
Pour illustrer les répercussions de cette réalité sur le système de contrôle interne, nous
avons repris la partie « Éléments de contrôle » du cube COSO en y intégrant les princi-
pales différences qui sont propres aux PE (voir la gure 5.2). Nous expliquons en outre
l’incidence de chaque particularité sur les cinq dimensions du système de contrôle interne.

FIGURE 5.2 Principales différences du cube COSO pour les PE

Source : Adapté de Institut français de l’audit et du contrôle internes et PriceWaterhouseCoopers. (2007).


. Paris, France : Les Éditions d’Organisation, p. 28.

5.1.1 Environnement de contrôle


L’environnement de contrôle constitue la pierre angulaire d’un bon système de contrôle
interne. Il est souvent abordé sous l’angle de l’intégrité des employés et de la culture de
l’organisation. Au sein d’une PE, l’environnement de contrôle est moins formel que dans
une plus grande organisation, puisque le propriétaire est généralement impliqué dans les
opérations quotidiennes de son entreprise. Cela lui donne la possibilité d’exercer directe-
ment certaines mesures de contrôle et d’en observer l’application.
82 Partie 1 Fondements théoriques

De surcroît, les caractéristiques que partagent plusieurs entrepreneurs1 influencent


grandement l’environnement de contrôle interne des PE. De par son leadership,
l’entrepreneur transmet sa passion pour l’entreprise aux autres employés, lesquels adhèrent
alors plus facilement à la culture de celle-ci. Par ailleurs, son audace et sa créativité peuvent
l’amener à être moins orienté sur les activités de contrôle interne, car il y voit parfois un
frein à la bonne marche des opérations. Dans son analyse coûts-bénéfices des mesures de
contrôle, il voit plus facilement les coûts qui y sont liés que les bénéfices qu’elles peuvent
procurer. Voilà qui se veut tout à fait cohérent avec sa plus grande tolérance au risque et
sa méconnaissance des avantages rattachés à plusieurs activités de contrôle.

Intégrité
Au sein d’une PE, c’est souvent le propriétaire qui s’assure de l’intégrité des employés en uti-
lisant son réseau de connaissances et de contacts pour le faire. Dans une telle entreprise, il
n’est pas rare que les employés soient des membres de la famille du propriétaire ou des amis
proches de celle-ci. L’évaluation de l’intégrité peut donc s’avérer plus facile à faire que dans une
organisation de plus grande envergure. Cependant, il ne faut pas négliger l’effet pernicieux de
cette façon de recruter. Par exemple, on pourrait accorder une trop grande confiance à un futur
employé simplement parce qu’il fait partie de la famille. Or, cela ne garantit pas de facto que
la personne soit intègre. Lorsqu’il s’agit d’un employé recommandé, le propriétaire peut faci-
lement faire des vérifications informelles auprès de la personne qui a fait la recommandation.
Ce processus d’embauche peut aussi avoir des répercussions sur les compétences du per-
sonnel. À trop vouloir s’entourer de personnes de confiance que l’on connaît bien, on risque
de négliger les compétences nécessaires pour occuper un emploi donné. Par exemple, les
commis à la comptabilité n’ont pas toujours les connaissances et les compétences suffisantes
pour occuper ce poste. Ils ont parfois été choisis parce qu’ils sont honnêtes et discrets. De cette
façon, le propriétaire réduit le risque de fraude et il s’assure d’une plus grande confidentialité
de l’information la plus sensible (notamment sur les ventes, les salaires des employés, la pro-
fitabilité, etc.). Cependant, les conséquences négatives inhérentes à cette situation peuvent
être multiples. À titre d’exemples, nous pouvons citer les coûts supplémentaires liés à des
erreurs dans le calcul des retenues à la source ; les mauvaises décisions de gestion basées sur
des données erronées ou incomplètes ; ou la perte de confiance des institutions financières.

Culture organisationnelle
La présence du propriétaire d’une PE ajoutée à la proximité de ses employés favorise
le développement d’une forte culture d’entreprise. La passion du propriétaire pour son
entreprise est souvent contagieuse. Les employés qui le côtoient au quotidien ont ten-
dance à adhérer rapidement à la culture de l’entreprise ou à changer d’emploi. Cet avan-
tage permet à la PE de créer une adhésion à sa culture beaucoup plus facilement que
ne pourrait le faire la grande entreprise. Nous sommes donc en présence d’une culture
d’entreprise plus proche des valeurs du propriétaire.

Gouvernance
Dans une PE, le propriétaire est souvent l’actionnaire unique, ou tout au moins le prin-
cipal. Les actionnaires minoritaires sont fréquemment des membres de la famille ou des
proches connaissances de l’actionnaire majoritaire. Les structures de gouvernance qui font
appel à des personnes externes sont rarement mises en place. C’est le propriétaire qui est
à la fois le gestionnaire et l’administrateur de ce type d’architecture.
Il existe tout de même des parties prenantes externes qui exercent une influence sur
la gouvernance de plusieurs PE, que ce soit les créanciers qui exigent, par l’entremise des
contrats d’emprunt, le respect de certaines conditions (en matière de ratio de liquidité,
de versement de dividendes, etc.) et la production d’information financière périodique ;

1. Pour obtenir de plus amples renseignements à ce sujet, le lecteur peut se rendre à l’adresse www.
etrecomptable.com/qualite-bon-entrepreneur-cinq.
Chapitre 5 Environnements particuliers 83

l’assureur qui demande la mise en place de certaines mesures de sécurité ; ou les instances
gouvernementales (telles que le ministère du Revenu, la Commission de la santé et de la
sécurité du travail, etc.) à qui l’entreprise doit rendre des comptes.
Sous l’impulsion de ces mécanismes de contrôle externe, la PE instaure des activités
de contrôle interne qu’elle n’aurait possiblement pas élaborées sans ces incitatifs exté-
rieurs. Il s’agit d’un bon point de départ qui n’est évidemment pas suffisant pour s’assurer
de la mise en place et du maintien d’un système de contrôle interne fiable et adéquat.
Rappelons ici que la démarche en matière de contrôle est la responsabilité de la direction
et qu’elle doit préférablement être le résultat d’une démarche interne et structurée tenant
compte des objectifs de l’entreprise et des risques qui y sont associés.

5.1.2 Évaluation des risques


Comme nous en avons discuté au chapitre précédent, l’évaluation des risques est fonction
des objectifs fixés par l’entreprise ainsi que de la tolérance au risque du dirigeant, en l’oc-
currence, le propriétaire dans une PE. Contrairement aux entreprises de plus grande taille
dont la gestion se veut davantage collégiale (étant généralement assurée par une équipe
de gestionnaires), dans la PE, l’appétence pour le risque du propriétaire est déterminante.
Comme nous l’avons vu, l’audace fait partie des qualités d’un entrepreneur, ce qui lui
confère tout naturellement une plus grande tolérance au risque.
Bien qu’il ait un plan de match en tête, l’entrepreneur précise rarement ses objectifs
opérationnels, à l’exception de certaines cibles comme la croissance des ventes ou les quan-
tités en stock. C’est en donnant des instructions quotidiennes qu’il diffuse indirectement ses
objectifs opérationnels, d’information financière et de conformité réglementaire. Le risque
étant la probabilité de ne pas atteindre les objectifs fixés, la faiblesse dans la détermination
de ceux-ci a une incidence directe sur les lacunes en matière d’évaluation des risques.
Puisqu’il est passionné de son entreprise, le propriétaire a tendance à ne pas voir certains
risques qui pourraient paraître évidents pour une personne externe. Comme le dit l’expression :
« On a les défauts de ses qualités. » Il va de soi que ce comportement envers les risques se mani-
feste différemment d’un entrepreneur à l’autre, mais il n’en demeure pas moins que les proprié-
taires sont généralement moins préoccupés par les risques que les gestionnaires qui ne sont pas
propriétaires. Certains vont même jusqu’à prétendre qu’ils ne les voient pas ou ne veulent pas
les voir. C’est sans doute un peu exagéré, mais il y a une part de réalité dans cette affirmation.
Par ailleurs, le contact direct d’un propriétaire de PE avec les parties prenantes
externes favorise l’analyse des risques. En effet, il obtient sans le filtre d’un intermé-
diaire de l’information externe qui pourrait lui être utile dans l’évaluation des risques. Par
exemple, un client peut lui mentionner l’arrivée d’un nouveau concurrent, l’institution
financière peut soulever un questionnement sur le contrôle des stocks à la suite de l’ana-
lyse des états financiers, ou un fournisseur peut mettre en lumière des changements dans
la réglementation susceptibles d’avoir une incidence sur le système de contrôle interne.
En somme, le travail d’évaluation et de consignation des risques est habituellement
informel. Bien que le propriétaire soit tout à fait conscient d’un certain nombre de
risques, il ne souhaite pas forcément les partager avec les autres employés. Ce faisant, il
aurait l’impression de se fragiliser en donnant la perception que son entreprise est plus
vulnérable que ce qu’il n’y paraît. Néanmoins, certains risques sont tout de même décelés
et des mesures de contrôle, mises en place pour les réduire.

5.1.3 Activités de contrôle


Puisque les activités de contrôle découlent idéalement de l’évaluation des risques, l’effet
domino se poursuit. Ainsi, les PE ont tendance à mettre en place des mesures de contrôle
interne par mimétisme (parce que les autres entreprises le font) ou à la suite de problèmes
ayant occasionné des inconvénients, plutôt qu’en fonction d’une analyse structurée. Par
exemple, une rupture de stock qui a fait perdre un contrat important à l’entreprise met
en évidence l’importance d’avoir des activités de contrôle interne axées sur la gestion
des stocks (inventaire permanent, dénombrement cyclique des produits stratégiques,
84 Partie 1 Fondements théoriques

rapports de ventes par produits, etc.). Cette façon de faire est loin d’être idéale, puisqu’il
est possible que l’on instaure une mesure de contrôle pour une situation isolée (ce qui
entraîne un problème d’efficience) ou que l’on ne se protège pas suffisamment contre un
risque qui est pourtant bien réel (ce qui entraîne un problème d’efficacité). Il est préfé-
rable de prendre un peu de recul en analysant la situation plus globalement.
La structure de pouvoir dans une PE étant réduite, la séparation des tâches incom-
patibles présente des défis importants. En effet, il n’y a pas toujours suffisamment d’em-
ployés pour répartir les fonctions d’autorisation et d’approbation, d’enregistrement, de
garde des actifs et de rapprochement. Toutefois, la présence quotidienne du propriétaire
peut permettre de pallier efficacement cette situation en apparence problématique. En
effet, celui-ci peut à la fois autoriser une transaction et faire le travail de rapprochement
par la suite. On peut penser ici à l’autorisation d’un bon de commande et au rapproche-
ment fait par le propriétaire après la réception de la marchandise. Comme l’entrepreneur
ne se fraudera pas lui-même, il n’y a pas de problème à ce qu’il exécute ces deux fonctions.

5.1.4 Information et communication


L’accroissement de l’accès aux systèmes d’information et de communication à des coûts
moindres a eu pour effet de les rendre plus abordables pour les PE. Désormais, il est possible
de se procurer un logiciel comptable pour quelques centaines de dollars, de communiquer par
Internet à peu de frais, d’utiliser un système de nuage numérique (cloud) pour partager des
données à distance ou de joindre quelqu’un sur son téléphone cellulaire à tout moment. En
ce sens, les défis de communication pour les PE sont moins importants qu’ils l’ont déjà été.
Nous avons parlé des inconvénients de la structure informelle des PE dans les
sections précédentes, mais il y a aussi des avantages qui y sont rattachés. Le propriétaire
communique directement avec ses employés pour leur donner des directives. Cela évite
les malentendus pouvant provenir d’une communication écrite incomplète ou défaillante
tout en accélérant les processus de diffusion de l’information. Chaque employé peut
valider directement sa compréhension des directives et apporter les correctifs nécessaires
au besoin. Par conséquent, la production de rapports écrits et de procédures peut s’avérer
moins importante qu’elle ne le serait pour des entreprises de plus grande taille.

5.1.5 Pilotage
À la lumière des réflexions précédentes, il n’est pas surprenant de constater que les acti-
vités de pilotage ne font pas partie des priorités dans les PE. Il est difficile d’effectuer
un pilotage de qualité lorsque l’on ne fait pas d’analyse systématique des objectifs et des
risques qui y sont associés. De toute façon, ce n’est pas une préoccupation majeure pour
le propriétaire qui exploite son entreprise au quotidien.
Néanmoins, ce type d’entrepreneur exerce de façon non planifiée une forme de pilo-
tage continuel en observant l’application des mesures de contrôle et en recueillant les
commentaires des parties prenantes (clients, fournisseurs, etc.) qui subissent les inconvé-
nients des activités de contrôle absentes ou déficientes. Il peut alors corriger la situation au
fur et à mesure qu’il constate les lacunes. Cette forme de pilotage n’est toutefois possible
que si le propriétaire a une certaine ouverture aux risques et au contrôle interne.
De plus, la structure familiale (ou d’amitié) de plusieurs PE permet une circulation de
l’information qui devient un contrôle indirect. Tout finit par se savoir dans ce genre
de structure. Les employés sont conscients que le propriétaire peut apprendre des
choses de façon indirecte. Il s’agit d’un contrôle lié à la forme d’organisation d’une PE.

5.2 Organismes à but non lucratif


Selon l’étude Le secteur sans but lucratif et bénévole du Québec : Faits saillants régionaux
de l’Enquête nationale auprès des organismes à but non lucratif et bénévoles (Bussières
et al., 2006), le Québec compte environ 46 000 OBNL qui se répartissent dans une
Chapitre 5 Environnements particuliers 85

quinzaine de secteurs d’activité, principalement ceux des loisirs (26 %), des services
sociaux (15 %) et des activités religieuses (11 %). D’après cette même étude, près de 82 %
des OBNL ont des revenus annuels inférieurs à 250 000 $, et 73 % disposent de moins
de 25 bénévoles et de très peu d’employés. Bien qu’il y ait des OBNL de très grande taille
(plus de 10 millions en revenus), la section en cours présente les particularités en matière
de contrôle interne des OBNL ayant des revenus inférieurs à 250 000 $.
Au fil du chapitre, nous présenterons ainsi les aspects du contrôle pour les OBNL de
petite et moyenne tailles. Il y a donc certaines similitudes avec ce dont on vient de discuter
dans la section sur les PE. Toutefois, les différences entre les objectifs et la structure de
propriété des deux types d’organisations ont une incidence non négligeable sur le système
de contrôle interne.

5.2.1 Environnement de contrôle


Comme le montre la figure 5.3, l’environnement de contrôle des OBNL est influencé par
la mission sociale de l’organisme ainsi que, notamment, par le rôle majeur du directeur
général (DG), la participation de bénévoles à la gestion de l’organisation, la présence d’un
conseil d’administration (CA) et l’obligation de rendre compte aux bailleurs de fonds.
Étant donné le petit nombre d’employés en place, le DG joue un rôle prépondérant
au sein des OBNL. C’est lui qui embauche les employés, les supervise et vérifie que les
mesures de contrôle interne sont suffisantes et correctement appliquées pour assurer la
bonne marche de l’organisme. Il doit composer avec un nombre restreint d’employés, ce

FIGURE 5.3 Principales différences du cube COSO pour les OBNL


86 Partie 1 Fondements théoriques

qui rend la séparation des tâches incompatibles plus difficile. Toutefois, il peut compter
sur un certain nombre de bénévoles pour compenser ce manque de personnel.
Cependant, la gestion de bénévoles exige des qualités de gestionnaire singulières,
puisque l’on n’a pas le même contrôle sur des employés rémunérés que sur des bénévoles
qui acceptent de consacrer du temps à une cause donnée. Ces derniers préfèrent tout
naturellement effectuer des tâches liées à la mission de l’organisme que des fonctions
associées au contrôle interne. En somme, il peut s’agir à la fois d’un avantage et d’un
inconvénient, tout dépendant du type de bénévoles et des qualités de gestion du DG.
Le CA joue souvent un rôle actif dans plusieurs OBNL. C’est généralement lui qui
prend la majorité des décisions qui influencent le fonctionnement de l’organisme. Ce
conseil embauche le DG, autorise les demandes d’ouverture de compte bancaire, d’émis-
sion de cartes de crédit, de subventions et d’autres documents officiels. Très souvent, la
signature du président ou du trésorier du CA (avec celle du DG) est requise pour l’émis-
sion d’un chèque. Ces membres du CA exercent par le fait même un certain contrôle sur
les dépenses de l’organisation. De plus, le CA autorise généralement le budget annuel et
fait un suivi périodique de la situation financière de l’organisme (grâce au dépôt de la
situation bancaire aux assemblées du CA).
Cependant, la qualité du contrôle interne en cette matière est fortement influencée
par la composition du CA. Les gens qui y adhèrent ont à cœur la réalisation des objectifs
de l’organisme, mais ne possèdent pas toujours les connaissances suffisantes pour exercer
un contrôle interne efficace. Disons que les activités de contrôle liées aux objectifs orga-
nisationnels s’avèrent généralement plus efficaces que celles rattachées à la présentation
de l’information financière ou à la pérennité financière de l’OBNL. C’est l’équilibre au
sein des membres du CA qui dicte en partie la qualité du contrôle interne. De plus, dans
les faits, c’est souvent le DG qui s’occupe du recrutement des membres du CA. Or, cela
constitue une source de problèmes potentiels, puisque le CA a entre autres pour fonction
de surveiller le DG.
Enfin, puisque l’OBNL reçoit fréquemment des subventions, il a des obligations de
rendre compte. Ce contrôle externe imposé exerce une certaine pression positive pour
la mise en place d’un contrôle interne. Bien que toutes les entreprises aient d’une façon
ou d’une autre des obligations de rendre compte à des parties prenantes externes, cet
impératif est souvent plus important pour un OBNL. Celui-ci doit périodiquement pré-
parer un rapport d’activités qui présente les réalisations de l’année qui vient de s’écouler.
Ce document est généralement déposé lors de l’assemblée générale annuelle de l’orga-
nisme et remis aux différents partenaires. Plusieurs organismes subventionnaires exigent
également que l’OBNL remplisse des formulaires prescrits et leur fournisse différents
renseignements que l’on ne demande pas aux entreprises à but lucratif.

5.2.2 Évaluation des risques


Puisque l’OBNL est créé dans un but précis, ses objectifs sont assez bien étayés et partagés
par l’ensemble des membres. Il s’agit d’un bon point de départ pour cerner les risques
auxquels l’organisme peut éventuellement être exposé. Malgré cela, il y a rarement un
processus formel de recensement de ces derniers, si ce n’est du risque lié au renouvelle-
ment des subventions.
Dans un OBNL, les gens sont réunis autour d’un but commun avec de bonnes inten-
tions et très souvent de façon bénévole. La confiance mutuelle est le sentiment général qui
règne couramment dans ce type de structure, et les risques ne constituent pas un sujet de
discussion ou de réflexion fréquent. Toutefois, sans l’exprimer clairement, les membres
sont conscients qu’il existe des risques qui pourraient compromettre le bon fonctionne-
ment de l’organisme, que l’on pense aux risques liés au vol des équipements, à la sécurité
des lieux, à la légitimité des activités ou à la diminution des adhérents découlant d’un
mécontentement. C’est le recensement systématique des risques qui est rarement exécuté,
ce qui a des répercussions évidentes sur l’élaboration des activités de contrôle.
Chapitre 5 Environnements particuliers 87

5.2.3 Activités de contrôle


C’est la bonne volonté qui se trouve à la base du fonctionnement de l’OBNL, et chaque
personne dispose d’une assez bonne latitude dans l’exécution de ses tâches. Puisque
les bénévoles sont aussi des membres et qu’ils ont eux-mêmes un intérêt personnel dans la
bonne marche de l’organisme, il est naturel de croire qu’ils poseront des gestes dans
l’intérêt de celui-ci (alignement des intérêts). Néanmoins, pour l’atteinte des objectifs
opérationnels, d’information financière et de conformité, l’organisme doit mettre en place
certaines mesures de contrôle interne, sans quoi chacun est susceptible d’interpréter les
objectifs à sa façon, ce qui risquerait d’occasionner de la confusion susceptible d’entraîner
un dysfonctionnement de l’organisme.
Cependant, il ne suffit pas de mettre en place des activités de contrôle ; encore faut-il
s’assurer qu’elles sont bien communiquées au sein de l’organisme et comprises par les dif-
férents intervenants. Les dirigeants de certains OBNL tiennent parfois pour acquis que les
employés et les bénévoles ont la même perspective que la direction. Par conséquent, ils ne
voient pas toujours l’intérêt de prendre le temps de bien présenter les activités de contrôle,
et surtout d’expliquer les raisons qui motivent leur application. Pourtant, les personnes
sont plus enclines à appliquer les directives lorsqu’elles en comprennent l’utilité.
De plus, une dynamique d’implication des membres peut avoir des effets positifs sur
les activités de contrôle interne. Il existe alors une surveillance implicite, puisque chacun
est susceptible d’être au courant d’un problème et d’en discuter avec d’autres membres
qui participent aux mêmes activités. Ces rencontres peuvent jouer un rôle de régulateur
informel et constituer une forme de contrôle interne efficace.

5.2.4 Information et communication


Au sein des OBNL, la communication sur la structure organisationnelle et les objectifs se
fait habituellement de façon plus officielle que dans les PE. Par exemple, bien souvent, le
site Internet d’un tel organisme expose ses objectifs, donne accès à ses rapports annuels 2 et
présente le nom de ses administrateurs et de ses principaux dirigeants, ainsi que plusieurs
autres renseignements sur sa gouvernance. En outre, on y retrouve parfois des formulaires
et certaines politiques adoptées par l’organisme.
Par ailleurs, les objectifs sociaux communs qui unissent les membres d’un OBNL
sont un point d’ancrage important sur le plan de la communication de l’information
au sein de l’organisme. Plusieurs membres agissent aussi comme bénévoles, ce qui leur
confère un rôle dans les opérations courantes de l’organisme. Ils se trouvent alors en
mesure de transmettre l’information provenant de la gouvernance vers les activités quoti-
diennes et de faire remonter celle provenant des opérations vers le CA.
La présence de différents comités (responsables du recrutement, du financement,
etc.) qui gèrent des aspects particuliers de l’OBNL favorise la fluidité de l’information.
Cependant, le manque de structure dans le message peut parfois affaiblir la qualité
des renseignements qui circulent, particulièrement en matière de contrôle interne. Par
exemple, pour pallier les conséquences négatives de la rotation des employés, des béné-
voles et de la direction générale, il est important de bien documenter les façons de faire
et les principales règles de fonctionnement.
Les activités de contrôle les plus importantes doivent être consignées pour éviter que
le départ de quelques personnes ne vienne mettre en péril le fonctionnement de l’OBNL,
voire sa pérennité. En matière de contrôle interne, l’approche doit être différente de celle
d’une PE, puisque le lien de propriété qui assure la stabilité de la gouvernance n’existe
pas. L’OBNL vise la réalisation d’objectifs qui transcendent les personnes qui en assurent
momentanément la gouvernance.

2. Les états financiers ne font pas nécessairement partie du rapport annuel des OBNL.
88 Partie 1 Fondements théoriques

5.2.5 Pilotage
Bien qu’elles puissent exister dans les OBNL, comme dans la majorité des organisations
de petite taille, les activités de pilotage n’y sont pas systématiques et elles portent rarement
le nom de « pilotage ». C’est souvent par le bouche-à-oreille que les membres du CA sont
informés des problèmes et des faiblesses du contrôle au sein de leur organisation. Ces
lacunes font l’objet de discussions au CA, et des mesures correctives sont ensuite mises
en place. Il revient au DG d’implanter des mesures de contrôle pour éviter la répétition
d’une telle situation. En quelque sorte, le manque de structure de l’OBNL est une fai-
blesse en termes de pilotage, mais elle est en partie compensée par l’implication pério-
dique des membres du CA dans le fonctionnement de l’organisme.
Toutefois, le renouvellement du CA peut avoir des effets positifs sur les activités de
pilotage. En effet, les nouveaux membres qui se joignent au CA peuvent porter un regard
différent sur les activités de l’organisme en général, et sur le contrôle interne du même
coup. À force d’occuper un poste depuis longtemps, il arrive que l’on perde le recul néces-
saire pour évaluer les systèmes en place. Pour que ce nouveau point de vue soit bénéfique
en termes de contrôle interne, il faut cependant que les nouveaux administrateurs dis-
posent d’un intérêt et d’une certaine compétence en la matière.

5.3 Pratiques d’excellence en matière de contrôle des TI :


exemple du référentiel COBIT
L’adoption de référentiels portant sur les pratiques d’excellence en matière de TI aux fins des
activités de contrôle général est motivée par des considérations d’origine interne aussi bien
qu’externe. D’un côté, ces référentiels aident les entreprises à mieux contrôler les processus
TI de leurs systèmes d’information et leur permettent de mieux comprendre les mesures de
contrôle, de mieux apprécier leur efficacité et de s’assurer que les opportunités et les risques

FIGURE 5.4 Cinq principes de COBIT 5

Source : Adapté de ISACA. (2012). COBIT


Repéré au www.isaca.org/cobit/pages/default.aspx.
Chapitre 5 Environnements particuliers 89

liés aux TI sont contrôlés de façon adéquate. D’un autre côté, l’adoption de ces référen-
tiels permet aux entreprises de se conformer aux exigences de certains règlements et aide à
convaincre leurs auditeurs externes de l’efficacité de leur système de contrôle interne.
Le référentiel COBIT, élaboré en 1996 par l’Information Systems Audit and Control
Association (ISACA) et l’IT Governance Institute, se présente comme l’un des référentiels
les plus utilisés par les auditeurs internes et externes en tant qu’outil d’évaluation des acti-
vités de contrôle général. C’est à ce titre que le Public Company Accounting Oversight
Board aux États-Unis l’a recommandé aux fins de conformité dans le cadre des exigences de
la loi Sarbanes-Oxley en matière de contrôle interne. Rendu à sa version COBIT 5 depuis
2012, ce référentiel est désormais fondé sur les cinq principes présentés dans la figure 5.4.

5.3.1 Principe 1 : Satisfaire aux besoins


des parties prenantes
La satisfaction aux besoins des parties prenantes occupe une place de premier plan parmi
les principes fondamentaux de COBIT 5. Elle fait référence à une représentation éten-
due du concept de la création de valeur, qui va au-delà de celui de la maximisation de la
valeur actionnariale pour inclure l’optimisation de la valeur aux yeux des différentes parties
prenantes. Sous-jacent à ce principe, il y a l’alignement stratégique, selon lequel une entre-
prise qui adopte le référentiel COBIT a l’assurance que l’usage des TI en son sein est arrimé
aux objectifs d’affaires. Afin d’assurer un tel alignement stratégique, le COBIT utilise une
matrice superposant deux listes génériques d’objectifs d’affaires et d’objectifs liés aux TI.
Le tableau 5.2 (voir la page suivante) présente la matrice en question. L’intersection entre
les deux catégories d’objectifs dans la matrice décrit le caractère primaire ou secondaire de
l’alignement escompté quand celui-ci est applicable. En fonction de ce caractère, le référ-
entiel COBIT 5 élabore des facilitateurs spécifiques conçus pour favoriser l’alignement.

5.3.2 Principe 2 : Couvrir l’entreprise


d’un bout à l’autre
En ce qui concerne le deuxième principe, lequel consiste à couvrir l’intégralité des besoins
de l’entreprise, il implique que l’étendue de COBIT 5 englobe l’ensemble des fonctions et
des processus de l’entreprise, et non seulement les aspects purement axés sur les TI. C’est
que, de nos jours, les processus TI ne sont plus dissociables des processus d’affaires. Par
conséquent, les gestionnaires des processus d’affaires sont responsables et tenus de rendre
compte en matière de gouvernance et de gestion des TI, au même titre qu’ils le sont à
l’égard des autres ressources et actifs stratégiques de l’entreprise.
Le référentiel COBIT 5 utilise, entre autres, le diagramme Responsible, Accountable,
Consulted and Informed (RACI) comme outil visant à concrétiser le principe 2. Ainsi,
pour chaque processus, une matrice indique en lignes les tâches et en colonnes les parties
prenantes internes concernées, qu’elles émanent ou non de l’équipe informatique. L’in-
tersection des deux dimensions indique si la partie prenante en question est ou doit être
responsable, tenue de rendre compte (accountable), consultée ou informée de la tâche en
question, d’où l’acronyme RACI. Le tableau 5.3 (voir la page 91) en donne un exemple.
Il s’agit du diagramme RACI relatif au processus de gestion des accords de service tels que
les contrats de maintenance assignés à des sous-traitants.

5.3.3 Principe 3 : Appliquer un référentiel


intégré unique
Le principe de l’application d’un référentiel intégré unique réfère à la capacité de
COBIT 5 d’intégrer l’essence de plusieurs référentiels pour en faire un « guichet unique ».
À la lumière de cette approche d’intégration, COBIT 5 décrit 37 processus facilitateurs
différents, dont 5 émanent de la gouvernance, et les autres, de la gestion des TI. Ceux
de la gestion des TI sont sous-regroupés en quatre domaines différents, comme le
montre la figure 5.5 (voir la page 92).
90 Partie 1 Fondements théoriques

TABLEAU 5.2 Objectifs d’affaires et objectifs liés aux TI


Objectifs d’affaires

Réponses adéquates à un environnement d’affaires


Disponibilité et continuité des prestations d’affaires

Optimisation des coûts de prestation des services


Gestion du risque d’affaires (protection des actifs)

Culture d’innovation des produits et des affaires


Optimisation de la fonctionnalité des processus
Valeur des investissements d’affaires pour les

Productivité opérationnelle et rendement des

Ressources humaines qualiées et motivées


Gestion des plans de changement d’affaires
Prise de décisions stratégiques judicieuses
Culture d’un service axé sur les clients
Conformité légale et réglementaire

Conformité aux politiques internes


Transparence nancière
parties prenantes
Compétitivité

changeant

employés
d’affaires
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
Apprentissage
Objectifs liés aux TI Financiers Clients Internes et croissance

1 Alignement des stratégies TI et d’affaires P P S P S P P S P S S


2 Conformité TI et soutien à la conformité S P P
légale et réglementaire
3 Implication de la haute direction dans la P S S S S S P S S
Financiers

prise de décisions liée aux TI


4 Gestion des risques TI P S P S P S S S
5 Rentabilisation du portefeuille d’inves- P P S S S S P S S
tissements et de services TI
6 Transparence des coûts, des avantages S S P S P P
et des risques TI
7 Alignement des services informatiques P P S S P S P S P S S S S
Client

sur les besoins d’affaires


8 Usage adéquat des applications, des S S S S S S S P S P S S
informations et des solutions TI
9 Agilité informatique S P S S P P S S S P
10 Sécurité des informations, des in- P P P P
frastructures et des applications
11 Optimisation des actifs informatiques, P S S P S P S S S
des ressources et des compétences
12 Intégration des applications et des S P S S S S P S S S S
Internes

technologies dans le processus d’affaires


13 Livraison des avantages des pro- P S S S S S P
grammes à temps, sans dépassement
de budget et de qualité normalisé
14 Disponibilité d’informations ables et S S S S P P S
utiles pour la prise de décisions
15 Conformité informatique aux politiques S S P
internes

16 Personnel informatique et d’affaires S S P S S P P S


Apprentissage
et croissance

compétent et motivé

17 Savoir, expertise et initiatives pour les S P S P S S S S P


innovations d’affaires

P : indicateur primaire ; S : indicateur secondaire

Source : Adapté de ISACA. (2012). COBIT Repéré au www.isaca.org/cobit/


pages/default.aspx.
Chapitre 5 Environnements particuliers 91

TABLEAU 5.3 Diagramme RACI appliqué à la gestion


des accords de service
Parties prenantes impliquées dans la gestion des accords de service

Responsable de la continuité d’exploitation


Responsable de la sécurité d’information
Propriétaires des processus d’affaires

Chef de l’architecture d’entreprise

Responsable de la condentialité
Dirigeants des unités d’affaires

Comité exécutif de la stratégie

Bureau de gestion des projets

Directeur de l’informatique

Chef de l’administration TI

Gestionnaire des services


Directeur de l’exploitation

Chef du développement

Chef de l’exploitation TI
Directeur des risques
Chef de la direction

Conformité

Audit
Pratiques clés de la gestion
des accords de service

Dénir les services TI C R R R C I I I R I C C C A I I

Cataloguer les services à base de TI I I I I I R I C C C A I I

Dénir et préparer les accords de service I I R C C C C C R C R R A C C

Piloter et rapporter les niveaux de service I R C I I I I A

Réviser les contrats et accords de service A C C C C C R C R R R C C I

R : Responsable ; A : Imputable ( ) ; C : Consulté ; I : Informé

Source : Adapté de ISACA. (2012). Repéré au www.isaca.org/cobit/


pages/default.aspx.

5.3.4 Principe 4 : Faciliter une approche globale


Le principe d’approche globale ou holistique réfère à l’interaction que le référentiel établit
entre le processus, les structures organisationnelles et les ressources humaines. C’est au
moyen d’un bon dosage de structures, de processus et de ressources (incluant des indivi-
dus, des compétences, un savoir, une culture et de l’information) que l’on atteint le haut
niveau escompté de gouvernance et de gestion des TI.

5.3.5 Principe 5 : Distinguer la gouvernance


de la gestion
Enfin, le cinquième principe insiste sur la nécessité de séparer les aspects émanant de la
gouvernance de ceux dépendant de la gestion. Les premiers réfèrent à l’établissement des
lignes directrices à l’aide de l’établissement de l’ordre de priorité des objectifs, de l’attri-
bution des pouvoirs décisionnels conséquents et de la surveillance de la performance et
de la conformité. Quant aux seconds, ils renvoient à la planification, au développement,
à l’exécution et au pilotage des activités en les alignant sur l’orientation fixée par la gou-
vernance pour atteindre les objectifs de l’entreprise.

5.4 Audit externe


Aux chapitres précédents, nous avons présenté le contrôle interne du point de vue du
gestionnaire. Toutefois, dans la présente section, nous souhaitons faire le lien entre le
travail de l’auditeur externe et le système de contrôle interne mis en place par l’entreprise.
92 Partie 1 Fondements théoriques

FIGURE 5.5 Présentation des 37 processus de COBIT 5

Source : Adapté de ISACA. (2012). COBIT 5 : A Business Framework for the Governance and Management of Enterprise IT. Repéré au www.isaca.org/cobit/
pages/default.aspx.
Chapitre 5 Environnements particuliers 93
94 Partie 1 Fondements théoriques

Bien que ce système soit élaboré pour répondre aux besoins de l’entreprise et qu’il relève
exclusivement de la responsabilité de ses administrateurs, il peut aussi s’avérer fort utile
pour l’auditeur externe.
Le paragraphe 3 de la Norme canadienne d’audit (NCA) 315 (Comptables profes-
sionnels agréés du Canada, 2015) exige que l’auditeur externe acquière une compréhen-
sion de l’entité et de son environnement, y compris de son contrôle interne, pour pouvoir
évaluer les risques liés à sa mission d’audit. C’est là que la relation entre le contrôle interne
et l’audit externe prend tout son sens. Comme le montre le tableau 5.4, il est possible
de faire des liens entre les cinq éléments du contrôle interne du cube COSO et certains
paragraphes de la NCA 315.
Le paragraphe 14 traite de l’importance de bien analyser l’environnement de contrôle
pour s’assurer que la direction a mis en place un climat favorisant une culture d’honnêteté
et des comportements éthiques. L’auditeur doit s’assurer que les assises nécessaires au bon
fonctionnement du système de contrôle interne sont suffisantes.
Les paragraphes 15 et 16 portent sur l’importance pour l’auditeur d’analyser le
processus d’évaluation des risques du client et de s’assurer qu’il est suffisamment rigou-
reux pour permettre de déceler les risques importants. Si certains risques ne semblent
pas avoir été décelés, il doit comprendre les raisons
TABLEAU 5.4 Liens entre les éléments du qui sont à la base de cette omission pour s’assurer
cube COSO et la NCA 315 qu’il ne s’agit pas d’une faiblesse importante qui
pourrait avoir des répercussions plus généralisées sur
Éléments de contrôle Paragraphes
l’évaluation des risques.
Environnement de contrôle 14 En vertu des paragraphes 20 et 21, l’auditeur
externe doit obtenir une bonne compréhension des
Évaluation des risques 15-16 activités de contrôle que l’entreprise a mises en place
Activités de contrôle 20-21
pour réduire les risques qu’elle a ciblés préalable-
ment. Toutefois, l’auditeur n’a pas la responsabilité
Information et communication 18-19 d’analyser toutes les activités de contrôle existantes.
Il doit se concentrer sur celles qui ont une influence
Pilotage 22-24
sur les risques d’anomalies significatives dans les
états financiers.
Les questions relatives à l’information et à la communication du système de
contrôle interne sont abordées aux paragraphes 18 et 19 de la NCA 315. L’auditeur
doit acquérir une compréhension du système d’information qui contribue au fonc-
tionnement efficace du contrôle interne. Il lui faut notamment en savoir suffisamment
sur la façon dont les données sont saisies, sur les pièces justificatives disponibles et sur
les procédures élaborées par l’entreprise pour favoriser une bonne communication en
matière de contrôle interne.
Les paragraphes 22 à 24 mettent l’accent sur le travail que l’auditeur externe doit
accomplir en ce qui a trait aux activités de pilotage qui assurent le bon fonctionnement
du système de contrôle interne. Cet auditeur doit ainsi analyser les principaux moyens
utilisés par l’entité pour faire le suivi du contrôle interne portant sur l’information
financière. Il doit prêter une attention particulière aux procédés utilisés par l’entreprise
pour apporter les correctifs nécessaires pour pallier les déficiences de ses mesures de
contrôle interne.
En effet, comme l’indique le paragraphe 12 de la NCA 315, l’auditeur peut utiliser
les activités de contrôle interne en place pour optimiser son travail d’audit, s’il juge que
certaines mesures permettent de réduire le risque que les états financiers contiennent des
anomalies significatives :
Chapitre 5 Environnements particuliers 95

L’auditeur doit acquérir une compréhension des aspects du contrôle interne perti-
nents pour l’audit. Bien qu’il y ait des chances que la plupart des contrôles pertinents
pour l’audit concernent l’information financière, ce ne sont pas tous les contrôles
liés à l’information financière qui sont pertinents pour l’audit. L’auditeur exerce son
jugement professionnel pour déterminer si un contrôle, seul ou en association avec
d’autres, est pertinent pour l’audit.
Étant donné que l’auditeur externe doit émettre une opinion sur les états financiers, il
s’intéresse particulièrement aux activités de contrôle interne qui se rapportent aux objec-
tifs liés à la qualité de l’information financière, en accordant moins d’importance à celles
rattachées aux objectifs opérationnels et de conformité. En plus de faciliter le travail
d’élaboration des mesures de contrôle interne, l’approche du COSO est utile pour les
auditeurs externes, puisqu’elle permet de bien distinguer les objectifs et les risques qui s’y
rattachent. À partir des tableaux des objectifs, des risques et des activités de contrôle de
chacun des cycles de la partie 2 du livre, l’auditeur externe cible les objectifs importants
pour la qualité des états financiers. Par la suite, il évalue les risques ciblés par l’entreprise
pour s’assurer qu’ils soient exhaustifs et apprécie la suffisance et la pertinence des activités
de contrôle mises en place pour réduire ces risques. Il détermine ensuite les mesures de
contrôle sur lesquelles il compte s’appuyer pour optimiser son travail d’audit.
Exercices
Chapitre 1
1. Le contrôle interne peut être mal perçu par les personnes qui le « subissent »,
mais, dans les faits, il comporte plusieurs avantages. Quels sont ces avantages du
point de vue du gestionnaire ?
2. Comment le contrôle interne peut-il faciliter le travail de la personne qui l’ap-
plique ? Donnez quelques exemples.
3. La mise en place d’une activité de contrôle implique à la fois des avantages et
des inconvénients. L’entreprise essaie de veiller à ce que les avantages apportés
par la mesure de contrôle mise en place soient supérieurs aux inconvénients
occasionnés par celle-ci. Présentez quelques exemples d’activités de contrôle, en
mentionnant les avantages et les inconvénients potentiels qui y sont reliés.
4. Le contrôle interne fait l’objet de plusieurs définitions qui convergent vers des
éléments communs. Énumérez ces éléments qui permettent aux responsables de
la gouvernance, à la direction et aux autres membres du personnel d’atteindre les
objectifs de l’entité.
5. Comment le contrôle externe influence-t-il le contrôle interne au sein d’une orga-
nisation ? Donnez des exemples de demandes ou d’exigences des parties prenantes
qui nécessiteraient la mise en place de mesures de contrôle au sein de l’entité.
6. Le contrôle interne se rattache de près à la gouvernance, au contrôle de gestion,
au contrôle de la qualité, à la gestion des risques et à la comptabilité. De ce fait,
certains recoupements potentiels peuvent devenir des zones grises. Quel est le
danger de ces zones grises ?

