Le contrôle interne est une notion très importante pour les entreprises, pour leur management, et qui a

pour but de permettre de maitriser au mieux l’ensemble des processus mis en œuvre par l’entreprise pour
réaliser ses objectifs.

Plus une entreprise a une taille importante, plus les dispositifs de contrôle interne au sein de celle-ci sont
importants.

Définition du contrôle interne

Le contrôle interne peut être définit comme l’ensemble des sécurités contribuant à la maîtrise de
l’entreprise. Son objectif est double :

 assurer la protection, la sauvegarde du patrimoine et la qualité de l’information ;

 assurer la conformité par rapport aux lois et aux règlements ;
 et également d’assurer l’application des instructions de la direction en vue d’améliorer les
performances de l’entreprise.
Le contrôle interne se matérialise par la mise en place de méthodes, de règles et de procédures au sein de
l’entreprise.

Le contrôle interne est très important au niveau de la comptabilité et de sa valeur probante, il doit permettre
de s’assurer que :

 tous les faits doivent être enregistrés et la comptabilité doit être complète ;
 la comptabilité est conforme aux règles et principes comptables.

Comment se présente le contrôle interne ?

Le contrôle interne est caractérisé par l’existence au sein d’une entité d’un système d’organisation avec des
personnes chargées de sa mise en œuvre. Ce dispositif doit prévoir :

 une organisation comportant une définition claire des responsabilités qui dispose des

ressources et des compétences adéquats et s’appuyant sur des procédures, des systèmes
d’information, des outils et des pratiques appropriés ;
 la diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à
chacun d’exercer ses responsabilités ;
  un système visant à recenser et analyser les principaux risques identifiables au regard des
objectifs de la société et à s’assurer de l’existence de procédures de gestion de ces risques ;
 des activités de contrôle proportionnées aux enjeux propres à chaque processus et conçues
pour réduire les risques susceptibles d’affecter la réalisation des objectifs de la société ;
 une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen régulier de
son fonctionnement.

Les acteurs du contrôle interne

On pourrait facilement croire que le contrôle interne est l’affaire des dirigeants de l’entreprise, mais c’est :
ce dispositif doit concerner toutes les personnes de l’entreprise (dirigeants et salariés) pour être efficace.

Les dirigeants sont chargés de définir, d’impulser et de surveiller le dispositif le mieux adapté à la situation
et à l’activité de la société.

Les salariés doivent avoir la connaissance et l’information nécessaires pour établir, faire fonctionner et
surveiller le dispositif de contrôle interne, au regard des objectifs qui leur ont été assignés.

L’audit interne
Dans les entreprises importantes, il existe souvent un service chargé d’évaluer le fonctionnement des
dispositifs de contrôle interne  et de proposer des axes d’amélioration à la direction : il s’agit de l’audit
interne.

Il ne faut pas le confondre avec l’audit externe, réalisé par des personnes extérieures à l’entreprise et
indépendantes de celle-ci.

A lire également sur le coin des entrepreneurs  :

 Le rôle de l’expert comptable
 Les soldes intermédiaires de gestion
 Les seuils de nomination du commissaire aux comptes




 Contrôle interne
Le contrôle interne est un dispositif mis en œuvre par la direction d'une
administration (privée comme les entreprises ou publique comme les ministères)
pour lui permettre de maîtriser les opérations à risques qui doivent être faites par
elle.
Ses ressources sont pour cela mesurées, dirigées et supervisées de façon à
permettre au management de réaliser ses objectifs.
C'est une notion fondamentale du management des entreprises et des
administrations qui va amener dans les années à venir leur restructuration en
profondeur.

Sommaire
  1Les dimensions du Contrôle Interne
 2Les définitions du contrôle interne
 3Le besoin de contrôle interne
 4Les interlocuteurs concernés par le contrôle interne
 5Le rôle et les responsabilités du contrôle interne
 6La description des dispositifs de contrôle interne
o 6.1Les règles de contrôle interne
o 6.2Le rôle de l'audit
o 6.3La gouvernance de l'entreprise
o 6.4L'importance des systèmes d'information
o 6.5L'importance du reporting du contrôle interne
 7Le contrôle interne dans la banque
 8Les limites du contrôle interne
 9Notes et références
 10Voir aussi
o 10.1Articles connexes
o 10.2Liens externes
o 10.3Bibliographie

Les dimensions du Contrôle Interne[modifier | modifier le code]

La notion de contrôle interne a plusieurs dimensions :

