Contrôle interne

Cet article ne cite aucune source et peut contenir des informations

erronées (signalé en mars 2021).
Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web
de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références
utiles à sa vérifiabilité et en les liant à la section « Notes et références » (modifier l'article).
Trouver des sources sur « Contrôle interne »  : 
Le contrôle interne est un dispositif mis en œuvre par la direction d'une
administration (privée comme les entreprises ou publique comme les ministères)
pour lui permettre de maîtriser les opérations à risques qui doivent être faites par
elle.
Ses ressources sont pour cela mesurées, dirigées et supervisées de façon à
permettre au management de réaliser ses objectifs.
C'est une notion fondamentale du management des entreprises et des
administrations qui va amener dans les années à venir leur restructuration en
profondeur.

Sommaire

 1Les dimensions du Contrôle Interne

 2Les définitions du contrôle interne
 3Le besoin de contrôle interne
 4Les interlocuteurs concernés par le contrôle interne
 5Le rôle et les responsabilités du contrôle interne
 6La description des dispositifs de contrôle interne
o 6.1Les règles de contrôle interne
o 6.2Le rôle de l'audit
o 6.3La gouvernance de l'entreprise
o 6.4L'importance des systèmes d'information
o 6.5L'importance du reporting du contrôle interne
 7Le contrôle interne dans la banque
 8Les limites du contrôle interne
 9Notes et références
 10Voir aussi
o 10.1Articles connexes
o 10.2Liens externes
o 10.3Bibliographie

Les dimensions du Contrôle Interne[modifier | modifier le code]

La notion de contrôle interne a plusieurs dimensions :

 La lutte contre la fraude. Cela a été un des moteurs

du développement de la notion de contrôle interne. À
l'origine, il y a la publication, en 1977 aux États-Unis,
du Foreign Corrupt Practices Act (FCPA). Cette loi
exige des entreprises qu'elles mettent en place des
programmes de contrôle interne. L'objectif était de
détecter les fraudes et de protéger les ressources de
l'entreprise. Cela concerne d'abord les biens matériels
comme les stocks, les comptes clients, ... mais aussi
les biens incorporels comme les brevets, la propriété
intellectuelle, les savoir-faire, les marques, ...
 La sincérité des comptes des entreprises. Ce
souhait a été le deuxième moteur du développement du
contrôle interne. En 1985 la commission Treadway est
née de la prise de conscience des erreurs répétitives
constatées dans les comptes d'un certain nombre
d'entreprises. Elle s'est fixé comme objectif d'arriver à
lutter contre les fraudes constatées dans les Bilans et
les Comptes de Résultat de certaines entreprises. En
1992 les travaux du COSO, Committee Of Sponsoring
Organisations of the Treadway Commission se sont
traduits par un premier rapport : Internal Control -
Integration Framework qui s'appelle en français : La
pratique du contrôle interne. Il donne une définition
communément acceptée de la notion de contrôle
interne et détaille un cadre général de mise en place
d'un système de contrôle interne et la manière dont il
peut être renforcé et amélioré. Puis en 2002 une loi
américaine rigoureuse, la Loi Sarbanes-Oxley, permet
de renforcer le contrôle des comptabilités concernant
les sociétés cotées aux États-Unis. C'est une loi de
protection des investisseurs imposant de nouvelles
règles concernant la comptabilité et la transparence
financière. Plus récemment, en France l'Autorité des
marchés financiers, l'AMF, a publié un document de
référence définissant la démarche de contrôle interne.
 La mise en place d'une organisation plus efficace et
plus performante. L'objectif du contrôle interne
évolue. L'objectif de la démarche consiste à disposer
des bonnes informations au bon moment afin de
prendre les bonnes décisions. De manière plus
générale il s'agit de déterminer les objectifs
stratégiques, de mettre en place des dispositifs
opérationnels et de respecter les lois et les règlements.
Le contrôle interne nécessite de mettre en place des
procédures qui respectent l'ensemble de ces objectifs
tout en améliorant l'efficacité de l'entreprise.
Le développement des méthodes de contrôle interne a une influence importante sur
le développement des systèmes d'information, car leur fonctionnement a un impact
sur l'efficacité des processus de l'entreprise. Il est pour cela nécessaire de mettre en
place des dispositifs de gestion de contrôle adaptés. Ceux-ci reposent à leur tour sur
des systèmes d'information permettant d'alimenter des tableaux de bord de suivi des
processus.