Chapitre 2
1. Expliquez en quoi les normes de comptabilité et de certification sont impor-
tantes dans l’élaboration d’un système de contrôle interne efficace, notamment
pour le gestionnaire d’une société publiant des états financiers audités.
2. Quelles sont les catégories d’objectifs qui servent de base à l’établissement d’un
système de contrôle interne ?
3. Quel est le potentiel de conflit d’intérêts auquel peut faire face l’auditeur externe
lorsqu’il effectue une mission d’audit ?
4. Au Québec, c’est le cadre de l’Autorité des marchés financiers (AMF) du Québec
qui sert de référence en termes de réglementation touchant le contrôle interne.
Énoncez les exigences de l’AMF concernant le contrôle interne, nommez le
règlement qui en fait mention et décrivez les limites de cette réglementation.
5. À la suite des scandales financiers qui ont ébranlé le système financier américain
et mené à la disparition du cabinet d’experts-comptables Arthur Andersen, une
commission a été formée pour analyser la fiabilité de l’information financière
fournie aux investisseurs et aux autres parties prenantes. Nommez la loi qui a
ainsi vu le jour, de même que ses objectifs.
6. Le rapport de gestion doit être rédigé à l’intention des investisseurs actuels et éven-
tuels et expliquer, du point de vue de la direction, la performance passée de l’entité,
sa situation financière et ses perspectives d’avenir. Reliez les principes généraux qui
guident la rédaction du rapport de gestion aux énoncés correspondants.
Principes généraux du rapport de gestion
1. Le point de vue de la direction 4. L’orientation prospective
2. L’intégration aux états financiers 5. La perspective stratégique
3. L’intégralité et l’importance relative 6. L’utilité
Exercices 97

Énoncés
A. Ce principe fait référence aux moyens mis en œuvre pour assurer la création
de valeur dont bénéficient les investisseurs.
B. Des systèmes de contrôle interne doivent avoir été mis en place au sein de
l’entreprise pour reconnaître l’information pertinente, l’enregistrer et la trai-
ter afin de la présenter de façon succincte et compréhensible au lecteur du
rapport.
C. La direction possède les connaissances internes et externes pour expliquer et
mettre en contexte l’information présentée dans les états financiers.
D. La direction explique les conditions qui ont mené aux résultats obtenus et les
probabilités que ces circonstances se reproduisent dans l’avenir.
E. La direction doit éviter de surcharger le rapport de gestion afin de ne pas
induire les investisseurs en erreur.
F. Les prévisions étant moins utilisées dans la comptabilisation des opérations,
les systèmes d’information ne sont pas nécessairement adaptés pour les trai-
ter efficacement. Cela nécessite donc la mise en place d’un processus de
contrôle diligent pour s’assurer de la fiabilité et du caractère raisonnable des
prévisions.

Chapitre 3
1. L’élaboration des activités de contrôle devrait s’effectuer selon une approche
systématique en tenant compte d’un ensemble de facteurs, notamment de
l’éva luation des risques. Expliquez la différence entre la mise en place d’une
mesure de contrôle qui repose sur une conséquence relevée et l’établisse-
ment d’une telle mesure qui émane d’un processus structuré d’analyse des
risques.
2. À la suite de son mandat octroyé par l’Institut canadien des comptables agréés,
le Conseil sur les critères de contrôle (CoCo) a émis des recommandations en
matière de contrôle interne. Expliquez les objectifs de ces recommandations et
ce qui les distingue du référentiel COSO.
3. Dans le cadre de référence établi par le CoCo, une famille de recommandations
porte sur les éléments à prendre en compte pour élaborer un bon système de
contrôle interne. Énumérez les catégories de critères en cause et expliquez en
quoi elles favorisent l’obtention d’un contrôle interne efficace.
Le cadre de référence du CoCo énumère plusieurs critères qui pourraient être
pris en compte dans le processus d’élaboration et d’évaluation du contrôle interne.
Nommez les quatre grandes familles de critères favorisant l’obtention d’un système
de contrôle interne efficace selon ce référentiel et expliquez brièvement chacune
d’elles.
4. Parmi les catégories d’objectifs présentées dans le référentiel COSO, laquelle est
la plus importante pour l’entreprise ? Expliquez en quoi la formalisation de ces
objectifs est importante pour le contrôle interne au sein de cette dernière.
5. Parmi les catégories d’objectifs présentées dans le référentiel COSO, laquelle
fait l’objet de la documentation la plus importante dans les écrits sur le contrôle
interne ? Expliquez en quoi elle est importante pour l’entreprise.
6. Le cube COSO comprend cinq éléments de contrôle. Reliez ces cinq éléments
aux énoncés correspondants.
Éléments de contrôle du cube COSO
1. Environnement de contrôle 4. Information et
2. Évaluation des risques communication
3. Activités de contrôle 5. Pilotage
98 Exercices

Énoncés
A. Élément qui permet de vérifier si une procédure qui était efficace à un
moment donné peut éventuellement se révéler insuffisante ou ne plus être
appliquée.
B. Étape fondamentale de l’élaboration des activités de contrôle, puisque ces
dernières servent à en atténuer les risques repérés.
C. Élément qui procure la discipline et les structures essentielles au contrôle
interne, ce qui en fait la pierre angulaire des autres éléments de contrôle.
D. Élément qui nécessite de prêter attention à la pertinence et à la qualité des
données recueillies ainsi que de leur source.
E. Éléments concrets et précis qui, une fois réunis, permettent d’obtenir un
système de contrôle interne efficient.
7. Expliquez la différence entre l’intégrité et la culture organisationnelle, deux des
principes à respecter pour disposer d’un environnement de contrôle propice à
un bon système de contrôle interne.
8. Parmi les critères de classification des activités de contrôle, on trouve ceux liés au
moment de leur application. Expliquez en quoi consiste une activité de contrôle
de prévention versus une activité de contrôle de détection.
9. Le meilleur système de contrôle interne qui soit ne peut pas fonctionner adéqua-
tement si la quantité et la qualité de l’information qui y est présentée ne sont pas
adéquates. Énumérez les caractéristiques des données appropriées et expliquez en
quoi elles consistent.
10. Outre les éléments de contrôle et les catégories d’objectifs, expliquez en quoi
consiste la troisième dimension du cube COSO.

Chapitre 4
1. Expliquez comment la direction peut s’assurer que le niveau de contrôle interne
mis en œuvre au sein de l’organisation est approprié.
2. Définissez les termes « risque », « incertitude » et « opportunité », puis décrivez
leur incidence sur la mise en place d’un système de contrôle interne.
3. Le référentiel COSO II présente quatre catégories d’objectifs qu’il met en
relation avec les composantes et les niveaux organisationnels. Indiquez quelle
assurance peut fournir le référentiel COSO II pour chacune des catégories
d’objectifs.
4. Expliquez en quoi la fixation des objectifs permet d’identifier les événements
susceptibles de générer des risques, puis de les évaluer et d’y répondre.
5. Énoncez la prémisse sur laquelle se base la gestion des risques d’entreprise (GRE)
et expliquez ce qu’elle signifie.
6. À la suite de l’identification des risques qui pourraient empêcher l’atteinte des
objectifs établis par l’entreprise, la direction doit élaborer une réponse. Re-
censez les différentes réponses auxquelles peut avoir recours l’entreprise, puis
expliquez leurs caractéristiques et leur incidence sur les activités de contrôle à
mettre en place.
7. L’identification des risques est une tâche complexe pour les entreprises, et ce,
même en présence d’un référentiel qui propose une association entre les risques
et les objectifs. Présentez les différentes techniques que la direction peut utiliser
dans le processus d’identification des événements à risque.
8. Traduisez en mots la signification de la formule de l’évaluation des risques
en prêtant une attention particulière aux caractéristiques de chacune de ses
composantes.
Exercices 99

9. Une fois les événements à risque identifiés, expliquez en quoi consiste la pro-
chaine étape du processus de gestion des risques selon le référentiel COSO II.
10. Expliquez le rôle de la haute direction dans la GRE.

Chapitre 5
1. Expliquez le processus habituellement utilisé par les petites entreprises (PE) pour
élaborer et mettre en place leurs activités de contrôle, de même que l’incidence
de cette façon de procéder sur le système de contrôle interne.
2. Expliquez l’influence des qualités intrinsèques de plusieurs entrepreneurs sur
l’évaluation des risques dans une PE.
3. Expliquez en quoi la communication comme élément de contrôle se veut dif-
férente pour une PE comparativement à une plus grande entreprise.
4. À chaque type d’organisation (société ouverte, petite et moyenne entreprise
[PME] et organisme à but non lucratif [OBNL]), associez les énoncés relatifs
aux éléments de contrôle définis par le référentiel COSO qui s’y rapportent le
plus.

Éléments de contrôle
Environnement de contrôle
A. La mission sociale de l’organisme, le rôle majeur du directeur général, la
participation de bénévoles, la présence d’un conseil d’administration (CA) et
l’obligation de rendre compte aux bailleurs de fonds influencent l’environne-
ment de contrôle de l’organisation.
B. Le CA bénéficie d’une certaine représentation de personnes externes et sou-
vent indépendantes.
C. Les qualités entrepreneuriales du dirigeant influencent l’environnement de
contrôle de l’organisation.

Évaluation des risques


D. Les objectifs sont connus de l’ensemble du personnel responsable de l’appli-
cation des mesures de contrôle.
E. Les objectifs sont communiqués dans le cadre de la gestion quotidienne
des activités.
F. Les objectifs sont étayés et partagés par l’ensemble des membres.

Activités de contrôle
G. La bonne volonté et l’alignement des intérêts sont la base du fonctionnement
de cette organisation.
H. Les activités de contrôle font l’objet d’une consignation et la documentation
est accessible aux personnes concernées.
I. Les activités de contrôle sont habituellement mises en place par mimétisme
ou en réaction à une conséquence relevée.
Information et communication
J. Le site Internet de l’organisme communique habituellement la structure or-
ganisationnelle et donne souvent accès aux rapports annuels.
K. La circulation de l’information se fait directement au sein de l’organisation.
L. Les états financiers audités ainsi que le rapport annuel de gestion sont dispo-
nibles sur le site Internet du Système électronique de données, d’analyse et
de recherche (SEDAR).
100 Exercices

Pilotage
M. L’observation de l’application des mesures de contrôle et les commen-
taires des parties prenantes externes permettent de corriger les lacunes des
activités de contrôle.
N. Le bouche-à-oreille permet aux membres du CA d’être informés des pro-
blèmes et des faiblesses du contrôle au sein de l’organisation.
O. Le service d’audit interne joue un rôle important dans le processus de pilotage.
5. Expliquez la différence entre la gouvernance et la gestion selon l’approche
COBIT.
6. Bien que le système de contrôle interne soit élaboré pour répondre aux be-
soins de l’entreprise et qu’il relève exclusivement de la responsabilité de ses
administrateurs, il peut aussi s’avérer fort utile pour les différentes parties
prenantes. Expliquez en quoi le système de contrôle interne peut être utile
aux auditeurs externes dans un contexte de mission d’audit.
M
uni du coffre d’outils qu’il
PARTIE 2 a acquis dans la première
partie, l’étudiant peut
maintenant développer ses compé-
tences. Il doit tout d’abord lire le cas
Métalika qui se trouve au début de la

Applications pratiques deuxième partie, lequel présente les


renseignements généraux pour bien
comprendre le fonctionnement global
de l’entreprise. La connaissance du
cas s’avère essentielle, puisque les
sept chapitres de la deuxième par-
tie reposent sur les opérations de
Métalika.
Le chapitre 6 présente l’incidence
des technologies sur le système de
contrôle interne de Métalika. Les cinq
chapitres suivants sont consacrés
aux cycles des achats, créditeurs et
décaissements (chapitre 7) ; de la
gestion des stocks et de la fabrication
(chapitre 8) ; des salaires, créditeurs
et décaissements (chapitre 9) ; des
produits, débiteurs et encaissements
(chapitre 10) ; et enfin du processus de
fin de mois (chapitre 11).
De plus, le site Web associé au présent
manuel contient plusieurs outils qui
font partie intégrante de cet ouvrage.
Le lecteur est fortement invité à uti-
liser les tableaux ainsi que les autres
documents qui s’y trouvent. En plus
de leur contenu, le format des fichiers
(Excel) offre des possibilités d’analyse
supplémentaires.
Enfin, après avoir analysé chaque
cycle séparément, il est logique
d’adopter une perspective plus glo-
bale. Le chapitre 12 propose donc une
méthode d’analyse des forces et des
faiblesses du système de contrôle
interne de Métalika et présente des
outils dont les gestionnaires actuels
et futurs pourront tôt ou tard se servir
pour examiner le système de leur en-
treprise ou de leur service.
102 Lim

Cas Métalika

Historique
Métalika inc. est une entreprise familiale spécialisée dans l’usinage de feuilles de métal
servant entre autres à la fabrication de convecteurs et de plinthes électriques (voir la
gure 1). Constituée en société en 1970 par Yves Prévost, machiniste de formation,
l’entreprise a connu une croissance constante mais modérée au fil des ans, car mon-
sieur Prévost est un homme prudent. L’entreprise génère maintenant des ventes d’une
vingtaine de millions de dollars pour un bénéfice net d’environ 10 % de son chiffre
d’affaires. Située sur la Rive-Sud de Montréal près de la frontière américaine, l’entre-
prise occupe 4 180 mètres carrés, espace qui inclut l’usine, les bureaux et les entrepôts.

Produits fabriqués par les clients à partir


FIGURE 1 des feuilles de métal de Métalika

Après avoir été plus de 30 ans à la barre de son entreprise, il a cédé son poste de
directeur général (DG) à sa fille Solange. Bien qu’il aurait aimé que plusieurs de ses quatre
enfants travaillent au sein de l’entreprise familiale, Solange est la seule qui a choisi d’y
œuvrer, et ce, même si tous ses enfants possèdent des actions de Métalika. Yves espérait
que son fils Justin s’implique lui aussi dans Métalika, mais ce dernier, beau gosse, n’aimait
pas se « salir les mains » et a ainsi préféré le droit… ce qui ne l’empêche pas d’être le pre-
mier à encaisser ses chèques de dividendes.
Depuis l’obtention de son diplôme en génie mécanique en 1990, Solange Prévost
a occupé plusieurs emplois au sein de l’organisation (soit ceux d’ingénieure au contrôle
de la qualité, de directrice de l’amélioration continue et de directrice d’usine) avant de
pouvoir accéder au poste de DG. Elle n’a ni conjoint, ni enfants ; Métalika est toute sa vie.
Jeune, elle accompagnait souvent son père à l’usine, où pendant des heures elle regardait
les ouvriers manipuler le métal. Adolescente, elle l’a supplié de lui permettre de travailler
l’été comme machiniste. Il avait accepté à la condition qu’elle entreprenne des études uni-
versitaires. Parmi le personnel de l’usine, plusieurs l’ont vue grandir et savent à quel point
elle est dévouée à l’entreprise. Alors, si certains se sentent agacés à l’idée que leur patron
soit une femme, la plupart l’estiment pour ses compétences et son attitude respectueuse.
Cas Métalika 103

Gouvernance
Quoique cela soit peu fréquent dans les entreprises familiales, Métalika s’est dotée
d’un conseil d’administration (CA). Celui-ci est composé de sept personnes, dont
deux proviennent de l’externe et les autres sont des membres de la famille (voir la
gure 2). Globalement, la famille Prévost détient 75% des actions de Métalika, la
Banque de développement du Canada (BDC) 10 % et plusieurs employés se partagent
l’autre 15 %.

FIGURE 2 Conseil d’administration de Métalika

Le CA se rencontre tous les deux mois pour discuter des résultats financiers, de la
stratégie et d’autres questions importantes pour le bon fonctionnement de l’entreprise. Il
s’agit d’un organe de gouvernance qui joue son rôle efficacement. C’est d’ailleurs lui qui
a nommé le cabinet d’auditeurs externes GMR responsable de l’audit des états financiers
annuels depuis plusieurs années.

Ressources humaines
En 2013, Métalika emploie environ 100 personnes. L’équipe de direction composée de
cinq directeurs et de Solange (voir la gure 3 à la page suivante) se rencontre régulière-
ment pour discuter du déroulement des affaires. Solange estime important que tous les
directeurs participent à l’ensemble des décisions, même si certains sujets ne relèvent pas
nécessairement de leurs compétences spécifiques. Elle espère ainsi favoriser un senti-
ment d’appartenance qui agira comme catalyseur tout en profitant de leur expérience
respective.
Malheureusement, Métalika affiche un taux de roulement du personnel élevé, que
ce soit dans l’usine ou dans les bureaux. Entre autres, au cours des deux dernières années,
50 % du personnel administratif a été renouvelé. Les conditions de travail sont pourtant
bonnes, et ce, même si les employés ne sont pas syndiqués.
Céline Gagnon, la conseillère aux ressources humaines, s’occupe du traitement de la
paie et des avantages sociaux en plus d’épauler la direction lorsqu’il s’agit de recrutement,
de formation, d’évaluation, de dossier disciplinaire et d’autres tâches du même type.
Titulaire d’un baccalauréat en ressources humaines, elle possède plusieurs années d’ex-
périence dans le domaine. Céline s’acquitte bien de ses tâches administratives, mais elle
commet régulièrement des erreurs dans le traitement de la paie. Tellement que Fernande
Séguin, la directrice administrative et du contrôle financier, doit revoir le processus et
mettre en place de nouvelles mesures de contrôle afin de remédier à cette situation jugée
inacceptable.
Pour traiter les dossiers complexes qui demandent une expertise légale plus poussée,
Céline fait appel aux services de Justin Prévost, puisque ce dernier est spécialisé en droit
du travail. De plus, comme il est actionnaire de Métalika, il en connaît bien le fonction-
nement. Il s’avère donc de bon conseil.
104 Partie 2 Applications pratiques

FIGURE 3 Organigramme Métalika

Ventes
L’entreprise bénéficie d’une solide réputation dans son industrie, et la qualité de ses pro-
duits est reconnue. Cela a des effets positifs sur la fidélisation de la clientèle. D’ailleurs,
plusieurs clients achètent chez Métalika depuis de nombreuses années. Le directeur des
ventes, Charles St-Onge, est un ancien machiniste qui « a gravi les échelons », comme on
dit. Travaillant pour Métalika depuis plus de 20 ans, il est entièrement dévoué à l’entre-
prise. Solange et lui sont sur la même longueur d’onde. D’ailleurs, certaines mauvaises
langues affirment que, si ce n’était de la différence d’âge (et du fait que Charles est marié
depuis 30 ans), ils formeraient probablement un couple.
Charles supervise une équipe de vente composée de neuf personnes, soit de deux
représentants commerciaux qui sillonnent les routes du Québec, deux estimateurs qui pré-
parent les soumissions, deux préposés à la saisie de données qui traitent les commandes et
les relations avec les clients, un technicien aux méthodes et deux programmeurs. Charles
a choisi les membres de son équipe avec soin, et ceux-ci lui en sont très reconnaissants.
Ils s’acquittent donc tous de leurs tâches avec fierté et professionnalisme. Comme nous
l’avons vu précédemment, la famille occupe une place importante dans la culture organi-
sationnelle. Par conséquent, étant donné qu’Isabelle Prévost se trouve sans emploi depuis
plusieurs mois maintenant, son père aimerait bien qu’elle intègre l’entreprise familiale.
Charles voit mal en quoi une personne avec des études en marketing de la mode pourrait
lui être utile et il ne sait pas trop que faire, même s’il est bien conscient de devoir compo-
ser avec cette réalité typique d’une entreprise familiale.
Cas Métalika 105

Les deux représentants commerciaux, Miguel et Jeremy, se rendent régulièrement


chez les clients afin de s’informer des nouveaux produits que ces derniers comptent mettre
sur le marché au cours des prochaines années. De plus, ils sont toujours à la recherche de
nouveaux clients et, pour en acquérir de nouveaux, ils participent à plusieurs expositions
et congrès, invitent des clients potentiels à des parties de hockey, font acte de présence
à des tournois de golf, etc. D’ailleurs, ils n’ont pas de bureaux dans l’entreprise, puisque
l’essentiel de leur travail se déroule à l’extérieur de celle-ci. La consigne exige que les
représentants remettent régulièrement leurs notes de frais accompagnées des pièces jus-
tificatives au directeur des ventes, qui les approuve avant de les transmettre au service de
la comptabilité.

Fabrication
Yvon Bourque est le directeur de l’usine depuis que Solange a été promue DG. Pas plus
content que cela que celle-ci soit aux commandes, il apprécie encore moins la direction
que prend Métalika. Il s’agit d’un « gars de plancher » qui n’est pas très porté sur l’infor-
matique et les activités de contrôle. Il est de ceux qui médisent du progiciel de gestion
intégré (PGI) et qui croient que l’on peut gérer une usine sans cela. Malheureusement, ce
n’est plus le cas. L’usine fonctionne maintenant sur trois quarts de travail cinq jours par
semaine. En outre, les produits sont de plus en plus spécialisés et les exigences des clients
ne cessent d’augmenter.
Métalika ne fabrique que sur commande, puisque chaque client a des spécifica-
tions qui lui sont propres (dimensions, épaisseur, alliage, traitements thermiques ou
esthétiques, etc.). Par contre, elle connaît les besoins actuels et futurs de la plupart de
ses clients, et ce, sur un horizon pouvant aller jusqu’à deux ans. Cela est d’autant plus
important que l’entreprise fait affaire avec des sous-traitants pour les opérations de pein-
ture ou de traitement thermique, et que ces derniers ne se montrent pas toujours fiables.
De plus, le délai d’approvisionnement pour certains alliages peut s’avérer très long.
Ainsi, pour satisfaire à la demande tout en respectant les délais de livraison, Métalika
tente de garder en stock des produits finis correspondant pour chaque client à un mois
de commande.

Administration
Depuis 2010, Fernande Séguin occupe le poste de directrice administrative et du contrôle
financier. Comptable professionnelle agréée forte de plusieurs années d’expérience, elle
supervise les fonctions d’approvisionnement, de comptabilité, de ressources humaines et
d’informatique de l’entreprise. Son excellente compréhension des PGI en général lui a
permis de maîtriser rapidement celui de Métalika.
Comme il arrive souvent, l’implantation du PGI de Métalika n’avait pas été suf-
fisamment planifiée et le suivi de son évolution n’était guère meilleur. Après plus de
10 ans, plusieurs modules étaient encore mal utilisés ou inutilisés sous prétexte que les
données n’étaient « jamais » bonnes. À un point tel qu’en 2010, l’équipe de direction
envisageait de le changer. Après plusieurs discussions enflammées, il a été convenu que
le problème ne résidait pas dans le PGI (puisqu’il n’y en a pas de parfait !) et qu’un
changement de cap s’imposait. Il fallait modifier à la fois les méthodes de travail et la
perception de tout le personnel pour profiter pleinement des possibilités offertes par
le PGI.
Le directeur de l’amélioration continue et la nouvelle directrice administrative et
du contrôle financier ont collaboré à la mise en place de procédures et d’instructions
de travail afin d’uniformiser les processus. Ces procédures et instructions de travail ont
fait l’objet de formations auprès du personnel. De plus, elles peuvent être consultées
en tout temps dans l’intranet de Métalika. La direction ne laisse plus les employés
dénigrer leur PGI, car elle considère qu’il fonctionne bien dans la mesure où tous font
bien leur travail. C’est le message qu’elle ne cesse de véhiculer auprès de l’ensemble
du personnel.
106 Partie 2 Applications pratiques

De par son implication, Fernande a donc contribué grandement à la valorisation du


système et à son utilisation par tout le personnel. D’ailleurs, elle est toujours disposée
à aider quiconque désire profiter des fonctionnalités ou des données du PGI tout en
s’assurant que cela s’effectue dans le respect des utilisateurs. Avec beaucoup de rigueur,
elle veille constamment à ce que les données financières et non financières du PGI soient
exemptes d’erreurs. Pour ce faire, elle utilise entre autres les fonctions d’alertes program-
mables1 dans le PGI. Elle est sensible à l’importance des activités de contrôle interne et
à l’effet bénéfique qu’elles ont sur la qualité de l’information financière, la réalisation des
objectifs opérationnels ainsi que la conformité règlementaire. Si on lui reproche parfois
son caractère pas toujours facile, en revanche, on lui attribue le mérite d’avoir rendu le
PGI plus fiable.
Deux techniciennes, Sara Lee et Carmen, se partagent la réception (accueil, appels
téléphoniques, courrier et gestion de la papeterie) en plus du traitement des comptes
clients et fournisseurs. À cela s’ajoutent quelques tâches de fin de mois (rapproche-
ment bancaire, écriture d’amortissement, etc.). Selon Fernande, la séparation actuelle
des tâches n’est pas optimale, mais elle doit composer avec la réalité d’une petite équipe.
En effet, Carmen a « choisi » au fil des ans et des changements de techniciennes les
tâches qui lui plaisent le plus, sous prétexte qu’elle travaille pour Métalika depuis plus
longtemps. D’ailleurs, Fernande se demande sérieusement si Carmen, avec ses 18 ans
d’ancienneté, n’est pas en quelque sorte responsable du faible taux de rétention du per-
sonnel comptable.

Approvisionnement
Durant la dernière année, les fonctions du service de l’approvisionnement ont connu
plusieurs changements. Auparavant, les acheteurs étaient sous la responsabilité du direc-
teur d’usine, qui avait tendance à favoriser un acheteur au détriment de l’autre. Les
deux acheteurs se partageaient le travail comme suit : l’acheteur « principal » s’occupait
de l’approvisionnement en matières premières, tandis que l’acheteur « secondaire » devait
effectuer tous les autres achats. En plus d’avoir des bureaux éloignés, il n’y avait aucune
forme de collaboration entre les deux. De surcroît, ils n’avaient pas confiance au PGI
pour recenser les besoins et procéder aux achats, d’autant plus que le directeur d’usine ne
les encourageait pas à maximiser les possibilités offertes par le PGI. Malheureusement,
le manque de communication entre les deux acheteurs ainsi que les achats mal plani-
fiés ou de dernière minute se soldaient souvent par des ruptures de stock et des coûts
supplémentaires.
Pour corriger cette faiblesse, Gaétan Caron a été nommé acheteur secondaire en
remplacement de celui qui a quitté l’entreprise. À l’emploi de Métalika depuis quatre
ans, Gaétan a obtenu ce poste même s’il n’avait pas d’expérience comme acheteur. Il a
été choisi parce qu’il connaissait bien l’entreprise et son PGI. Malheureusement, il est
un peu brouillon et a tendance à vouloir passer outre les consignes établies. Par la suite,
l’acheteur principal a été remercié (car il n’aimait ni travailler avec l’ancien acheteur, ni
travailler avec le nouveau) et a été remplacé par Malika Sahir, une acheteuse aguerrie.
Rigoureuse et efficace, elle a obtenu le poste même si elle provenait du domaine de
l’alimentation. Toutefois, le défi est de taille, puisqu’elle doit se familiariser avec les
produits et un nouveau PGI, sans oublier que son collègue convoitait lui aussi le poste
d’acheteur principal.
Maintenant, les deux acheteurs occupent le même bureau. De plus, sous la supervi-
sion de Fernande, ils ont revu leur méthode de travail. Ils ont également analysé les fonc-
tionnalités du progiciel afin de trouver les renseignements dont ils avaient besoin pour
faire un travail efficace et efficient. Plusieurs rapports ou requêtes ont été spécialement
conçus pour répondre à leurs besoins.

1. Il s’agit d’algorithmes que l’on programme dans le PGI pour signaler une situation particulière, par
exemple le dépassement d’une limite de crédit.
Cas Métalika 107

Enfin, les problèmes de rupture de stock n’étaient pas tous dus à une mauvaise pla-
nification des achats, au contraire. Au départ, la direction n’avait pas jugé bon de limiter
l’accès aux fournitures d’usine (ce qui était le cas pour les matières premières) et elle
comptait sur un inventaire permanent pour automatiser les demandes d’achat. Malheu-
reusement, que ce soit par manque de formation, de temps ou de professionnalisme,
plusieurs rajustements d’inventaire étaient mal effectués (quand ils étaient faits), ce qui
conduisait à des rapports erronés et à l’éternel refrain « le système n’est pas bon ». Pour
remédier à ce problème, un deuxième magasinier a été embauché. L’accès aux matières
premières et aux fournitures est désormais limité, et les deux magasiniers effectuent régu-
lièrement un dénombrement physique d’un échantillon de pièces, les comparent avec les
données du PGI et font le suivi en cas d’écart important.

Systèmes informatiques
Comme dans plusieurs petites et moyennes entreprises de la taille de Métalika, les activités
informatiques relèvent directement du service de la comptabilité. Selon le CA, l’ampleur
des systèmes informatiques au sein de Métalika ne justifie pas la présence d’une direction
entièrement dédiée aux technologies de l’information et de la communication (TIC). De
plus, l’entreprise utilise le logiciel JobBOSS, dont les mises à jour et les modifications de
programmes sont faites par une entreprise externe. Métalika n’a donc pas besoin d’une
expertise technologique aussi importante pour assurer la gestion efficace et efficiente de
ses TIC.
Les systèmes d’information (SI) occupent une place importante dans le fonction-
nement de Métalika. Depuis que les principaux problèmes d’acceptation du PGI sont
presque réglés, on constate une amélioration croissante de la fiabilité des données pro-
duites par le PGI ainsi que les effets positifs sur le fonctionnement général des différents
services. Il reste du chemin à parcourir, mais Métalika semble sur la bonne voie. Puisque
les SI ont une incidence majeure sur le fonctionnement du contrôle interne, il est utile
d’avoir une vue d’ensemble du PGI et du logiciel d’archivage.

Progiciel de gestion intégré


Métalika utilise Exact JobBOSS (JobBOSS)2 comme PGI. Il ne s’agit pas d’une appli-
cation connue au même titre que SAP, Oracle ou Simple Comptable, mais ses fonction-
nalités sont adaptées au processus des ateliers d’usinage. Il s’agit donc d’une application
appropriée pour les activités de Métalika. Afin de fournir un élément visuel à certaines
explications, des captures d’écran ont été insérées un peu partout dans la partie 2 du
manuel3. Le but n’est pas de présenter toutes les possibilités d’un PGI, mais bien de
donner un aperçu des principales fonctionnalités offertes par un tel outil. Bien que les
progiciels puissent différer d’un concepteur à l’autre, on y trouve plusieurs fonctionnali-
tés semblables. C’est cette base commune que nous illustrons à l’aide de certains écrans
de saisie.
Comme dans le cas de la plupart des applications informatiques, l’accès au progiciel
nécessite la saisie d’un nom d’utilisateur et d’un mot de passe (voir la gure 4 à la page
suivante). La consigne chez Métalika est claire et sans équivoque : les employés ne doivent
jamais donner ces renseignements à qui que ce soit. La séparation des fonctions incom-
patibles repose en bonne partie sur l’attribution de droits d’accès à chacun des employés,
droits qui leur sont octroyés selon leurs tâches et leurs responsabilités.

2. Le revendeur de JobBOSS au Québec est MFG Technologies. Il est possible de consulter son site Web à
l’adresse suivante : www.mfgtech.ca/index.php/fr/jobboss.
3. Exact Software est le propriétaire du logiciel. L’entreprise nous a donné l’autorisation de présenter des
captures d’écran de JobBOSS. La base de données (BD) à laquelle nous avons eu accès comprend des
renseignements accessibles à tous les utilisateurs de la version de démonstration (noms de fournisseurs,
adresses, etc.) et des données créées par plusieurs utilisateurs. Il ne faut donc pas prêter une attention
trop importante à ces données ; elles ne sont fournies qu’afin de donner une idée de leur raison d’être.
108 Partie 2 Applications pratiques

Aussi, lorsque vient le temps d’identifier le res-


FIGURE 4 Accès au progiciel JobBOSS ponsable d’une opération, il faut être certain qu’il y
a correspondance entre le nom de l’utilisateur (dans
les tables4 ou dans les rapports) et la personne qui a
réellement effectué cette opération.
Par souci d’économie de temps, Métalika
n’avait créé qu’un profil d’utilisateur (MAG) pour
toutes les saisies effectuées par les magasiniers. Aux
prises avec de sérieux problèmes d’inventaire en ce
qui a trait aux fournitures, l’entreprise a décidé de
prêter une attention particulière au mouvement
de matériel (ajouts, retraits, ajustements). Mal-
heureusement, il n’y avait pas moyen de savoir
qui, parmi les magasiniers, avait mal saisi une
transaction, puisque celle-ci était liée à un utilisa-
teur « MAG ». Cette façon de faire a donc été ban-
nie chez Métalika. Dorénavant, chaque utilisateur dispose de son propre code d’accès
(nom d’utilisateur) et de son mot de passe.
JobBOSS couvre la totalité des opérations de Métalika, allant de la prise des
commandes des clients à la livraison des produits, en passant par les achats, la planifica-
tion de la production, etc. Aussi, en plus de ses modules de base, il offre un large éventail
de modules connexes (pour traiter le suivi de l’assurance qualité, la gestion de la relation
client, etc.) que Métalika n’a pas encore intégrés pour le moment. Autre élément intéres-
sant, il est possible d’accéder facilement à plusieurs BD, par exemple à une BD « Produc-
tion » et à une BD « Formation »5. Cette souplesse facilite le processus de formation des
employés ainsi que les tests nécessaires à la validation des corrections apportées au PGI.
La figure 5 présente un bon aperçu des fonctionnalités de JobBOSS. Parmi les élé-
ments à noter, l’arborescence à droite (JobBOSS Explorer) permet de naviguer rapidement
entre les modules et les rapports ainsi que de créer ses propres raccourcis (MySpace). Fait
intéressant, l’accès à des modules peut être refusé à un utilisateur, tandis que l’accès aux
rapports de ces mêmes modules peut lui être accordé. Cela s’avère surtout utile lorsque la
restriction à des modules ne vise pas l’accès à des « données confidentielles » mais plutôt
la séparation des tâches et que l’accès à l’information facilite le travail d’un employé.
Le générateur de rapports utilise les fonctionnalités de Crystal Report6 et, par le fait
même, est relativement facile à adapter aux demandes des utilisateurs. De plus, il est aisé
de produire ses propres rapports directement dans Crystal Report en créant un lien Open
DataBase Connectivity avec les tables Structured Query Language (SQL) de JobBOSS.
Afin de nous assurer que les captures d’écran soient les plus claires possibles, nous les
limiterons aux sections les plus pertinentes. Entre autres, cela signifie que tantôt la bande
des icônes, et tantôt celle de JobBOSS Explorer, ne sera pas présentée dans les images.
Il faut souligner que le progiciel est offert en français, mais que parfois certains termes
n’ont pas été traduits (par exemple, « Payroll » dans le menu des modules7). Aussi, il se peut
que les termes choisis ne s’arriment pas aux termes traditionnellement utilisés au Québec
(par exemple, le terme « Work Center » a été traduit par « Poste de travail », quand le terme

4. Il s’agit de la présentation d’information sous la forme d’un tableau dans un fichier informatique.
5. Il s’agit de deux environnements informatiques différents qui contiennent les mêmes caractéristiques.
Les opérations ont lieu dans la BD « Production », tandis que la BD « Formation » sert à tester les modi-
fications que l’on souhaite apporter ou à former les employés.
6. Crystal Report est un progiciel qui permet de générer une variété de rapports à partir de plusieurs types
de données sources (Access, Excel, SQL, etc.). Il est donc possible de produire également des rapports
« maison » en pointant sur les tables SQL de JobBOSS.
7. D’ailleurs, ce module n’est pas offert au Canada. Il semble que le marché soit trop restreint et les règles
fiscales trop complexes pour que cela en vaille la peine. Aussi, de plus en plus d’entreprises font appel à
des cabinets spécialisés pour traiter la paie des employés.
Cas Métalika 109

FIGURE 5 Écran à l’ouverture de JobBOSS

« Centre de coût » aurait peut-être été plus approprié). Selon MFG Technologies, lorsque
Exact Software reçoit des commentaires concernant la version française de son application,
elle tente d’en tenir compte dans les nouvelles versions.
Parmi les modules importants de JobBOSS se trouve
le module « Administration du système ». En effet, ce
module comprend plusieurs sous-modules qui touchent à Liste des sous-modules du
l’ensemble du progiciel. D’ailleurs, la plupart des fichiers module « Administration
maîtres s’y trouvent (voir la gure 6). Certains de ces FIGURE 6 du système »
sous-modules seront présentés dans les sections suivantes.
Le sous-module « Préférences » constitue le cœur du
progiciel (voir la gure 7). En effet, pas moins de 15
onglets doivent être remplis lors de la phase de para-
métrage du progiciel. Entre autres, c’est là que l’on crée
le profil de l’entreprise, les codes de taxes, les codes de
devises, les termes de paiement ou de collection. On y
indique également la méthode de comptabilisation des
coûts et le cheminement de l’information.
On ne soulignera jamais assez l’importance de bien
choisir et saisir les paramètres d’une application car,
dans la plupart des cas, il sera impossible de les modifier
ou de les supprimer une fois que des données y seront
associées. De plus, l’accès à ces modules devrait être

FIGURE 7 Onglets du sous-module « Préférences »


110 Partie 2 Applications pratiques

limité, car lorsqu’un changement de paramètre est permis, celui-ci peut avoir une inci-
dence majeure sur le traitement des données.
Prenons l’exemple des termes de paiement (voir la gure 8). Ceux-ci se trouvent dans
l’onglet « Codes d’utilisateur ». Cet onglet comprend la liste de tous les codes utilisés
dans le progiciel, tels que les codes de retour de marchandises, les codes de transport, les
services, etc. Dans la liste de codes, on trouve l’option « Termes », pour laquelle s’affiche
toute une série de noms. Cela signifie que l’on peut sélectionner un de ces codes dans les
fichiers maîtres des fournisseurs, des clients ou au moment de saisir des bons de com-
mande ou des factures. Si les termes proposés ne couvrent pas la totalité des possibilités
offertes à l’entreprise ou par l’entreprise, il faut créer de nouveaux codes. Il suffit alors de
cliquer sur la feuille blanche pour en ajouter un8.