 La lutte contre la fraude. Cela a été un des moteurs

du développement de la notion de contrôle interne. À
l'origine, il y a la publication, en 1977 aux États-Unis,
du Foreign Corrupt Practices Act (FCPA). Cette loi
exige des entreprises qu'elles mettent en place des
programmes de contrôle interne. L'objectif était de
détecter les fraudes et de protéger les ressources de
l'entreprise. Cela concerne d'abord les biens matériels
comme les stocks, les comptes clients, ... mais aussi
les biens incorporels comme les brevets, la propriété
intellectuelle, les savoir-faire, les marques, ...
 La sincérité des comptes des entreprises. Ce
souhait a été le deuxième moteur du développement du
contrôle interne. En 1985 la commission Treadway est
née de la prise de conscience des erreurs répétitives
constatées dans les comptes d'un certain nombre
d'entreprises. Elle s'est fixé comme objectif d'arriver à
lutter contre les fraudes constatées dans les Bilans et
les Comptes de Résultat de certaines entreprises. En
1992 les travaux du COSO, Committee Of Sponsoring
Organisations of the Treadway Commission se sont
traduits par un premier rapport : Internal Control -
Integration Framework qui s'appelle en français : La
pratique du contrôle interne. Il donne une définition
communément acceptée de la notion de contrôle
interne et détaille un cadre général de mise en place
d'un système de contrôle interne et la manière dont il
peut être renforcé et amélioré. Puis en 2002 une loi
 américaine rigoureuse, la Loi Sarbanes-Oxley, permet
de renforcer le contrôle des comptabilités concernant
les sociétés cotées aux États-Unis. C'est une loi de
protection des investisseurs imposant de nouvelles
règles concernant la comptabilité et la transparence
financière. Plus récemment, en France l'Autorité des
marchés financiers, l'AMF, a publié un document de
référence définissant la démarche de contrôle interne.
 La mise en place d'une organisation plus efficace et
plus performante. L'objectif du contrôle interne
évolue. L'objectif de la démarche consiste à disposer
des bonnes informations au bon moment afin de
prendre les bonnes décisions. De manière plus
générale il s'agit de déterminer les objectifs
stratégiques, de mettre en place des dispositifs
opérationnels et de respecter les lois et les règlements.
Le contrôle interne nécessite de mettre en place des
procédures qui respectent l'ensemble de ces objectifs
tout en améliorant l'efficacité de l'entreprise.
Le développement des méthodes de contrôle interne a une influence importante sur
le développement des systèmes d'information, car leur fonctionnement a un impact
sur l'efficacité des processus de l'entreprise. Il est pour cela nécessaire de mettre en
place des dispositifs de gestion de contrôle adaptés. Ceux-ci reposent à leur tour sur
des systèmes d'information permettant d'alimenter des tableaux de bord de suivi des
processus.

Les définitions du contrôle interne[modifier | modifier le code]

Il existe de multiples définitions du contrôle interne : voir Système de contrôle
interne et Audit comptable et financier. Une des plus anciennes est celle de B. Fain
et V. Faure : "Le contrôle interne consiste en une organisation rationnelle de la
comptabilité et du service comptable visant à prévenir, tout au moins à découvrir
sans retard, les erreurs et les fraudes". Elle date de 1948. Celle qui aujourd'hui fait
référence est celle du COSO : « Le contrôle interne est un processus mis en œuvre
par l'organe de direction (c'est-à-dire le Conseil d'Administration), les dirigeants et le
personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :

 réalisation et optimisation des opérations,

 fiabilité des informations financières,
 respect des lois et réglementations en vigueur. »
Cette définition n'est pas parfaite, mais a le mérite de définir le contrôle interne
comme un processus et elle précise qu'elle a pour but de mettre la notion
d'assurance raisonnable concernant les opérations. Par contre, elle ne prend pas en
compte la notion de gestion des risques qui a été prise en compte dans COSO 2.
Mais surtout elle ne fait pas référence à l'état des pratiques ni aux processus de
l'entreprise.
Cette définition a été largement reprise comme dans le cadre de référence de l'AMF :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux caractéristiques propres de chaque société qui :

 contribue à la maîtrise de ses activités, à l’efficacité de

ses opérations et à l’utilisation efficiente de ses
ressources, et
 doit lui permettre de prendre en compte de manière
appropriée les risques significatifs, qu’ils soient
opérationnels, financiers ou de conformité ».
La multiplicité des définitions de la notion de contrôle interne est due à la variété des
préoccupations des différents intervenants : cela dépend du métier, du secteur
d'activité, des crises rencontrées, ... Il est certain que la vision du commissaire aux
comptes est assez différente de celle de l'auditeur interne, du dirigeant ou du
consultant en stratégie.
Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à
une démarche plus large très proche de la gouvernance. Mais ces définitions ne sont
pas complètes, car elles précisent le « comment » mais ne disent pas le
« pourquoi ».
On peut raisonnablement considérer que le contrôle interne est un processus
permettant de s'assurer que les opérations de l'entreprise se déroulent en appliquant
des bonnes pratiques notamment celles concernant le management et le
fonctionnement de ses principaux processus. La notion de bonne pratique est
fondamentale. Elle est au cœur de toutes ces démarches. C'est ce que tout
professionnel expérimenté sait qu'il devrait mettre en œuvre, mais qu'il ne s'applique
pas toujours.