Les définitions du contrôle interne[modifier | modifier le code]

Il existe de multiples définitions du contrôle interne : voir Système de contrôle
interne et Audit comptable et financier. Une des plus anciennes est celle de B. Fain
et V. Faure : "Le contrôle interne consiste en une organisation rationnelle de la
comptabilité et du service comptable visant à prévenir, tout au moins à découvrir
sans retard, les erreurs et les fraudes". Elle date de 1948. Celle qui aujourd'hui fait
référence est celle du COSO : « Le contrôle interne est un processus mis en œuvre
par l'organe de direction (c'est-à-dire le Conseil d'Administration), les dirigeants et le
personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la
réalisation des objectifs suivants :

 réalisation et optimisation des opérations,

 fiabilité des informations financières,
 respect des lois et réglementations en vigueur. »
Cette définition n'est pas parfaite, mais a le mérite de définir le contrôle interne
comme un processus et elle précise qu'elle a pour but de mettre la notion
d'assurance raisonnable concernant les opérations. Par contre, elle ne prend pas en
compte la notion de gestion des risques qui a été prise en compte dans COSO 2.
Mais surtout elle ne fait pas référence à l'état des pratiques ni aux processus de
l'entreprise.
Cette définition a été largement reprise comme dans le cadre de référence de l'AMF :
« Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa
responsabilité. Il comprend un ensemble de moyens, de comportements, de
procédures et d’actions adaptés aux caractéristiques propres de chaque société qui :

 contribue à la maîtrise de ses activités, à l’efficacité de

ses opérations et à l’utilisation efficiente de ses
ressources, et
 doit lui permettre de prendre en compte de manière
appropriée les risques significatifs, qu’ils soient
opérationnels, financiers ou de conformité ».
La multiplicité des définitions de la notion de contrôle interne est due à la variété des
préoccupations des différents intervenants : cela dépend du métier, du secteur
d'activité, des crises rencontrées, ... Il est certain que la vision du commissaire aux
comptes est assez différente de celle de l'auditeur interne, du dirigeant ou du
consultant en stratégie.
Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à
une démarche plus large très proche de la gouvernance. Mais ces définitions ne sont
pas complètes, car elles précisent le « comment » mais ne disent pas le
« pourquoi ».
On peut raisonnablement considérer que le contrôle interne est un processus
permettant de s'assurer que les opérations de l'entreprise se déroulent en appliquant
des bonnes pratiques notamment celles concernant le management et le
fonctionnement de ses principaux processus. La notion de bonne pratique est
fondamentale. Elle est au cœur de toutes ces démarches. C'est ce que tout
professionnel expérimenté sait qu'il devrait mettre en œuvre, mais qu'il ne s'applique
pas toujours.

Le besoin de contrôle interne[modifier | modifier le code]

Le développement du contrôle interne correspond à trois besoins différents :

 la dérive des pratiques des entreprises. Elles sont de

différentes natures comme le laxisme de l'application
des règles de gestion, l'oubli des règles de contrôle ou
de sécurité, les fraudes internes, ... Elle est due à la
perte de certains repères et à l'effacement progressif
de la frontière entre ce qui est permis et ce qui ne l'est
pas ;
 la montée des risques liée à la globalisation, à la
dématérialisation des opérations, la financiarisation, ...
Ce sont des tendances profondes. On n'y peut rien et
cela se traduit par une multiplication des situations
délicates. Il est pour cette raison nécessaire de mettre
en place des mesures appropriées de façon à limiter le
niveau des risques ;
 le développement des systèmes d'information. En soit,
c'est une bonne nouvelle, mais l'expérience montre que
des applications mal conçues ou insuffisamment
protégées peuvent se traduire par des fragilités
importantes.
Le contrôle interne a pour objectif de renforcer et de systématiser les dispositifs de
contrôle permettant de s'assurer que les opérations courantes de l'entreprise se
déroulent normalement. C'est une évolution importante de la démarche de contrôle.
Traditionnellement les contrôles se faisaient de manières ponctuelles comme des
audits. Dans une démarche de contrôle interne, on cherche à mettre en place des
contrôles permanents. Parallèlement on assiste à l'apparition dans les entreprises de
Directions du Contrôle Interne et de Directions des Risques chargées de prendre en
compte l'ensemble de ces opérations

Les interlocuteurs concernés par le contrôle

interne[modifier | modifier le code]
Le contrôle interne concerne l'ensemble des organes de direction d'une entreprise et
notamment :