FIGURE 8 Termes de paiement

À noter également que, dans la figure 8, les appellations « Nom » manquent de


constance, et ce, même si ce sont ces codes qui se trouveront sur les documents de l’en-
treprise. En effet, le mot « net » est écrit parfois avec une majuscule, parfois avec une
minuscule, tandis que le taux est inscrit avec 0, 1 ou 2 décimales. Il y a même un nom
qui commence par un espace vide, ce qui fait qu’il n’apparaît pas dans l’ordre (en l’oc-
currence, un ordre alphanumérique). Qu’en est-il de l’escompte de 10 % si le paiement
est reçu dans les 7 jours ? Est-ce une erreur ? Ce taux a-t-il fait l’objet d’une autorisation ?
Prenons un autre exemple, soit celui de l’onglet « Taxes » (voir la gure 9). Il faut préala-
blement avoir créé des codes de taxes, leur avoir attribué des codes de grand livre, puis avoir
indiqué le taux et la méthode de calcul de celui-ci. Ensuite, il devient possible d’attribuer
un code de taxes aux fournisseurs et aux produits ou services achetés, mais également aux
clients et aux produits ou services vendus. Il faut donc avoir prévu tous les codes de taxes
qui seront utilisés. La mise à jour et la maintenance de ce fichier doivent être limitées à
du personnel compétent et au fait de la réglementation. Tout changement de taux (dans
l’onglet « Code taxes ») aura un effet sur l’ensemble des factures clients qui seront produites
après le changement ainsi que sur le calcul automatique des taxes relatives aux factures four-
nisseurs. Aussi, puisque les codes de taxes figurent sur les documents de l’entreprise (bons
d’achat, soumissions, etc.), ils ont été créés en double, soit en français et en anglais. Il faut

8. C’est la même chose à plusieurs endroits dans le logiciel. Chaque fois qu’une page blanche apparaît, cela
signifie que l’on a la possibilité d’ajouter un élément dans une liste.
Cas Métalika 111

donc également s’assurer que le calcul soit identique, peu importe la version du code choisi.
Autre exemple, un changement du code de report (onglet « Taxes ») affectera le classement
des montants enregistrés. Dans l’exemple de la figure 9, si un employé modifiait les comptes
de grand livre pour le report, la présentation des montants dus ou à recevoir serait erronée.

FIGURE 9 Onglet « Taxes » du module « Préférences »

Les modules de comptabilité (grand livre, fournisseurs et clients) ont été achetés par
Métalika, ce qui lui évite d’avoir à ressaisir l’information lors de la facturation des clients
ou de la réception de marchandise (fournisseurs). Ainsi, dans le module « Administration
du système », on trouve un sous-module permettant de gérer les préférences comptables
(voir la gure 10).

Onglets du sous-module « Préférences


FIGURE 10 comptabilité »

Dans ce sous-module, il faut créer les périodes comptables. Le système permet de


choisir le nombre de périodes (12 ou 13), la durée des périodes (4 ou 5 semaines), le
début de l’exercice et de chaque période. La figure 11 (voir la page suivante) indique que
l’exercice de Métalika débute le 1er juillet et se termine le 30 juin, et que ses périodes
suivent les jours du calendrier.
Dans ce sous-module, il faut également définir la structure des comptes de grand livre
ainsi que les codes de report pour les auxiliaires et les comptes de banque. C’est également
dans ce sous-module que l’on procède à la fermeture des périodes comptables. L’accès à
ce sous-module devrait être limité à une personne en autorité.
Si la structure du compte est créée dans le sous-module « Préférences comptabilité/
Structure du compte », les comptes de grand livre sont pour leur part créés dans le
module « Grand livre », soit dans le sous-module « Comptes Bilan », soit dans celui
112 Partie 2 Applications pratiques

FIGURE 11 Exercice 2013 de Métalika

« Compte États des résultats » (voir la figure 12). En plus de cette première séparation
(bilan – état des résultats), de par les sous-catégories proposées (bilan – actifs, passifs,
etc. ou état des résultats – revenu, coût, etc.), le système « encadre » le positionne-
ment des comptes créés. Il faut donc s’assurer de prévoir des suites chronologiques
qui ont du sens.

FIGURE 12 Création d’un compte de grand livre


Cas Métalika 113

Avec seulement ces quelques exemples, il est facile de voir l’ampleur des données
qui doivent être saisies, mises à jour et contrôlées si on veut que le PGI fournisse
une information de qualité. On comprend également l’importance de bien choisir les
paramètres qui vont orienter les méthodes de comptabilisation. De plus, les différents
chapitres de la partie 2 présentent de façon plus détaillée l’incidence du PGI sur chaque
cycle comptable.

Système d’archivage
Dernièrement, l’entreprise a fait l’acquisition d’un système d’archivage (Quaero9) afin de
réduire sa consommation de papier et ses besoins en entreposage. Ce système offre une
plus grande accessibilité à l’information de façon sécuritaire, tant pour les utilisateurs
internes qu’externes (clients ou fournisseurs). Puisque son installation est rapide, en seu-
lement quelques jours, Métalika avait un système fonctionnel.
Fonctionnant dans un navigateur Web, l’application est facile d’utilisation. Au
même titre que les autres progiciels, elle comporte un menu « Administration » (voir
la gure 13) où les profils d’utilisateurs et les règles de fonctionnement sont créés.
L’aiguillage automatique des documents représente l’attrait principal pour Métalika,
autant lorsque ces documents font partie des impressions du PGI ou manuellement s’il
s’agit de documents externes.

FIGURE 13 Menu « Administration » du progiciel Quaero

Le moteur de recherche permet de retrouver facilement de l’information, et ce, dans


une multitude de documents (voir la gure 14 à la page suivante). Nul besoin de connaître
l’emplacement du document recherché dans le système, il suffit d’en saisir une description
(nom du client, numéro de facture de fournisseur, etc.) pour que le système retourne la
liste complète de tous les documents où ces caractères figurent. Il est également possible
de limiter sa recherche en choisissant un champ en particulier (voir un aperçu des champs
existants à la gure 15 à la page suivante) ou en inscrivant la période de recherche.

9. De plus amples renseignements sur ce progiciel se trouvent sur le site Web www.quaero.ca/FR/
produit.html. Nous avons obtenu l’autorisation de nous servir de captures d’écran pour appuyer
certaines explications.
114 Partie 2 Applications pratiques

FIGURE 14 Moteur de recherche de Quaero

FIGURE 15 Exemples de champs dans Quaero

Les employés de Métalika utilisent évidemment d’autres logiciels (Word, Outlook,


Excel, etc.) dans le cadre de leur travail, mais ce sont ceux qui ont une influence sur le
contrôle interne qui ont retenu notre attention. Par ailleurs, le chapitre 6 traite plus précisé-
ment de l’influence des technologies sur le fonctionnement du système de contrôle interne.
CHAPITRE 6 Incidence des
technologies sur
le contrôle interne

A
ujourd’hui, on peut difficilement imaginer qu’une entre-
prise puisse mener ses activités sans l’appui des technolo-
gies de l’information (TI). À l’inverse, on peut facilement
concevoir qu’une entreprise fonctionne dans un monde entière-
ment virtuel, sans papier, avec très peu de ressources humaines
et une rentabilité éminente. Par conséquent, l’omniprésence de
l’informatique dans la vie des entreprises contemporaines nous
amène à amorcer la partie pratique du présent ouvrage en abor-
dant le sujet des TI et de leur incidence sur le contrôle interne.
En apportant un soutien incontournable au processus d’af-
faires, les TI s’accompagnent de certains risques, tout en en at-
ténuant d’autres. Un large éventail d’activités de contrôle des TI
s’imposent afin d’assurer, par exemple, que le système d’infor-
mation (SI) fonctionne comme il se doit au moment où l’on en
a besoin; que les données soient intègres, précises et exhaustives ;
que les accès soient réservés aux personnes autorisées seulement ;
et que les TI forment un frein à la fraude plutôt que d’en être
un levier.
En cette ère où la dissociation des affaires et des TI devient de
plus en plus inconcevable, il est indispensable pour le gestionnaire
de comprendre l’environnement informatique de l’entreprise,
tout comme il est indispensable pour l’informaticien d’en com-
prendre le processus d’affaires. Les scandales financiers du début
du siècle ainsi que l’avènement de la loi Sarbanes-Oxley (SOX) et
des réglementations similaires ont mis fin à l’époque où la haute
direction pouvait imputer aux informaticiens la responsabilité du
manque de fiabilité de l’information financière.
Tout au long du chapitre en cours, nous nous référerons au
cas de l’entreprise Métalika pour illustrer divers aspects des ris-
ques et des activités de contrôle liés aux technologies.
116 Partie 2 Applications pratiques

6.1 Environnement de contrôle


De façon générale, la direction de Métalika accorde beaucoup d’attention à son envi-
ronnement de contrôle, particulièrement en ce qui concerne l’accès physique aux lieux,
l’accès aux différentes applications technologiques ainsi que la sécurité des données.
Dans le domaine de l’accès physique, on peut penser aux
Personnel de Métalika présent cartes magnétiques qui sont nécessaires pour entrer dans les
dans ce chapitre différentes installations de l’entreprise. Chaque employé pos-
sède une carte magnétique avec photo qui lui donne accès
Nom Fonction à certains emplacements, et pas à d’autres. Par exemple, les
Gaétan Caron Acheteur employés d’usine n’ont pas accès aux bureaux. Les droits d’ac-
cès dans CHUBB1 sont autorisés par Fernande et octroyés
Martin Laliberté Employé d’usine par Vladimir.
Fernande Séguin Directrice administrative et du
Comme nous le verrons plus loin dans le chapitre en cours,
contrôle nancier JobBOSS a une structure de sécurité qui contrôle les accès aux
différents modules. Toutefois, Métalika gère également les accès
Vladimir Tkayov Technicien en informatique aux autres logiciels utilisés, qu’il s’agisse des accès aux courriels, à
Carmen Tremblay Technicienne comptable
Internet, aux logiciels de fabrication, au logiciel de paie externe
ou au site de Desjardins. Puisque ces logiciels sont indépendants
Sara Lee Van-Thuy Technicienne comptable les uns des autres, Vladimir doit conserver un fichier Excel qui
contient les droits octroyés par employé et par application.
L’implantation de JobBOSS par Métalika a constitué une opportunité pour partager
et consolider la philosophie de gestion et la culture de l’entreprise en ce qui a trait aux TI.
Les membres de la direction sont parfaitement conscients de la dépendance de l’entreprise
envers son SI. Par conséquent, ils se sont préoccupés de sa sécurité lors du processus de
sélection. D’ailleurs, au moment de l’analyse des progiciels qui s’offraient à eux, ils en
ont éliminé un qui répondait convenablement à leurs besoins et qui était moins cher que
JobBOSS, mais qui présentait de sérieuses faiblesses quant aux niveaux de contrôle qu’il
permettait d’exercer sur les opérations.

6.2 Évaluation des risques


Que les TI en soient la source, comme dans le cas du plantage (crash) du système, ou qu’elles
en soient la cible, comme dans le cas d’un cybercrime, il est indispensable pour le ges-
tionnaire d’être conscient des risques technologiques et informationnels, ne serait-ce que
pour être en mesure de communiquer efficacement avec les informaticiens, de leur poser
les bonnes questions et de leur adresser les bonnes requêtes en utilisant adéquatement leur
propre lexique.
Bien évidemment, être conscient des risques technologiques n’implique pas dans tous
les cas de faire quelque chose à leur égard. Comme nous en avons discuté au chapitre 4,
un risque donné peut très bien être accepté si telle est la réponse jugée adéquate par la
direction. Pire (ou mieux) encore, il peut être privilégié si celle-ci le perçoit comme une
opportunité. C’est ainsi que certaines entreprises décident, à tort ou à raison, de réaliser
des économies budgétaires et de temps au moment de l’implantation de leur progiciel de
gestion intégré (PGI), en réduisant le nombre de modules de contrôle intégrés qu’offre
un tel système. Nous nous gardons bien de recommander une telle stratégie. D’ailleurs,
comme nous l’avons vu précédemment dans la section sur l’environnement de contrôle,
la direction de Métalika a choisi JobBOSS entre autres pour la qualité de ses mesures de
contrôle des TI intégrées.
Dans son processus d’analyse des risques technologiques, Métalika a envisagé un
ensemble de risques qui ont été regroupés en cinq grandes familles (voir la gure 6.1).
Puis, chaque famille de risques a été associée à un objectif organisationnel précis. Bien
qu’il ne soit pas possible de faire de relations uniques (de un à un) entre les risques

1. Il s’agit du système de sécurité utilisé chez Métalika.


Chapitre 6 Incidence des technologies sur le contrôle interne 117

FIGURE 6.1 Risques technologiques envisagés par Métalika

et les objectifs, Métalika a tout de même tenté de faire un certain jumelage. Dans la
figure 6.1, les flèches pleines qui relient les risques aux objectifs servent à illustrer les
relations directes; et les flèches pointillées, les relations plus indirectes.

6.2.1 Fraude et malversation


Entre dans la grande appellation de « programme malveillant » tout programme pouvant
menacer le bon fonctionnement d’un SI. Le tableau 6.1 présente différentes menaces
informatiques définies par Métalika lors de son analyse des risques technologiques. Par
ailleurs, la section 6.5 du chapitre en cours présente quelques mesures de contrôle qui
peuvent réduire les risques de fraude et de malversation attribuables à des attaques externes.
Toutefois, les risques de malversation présentés dans le tableau 6.1 sont presque
inexistants chez Métalika, puisque son PGI n’est pas accessible de l’extérieur. Par contre,
les responsables de l’entreprise doivent garder à l’esprit que des virus peuvent affecter
d’autres logiciels comme Outlook, Word ou Dropbox. Le service informatique a donc

TABLEAU 6.1 Menaces informatiques analysées par Métalika


Menace Description

Virus informatique Segment d’un code exécutable inséré dans le programme d’un logiciel qui se fait répliquer automa-
tiquement an de se propager dans le système.

Ver informatique Ver informatique se comportant de manière similaire à un virus, sauf qu’il prend la forme d’un pro-
gramme entier greffé à un programme hôte plutôt que d’un segment de code.

Logiciel espion Programme qui collecte d’une façon clandestine les renseignements personnels de ses victimes pour
les partager avec autrui sans permission.

Cheval de Troie Jeu d’instructions pouvant accorder à leur auteur la possibilité de contrôler l’ordinateur à distance.

Bombe logique Forme spéciale de cheval de Troie qui hiberne à l’intérieur d’un programme licite jusqu’à l’avènement
d’un déclencheur prédéni.

Publiciel Sorte de logiciel espion à base de publicité qui afche à l’écran des menus contextuels (popups)
de publicité au moment où l’utilisateur navigue sur Internet.
118 Partie 2 Applications pratiques

TABLEAU 6.1 Menaces informatiques analysées par Métalika ( )


Menace Description

Trousse administrateur Maliciel souvent utilisé pour dissimuler la présence d’un pirate informatique. Il permet au pirate le
pirate (rootkit) contrôle de certaines composantes du système d’exploitation. Il ne s’autoréplique pas, mais il peut
causer un déni de service ou une attaque de pourriels.

Hameçonnage (phishing) Méthode qui consiste à envoyer massivement des courriels ou des textos soi-disant en provenance
d’une partie légitime (typiquement, une banque) et sollicitant l’envoi de renseignements personnels
ou le remplissage d’un formulaire sur une page Web référée.

Maliciel de vol de Maliciel qui permet de voler les listes de contacts et autres données stockées sur un téléphone
données Bluetooth mobile utilisant la technologie Bluetooth.

acheté les licences d’un logiciel antivirus McAfee et il s’assure que les mises à jour auto-
matiques se font à chaque poste de travail.

6.2.2 Désastre naturel


Les catastrophes naturelles sont rares dans une région donnée, mais quand elles sur-
viennent, leur conséquence sur les entreprises en général et leurs SI en particulier s’avère
tragique. Qu’elles prennent la forme d’une tempête, d’un incendie, d’une inondation,
d’un tsunami ou autres, elles peuvent paralyser les SI. Elles risquent alors de mettre en
péril la continuité de l’exploitation des entreprises, si celles-ci n’ont mis aucune mesure
antisinistre en place (voir la section 6.5.1 à la page 129).

6.2.3 Confidentialité des renseignements


Les entreprises sont responsables de la protection de la vie privée des personnes dont elles
détiennent des renseignements personnels. Le risque inhérent à la collecte et à la conservation
de telles données se rapporte à l’éventualité d’en faire un usage qui n’est pas expressément auto-
risé par les personnes qui les ont fournies. Une entreprise qui demande à ses clients de remplir
des formulaires en ligne aux fins de livraison ou de paiement de leurs achats ne peut utiliser ces
mêmes données aux fins de marketing, par exemple, sans en avoir obtenu l’autorisation préa-
lable des clients concernés. L’entreprise doit par ailleurs être consciente des risques de piratage,
de vol d’identité ou de fuite de données touchant les renseignements personnels de ses clients.

6.2.4 Disponibilité des données


À l’heure actuelle, les entreprises sont tellement dépendantes de leurs SI qu’une panne
quelconque engendrant l’arrêt de ces derniers implique presque inévitablement l’interrup-
tion des opérations. Des pertes d’exploitation importantes peuvent en découler et même
menacer la continuité de l’exploitation. De plus, cela peut porter atteinte à la réputation
d’une entreprise, particulièrement quand l’interruption de ses activités perturbe la chaîne
logistique à l’intérieur de laquelle elle travaille de concert avec ses partenaires d’affaires.
Ce serait notamment le cas pour Métalika, qui produit des boîtiers de métal qui entrent
dans la chaîne de production de ses fournisseurs.
L’indisponibilité d’un SI peut être causée par divers événements, comme la défaillance
des programmes ou du matériel, les catastrophes naturelles, les actes humains délibérés ou
non délibérés, ou les attaques informatiques.

6.2.5 Changements technologiques


Des changements dans le processus d’affaires, la réglementation ou les tendances
technologiques peuvent amener l’entreprise à modifier la configuration du matériel
informatique, des réseaux ou des progiciels en place. Ces changements informatiques
représentent une source de risques spécifiques, dont le plus important est la perturbation,
voire l’interruption des activités qui peut en découler.
Chapitre 6 Incidence des technologies sur le contrôle interne 119

Durant les périodes de transition d’un système à un autre, certains risques technolo-
giques s’accentuent. Il en est ainsi pour les modifications non testées ou non approuvées
de programmes, les accès non permis, les modifications de nature malicieuse, les sabotages
informatiques et la résistance au changement.
Les risques associés aux modifications des programmes deviennent encore plus préoc-
cupants quand ces changements touchent le PGI. L’intégrité, point fort des systèmes de ce
type, devient alors sa source de vulnérabilité. En effet, la complexité d’un PGI et l’interdé-
pendance entre ses composantes font en sorte qu’une modification non autorisée ou mal
implémentée peut engendrer des perturbations nocives affectant l’ensemble du système.

6.2.6 Objectifs, risques et activités de contrôle


Les risques liés aux différents objectifs et les activités de contrôle associées aux technolo-
gies sont présentés dans le tableau 6.2.
À l’aide de ce tableau, le lecteur peut analyser les processus des chapitres 7 à 11,
puisque les activités de contrôle informatisées touchent plusieurs cycles d’affaires. En
effet, ce tableau combine les objectifs, les risques et les activités de contrôle de plusieurs Tableau
processus. Ce faisant, il vient compléter les autres tableaux du genre qui sont spécifiques
à chaque cycle et qui se retrouvent tout au long de la deuxième partie du manuel. Puisque
tous les systèmes sont perfectibles, le lecteur est encouragé à bonifier le tableau en y ajou-
tant des objectifs, des risques ou des activités de contrôle de son cru.
Pour aider le lecteur à amorcer sa réflexion, voici quelques questions que la direction
de Métalika s’est posées lorsqu’est venu le temps d’évaluer les risques et de mettre en place
des activités de contrôle pour pallier les risques identifiés :
• Est-ce que les données de l’entreprise sont conservées de façon sécuritaire?
• Les logiciels en place permettent-ils d’assurer une bonne qualité des renseignements?
• Quels sont les risques que les données soient piratées?
• Est-ce que l’on contrôle adéquatement l’accès aux renseignements et aux équipements?
• Est-ce que l’on respecte la législation en matière de confidentialité des renseigne-
ments personnels?
• La distribution des accès aux employés contribue-t-elle à la mise en place d’une
bonne séparation des tâches incompatibles?

TABLEAU 6.2 Objectifs, risques et activités de contrôle associés à l’incidence


des technologies sur le contrôle interne
Objectif selon le cube COSO Risque Activité de contrôle

Catégorie Numéro Description Numéro Description Numéro Description

2. OIF OIF-05 S’assurer que les don- R-18 Saisir des données dans AC-01 Associer un compte de
nées sont classées un mauvais compte de grand livre à un produit
dans les bons comptes grand livre lors de la création des
de grand livre produits (chier maître)

1. OO OO-04 S’assurer que le sys- R-12 Être victime d’un incen- AC-02 Construire une salle des
tème informatique fonc- die qui endommage le serveurs ayant une cer-
tionne sans interruption système informatique taine résistance au feu

2. OIF OIF-03 Assurer l’exactitude des R-19 Saisir des données AC-03 Contrôler l’équilibre des
données inexactes qui causeront écritures de journal
des erreurs dans les
états nanciers

1. OO OO-01 Avoir des données R-03 Entrer des données AC-04 Automatiser le calcul de
intègres, précises et inexactes susceptibles certains montants
exhaustives de causer des erreurs
dans les états nanciers
120 Partie 2 Applications pratiques

TABLEAU 6.2 Objectifs, risques et activités de contrôle associés à l’incidence


des technologies sur le contrôle interne ( )
Objectif selon le cube COSO Risque Activité de contrôle

Catégorie Numéro Description Numéro Description Numéro Description

1. OO OO-03 Préserver la continuité R-13 Faire face à une menace AC-05 Désigner une équipe
de l’exploitation à la continuité de d’alerte et de réponse
l’exploitation aux incidents
informatiques

3. CONF OC-01 Conserver la con- R-06 Se faire voler des don- AC-06 Élaborer une arbores-
dentialité des rensei- nées condentielles cence de droits qui li-
gnements personnels mite l’accès aux données
détenus par l’entreprise sensibles à un nombre
restreint de personnes

3. CONF OC-01 Conserver la con- R-06 Se faire voler des don- AC-06 Élaborer une arbores-
dentialité des rensei- nées condentielles cence de droits qui li-
gnements personnels mite l’accès aux données
détenus par l’entreprise sensibles à un nombre
restreint de personnes

1. OO OO-02 Être à l’affût des évo- R-16 Perturber le fonction- AC-07 Avoir un environnement
lutions technologiques nement du PGI lors « test » pour mettre
qui pourraient avoir des de l’implantation de à l’épreuve les nou-
répercussions sur l’ef- modications velles fonctionnalités
cience et l’efcacité des avant de les implanter
systèmes dénitivement

3. CONF OC-01 Conserver la con- R-06 Se faire voler des don- AC-08 Élaborer une matrice
dentialité des rensei- nées condentielles des accès et des per-
gnements personnels missions pour dénir les
détenus par l’entreprise prérogatives de chaque
utilisateur à l’égard des
BD et des programmes
du système

3. CONF OC-03 Préserver la condentia- R-06 Se faire voler des don- AC-09 Imposer l’utilisation de
lité des renseignements nées condentielles câbles antivol pour les
ordinateurs portables

2. OIF OIF-03 Assurer l’exactitude des R-15 Perdre des données à la AC-10 Empêcher qu’un même
données suite d’un accès multiple chier puisse être utilisé
à un même chier par plus d’un utilisateur
à la fois

1. OO OO-01 Avoir des données R-04 Avoir un chier maître AC-11 Contrôler la création
intègres, précises et comprenant des et la modication des
exhaustives anomalies pouvant se chiers maîtres
répercuter sur tous les
modules qui y font appel

1. OO OO-01 Avoir des données R-09 Être victime de malver- AC-12 Établir des règles pour
intègres, précises et sation informatique la désactivation des
exhaustives prises murales du
réseau

1. OO OO-07 Rendre les données R-02 Avoir un conit sur le plan AC-13 Exiger qu’il y ait
accessibles aux bonnes de la séparation des régulièrement des
personnes tâches incompatibles changements de mot
de passe pour chaque
utilisateur

3. CONF OC-01 Conserver la con- R-17 Se trouver en situation AC-14 Implanter la solution
dentialité des rensei- de non-conformité aux DLP pour la protection
gnements personnels lois sur la protection de contre la fuite de
détenus par l’entreprise la vie privée données
Chapitre 6 Incidence des technologies sur le contrôle interne 121

TABLEAU 6.2 Objectifs, risques et activités de contrôle associés à l’incidence


des technologies sur le contrôle interne ( )
Objectif selon le cube COSO Risque Activité de contrôle

Catégorie Numéro Description Numéro Description Numéro Description

1. OO OO-05 Assurer une bonne gou- R-05 Avoir un développement AC-15 Instaurer un comité de
vernance des TI des TI qui ne répond gestion composé de
pas aux besoins de membres de la direction
l’entreprise et de personnes ex-
ternes ayant une bonne
expertise en TI

2. OIF OIF-04 Assurer l’exhaustivité R-19 Saisir des données AC-16 Limiter les entrées
des données inexactes qui causeront directes aux comptes
des erreurs dans les de grand livre qui sont
états nanciers associés à un auxi-
liaire (compte client et
auxiliaire des comptes
clients)

1. OO OO-01 Avoir des données R-09 Être victime de malver- AC-17 Installer des systèmes
intègres, précises et sation informatique de prévention des
exhaustives intrusions

2. OIF OIF-02 Assurer la réalité des R-14 Payer une facture ctive AC-18 Contrôler l’appariement
opérations sans que l’entreprise ait des données entre
reçu la marchandise différents documents
électroniques (paiement
d’une facture dont
le bon de réception
n’existe pas)

3. CONF OC-02 Respecter les règles R-11 Se voir imposer des AC-19 Instaurer un système
en matière de taxes de intérêts et des pénalités d’autorisation pour
vente pour le non-respect de toute modication au
la loi sur les taxes de module des taxes de
vente vente

3. CONF OC-03 Préserver la condentia- R-06 Se faire voler des don- AC-20 Mettre en place des
lité des renseignements nées condentielles mécanismes d’authen-
tication comme des
mots de passe, des
NIP, des cartes à puce,
des questions de sécu-
rité et des identiants
biométriques

3. CONF OC-02 Respecter les règles R-11 Se voir imposer des AC-21 Limiter l’accès au mo-
en matière de taxes de intérêts et des pénalités dule (chier maître) qui
vente pour le non-respect de permet d’inscrire les
la loi sur les taxes de codes de taxes,
vente les taux et autres
renseignements

1. OO OO-06 Avoir des données R-08 Être en présence de ren- AC-22 Créer des masques
ables seignements erronés de saisie qui valident
le format de certaines
données saisies (année/
mois/jour)

3. CONF OC-01 Conserver la con- R-07 Être la cible de piratage, AC-23 Établir des contrôles
dentialité des rensei- de vol d’identité ou de d’accès aux données,
gnements personnels fuite de données im- aux ressources maté-
détenus par l’entreprise pliquant les renseigne- rielles ou logicielles, ou
ments personnels des encore au réseau avec
clients ou sans l
122 Partie 2 Applications pratiques

TABLEAU 6.2 Objectifs, risques et activités de contrôle associés à l’incidence


des technologies sur le contrôle interne ( )
Objectif selon le cube COSO Risque Activité de contrôle

Catégorie Numéro Description Numéro Description Numéro Description

1. OO OO-04 S’assurer que le sys- R-12 Être victime d’un incen- AC-24 Installer un système de
tème informatique fonc- die qui endommage gicleurs qui n’endom-
tionne sans interruption le système informatique mage pas les serveurs
en cas d’incendie

2. OIF OIF-01 Assurer la validité des R-03 Entrer des données AC-25 Établir un contrôle de
données inexactes susceptibles l’équilibre de l’écriture
de causer des erreurs comptable au moment
dans les états nanciers de sa conrmation

1. OO OO-01 Avoir des données R-03 Entrer des données AC-26 Utiliser l’incrémentation
intègres, précises et inexactes susceptibles automatique du champ
exhaustives de causer des erreurs « No écriture »
dans les états nanciers

2. OIF OIF-01 Assurer la validité des R-03 Entrer des données AC-27 Établir des contrôles
données inexactes susceptibles des lots de saisie
de causer des erreurs
dans les états nanciers

1. OO OO-02 Être à l’affût des évo- R-01 Apprendre que la ver- AC-28 Mettre en place une
lutions technologiques sion d’un logiciel impor- veille technologique sur
qui pourraient avoir des tant pour l’entreprise ne les principaux logiciels
répercussions sur l’ef- sera plus supportée par de l’entreprise
cience et l’efcacité des le concepteur
systèmes

3. CONF OC-03 Préserver la condentia- R-06 Se faire voler des don- AC-29 Utiliser un logiciel pare-
lité des renseignements nées condentielles feu pour réduire les
risques d’attaques ou
d’intrusion externes

1. OO OO-01 Avoir des données R-10 Être attaqué par un virus AC-29 Utiliser un logiciel pare-
intègres, précises et provenant de l’externe feu pour réduire les
exhaustives risques d’attaques ou
d’intrusion externes

6.3 Activités de contrôle général


Les activités de contrôle général visent l’environnement à l’intérieur duquel les TI sont
utilisées. Ici, l’accent se situe au niveau de l’entreprise dans sa globalité, voire au niveau
de son écosystème, si elle fait partie d’une chaîne logistique plus large.

6.3.1 Gouvernance des TI et activités


de contrôle général
Comme leur nom l’indique, les activités de contrôle informatique général s’appliquent à
toutes les activités de TI et à toutes les composantes du SI, qu’elles se rapportent aux bases
de données (BD), aux logiciels, au matériel informatique, au réseau ou aux ordinateurs
portables. Les activités de contrôle général des TI émanent de sa propre gouvernance.
Plus qu’une simple question de sémantique, la différence entre gouvernance et gestion
des TI est fondamentale. Alors que la gestion des TI (dont la responsabilité incombe au
service des TI) assure l’exploitation des systèmes pour la bonne marche des affaires, le rôle
de la gouvernance des systèmes (dont la responsabilité incombe à la haute direction, et
l’imputabilité, au conseil d’administration) est de déterminer l’orientation générale de la
fonction des TI, ainsi que d’en assurer la surveillance et le contrôle.
Chapitre 6 Incidence des technologies sur le contrôle interne 123

C’est au niveau de la gouvernance que se situent les activités de contrôle général des
TI. Elles ont pour rôle d’assurer que les objectifs de la fonction des TI soient alignés sur
ceux des affaires et que les risques des TI soient gérés en harmonie avec la gestion des
risques d’entreprise prise dans sa globalité, compte tenu de l’attitude de la haute direction
envers le risque.
Chez Métalika, le conseil consultatif discute au besoin des questions qui touchent la
gouvernance des TI. Bien que l’aspect « contrôle » soit important, le sujet des TI ne pré-
occupe pas particulièrement les membres du conseil, d’autant plus que personne au sein
de cette instance ne possède de compétences particulières dans le domaine.

FALLAIT Y PENSER !
L’amalgame de gouvernance et de gestion des TI est omniprésent dans les petites et
moyennes entreprises. Métalika ne fait pas exception. Vladimir, le responsable de la réseau-
tique, est la personne à qui la haute direction cone la prise de décisions chaque fois (ou
presque) que l’« informatique » est concernée, y compris des décisions se rapportant aux
activités de contrôle général. Comme il s’agit de décisions de gouvernance et non de gestion,
l’établissement de politiques en matière d’activités de contrôle général relèverait normale-
ment de la directrice générale et des autres membres de la direction.
Ainsi, la séparation des tâches incompatibles constitue une mesure de contrôle interne qui se
traduit, en termes de TI, en une combinaison de contrôles d’identication et d’autorisations
d’accès. Il ne s’agit pas d’une simple question technique de paramétrage ou d’administration
de système; il n’est donc pas adéquat de laisser cette tâche à l’unique discrétion de Vladimir.

6.3.2 PGI et activités de contrôle général


Parmi les modules importants de JobBOSS qui contribuent aux
activités de contrôle général se trouve celui nommé « Adminis-
tration du système ». En effet, ce module comprend plusieurs
sous-modules qui touchent l’ensemble du progiciel. D’ailleurs, la
plupart des fichiers maîtres s’y trouvent (voir la gure 6.2). Certains
de ces sous-modules seront présentés dans les paragraphes suivants. Liste des
sous-modules
Préférences du module
Le sous-module « Préférences » constitue le cœur du progiciel (voir « Administration
la gure 6.3 à la page suivante). En effet, pas moins de 15 onglets FIGURE 6.2 du système »
doivent être complétés dans la phase de paramétrage du progiciel.
Entre autres, c’est là que l’on crée le profil de l’entreprise, les
codes de taxes, les codes de devises, les termes de paiement ou de
collecte. On y indique également la méthode de comptabilisation
des coûts et le mode de cheminement de l’information.
On ne soulignera jamais assez l’importance de bien choisir
et saisir les paramètres d’une application au départ car, dans la
plupart des cas, il s’avère impossible de les modifier ou de les
supprimer une fois que des données y sont associées. De plus,
l’accès aux modules devrait être limité car, si un changement de
paramètre est permis, celui-ci peut avoir une incidence majeure
sur le traitement des données.
Prenons l’exemple des termes de paiement (voir la gure 6.4
à la page suivante). Ceux-ci se trouvent à l’onglet « Codes d’uti-
lisateur ». Cet onglet comprend la liste de tous les codes utilisés
dans le progiciel, tels que les codes de retour de marchandise, de
transport, de services, etc. Dans cette liste de codes, on trouve
ceux des « termes », pour lesquels s’affiche toute une série de
124 Partie 2 Applications pratiques

FIGURE 6.3 Onglets du sous-module « Préférences »

FIGURE 6.4 Termes de paiement

noms. Cela signifie que l’on peut sélectionner un de ces codes dans les fichiers maîtres
des fournisseurs ou des clients, ou au moment de saisir des soumissions, des bons de com-
mande ou des factures. Si ces termes ne couvrent pas la totalité des possibilités offertes à
l’entreprise ou par l’entreprise, il faut créer de nouveaux codes. Il suffit alors de cliquer
sur la feuille blanche pour en ajouter un.
Il est à noter également dans la figure 6.4 que les termes de paiement de la colonne
« Nom » manquent de constance. En effet, le mot « net » est écrit parfois avec une majuscule,
parfois avec une minuscule, tandis que les taux comportent une ou deux décimales, voire
aucune. L’un des noms est même précédé d’un espace vide, ce qui fait qu’il n’apparaît pas
dans l’ordre (en l’occurrence, un ordre alphanumérique). Pourtant, ce nom figurera sur les
différents documents de l’entreprise. De plus, qu’en est-il des montants d’escompte accor-
dés? L’entreprise offre-t-elle vraiment un escompte de 10 % (colonne « Pct d’escompte ») si
un paiement est reçu dans les sept jours (colonne « Jour d’escompte »)? Est-ce une erreur?
Ce taux a-t-il fait l’objet d’une autorisation? La rigueur dans la nomenclature et dans la
création (accès limité – autorisation documentée) améliore la qualité du contrôle interne en
réduisant les probabilités d’erreurs subséquentes lors de l’utilisation des termes de paiement.
Prenons un autre exemple, soit celui de l’onglet « Taxes » (voir la gure 6.5). Il faut
d’abord créer des codes de taxes, leur assigner des comptes de grand livre, puis indiquer
les taux ainsi que la méthode de calcul de ceux-ci. Ensuite seulement, il devient possible
d’attribuer un code de taxes à un fournisseur et à un produit ou service acheté, mais
Chapitre 6 Incidence des technologies sur le contrôle interne 125

également à un client et à un produit ou service vendu. Il faut donc préalablement prévoir


tous les codes de taxes qui seront utilisés. La mise à jour et la maintenance de ce fichier
doivent être limitées à des employés compétents et au fait de la réglementation en vigueur.
Tout changement de taux (onglet « Codes taxe ») aura un effet sur l’ensemble des factures
clients qui seront produites après cette modification ainsi que sur le calcul automatique
des taxes relatives aux factures fournisseurs. En l’occurrence, puisque les codes de taxes
figurent sur les documents de l’entreprise (bons d’achat, soumissions, etc.), ils ont été
créés en double, soit en français et en anglais. Il faut donc également s’assurer que le calcul
soit identique, peu importe la version du code choisie.
Par ailleurs, tout changement du code de report (onglet « Taxes ») influence le classement
des montants enregistrés. Dans l’exemple de la figure 6.5, si un employé modifiait les comptes
de grand livre pour le report, la présentation des montants dus ou à recevoir serait erronée.

FIGURE 6.5 Onglet « Taxes » du module « Préférences »

Grâce aux modules intégrés de comptabilité (grand livre, comptes fournisseurs et


comptes clients), la saisie de l’information lors de la facturation client ou de la réception
de marchandise (fournisseur) suffit pour mettre à jour les registres comptables.

Création d’un profil d’utilisateur


Les activités de contrôle général sont particulièrement présentes lors de la création d’un
nouveau profil d’utilisateur dans JobBOSS. Chaque fois qu’un nouvel employé est
recruté, Vladimir discute avec le supérieur hiérarchique de ce dernier à propos des droits
d’accès qui lui seront attribués compte tenu de ses fonctions et des règles de séparation
des tâches incompatibles. Le paramétrage fait par Vladimir au moment de la création du
profil d’utilisateur détermine les fichiers, les modules et les sous-modules du progiciel
auxquels le nouvel employé aura accès. Il va de soi qu’un directeur doit approuver les
droits avant que Vladimir les octroie.

Création d’un fichier maître


La création des fichiers maîtres est une autre étape où les activités de contrôle général
interviennent substantiellement. En effet, les anomalies que ces fichiers risquent de conte-
nir peuvent avoir de graves conséquences sur l’ensemble du SI. De fait, elles peuvent se
répercuter sur tous les modules qui font appel à ces fichiers maîtres, d’où l’importance de
bien contrôler la création et la modification de ces fichiers en particulier. Si, par exemple,
le fichier maître de la paie n’est pas mis à jour promptement et correctement de manière à
tenir compte des changements de la période (départ d’un employé, nouveau recrutement,
126 Partie 2 Applications pratiques

changement d’échelon ou de taux horaire, etc.), alors, au-delà des fiches de paie qui
seront erronées, c’est tout le climat social au sein de l’entreprise qui sera menacé. Dans les
chapitres portant sur les différents cycles comptables, nous présenterons des exemples de
création de fichiers maîtres ainsi que de leur incidence sur le contrôle interne.

6.4 Activités de contrôle des applications


Les logiciels d’application sont des programmes qui permettent à l’utilisateur de procéder
au traitement de données. Les systèmes de la paie, des comptes clients et des stocks en
constituent des exemples. Les applications sont munies de leurs propres mesures de contrôle
intégrées empêchant les accès non autorisés, les erreurs et l’inexactitude des données.
Comme le montre la figure 6.6, il est possible de diviser ces mesures de contrôle en
trois catégories, soit celles du contrôle des entrées (input), du contrôle des traitements et
du contrôle des sorties (output).

FIGURE 6.6 Types d’activités de contrôle des applications

6.4.1 Contrôle des entrées


Que l’entrée des données dans le système soit faite manuellement ou automatiquement
(à l’aide d’un lecteur de code à barres, par exemple), le risque d’erreur est omniprésent.
Or, il se veut toujours plus efficient de prévenir les erreurs au stade de l’entrée des données
que de les détecter une fois que celles-ci sont rendues au stade du traitement ou à celui
de la sortie.
Par exemple, au moment de la saisie d’une écriture de régularisation, le formulaire
comprend diverses mesures de contrôle qui assurent la validité, l’exactitude et l’exhausti-
vité de cette écriture. Le tableau 6.3 présente des exemples d’erreurs pouvant être évitées
au moyen de mesures de contrôle des entrées dont un logiciel de comptabilité comme
JobBOSS est normalement doté.