Le besoin de contrôle interne[modifier | modifier le code]

Le développement du contrôle interne correspond à trois besoins différents :

 la dérive des pratiques des entreprises. Elles sont de

différentes natures comme le laxisme de l'application
des règles de gestion, l'oubli des règles de contrôle ou
de sécurité, les fraudes internes, ... Elle est due à la
perte de certains repères et à l'effacement progressif
de la frontière entre ce qui est permis et ce qui ne l'est
pas ;
 la montée des risques liée à la globalisation, à la
dématérialisation des opérations, la financiarisation, ...
Ce sont des tendances profondes. On n'y peut rien et
cela se traduit par une multiplication des situations
délicates. Il est pour cette raison nécessaire de mettre
en place des mesures appropriées de façon à limiter le
niveau des risques ;
 le développement des systèmes d'information. En soit,
c'est une bonne nouvelle, mais l'expérience montre que
des applications mal conçues ou insuffisamment
 protégées peuvent se traduire par des fragilités
importantes.
Le contrôle interne a pour objectif de renforcer et de systématiser les dispositifs de
contrôle permettant de s'assurer que les opérations courantes de l'entreprise se
déroulent normalement. C'est une évolution importante de la démarche de contrôle.
Traditionnellement les contrôles se faisaient de manières ponctuelles comme des
audits. Dans une démarche de contrôle interne, on cherche à mettre en place des
contrôles permanents. Parallèlement on assiste à l'apparition dans les entreprises de
Directions du Contrôle Interne et de Directions des Risques chargées de prendre en
compte l'ensemble de ces opérations

Les interlocuteurs concernés par le contrôle

interne[modifier | modifier le code]
Le contrôle interne concerne l'ensemble des organes de direction d'une entreprise et
notamment :

 le Conseil d'Administration. Il représente les

actionnaires et il est à ce titre directement intéressé par
le niveau de contrôle interne de l'entreprise. Il doit
notamment s'assurer que les procédures internes
garantissent la significativité et l'honnêteté des comptes
sociaux. De plus en plus souvent les constatations
faites sont reportées à l'Assemblée Générale des
actionnaires.
 le Comité d'audit est composé d'administrateurs
indépendants chargés d'initier et de suivre les missions
d'audit. À ce titre, il a pour mission de demander le
renforcement des procédures de contrôle interne.
 le Commissaire aux comptes doit, dans le cadre de sa
mission légale, s'assurer de l'existence et de l'efficacité
des procédures de contrôle interne. Dans les grandes
entreprises, il doit évaluer le rapport de la direction
générale sur l'ensemble des procédures de l'entreprise.
 la direction générale a la responsabilité de mettre en
place des procédures de contrôle interne et, si c'est
nécessaire, de les renforcer. Très souvent l'équipe
d'audit interne lui est rattachée.
 le comité de direction est souvent amené à s'intéresser
aux pratiques de contrôle interne mis en œuvre par les
principaux décideurs de l'entreprise qui en font partie.
Ils ont la responsabilité de s'assurer qu'on applique
effectivement les bonnes pratiques.
 la direction de l'audit doit veiller à la mise en place des
règles de contrôle interne. Il a la responsabilité de
s'assurer qu'elles sont effectivement appliquées et
donnent les résultats attendus.
  la direction des risques a la mission de les évaluer. Ils
peuvent être liés à l'activité principale de l'entreprise
(risques métiers) mais aussi aux activités accessoires
dont l'informatique (risques opérationnels).
 la direction financière est particulièrement intéressée
par la mise en œuvre des règles de contrôle interne. La
sincérité des comptes est directement liée à leur
application.
 la direction juridique doit s'assurer que tous les contrats
signés avec les clients, les fournisseurs et les salariés
sont conformes aux règles contractuelles se trouvant
dans la charte juridique de l'entreprise.
 la direction des systèmes d'information est au cœur de
l'application des règles de contrôle interne. Les
programmes les exécutent. Il faut s'assurer qu'ils
fonctionnent correctement et donnent les résultats
attendus.
Comme on le voit toutes les unités de l'entreprise sont concernées par le contrôle
interne. Il s'agit de l'affaire de tous.

Le rôle et les responsabilités du contrôle

interne[modifier | modifier le code]
Il existe dans un nombre croissant d'entreprises une direction de l'audit interne ou
une direction du contrôle interne. On peut s'interroger sur son rôle et ses
responsabilités. Est-ce que les auditeurs internes sont responsables du contrôle
interne de l'entreprise ? Très souvent les responsables de ces équipes le pensent.
Mais, il faut être clair, la responsabilité du contrôle interne relève de la direction
générale. Dans ce contexte les équipes d'audit interne doivent s'assurer que les
procédures de contrôle interne sont en place, fonctionnent et donnent les résultats
attendus.
En fait, tous les salariés de l'entreprise sont responsables du contrôle interne. Quels
que soient leur métier et les tâches qui leur sont confiés, ils doivent veiller à ce que
les instructions qui leur sont données soient effectivement appliquées. Dans ce
contexte, le management de l'entreprise a la responsabilité de mettre en place des
dispositifs de contrôle suffisants dans le cadre des instructions qu'il donne aux
personnes placées sous ses ordres.

La description des dispositifs de contrôle

interne[modifier | modifier le code]
La qualité et l'efficacité du contrôle interne dépend de la mise en place d'un certain
nombre de dispositifs tel que :

 les règles de contrôle interne,

 le rôle de l'audit,
 la gouvernance de l'entreprise,
 l'importance des systèmes d'information,
  le rôle du reporting du contrôle interne.
Les règles de contrôle interne[modifier | modifier le code]
Il existe de nombreuses règles de contrôle interne et parmi celles-ci on peut
distinguer des règles générales et des règles particulières.

 Les règles générales s'appliquent à toutes les fonctions

et à tous les processus de l'entreprise :
o la séparation des fonctions. Des règles strictes
doivent être appliquées pour qu'une même
personne ne soit pas à la fois chargée d'une action
et en même temps d'en contrôler l'exécution,
o tracer les transactions. Il est nécessaire
d'enregistrer toutes les opérations effectuées
permettant ensuite de reconstituer les opérations,
o la conservation des documents. Il faut pouvoir
retrouver les pièces justificatives des opérations.
o la surveillance des opérations permet de s'assurer
que les opérations se déroulent normalement sans
incident,
o la sécurité des opérations. Il faut pouvoir assurer un
bon niveau de sécurité de façon à pouvoir
redémarrer rapidement après un incident sans
perdre d'information significative.

 Il existe aussi des règles particulières propre à une

activité spécifique :
o la gestion d'un projet. Il existe un certain nombre de
règles permettant de réduire les risques de dérives.
o la prise d'une commande et la facturation doivent
appliquer des règles spécifiques liées à la nature de
l'activité.
o l'établissement de la paie doit aussi appliquer des
règles très strictes.
Ces règles sont les bonnes pratiques que tout professionnel connaît et doit
appliquer. La réalité est souvent plus délicate, car ces règles sont parfois
imparfaitement appliquées, et même dans certains cas elles sont totalement
ignorées.
Face aux situations scabreuses rencontrées aux États-Unis, la loi Sarbanes-Oxley a
fait obligation aux entreprises de renforcer les dispositifs de contrôle interne. La
section 404 fait obligation à toutes les entreprises cotées à une bourse située aux
États-Unis d'évaluer les dispositifs de contrôle interne et d'établir un rapport annuel
de contrôle interne. Un organisme de contrôle le PCOAB, Public Company
Accounting Oversight Board, est chargé de fixer des normes précisant les contrôles
qui doivent être effectués.
Le rôle de l'audit[modifier | modifier le code]
Les techniques de contrôle interne sont fortement influencées par la pratique de
l'audit. En effet l'auditeur interne ou externe est amené à constater des situations à
risques et à proposer des recommandations permettant de les diminuer. Le but de
l'audit est donc de réduire le niveau de risque de façon à obtenir une assurance
raisonnable du bon fonctionnement de la fonction ou du processus audité.
Pour effectuer ce travail, l'auditeur va baser sa démarche sur sa connaissance des
objectifs de contrôle du domaine audité. Or ces derniers reposent sur la
connaissance qu'il a des bonnes pratiques. Elles sont la base des règles de contrôle
interne qu'il faut vérifier. L'audit est donc à la base de toute démarche de contrôle
interne. L'auditeur, qu'il soit interne ou externe, va donc s'assurer que les règles de
contrôle interne sont effectivement appliquées et donnent les résultats attendus.
La gouvernance de l'entreprise[modifier | modifier le code]
Derrière la notion de contrôle interne il y a celle de gouvernance de l'entreprise. C'est
une préoccupation apparue dans les années 1990 face à la multiplication des
situations curieuses, voire scabreuses, rencontrées dans un certain nombre
d'entreprises. C'est un mouvement international apparu aux États-Unis et qui a été
repris dans tous les pays développés dont la France (Rapports Viénot I, Mariani,
Viénot II, Bouton, Clément, …). Il a pour but d'améliorer la manière dont les
entreprises sont dirigées. Cela s'est traduit aux États-Unis par la loi Sarbanes-
Oxley et en France par la loi de sécurité financière.
La gouvernance d'entreprise repose sur un ensemble de règles simples qui
permettent d'assurer un meilleur fonctionnement de l'entreprise. Elle repose sur une
clarification des rôles de la direction générale et du conseil d'administration. C'est
une nouvelle répartition des rôles entre les différents organes de gestion de
l'entreprise. Par exemple les grandes entreprises doivent mettre en place un comité
d'audit dont les membres doivent de préférence être des administrateurs
indépendants. La loi de Sécurité Financière fait de plus obligation aux plus grandes
entreprises d'analyser leurs processus et d'établir un rapport les décrivant. Les
Commissaires aux Comptes de l'entreprise doivent valider ce document et en
informer l'Assemblée Générale des actionnaires.
Pour améliorer la gouvernance des entreprises il est nécessaire de mettre en place
des processus adaptés prenant en charge les principales opérations de l'entreprise
comme les achats, les ventes, la production, la logistique, ... Si on veut améliorer
l'efficacité de l'entreprise il est nécessaire de les rendre plus efficaces. On va pour
cela les rationaliser, les simplifier et les informatiser. Ceci se traduit par la rédaction
de procédures décrivant les processus. C'est une pièce fondamentale du contrôle
interne.
L'importance des systèmes d'information[modifier | modifier le code]
Les progrès réalisés ces dernières années en matière informatique ont permis un
développement important des systèmes d'information des entreprises. Ils constituent
aujourd'hui leur cœur. Il est pour cela nécessaire de les mettre en œuvre en
respectant les principes de la gouvernance des systèmes d'information. Ils
permettent de faire fonctionner efficacement les règles de contrôle interne.
Aujourd'hui la plupart des règles de contrôle interne sont mises en œuvre à l'aide des
systèmes d'information des entreprises. Ils comportent d'abord les contrôles
informatiques traditionnels tels que la validation des données saisies, mais aussi le
contrôle des bases de données existantes, le contrôle des traitements, le contrôle
des éditions ou des consultations. Les actions de contrôle interne portent aussi sur
l'amélioration de l'efficacité des opérations, le pilotage des processus et la mise en
place des tableaux de bord décrivant les activités.
Pour améliorer le niveau du contrôle interne des entreprises on va s'attacher à
perfectionner le fonctionnement des systèmes d'information. Pour cela on va veiller à
mieux maîtriser le management des systèmes d'information.
L'importance du reporting du contrôle interne[modifier | modifier le
code]
Les opérations de contrôle interne sont nombreuses et variées. Elles se traduisent
par de nombreux signalements qui indiquent que tout se passe bien ou bien que
quelque chose d'anormal est survenu. Ce sont souvent des dysfonctionnements ou
des incidents. Ces événements doivent rapidement remonter vers les décideurs pour
que des mesures soient prises. C'est la base du contrôle interne.
Ainsi une base de données des contrôles effectués, des anomalies constatées, des
suites données aux incidents, ... est constituée. Elle permet de suivre les incidents et
ainsi apprécier le degré de maîtrise des processus de l'entreprise.
Il est pour cela nécessaire d'établir périodiquement une synthèse des incidents
constatés, des corrections effectuées, mais aussi rendre compte des contrôles
positifs effectués. Pour cela, à partir de la base de données du contrôle interne on va
établir un tableau de bord du contrôle interne de l'entreprise, du processus ou de la
fonction concernée.