6.4.2 Contrôle des traitements


Les activités de contrôle des traitements assurent que les données préalablement entrées
soient correctement traitées par l’application. Ainsi, elles garantissent qu’après la saisie
des données, tous les fichiers utilisant ces données seront correctement mis à jour. Le ta-
bleau 6.4 présente les mesures de contrôle des traitements les plus répandues.
Chapitre 6 Incidence des technologies sur le contrôle interne 127

TABLEAU 6.3 Exemples de mesures de contrôle des entrées


incorporées dans un logiciel de comptabilité
Objectif Mesure de contrôle Exemples d’erreurs
de contrôle incorporée dans le logiciel de saisie évitées

Validité Masque de saisie du champ • Entrée d’une date inexistante


« Date » • Entrée d’une date de facturation antérieure
à la date de la commande

Incrémentation automatique • Utilisation d’un même numéro pour deux


du champ « N° écriture » écritures comptables différentes
• Comptabilisation de mauvaises écritures qui
sont difciles à retracer si elles ne sont pas
prénumérotées

Liste déroulante du champ • Entrée d’un compte inexistant


« Compte comptable » • Utilisation d’un compte non admis pour
un journal auxiliaire donné (par exemple,
le compte « Banque » dans le journal
« Opérations diverses »)

Exactitude Contrôle de l’équilibre de • Total des montants portés au débit différent


l’écriture au moment de sa du total de ceux portés au crédit
conrmation

Calcul automatique de • Erreurs de calcul


certains montants à partir
d’autres sommes (taxes,
rabais, sous-totaux, etc.)

Exhaustivité Cases à cocher et intercon- • Écarts entre l’auxiliaire et le compte contrôle


nexion entre journaux auxiliaires correspondant

Champs de saisie obligatoire • Entrées incomplètes qui causent des erreurs


d’imputation

6.4.3 Contrôle des sorties


Lorsque les données sont traitées, le système génère une sorte de compte rendu, soit
sous forme d’affichage sur un écran, soit sous forme d’un rapport pouvant être imprimé.
Quelle qu’en soit la forme, les sorties obtenues font à leur tour l’objet de diverses mesures
de contrôle, dites « des sorties ». Une simple révision visuelle des sorties à l’écran ou sur
papier de la part d’un utilisateur peut permettre de détecter des anomalies. Un employé

TABLEAU 6.4 Exemples de mesures de contrôle des traitements


Mesure de contrôle Explications

Contrôle de l’intégrité Diverses mesures de contrôle dans la conception des BD en assurent l’intégrité, par exemple le blocage
des BD d’accès empêchant qu’un même chier soit mis à jour simultanément par deux utilisateurs différents ; ou
le dictionnaire de données assurant la cohérence de la dénition des données.

Contrôle des lots Des calculs de totaux d’un lot de saisie incluent l’ensemble des transactions entrées durant une journée
de saisie donnée et permettent leur comparaison avec les totaux d’un enregistrement complémentaire. Les cal-
culs peuvent porter sur les chiffres nanciers (total de montants), sur le comptage des enregistrements
(nombre de lignes par lot) ou sur un total mêlé (total qui n’a aucun sens, mais qui sert aux ns de contrôle,
tel que le total des numéros des comptes des clients dans le lot de saisie).

Contrôle de l’appa- Des mesures de contrôle empêchent la constatation du règlement d’une facture fournisseur s’il n’y a pas
riement des données concordance entre le bon de commande, le bon de réception et la facture en question.
128 Partie 2 Applications pratiques

expérimenté peut évaluer le caractère raisonnable des quantités et des montants qui
apparaissent à la sortie. C’est une activité de contrôle tellement simple que les employés
oublient souvent de l’exécuter dans le cadre de leur travail quotidien. Il suffit pourtant de
se poser la question : « Est-ce que ça a du sens? »
Par ailleurs, le rapprochement constitue une autre technique de contrôle des sorties.
Les comptables connaissent bien le rapprochement bancaire, qui permet le contrôle d’une
sortie interne (soit du solde du poste « Banque » du grand livre) grâce à sa comparaison
avec une sortie de source externe (soit le solde du relevé bancaire). Un rapprochement
semblable peut également se faire avec n’importe quelle sortie pour laquelle il existe un
document correspondant de source différente, qu’elle soit interne ou externe. Il en est
notamment ainsi pour les comptes fournisseurs, où le solde d’un compte à l’auxiliaire
peut être corroboré au moyen de l’état de compte du fournisseur.
Au-delà de l’exactitude, du caractère raisonnable et de l’exhaustivité, les mesures de
contrôle des sorties assurent que la transmission des rapports se fasse d’une manière sécu-
risée. À ce propos, la technique de cryptage consiste à rendre les sorties confidentielles et
inintelligibles de manière à ce que toute personne ne disposant pas de la clé de chiffre-
ment nécessaire n’y comprenne rien. En effet, seules les personnes autorisées disposent
de la clé privée qui rend les sorties intelligibles. La section 6.5.1 du chapitre en cours
explique de façon plus détaillée le processus de cryptage.

6.4.4 Complémentarité des activités de contrôle général


et des activités de contrôle des applications
Un coffre-fort numérique muni d’un système de verrouillage sophistiqué et placé à l’inté-
rieur du placard d’une chambre serait d’une utilité restreinte si le système de surveillance
de la maison était dysfonctionnel. Par analogie, disposer de mesures de contrôle des
applications d’une excellente qualité n’amène aucune tolérance à l’égard de la qualité
des mesures de contrôle général. En effet, tout ne passe pas par les applications, mais rien
ne doit échapper aux activités de contrôle général. Il est possible, par exemple, que des
données sur les stocks soient générées par le PGI ou par une application de gestion des
stocks en toute conformité avec les activités de contrôle applicatif. Lesdites données sont
par la suite importées dans un tableur comme Excel ou dans un système de gestion de
BD comme Access, pour générer un rapport ad hoc (c’est-à-dire un rapport répondant à
un besoin occasionnel non traitable par les applications en place). Seules les activités de
contrôle général garantissent, dans ce cas-là, la sécurité des données contenues dans le
rapport en question.
Les activités de contrôle général déterminent le degré de contrôle requis pour chaque
application. Le processus d’acquisition et de paramétrage d’une application achetée; le
processus de conception et de développement d’une application développée par l’entre-
prise elle-même; ainsi que les procédures de changement des programmes et des para-
mètres sont tous des aspects applicatifs régis par les activités de contrôle général. Il arrive
que les activités de contrôle général évoluent à un rythme plus accéléré que celui des
activités de contrôle applicatif, ce qui donne naissance à une faiblesse dans le système de
contrôle. Cette situation est assez fréquente quand il est question de resserrer les règles
régissant les accès en vue de renforcer les mots de passe des utilisateurs, comme précaution
d’ordre général. Il arrive que certaines applications en place ne supportent pas les nou-
velles règles de mots de passe (par exemple, le passage de 8 à 14 caractères de longueur et
de 2 à 3 types de caractères différents). Cela donne lieu à des exceptions qui ne peuvent
que restreindre la fiabilité du système de contrôle.

6.5 Sécurité de l’information


Mettre à la disposition des gestionnaires de l’information utile pour la prise de décisions
est sans doute l’une des fonctions fondamentales de tout SI. Un SI qui remplit bien cette
fonction est qualifié de « fiable ». Un SI fiable rend disponible en tout temps (et non
Chapitre 6 Incidence des technologies sur le contrôle interne 129

occasionnellement) au décideur autorisé (et non à n’importe qui) de l’information utile


(et non des données brutes ou mal traitées) pour la prise de décisions (sous-entendues être
prises dans l’intérêt exclusif de l’entreprise). En décortiquant ainsi cette évidence, nous
venons de mettre en exergue les concepts de base qui déterminent la raison d’être du para-
digme de la sécurité de l’information. Trois qualités essentielles déterminent l’utilité de
l’information dans un contexte de sécurité informatique, soit la confidentialité, l’intégrité
et la disponibilité (voir la gure 6.7).

FIGURE 6.7 Objectifs associés à la sécurité de l’information

La confidentialité réfère à l’exclusivité de l’information qui est accordée aux parties


autorisées. L’intégrité se justifie par le fait que, pour obtenir de l’information utile, des
données brutes ont dû être compilées à divers points du SI et ont donc pu faire l’objet de
modifications tout au long du traitement. Quant à la disponibilité, elle accroît l’assurance
que l’information sera prête à être fournie dès qu’elle sera demandée.
Lorsque la haute direction d’une entreprise détermine sa tolérance envers les risques
relatifs à la sécurité de l’information, le critère « taille de l’entreprise » doit servir de jauge
en tenant compte de la chaîne logistique à l’intérieur de laquelle elle évolue. Parce qu’une
chaîne est aussi solide que son maillon le plus faible, l’entreprise doit se soucier de la
sécurité de son propre SI, mais aussi de ceux de ses partenaires d’affaires.
La sécurité de l’information repose sur un large éventail d’activités de contrôle
interne qui, ultimement, permettent d’atteindre les niveaux de confidentialité, d’inté-
grité de traitement et de disponibilité désirés par la haute direction. Ces activités sont
souvent classées en trois catégories, soit celles des mesures de contrôle préventif, de
détection et correctif.

6.5.1 Contrôle préventif


Les activités de contrôle préventif sont mises en place indépendamment de tout incident.
Leur rôle est justement d’éviter les incidents, mais leur efficacité n’est jamais certaine. Les
paragraphes qui suivent traitent des mesures de contrôle préventif les plus utilisées aux
fins de la sécurité informatique.

Contrôle d’accès
La sécurité de l’information est une approche qui comprend plusieurs niveaux, le pre-
mier étant le contrôle de l’accès aux données, aux ressources matérielles ou logicielles, ou
encore aux réseaux avec ou sans fil. Le contrôle efficace des accès atténue considérable-
ment plusieurs risques cités à la section 6.2, notamment les risques d’attaques, de pira-
tage, de fraude informatique ainsi que les menaces à la confidentialité et à la vie privée. La
création des profils d’utilisateurs vue dans la section sur les activités de contrôle général
sert justement à limiter l’accès à chaque module et sous-module d’un PGI.

Contrôle d’authentification et d’autorisation


Par exemple, le contrôle d’authentification est la première étape à franchir lorsque l’on
avise son institution financière d’un changement d’adresse ou d’une perte de carte
130 Partie 2 Applications pratiques

bancaire. Il en est de même lorsque l’on appelle son fournisseur Internet pour lui signi-
fier une perte de connexion. L’authentification réduit le risque qu’un utilisateur ne soit
pas celui qu’il prétend être. Les mots de passe, les numéros d’identification personnels,
les cartes à puce, les questions de sécurité et les identifiants biométriques sont tous des
mécanismes d’authentification.

FALLAIT Y PENSER !
La sécurité informatique est l’affaire de tous. L’un des dés de Vladimir est d’en convaincre
le personnel de Métalika, notamment les utilisateurs de JobBOSS. Les gens ont tendance à
utiliser des mots de passe simples, faciles à retenir, sans jamais les changer, pour éviter les
rejets multiples. Vladimir explique régulièrement aux employés que des mots de passe faibles
sont comme des clés passe-partout dont l’efcacité est minimale. Pour qu’un mot de passe
soit fort et efcace, il doit être aléatoire, être long, contenir des caractères de types variés et
être changé périodiquement.
La plupart des employés sont peu réceptifs à de telles consignes. Vladimir a même créé
une routine dans JobBOSS qui exige le renouvellement mensuel des mots de passe et qui
rejette les mots faibles. Après cela, il a dû faire face à de nouveaux dés. Il passe désormais
un temps fou à restaurer les mots de passe oubliés. Par la suite, de crainte de les oublier à
nouveau, certains inscrivent leurs mots de passe sur un bout de papier ou dans des chiers
non protégés. Dès lors, la preuve de l’authentication se transforme de « ce que l’on connaît »
à « ce que l’on possède », engendrant un nouveau type de faiblesse : le risque qu’un code
tombe entre des mains malfaisantes. Il s’agit là de l’éternel paradoxe de l’authentication par
voie de mots de passe.

Le point d’accès étant franchi avec succès grâce à un bon contrôle d’authentification,
encore faut-il que l’utilisateur possède les permissions nécessaires pour pouvoir faire ou
obtenir ce qu’il veut. Alors, un deuxième niveau de sécurité s’impose, soit le contrôle des
autorisations. Son rôle est de déterminer les parties spécifiques du système auxquelles
chaque utilisateur peut accéder ainsi que les actions qu’il est autorisé à accomplir. Une
matrice des accès et des permissions est nécessaire pour définir les prérogatives de chaque
utilisateur à l’égard des BD et des programmes du système. Les droits peuvent varier de la
simple lecture (affichage à l’écran) jusqu’à la destruction des données, en passant par l’im-
pression de rapports ainsi que la création et la mise à jour d’information.
L’administrateur du système peut générer une matrice des mesures de contrôle des
permissions et des accès qui présente, en temps réel, l’ensemble des utilisateurs potentiels
avec les différents privilèges qu’ils possèdent pour chaque module et sous-module du
PGI. Ces privilèges peuvent également être attribués sur une base individuelle. La légende
intégrée dans le tableau 6.5 indique les icônes utilisées par JobBOSS pour désigner les
privilèges des utilisateurs.

TABLEAU 6.5 Légende du contrôle des autorisations dans JobBOSS


Légende Description du privilège

1. Interdiction d’accès

2. Droits au niveau du sous-module identiques à ceux au niveau du module parent


1. Pas d’accès
2. Droit du parent 3. Permission d’accès et de lecture
3. Lire
4. Mise à jour 4. Permission d’accès, de lecture et de mise à jour

5. Supprimer
5. Permission d’accès, de lecture, de mise à jour et de suppression
Chapitre 6 Incidence des technologies sur le contrôle interne 131

Prenons l’exemple de Martin Laliberté, un nouvel employé dans l’usine. Les


figures 6.8 et 6.9 donnent un aperçu des permissions qui lui sont attribuées en fonc-
tion de la BD utilisée 2. La figure 6.8 montre que Martin dispose de presque tous les
privilèges dans la BD « Training ». Par contre, il ne peut pas supprimer les données
du module « Analyse de coûts ». L’utilisation de boutons radio (plutôt que de cases à
cocher) dans les colonnes des privilèges signifie que le privilège de suppression com-
prend automatiquement les privilèges de moindre force, tels que la lecture et la mise
à jour.

FIGURE 6.8 Permissions attribuées à un utilisateur à l’égard de la BD « Training »

Lorsqu’il s’agit d’avoir accès aux différents modules de la BD « Production », Martin


est beaucoup plus limité. Plus spécifiquement, la figure 6.9 montre que Martin n’est pas
autorisé à accéder au module « Traitement de commande » de la BD « Production », mais
qu’il peut générer tous les rapports qui s’y rattachent.

Contrôle physique
Il est par ailleurs indispensable de contrôler l’accès aux installations informatiques, notam-
ment à la salle des serveurs. Un intrus techniquement habile aurait besoin d’un seul accès
non contrôlé pour contourner l’ensemble des mesures de sécurité en place.
Les dommages matériels pouvant être causés par le feu, l’infiltration d’eau, la tem-
pérature et l’humidité font également partie des risques atténués par un environnement
physique contrôlé. Par exemple, la salle des serveurs peut être une pièce hermétique
avec son propre système de climatisation indépendant, des systèmes d’extincteurs à gaz
propres, etc.
Le tableau 6.6 (voir la page 133 ) présente certaines techniques et technologies per-
mettant le contrôle physique des lieux.

2. Dans le progiciel JobBOSS, il est possible de pointer différentes BD. Métalika a donc créé une BD de
formation (« Training »), laquelle constitue une copie de la BD « Production ». Une fois par semaine, la
BD « Training » est rafraîchie avec les données de celle nommée « Production ». Les nouveaux employés
sont invités à naviguer dans les différents modules reliés à la BD « Training » afin de se familiariser avec
le processus organisationnel, et ce, sans risque pour les opérations courantes.
132 Partie 2 Applications pratiques

Permissions attribuées au même utilisateur à l’égard


FIGURE 6.9 du sous-module « Traitement de commande »

FALLAIT Y PENSER !
Dans la dernière année, la fonction de l’approvisionnement a connu plusieurs changements
chez Métalika. Quand Gaétan Caron a remplacé l’acheteur secondaire, personne n’a eu le
réexe d’examiner l’effet de cette mutation sur le contrôle des autorisations. Avant d’occu-
per le nouveau poste, Gaétan comptait parmi ses tâches occasionnelles la vérication de la
concordance entre l’inventaire physique et l’inventaire permanent des fournitures. À ce titre,
il pouvait modier le chier maître de l’inventaire permanent si le dénombrement des stocks
faisait ressortir un écart, après en avoir recherché et consigné la cause.
Quand il a commencé à occuper le poste d’acheteur, les privilèges attribués à Gaétan ont dû
être revus pour permettre à celui-ci de générer dans JobBOSS une liste de matériel à com-
mander en fonction des paramètres des chiers maîtres et des quantités en stock. Vladimir
a procédé à l’attribution des nouveaux privilèges à Gaétan, mais il a omis d’enlever ceux
lui permettant de modier l’inventaire permanent. Avant d’être détectée et corrigée, cette
situation représentait une violation aux règles de contrôle interne en matière de séparation
des tâches. Même si, dans le monde réel, les deux fonctions incompatibles étaient séparées,
rien n’empêchait Gaétan de modier le chier maître de l’inventaire permanent de manière à
déclarer des quantités de fournitures en stock comme étant insufsantes et de déclencher
ainsi un achat inutile auprès d’un fournisseur privilégié (aux yeux de Gaétan).
Chapitre 6 Incidence des technologies sur le contrôle interne 133

TABLEAU 6.6 Exemples de mesures de contrôle de l’accès physique


Type de ressources requises Moyens et outils de contrôle

Ressources humaines Agents de sécurité ; sensibilisation et formation du personnel

Technologies Systèmes d’alarme ; caméras de surveillance ; système de vidéosurveillance à distance ; lecteurs


numériques de badges et de cartes d’accès ; scanneurs biométriques ; logiciels de prévention de
vol de matériel informatique mobile ; détecteurs de fumée ; détecteurs d’humidité

Fournitures de sécurité Câbles antivol pour les ordinateurs portables ; utilisation de serrures hautement sécurisées ;
extincteurs d’incendie

Constructions et bâtiments Étanchéité et climatisation des locaux abritant les serveurs et les installations informatiques et
de télécommunications ; structure renforcée ; conception sécuritaire des points d’entrée dans les
bâtiments ainsi que des sorties d’urgence ; nettoyage régulier des locaux et des équipements ; le
cas échéant, établissement de la salle abritant les serveurs aux étages (plutôt qu’au rez-
de-chaussée ou au sous-sol) pour limiter les dégâts en cas d’inondation

Assurance Protection contre les incendies, l’écoulement d’eau, le vol

Politiques et procédures Règles pour le déclenchement du système d’alarme ; désactivation des prises murales du ré-
seau ; règles de sécurité pour l’utilisation des ordinateurs portables ; interdiction de nourriture et
de boissons à proximité des ordinateurs

Contrôle de l’accès logique


Le processus d’affaires de l’entreprise peut l’amener à accorder à ses employés, à ses clients
ou à ses autres partenaires un accès à distance, au moyen d’Internet ou d’un réseau sans
fil, à certaines composantes de son SI. Des intrus peuvent alors profiter des vulnérabilités
des points d’accès pour nuire à l’entreprise, d’où l’importance des mesures de contrôle
de l’accès à distance. Le tableau 6.7 (voir la page suivante) décrit certaines techniques
fréquemment utilisées à cet égard.

Cryptage et signatures numériques


Imaginons un malfaiteur habile qui réussit à contourner les différents niveaux de sécurité
protégeant des renseignements confidentiels pour déboucher sur un texte en caractères
mystérieux complètement indéchiffrables. Maximiser la déception d’un tel malfaiteur,
c’est ce que le cryptage permet de faire. Il s’agit d’une technique qui, afin de protéger des
données confidentielles là où elles sont stockées, utilise un algorithme et une clé pour
transformer un texte original en un texte inintelligible, dit « cryptogramme ». Ainsi, un
intrus qui ne possède pas la clé en question ne comprendra rien à ce dernier. En revanche,
à l’aide de l’algorithme et de la clé qu’il possède, un utilisateur licite pourra pour sa part
reproduire le texte original, et donc lire l’information décryptée. Concrètement, la clé
peut être stockée dans une carte à puce intelligente détenue par l’utilisateur autorisé.
L’étude des différentes méthodes et technologies de cryptage déborde du cadre du
présent ouvrage. La signature électronique représente toutefois une méthode utilisée fré-
quemment par les comptables, soit le cryptage de la signature d’un document officiel tel
qu’un contrat.
Un certificat numérique délivré par une autorité de certification réputée 3 permet
de confirmer l’identité du détenteur de la clé. La force d’authentification de la signature
numérique excède celle d’une signature manuscrite ou même d’une empreinte digitale,
dans la mesure où non seulement elle prouve l’identité du signataire mais, en plus, elle
atteste que le document numérique est bien celui que la partie signataire a signé. En effet,
le cryptage porte aussi bien sur le contenu du document que sur la signature. La même
clé et le même algorithme que le destinataire utilise pour décrypter la signature servent

3. Symantec, Comodo et GoDaddy constituent quelques exemples de fournisseurs de certificats numériques.


134 Partie 2 Applications pratiques

TABLEAU 6.7 Exemples de mesures de contrôle de l’accès logique


Outil de contrôle Explications
de l’accès à distance

Pare-feux Dispositif qui ltre les données susceptibles d’être échangées entre le SI de l’entreprise et
Internet, que ce soit dans un sens ou dans l’autre

Système de prévention Système conçu spécialement pour identier et bloquer les paquets de données entrants qui
des intrusions s’apparentent à une attaque informatique avant que l’activité non autorisée ait lieu

Défense en profondeur Stratégie de sécurité qui consiste à utiliser de multiples pare-feux internes qui ltrent, non pas
l’échange de données entre le SI et Internet, mais celui entre différentes parties internes du SI,
l’objectif étant de s’assurer du respect des politiques internes d’accès à l’information par les
employés de l’entreprise

pour le décryptage du document hôte. Il est donc presque impossible pour le document
officiel de subir une quelconque altération durant le processus de transmission sans que
cette altération soit détectée au moment du décryptage.

Sauvegarde de données et option du nuage virtuel


La sauvegarde de données faite en bonne et due forme demeure la mesure de contrôle
préventif la plus indispensable quand l’enjeu est d’importance. La fréquence à laquelle
les sauvegardes de données doivent être menées dépend de la tolérance aux risques de la
haute direction envers la possibilité de perdre des données. En effet, une sauvegarde totale
faite à une fréquence élevée s’avère très efficace, mais en même temps très coûteuse (moins
efficiente) pour l’entreprise.
Métalika a choisi de procéder à une sauvegarde totale sur une base hebdomadaire et à
une sauvegarde partielle sur une base quotidienne. La sauvegarde partielle consiste à sau-
vegarder uniquement les fichiers qui ont fait l’objet d’un changement depuis la dernière
sauvegarde effectuée. Si une perte de données survient, la restauration permet de récupérer
la version des BD et des programmes de la dernière sauvegarde effectuée. Vladimir sait
que les copies de sauvegarde doivent être archivées dans un endroit présentant un profil de
risque différent de celui de l’endroit où le SI principal de l’entreprise est abrité. Ainsi, Métalika
dépose ses copies de sauvegarde dans un coffret de sécurité à son institution financière.
Actuellement, Métalika explore une nouvelle solution de sauvegarde dans l’intention
d’éventuellement remplacer la sauvegarde physique par un procédé virtuel connu sous
le nom de « nuage virtuel » ou d’« infonuagique » (cloud computing). Cette technologie
permet aux entreprises de louer sur le Web des ressources informatiques (BD, espace
de stockage, serveurs, programmes, services) dont l’emplacement physique est souvent
inconnu de l’entreprise, d’où la métaphore du nuage. Les services d’hébergement et de
partage de logiciels et de matériel informatique4 sont donc facturés par les fournisseurs
en fonction de leur consommation (licence, espace, etc.). C’est ce qui fait la force de cette
solution dans une perspective d’affaires.
Les fournisseurs de services infonuagiques offrent, entre autres, des solutions de sauve-
garde de plus en plus adoptées par les entreprises. Ces solutions procurent une flexibilité et
une agilité notables aux SI, dans la mesure où elles ne requièrent pas d’installations maté-
rielles ni d’espace physique, les services étant facturés à l’utilisation. Tout est stocké dans un
espace virtuel loué qui peut être agrandi ou rétréci en fonction de l’évolution des besoins. Le
prix à payer, au-delà de la facture du fournisseur, c’est la dépendance vis-à-vis de ce dernier
ainsi que la perte de contrôle, du moins partielle, sur le processus de sauvegarde des données.
La réputation du fournisseur est déterminante quand il est question de sécurité de
l’information sauvegardée dans le nuage. Loin d’être une forme de transfert de risque,
le recours aux fournisseurs de services infonuagiques ne fait que changer la nature du

4. Azure de Microsoft, les solutions infonuagiques IBM, Google Cloud Platform et Dropbox Entreprises
de Dropbox inc. en constituent des exemples.
Chapitre 6 Incidence des technologies sur le contrôle interne 135

risque. Le niveau de risque, quant à lui, n’est pas susceptible de s’amoindrir. En effet, la
capacité de l’entreprise à récupérer ses données devient celle du fournisseur à restaurer
la sauvegarde. À la suite de la migration vers le nuage, il est donc important de ne pas
arrêter complètement les mesures de sauvegarde classiques pour les données sensibles. La
question de la confidentialité des données doit aussi faire partie de l’analyse des risques
lorsque l’on travaille avec un sous-traitant pour la sauvegarde des données. Un fournisseur
malintentionné pourrait en effet vendre ou utiliser certaines données à l’insu de l’entre-
prise qui en est propriétaire.

Contrôle de la continuité des activités et plan antisinistre


La disponibilité du SI est une préoccupation quotidienne de toute entreprise. À titre pré-
ventif, l’entreprise doit disposer d’un plan de continuité et d’un plan de reprise après
sinistre, aussi appelé « plan antisinistre ». L’arrêt des TI d’une entreprise peut avoir de graves
conséquences sur ses affaires, allant même parfois jusqu’à menacer sa survie. Certes, la
durée après laquelle un tel arrêt devient dommageable varie d’une industrie à l’autre, mais
aucune entreprise ne peut aujourd’hui supporter une interruption prolongée de ses TI.
Ainsi, un plan antisinistre détermine les menaces pouvant causer la discontinuité des acti-
vités et offre un code de conduite à suivre au cas où lesdites menaces se concrétiseraient.
Quelles sont les solutions d’urgence en place? Comment réduire les dégâts et les
coûts au minimum? Comment réduire la durée de la perturbation? À quelle solution de
remplacement provisoire peut-on avoir recours pour poursuivre les activités? Ce sont là
des questions essentielles auxquelles un plan de reprise après sinistre doit répondre. Des
modèles de plans antisinistre sont disponibles auprès de certains organismes spécialisés
en la matière, tels que le Business Continuity Institute.
Il faut réviser périodiquement le plan antisinistre de l’entreprise pour tenir compte
des changements dans son environnement ou ses processus d’affaires, changements qui
sont susceptibles d’imposer de nouvelles précautions. Les technologies émergentes sont
également à surveiller, car elles peuvent déboucher sur des solutions efficientes en matière
de reprise après sinistre. Là encore, la technologie des nuages en est une. Les services
offerts par les fournisseurs de cette technologie comportent trois modèles principaux, à
savoir le logiciel-service (software as a service ou SaaS), la plateforme-service (platform as a
service ou PaaS) et l’infrastructure-service (infrastructure as a service ou IaaS). Le modèle
SaaS est le niveau de service le plus élémentaire. Il permet à l’utilisateur un accès sur
demande à une application au moyen d’un navigateur Internet. C’est le cas par exemple
de la suite collaborative de Google. Quant au modèle PaaS, il s’adresse aux informati-
ciens et met à leur disposition un système d’exploitation et d’autres éléments qui leur
permettent de développer leurs propres logiciels. C’est ainsi que App Engine de Google
et Elastic Beanstalk d’Amazon, à titre d’exemples, offrent la possibilité de développer des
applications Web et de les héberger dans un nuage. Enfin, le modèle IaaS, qui corres-
pond au niveau de services infonuagiques le plus sophistiqué, met à la disposition des
clients toute une infrastructure, notamment des serveurs, de l’espace de stockage ainsi
que des ressources réseaux et matérielles. Compute Engine de Google et Amazon Web
Services en sont des exemples.

Autres activités de contrôle préventif


Pour compléter la section sur le contrôle préventif, le tableau 6.8 (voir la page suivante) pré-
sente d’autres activités de contrôle préventif couramment utilisées par les entreprises. Il s’agit
de mesures qui ne se trouvent pas dans les catégories précédentes de la section en cours (6.5.1).

6.5.2 Contrôle de détection


Quelle que soit leur efficacité, les activités de contrôle préventif n’arrivent jamais à empê-
cher 100 % des incidents potentiels de se produire et leurs coûts peuvent être supérieurs
aux risques anticipés, d’où la nécessité de les compléter par des mesures de contrôle de
détection. Ces dernières, quant à elles, interviennent postérieurement à la manifestation
136 Partie 2 Applications pratiques

TABLEAU 6.8 Autres activités courantes de contrôle préventif


Activité de contrôle préventif Mode de fonctionnement

Installation et mise à jour Des logiciels scannent les chiers exécutables dans le but de détecter les codes malveillants
d’antivirus ables en comparant chaque code analysé avec ceux contenus dans une BD de codes de virus
connus régulièrement mise à jour.

Solution de protection contre Une solution DLP est un système combinant politiques, technologies et logiciels dont l’objectif
les pertes de données (data est de prévenir la fuite de données. Il s’agit d’un niveau additionnel de sécurisation de l’infor-
loss protection ou DLP) pour mation. Le système exige la dénition de l’identité de chaque employé dans l’entreprise, la
la protection contre la fuite dénition des droits qui lui sont attribués et enn la classication des données selon leur degré
de données de condentialité.

Contrôle des téléchargements Cette méthode consiste à limiter les droits permettant le téléchargement de logiciels, ainsi qu’à
interdire le téléchargement de ceux qui proviennent de sources inconnues ou qui ne sont pas
certiés comme exempts de virus.

Contrôle des changements Des mesures de contrôle assurent que toutes les modications des programmes informatiques
de programmes soient autorisées, consignées, testées et correctement implantées.

des anomalies. Elles ont pour rôle d’éviter que celles-ci passent inaperçues. Il va sans dire
que plusieurs activités de contrôle citées à la section précédente ont à la fois une fonc-
tion de détection et de prévention. Le tableau 6.9 contient des exemples d’activités de
contrôle de détection.

TABLEAU 6.9 Exemples d’activités de contrôle de détection


Activité de contrôle de détection Commentaires

Mise en place d’une plateforme Il est à noter que la loi SOX prévoit même des mesures de
de communication permettant protection en faveur des employés qui déclarent anonyme-
aux employés la dénonciation ment tout soupçon raisonnable de fraude ou de mauvaise
anonyme de la fraude gestion.

Implantation de logiciels Les logiciels Bharosa d’Oracle, Patriot Ofcer, Arbutus,


de détection de la fraude Fraud.net, Guardian et ESurksha constituent des exemples
informatique de solutions possibles.

Génération de pistes d’audit Les pistes d’audit permettent de retracer le traitement de


chaque transaction à travers le système, depuis la saisie au
journal jusqu’à sa répercussion dans les états nanciers, et
vice-versa.

Utilisation de systèmes de Les systèmes IDS analysent les accès qui ont été autorisés
détection d’intrusion (intrusion par le système pour détecter des indices d’une éventuelle in-
detection system ou IDS) trusion. La détection se fait sur la base de l’analyse du prol
d’utilisateur. Les prols qui se distancent d’un prol normal
sont signalés aux ns d’investigation.

6.5.3 Contrôle correctif


Comme leur nom l’indique, les activités de contrôle correctif sont mises en œuvre à la
suite de la découverte d’anomalies. Elles visent, primo, à corriger celles-ci; et secundo, à
renforcer les mesures de contrôle préventif à la lumière de l’apprentissage acquis en consé-
quence des incidents survenus. Une intervention humaine sur le SI est souvent inévitable
pour exécuter ce type de contrôle.
La gestion des correctifs fait partie de ces activités de contrôle. Un correctif (patch) est
un code développé pour corriger une vulnérabilité détectée dans un programme donné.
Les sociétés qui développent les logiciels procèdent sans cesse à des tests de vulnérabilité
de leurs produits et envoient de temps en temps des codes correctifs à leurs clients. Une
Chapitre 6 Incidence des technologies sur le contrôle interne 137

entreprise qui utilise des logiciels acquis auprès de plusieurs fournisseurs (JobBOSS, suite
Microsoft, etc.) risque d’être envahie par un nombre important de correctifs difficiles à
gérer. Or, il existe des logiciels d’aide à la gestion des correctifs qui peuvent être utilisés
pour faciliter cette tâche.
Enfin, parmi les mesures correctives figure la désignation d’une équipe d’alerte et de
réponse aux incidents informatiques. L’équipe est normalement constituée des personnes
les plus qualifiées en matière de sécurité informatique, mais aussi de certains membres
de la direction de l’entreprise. L’implication de ces derniers se justifie par la nature et la
portée des décisions qui peuvent être prises par l’équipe en situation de crise, décisions
pouvant aller jusqu’à décréter la suspension temporaire des activités.

6.6 Information et communication


La haute direction de Métalika n’épargne aucun effort pour faire connaître, principa-
lement au personnel de la comptabilité, l’importance qu’elle accorde à l’évaluation des
risques et à l’application des mesures de contrôle des TI. Préalablement à la mise en œuvre
par Métalika de son PGI, JobBOSS, une séance de formation de trois jours destinée au
personnel de la comptabilité a été organisée. En examinant le rapport d’évaluation de la
formation en question, Isabelle, la directrice administrative et du contrôle financier de
l’époque, a constaté que le personnel formé avait éprouvé, lors de la troisième journée, un
manifeste manque d’intérêt. Après avoir demandé des explications à Carmen à ce sujet,
cette dernière a affirmé que la troisième journée portait sur le paramétrage du module
« Administration du système » et qu’à part les sous-modules purement comptables, le
contenu n’était pas pertinent pour ses collègues et elle, dans la mesure où il traitait des
aspects émanant du travail des informaticiens, et non de celui des comptables.
Ainsi, Isabelle a dû sensibiliser le personnel de la comptabilité à la nécessité de bien
comprendre le fonctionnement de JobBOSS, y compris des fonctionnalités indirectement
liées à la comptabilité. Entre autres, elle l’a mis en garde contre le danger de laisser les
informaticiens gérer eux-mêmes les risques et les activités de contrôle des TI, ne serait-ce
qu’en raison de leur manque d’indépendance. Sara et Carmen ont alors dû reprendre la
troisième journée de formation.
Par ailleurs, l’une des forces de JobBOSS en termes d’information et de communi-
cation réside dans le fait qu’il permet de procurer ce qu’on appelle une « piste d’audit ».
En effet, il est possible de suivre une transaction (par exemple, une vente) depuis la sou-
mission jusqu’à l’encaissement de la vente et, finalement, à sa présentation dans les états
financiers. Aussi, tout montant qui figure dans les états financiers peut être reconstitué
rétroactivement à travers le système jusqu’aux opérations comptables originales qui lui
ont donné naissance. La piste d’audit fournit non seulement les documents et les mon-
tants, mais elle indique également, dans le cas de certains modules, les utilisateurs qui
sont intervenus dans le traitement des données, que ce soit aux fins d’enregistrement,
d’approbation ou de contrôle.

6.7 Pilotage
Chez Métalika, de nombreux mécanismes sont en place pour veiller au bon fonctionne-
ment des TI. Ces activités de pilotage sont exécutées à des fréquences diverses en fonc-
tion de critères comme l’importance du contrôle en place, sa vulnérabilité, son niveau
d’efficacité observé lors des pilotages précédents et le rapport coûts-avantages attribuable
à l’activité de pilotage.
Tous les trimestres, Vladimir révise et met à jour la matrice des permissions d’ac-
cès. Chaque semaine, il génère et examine une requête des droits par utilisateurs et par
modules de JobBOSS. Son travail est supervisé par Fernande, puisque c’est elle qui a la res-
ponsabilité d’approuver les accès. C’est une façon de s’assurer que Vladimir n’a pas octroyé
des accès non autorisés à la suite de pressions pouvant provenir de certains employés.
138 Partie 2 Applications pratiques

De plus, Vladimir utilise WebLog Expert, un logiciel spécialisé qui l’aide à filtrer
et à examiner ces journaux d’une manière efficiente. Ces analyses permettent parfois de
détecter des anomalies, ou tout au moins de soulever des interrogations au sujet de tran-
sactions inhabituelles.
De temps à autre, certaines analyses sont exécutées sur d’autres applications pour
s’assurer que les directives de l’entreprise sont suivies. Prenons l’exemple de la visite de cer-
tains sites Internet (activités de loisirs, adresse courriel personnelle, sites pornographiques,
etc.) qui sont interdits dans la politique de Métalika. L’une de ces analyses a permis d’ob-
tenir des éléments de preuve irréfutables contre un employé soupçonné de visiter des sites
pornographiques durant les heures de travail. Preuves à l’appui, l’individu a été congédié.
Deux fois l’an, Vladimir doit mettre à jour le fichier de suivi des données impor-
tantes relatives aux différents logiciels utilisés par l’entreprise, que l’on pense aux dates
de renouvellement des licences, à l’expiration des garanties du matériel informatique ou
à la date limite où un fournisseur cesse de procurer du soutien technique pour certaines
applications. À la suite de cette analyse, Vladimir doit produire un résumé indiquant les
échéances au cours de la prochaine année ainsi que les actions qu’il suggère d’entreprendre
pour réduire les risques au minimum.
Enfin, de manière à s’assurer de la qualité du travail de Vladimir, Métalika mène
occasionnellement des missions d’audit spéciales sur la sécurité informatique. Les audi-
teurs externes des TI procèdent alors à la vérification des activités de contrôle informa-
tiques pour s’assurer de leur efficacité. De plus, ils révisent les procédures de sécurité, les
plans de sauvegarde, les contrats de garantie et d’entretien des équipements, et s’assurent
de leur respect. Finalement, ils évaluent les risques associés à l’utilisation de versions
« antérieures » des applications critiques (système d’exploitation, JobBOSS, Quaero, etc.).
CHAPITRE 7 Cycle des achats,
créditeurs et
décaissements

L
e cycle des achats, créditeurs et décaissements est fortement
influencé par la taille de l’entreprise, le secteur d’activité
(entreprise manufacturière, commerce de détail, entreprise
de service), la provenance des achats (coût de transport, règles
d’importation, conversion de devise), les options offertes par le
progiciel de gestion intégré (PGI), etc. Ainsi, dans une entreprise
de service, les achats se limitent souvent aux services publics
(électricité, télécommunications, etc.) et à quelques fournitures,
puisque les salaires représentent la plus grande charge. Toutefois,
dans une entreprise de fabrication, les approvisionnements en
matières premières peuvent représenter un volume important de
transactions, opérations parfois complexes qui sont grandement
facilitées par un PGI.
Qu’entend-on par achats ? Il peut s’agir d’achats de biens ser-
vant à la fabrication (matières premières et fournitures), de biens
destinés à la revente (produits finis), d’immobilisations (entre
autres de machines ou de mobilier), de services (sous-traitant
nécessaire à la fabrication d’un produit, honoraires professionnels,
soutien informatique, etc.), de charges (électricité, taxes muni-
cipales, etc.). Aussi, un achat peut se faire directement auprès
d’un fournisseur ou faire l’objet d’un remboursement de notes
de frais, lorsque l’achat a été fait par un employé. Enfin, les prix
et les quantités peuvent être négociés à chaque transaction ou
faire l’objet d’un contrat d’approvisionnement à moyen ou à long
terme. Dans ce cas, le prix convenu peut être fonction du volume
d’approvisionnement annuel.
140 Partie 2 Applications pratiques

7.1 Environnement de contrôle

Personnel de Métalika présent L’environnement de contrôle est associé à la culture d’entreprise. Le


dans ce chapitre comportement tout autant que le discours de la direction contri-
buent au climat de contrôle qui règne dans l’entreprise. Aussi, si
Nom Fonction la direction valorise certaines pratiques en vue d’obtenir un niveau
Gaétan Caron Acheteur de contrôle suffisant sur ses opérations, comment s’assure-t-elle du
Jeremy Iron Représentant commercial
respect de ces pratiques ?
Pour commencer, il est faux de croire que la culture d’entre-
Miguel Lopez Représentant commercial
prise est homogène d’un service à l’autre. Les qualités individuelles
Solange Prévost Directrice générale (intégrité, éthique, compétence) des employés qui interagissent
Malika Sahir Acheteuse dans un cycle influencent la qualité des activités de contrôle de
Fernande Séguin Directrice administrative et
ce cycle. Ainsi, avant que l’incompétence ou la négligence d’un
du contrôle nancier acheteur ne soit détectée et communiquée à la haute direction, il
Charles St-Onge Directeur des ventes
peut s’écouler suffisamment de temps pour causer des dommages
à l’entreprise.
Carmen Tremblay Technicienne comptable
Ensuite, y a-t-il concordance entre l’importance accordée à
Sara Lee Van-Thuy Technicienne comptable la séparation des tâches du cycle (création d’une fiche fournis-
seur, achat, réception, comptabilisation, paiement, rapproche-
ment bancaire) et la véritable séparation de celles-ci ? Les PGI
permettent généralement de limiter les accès aux différents modules, mais certains
employés ont toujours une bonne raison pour exiger plus d’accès, ne serait-ce que
pour une exception, une erreur de la part d’un confrère de travail ou même parce
qu’ils sont mal organisés et veulent pouvoir le camoufler. Devant tant d’insistance, la
tentation est forte de céder à leur demande. Il y a les employés qui changent de poste
sans que leurs droits ne soient changés et d’autres qui demandent à leurs collègues de
faire ce qu’eux ne peuvent pas faire… tout en sachant que cela ne va pas dans le sens
de la procédure. La structure des tâches incompatibles mise en place s’en trouve alors
considérablement diluée.
Enfin, si la direction accorde l’importance nécessaire à l’uniformisation des données
et des processus, en fait-elle la diffusion ? Lorsqu’elle le fait, s’assure-t-elle que les procé-
dures soient respectées ? Et si ce n’est pas le cas, réprimande-t-elle les fautifs ?
Avec l’arrivée de Solange Prévost, on assiste à un changement de culture en ce qui a
trait au cycle des achats. Pour que le PGI qui a été mis en place afin de soutenir les opéra-
tions puisse jouer son rôle efficacement, il a fallu standardiser les façons de faire, surtout
concernant la saisie des données. Aussi, la direction exige maintenant que tous les achats
non négociés fassent l’objet d’au moins trois demandes de prix. De plus, la direction
impose également que tous les achats, à l’exception des services publics, fassent l’objet
d’un bon d’achat dont le numéro est généré séquentiellement.