Le contrôle interne dans la banque[modifier | modifier le code]

Parmi toutes les entreprises existantes les banques sont celles connaissant des
niveaux de risques les plus élevés. Pour cette raison, il est nécessaire de mettre en
place un dispositif de contrôle interne permettant d'identifier ces risques et de
prendre des mesures permettant de réduire leur impact.
La réglementation internationale des banques est fixée par le Comité de Bâle. La
réglementation dite Bâle II, publiée en 2004, fixe le minimum de fonds propres (8 %)
que doit couvrir la banque dans les crédits qu'elle octroie. Elle leur impose aussi
d'évaluer les risques opérationnels. Pour cela les banques doivent renforcer leurs
dispositifs de contrôle interne. Ce sont un certain nombre de procédures dont le but
est d'atténuer les risques. Les banques européennes ont eu l'obligation de mettre en
œuvre ces règles à partir de 2008.
Sans attendre le Comité de la réglementation bancaire et financière a mis en place
en 1997 un règlement le CRBF 97.02 sur les « Conditions d'exercice du contrôle
interne des établissements bancaire » qui impose aux banques d'établir un système
de contrôle interne. Il précise dans son article 1 le contenu :
a) un système de contrôle des opérations et des procédures internes ;
b) une organisation comptable et du traitement de l’information ;
c) des systèmes de mesure des risques et des résultats ;
d) des systèmes de surveillance et de maîtrise des risques ;
e) un système de documentation et d’information ;
f) un dispositif de surveillance des flux d’espèces et de titres.
« Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat
en adaptant l’ensemble des dispositifs prévus par le présent règlement à la nature et
au volume de leurs activités, à leur taille, à leurs implantations et aux risques de
différentes natures auxquels elles sont exposées.»

Les limites du contrôle interne[modifier | modifier le code]

L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon
fonctionnement de l'entreprise. Mais ce n'est pas une garantie absolue. Il est toujours
possible qu'un fraudeur particulièrement astucieux profite des failles des procédures
internes pour commettre un vol au détriment de l'entreprise.
Il est probable que le renforcement des dispositifs de contrôle interne doit permettre
d'éviter cela. Souvent cela s'accompagne d'un alourdissement des procédures. Au
lieu d'améliorer l'efficacité de l'entreprise on ne réussit qu'à augmenter la lourdeur de
sa bureaucratie.
De manière plus générale on constate que l'atteinte des objectifs de l'entreprise ne
dépend pas uniquement des facteurs internes. Si le marché s'effondre ou si un
concurrent bénéficie d'une innovation majeure, l'entreprise peut avoir des processus
efficaces et performants, mais elle sera en situation de risque vital.

Notes et références[modifier | modifier le code]

Voir aussi[modifier | modifier le code]
Articles connexes[modifier | modifier le code]

 Système de contrôle interne

 Audit
 COSO
 Loi Sarbanes-Oxley
 Loi de sécurité financière
 Autorité des marchés financiers (AMF)
 Institute of Internal Auditors (IIA)
 Institut français des auditeurs et contrôleurs
internes (IFACI)
 Bâle II
 Audit comptable et financier
 Management du système d'information
Liens externes[modifier | modifier le code]

 L'Autorité des marchés financiers, AMF [archive]

 Le Committee Of Sponsoring Organisations of the
Treadway Commission, le COSO [archive]
 Le Public Company Accounting Oversight Board :
PCAOB [archive]
 Bibliographie[modifier | modifier le code]