7.2 Objectifs, risques et activités de contrôle


Les risques liés aux différents objectifs et les activités de contrôle associées au cycle des
achats, créditeurs et décaissements sont présentés dans le tableau 7.1. Le lecteur pourra
ainsi décortiquer chacun des éléments qui entrent en jeu dans ce cycle comptable. Ce
tableau est donné à titre d’exemple pour illustrer une partie de la situation qui a cours
chez Métalika. Il ne représente pas un système complet et idéal de contrôle interne,
mais simplement le recensement d’une partie des objectifs, des risques et des activités
de contrôle du cycle des achats, créditeurs et décaissements de Métalika. Pour mettre à
contribution les notions apprises jusqu’à présent et pour développer ses compétences,
le lecteur est invité à remplir le tableau en y ajoutant des objectifs, des risques ou des
Tableau activités de contrôle.
Chapitre 7 Cycle des achats, créditeurs et décaissements 141

TABLEAU 7.1 Objectifs, risques et activités de contrôle associés au cycle


des achats, créditeurs et décaissements
Objectif selon le cube COSO Risque Activité de contrôle
Numéro Description Numéro Description Numéro Description
OC-01 Respecter la réglementation R-05 Se voir refuser une réclamation AC-10 Valider les numéros de taxes
sur les taxes de vente d’intrant parce que le fournis- de vente auprès des ministères
seur n’est pas admissible lors de la création du fournis-
seur (chier maître)
OC-02 Respecter les lois scales R-06 Payer des intérêts et des péna- AC-08 Mettre en place un formulaire
en matière de déduction des lités pour des dépenses dont le de remboursement de frais de
dépenses traitement scal diffère du trai- représentation (feuille Excel
tement comptable et dont on standardisée) contenant une
n’a pas identié la charge colonne qui tient compte des
règles scales
OC-03 Respecter les lois scales en R-07 Payer des pénalités pour ne AC-09 Avoir un code de grand livre
matière de formation profes- pas avoir respecté la loi sur les spécique pour les dépenses
sionnelle dépenses minimales de forma- associées à la formation dans
tion de 1 % du coût total de la le formulaire de note de frais
main-d’œuvre
OC-04 Payer les instances gouverne- R-08 Payer des intérêts ou des AC-11 Utiliser les fonctions de rappel
mentales à temps (acomptes pénalités pour des retards de d’un agenda électronique pour
provisionnels) paiement programmer les dates des
versements
OC-05 Respecter les lois environne- R-24 Verser des pénalités pour un AC-22 Sensibiliser le personnel à un
mentales comportement inapproprié comportement responsable
OC-06 Respecter les lois environne- R-20 Payer des pénalités pour AC-14 Former le personnel
mentales relatives aux matières décontaminer un site
dangereuses
OC-06 Respecter les lois environne- R-24 Verser des pénalités pour un AC-14 Former le personnel
mentales relatives aux matières comportement inapproprié
dangereuses
OIF-01 Avoir une liste able des R-03 Avoir une liste des comptes AC-04 Comparer la liste chronolo-
comptes fournisseurs fournisseurs qui contient des gique des comptes fournis-
erreurs seurs avec l’auxiliaire
OIF-01 Avoir une liste able des R-04 Sous-évaluer les comptes four- AC-05 Comparer l’auxiliaire des
comptes fournisseurs nisseurs au bilan comptes fournisseurs avec
les états de compte des
fournisseurs
OIF-01 Avoir une liste able des R-10 Payer le mauvais montant ou le AC-16 Apparier les factures à payer
comptes fournisseurs mauvais fournisseur avec le chèque du fournisseur
correspondant
OIF-02 S’assurer que les créditeurs R-04 Sous-évaluer les comptes four- AC-06 Produire une liste des bons de
tiennent compte de toutes nisseurs au bilan réception non appariés à une
les marchandises reçues facture et faire le suivi
(exhaustivité des comptes
fournisseurs)
OIF-02 S’assurer que les créditeurs R-04 Sous-évaluer les comptes four- AC-07 Analyser les marchandises re-
tiennent compte de toutes nisseurs au bilan çues lors des derniers jours du
les marchandises reçues mois et s’assurer qu’il y a un
(exhaustivité des comptes créditeur correspondant
fournisseurs)
OIF-03 S’assurer d’une bonne comp- R-14 Enregistrer la charge dans le AC-17 Attribuer automatiquement des
tabilisation des charges mauvais compte de grand livre comptes de grand livre aux
(compte de grand livre) produits et services ou aux
fournisseurs
142 Partie 2 Applications pratiques

TABLEAU 7.1 Objectifs, risques et activités de contrôle associés au cycle


des achats, créditeurs et décaissements ( )
Objectif selon le cube COSO Risque Activité de contrôle
Numéro Description Numéro Description Numéro Description
OIF-03 S’assurer d’une bonne comp- R-14 Enregistrer une charge dans le AC-19 Faire codier par le directeur
tabilisation des charges mauvais compte de grand livre les factures non récurrentes ou
(compte de grand livre) inhabituelles
OO-01 S’assurer d’obtenir le meilleur R-01 Payer trop cher pour un produit AC-01 Demander trois soumissions
prix possible pour une qualité lors de l’achat d’un produit
donnée
OO-01 S’assurer d’obtenir le meilleur R-01 Payer trop cher pour un produit AC-13 Négocier des ententes de prix
prix possible pour une qualité à long terme
donnée
OO-02 Conserver une bonne relation R-02 Payer les fournisseurs en retard AC-02 Contrôler la création des -
avec les fournisseurs tout en et altérer la relation (livraison chiers maîtres des fournisseurs
protant des avantages offerts retardée) (délais de paiement, adresse,
numéros de taxes, etc.)
OO-02 Conserver une bonne relation R-02 Payer les fournisseurs en retard AC-03 Préparer la liste des paiements
avec les fournisseurs tout en et altérer la relation (livraison dus une fois par semaine et la
protant des avantages offerts retardée) faire autoriser par le contrôleur
OO-02 Conserver une bonne relation R-13 Payer les fournisseurs trop ra- AC-03 Préparer la liste des paiements
avec les fournisseurs tout en pidement et réduire les liquidi- dus une fois par semaine et la
protant des avantages offerts tés de l’entreprise inutilement faire autoriser par le contrôleur
OO-03 Obtenir la bonne marchandise R-09 Recevoir la marchandise en AC-15 Consulter régulièrement le
en quantité sufsante et à retard rapport des commandes en
temps attente de réception
OO-03 Obtenir la bonne marchandise R-11 Comptabiliser une quantité qui AC-20 Comparer les quantités reçues
en quantité sufsante et à ne correspond pas au bon de avec le bon de livraison, in-
temps livraison du fournisseur diquer la quantité réellement
reçue, dater et parapher le bon
de livraison
OO-03 Obtenir la bonne marchandise R-12 Recevoir une quantité qui ne AC-15 Consulter régulièrement le
en quantité sufsante et à correspond pas au bon de rapport des commandes en
temps commande attente de réception
OO-04 Gérer efcacement les charges R-15 Subir un détournement AC-12 Faire signer les chèques par
et les décaissements de fonds au bénéce d’un deux personnes différentes
employé
OO-05 Réduire le temps de traitement R-16 Laisser traîner les cas AC-18 Mettre en place des instruc-
du cycle problèmes tions de travail et former le
personnel à cet effet
OO-06 Réduire la consommation de R-25 Utiliser du papier inutilement AC-18 Mettre en place des instruc-
papier tions de travail et former le
personnel à cet effet
OO-07 Payer seulement pour les pro- R-27 Payer pour des produits ou des AC-21 Apparier les factures avec les
duits ou services reçus services non reçus bons de réception

En guise de réflexion de départ, voici quelques questions que la direction de Métalika


s’est posées lorsqu’est venu le temps d’évaluer les risques et de mettre en place les activités
de contrôle pour pallier les risques identifiés :
• Est-ce que tous les besoins ont été identifiés ?
• Y a-t-il de la marchandise en retard ?
• La marchandise est-elle commandée à temps ?
• S’est-on assuré d’avoir payé le coût le plus bas pour ces achats ?
• Existe-t-il de la collusion entre les acheteurs et les fournisseurs ?
Chapitre 7 Cycle des achats, créditeurs et décaissements 143

• Le coût inscrit sur le bon d’achat est-il le bon ? Si ce n’est pas le cas, le coût de
fabrication pourrait être erroné.
• Un fournisseur a-t-il été payé sans que la marchandise ou le service ait été reçu
ou a-t-il été payé deux fois ?
• Les frais de transport sont-ils bien justifiés en fonction des ententes avec les
fournisseurs ?
• Est-ce que la politique d’autorisation des dépenses et de signature des chèques a
été respectée ?
• Les règles concernant la réclamation des intrants sont-elles respectées ?
• La comptabilisation des charges non déductibles du revenu imposable a-t-elle été
clairement effectuée ?
• Les charges sont-elles comptabilisées dans les bons comptes de grand livre ?

7.3 Processus opérationnel


Dans la présente section, nous décrivons le processus opérationnel du cycle des achats,
créditeurs et décaissements. Il faut préalablement avoir lu le cas pour bien comprendre
ce processus. L’étudiant doit lire cette section en ayant en tête les objectifs, les risques
et les activités de contrôle du tableau du chapitre. Tout d’abord, la figure 7.1 (voir la
page suivante) présente le graphique d’acheminement du cycle des achats, créditeurs et
décaissements de Métalika. Les colonnes de la figure présentent les principaux interve-
nants dans ce cycle. En outre, les clients internes ont des besoins à combler, le service
des achats commande les produits, tandis que les fournisseurs expédient le produit, et
ainsi de suite. Plus il y a d’intervenants, plus le processus risque d’être complexe, et plus
il devient nécessaire de mettre des activités de contrôle en place pour assurer la bonne
marche des opérations.
Tel que mentionné au chapitre précédent, dans un PGI, il existe un ensemble de
fichiers maîtres qui permettent de traiter les données quotidiennement. Dans le cas du
cycle des achats, créditeurs et décaissements, on trouve entre autres le fichier maître des
fournisseurs, celui des produits et celui des services.
Comme le montre la figure 7.2 (voir la page 146), en plus des renseignements de base
(termes de paiement, devise, statut, etc.), il y a sept onglets supplémentaires à remplir ou
à maintenir en ce qui a trait aux dossiers d’un fournisseur. Si au départ ce ne sont pas tous
les champs qui semblent pertinents, il est important de s’assurer que tous les employés
qui ont accès au fichier maître soient au fait des champs qu’il est essentiel de remplir.
Ainsi, l’adresse qui figure dans l’écran général a en fait été saisie dans le deuxième onglet.
Ce dernier comprend toutes les adresses possibles du fournisseur (siège social, entrepôts,
etc.) et, selon le choix indiqué dans l’écran principal, une de ces adresses est sélectionnée.
Des erreurs dans le fichier maître des fournisseurs pourraient causer des retards de livrai-
son et dans le processus de fabrication. Il faut alors peut-être mettre en place une mesure
de contrôle de validation des données qui sont saisies dans les principaux champs ainsi
qu’une autre pour les modifications ultérieures.
Cela peut paraître simple, mais parfois même un champ aussi banal que celui du
statut du fournisseur (actif, inactif ) peut faire l’objet d’une mauvaise gestion et avoir des
répercussions importantes pour la suite des opérations.
Enfin, selon le type d’accès dont un employé peut bénéficier, il lui est possible de
lire, de créer, de modifier ou de supprimer un fournisseur. Comme nous l’avons vu au
chapitre précédent, portant sur la technologie, les autorisations données à un employé
contribuent à mettre en place une bonne séparation des fonctions incompatibles. Par
exemple, les acheteurs Gaétan Caron et Malika Sahir ne peuvent pas créer un fournisseur,
mais ils peuvent consulter la fiche de chaque fournisseur (lecture seule). Il va sans dire que
144 Partie 2 Applications pratiques

FIGURE 7.1 Cycle des achats, créditeurs et décaissements de Métalika


Chapitre 7 Cycle des achats, créditeurs et décaissements 145
146 Partie 2 Applications pratiques

FIGURE 7.2 Création d’une fiche fournisseur1

le progiciel ne doit pas permettre la suppression d’un fournisseur pour lequel il existe des
données (réception de matériel, factures, chèques, etc.). 1
À l’onglet « Comptabilité » du sous-module « Fournisseur », on peut assigner un code
de taxe ainsi qu’un compte de grand livre par défaut (ils doivent cependant avoir été créés
au préalable dans les sous-modules « Préférences/Taxes » et « Grand livre »2). Il ne faut pas
perdre de vue toutefois qu’il demeure toujours possible de changer ces codes au moment
de la saisie d’une facture, car il s’agit de codes « par défaut ». L’assignation par défaut d’un
compte de grand livre à un fournisseur rend la comptabilisation plus systématique, ce qui
permet d’éviter les erreurs liées aux différences d’interprétations lors de la saisie des fac-
tures. Par exemple, un commis pourrait décider de comptabiliser la facture de réparation
d’un ordinateur dans le compte « Fournitures de bureau et papeterie », tandis qu’un autre
commis pourrait le mettre dans le compte « Frais de bureau ». Cela aurait pour effet de
fausser les comparaisons mensuelles ainsi que les rapprochements budgétaires.
Sara Lee Van-Thuy, commis aux comptes fournisseurs, crée les fiches fournisseurs
lorsqu’elle reçoit une demande à cet effet. Pour que cette demande soit valide, Gaétan
Caron ou Malika Sahir doivent remplir tous les champs3 du formulaire (disponible dans
l’intranet de la compagnie) et faire approuver celui-ci par le directeur approprié. La sépa-
ration des tâches entre la création « informatique » d’une fiche fournisseur et son autori-
sation permet de limiter la création de faux fournisseurs.
Outre la gestion des fichiers maîtres, les transactions qui touchent le cycle des
achats, créditeurs et décaissements se trouvent principalement dans deux modules, soit
« Contrôle du matériel » et « Comptes payables4 » (voir la gure 7.3). Les mêmes personnes
ne devraient pas avoir accès à ces deux modules. D’ailleurs, les acheteurs ne devraient pas
avoir accès à tous les sous-modules du « Contrôle du matériel ». En effet, pour accroître

1. Le processus de création d’un produit ressemble en plusieurs points à celui de la création d’un fournisseur.
2. Comme le présente le cas Métalika, à la page 102.
3. Il s’agit des champs qui doivent obligatoirement être saisis dans le PGI. Outre les coordonnées du
fournisseur et celles de la personne-ressource, on y inscrit les types de produits achetés, les termes et les
méthodes de paiement (numéro d’institution bancaire), le transporteur, etc.
4. L’utilisation du terme « comptes payables » représente un anglicisme. Il s’avère généralement préférable
d’employer « comptes fournisseurs ».
Chapitre 7 Cycle des achats, créditeurs et décaissements 147

FIGURE 7.3 Modules intervenant dans le processus

FALLAIT Y PENSER !
Dans le cadre d’un projet visant à limiter le nombre de fournisseurs, le directeur de l’améliora-
tion continue donne à un employé sous sa supervision (qui n’a par ailleurs aucune formation
en comptabilité et n’effectue aucune transaction dans le module) un accès lui permettant de
modier le statut des fournisseurs. Il lui demande ensuite de mettre « Inactif » tous les four-
nisseurs pour lesquels aucune transaction n’a été enregistrée depuis six mois. Résultat : tous
les fournisseurs pour lesquels des dépenses ne sont engagées qu’une fois par an sont ainsi
désactivés, qu’il s’agisse de l’auditeur externe, de la municipalité, de l’entreprise de déneige-
ment, etc. Imaginez la surprise de Sara Lee lorsqu’elle vient pour enregistrer des transactions !

les mesures de contrôle, il faut éviter qu’un acheteur puisse réceptionner du matériel. Ce
sont les commis à la réception qui exécutent principalement cette tâche.

7.3.1 Demande d’achat


Selon le type de biens ou de services requis, l’étape de la demande d’achat peut être plus
ou moins structurée. En effet, l’achat d’immobilisations ne s’effectue probablement pas
selon le même processus que celui de matières premières. De même, les besoins en services
professionnels (avocat, architecte, etc.) ne font pas l’objet d’une demande d’approvision-
nement au même titre que les services d’un sous-traitant.

Matières premières
À l’ère des PGI, la demande d’achat est souvent automatisée en ce qui concerne les matières
premières. Cela est encore plus vrai lorsque l’entreprise ne fabrique que sur commande et
qu’elle ne tient en stock que ce qui est nécessaire à sa production. Chez Métalika, le PGI
génère une liste de « matériel à commander » en fonction des commandes à livrer, du délai de
fabrication, du délai d’approvisionnement et de certaines autres variables (voir la gure 7.4
à la page suivante).
Ce rapport contient beaucoup de données que l’on se doit de bien comprendre si
l’on veut être en mesure de s’en servir intelligemment, c’est-à-dire en étant à l’affût des
« incohérences », donc conscient des risques d’erreur. Comme l’illustre le cube COSO (Com-
mittee of Sponsoring Organizations of the Treadway Commission), les activités de contrôle
relatives au volet « Information et communication », notamment l’exactitude des données,
représentent une condition essentielle au bon fonctionnement du système de contrôle interne.
148 Partie 2 Applications pratiques

FIGURE 7.4 Rapport généré pour déterminer le matériel à commander

Dans la figure 7.4, les données se limitent à un seul fournisseur (en haut, à droite
= ATSSTE). Ensuite, il y a au moins deux produits dont la quantité n’est pas suffi-
sante pour répondre aux demandes de matières (Mat-Req) dont la date planifiée est le
24 novembre. Malheureusement, la date limite pour commander est aussi le 24 novembre
(LTO = 24 novembre), et ce, parce que le nombre de jours d’attente est de zéro pour ces
produits (ce qui est sûrement irréaliste !). Finalement, les produits qui ont fait l’objet
d’un bon d’achat (PO-Due) dont la marchandise n’a pas encore été reçue viennent aug-
menter l’inventaire (en main), mais il faut s’assurer régulièrement que la date de récep-
tion prévue (date planifiée) soit respectée par le fournisseur. On constate donc qu’il faut
ajouter des activités de contrôle manuelles à celles automatisées déjà en place. Il serait
étonnant que tous les paramètres préprogrammés (délai de livraison, quantités minimums
à commander, etc.) soient toujours respectés. Les acheteurs ont donc pour consigne de
s’assurer que les données générées par le PGI sont vraisemblables avant d’accepter le bon
d’achat proposé par le système.
Le rapport présenté dans la figure 7.4 ne contient qu’une seule page mais, lorsque
Malika le génère en réalité, il en compte une centaine. Les données du rapport pro-
viennent de calculs qui font appel à plusieurs paramètres interagissant simultanément,
comme l’illustre l’exemple 7.1.
Chapitre 7 Cycle des achats, créditeurs et décaissements 149

EXEMPLE 7.1 Exemple des calculs en jeu

Métalika a reçu une commande de l’entreprise de peinture. Le directeur d’usine exige que les
Yfaitcho située au nord de l’Ontario. Ce client veut matières premières se trouvent en stock au moins
150 convecteurs pour le 15 mai 20X5. Aussitôt que la 10 jours avant le début prévu de la production (si cette
commande du client sera saisie, un rapport permettra information ne gure pas sur le rapport, la date pla-
de déterminer la date limite pour commander les niée tient toutefois compte de ce paramètre). Pour
matières premières. Le tableau 7.2 présente dans les produire les convecteurs commandés, il faudra
grandes lignes les paramètres qui serviront au calcul. 150 plaques d’acier du fournisseur X, ainsi que
Il faut prévoir 2 jours (jours d’attente) pour la livraison. 600 rivets et 300 pentures du fournisseur Y. En tenant
Le délai moyen de fabrication est de 45 jours, ce qui pour acquis qu’il n’y a aucun de ces produits en stock,
inclut 10 jours de sous-traitance pour les traitements JobBOSS compilera ce qui suit :

TABLEAU 7.2 Calcul de la date limite pour commander


Paramètres Jours Date limite
Date de livraison 15 mai 20X5
Délai de livraison 2 13 mai 20X5
Délai de fabrication 45 29 mars 20X5
Délai de sécurité 10 19 mars 20X5
Délai d’approvisionnement
Qté Description Fournisseur
150 Plaques X 90 19 décembre 20X4
600 Rivets Y 10 9 mars 20X5
300 Pentures Y 30 17 février 20X5

Les trois produits figureront sur la prochaine liste probablement la date de début de la fabrication et,
du matériel à commander. L’acheteur devra ensuite par le fait même, la date limite pour commander les
regrouper les achats par semaine et par fournis- matières premières. Ainsi, tout changement de pla-
seur pour tenter de réduire les coûts, entre autres nification (ordre de production) modifiera les dates
les frais de transport. La liste est tributaire des limites pour commander le matériel. L’acheteur doit
commandes clients, mais également de données pro- se tenir à l’affût de ces variations afin de s’assurer
venant des fichiers maîtres auxquelles s’ajoutent que les matières seront là à temps. Fernande Séguin
toutes les données reliées à la fabrication. En effet, devra ainsi mettre en place des mesures de contrôle
le délai de fabrication de 150 convecteurs est de supplémentaires pour s’assurer de la réception de la
45 jours si toutes les opérations sont exécutées en marchandise au moment opportun. Elle pourrait par
continu, mais il est fort probable que ce délai ne exemple créer une alerte informatique pour aviser
puisse être respecté. Les commandes déjà plani- les acheteurs qu’il y a eu des changements dans le
fiées ainsi que la capacité de production modifieront calendrier de production.

Fournitures
Les demandes d’achat en fournitures peuvent également être automatisées dans la mesure
où ces dernières sont créées et font l’objet d’un inventaire5 dans le PGI. Le fichier maître des
produits indique alors la quantité minimum, le point de commande et le fournisseur « privi-
légié ». L’inventaire des fournitures varie au gré de la consommation, des retours, des récep-
tions ; opérations qui sont enregistrées par ceux qui les exécutent (inventaire permanent)6.
Ainsi, les acheteurs de Métalika génèrent une liste de matériel à commander en fonction
des paramètres des fichiers maîtres et de la quantité en stock. Dans la mesure où l’inventaire

5. Certains produits, comme les fournitures, peuvent physiquement se trouver en stock dans l’entrepôt,
sans toutefois faire l’objet d’un inventaire permanent. C’est le cas lorsque l’on juge que les coûts néces-
saires pour gérer cet inventaire sont supérieurs aux avantages.
6. Le chapitre suivant, qui porte sur l’inventaire, donne plus de détails à ce sujet.
150 Partie 2 Applications pratiques

permanent correspond à l’inventaire physique, cette façon de procéder s’avère très efficace.
Il suffit alors de générer un rapport et de faire un filtre sur les quantités « En rupture ».
Il faut donc mettre en place des activités de contrôle manuelles pour assurer cette
concordance. Carmen Tremblay fait des dénombrements cycliques de certains produits
pour s’assurer de la fiabilité de l’inventaire et elle investigue pour trouver la cause des
écarts relevés lorsqu’ils sont importants.
Par ailleurs, il ne faut pas oublier les fournitures « inhabituelles » ou non récurrentes,
lesquelles font l’objet d’une demande manuelle qui doit être approuvée par un super-
viseur. Il est alors possible d’acheter un produit de type « Divers », soit un produit pour
lequel aucun fichier maître n’a été créé et, par conséquent, aucun inventaire comptabilisé.

Investissements
Les investissements ou les achats d’immobilisations (par exemple, d’un équipement) ne
sont pas automatisés, même si les données du PGI peuvent contribuer à identifier les
besoins (manque de capacité, arrêts fréquents dus à la désuétude des équipements, limite
technologique des machines, etc.). Ce type d’achat fait donc plutôt l’objet d’une dis-
cussion au sein du comité de direction où il est question des besoins pour satisfaire à la
demande, pour augmenter les parts de marché, etc. Les gestionnaires participent à des
forums ou à des expositions afin de connaître ce qui se fait sur le marché, ce qui vient
ensuite alimenter la discussion. Enfin, une analyse coûts-bénéfice vient appuyer ou non
les avantages estimés. Une fois la décision prise, un bon d’achat doit être enregistré dans
le module du PGI. Ici, les activités de contrôle et les intervenants sont donc différents. Il
faut garder à l’esprit que les risques sont plus élevés lors de transactions non habituelles,
puisque les procédures à suivre ne sont pas familières aux employés. L’application de
mesures de contrôle de détection pourrait s’avérer efficace dans ce genre de situation.
Il arrive qu’un budget global soit établi, par exemple pour encadrer les dépenses infor-
matiques (achat de postes de travail additionnels ou de remplacement, renouvellement de
mises à jour de licences, etc.). Si ce n’est pas le cas, chaque achat doit faire l’objet d’une
approbation ainsi que d’un bon d’achat.

Autres achats
Les besoins en formation font rarement l’objet d’une demande d’approvisionnement
formelle, à moins que l’entreprise n’ait établi un plan de formation pour lequel elle a
déterminé des cours récurrents et fixé des échéances à respecter. Dans la plupart des cas,
ce type d’achat ne fait pas partie du processus type.
La papeterie, la publicité, les frais d’assurance, les services publics et autres dépenses
sont généralement gérés de façon moins formelle. Les mesures de contrôle sont elles aussi
un peu différentes et adaptées aux circonstances. Par exemple, les activités de contrôle
axées sur les charges d’assurance doivent tenir compte des coûts, de la justification de
l’augmentation des primes, le cas échéant, mais également de la suffisance des protections
et de la couverture des risques.

7.3.2 Recherche de fournisseurs


Dans le cycle des achats, créditeurs et décaissements, la recherche de fournisseurs ou de
produits est une activité indispensable pour l’atteinte des objectifs opérationnels comme
celui d’obtenir le meilleur prix possible en fonction d’une qualité de produit donnée.
Ce processus de sélection a beaucoup changé avec l’arrivée d’Internet. Finie l’époque où
un acheteur feuilletait des catalogues ou appelait le fournisseur pour connaître ses prix.
Finie également la nécessité d’acheter localement7. Les expressions suivantes sont toutes
des synonymes de cette étape : demande de prix, demande de soumission, appel d’offres.

7. Il est à noter toutefois que, si l’entreprise a mis en place des règles restreignant l’accès à Internet, les ache-
teurs doivent probablement en être exemptés pour pouvoir faire leurs démarches. L’entreprise doit alors
établir un mécanisme de remplacement pour s’assurer que ces acheteurs en font une utilisation appropriée.
Chapitre 7 Cycle des achats, créditeurs et décaissements 151

Il n’est pas toujours nécessaire de faire des demandes de soumission. En effet, s’il
existe des ententes à long terme avec des fournisseurs privilégiés, cette étape n’est pas
requise. Par contre, lorsqu’il s’agit de se procurer un nouveau bien ou s’il n’y a pas d’en-
tente de prix pour un produit donné, il est usuel de faire plusieurs demandes de prix.
Chez Métalika, il est possible de faire des demandes de soumission que l’on peut
transformer presque automatiquement en bon d’achat (voir la gure 7.5). Ainsi, ce
sous-module permet de générer des demandes de soumission (DDS) ayant des numéros
séquentiels uniques (numéros de DDS). Le document généré ressemble étrangement à
un bon d’achat, à l’exception des éléments suivants : le prix y est absent, plusieurs four-
nisseurs peuvent y être associés, il inclut une date limite pour répondre. Cela favorise
l’uniformité des demandes, dans lesquelles tous les renseignements doivent être inscrits.
Puisqu’il s’agit d’un document intégré, il doit être assujetti à différentes activités de
contrôle manuelles pour assurer son exactitude et son exhaustivité. Par exemple, une
erreur dans le code de produit ou dans sa description pourrait créer de la confusion et
entacher le processus de soumission. De plus, cette erreur serait dupliquée lors de l’émis-
sion du bon d’achat.
Trois onglets composent ce sous-module. L’onglet « Général » permet de sélectionner les
fournisseurs auprès desquels on désire faire une demande de soumission. Si les fournisseurs
n’existent pas encore, il est possible d’en créer un en cliquant sur « Ajout rapide ». Attention,

FIGURE 7.5 Demande de soumission : onglet « Général »


152 Partie 2 Applications pratiques

cette option permet de le faire sans avoir complété l’ensemble des données nécessaires à
une bonne gestion des fournisseurs. Le risque d’erreurs s’en voit accru, puisque les mesures
de contrôle habituelles sur la création d’un fournisseur ne sont alors pas forcément respec-
tées. Par contre, seuls ceux qui ont accès au sous-module « Fournisseurs » peuvent utiliser
cette option et, comme les acheteurs ne devraient pas y avoir accès, cela ne devrait pas
poser problème, puisque l’option ne leur est pas accessible. Il faut toujours garder à l’esprit
l’importance de séparer les fonctions incompatibles et s’assurer que certains sous-modules
ne donnent pas des autorisations que l’on ne voulait pas donner par ailleurs. Le PGI peut
parfois avoir des incohérences de contrôle interne qui sont plus difficiles à détecter.
JobBOSS étant lié à Outlook, le module permet d’expédier électroniquement ces
demandes aux fournisseurs sélectionnés. Pour ce faire, les fournisseurs en question doivent
avoir une fiche (fichier maître) et ils doivent comprendre au moins un nom de contact et
une adresse courriel. Ainsi, à partir du module, un courriel auquel est joint un document
PDF (la demande de soumission) est envoyé au contact désigné, et ce, pour chaque four-
nisseur associé à la demande.
L’onglet « Détails » permet de sélectionner les produits pour lesquels l’entreprise désire
obtenir un prix (voir la gure 7.6 ). Le requis8 peut provenir d’une tâche ( job), d’une
soumission ou de la liste de matériel (source) et plusieurs options sont offertes pour
identifier le produit. Au final, l’information choisie s’inscrit sur la ligne correspondante
(en l’occurrence, la ligne 001), il ne reste alors plus qu’à indiquer la quantité et la date de
livraison désirée.
L’onglet « Détails » de ce sous-module ressemble à celui du sous-module « Bon d’achat »
qui sera vu plus loin dans le processus. Pour sa part, le troisième onglet (« Soumissions
fournisseur ») permet de faire le suivi des demandes de soumission. Ce contrôle d’archivage
des demandes de soumission permet de réduire les risques de collusion et de paiement de

FIGURE 7.6 Demande de soumission : onglet « Détails »

8. Selon la terminologie employée dans le PGI, le terme « requis » fait référence à un besoin.
Chapitre 7 Cycle des achats, créditeurs et décaissements 153

prix excessif, puisqu’il donne la possibilité de faire un suivi sur le processus de soumission,
en contrôlant par exemple la diversité des fournisseurs consultés, le nombre de soumissions
remportées par un fournisseur ou les écarts de prix entre les différents fournisseurs.
Par l’entremise du PGI, le service des ventes a accès à ces données (demandes de prix)
à même son module de soumission pour un client. En effet, pour être en mesure de four-
nir un prix à son client, l’estimateur a besoin, entre autres, du prix des matières premières.
Il est alors possible pour un acheteur d’utiliser cette demande pour passer la commande.

7.3.3 Analyse des soumissions


Le troisième onglet du sous-module « Demande de soumission » sert à faire le suivi des sou-
missions (voir la gure 7.7). Les trois petites icônes à droite permettent de recevoir les
soumissions ( ), d’identifier la réponse gagnante ( ) et de générer le bon d’achat ( ).
Ainsi, lorsque les fournisseurs ayant reçu une demande de prix répondent, l’acheteur
inscrit les réponses dans cet onglet. Il conserve également la réponse de ces fournisseurs, qu’il
s’agisse d’un courriel ou d’une soumission en bonne et due forme. Si le document n’est pas
électronique, l’acheteur le numérise et il l’aiguille dans le système d’archivage ou dans celui
lié à la demande de prix (en pièce jointe) dans le JobBOSS. Conserver les documents de
chaque fournisseur facilite la vérification des renseignements lorsque cela s’avère nécessaire.
En plus, cela permet au directeur de s’assurer que les consignes sont respectées. S’il n’est

FIGURE 7.7 Suivi des réponses de fournisseurs


154 Partie 2 Applications pratiques

pas possible de lier les soumissions d’un fournisseur aux demandes, il faut s’assurer de créer
des répertoires au nom de ce fournisseur et d’y classer toute les communications. Il s’agit là
d’une bonne façon de faire pour assurer un suivi adéquat du processus de demande de prix.
L’acheteur compare les soumissions obtenues entre elles et choisit ensuite celle qui
répond le mieux au besoin de l’entreprise, que ce soit en fonction du prix ou du délai
de livraison. Dans la figure 7.7, c’est le fournisseur EARJOR qui devrait obtenir le bon
d’achat, puisque son prix proposé est inférieur aux autres de 100 $ par unité. L’acheteur
peut ajouter certains autres critères (par exemple, le respect des délais de livraison) qui ne
sont pas dans le tableau comparatif afin de prendre sa décision.
Enfin, plusieurs rapports permettent de suivre le statut des demandes de soumission,
et ce, afin de s’assurer que celles-ci soient obtenues non seulement dans les délais désirés,
mais par l’ensemble des fournisseurs sélectionnés. Le rapport intitulé « Journal RFP9 »
offre plusieurs filtres (fournisseur, matériel, statut de la demande, etc.) facilitant le suivi.
Il s’agit d’une option intéressante pour les activités de contrôle de détection.

7.3.4 Émission du bon d’achat


Comme nous l’avons vu dans la section précédente, les PGI dotés de la fonctionnalité de
demande de soumission permettent habituellement de générer un bon d’achat10 à partir
du même module, ce qui évite à l’utilisateur d’avoir à saisir de nouveau toute l’informa-
tion et, ce faisant, réduit les risques d’erreurs. De cette façon, Gaétan Caron ou Malika
Sahir émettent un bon d’achat directement dans l’onglet « Soumission Fournisseur »
(voir la première partie de la gure 7.8). L’acheteur assigne un numéro séquentiel à l’aide
de l’icône et inscrit les renseignements nécessaires11.
Cette option représente un raccourci vers la création d’un bon d’achat, ce qui signi-
fie que ce dernier a été créé dans le sous-module « Achat » (voir la deuxième partie de la
gure 7.8). Si des changements doivent être apportés au bon d’achat ou si des ajouts sont
nécessaires, ces modifications seront effectuées dans le sous-module « Achat ». Il ne faut
jamais perdre de vue que la plupart des données qui s’inscrivent dans les champs sont des
données « par défaut ». Il faut donc s’assurer que celles-ci sont appropriées pour la commande
en cours. Il est nécessaire de mettre des mesures de contrôle manuelles en place pour valider
les renseignements du bon d’achat, ou du moins s’assurer de leur plausibilité. C’est l’acheteur
qui a cette responsabilité. Le bon d’achat doit notamment préciser l’adresse de livraison ; le
produit acheté, y compris les spécifications techniques (dimension, poids, type d’alliage) ; la
quantité ; la date de réception prévue ; le prix unitaire ; et les délais de paiement convenus. Il y
est également mentionné le numéro de la soumission du fournisseur et les délais de transport
ou de dédouanement. Un code de grand livre est assigné au produit commandé.
Une fois complété, le bon d’achat peut être expédié électroniquement au fournisseur
à même le module. En effet, les choix d’impression incluent entre autres l’envoi par cour-
riel, comme dans le cas des demandes de prix. Cette automatisation améliore l’efficience
du service des achats et facilite le suivi.
Encore une fois, il existe plusieurs rapports permettant de suivre les commandes en
cours et les articles en retard. Les acheteurs sont responsables du suivi des bons d’achat
en suspens.
Finalement, une copie du bon d’achat était auparavant envoyée aux services de la
comptabilité et de la logistique, mais cela est de moins en moins vrai à l’ère des PGI
et du développement durable. En effet, puisque les bons d’achat sont accessibles

9. Les lettres RFP signifient request for proposal en anglais (donc, « demande de soumission » en français).
Le terme n’a malheureusement pas été traduit dans l’écran.
10. Pour désigner le bon d’achat, on utilise également le terme « bon de commande ».
11. La même icône figurera partout où JobBOSS fournit un générateur de numéro séquentiel. D’ailleurs, le
fichier maître de cette numérotation se trouve dans le module « Administration du système/Préférences » à
l’onglet « Numéro Auto. ». Attention, il est parfois possible de passer outre la fonctionnalité de numérota-
tion automatique, dépendamment de la façon dont le système a été paramétré. Il faut alors que la procé-
dure soit clairement établie quant à la façon de travailler, de même que se fier à son respect par le personnel.
Chapitre 7 Cycle des achats, créditeurs et décaissements 155

FIGURE 7.8 Création d’un bon d’achat

électroniquement au personnel de la comptabilité, ils ne sont plus acheminés physique-


ment. Cela a pour effet d’accroître l’accessibilité à l’information et de réduire les possi-
bilités de perte de document. Même si la suite numérique des bons d’achat permettait
déjà un tel contrôle, le stockage électronique améliore le processus de contrôle interne.