 COSO 1 : Internal Control - Integration Framework,

traduction française : La pratique du contrôle interne,
2002, Éditions d'Organisation, (ISBN 2708127136)
 COSO 2 : Entreprise Risk Management Framework,
traduction française : Le management des risques de
l'entreprise : cadre de référence, techniques
d'application, 2005, Éditions
d'Organisation, (ISBN 2708134329)
 AMF : Le dispositif de contrôle interne : Cadre de
référence, 2007
 AFAI : Contrôle Interne et Système
d'information 2e édition

Explication des systèmes de contrôle

interne
Réduire les risques au minimum est un souhait partagé par toutes les entreprises. Les accidents, les erreurs
ou les actes criminels n’ont pas leur place dans les entreprises. Cela est vrai en matière de protection au
travail, mais aussi de protection des sites de l’entreprise contre des accès non autorisés par des tiers. Alors
que les mêmes règles et mesures peuvent être mises en œuvre pour ces aspects plutôt tangibles, il est plus
difficile de garantir la qualité du système financier ou de la gestion. C’est pourquoi de nombreuses
entreprises établissent un système de contrôle interne. Celui-ci doit veiller à ce que tout fonctionne comme
le souhaite l’entreprise.

Sommaire
1. Qu’est-ce qu’un système de contrôle interne ?
2. Mise en pratique d’un système de contrôle interne
3. Différenciation par rapport à d’autres mécanismes de contrôle

Qu’est-ce qu’un système de contrôle interne ?

Dans une certaine mesure, la direction d’une entreprise contrôle le travail des employés. Mais qui vérifie
les actions et les décisions de la direction ? Un système de contrôle interne peut contribuer à améliorer la
sécurité d’une entreprise dans ces domaines, mais pas uniquement. Un tel système a pour but d’empêcher
les erreurs et les actes criminels. Afin de réduire les risques à un minimum, les systèmes de contrôle interne
sont composés de règles et de processus de travail visant à empêcher un maximum les comportements
erronés. En suivant ces règles, les employés réduisent la probabilité d’une erreur et tout manquement aux
règles peut être rapidement constaté.

Les mécanismes de contrôle sont activés en amont, en aval ou en parallèle de la tâche à surveiller, en

fonction de la pertinence et des possibilités dans chaque contexte spécifique. La particularité des systèmes
de contrôle interne réside dans une surveillance interne à l’entreprise. Contrairement à d’autres concepts
faisant intervenir des instances de contrôle externes (par exemple des superviseurs financiers ou des
auditeurs), un bon système de contrôle interne permet aux employés de se contrôler mutuellement.

Pour mettre en place un système de contrôle interne efficace, les entreprises doivent réfléchir à deux
aspects : un système de direction interne et un système de gouvernance interne. La première catégorie
prend en charge les règles concernant la direction de l’entreprise. La gouvernance est quant à elle la partie
la plus complexe et la plus ramifiée des systèmes de contrôle interne. Dans l’idéal, les mesures doivent se
dérouler de façon automatique.

Rôles et principes d’un système de contrôle interne

De façon générale, les systèmes de contrôle interne doivent veiller à ce que personne ne puisse se
comporter de façon erronée dans l’entreprise, que tous les processus puissent se dérouler en bonne et due
forme et que la corruption et la criminalité financière soient proscrites. Les domaines de compétence d’un
système de contrôle interne peuvent toutefois être plus concrets :

 Protection des actifs : les actifs existants doivent être protégés contre des pertes.
 Enregistrement : tous les processus doivent être enregistrés correctement et en temps
utile.
 Amélioration : les enregistrements permettent d’améliorer les processus.
 Respect des règles : le système garantit le respect des règles par toutes les parties
prenantes.

Afin d’atteindre ces objectifs, un système de contrôle interne se base sur quatre principes distincts :

 Séparation des fonctions : au sein des processus d’entreprise, il est essentiel que les
fonctions exécutives (par ex. les achats), comptables (par ex. la comptabilité des
stocks) et administratives (par ex. la gestion des stocks) ne soient pas assurées par la
même personne ou le même groupe.
 Contrôle : tout processus important effectué par un employé doit faire l’objet d’un
contrôle par un autre employé.
 Minimum d’informations : chaque employé doit disposer uniquement des
informations dont il a besoin pour ses tâches.
 Transparence : avoir une idée claire de ce que seraient des conditions idéales
permettra également à des personnes externes d’évaluer si les tâches ont été exécutées
correctement.

 Note
Il n’existe pas de concept de système de contrôle interne universel qui s’appliquerait uniformément à toutes
les entreprises. Un système de contrôle interne doit être développé en fonction de la taille, du secteur et de
la forme juridique de l’entreprise.

Référentiels
Deux modèles de systèmes de contrôle interne sont fréquemment utilisés et considérés comme très
efficaces : COSO et COBIT.

COSO (Committee of Sponsoring Organizations of the Treadway

Commission)
En réalité, COSO est une organisation privée américaine qui se consacre à l’amélioration générale des
structures d’entreprises. Cela inclut notamment les questions d’éthique, mais aussi un grand nombre
d’éléments détectables par un système de contrôle interne. C’est la raison pour laquelle, dès les années
1990, cette organisation a développé un cadre pratique qui a été révisé en 2004.

Ce modèle se concentre sur quatre catégories distinctes :

  Strategic : les principaux objectifs de l’activité de l’entreprise
 Operations : une utilisation efficace des ressources
 Reporting : un reporting fiable
 Compliance : la conformité à la législation

Ces catégories sont liées à cinq composants :

 L’environnement de contrôle : ce composant traite principalement de l’éthique, de la

philosophie, des compétences, mais aussi des aspects structurels de l’entreprise.
L’environnement de contrôle est composé de différents standards pour la réalisation
des contrôles. Des mécanismes permettant à la direction d’attribuer des responsabilités
sont également identifiés.
 L’évaluation des risques : quels risques peuvent survenir pour l’entreprise ?
L’évaluation des risques est effectuée sur la base des objectifs concrets de l’entreprise.
Tout ce qui peut faire obstacle à la réalisation des objectifs est considéré comme un
risque.
 Les activités de contrôle : ce composant est consacré à la réalisation des contrôles.
Les décisions et les objectifs incontournables de la direction doivent être exécutés
intégralement. Des procédures spécifiques sont utilisées pour la mise en œuvre.
 L’information et la communication : la diffusion des informations ainsi que la
communication interne et externe sont prises en compte dans ce composant. Des
rapports oraux ainsi que des manuels et des lignes directrices écrites peuvent être
utilisés pour la transmission des informations.
 La surveillance : la surveillance concerne les évaluations de la procédure.
L’application et le fonctionnement du système de contrôle interne sont vérifiés en
continu ou régulièrement.

Toutes les catégories concernent l’ensemble des composants. Ces tâches doivent être effectuées à tous les
niveaux de l’entreprise.

En 2017, ce cadre a connu une nouvelle mise à jour pour prendre en compte les nouveaux défis posés par la
numérisation.

COBIT (Control Objectives for Information and Related Technology)

Le référentiel de l’association internationale des auditeurs informatiques porte sur l’informatique des
entreprises. Alors que le référentiel COSO se concentre en premier lieu sur la comptabilité et la gestion des
entreprises, COBIT se penche sur les structures technologiques au sein de l’entreprise. Pour ce faire, la
cinquième version du référentiel COBIT comporte cinq principes, sept catégories et 37 processus regroupés
en cinq domaines.

Les cinq principes de COBIT sont des hypothèses de base :

 Répondre à tous les besoins : tous les souhaits des parties prenantes doivent être
satisfaits par le système. Ce principe implique par conséquent de définir les parties
prenantes dans un premier temps.
 Couvrir l’intégralité de l’entreprise : pour éviter toute perte d’informations, chaque
partie de l’entreprise doit être intégrée au système de contrôle interne, même en dehors
des solutions informatiques.
 Intégrer un seul cadre de référence : pour un maximum d’efficacité, il convient de
ne pas utiliser deux cadres de référence en parallèle. Le doublement des systèmes
 augmente non seulement la charge de travail, mais produit également davantage
d’erreurs.
 Favoriser une approche holistique : COBIT 5 intervient dans tous les processus
d’une entreprise et permet ainsi d’atteindre les objectifs de l’entreprise de façon
collective.
 Séparer la gouvernance et la gestion : dans un système de contrôle interne efficace,
la gestion et la gouvernance doivent être nettement séparée afin d’éviter toute erreur
dans les décisions des personnes exécutantes.

Pour un COBIT 5 efficace, il convient de suivre 7 facilitateurs liés les uns aux autres.

 Principes, directives et cadres de références : les objectifs souhaités sont traduits en

exécutions pratiques afin de permettre le travail au quotidien.
 Processus : ce facilitateur regroupe un ensemble de pratiques permettant d’atteindre
les objectifs fixés.
 Structures organisationnelles : ce facilitateur est utilisé pour décider dans quel but
des rôles clairs sont attribués aux employés.
 Culture, éthique et comportement : des comportements censés améliorer
durablement la culture de l’entreprise sont introduits pour l’intégralité de l’entreprise,
mais aussi pour chaque employé individuellement.
 Information : ce facilitateur fournit des indications sur la qualité, la sécurité et l’accès
afin de traiter correctement les informations, qu’elles proviennent de l’entreprise ou de
l’extérieur.
 Services, infrastructure et applications : ce point détermine les technologies et
applications à utiliser pour que l’informatique soit sécurisé et disponible à tout
moment.
 Personnel, aptitudes et compétences : le niveau de formation et de qualification de
chaque employé est essentiel pour prendre des décisions adéquates et des mesures
correctives.

Les 37 processus définis par COBIT concernent quant à eux des cas d’application concrets dans une
entreprise. Ils fournissent des indications sur la façon dont certains groupes de personnes – ici, COBIT
opère à nouveau une distinction entre gestion et gouvernance – doivent se comporter dans des situations
données.

Dispositions légales
Aux États-Unis, l’établissement d’un système de contrôle interne a été rendu obligatoire par la
loi Sarbanes-Oaxley. Elle a fait suite aux scandales financiers autour de grandes entreprises telles que
Enron et Worldcom qui n’établissaient pas leurs bilans avec la plus grande honnêteté. Dans le domaine des
systèmes de contrôle interne (également à l’international), de nombreuses pratiques ont été dérivées des
exigences légales imposées par la loi Sarbanes-Oaxley aux États-Unis. Cette loi américaine a également eu
des répercussions en France avec la loi sur la sécurité financière (LSF).