7.3.5 Réception des achats


Dans le cas de biens matériels, le service de la logistique voit à la réception et à l’inspec-
tion de ceux-ci (quantité, qualité, conformité aux exigences techniques). Cette activité
de contrôle vise à s’assurer que l’entreprise reçoit bien la quantité commandée et que les
articles sont de qualité. Le service de la logistique procède également à l’expédition et à
la réception des biens nécessitant un traitement chez un sous-traitant. La marchandise
reçue s’accompagne généralement du bon de livraison ou de la facture du fournisseur.
Le numéro du bon d’achat (parfois appelé « numéro de référence ») de Métalika devrait
figurer sur le document fourni.
Le commis à la réception des marchandises s’assure que les données qui se trouvent
sur le bon de livraison sont valides et qu’elles concordent avec le bon d’achat à l’interne
156 Partie 2 Applications pratiques

FIGURE 7.9 Réception d’un bon d’achat

en procédant à la réception dans le système informatique. Dans le sous-module « Récep-


tion BA », lorsque le commis à la réception entre le numéro de bon d’achat, les données
du fournisseur s’inscrivent dans l’onglet « Général » et les éléments commandés, dans
celui nommé « Quantité reçue » (voir la gure 7.9). (L’onglet « Quantité facturée » ne
contient de données que lorsque le commis aux comptes fournisseurs a saisi la facture.
De plus, ces données ne sont là qu’à titre informatif, de sorte qu’aucune modification
ne peut leur être apportée à partir de ce module.) Le traitement des factures fournisseurs
est du ressort de la comptabilité, et non de celui de la réception des marchandises. Ici, le
PGI permet d’avoir une séparation des fonctions de garde des actifs et d’enregistrement
des transactions.
Lorsque la quantité reçue a été inscrite et la localisation sélectionnée, il suffit
de cliquer sur l’icône pour que la quantité reçue s’affiche à la ligne sélection-
née (soit à la ligne 001, dans l’exemple). Cette transaction rajuste l’inventaire en
conséquence.
Il peut y avoir plusieurs réceptions pour un même bon d’achat. Par conséquent, le
bon d’achat doit rester « ouvert » tant et aussi longtemps que la commande n’a pas été
complètement reçue. Le statut du bon d’achat (en haut de l’écran, près du nom du four-
nisseur) ne doit pas être confondu avec le statut de la ligne du bon d’achat (à côté de la
quantité reçue). Les lignes dont la quantité est complète et la facture a été traitée doivent
être fermées, mais non le bon d’achat au complet, sinon les rapports d’analyse et de suivi
seront erronés, ainsi que les prises de décisions qui suivront. Il en va de la qualité de l’in-
formation qui alimente le système de gestion de l’entreprise. D’ailleurs, un bon d’achat
se ferme automatiquement lorsque toutes les quantités commandées ont été reçues et que
les articles ont tous été facturés aux créditeurs.
Le bon de livraison du fournisseur fait souvent office de bordereau de réception.
Alors, directement sur le document reçu, le commis doit corriger la quantité (s’il y a lieu),
puis inscrire la date de la réception, le numéro de lot (s’il y a lieu) ainsi que ses initiales.
Le bon de livraison annoté peut ensuite être numérisé et aiguillé dans Quaero12. S’il n’y a
pas de système d’archivage automatique, il doit être classé dans un répertoire électronique,
puis joint au bon d’achat.
Il existe plusieurs situations qui sortent du cadre habituel du traitement d’une récep-
tion. Entre autres, que devrait-on faire quand le produit reçu n’est pas le bon ? (Ne pas le
réceptionner et le retourner au fournisseur ?) Que faire si la quantité reçue est supérieure à

12. C’est le logiciel d’archivage utilisé par Métalika.


Chapitre 7 Cycle des achats, créditeurs et décaissements 157

la quantité commandée ? (Vérifier avec l’acheteur s’il voit un avantage à changer son bon
d’achat et conserver le matériel pour des tâches à venir ?) Que faire si, après avoir récep-
tionné la marchandise, on constate que le produit est défectueux ? (Aviser l’acheteur afin
qu’il contacte son fournisseur ? Retirer la marchandise de l’inventaire et la retourner pour
obtenir une note de crédit ?) Il s’agit de situations sur lesquelles le gestionnaire doit se
pencher et pour lesquelles il lui faut mettre en place des mesures de contrôle appropriées.
S’il s’agit de cas isolés, il n’est peut-être pas nécessaire de mettre une procédure en place.
On peut alors opter pour une gestion au cas par cas.
Une fois la marchandise réceptionnée, le bon de livraison annoté est numérisé et
l’original est envoyé au service de la comptabilité. Il est alors classé avec les autres bons
de réception non appariés en attendant d’être traité. Ce classement se fait par ordre
alphabétique de fournisseurs ou par numéro de bon d’achat. Le classement par numéro
de bon d’achat rend la recherche plus facile lorsque la quantité de documents est élevée,
en plus de permettre de détecter plus rapidement les vieux bons non jumelés. Les bons
de livraison non appariés, donc non traités, devraient se trouver sur la liste des mon-
tants à payer (courus) en fin de mois. En effet, ils correspondent à de la marchandise
enregistrée dans l’inventaire pour laquelle aucun coût n’a été comptabilisé.
Outre les biens matériels livrés au quai de réception, il arrive que certains achats
soient réceptionnés par le destinataire des biens ou des services en question. Ainsi, les
services d’entretien de l’équipement sont réceptionnés par le service de la maintenance ; le
matériel informatique, par les techniciens informatiques, etc. Malheureusement, comme
ces différents destinataires ne sont pas aussi habitués à faire ce type de tâches (réception
de marchandise), il en résulte trop souvent de mauvaises réceptions, des oublis ou des
pertes de documents. Le contrôle par le service de la comptabilité vis-à-vis de l’apparie-
ment des factures avec la marchandise reçue devrait être plus serré dans ces situations,
puisque le risque d’erreurs est plus important. Par exemple, il faut parfois s’assurer auprès
du responsable que le service a bien été rendu, que la qualité est au rendez-vous et que le
coût total est conforme à la soumission ou à l’entente prise au préalable.

7.3.6 Enregistrement des factures


Les factures d’achat peuvent être acheminées au service de la comptabilité par courriel,
par télécopieur ou par la poste (eh oui, encore de nos jours !), ou encore accompagner
la marchandise (elle joue alors le rôle de bon de livraison en même temps que celui de
facture). Parfois, les factures arrivent plus d’une fois, ce qui augmente la manipulation
de documents et le risque d’erreur. Aux fins d’analyse, on distingue trois types de factures :
les factures fournisseurs pour lesquelles la marchandise ou le service a été réceptionné sur
un bon d’achat, les factures fournisseurs sans réception de marchandise ou de bon d’achat
(relevé de taxes, honoraires d’avocat, etc.) et finalement les notes de frais (appelées com-
munément « comptes de dépenses »).

Factures avec réception


La comptabilisation des factures se fait en appariant le bon d’achat, le bon de livraison
(validé par le service de la logistique) et la facture du fournisseur. Sara Lee doit vérifier si
le prix facturé correspond à celui du bon d’achat, si la quantité facturée correspond à la
quantité reçue et si les codes de taxes sont ceux applicables. La facture est ensuite estam-
pillée « Comptabilisée le aaaammjj ». En plus d’assurer qu’elle ne soit pas saisie en double,
l’estampe permet de repérer rapidement la période à laquelle elle a été traitée. Une fois
enregistrées, les factures sont classées « en attente » de paiement.
Pour enregistrer une facture, il faut d’abord entrer le code du fournisseur en
saisissant directement son code s’il est connu ou en utilisant le menu déroulant.
Lorsque le numéro de la facture est entré, toutes les données relatives au fournis-
seur apparaissent automatiquement dans les champs restants de l’onglet « Général »,
puisqu’elles sont déjà dans le PGI (voir la gure 7.10). La consigne entourant la saisie
158 Partie 2 Applications pratiques

FALLAIT Y PENSER !
Même en 2015, à l’ère de l’informatique, il est encore possible de comptabiliser deux fois la
même facture. Cela est d’autant plus vrai que les factures « colorées » (souvent associées à
des factures originales) ont presque disparu. Aujourd’hui, les factures arrivent par courriel en
noir et blanc, puis par la poste. Il est plus difcile de savoir s’il s’agit d’un original ou d’un
duplicata. Oui, les systèmes ne permettent pas de saisir deux fois le même numéro de fac-
ture… mais il suft d’un espace en blanc ou d’une inversion de chiffre, et hop ! La facture est
en double. Aussi, vu la longueur de certains numéros de facture (CDN0000432, par exemple),
il est tentant pour un commis de ne pas inscrire exactement tous les caractères. D’ailleurs, il
s’agit peut-être d’une tactique visant à accroître les chances d’être payé deux fois.

FIGURE 7.10 Saisie d’une facture fournisseur

des factures doit être sans équivoque. Sara Lee doit saisir tous les caractères com-
posant le numéro de facture du fournisseur, et ce, en tout temps… peu importe le
nombre de caractères. C’est la seule façon de s’assurer de ne pas saisir un document
en double… et encore ! Si le numéro a déjà été traité auparavant, le logiciel refusera
de le saisir une seconde fois.
Toujours dans l’onglet « Général », la date de la facture affiche le jour courant par
défaut. Il faut donc voir à saisir la date inscrite sur la facture du fournisseur. La date
d’échéance et la date limite pour obtenir l’escompte, s’il y a lieu, se calculent automati-
quement en fonction du terme de paiement « par défaut ». Les termes de paiement « par
défaut » sont enregistrés dans le fichier maître des fournisseurs, mais il faut voir à changer
le terme de paiement de cette entrée si la facture (et le bon d’achat) n’affiche pas le même
Chapitre 7 Cycle des achats, créditeurs et décaissements 159

FALLAIT Y PENSER !
Fernande reçoit un appel téléphonique d’un fournisseur mécontent parce que les termes
de paiement sur ses factures ne sont plus respectés. Elle vérie alors le terme de paiement
dans le chier maître du fournisseur et constate que c’est le bon. Elle demande donc à Sara
Lee pourquoi certaines factures afchent un autre terme de paiement. Celle-ci lui répond :
« C’est le terme qui est inscrit sur la facture du fournisseur, alors j’ai changé le terme lors de
sa saisie ! » En effet, à la grande surprise du fournisseur, à qui Fernande a dû faire parvenir
des copies de ses factures, le terme de paiement avait été changé… possiblement par erreur
dans le système du fournisseur lui-même. Peut-être avait-il un problème de contrôle interne ?

terme que celui « par défaut ». Cette option permet donc le traitement d’une facture
ayant un terme différent résultant d’une entente particulière. Les champs qui se rem-
plissent par défaut ont l’avantage d’éviter les erreurs de saisie, mais ils ont l’inconvénient
de pouvoir générer des erreurs lorsque le commis ne prête pas attention à leur exactitude.
Dans l’exemple fourni, on constate qu’il n’y a aucun code de taxe pour ce fournisseur.
Est-ce approprié ?
Les données de facturation se trouvent à l’onglet « Détails ». Dans cet onglet, il est
possible d’aller chercher un bon d’achat réceptionné, d’inscrire un article divers ou un
élément inscrit dans une tâche (ce dont il sera question dans les sections suivantes). Dans
l’exemple fourni, le bon d’achat numéro 11616 a été sélectionné et les données de ce bon
d’achat s’affichent à la ligne 001. S’il y avait eu plusieurs lignes, il aurait été possible de
les importer en totalité ou de sélectionner seulement les articles présents sur la facture à
saisir. Dans l’exemple, il n’y a aucun code de taxe pour cette ligne, ce qui explique que
le total des taxes est égal à 0. Il est à noter que le code de taxe de la ligne a préséance sur
celui par défaut du fournisseur. En effet, dans certains cas, le code de taxe d’un service
peut différer de celui d’un bien ; il faut donc être en mesure de traiter chaque ligne d’une
facture de façon distincte. Il faut s’assurer entre autres que le numéro de taxe de vente du
fournisseur est valide en faisant une vérification sur le site Web du ministère du Revenu.
L’entreprise pourrait se voir refuser les intrants réclamés, le cas échéant.
L’onglet « Payé le » est présenté à titre informatif. Si aucune information ne s’y trouve,
c’est que la facture n’a pas encore été payée dans le sous-module « Paiement de fournis-
seur ». Lorsque la facture est reportée, l’onglet « Distribution » affiche l’écriture comptable.
Toutefois, le logiciel permet de changer cette distribution directement dans cet onglet
(par opposition à faire une écriture dans le journal général) tant et aussi longtemps que
la période comptable n’est pas fermée. Les procédures de contrôle interne doivent men-
tionner que le commis au traitement des factures doit vérifier le caractère raisonnable du
compte de grand livre associé à une transaction avant d’accepter le traitement de la facture.
Une fois la facture enregistrée, il ne reste plus qu’à la reporter dans les auxiliaires. À partir
de ce moment, les données de la facturation figurent dans le sous-module « Réception BA »,
dans l’onglet « Quantité facturée » (voir la gure 7.11 à la page suivante). Les données ne sont
affichées qu’à titre informatif, de sorte qu’aucun changement ne peut s’effectuer dans cet écran.
Enfin, le statut du bon d’achat passe à « Fermé », puisque toutes les lignes ont été
reçues et que tous les articles reçus ont été facturés13. Malheureusement, dans le sous-
module « Réception BA », il est possible de changer (par un ajout ou un retrait) la quantité
reçue dans le deuxième onglet, et ce, même si la facture correspondante est traitée et que
le bon d’achat qui y est associé est fermé. Puisqu’il s’agit d’une faiblesse des mesures de
contrôle automatisées, Métalika a dû mettre en place une procédure « humaine » afin
de s’assurer que les commis ne réceptionnent pas (en plus ou en moins) des articles dans
ces cas-là. À quoi cette procédure pourrait-elle ressembler ?

13. Un acheteur pourrait décider d’annuler un bon d’achat en mettant son statut à « Fermé ». Dans ce cas,
il l’aurait écrit dans la note jaune du bon d’achat avant de le faire.
160 Partie 2 Applications pratiques

FIGURE 7.11 Réception d’achat : onglet « Quantité facturée »

Finalement, la facture figure désormais dans la liste des comptes fournisseurs, et la


charge, dans le compte de grand livre associé à l’achat. De plus, la réception ne se trouve
plus dans la liste des courus du mois.

Factures sans réception


Plusieurs charges ne font pas l’objet d’un bon d’achat et, par le fait même, d’une récep-
tion. En voici quelques exemples : les frais de déneigement ou d’entretien paysager, l’en-
tretien ménager, la formation, les frais de repas pour les rencontres de cadres, etc. Quel
devrait être le processus (approbation, traitement, suivi) mis en place par l’entreprise pour
contrôler ces charges ? Selon le type d’achats, on doit demander au cadre le plus « significa-
tif » d’autoriser la dépense (le responsable des ressources humaines approuvera les frais de
formation, le directeur d’usine, ceux de l’entretien ménager, etc.). Cela permet de réduire
le risque que des charges jugées non justifiées ou qui excèdent le budget soient engagées.
Parfois, il n’y a pas de processus et c’est au moment de la signature du chèque que
la dépense est finalement approuvée. Dans le cas d’une dépense non autorisée, le service
de la comptabilité émet un avis indiquant qu’elle n’est pas conforme à la politique de
l’entreprise et qu’elle n’est pas autorisée.
Pour les dépenses facturées mensuellement, telles que les frais de location de pho-
tocopieur, les frais d’entretien ménager, etc., c’est dans le sous-module « Factures récur-
rentes » que l’on traite ces transactions. Ce sous-module accélère le traitement de ce type
de factures, puisque toutes les données sont déjà saisies (montant, code de grand livre,
etc.). Il suffit de générer une nouvelle entrée à même ce sous-module et de la reporter
dans les auxiliaires comme une facture normale. Il faut toutefois s’assurer que le système
ne générera pas de facture automatique une fois le contrat terminé. C’est un des risques
qui est associé à ce genre de fonctionnalité.

Notes de frais
Dans le cadre de leurs fonctions, certains employés sont autorisés à engager des dépenses.
C’est le cas de Miguel Lopez et Jeremy Iron, à qui l’entreprise rembourse leurs dépla-
cements, leurs repas, leurs frais de participation à des congrès ou à des foires commer-
ciales. La consigne veut que les représentants remettent régulièrement leurs notes de frais
accompagnées des pièces justificatives au directeur des ventes, qui les approuve avant de
les remettre au service de la comptabilité.
À ces employés s’ajoutent tous ceux qui, pour la bonne cause, effectuent des achats
pour l’entreprise. Ainsi, le responsable de la maintenance peut par exemple aller chez
Chapitre 7 Cycle des achats, créditeurs et décaissements 161

un nouveau fournisseur acheter de la quincaillerie spécialisée afin de régler « rapidement » un


problème dans l’usine. Il évite ainsi de passer par l’acheteur afin que celui-ci fasse un bon
d’achat, surtout qu’il faudrait d’abord créer le fournisseur en question dans le système
avant de pouvoir poursuivre la démarche. Au préalable, la charge doit généralement avoir
été autorisée par le superviseur, mais ce n’est pas toujours le cas. Ce type d’achat plus ou
moins « spontané » ne devrait pas être récurrent, car il est plus difficile de contrôler le
processus. Si le montant est faible, l’employé peut se faire rembourser par la petite caisse,
sinon il faut le dédommager au moyen d’un autre mode de paiement parfois moins rapide.
Les notes de frais peuvent représenter une quantité importante de documents à trai-
ter. Pour ce faire, les employés doivent remplir un formulaire papier ou électronique
(souvent un fichier Excel dans les petites et moyennes entreprises ou une application
maison conçue avec Access) qui contient un ensemble de champs prédéterminés (voir la
gure 7.12 à la page suivante).
S’il s’agit d’un formulaire Excel, certains champs doivent être « verrouillés » afin d’évi-
ter toute manipulation. C’est notamment le cas des champs de type calcul (par exemple,
pour tenir compte de la méthode de réclamation des taxes) et du taux par kilomètre
accordé pour les déplacements. Habituellement, les factures originales doivent être jointes
aux allocations de dépenses. Aussi, avant de pouvoir être traité, le formulaire doit être
approuvé par un directeur ou un supérieur.
Un formulaire de note de frais en Excel ne comporte pas de numéro séquentiel
unique. La suite numérique est une mesure de contrôle souvent utilisée pour éviter les
duplications et assurer l’intégralité des données. Dans ce cas, il n’est pas rare que ce soit
la date de la demande qui fasse office de numéro de document (c’est-à-dire de numéro
de facture) lors de la saisie dans le système. Ainsi, une demande datée du 22 juin 2013
aurait comme numéro de facture le 20130622. Comment fait-on alors pour s’assurer que
la même note de frais ne soit pas traitée en double ?
En général, la comptabilisation des notes de frais est un irritant majeur pour les
commis à la comptabilité. Il n’est pas rare que les documents ne soient pas approuvés, qu’ils
soient incomplets (qu’il manque des factures ou qu’il s’agisse de copies ou de relevés de la

FALLAIT Y PENSER !
Métalika possède plusieurs bureaux de vente à l’extérieur du pays. La consigne veut que
les notes de frais soient signées par le directeur des ventes. Une fois signées, elles doivent
être expédiées avec les pièces justicatives (factures originales) par la poste ou par courrier
interne au service de la comptabilité an d’être traitées le plus rapidement possible. Sous
prétexte que le processus était trop long, les notes de frais expédiées par voie électronique
étaient acceptées « temporairement ».
Pendant plus de six mois, un des vendeurs a soumis des notes de frais frauduleuses à son
directeur, qui les a approuvées sans jamais y prêter attention. Puisque le directeur avait
approuvé ces notes de frais, Sara Lee les traitait en pointant les copies de factures qui
les accompagnaient, sans prêter d’attention particulière aux pièces justicatives. La date
des notes de frais n’était jamais la même (donc le système acceptait ce qu’il considérait
toujours comme un nouveau document). Par contre, les dépenses avaient été engagées à
des périodes qui se chevauchaient. Par exemple, le vendeur présentait une copie d’un billet
d’avion avec une réclamation, sa carte d’embarquement avec une autre et ensuite la facture
de l’agent de voyages sur une troisième note de frais. Le vendeur faisait la même chose avec
la location de voitures. Il réclamait également des montants gurant sur des factures men-
suelles de téléphone pour lesquelles il incluait les arrérages ( jusqu’à trois mois).
Dans le but de falsier les renseignements, les documents étaient photocopiés de façon à
cacher certaines données (date, lieu, etc.), rendant ainsi l’arrimage difcile. Les copies de
factures étaient présentées de telle manière qu’il fallait mettre les notes de frais côte à côte
pour s’apercevoir qu’il s’agissait de doublons.
Le montant de la fraude s’est élevé à 25 000 $ et l’entreprise n’a pas réussi à récupérer cet
argent, car l’employé a déclaré faillite.
162 Partie 2 Applications pratiques

FIGURE 7.12 Note de frais

Note de frais
Nom : Période du : au :
Date :

Type de Date (m-j-a) Description Taux de TOTAL


dépenses change

1. SECTION KILOMÉTRAGE
Destination Date Activité Km 0,45 $/km Total TPS Avant tx

$ 0,45 $ - $ - $ - 1 $ -
$ 0,45 $ - $ - $ - 1 $ -
$ 0,45 $ - $ - $ - 1 $ -
Sous-total $ - $ - $ - $ -
2. SECTION REPAS
Nom du Date Activité Avant Pourboire Avec TPS à Repas à
restaurant pourboire pourboire inscrire comptabi-
liser
$ - $ - $ - 1 $ -
$ - $ - $ - 1 $ -
$ - $ - $ - 1 $ -
Sous-total $ - $ - $ - $ - $ -
3. SECTION DIVERS
Nom du Date Justicatif Articles Montant TPS TVQ Montant
fournisseur avant taxes avec taxes
$ - $ - $ - 1 $ -
$ - $ - $ - 1 $ -
$ - $ - $ - 1 $ -
$ - $ - $ - 1 $ -
Sous-total $ - $ - $ - $ - $ -
4. SECTION DOLLARS US
Nom du Date Activité Montant
commerce ou article total
$ -
$ -
$ -
Sous-total $ - $ -
$ -
TPS totale : $ - TVQ totale : $ - TOTAL $ -

Autorisation :
Date :
Chapitre 7 Cycle des achats, créditeurs et décaissements 163

carte de crédit seulement) ou erronés (mauvais compte de grand livre, mauvais code de
taxe, montant mal saisi, etc.) et qu’il faille reprendre le tout. Les employés sont mécon-
tents parce qu’ils estiment que le traitement est trop long, et les commis sont mécontents
parce que les employés sont négligents lorsqu’ils préparent leurs demandes. La rigueur
dans l’application des activités de contrôle dans ce domaine est fondamentale. Toutefois,
il s’agit d’un exercice délicat, puisqu’il pourrait avoir des répercussions sur les relations
avec les employés en question. De plus, il est souhaitable d’avoir une politique de rem-
boursement de dépenses la plus claire possible pour éviter les frustrations et les abus.
Certaines entreprises choisissent d’octroyer une indemnité14 journalière prédéterminée
plutôt que de rembourser les frais après coup. Cela a pour avantage de limiter le coût des
repas et de donner de la flexibilité aux employés.

7.3.7 Paiement des factures


Chez Métalika, les factures comptabilisées mais en attente de paiement sont classées par
ordre alphabétique de nom de fournisseur et par ordre de numéros de facture pour chacun
des fournisseurs. Toutes les deux semaines, Sara Lee génère une liste des factures impayées
en fonction des termes de paiement. La liste sert ensuite à sortir les factures à acquitter
afin de les joindre aux paiements correspondants.
Même si la majorité des paiements se font encore par chèque, il ne faut pas
oublier qu’il existe plusieurs méthodes de paiement : argent comptant, chèque manuel,
chèque informatique, paiement électronique, transfert de données (dépôt direct) ou
carte de crédit.

Argent comptant ou chèque manuel


Les factures acquittées en argent comptant ou par chèque manuel sont rarement enregis-
trées dans le PGI au moment du paiement. Elles le sont plutôt au moment de préparer « le
chèque de la petite caisse » ou de saisir le chèque manuel. Toutefois, pour chaque achat, il
faut obtenir l’approbation d’un membre de la direction, souvent au moyen d’une signa-
ture au verso de la facture, ainsi que le classement de la charge. Toutefois, il faut garder
à l’esprit le risque associé et les montants en cause. Il ne faut pas que le coût du contrôle
dépasse le risque (estimation de la perte potentielle) que l’on souhaite réduire. Parmi les
charges payées au comptant, on trouve les repas livrés à la réception, les frais de livraison
d’un colis, le remboursement d’achats faits par un employé qui ne produit habituellement
pas de note de frais (par exemple, pour un taxi).
Dans la mesure du possible, il faut limiter ce genre de décaissements. D’ailleurs, depuis
son entrée en fonction, Fernande interdit la production de chèques manuels, jugeant
qu’aucune raison ne justifie ce mode de paiement. En effet, un chèque informatique
prend à peine quelques minutes de plus à faire qu’un chèque manuel, tout en imposant
une certaine rigueur (champs obligatoires à remplir) et en permettant un meilleur suivi
de l’encaisse. Le sous-module « Autre paiement » permet de traiter simultanément une
charge et un paiement correspondant tout en donnant la possibilité de saisir les données
du destinataire. Cette option doit donc être utilisée si un fournisseur n’est pas créé dans
le système et que la probabilité de faire affaire avec lui à nouveau est presque inexistante.

Chèque informatique
Métalika utilise des chèques préimprimés et prénumérotés. Il s’agit de documents de for-
mat lettre sur lesquels est imprimé un chèque informatique ayant trois sections délimitées
par des perforations permettant de les séparer : une section pour le chèque (conforme à
la norme 006 de l’Association canadienne de paiement [ACP]) et deux sections (talons)
présentant les factures payées, soit une pour le fournisseur et une pour les dossiers de
Métalika. La figure 7.13 (voir la page suivante) fournit un exemple de document où le

14. L’allocation journalière pour les repas pourrait être de 8 $ pour le déjeuner, de 17 $ pour le dîner et de
25 $ pour le souper, par exemple.
164 Partie 2 Applications pratiques

chèque se trouve en haut. La position


FIGURE 7.13 Exemple de chèque en trois parties du chèque en tant que telle a peu d’impor-
tance, car il peut être également au centre
ou dans le bas. Toutefois, lorsqu’il est dans
le bas, le processus s’en trouve facilité, car le
document peut être agrafé aux factures
lors de la préparation. Ensuite, le chèque
peut être signé et séparé rapidement.
Métalika utilise donc ce format de chèque.
Chez Métalika, les chèques vierges
sont conservés en lieu sûr dans une armoire
sous clé dont l’accès est limité à Sara Lee.
Au moment de préparer le paiement des
factures, le prochain numéro de chèque
physiquement détenu doit être rapproché
du prochain numéro qui sera assigné dans
le PGI. Cette mesure de contrôle restreint
la possibilité qu’une personne malveil-
lante produise un chèque pour son propre
bénéfice. Aussi, la séquence numérique
n’est pas nécessairement la même pour
chaque compte de banque, alors il faut
sélectionner la bonne banque dans le
PGI. D’ailleurs, il faut prêter attention à
la devise dans laquelle le fournisseur doit
être payé et s’assurer de choisir les bons
chèques. Métalika a plusieurs fournisseurs
américains.
Sara Lee apparie les chèques impri-
més aux factures à payer auxquelles sont
déjà joints les bons de livraison (s’il y a
lieu) et les bons d’achat (s’il y a lieu). Elle
remet ensuite la pile de chèques à signer
à Fernande. Celle-ci s’assure alors que
toutes les pièces justificatives accompagnent les chèques et que le montant payé pour
chaque facture est le bon. Si tel est le cas, elle les signe. Par la suite, Fernande remet
les chèques à Solange afin que celle-ci les signe également. En effet, la politique veut
qu’au moins deux personnes signent les chèques. Les signataires autorisés sont Solange,
Fernande et Charles St-Onge, mais la consigne est qu’à moins d’être absente durant une
longue période, Solange est toujours la deuxième signataire. À noter que les signataires
des chèques ne sont pas les mêmes personnes qui autorisent les transactions.
Solange remet les chèques signés à Sara Lee. Puis, celle-ci sépare les chèques des
talons et poste les chèques aux fournisseurs. Les talons sont ensuite agrafés avec les
pièces justificatives et classés par fournisseur dans les classeurs destinés aux factures
payées durant l’année. Ce classement facilite d’éventuelles activités de contrôle de
détection que le gestionnaire pourrait exécuter pour s’assurer du bon fonctionnement
du système.
Que fait-on d’un chèque annulé ? Cela dépend de la raison de l’annulation. Si le
chèque a été annulé parce qu’il contenait une erreur (montant, numéro de facture, etc.),
il doit probablement être associé au paiement corrigé. S’il a été annulé pour des motifs de
nature « technique » (en raison de papier coincé dans l’imprimante, par exemple), il doit
être conservé dans une chemise « Chèques annulés ».
Certaines entreprises utilisent une signature électronique, c’est-à-dire qu’au moment
où un chèque est imprimé, une signature est également imprimée. Dans ces rares cas, il
ne manque que la signature du deuxième signataire. Toutefois, si aucun contrôle n’est
Chapitre 7 Cycle des achats, créditeurs et décaissements 165

exercé par le signataire électronique, c’est comme s’il n’y avait qu’un seul signataire dans
les faits. Parfois, il existe un tampon encreur pour un ou plusieurs des signataires. Il va
sans dire que ceux-ci se doivent d’être conservés sous clé par des personnes indépendantes
de la préparation des chèques. Dans les plus grandes entreprises, la signature des chèques
peut faire l’objet d’une procédure décrivant les types de chèques et les montants pouvant
être signés par les différents membres de la direction.

Paiement électronique
Pour avoir accès au paiement électronique de facture, il faut que l’entreprise utilise son
site de services bancaires en ligne. Le fournisseur (par exemple : Bell, Hydro-Québec,
Gaz Métro) doit être sélectionné sur le site de l’institution financière, dans la section
« Paiement de facture » 15. Pour commencer, il faut enregistrer le paiement dans le PGI
en évitant d’imprimer inutilement un chèque (plus coûteux qu’une simple feuille de
papier) et aussi de gaspiller un numéro, le tout en gardant une trace de la transaction.
Pour faciliter le suivi des paiements électroniques de facture, Fernande a ajouté une
« nouvelle banque » (compte de grand livre distinct) dans sa liste de banques (module
« Préférences comptabilité », sous-module « Banque »). Au moment de préparer un paie-
ment, Sara Lee sélectionne la banque associée à ce type de paiement. Elle imprime alors
sur une feuille blanche un « faux » chèque ayant une suite numérique différente de celle
des vrais chèques. Sur ce document, la mention « non négociable » est imprimée en fili-
grane. Sara Lee joint ensuite le faux chèque aux factures à payer comme précédemment.
Ensuite, elle ouvre l’application en ligne de la banque et prépare un paiement pour une
date déterminée. Cette transaction devient « en attente d’approbation ». Sara Lee ferme
le site lorsqu’elle a terminé de préparer tous les paiements et remet la pile de paiements
à approuver à Fernande. Cette dernière voit alors à approuver les transactions électro-
niques ainsi préparées et à inscrire le numéro de validation retourné par la banque sur
le faux chèque.
Les règles d’approbation peuvent être les mêmes que pour les chèques papier, soit
deux signataires. Toutefois, il est possible de choisir d’autres types de règles du genre « un
seul signataire si le montant est inférieur à 5 000 $ ».
À la fin du mois, Fernande vérifie les transactions ayant eu lieu dans la banque fictive
et passe une écriture globale pour transférer le crédit à la banque réelle.

Transmission de données (dépôt direct)


Grâce au travail de l’ACP (voir l’annexe à la page 169) et de ses membres, il est main-
tenant possible de payer plusieurs fournisseurs en même temps, et ce, en une seule
transaction par l’entremise d’un fichier électronique standardisé. Ce fichier fournit tous
les renseignements nécessaires pour que l’institution puisse déposer un paiement dans le
compte d’un fournisseur (numéro d’institution, de transit, de folio ; nom du fournisseur ;
montant à verser). Une seule transaction bancaire pour payer plusieurs fournisseurs peut
représenter une bonne économie (chèques, enveloppes, timbres), sans oublier que cela
facilite le rapprochement bancaire16.
Le processus permettant d’approuver le paiement est différent de celui entourant la
signature des chèques. En effet, au final, Solange n’a pas à signer de chèque, mais elle doit
approuver une liste pour un fichier de transfert. Le fichier doit donc être exempt d’erreurs
avant d’être importé sur le site de l’institution bancaire de l’entreprise. De plus, il doit
être verrouillé sans possibilité d’être modifié. Aussi, dans le cadre de ce processus, il n’y
a pas moyen de « retenir » un chèque. En d’autres mots, il faut payer la liste au complet
dans une seule transaction.

15. En effet, le fournisseur doit avoir conclu une entente avec une institution bancaire pour se trouver dans
la liste des fournisseurs offerts. Toutefois, de plus en plus de fournisseurs offrent la possibilité à leurs
clients de les payer en ligne.
16. Nous discuterons du processus de rapprochement bancaire au chapitre 11.
166 Partie 2 Applications pratiques

Pour ne pas déroger au processus standard, Sara Lee imprime encore une fois un
« faux » chèque ayant une suite numérique différente de celle des vrais chèques. C’est
Fernande Séguin qui s’assure du respect de la suite numérique des chèques relatifs aux
dépôts directs afin de veiller au bon fonctionnement de ce système.
Lorsque le transfert a été fait à la banque, il reste à aviser les fournisseurs qui ont été
payés. Cet avis peut leur être expédié par courriel, par télécopieur ou par la poste. Ce
choix se fait au moyen du fichier maître des fournisseurs.

Demande de chèque
Enfin, il ne faut pas oublier la réquisition de chèque. Pour une raison toujours urgente,
un employé se présente à la comptabilité pour obtenir un chèque, et ce, sans pièce jus-
tificative. C’est la catastrophe, ça presse ! Il faut faire une avance à l’animateur pour la
fête de Noël. Le patron a accepté de faire un don à l’équipe de hockey de Métalika, qui
en a besoin tout de suite. La règle de base en la matière, c’est qu’il devrait s’agir d’excep-
tions. Si ce n’est pas le cas, c’est qu’il y a une mauvaise planification des besoins, donc un
problème qui devrait être mis au jour grâce au suivi des demandes de chèques. Il s’agit
d’une mesure de contrôle simple qui permet parfois de révéler des faiblesses structurelles
plus profondes.
Sara Lee doit alors collecter suffisamment d’information pour être en mesure de
traiter la demande adéquatement. Dans ce genre de situation, la mise en place d’une
certaine procédure (l’utilisation d’un formulaire, par exemple ; voir la gure 7.14 ) peut
s’avérer judicieuse.
Dans la mesure du possible, Sara Lee doit obtenir une pièce justificative fournissant
tous les renseignements dont elle a besoin pour enregistrer la transaction. Par exemple,
dans le cas de l’animateur du souper de Noël, il lui faudrait son nom ; son adresse
complète ; la description des services qui seront rendus ; le montant total avec les taxes
applicables incluant les numéros d’enregistrement, le cas échéant ; sinon, son numéro
d’assurance sociale ; etc.
Voici un autre exemple. La conseillère des ressources humaines désire obtenir un
chèque pour un employé en reconnaissance de ses 25 ans d’ancienneté. Il y a de fortes
chances qu’il s’agisse d’un gain imposable et que ce montant doive être traité dans la paie
par la suite.
Enfin, le paiement à l’avance de matériel faisant l’objet d’un bon d’achat, d’une récep-
tion et d’une facture17 est parfois difficile à suivre dans un PGI, puisque le paiement n’est
pas associé à une facture. Les activités de contrôle sont alors souvent moins bien exercées,
car le service de la comptabilité n’a pas toujours les documents nécessaires (notamment
le contrat) en main lorsqu’il prépare le chèque. Il devrait tout au moins disposer d’une
demande de chèque en bonne et due forme.

7.3.8 Classement final (après paiement)


Peu importe la méthode de paiement, les documents (chèques, factures et bons de récep-
tion) doivent être classés, physiquement ou électroniquement. Le classement électro-
nique, tel qu’il est utilisé chez Métalika, facilite la recherche, réduit l’espace nécessaire
au classement, favorise l’accessibilité, tout en permettant de contrôler l’accès. Généra-
lement, chaque fournisseur a une chemise cartonnée18 dans laquelle sont classés par
numéro de chèque les paiements qui lui ont été faits. L’ensemble des chemises se trouvent
par ordre alphabétique dans un classeur. Il est donc facile de retrouver les documents si
l’on souhaite faire des vérifications dans le cadre d’une procédure de contrôle interne de
prévention ou de détection.

17. Il peut s’agir d’un dépôt exigé lors de la commande d’une machine pour l’usine ou pour la prestation
d’un service.
18. Au lieu de la chemise cartonnée, il peut aussi s’agir d’un dossier informatique.
Chapitre 7 Cycle des achats, créditeurs et décaissements 167

FIGURE 7.14 Formulaire de demande de chèque

7.4 Information et communication


Dans une entreprise possédant un bon PGI, l’information est facilement accessible à tous
ceux qui en ont besoin. Aussi, à moins d’utiliser un filtre19, les données de base sont les
mêmes, peu importe qui les regarde. De plus, l’utilisation d’un système d’archivage élec-
tronique permet d’accéder rapidement et facilement à des renseignements qui ne sont pas
nécessairement générés par le système (contrats, factures de fournisseurs, etc.). Le PGI offre
une gamme élaborée de rapports qui peuvent faire l’objet de filtres (intervalle de dates, choix
de statuts, choix de produits, etc.), et tous ces rapports fournissent de l’information sur les
éléments propres au cycle vu dans le présent chapitre. La communication de cette informa-
tion se fait naturellement, puisque les rapports sont offerts à un large éventail de personnes.
Parmi les renseignements ayant le plus grand effet sur les processus, on trouve les
instructions de travail. Il s’agit de documents décrivant les procédures internes qui visent
à s’assurer de la conformité des traitements, qu’ils soient informatiques ou manuels. Chez

19. Lorsque l’on interroge une base de données sans filtre, on en obtient tout le contenu. Toutefois, si on
ne veut que les données de la dernière année, par exemple, on peut « filtrer » les données à partir du
champ « Date de transaction ». Un filtre est un paramètre qu’on isole. Il est donc possible d’appliquer
plusieurs filtres à une requête (voire à un rapport).
168 Partie 2 Applications pratiques

Métalika, pas moins d’une cinquantaine d’instructions de travail sont disponibles sur
l’intranet, dont plusieurs encadrent le cycle des achats, créditeurs et décaissement. Par
exemple, il existe une instruction de travail pour la création d’un nouveau fournisseur :
données à recueillir, enquête de crédit à faire, autorisations à obtenir en fonction du type
d’achat, champs à remplir dans JobBOSS, etc. Il en existe également une sur la création
de matières premières : nomenclature permise, codification des dimensions, des types
d’alliage, certification exigée, etc.
Si un changement de procédure s’impose, une instruction de travail peut faire l’ob-
jet d’une refonte complète. Sinon, les instructions de travail sont révisées annuellement
afin de s’assurer de leur pertinence et des changements mineurs qui seraient nécessaires.
Lorsque la révision est terminée, tous les employés concernés par une instruction de tra-
vail modifiée en reçoivent une copie électronique et doivent répondre électroniquement
qu’ils ont pris connaissance de l’instruction de travail modifiée. Malgré cela, certains
traitements sont erronés par manque de formation. Entre autres, comme on oublie trop
souvent de former les nouveaux employés à l’aide de ces documents, il en résulte des
oublis, des erreurs, etc. Le bon fonctionnement du système de contrôle interne peut être
compromis par ce manque de formation.
Sur le plan opérationnel, l’entreprise a besoin d’information afin d’évaluer ses fournis-
seurs (qualité de la marchandise, respect des délais de livraison, exactitude de l’expédition
par rapport à la facturation, réduction de prix). La liste chronologique des comptes four-
nisseurs détermine les montants dus aux fournisseurs en fonction de la date d’échéance
des factures. Une analyse des délais de paiement permet de s’assurer que l’entreprise
profite autant que faire se peut des crédits offerts par les fournisseurs.