Parmi les dispositions les plus importantes de cette loi, on trouve l’établissement d’un rapport portant sur
les procédures de contrôle interne ainsi que la création d’un nouvel organisme de contrôle des auditeurs. Il
est également fait référence au contrôle interne dans un certain nombre de textes législatifs comme le code
monétaire et financier ou le code de commerce. La diversité des textes juridiques sur le sujet est
révélatrice du fait que les exigences dépendent en partie des formes juridiques des entreprises. Plus
récemment, en 2010, l’AMF a publié un cadre de référence des dispositifs de gestion des risques et de
contrôle interne.
S’y ajoutent d’autres exigences non officielles imposées par des organisations. Les normes de l’Institut
français de l’audit et du contrôle internes (IFACI) sont tout particulièrement déterminantes dans ce
domaine. L’IFACI assiste les professionnels du contrôle interne en leur proposant des événements, des
formations et des certifications sur le sujet. Sur son site Internet, l’IFACI publie également le Cadre de
Référence International des Pratiques Professionnelles de l’audit interne (CRIPP).

Mise en pratique d’un système de contrôle interne

Dans la pratique, le système de contrôle interne est adapté aux circonstances et aux exigences de
l’entreprise (ou encore de l’organisation ou des autorités). Aucun système de contrôle n’est donc identique
à un autre. En effet, ce n’est pas la documentation qui permet de garantir des processus sûrs et clairs dans
une entreprise, mais bien la culture d’entreprise vécue par les employés et les pratiques assimilées. Pour y
parvenir, la direction de l’entreprise doit envoyer des signaux forts à chaque employé.

 Conseil
Pour que les informations importantes sur le système de contrôle interne soient disponibles dans
l’entreprise sur le long terme, il est utile d’élaborer des guides, des manuels et des fiches d’information. Les
employés pourront ainsi s’informer à tout moment sur leurs tâches et leurs obligations.

D’autres points fonctionnent quant à eux grâce à des registres détaillés. Il est ainsi possible de veiller à ce
que les instances de contrôle disposent des informations nécessaires pour contrôler la gestion (ou d’autres
départements pertinents d’une entreprise). Ce contrôle s’effectue sous la forme de rapports qui pourront
être générés sur une base régulière ou en fonction de la situation. Il va de soi que les rapports financiers
détaillés présentent un plus grand intérêt pour un système de contrôle interne.

Les systèmes de contrôle interne constituent souvent un défi pour les petites entreprises. Mettre en place un
tel système de façon efficace requiert du personnel pour procéder aux contrôles. De nombreux
départements de petites entreprises sont souvent constitués uniquement d’une ou deux personne(s), auquel
cas il est difficile de réaliser des contrôles. La situation est encore plus complexe lorsque la direction de
l’entreprise compte une seule personne : il reviendrait alors aux employés d’assurer le contrôle de la
gestion, ce qui s’avère compliqué dans la pratique.

Il peut être utile de recourir à une approche ascendante dans laquelle les aspects individuels sont
progressivement intégrés dans le système de contrôle interne avant de passer par un système holistique.
Chaque entreprise étant de toute façon tenue d’établir un reporting comptable, ce domaine peut constituer
ici un point de départ. Outre une autodiscipline, une documentation adéquate pourra également se révéler
un outil pratique pour établir un système de contrôle interne efficace dans des PME.

Différenciation par rapport à d’autres mécanismes de

contrôle
Les entrepreneurs connaissent peut-être d’autres systèmes de contrôle, qu’ils ont peut-être déjà établis dans
leur entreprise ou envisagent d’établir. Le système de gestion des risques est l’un d’entre eux. Comme les
systèmes de contrôle interne et de gestion des risques abordent tous deux la gouvernance des entreprises et
la gestion des risques, on pourrait supposer qu’ils sont identiques, pourtant, il s’agit de procédés très
différents, même s’il existe certains points communs.

La gestion des risques traite de stratégies de gestion d’entreprise complexes et des dangers pouvant émaner
de telles décisions de gestion. Le système de contrôle interne se concentre davantage sur l’activité effective
des employés et des gérants. Dans ce cadre, on veille systématiquement à ce que chacun d’entre eux se
conforme aux prescriptions, prescriptions que suit également un système de gestion des risques. Cela
signifie d’une part que les systèmes de contrôle interne et de gestion des risques sont
interdépendants et, d’autre part, qu’il est pertinent d’installer les deux systèmes en parallèle dans une
entreprise.
 De même, un système de gestion de la conformité ne correspond à aucun des deux systèmes précédents. Un
tel système a pour but d’empêcher les actions ou les pratiques illégales de façon concrète. Même s’il
s’agit là de risques évidents, ce ne sont pas les seuls. Il est tout à fait possible de se comporter de manière
légale tout en mettant l’entreprise en péril par certaines actions.

La révision interne – un autre terme que l’on rencontre fréquemment dans le contexte de la gouvernance
d’une entreprise – peut elle aussi être perçue comme une mesure d’un système de contrôle interne. Il s’agit
ici d’une sous-catégorie alors que les systèmes de contrôle interne et de gestion des risques, ainsi que les
systèmes de gestion de la conformité agissent au même niveau.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.

  08.06.20
 Gestion

 Cet article vous a plu? 5

1