7.5 Pilotage
Voici quelques exemples d’activités de pilotage mises de l’avant par Fernande et
son équipe.
De façon périodique, Gaétan ou Malika sélectionne une dizaine de fournitures
différentes et va faire un dénombrement des stocks afin d’établir s’il y a des écarts. Si c’est
le cas, il ou elle fait des recherches et corrige l’inventaire s’il y a lieu.
Tous les trimestres, Fernande génère un rapport de l’ensemble des demandes de sou-
mission et sélectionne un échantillon de demandes pour lesquelles elle consulte ensuite
les réponses des fournisseurs (dans Quaero). Cela lui permet de s’assurer qu’au moins trois
fournisseurs font l’objet d’une demande de prix et que ce sont effectivement les prix les
plus bas qui dictent le choix des commandes.
Tous les jours, Gaétan ou Malika génère la liste des bons d’achat « ouverts » pour les-
quels la marchandise est en retard. Les acheteurs sont alors contactés pour obtenir le statut
des commandes correspondantes et valider leur date de réception. En plus de ce pilotage
périodique, les acheteurs évaluent les fournisseurs en fonction de leur capacité à respec-
ter les dates de livraison promises. Les fournisseurs mal évalués sont rencontrés par les
acheteurs afin de connaître les démarches qu’ils ont entreprises pour régler le problème.
Une fois par semaine, la directrice des finances génère un rapport de tous les bons
d’achat qui ont été « fermés » sans qu’il y ait eu de réception de marchandise (ni, par
conséquent, de facture traitée). Elle lit les notes de ces bons d’achat afin de vérifier s’il
s’agit bien de bons annulés par les acheteurs. Si ce n’est pas le cas, elle fait enquête.
Tous les mois, la directrice des finances génère la liste des chèques annulés ainsi que celle
des chèques émis. Elle vérifie qu’il n’y a pas de « trou » dans la suite numérique des chèques.
Par ailleurs, chez Métalika, une vérification s’impose lorsque des bons de livraison
datant de plusieurs semaines ne sont toujours pas appariés. En effet, il est « anormal »
qu’un fournisseur envoie de la marchandise sans la facturer. Pour ce faire, Sara Lee peut
générer une liste de tous les bons de réception de plus de 21 jours et valider la réalité de
ceux-ci. Elle appelle ensuite les fournisseurs pertinents pour obtenir les factures man-
quantes et s’assure que celles-ci n’ont pas déjà été traitées sans avoir été appariées aux bons
d’achat correspondants.
Chapitre 7 Cycle des achats, créditeurs et décaissements 169

Annexe : Règles et normes applicables au Canada


Plusieurs méthodes de paiement sont soumises à un ensemble de règles et de normes
qui ont été mises en place par l’ACP 20. L’ACP a été créée en vertu de la Loi canadienne
sur les paiements en 1980. L’adhésion y est obligatoire pour les banques à charte et la
Banque du Canada. Toutefois, plusieurs autres institutions financières en sont membres,
et elles ont tout intérêt à l’être si elles veulent pouvoir négocier entre elles ainsi qu’avec
les banques à charte. La liste des 115 membres de l’ACP est disponible sur son site Web
(voir la gure 7A.1).
Comme on le mentionne sur le site, cet organisme à but non lucratif encadre la
mise en place de systèmes sûrs et efficaces de compensation et de règlement en matière
de paiements. Le travail de standardisation effectué par l’ACP et ses membres a favorisé
l’émergence de plusieurs autres méthodes de paiement. Les paiements réglementés par
l’ACP sont présentés à la figure 7A.2 (voir la page suivante).
Le processus de compensation fait référence aux chèques qui doivent être triés, trans-
portés et encaissés entre institutions financières. Avec ses membres, l’ACP a établi des
spécifications pour les chèques afin d’en permettre un traitement automatisé efficace et
rentable ainsi que d’accroître l’utilisation de la technologie de l’imagerie21.
Ainsi, dans la partie A de la norme 006 de l’ACP, on énumère toutes les spécifi-
cations relatives à plusieurs formes de paiement, dont les chèques. Les spécifications
touchent entre autres la disposition des renseignements, la taille des polices, le type
de papier permis, l’encre à utiliser, etc. Parmi les éléments importants, mentionnons

FIGURE 7. A1 Liste des membres de l’ACP

Source : ACP. (2014). . Repéré au https://www.cdnpay.ca/imis15/fra/Membership/Member_List/fra/mem/Member_List.aspx

20. Pour obtenir plus d’information au sujet de l’ACP, on peut visiter son site Web à l’adresse www.cdnpay.ca.
21. À ce sujet, on peut accéder au document PDF intitulé Entreprises : Paiement par chèque sur le site Web de
l’ACP, à l’adresse https://www.cdnpay.ca/imis15/pdf/pdfs_publications/business_guide_cheques_fr.pdf.
170 Partie 2 Applications pratiques

que toutes les données propres à l’institution financière de l’émetteur (y compris le


numéro de chèque) doivent être inscrites à l’encre magnétique dans le bas du chèque.
Il est toujours possible de produire ses propres chèques, mais ils doivent être approuvés
par l’institution financière avant de pouvoir être utilisés. Aussi, l’ACP a accrédité des
imprimeurs qui ne sont pas assujettis aux exigences de vérification systématique selon
la norme 006. La liste de ces imprimeurs est disponible sur le site de l’association.
L’entreprise doit exercer un bon contrôle sur la production des chèques pour s’assurer
de respecter les règles de l’ACP.

FIGURE 7. A2 Répartition des paiements

Source : ACP. (2016). Répartition des paiements. Repéré au https://www.cdnpay.ca/imis15/fra/


CHAPITRE 8 Gestion des stocks et
cycle de la fabrication

D
ans le présent chapitre, il sera question de la gestion des
stocks ainsi que du processus de fabrication. Ici aussi, le
type d’entreprise (entreprise de fabrication, commerce de
détail, grossiste, entreprise de service) aura une incidence sur la
complexité des deux cycles en cause.
Ainsi, le processus de Métalika se veut plus complexe que celui
d’une librairie, par exemple. En effet, la première est une entre-
prise de fabrication pour laquelle il faut suivre plusieurs types de
stocks et gérer plusieurs types de modules (centre de travail, quart
de travail, imputation des frais généraux de fabrication [FGF],
etc.) ; tandis que la seconde, en tant que commerce de détail, ne
gère qu’un inventaire de produits finis de type « achetés ».
Par conséquent, le progiciel de gestion intégré (PGI) d’une
entreprise de fabrication comprend beaucoup plus de modules
que celui d’un commerce de détail. Enfin, il est à noter que les
PGI diffèrent quant à leur façon de concevoir le travail de fabri-
cation et que JobBOSS, en tant que PGI, est dédié aux ateliers
d’usinage comme celui de Métalika.
Dans la section 8.3 de ce chapitre, il sera question du stock
disponible, de la création de produits et de localisations, des
types de transactions, etc. Les produits en cours feront l’objet
de la section 8.4, qui traitera du processus de fabrication dans
son ensemble. Il va sans dire que la démarcation entre les stocks
n’est pas toujours clairement établie et qu’un même module peut
servir à plusieurs opérations. Aussi, il s’agit de faire un survol des
opérations qui ont cours chez Métalika, car le présent manuel ne
vise pas à détailler un processus de fabrication, mais à expliquer
certaines activités de contrôle.
172 Partie 2 Applications pratiques

8.1 Environnement de contrôle


Personnel de Métalika présent La gestion des stocks et la fabrication des produits nécessitent
dans ce chapitre une prise de conscience à l’égard des mesures de contrôle.
Les enjeux sont importants, puisque ces processus se trouvent
Nom Fonction
au cœur même des opérations de l’entreprise. La coordina-
Yvon Bourque Directeur d’usine tion des différents intervenants, tant internes qu’externes, est
Solange Prévost Directrice générale déterminante, car ces processus dépendent des autres services
Fernande Séguin Directrice administrative et du pour fonctionner efficacement. En outre, le service des ventes
contrôle nancier calcule les prévisions des ventes et saisit les commandes reçues,
Réginal St-Cyr Technicien en informatique soit les intrants qui alimentent le processus de fabrication et
celui de la gestion des stocks, d’où l’importance d’avoir des
données fiables. Le service des achats contribue également
au bon fonctionnement de la chaîne de fabrication et à une gestion équilibrée des stocks
en effectuant régulièrement des demandes de prix et des suivis de commandes. Enfin, le
service de la comptabilité participe à l’estimation des coûts, à la qualité de l’information
et à la préparation de plusieurs rapports qui permettent de gérer avantageusement l’usine.
Avec autant d’intervenants ayant des profils différents (comptables, ingénieurs, tech-
niciens, acheteurs, vendeurs), le rôle du directeur d’usine, Yvon Bourque, est crucial dans
la promotion et le maintien d’un environnement de contrôle propice au bon fonction-
nement du système de contrôle interne. Comme nous l’avons vu dans l’énoncé du cas,
Yvon est un « gars de plancher » qui n’est pas très porté sur l’informatique et les activités
de contrôle en général. Il est de ceux qui médisent du PGI et qui croient que l’on peut
« gérer une usine sans ça ». Cette attitude du directeur d’usine influence négativement le
fonctionnement du système de contrôle interne.
Toutefois, Solange Prévost, directrice générale (DG), a une tout autre attitude envers
le contrôle interne et les bienfaits du PGI. Elle est convaincue qu’une utilisation plus
efficiente du PGI pourrait améliorer significativement le processus de fabrication de
Métalika et même être un vecteur de croissance pour son entreprise. Elle le mentionne
fréquemment lors des réunions des directeurs de secteur et même lorsqu’elle se promène
dans l’usine. Elle souhaite stimuler l’adhésion des employés au bon fonctionnement du
système de contrôle interne, sans toutefois réduire l’influence de son directeur d’usine car,
s’il n’est pas un adepte du PGI et du contrôle interne, Yvon connaît très bien le processus
de fabrication. Aussi, il est respecté de ses employés et Solange désire qu’il le demeure.
Par contre, pour pallier cette faiblesse dans l’environnement de contrôle, Solange a
embauché Fernande Séguin à titre de directrice administrative et du contrôle financier.
Fernande est une CPA-CMA qui a acquis une grande expertise en matière de PGI et de
contrôle interne. Elle s’intéresse depuis longtemps à l’amélioration des systèmes de gestion,
particulièrement en utilisant efficacement les technologies de l’information (TI). D’ailleurs,
la revalorisation du PGI fait partie des raisons qui ont amené Métalika à choisir Fernande
comme nouvelle directrice. Avec l’arrivée de Fernande, on assiste à un changement graduel
de culture sur le plan de la gestion des stocks et de la fabrication. Notamment, les employés
commencent à prêter une attention plus particulière à leurs interactions avec le PGI, car
ils sont de plus en plus conscients de l’importance des renseignements qui en découlent.

8.2 Objectifs, risques et activités de contrôle


Les risques liés aux différents objectifs et les activités de contrôle associées aux cycles de la
gestion des stocks et de la fabrication sont présentés dans le tableau 8.1. À l’aide de ce tableau,
l’étudiant peut analyser les processus des sections 8.3 et 8.4 du chapitre en cours. Les objec-
tifs, les risques et les activités de contrôle des deux processus sont combinés dans le tableau.
Étant donné que les systèmes évoluent et que les processus doivent s’adapter aux
nouvelles réalités, le lecteur est encouragé à bonifier le tableau en y ajoutant des objectifs,
Tableau des risques ou des activités de contrôle. Pour nourrir sa réflexion, voici quelques questions
Chapitre 8 Gestion des stocks et cycle de la fabrication 173

TABLEAU 8.1 Objectifs, risques et activités de contrôle associés à la gestion


des stocks et au cycle de la fabrication
Objectif selon le cube COSO Risque Activité de contrôle
Numéro Description Numéro Description Numéro Description
OC-01 Assurer la qualité des pro- R-16 Se faire poursuivre pour AC-13 Obtenir la certication d’une rme
duits fabriqués ne pas avoir respecté les d’ingénieurs externes concernant
normes de sécurité des le respect de la législation en ma-
produits en vigueur tière de sécurité
OC-01 Assurer la qualité des pro- R-10 Recevoir des constats AC-18 S’assurer que les responsables
duits fabriqués d’infraction de la part de de la qualité suivent une forma-
la Régie du bâtiment du tion régulière concernant la
Québec nouvelle réglementation
OC-02 Respecter les normes en R-17 Subir des accidents at- AC-02 Créer des emplacements détermi-
matière d’entreposage des tribuables à un mauvais nés pour les produits dangereux
produits dangereux entreposage de produits
dangereux
OC-03 Respecter les règles R-09 Voir augmenter les taux de AC-09 Sensibiliser les employés et les
de la Commission de la cotisation à la CSST à la superviseurs à l’importance de
santé et de la sécurité du suite d’un nombre d’acci- respecter les mesures de sécurité
travail (CSST) dents trop élevé
OC-03 Respecter les règles de la R-06 Recevoir des pénalités AC-14 S’assurer que les responsables
CSST pour non-respect des de la sécurité suivent une
règles de la CSST formation régulière concernant
la nouvelle réglementation
OC-04 Avoir un système de suivi des R-15 Se voir imposer des pénali- AC-11 Attribuer un numéro de produit
garanties qui respecte la ré- tés pour le non-respect des (code à barres) à chaque produit
glementation québécoise garanties légales
OIF-01 Évaluer les stocks de façon R-03 Produire des états nan- AC-05 Imprimer le rapport des produits
sufsamment précise pour ciers erronés qui induisent à rotation lente et vérier la
assurer la abilité des états des utilisateurs externes sufsance de la provision pour
nanciers en erreur désuétude
OIF-01 Évaluer les stocks de façon R-03 Produire des états nan- AC-16 Vérifier le caractère raisonnable
sufsamment précise pour ciers erronés qui induisent de la marge bénéficiaire brute
assurer la abilité des états des utilisateurs externes mensuelle et trouver des explica-
nanciers en erreur tions en cas d’écarts significatifs
OIF-01 Évaluer les stocks de façon R-03 Produire des états nan- AC-20 Rapprocher le rapport mensuel de
sufsamment précise pour ciers erronés qui induisent mouvement des stocks pour vali-
assurer la abilité des états des utilisateurs externes der les soldes aux états nanciers
nanciers en erreur
OIF-02 S’assurer du bien-fondé des R-04 Avoir des écritures men- AC-22 Faire autoriser les écritures de
écritures de rajustement des suelles de rajustement des rajustement par la DG
stocks stocks qui sont erronées
OIF-03 Respecter les normes comp- R-11 Utiliser une méthode d’éva- AC-19 Valider la méthode d’accumula-
tables dans le processus luation des coûts qui n’est tion des coûts et de traitement
d’imputation des coûts de pas conforme au référentiel des écarts (matières premières,
fabrication d’information nancière main-d’œuvre directe et FGF)
applicable avec les auditeurs externes
OO-01 Connaître à tout moment les R-01 Avoir des produits excé- AC-04 Faire des dénombrements des
quantités en stock de chaque dentaires qui occupent stocks périodiques pour vérier la
produit inutilement de l’espace abilité de l’inventaire permanent

OO-01 Connaître à tout moment les R-05 Être en rupture de stock AC-04 Faire des dénombrements des
quantités en stock de chaque stocks périodiques pour vérier la
produit abilité de l’inventaire permanent

OO-01 Connaître à tout moment les R-01 Avoir des produits excé- AC-12 Mettre en place un système d’in-
quantités en stock de chaque dentaires qui occupent ventaire permanent
produit inutilement de l’espace
174 Partie 2 Applications pratiques

TABLEAU 8.1 Objectifs, risques et activités de contrôle associés à la gestion


des stocks et au cycle de la fabrication ( )
Objectif selon le cube COSO Risque Activité de contrôle
Numéro Description Numéro Description Numéro Description
OO-01 Connaître à tout moment les R-05 Être en rupture de stock AC-12 Mettre en place un système d’in-
quantités en stock de chaque ventaire permanent
produit

OO-02 Avoir des renseignements R-12 Rencontrer des problèmes AC-01 Faire vérier le travail de création
ables sur les produits ache- de fabrication causés d’un produit par une deuxième
tés, fabriqués et vendus par par de mauvais rensei- personne
l’entreprise gnements concernant un
produit
OO-02 Avoir des renseignements R-12 Rencontrer des problèmes AC-17 Restreindre l’accès au module de
ables sur les produits ache- de fabrication causés création d’un produit à un petit
tés, fabriqués et vendus par par de mauvais rensei- nombre d’employés qui ont les
l’entreprise gnements concernant un compétences sufsantes
produit
OO-02 Avoir des renseignements R-12 Rencontrer des problèmes AC-21 Écrire une procédure expliquant le
ables sur les produits ache- de fabrication causés processus de création de produits
tés, fabriqués et vendus par par de mauvais rensei-
l’entreprise gnements concernant un
produit
OO-03 Gérer efcacement toutes les R-14 Assumer un coût de désué- AC-10 Faire vérier la liste d’inventaire
catégories de stocks tude pour des produits qui par le directeur des ventes qui
ne se vendent plus connaît bien les produits et tenter
de céder ceux qui sont désuets
OO-04 Éviter qu’un produit donné R-08 Être en présence de dou- AC-03 Établir une procédure présentant
soit créé plus d’une fois dans blons (deux numéros pour la nomenclature à utiliser pour
le PGI un même produit) qui occa- créer un produit
sionnent des erreurs dans
les achats
OO-05 S’assurer que toutes les R-02 Dépasser les coûts de fa- AC-07 Produire un rapport journalier qui
commandes fabriquées sont brication estimés et ne pas montre le niveau d’avancement
rentables réaliser de marge béné- d’une job en fonction des coûts
ciaire sur une commande imputés
OO-05 S’assurer que toutes les R-02 Dépasser les coûts de fa- AC-08 S’assurer que les coûts de fabri-
commandes fabriquées sont brication estimés et ne pas cation d’un produit sont mis à jour
rentables réaliser de marge béné- régulièrement
ciaire sur une commande
OO-05 S’assurer que toutes les R-02 Dépasser les coûts de fa- AC-23 Faire autoriser le rapport de suivi
commandes fabriquées sont brication estimés et ne pas des coûts par la DG lorsque la
rentables réaliser de marge béné- commande est terminée
ciaire sur une commande
OO-06 S’assurer que les produits R-18 Accroître les coûts de fa- AC-24 Créer un lot spécique pour les
respectent les spécications brication pour des produits produits qui semblent défectueux
xées par Métalika et ses qui semblent défectueux et poursuivre le processus de fa-
clients en cours de fabrication brication pour les autres
OO-07 Avoir un processus de locali- R-07 Ne pas retrouver un pro- AC-06 Mettre en place une procédure de
sation efcace et efcient duit qui est pourtant dans création des emplacements dans
l’usine l’usine et l’entrepôt

que la direction de Métalika s’est posées lorsqu’est venu le temps d’évaluer les risques et de
mettre en place des activités de contrôle susceptibles de réduire les risques ciblés :
• Est-ce que le système de gestion de l’usine permet de réaliser les objectifs de
croissance de l’entreprise ?
• Métalika est-elle en mesure de respecter les dates de livraison promises lors de
l’acceptation d’une commande client ?
Chapitre 8 Gestion des stocks et cycle de la fabrication 175

• La capacité de production est-elle suffisante pour atteindre les objectifs de vente ?


• Les stocks sont-ils gérés de manière à assurer un approvisionnement efficient et
de qualité de la chaîne de fabrication ?
• Le processus d’estimation des coûts d’un produit est-il suffisamment fiable pour
assurer l’atteinte de la rentabilité souhaitée ?
• La gestion des stocks permet-elle de réduire les pertes et le vol de matériel au
minimum ?
• L’accumulation des coûts par commande est-elle assez précise pour dégager la
rentabilité réelle d’une commande ?
• Les systèmes en place assurent-ils une bonne comptabilisation des coûts et une
évaluation adéquate des stocks de fin de mois ?
• La planification du processus de fabrication fonctionne-t-elle de manière à réduire
les pertes de temps dans l’usine ?

8.3 Stocks
À l’exception des entreprises de service, les stocks constituent souvent un actif impor-
tant d’une entreprise. Les stocks comprennent les matières premières, les fournitures,
les produits en cours (de fabrication)1 et les produits finis (achetés ou fabriqués). Suivre
en temps réel le mouvement du matériel était (et est encore pour certaines entreprises)
un défi de taille. Toutefois, les progiciels informatiques facilitent ce suivi, à la condition
bien sûr que toutes les transactions, souvent appelées « mouvement de matériel », soient
enregistrées dans le système. Heureusement, le suivi des stocks s’est simplifié grâce à
l’utilisation de numériseurs (scanneurs) et de codes à barres, mais ce ne sont pas tous
les stocks qui possèdent un tel code. Un aperçu des stocks que doit gérer Métalika est
présenté à la figure 8.1.

FIGURE 8.1 Gestion des stocks

1. Ce type de stocks sera présenté plus en détail dans le chapitre 10. Chez Métalika, c’est la liste des
jobs ouvertes, en attente, en suspens et dont la quantité à fabriquer n’a pas été transférée en totalité
vers le stock de produits finis qui constitue la liste des produits en cours (voir la section inférieure de
la figure 8.1).
176 Partie 2 Applications pratiques

La connaissance en temps réel des quantités en stock (inventaire permanent)


implique que l’entreprise enregistre le mouvement du matériel en tout temps, par
opposition à un inventaire théorique qui est déduit à partir de la marge bénéficiaire
brute estimée. Cela signifie également que toute personne effectuant une opération
(réception, consommation, relocalisation, expédition, etc.) sur un produit inventorié
doit l’enregistrer dans le PGI. C’est le cas chez Métalika, mais ce n’est pas le cas dans
toutes les entreprises.

FALLAIT Y PENSER !
On pourrait croire que l’utilisation de numériseurs et de codes à barres a révolutionné la ges-
tion des stocks des épiceries, mais il semble que ce ne soit pas le cas. Même si les produits
sont numérisés par les caissières, les épiceries n’ont pas d’inventaire permanent, peu importe
le type de produits. La numérisation ne sert qu’à l’enregistrement des produits vendus et
aux analyses de consommation subséquentes. De plus, dans ce type de commerce, la pro-
blématique du suivi de l’inventaire des fruits et des légumes ou de celui de la viande pose
de sérieux dés. Par exemple, un bœuf doit être débité en plusieurs pièces différentes dont
le prix à la livre varie en fonction de la partie de l’animal. Si l’épicier réceptionnait le bœuf,
comment devrait-il procéder ?

La gestion des stocks implique un ensemble d’opérations ponctuelles (voir la gure 8.2)
(création de produits, de localisations), d’opérations quotidiennes (réception, consomma-
tion, etc.), d’opérations périodiques (évaluation de fin de mois), et même d’opérations de
fin d’année (qui seront vues dans la section sur le pilotage du chapitre en cours).

FIGURE 8.2 Opérations relatives aux stocks


Chapitre 8 Gestion des stocks et cycle de la fabrication 177

Ces opérations sont présentées sous forme de matrice, car elles ne forment pas réelle-
ment un processus linéaire comme c’est le cas pour plusieurs autres processus, notamment
celui des achats ou celui des ventes.

8.3.1 Opérations ponctuelles


Création de produits
Pour pouvoir bénéficier des avantages d’un PGI et d’un suivi en temps réel des stocks,
il faut que les produits soient créés dans le progiciel. Cette création peut être manuelle
(c’est-à-dire qu’il faut saisir toutes les données à l’écran) ou automatisée (un lecteur de
codes à barres permet de saisir les données concernant le produit à partir d’une banque,
par exemple d’une liste des numéros internationaux normalisés du livre [ISBN] dans une
librairie). Métalika profite de la gestion automatisée lorsqu’un de ses fournisseurs lui donne
accès à sa base de données qui contient l’informa-
tion détaillée sur un produit, par exemple lorsqu’elle
achète des pièces de quincaillerie pour lesquelles les
Menu « Administration
fournisseurs lui ont fourni leur répertoire de codes à
barres. Malheureusement, les feuilles de métal dont FIGURE 8.3 du système »
elle a besoin ne bénéficient pas de codes à barres.
L’entreprise se doit donc de saisir manuellement les
données relatives à ces produits. L’accès direct à la
base de données du fournisseur réduit le risque d’er-
reurs de saisie au moment de la création de produits
et, ce faisant, il en améliore le contrôle interne.
Le progiciel utilisé par Métalika est doté de deux
fichiers maîtres (voir la gure 8.3), soit de celui pour les
matières premières et de celui pour les autres stocks2 de
type « quincaillerie », « fournitures » et « produits finis ».
Les particularités associées au traitement des matières
premières dans un atelier d’usinage expliquent cette
distinction. En effet, les matières premières présentent
des caractéristiques physiques (alliage, poids, dimen-
sion, conversion des unités d’achat en unités de fabri-
cation, etc.) qui nécessitent un traitement différent
des autres types de stocks.

Matières premières
Pour créer un produit, il faut saisir des données plus ou moins nombreuses selon les
besoins en gestion de l’entreprise. Mais avant tout, il faut statuer sur la codification
des produits (nomenclatures) afin d’éviter que des produits ne soient créés plus
d’une fois avec deux noms légèrement différents. En effet, la présence de doublons
a déjà été une source importante de problèmes chez Métalika. Ainsi, les acheteurs
commandaient des produits pour lesquels une quantité suffisante était disponible,
augmentant ainsi inutilement les coûts des stocks. Les recettes (jobs) faisaient alors
appel à des produits que l’entreprise ne possédait pas parce qu’ils ne correspon-
daient pas à la codification établie. En conséquence, l’analyse de la consommation
annuelle était erronée, car les données se retrouvaient dans deux fichiers différents.
En d’autres mots, une matière première pouvait avoir deux numéros de produits qui
lui étaient attribués.
Pour remédier à ce problème, Métalika a mis en place une activité de contrôle sous la
forme d’une procédure écrite de création de produits. Cette procédure contient entre autres
une instruction de travail détaillée pour la codification des produits. Cette instruction a
été envoyée à tous ceux qui utilisent les numéros de produits dans le cadre de leur travail

2. Le menu qui correspond à ces stocks se nomme « Matériau » dans le PGI.


178 Partie 2 Applications pratiques

(programmeurs, planificateurs, techniciens, acheteurs, etc.). Une confirmation de lecture


et de compréhension a été demandée à tous les destinataires. Enfin, à titre de contrôle
supplémentaire, seules quelques personnes ont maintenant le droit de créer du matériel.
La signature de la compréhension de la procédure vise à s’assurer que la communication de
l’information est adéquate et qu’elle est connue des personnes visées par cette procédure.
Selon le type d’article créé, les données à inscrire sont plus ou moins nombreuses. À
titre d’exemple, trois des six onglets du sous-menu « Matières premières » sont présentés à
la figure 8.4, soit les onglets « Général », « Dimensions » et « Balances ».

FIGURE 8.4 Trois onglets du sous-menu « Matières premières »

L’instruction de travail mentionnée précédemment prévoit également l’explication des


différents champs que contiennent ces onglets et les répercussions d’une mauvaise saisie
dans l’un d’eux. Ainsi, la distinction entre une unité d’inventaire, une unité d’achat et
un coût d’unité est importante, car elle sert à calculer les coûts qui figurent sur les bons
de commande, les coûts des matières réceptionnées et les coûts des matières consommées
par les jobs, en tenant compte des données de l’onglet « Dimensions » qui servent à la
conversion3. Aussi, plusieurs des variables sont définitives une fois le produit créé. Si
elles sont erronées, il est alors impossible de les changer. Il faut donc recréer le produit
tout en respectant les consignes sur la codification, ce qui n’est pas toujours possible,
puisque le code qui s’impose existe déjà. Heureusement, il est maintenant possible, grâce

3. La conversion est nécessaire, puisque l’unité d’achat (par exemple, la longueur) peut être différente de
celle utilisée dans la fabrication (par exemple, le poids).
Chapitre 8 Gestion des stocks et cycle de la fabrication 179

à un utilitaire4, de renommer le produit erroné afin de pouvoir le recréer avec les bonnes
variables. Compte tenu de la complexité du travail de création d’un produit, il est sou-
haitable de restreindre l’accès à ce module à un nombre limité de personnes. De plus,
Métalika exige que chaque produit créé soit révisé par une autre personne avant d’accepter
le nouveau produit.

Matériau
Le sous-menu « Matériau » sert à créer les produits de type « quincaillerie », « fourni-
tures » et « produits finis ». Quoique ces produits puissent faire l’objet de « conversions »
du genre « une boîte de gants correspond à 12 paires de gants », ces produits sont des
indivisibles, contrairement aux matières premières. L’entreprise distingue la quincail-
lerie des fournitures sur la base de leur utilité. Si une pièce entre dans la fabrication
d’un produit, il s’agit de quincaillerie, sinon c’est une fourniture. Par exemple, les œillets
sont codés « Quincaillerie » et les mèches servant à perforer les feuilles de métal sont
codées « Fournitures ».
Chez Métalika, l’achat de fournitures est entièrement passé en charges. Toutefois,
pour en faciliter le suivi, l’entreprise se sert des fonctionnalités de l’inventaire de type
« fournitures » aux fins d’achat (point de commande). Il n’y a donc aucun compte de
grand livre au bilan pour les fournitures, même si le rapport d’inventaire affiche des
montants.

FALLAIT Y PENSER !
L’inventaire permanent des fournitures est exempt d’erreurs si tous ceux qui consomment
des fournitures (ou en retournent l’excédent) en font la saisie dans le système. Malheureuse-
ment, les discours « Le système n’est pas bon », « C’est trop long », « J’étais pressé » viennent
trop souvent justier des comportements de laisser-aller, où les rajustements ne sont pas
faits régulièrement ou sont mal faits. Alors, même avec un PGI, les acheteurs sont en mode
de gestion de crise et nissent par ne plus se baser sur l’information fournie par le système
pour prendre leurs décisions d’achat. Cela augmente le risque d’erreur et réduit l’efcience
du travail des acheteurs. Ils consacrent plus de temps qu’ils le devraient à l’achat des four-
nitures, et les ruptures de stock sont trop fréquentes.
Pour éviter une telle situation, il faut que tous les employés adhèrent à la directive et accordent
la même importance à la rigueur que dans le cas des matières premières. Régulièrement, les
acheteurs effectuent un dénombrement des fournitures mais, aussitôt terminé, il est déjà
erroné, car le personnel n’en fait pas son affaire. Métalika songe à ajouter un nouveau maga-
sin pour les fournitures et à embaucher un autre magasinier. C’est dommage, puisque cela
représente un coût qui pourrait facilement être éliminé avec un peu de bonne volonté. Pour
prendre sa décision, l’entreprise doit quantier le coût de la mauvaise information en termes
de perte de temps des employés, des inconvénients reliés au manque de fournitures, d’inci-
dence sur le processus de fabrication, etc.

Enfin, dans un environnement de fabrication sur commande comme celui de Méta-


lika, la création d’un produit de type « produit fini » qui est fabriqué par l’entreprise (par
opposition à un produit fini acheté auprès d’un fournisseur) suppose que les techniciens
aux méthodes créent également une job modèle (comprendre « gamme » ou « recette »)
dans le sous-module « Entrée de jobs » du menu « Traitement de la commande5 ». Ce
modèle est utilisé par l’équipe de vente pour préparer une soumission, par ceux de la
fabrication pour mettre une job en route, et par les acheteurs pour acheter les matières
premières nécessaires à la fabrication des produits finis.

4. L’accès à cet utilitaire, qui ne fait pas partie intégrante du progiciel JobBOSS, est limité à trois personnes
compétentes qui connaissent les risques associés à une telle opération. En effet, si un article créé a fait
l’objet d’une transaction ne serait-ce qu’une seule fois, il y a un ensemble de tables qui seront modifiées
pour tenir compte du changement de nom.
5. Cette opération sera vue plus en détail dans la prochaine section du chapitre.
180 Partie 2 Applications pratiques

Création des localisations


Pour suivre ou retrouver rapidement un produit, il faut connaître son emplacement.
Un bon PGI comprend donc un module de localisation qu’il faut alimenter. Ce
module fait également partie du menu « Administration du système » de JobBOSS
(voir la gure 8.3 à la page 177).
Ainsi, il faut déterminer des zones d’entreposage dans l’entreprise, auxquelles sont
attribués des codes. Ensuite, dans chaque zone, on désigne toutes les étagères (au moyen
de lettres, par exemple), tandis que les tablettes sont numérotées de façon séquentielle.
Chez Métalika, il y a deux entrepôts (A et B) pour les quatre types de produits (matières
premières, quincaillerie, fournitures et produits finis ; voir la gure 8.5). Ces données ont
été créées au préalable dans le sous-menu « Préférences », à l’onglet « Code utilisateur6 ».
La localisation A-A11 correspond à la rangée A de la section 11 de l’entrepôt A, qui est
l’entrepôt des produits finis.

FIGURE 8.5 Sous-menu « Localisation »

Il va sans dire que tous les produits doivent être « localisés » dans le PGI. Au moment
de sa réception, le commis inscrit l’endroit où une matière a été entreposée. Si un employé
la déplace, il doit enregistrer le mouvement. De plus, lorsqu’une job est transférée aux pro-
duits finis, il faut attribuer une localisation aux produits finis correspondants. Pour ce qui
est des produits en cours, c’est l’opération en cours (le centre de coût ou la machine)
qui fournit la localisation des produits.

6. Comme nous l’avons déjà mentionné, le sous-menu « Préférences » comprend plusieurs onglets dont
les données ont une incidence sur plusieurs menus ou fonctions de l’application. Ainsi, la plupart des
codes utilisés dans JobBOSS (comprendre « menu déroulant ») sont créés dans l’onglet « Code utilisa-
teur ». C’était le cas des termes de paiement dans le chapitre précédent, portant sur les achats, créditeurs
et décaissements.
Chapitre 8 Gestion des stocks et cycle de la fabrication 181

En termes de contrôle interne, la création de localisations demande une certaine


réflexion pour que le système soit optimal. Par exemple, plus les localisations sont
petites, plus il est facile pour un employé de trouver un produit lorsqu’il en a besoin.
Toutefois, plus il y a de localisations, plus il y a de transferts à faire lors du mouvement
de matériel. Il faut trouver un équilibre qui maximise l’efficacité dans son ensemble. La
taille des produits, leur valeur et leur dangerosité sont d’autres facteurs qui entrent en
ligne de compte dans l’analyse du nombre de localisations et de la taille de ces dernières.

8.3.2 Opérations quotidiennes

Mouvement des stocks


La figure 8.6 donne un aperçu des transactions qui font l’objet d’une saisie dans un PGI.
Les consignes entourant ces transactions sont colligées dans des instructions de travail.
Ces dernières sont revues annuellement, et les employés doivent confirmer qu’ils en ont
pris connaissance. Il s’agit d’activités de contrôle qui structurent le fonctionnement de
la gestion des stocks, améliorent la performance des intervenants et assurent une bonne
qualité de l’information financière qui en découle.

FIGURE 8.6 Mouvement des stocks

Comme nous l’avons vu au chapitre précédent, c’est le magasinier qui réceptionne la


marchandise commandée. Ce faisant, il saisit une entrée dans le registre d’inventaire. Pour
bien exécuter sa tâche, il doit être au fait des consignes concernant l’assignation de lots, de
numéros de série (s’il y a lieu), de localisations de produits, de contrôle de la qualité, etc. Il
doit également s’assurer que la quantité reçue correspond à la quantité sur le bon de livraison.
Au moment de préparer le matériel pour une nouvelle job, s’il ne retrouve pas phy-
siquement un produit qui est pourtant en stock dans le système, le magasinier doit faire
une recherche, aviser Fernande s’il s’agit d’un produit de valeur significative et effectuer
un « rajustement » dans le progiciel. Cela correspond alors à une sortie d’inventaire.
182 Partie 2 Applications pratiques

Si un magasinier doit déplacer un produit sur


les tablettes, il doit également l’indiquer dans le
Fonctionnalités du module PGI en effectuant un transfert de localisation. Il n’y
FIGURE 8.7 « Contrôle des matériaux » a alors aucune incidence sur la quantité en stock,
mais un déplacement qui permet de localiser faci-
lement le produit.
Lorsqu’une job est terminée et que les pièces ont
été inspectées, le personnel de la planification procède
au transfert des bonnes pièces terminées vers l’inven-
taire des produits finis. Il s’agit alors d’une entrée de
matériel dans l’inventaire des produits finis. Toute-
fois, le planificateur ne connaît pas la localisation
finale des produits au moment d’effectuer le transfert
des produits en cours vers les produits finis. Alors,
il leur attribue une localisation temporaire. Si les
pièces doivent être entreposées, le magasinier procède
à l’emballage des pièces en fonction des quantités à
livrer, il les met sur un rayon et il inscrit la nouvelle
localisation dans le PGI. Il se peut qu’une même production
de pièces se retrouve à trois endroits différents dans l’entrepôt
FIGURE 8.8 Menu « Expédition » selon les dates prévues de livraison, d’où l’importance d’exercer
un bon contrôle sur les mouvements de stock et de procéder
à des dénombrements ciblés (de quelques produits) de façon
périodique. L’ampleur des écarts relevés constitue un bon
indicateur de la qualité de la mise en œuvre des mesures de
contrôle liées à la gestion des stocks et permet au gestionnaire
d’appliquer les correctifs nécessaires, le cas échéant.
La plupart des transactions mentionnées précédemment
sont effectuées dans le module « Contrôle des matériaux »
(voir la gure 8.7).
Lorsque le magasinier prépare le matériel pour la produc-
tion d’un lot, il consomme du matériel (brut) dans une job. Il
s’agit alors d’une sortie de stock, que l’on retrouve dans une
job7. Cette opération se fait dans le sous-module « Sortir matériau ».
Lorsque le magasinier prépare une livraison pour un client, il effectue une sortie de
matériel. C’est la génération d’un bon de livraison et la sélection du produit sur le bon qui
réduisent l’inventaire. Cette opération est effectuée dans le module « Expédition » du PGI
(voir la gure 8.8). Il va de soi que, pour avoir une séparation des tâches incompatibles,
l’accès au module d’expédition doit être limité aux magasiniers.

FALLAIT Y PENSER !
Les magasiniers veulent parfois préparer à l’avance les documents d’expédition pour les
commandes des clients. Ils remplissent alors le bon de livraison en devançant la date dans le
système lorsqu’ils sélectionnent le produit sur le bon de livraison. En soi, ce n’est pas grave
si l’on ne se trouve pas en n de mois. Par contre, cela le devient si la date du bon est posté-
rieure à celle de la n du mois. En effet, lorsque l’on génère le rapport détaillant le mouvement
de matériel entre le début et la n du mois, cette transaction n’apparaît pas… et la liste des
bons de livraison non facturés à la n du mois ne permet pas de détecter la transaction. Les
employés en ont été avisés, mais parfois, c’est plus fort qu’eux! C’est la raison pour laquelle
Fernande génère toujours un rapport des transactions postdatées à la n du mois. La qualité
de l’information nancière en dépend.

7. Plusieurs rapports permettent de connaître le montant des stocks inclus dans les produits en cours.
Chapitre 8 Gestion des stocks et cycle de la fabrication 183

Toutes ces transactions sont conservées dans le système et font l’objet de plusieurs
rapports, dont celui intitulé « Changement d’inventaire ». Ce rapport permet de suivre le
mouvement d’un ou de plusieurs articles durant une période donnée. Il sert également
à faire le lien entre l’inventaire du début et celui de la fin du mois, à condition bien sûr
que les transactions ne soient pas postdatées. Le service de la comptabilité se sert de ce
rapport de mouvement de stock pour rajuster le solde des différentes catégories de stock
dans les états financiers mensuels. Ce rapport peut aussi servir à vérifier la plausibilité des
mouvements de stock et mettre en lumière les cas qui semblent anormaux, par exemple,
le transfert d’un produit du stock de matières premières vers les produits finis sans passer
par les travaux en cours.

Sécurité des stocks


Il y a quelques années, Métalika a décidé de limiter l’accès à ses différents entrepôts, tant
pour réduire la « disparition » de matériel que pour s’assurer d’un traitement approprié
des données dans le PGI. Elle a isolé l’aire de travail des magasiniers en posant des gril-
lages, derrière lesquels ils travaillent désormais. De plus, elle a fait installer des camé-
ras de surveillance aux environs des entrepôts et près des quais de livraison. Dans les
bureaux administratifs, il y a plusieurs téléviseurs qui présentent les images en continu
des différentes caméras de surveillance. Tout un chacun peut y jeter un coup d’œil et
signaler les comportements inappropriés, s’il y a lieu. Les images sont conservées durant
une semaine.
Cette installation physique a modifié les façons de faire de tout le monde. Par
exemple, le magasinier prépare le matériel nécessaire à une job, fait la sortie de matériel
dans le PGI et va porter les articles au premier poste de travail de la tâche. Deux fenêtres
sont également disponibles pour que les employés y récupèrent d’autres produits s’il vient
à en manquer ou pour rapporter les produits en trop (lorsque la quantité réellement
fabriquée se veut inférieure à celle escomptée). Aussitôt qu’un lot de pièces est terminé,
le magasinier en est avisé par une alerte informatique (« Poste de travail #XXX – lot ter-
miné »). Il va donc récupérer le lot, l’inspecte, l’emballe et l’entrepose dans la localisation
appropriée.
Contrairement aux produits finis et aux matières premières, les produits en cours sont
facilement accessibles. Métalika estime que le risque de vol de cette catégorie de stocks est
relativement faible. Elle n’a donc pas jugé nécessaire d’avoir des entrepôts de produits en
cours répartis un peu partout dans l’usine. La relation coûts-bénéfices se trouve encore au
cœur de l’analyse des activités de contrôle.
Toutefois, ce ne sont pas tous les produits qui font l’objet d’un tel contrôle. En effet,
les fournitures sont disponibles à plusieurs endroits dans l’usine et Métalika hésite à centra-
liser le tout. De plus, les produits de moindre importance, comme les produits d’entretien
ménager, d’impression ou de papeterie ne font pas partie de l’inventaire permanent. Ces
articles sont plus ou moins contrôlés, avec les inconvénients que cela entraîne. Par exemple,
l’acheteur n’a pas été avisé que la dernière boîte de papier avait été utilisée, il n’a donc pas
fait de commande. On aura alors éventuellement une pénurie de papier qui va créer une
petite urgence.

8.3.3 Opérations périodiques


Les modules financiers ne sont pas liés au module d’inventaire dans JobBOSS. Il faut
procéder par écritures de journal en fin de mois pour rajuster les comptes de stocks.
De plus, la notion de fin de mois n’existe pas dans les modules d’inventaire, puisqu’il
s’agit de registres permanents. Dans ce cas, il faut faire une « image » des données à la
fin d’un mois, soit en imprimant (ou en exportant dans Excel) les différentes listes
nécessaires ou, comme l’a décidé Métalika, en faisant une copie des données de Job-
BOSS à chaque fin de mois. Ainsi, puisque JobBOSS offre la possibilité de se connec-
ter à plusieurs bases de données différentes, Fernande estime préférable de travailler
directement dans le PGI. Seule Fernande a accès aux bases de données de fin de mois.
184 Partie 2 Applications pratiques

Par ailleurs, certaines procédures de contrôle interne ont été


Critères de sélection pour
mises en place pour s’assurer de la fiabilité des données. Tous
FIGURE 8.9 le rapport d’inventaire
les mois, Fernande génère la liste d’inventaire de fin de mois
(voir les gures 8.9 et 8.10)8.
Elle analyse le rapport « Changement de matériel » afin de
s’assurer que le montant des réceptions correspond à celui des
achats (variation des comptes de grand livre de type « achat
de matériel »), que celui des consommations correspond à la
variation de stock dans les travaux en cours, etc. Elle calcule
l’inventaire de fin de mois théorique et le compare ensuite
avec le montant dans l’auxiliaire. Elle effectue également
l’écriture de rectification dans le PGI. Cette écriture, comme
toutes les écritures de journal de grande valeur, doit être
approuvée par la DG.
Chaque trimestre, Fernande génère la liste des pro-
duits qui n’ont pas bougé depuis plus de six mois. Même
si la notion de désuétude ne s’applique pas à ces produits,
contrairement à ceux des TI ou de la mode, par exemple,
elle s’assure qu’ils n’ont pas perdu de valeur. C’est le cas,
notamment, de pièces de quincaillerie qui ne servent qu’à
fabriquer un seul produit que l’entreprise a cessé de pro-
duire ou de vendre. La provision pour désuétude repré-
sente un élément qui peut parfois être significatif pour la
détermination du bénéfice net. De plus, pour atteindre
ses objectifs de bonne gestion, il faut identifier les stocks
à faible rotation afin que le gestionnaire prenne les
mesures qui s’imposent. Ces stocks inutiles ont un coût de

FIGURE 8.10 Liste d’inventaire de type « matériau brut »

8. La méthode de calcul du stock des produits en cours sera vue dans la prochaine section.
Chapitre 8 Gestion des stocks et cycle de la fabrication 185

financement, occupent en vain de l’espace d’entreposage, nécessitent une manuten-


tion inutile et réduisent les liquidités disponibles.

8.3.4 Considérations particulières


Il existe des situations où il faut adapter son progiciel afin d’être en mesure de contrôler
des éléments qui, au départ, ne sont pas clairement prévus par celui-ci. C’est le cas des pro-
duits en consignation. En effet, certains clients fournissent à Métalika le matériel servant
à la fabrication de leurs produits. Par ailleurs, Métalika possède un stock propre de ces
mêmes produits. L’entreprise doit donc être en mesure d’identifier le propriétaire des pro-
duits qu’elle a en stock, sans toutefois créer de doublon dans leur codification. Métalika
utilise le champ « Lot » pour faire cette distinction. Ainsi, un lot qui commence par la
lettre M est un lot acheté par Métalika, tandis qu’un lot qui commence par la lettre C est
un lot fourni par le client. Lorsque Métalika produit la liste des articles en stock, elle valide
que les lots M ont un prix unitaire supérieur à 0 $ et que les lots C ont une valeur de 0 $.
Les dates de péremption sont en quelque sorte une déclinaison de la gestion des lots
dont nous venons de discuter. Métalika n’a pas ce problème, mais plusieurs entreprises
doivent prendre en considération que leurs produits ont une durée de vie limitée. Il leur faut
donc identifier spécifiquement chacun des lots qu’elles réceptionnent pour pouvoir faire le
suivi ultérieurement. L’utilisation de codes à barres peut s’avérer très utile, voire parfois indis-
pensable, pour assurer une bonne rotation des lots. De plus, le gestionnaire doit produire
périodiquement un rapport des lots dont la date de péremption est proche et en faire le suivi.
Finalement, pour suivre la consommation des fournitures d’usine, Métalika a choisi de
procéder comme s’il s’agissait d’une consommation sur des tâches de production, ce qui lui per-
met également d’en suivre les coûts. Elle aurait aussi pu choisir de procéder par rajustements.

8.4 Fabrication
La présente section traite des différents paramètres qui sont appelés à interagir dans une
entreprise de fabrication. En effet, fabriquer un produit implique qu’un employé crée
une job qui établit les opérations à réaliser, la séquence de celles-ci, les centres de tra-
vail nécessaires, le temps requis pour chaque opération, etc. Par conséquent, plusieurs
modules (fichiers maîtres) interviennent directement ou indirectement dans les opéra-
tions (voir la gure 8.11). Ils ont donc préséance sur la fabrication.

FIGURE 8.11 Modules influençant la production


186 Partie 2 Applications pratiques

Certains de ces fichiers maîtres ont été vus précédemment (ils sont en gris pâle),
mais il est bon de les resituer dans le contexte du processus de fabrication. La plupart
se trouvent dans le menu « Administration du système » également présenté à plusieurs
reprises dans le manuel. Par ailleurs, les fichiers maîtres en gris moyen en font aussi par-
tie, mais ils n’ont pas encore été abordés ; ils le seront brièvement dans la section 8.4.1
à venir. Enfin, les jobs (en gris foncé), qui font appel à plusieurs fonctionnalités 9, feront
l’objet de la section 8.4.2. Il faut comprendre que le processus de fabrication tourne
autour d’elles.

8.4.1 Modules ou fichiers maîtres de production


La présente section fait un tour d’horizon des modules (en gris moyen dans la figure 8.11)
qui alimentent la planification de la production. La fiabilité des données a une incidence
directe sur la qualité du calendrier de fabrication généré par le PGI. Les mesures de contrôle
de saisie et la limitation des accès à ces modules sont primordiales pour la suite du processus.
Il va de soi que les employés qui effectuent ces tâches doivent posséder les compétences suffi-
santes et avoir une vue d’ensemble du processus. Par exemple, il pourrait être risqué d’affecter
un nouvel employé à la création des différents modules, même s’il possède les connaissances
requises.

Préférences
Partie de l’onglet Le menu « Administration du système » comprend plusieurs
modules importants, dont celui des « préférences » du système.
FIGURE 8.12 « Coûtant »
Il faut comprendre qu’il s’agit de préférences qui s’appliquent à
tout le PGI et qui touchent l’ensemble des opérations, des calculs,
etc. Parmi les onglets de ce sous-module, on trouve l’onglet
« Coûtant 10 ». Dans cet onglet, dont une partie est présentée à
la figure 8.12, l’entreprise choisit la façon dont elle souhaite que
le PGI impute les coûts aux jobs. Ainsi, l’entreprise peut décider
d’imputer un taux horaire en fonction du taux du centre de travail
ou du taux de l’employé qui travaille à la tâche. Elle doit égale-
ment décider si l’estimation de la tâche doit être modifiée lors de
l’achat des matières premières en fonction des coûts réels, ou si
l’estimation demeure au coût standard préalablement établi. Ce
choix a une incidence sur le calcul des écarts et sur la performance
opérationnelle.
Enfin, l’entreprise doit choisir si elle désire imputer les FGF
en fonction d’un pourcentage ou d’un taux propre à chaque
centre de travail. Les décisions qui sont prises ici ont un effet
significatif sur le calcul du coût des produits fabriqués (et donc
des stocks). Elles s’appliquent en tout temps à l’ensemble des opérations. Qui plus est,
elles sont difficilement modifiables, même si, en pratique, l’entreprise peut toujours y
apporter des changements. On peut toutefois imaginer l’effet d’une éventuelle modifi-
cation de ces paramètres sur le fonctionnement de l’entreprise. C’est ce qui explique que
seul l’administrateur de JobBOSS a accès à cet onglet.
À l’instar de l’onglet « Coûtant », l’onglet « Cheminement » (voir la gure 8.13) touche
l’ensemble du processus de comptabilisation de la production. Encore une fois, les choix
que fait l’entreprise sont difficilement modifiables, même si, en pratique, il est toujours
possible de changer les paramètres de nouveau. Là encore, on peut aisément imaginer les
répercussions d’une telle modification…

9. Entre autres, les modules « Traitement de la commande », « Contrôle de la production » et « Contrôle du


matériel » sont utilisés.
10. Il existe deux autres onglets qui touchent la production, mais leur importance est moindre ; ils ne seront
donc pas vus ici.
Chapitre 8 Gestion des stocks et cycle de la fabrication 187

FIGURE 8.13 Onglet « Cheminement »

Lorsqu’un employé vient pour interpréter une information provenant du système ou


pour saisir une donnée, il doit avoir à l’esprit les choix qui ont été faits par l’entreprise,
sans quoi il risque de commettre des erreurs. Certains paramètres sont plus facilement
compréhensibles que d’autres (par exemple, les quarts de travail), mais c’est l’interaction
entre tous les paramètres qui compose la toile de fond du processus de fabrication et
celle de la comptabilisation de celui-ci. L’intégration est l’un des grands avantages d’un
PGI, mais elle peut représenter un inconvénient si les utilisateurs ne saisissent pas bien
les conséquences de ce qu’ils font, d’où l’importance de prévoir des formations poussées
pour ces utilisateurs.
La feuille de route (la version imprimée de la job) fait également l’objet de choix qui
s’effectuent à l’onglet « Feuille de route », et ainsi de suite pour les autres onglets. Il faut
donc garder à l’esprit tous ces paramètres lorsque l’on interagit avec le système.

Quart
En amont de la création des postes de travail, il faut créer les différents horaires de travail
(quarts) dans le PGI. Ces horaires sont ensuite associés aux différents postes de travail ainsi
qu’aux employés concernés. Cette combinaison quarts-employés-postes correspond à la
capacité desdits postes de travail.
Lors de la création d’un quart, on attribue un nom (code) à celui-ci. Dans
l’exemple de la figure 8.14, le quart se nomme « Jour ». L’horaire est établi pour une
semaine de sept jours commençant le lundi dans notre exemple. Le quart comprend
des pauses (rémunérées ou non) ainsi que des congés (jours fériés, périodes de va-
cances forcées).
188 Partie 2 Applications pratiques

FIGURE 8.14 Création d’un quart de travail

En plus de l’onglet « Structure », ce module comprend un onglet sur les employés qui y
sont assignés et sur les règles de traitement. Un quart de travail peut être lié à un employé,
ou un employé peut être lié à un quart de travail. Lorsqu’il existe un lien entre les deux
données, il est possible de générer un rapport des écarts (retard, absence, journée écourtée).
L’analyse de ce rapport représente une activité de contrôle visant la réalisation des objectifs
opérationnels comme la rentabilité des jobs, la performance des employés et la justesse des
estimations faites par les responsables de la fabrication. Rappelons que le prix de vente
est fixé en tenant compte des estimations des coûts et des marges bénéficiaires souhaitées.

Poste de travail
Les employés sont affectés à des postes de travail en fonction d’un horaire de travail
(quart). Un poste de travail peut regrouper un ensemble de machines qui exécutent les
mêmes opérations (par exemple, les presses, les fraiseuses) ou un ensemble de tâches
accomplies par un groupe d’employés (par exemple, les ébavureurs, les assembleurs).
Dans le PGI, les jobs font appel à ces postes de travail pour exécuter les opérations ; il
faut donc les créer dans le système. Le sous-menu « Poste de travail » comprend plusieurs
onglets qui doivent être remplis (voir la gure 8.15). On commence par donner un nom

FALLAIT Y PENSER !
À une certaine époque, Métalika avait embauché un ingénieur pour faire des études
temps-mouvement sur les opérations de production les plus signicatives. Dans le cadre de
son analyse, il avait jugé que les paramètres du quart de jour établis dans le PGI étaient erro-
nés, estimant que la période du dîner allait de 12 h à 13 h, puisqu’un premier groupe d’em-
ployés mangeait de 12 h à 12 h 30 et que l’autre mangeait de 12 h 30 à 13 h. Il a donc modié
le quart de travail sans en parler à personne et sans vraiment s’interroger sur l’incidence d’un
tel changement. Du jour au lendemain, il manquait 2,5 heures sur les feuilles de temps de tous
les employés de production, et la capacité machine de tous les centres de travail était réduite
d’au moins 2,5 heures. Lorsque Fernande a trouvé la source du problème et le coupable, non
seulement celui-ci a-t-il eu droit à sa façon de penser, mais il a perdu une bonne partie des
accès qui lui avaient été conférés par le directeur d’usine… pour qui le PGI est un mystère.
Chapitre 8 Gestion des stocks et cycle de la fabrication 189

FIGURE 8.15 Création d’un poste de travail

au poste de travail (en l’occurrence, « CNC1 »), puis on indique s’il est « parent » ou
« enfant » d’un autre centre de travail, s’il s’agit d’un coût direct, etc. Dans l’onglet « Coû-
tant », on inscrit un taux horaire moyen, un taux d’imputation des FGF variables et fixes,
et, si désiré, un taux d’imputation des frais d’administration (ce qui serait le cas dans un
système de comptabilité par activités). Les frais sont imputés sur la base des heures réelles.
Dans l’exemple de la figure 8.16 (voir la page suivante), le taux de main-d’œuvre qui
sert à estimer le coût d’une job est de 16 $ l’heure pour la mise en route (set-up) du poste
de travail et de 14,75 $ l’heure pour la fabrication. Il sert également à calculer le coût
réel de la job, puisque l’entreprise a choisi cette méthode dans l’onglet « Coûtant » du
sous-module « Préférences ».
Si l’entreprise avait choisi « Taux de l’employé », c’est ce dernier qui servirait à calculer le
coût de la job. On comprend que si le taux horaire des employés travaillant à ce poste varie
beaucoup, cela peut représenter un écart important. Les taux d’imputation des FGF sont
respectivement de 2 $ pour les FGF variables, de 2,25 $ pour les FGF fixes, et de 7,50 $
pour les frais d’administration. Tous ces taux sont réévalués annuellement par Fernande. En
guise de contrôle, elle effectue mensuellement une analyse des écarts sur taux et sur quantité.
L’onglet « Capacité/Planif » joue également un rôle important dans le processus de
fabrication, car c’est là que se calcule la capacité machine. Lorsqu’il est sélectionné, deux
onglets s’affichent, soit celui de la capacité par défaut et celui de la capacité rajustée11.
Aussi, à chaque poste de travail, on attribue un ou plusieurs quarts de travail auxquels sont
également associées un certain nombre de ressources (voir la gure 8.17 à la page suivante).

11. Ces onglets se nomment « Paramètre Défaut Quart » et « Écraser Quarts Journalier », respectivement.
190 Partie 2 Applications pratiques

Taux d’imputation pour le poste


FIGURE 8.16 de travail « CNC1 »

FIGURE 8.17 Onglet « Paramètre Défaut Quart » d’un poste de travail


Chapitre 8 Gestion des stocks et cycle de la fabrication 191

FALLAIT Y PENSER !
Pour que la capacité machine soit la plus exacte possible, il faut que les superviseurs sai-
sissent systématiquement les absences « planiées » dans l’onglet « Écraser Quarts Jour-
nalier ». Malheureusement, ils estiment que « le jeu n’en vaut pas la chandelle », car « il faut
revoir la planication chaque jour à cause des absences non planiées ». Fernande a beau
leur expliquer qu’il s’agit d’exceptions et que le calendrier de production sera exact 90 %
du temps, cela ne passe pas… et comme le directeur d’usine s’y e peu, ce n’est pas lui qui
exerce de la pression dans ce sens.

Dans notre exemple, la capacité est de 120 heures par semaine pour le poste de travail
« CNC1 », ce qui correspond à trois personnes faisant chacune fonctionner une machine
différente.
En outre, il est possible de modifier spécifiquement l’horaire établi d’un centre de
travail lorsqu’un événement prévisible touche ce poste en particulier. C’est le cas lors-
qu’un employé s’absente pour un congé et que l’entreprise ne prévoit pas le remplacer
durant cette période. Ce changement se fait alors du côté du poste de travail, et non des
quarts de travail. On se sert par conséquent de l’onglet « Écraser Quarts Journalier ».
Ici aussi, les données saisies ont une incidence importante sur le calendrier de pro-
duction et c’est la raison pour laquelle seulement certains spécialistes y ont accès. La
rigueur des activités de contrôle en matière d’horaires de travail et d’ajustements pour
tenir compte de la réalité de l’entreprise (congés, vacances, etc.) est garante de la qualité
du calendrier de fabrication proposé par le PGI. Plus l’information est précise, plus le
rapport est de qualité. De surcroît, le temps économisé pour analyser et ajuster le calen-
drier de fabrication proposé est plus important que l’effort à déployer pour ajuster les
changements au préalable. Puisque les deux fonctions ne sont pas exécutées par les mêmes
personnes, il y a un bénéfice global pour l’entreprise, mais il suppose l’implication des
superviseurs, qui n’en voient pas toujours les avantages pour eux. Dans pareil cas, l’inter-
vention d’un gestionnaire s’avère sans doute nécessaire pour contraindre les superviseurs
à appliquer cette mesure de contrôle malgré tout.

Opérations et services
Au même titre que pour les postes de travail, les matériaux et les matières premières, une
job fait appel à des opérations internes et externes. Dans le PGI, il est possible de créer des
opérations standards faisant appel à des centres de travail particuliers (voir la gure 8.18 à
la page suivante). Cette façon de faire, qui n’est malheureusement pas toujours respectée,
permet de s’assurer que les descriptions sont toujours les mêmes, ce qui facilite les compa-
raisons. La description d’une opération de fabrication doit répondre à certains standards
pour qu’elle soit facilement compréhensible par les employés qui l’exécutent. Il est donc
souhaitable de limiter le nombre de personnes habilitées à rédiger des opérations de travail
ainsi que de créer un lexique à utiliser pour leur rédaction. La standardisation représente
une technique qui améliore la qualité du contrôle interne, notamment en favorisant
l’utilisation d’un vocabulaire normalisé.
Aussi, il existe des opérations qui font appel à des sous-traitants ; il s’agit alors
de services (voir la gure 8.19 à la page 193). Ces derniers doivent être créés dans le
sous-module « Service ». Pour ce faire, il faut connaître le nom du fournisseur, le coût
du service, etc. Ce sont les acheteurs qui négocient les prix et les fournisseurs, mais
ce sont les techniciens qui créent les services. Par la suite, une personne doit être
responsable de la mise à jour périodique des coûts saisis dans ce module, sans quoi
les renseignements de gestion deviennent de moins en moins utiles pour la prise de
décisions. À moins d’en faire une priorité, on a tendance à négliger la mise à jour de
ce genre de module.
192 Partie 2 Applications pratiques

FIGURE 8.18 Création d’une opération


Chapitre 8 Gestion des stocks et cycle de la fabrication 193

FIGURE 8.19 Création d’un service

8.4.2 Fabrication ( )
Une fois que la plupart des données de base sont disponibles dans le PGI, on peut com-
mencer le processus de fabrication. La figure 8.20 (voir la page suivante) donne un aperçu
de la séquence du processus. Certaines des opérations ont été présentées dans la section
traitant de la gestion des stocks, principalement celles exécutées par le magasinier ou le
manutentionnaire. Les autres seront présentées dans les sections qui suivent.
Les termes employés pour désigner un bon de travail ou un lot de fabrication
varient d’un PGI à l’autre. Ainsi, JobBOSS utilise le concept de « job » pour parler des
produits en cours. Le terme « gamme » est également employé pour parler d’une job.
Une job ressemble à une « recette » qu’on élabore pour arriver à un produit fini. Elle
répond aux questions : « Qui va faire quoi ? » ; « Quels sont les ingrédients nécessaires
pour le faire ? » et « De quels outils avons-nous besoin ? » Dans JobBOSS, il existe six
statuts pour une job (voir le tableau 8.2 à la page suivante), statuts qui s’intègrent dans
le processus de la figure 8.20.
194 Partie 2 Applications pratiques

FIGURE 8.20 Cycle de la fabrication

TABLEAU 8.2 Statuts des dans JobBOSS


Statut Signication

Modèle Cette gamme comprend les notes à jour et est copiée chaque fois qu’une
nouvelle commande est reçue.

En attente La gamme a été créée, mais elle n’est pas encore en production.

Active La gamme est en production dans l’usine.

En suspens La production a été interrompue pour des raisons de qualité, des problèmes
avec le client, etc.

Complétée Toutes les unités ont été transférées vers le stock de produits nis.

Fermée La production est terminée, les coûts ont tous été cumulés.
Chapitre 8 Gestion des stocks et cycle de la fabrication 195

Création de la modèle
La job modèle est élaborée lors de l’introduction d’une nouvelle pièce. Une fois le pro-
duit fini créé dans le module d’inventaire, l’équipe des méthodes doit concevoir une job
« modèle ». Cette équipe est généralement composée de techniciens, de programmeurs
ou de machinistes qui ont les compétences techniques pour déterminer les besoins en
matières premières, les opérations nécessaires pour réaliser le produit, les traitements
externes requis, etc. Pour chaque job modèle, il faut saisir plusieurs données (voir la
gure 8.21), c’est-à-dire le nom de la pièce à fabriquer, la quantité minimale d’un lot, le
prix de vente, les heures estimées par poste de travail, les matières premières à consommer,
les services de sous-traitants requis, les FGF imputés en fonction des heures de main-
d’œuvre et des heures-machines estimées. Neuf onglets comprenant parfois jusqu’à quatre
sous-onglets sont à remplir afin de s’assurer que la job suive normalement le processus
de fabrication.

FIGURE 8.21 Création d’une

Chez Métalika, ce ne sont pas tous les onglets qui sont utilisés (par exemple, celui de
la livraison ne l’est pas). Fernande estime que l’entreprise aurait intérêt à analyser les gains
associés à une meilleure utilisation des fonctionnalités qu’offrent certains de ces onglets.
L’accroissement des renseignements augmente les éléments que le PGI peut prendre en
considération de façon automatique, réduisant ainsi les traitements manuels ultérieurs. En
contrepartie, il faudrait mettre en place des mesures de contrôle pour vérifier l’exactitude
196 Partie 2 Applications pratiques

de l’information saisie, et d’autres pour assurer une mise à jour périodique des renseigne-
ments. De plus, les employés doivent avoir les compétences suffisantes pour appliquer
correctement ces activités de contrôle.
Cette job modèle sert à l’ouverture de toutes les jobs futures. Il est donc impor-
tant qu’elle soit mise à jour régulièrement. En effet, si des changements sont apportés
dans le processus de fabrication, ils doivent se refléter dans la job modèle. Métalika s’est
dotée d’une méthodologie qui lui permet de suivre les modifications apportées à une
job. En effet, les employés doivent colliger dans la note associée à la job modèle tous les
changements dont elle fait l’objet. Chaque changement consigné doit être signé élec-
troniquement par celui qui l’a inscrit. C’est une activité de contrôle qui vise à réduire
d’éventuels problèmes de fabrication ou de qualité des produits.
Dans la chronologie des événements, l’équipe des méthodes crée la première recette
(le modèle), qui est généralement bâtie en fonction du lot économique déterminé au
moment de la soumission au client. Ensuite, les informaticiens programment les machines
de fabrication et les dessinateurs produisent les esquisses et les spécifications techniques
du produit (mesures à prendre tout au long de la fabrication). Le débogage du pro-
gramme, s’il y a lieu, se fait lors de la première mise en production. Ce modèle est révisé
au fur et à mesure que le produit est fabriqué. Le directeur de l’amélioration continue
peut décider de faire une étude de temps et mouvement après un certain nombre de lots
afin de valider que les temps sont « optimaux ».
La job décrit sommairement les opérations à réaliser pour fabriquer le produit, mais
il existe des cahiers de montage expliquant plus en détail les étapes de travail. Ces cahiers
accompagnent la job dans l’usine ou sont disponibles en ligne si le poste de travail béné-
ficie d’un ordinateur. Les opérations sont associées à un poste de travail, et donc à une
équipe de personnes ou de machines. On y trouve entre autres le temps prévu pour
réaliser l’opération, auquel est associé un taux horaire ; le matériel requis pour effectuer
une quantité donnée de pièces ; et la quantité à produire. Enfin, les FGF sont imputés
sur la base des heures estimées. Une fois le modèle approuvé, l’équipe des méthodes
n’intervient presque plus dans la fabrication du produit. C’est l’équipe de fabrication qui
prend la relève.

Création d’une en attente


Lorsqu’un client passe une commande pour un produit « courant », le technicien reçoit
un courriel du service des ventes et enclenche le processus de fabrication. Pour ce faire,
le technicien copie la job modèle afin de générer une ou plusieurs jobs en fonction des
dates de livraison prévues et des quantités désirées. Ces jobs sont « en attente » d’être
mises en production. Elles entrent dans le calendrier de fabrication, réservant ainsi une
partie de la capacité de production et créant un besoin en matières premières (besoin
qui figure sur le rapport des acheteurs). Si tout est dans le domaine du possible, le
processus suit son cours jusqu’à la réception du matériel
et le début de la production. Si toutefois les matières pre-
mières ne peuvent être reçues à temps ou si l’entreprise
Contrôle ne bénéficie pas d’une capacité de production suffisam-
FIGURE 8.22 de la production ment grande, il faut réviser les dates de début et de fin de
chacune des jobs. C’est une gymnastique de déterminer
quelle commande sera déplacée.

Identification des lots à fabriquer


Une job devient « active » lorsque l’équipe de planification
décide qu’elle est prête à être lancée en production puisque
les matières premières sont disponibles et que les postes de
travail le sont également. La job commence alors à accumu-
ler différents coûts.
Chapitre 8 Gestion des stocks et cycle de la fabrication 197

La planification des jobs se fait dans le module « Contrôle de la production » (voir


la gure 8.22). Ainsi, JobBOSS permet de programmer seulement quelques jobs (dans
le premier sous-menu) ou l’ensemble des jobs (dans le deuxième sous-menu). Métalika
a choisi de procéder à une « planification globale » afin de générer un calendrier de
fabrication qui tient compte de l’ensemble des paramètres des jobs en cours. Toutefois,
il s’agit d’un processus qui non seulement consomme beaucoup d’énergie du PGI,
mais peut également s’arrêter si les tables qu’il met à jour sont utilisées (ouvertes).
Puisque les risques d’erreurs sont nombreux et que l’incidence sur le processus est
significative, Métalika fait exécuter cette opération durant la nuit.
Plusieurs options s’offrent à l’entreprise lorsqu’il s’agit de planifier la production (voir
la gure 8.23). Métalika s’assure que l’exécution du module inclut toutes les jobs actives
pour l’ensemble des postes de travail sans permettre d’attribuer des jobs vers l’arrière
(avant le jour même).

FIGURE 8.23 Planification globale

Le calendrier généré par le PGI tient compte des données provenant de l’ensemble des
fichiers maîtres ainsi que de celles relatives à toutes les jobs avec pour critères les dates et les
délais variés fournis dans lesdits fichiers. Une fois cette liste en main, ce sont les planifica-
teurs qui ont le dernier mot. Ils peuvent déplacer des jobs dans le temps pour des raisons
qui ne sont pas consignées dans le système. Il faut alors changer certains paramètres dans
ce dernier pour tenir compte des rajustements apportés. Bien que les activités de contrôle
sur la création des différents fichiers maîtres augmentent considérablement la qualité des
calendriers de fabrication produits par JobBOSS, l’intervention humaine ne peut jamais
être exclue complètement.
Pour être à jour, le PGI requiert un ensemble de données. Cela implique que le proces-
sus physique de fabrication soit arrimé aux processus informationnels afin de profiter de son
plein potentiel. Ainsi, si l’entreprise désire suivre en temps réel les opérations dans l’usine,
que ce soit en termes de délais de livraison ou de coûts accumulés, il faut que des employés
198 Partie 2 Applications pratiques

interagissent avec le PGI. Les prochaines étapes servent


FIGURE 8.24 Rapports de production donc à alimenter le système quotidiennement. Enfin,
en effectuant la planification globale toutes les nuits,
Métalika obtient tous les matins un nouveau calendrier.
De surcroît, plusieurs rapports standards s’offrent à elle
pour gérer sa production (voir la gure 8.24).

Mouvement du matériel
Peu importe le type de mouvement (préparer le
matériel, l’expédier chez un sous-traitant ou le récep-
tionner) après traitement, le magasinier effectue une
addition ou une soustraction dans l’inventaire selon
l’entrée ou la sortie du matériel. Ainsi, lorsque le
préposé prépare le matériel en vue de la mise en pro-
duction, il « consomme » le matériel pour la job. Cela
réduit automatiquement l’inventaire du matériel et
associe le coût à la job. Un oubli ou une erreur de saisie
de la part du magasinier se solde par des calculs erronés et une planification de la produc-
tion qui ne tient pas la route. C’est pour cette raison que, tous les jours, Fernande génère
un rapport d’anomalies à cet effet. Ce rapport présente toutes les jobs qui ont changé de
statut (en attente –› active) et pour lesquelles la quantité consommée et la quantité estimée
diffèrent. Elle demande alors des explications aux magasiniers pour vérifier si les écarts sont
attribuables à des erreurs de saisie de données ou s’il s’agit simplement de différences du
côté de la fabrication.
De plus, le délai de traitement chez un sous-traitant fait partie de la durée totale du
processus, de sorte que la chaîne de production est affectée si ce délai n’est pas respecté.
Tous les jours, un rapport d’anomalies annonce les écarts potentiels entre la date de récep-
tion prévue et la date du rapport (date du jour = date de réception prévue – deux jours).
Les planificateurs doivent alors confirmer la date de réception en contactant les fournis-
seurs. Si un retard est confirmé, ils doivent l’inscrire dans le PGI et rajuster le processus
de fabrication en conséquence.
Le magasinier a également la responsabilité d’emballer et d’entreposer les produits
finis qui seront livrés ultérieurement aux clients. Il lui faut en outre enregistrer la nouvelle
localisation des pièces qui sont entreposées.

Exécution des opérations


Dans le cas de l’exécution des opérations, le principe est encore le même, peu importe
qu’il s’agisse de la première ou de la dernière opération de la job. Lorsque les employés
exécutent une opération, ils saisissent leurs heures de travail dans le module « DATA
COLLECTION », que ce soit en fin de journée ou au fur et à mesure qu’ils terminent
l’opération. Chaque job et chaque opération possèdent un numéro représenté également
par un code à barres. Puisque la job en copie papier accompagne toujours les pièces, il est
possible de la lire à l’aide d’un lecteur de codes à barres (l’idéal) ou de la saisir manuel-
lement. Métalika exige que les employés utilisent le lecteur optique afin de réduire le
risque d’erreur. C’est une activité de contrôle plus efficace que la saisie manuelle. Par
contre, l’employé doit saisir manuellement le nombre d’heures (main-d’œuvre et heures-
machine) ainsi que le nombre d’unités terminées. Si toutes les unités sont achevées, l’opé-
ration devient « fermée ».
La main-d’œuvre représente un coût important dans une job et il arrive régulière-
ment que des employés se trompent lorsqu’ils saisissent les données, soit parce qu’ils
n’utilisent pas le lecteur de codes à barres, soit parce qu’ils ne scannent pas le bon code,
etc. Encore une fois, Fernande utilise un rapport d’anomalies pour détecter les erreurs
le plus tôt possible dans le processus. Ce rapport génère une liste des entrées qui pour-
raient être des incongruités : l’opération exécutée ne concorde pas avec la fonction de
Chapitre 8 Gestion des stocks et cycle de la fabrication 199

l’employé ; des heures ont été saisies pour une job en suspens ou en attente ; les heures
saisies dépassent largement les heures estimées ; les quantités saisies dépassent les quantités
à fabriquer (en tenant compte des unités mises au rebut) ; etc. Ces erreurs potentielles sont
analysées immédiatement ; et les erreurs avérées, corrigées promptement.

Évaluation de la qualité
Une job est mise « en suspens » s’il survient un problème en cours de produc-
tion. Posons l’hypothèse que le machiniste détecte un défaut dans un ensemble de
pièces du lot sur lequel il s’apprête à travailler. Il en informe son superviseur, qui
demande l’avis du directeur de la qualité. Il arrive que ce dernier ne puisse statuer sans
avoir l’aval du client. Dans ce cas-là, il y a de fortes chances que la job soit mise hors
circuit en attendant d’avoir la réponse du client. Un planificateur change alors le statut
de la job à « En attente ».
Il faut faire attention de ne pas perdre de vue ces jobs qui, si la décision tarde à venir,
peuvent représenter un risque de perte pour Métalika. Ainsi, un lot qui demeure en
suspens plus de trois mois doit faire l’objet d’une demande de Fernande. En effet, les
planificateurs doivent expliquer pourquoi les produits ne sont toujours pas « revenus »
dans le processus normal et déterminer si l’on doit comptabiliser la perte immédiate-
ment. Aussi, afin de ne pas retarder la totalité de la job si seulement quelques pièces
font défaut, JobBOSS permet de séparer la job en deux lots différents (dans le sous-
menu « Division Job »). Cette division automatique distribue les coûts équitablement
entre les deux lots, et ce, en fonction du nombre de pièces de chacun. Le lot de bonnes
pièces peut alors être remis en production, tandis que le lot de pièces défectueuses reste
toujours en attente.
Dans la mesure où des pièces sont déclarées défectueuses immédiatement, elles
sont inscrites comme telles dans la job active, et ce, à l’opération à laquelle elles ont été
reconnues comme étant mises au rebut. Cette mesure de contrôle permet d’améliorer
la qualité de l’information de gestion ainsi que celle figurant dans les états financiers
mensuels.

Transfert des pièces vers les produits finis


Lorsque toutes les opérations de la job ont été réalisées, les planificateurs effectuent le
transfert des pièces vers le stock de produits finis (voir la gure 8.25 à la page suivante).
Le statut de la job passe alors à « Complétée ». Le nombre de pièces transférées ne doit
pas être supérieur au nombre de pièces à fabriquer dont on soustrait le nombre de pièces
mises au rebut. De plus, le coût unitaire des pièces à transférer ne doit pas comprendre
le coût des pièces mises au rebut. Les planificateurs connaissent les règles à suivre, mais
Fernande les valide systématiquement.
JobBOSS permet de générer et de suivre les numéros de série, peu importe le type de
matériel (matières premières, quincaillerie, produits finis), mais Métalika utilise le module
de sérialisation seulement pour les produits finis, afin de faciliter le suivi des garanties.
Les numéros de série sont assignés au moment du transfert vers les produits finis. Ainsi,
chaque pièce est inscrite dans l’inventaire avec son numéro de série.

8.5 Information et communication


Comme nous l’avons vu précédemment, la circulation efficace de l’information est au
cœur même des processus de gestion des stocks et du cycle de la fabrication. Si on ana-
lyse ces systèmes selon le point de vue des intervenants (voir les gures 8.2 et 8.20 aux
pages 176 et 194), on constate qu’ils sont nombreux à interagir et que, par conséquent,
il est nécessaire d’avoir un bon système de communication. Par exemple, pour s’assu-
rer du partage de l’information (communication), Métalika a entre autres demandé aux
employés concernés de signer un document pour confirmer qu’ils ont lu et compris la
200 Partie 2 Applications pratiques

FALLAIT Y PENSER !
Les rapports d’anomalies sont apparus avec l’arrivée de Fernande. Auparavant, les erreurs
étaient détectées à la n du processus, lorsque les pièces étaient transférées vers le stock
de produits nis. Le PGI calculait bien le coût unitaire des pièces, mais les planicateurs
estimaient qu’ils ne pouvaient pas faire conance à ces calculs. Ils prenaient alors un
temps fou pour recalculer le tout sur des bases plus ou moins explicables. La mise en
place des rapports d’anomalies a changé complètement la dynamique. Au début, la liste
comprenait plusieurs transactions erronées, mais, au fur et à mesure que les employés ont
compris que les données qu’ils saisissaient avaient de l’importance… et qu’ils devaient
rendre compte de ce qu’ils inscrivaient dans le PGI, les erreurs ont diminué. De plus, elles
sont maintenant corrigées immédiatement, ce qui fait que les calculs automatiques sont
plus ables.
Aujourd’hui, il peut se passer plusieurs journées sans qu’il ne survienne d’erreur. Souvent,
lorsqu’il y en a une, elle est attribuable à un nouvel employé que l’on n’a pas pris le temps
de former correctement.

FIGURE 8.25 Écran des transferts des pièces vers les produits finis
Chapitre 8 Gestion des stocks et cycle de la fabrication 201

procédure de création d’un produit. Elle a également préparé des instructions de travail
pour s’assurer de l’uniformité de certains fonctionnements.
En adoptant la perspective des modules qui alimentent le PGI (voir les gures 8.6
et 8.11 aux pages 181 et 185), on constate également que la rigueur et l’uniformité sont