 le Conseil d'Administration. Il représente les

actionnaires et il est à ce titre directement intéressé par
le niveau de contrôle interne de l'entreprise. Il doit
 notamment s'assurer que les procédures internes
garantissent la significativité et l'honnêteté des comptes
sociaux. De plus en plus souvent les constatations
faites sont reportées à l'Assemblée Générale des
actionnaires.
 le Comité d'audit est composé d'administrateurs
indépendants chargés d'initier et de suivre les missions
d'audit. À ce titre, il a pour mission de demander le
renforcement des procédures de contrôle interne.
 le Commissaire aux comptes doit, dans le cadre de sa
mission légale, s'assurer de l'existence et de l'efficacité
des procédures de contrôle interne. Dans les grandes
entreprises, il doit évaluer le rapport de la direction
générale sur l'ensemble des procédures de l'entreprise.
 la direction générale a la responsabilité de mettre en
place des procédures de contrôle interne et, si c'est
nécessaire, de les renforcer. Très souvent l'équipe
d'audit interne lui est rattachée.
 le comité de direction est souvent amené à s'intéresser
aux pratiques de contrôle interne mis en œuvre par les
principaux décideurs de l'entreprise qui en font partie.
Ils ont la responsabilité de s'assurer qu'on applique
effectivement les bonnes pratiques.
 la direction de l'audit doit veiller à la mise en place des
règles de contrôle interne. Il a la responsabilité de
s'assurer qu'elles sont effectivement appliquées et
donnent les résultats attendus.
 la direction des risques a la mission de les évaluer. Ils
peuvent être liés à l'activité principale de l'entreprise
(risques métiers) mais aussi aux activités accessoires
dont l'informatique (risques opérationnels).
 la direction financière est particulièrement intéressée
par la mise en œuvre des règles de contrôle interne. La
sincérité des comptes est directement liée à leur
application.
 la direction juridique doit s'assurer que tous les contrats
signés avec les clients, les fournisseurs et les salariés
sont conformes aux règles contractuelles se trouvant
dans la charte juridique de l'entreprise.
 la direction des systèmes d'information est au cœur de
l'application des règles de contrôle interne. Les
programmes les exécutent. Il faut s'assurer qu'ils
fonctionnent correctement et donnent les résultats
attendus.
Comme on le voit toutes les unités de l'entreprise sont concernées par le contrôle
interne. Il s'agit de l'affaire de tous.
Le rôle et les responsabilités du contrôle
interne[modifier | modifier le code]
Il existe dans un nombre croissant d'entreprises une direction de l'audit interne ou
une direction du contrôle interne. On peut s'interroger sur son rôle et ses
responsabilités. Est-ce que les auditeurs internes sont responsables du contrôle
interne de l'entreprise ? Très souvent les responsables de ces équipes le pensent.
Mais, il faut être clair, la responsabilité du contrôle interne relève de la direction
générale. Dans ce contexte les équipes d'audit interne doivent s'assurer que les
procédures de contrôle interne sont en place, fonctionnent et donnent les résultats
attendus.
En fait, tous les salariés de l'entreprise sont responsables du contrôle interne. Quels
que soient leur métier et les tâches qui leur sont confiés, ils doivent veiller à ce que
les instructions qui leur sont données soient effectivement appliquées. Dans ce
contexte, le management de l'entreprise a la responsabilité de mettre en place des
dispositifs de contrôle suffisants dans le cadre des instructions qu'il donne aux
personnes placées sous ses ordres.

La description des dispositifs de contrôle

interne[modifier | modifier le code]
La qualité et l'efficacité du contrôle interne dépend de la mise en place d'un certain
nombre de dispositifs tel que :

 les règles de contrôle interne,

 le rôle de l'audit,
 la gouvernance de l'entreprise,
 l'importance des systèmes d'information,
 le rôle du reporting du contrôle interne.
Les règles de contrôle interne[modifier | modifier le code]
Il existe de nombreuses règles de contrôle interne et parmi celles-ci on peut
distinguer des règles générales et des règles particulières.

 Les règles générales s'appliquent à toutes les fonctions

et à tous les processus de l'entreprise :
o la séparation des fonctions. Des règles strictes
doivent être appliquées pour qu'une même
personne ne soit pas à la fois chargée d'une action
et en même temps d'en contrôler l'exécution,
o tracer les transactions. Il est nécessaire
d'enregistrer toutes les opérations effectuées
permettant ensuite de reconstituer les opérations,
o la conservation des documents. Il faut pouvoir
retrouver les pièces justificatives des opérations.
o la surveillance des opérations permet de s'assurer
que les opérations se déroulent normalement sans
incident,
 o la sécurité des opérations. Il faut pouvoir assurer un
bon niveau de sécurité de façon à pouvoir
redémarrer rapidement après un incident sans
perdre d'information significative.

 Il existe aussi des règles particulières propre à une

activité spécifique :
o la gestion d'un projet. Il existe un certain nombre de
règles permettant de réduire les risques de dérives.
o la prise d'une commande et la facturation doivent
appliquer des règles spécifiques liées à la nature de
l'activité.
o l'établissement de la paie doit aussi appliquer des
règles très strictes.
Ces règles sont les bonnes pratiques que tout professionnel connaît et doit
appliquer. La réalité est souvent plus délicate, car ces règles sont parfois
imparfaitement appliquées, et même dans certains cas elles sont totalement
ignorées.
Face aux situations scabreuses rencontrées aux États-Unis, la loi Sarbanes-Oxley a
fait obligation aux entreprises de renforcer les dispositifs de contrôle interne. La
section 404 fait obligation à toutes les entreprises cotées à une bourse située aux
États-Unis d'évaluer les dispositifs de contrôle interne et d'établir un rapport annuel
de contrôle interne. Un organisme de contrôle le PCOAB, Public Company
Accounting Oversight Board, est chargé de fixer des normes précisant les contrôles
qui doivent être effectués.
Le rôle de l'audit[modifier | modifier le code]
Les techniques de contrôle interne sont fortement influencées par la pratique de
l'audit. En effet l'auditeur interne ou externe est amené à constater des situations à
risques et à proposer des recommandations permettant de les diminuer. Le but de
l'audit est donc de réduire le niveau de risque de façon à obtenir une assurance
raisonnable du bon fonctionnement de la fonction ou du processus audité.
Pour effectuer ce travail, l'auditeur va baser sa démarche sur sa connaissance des
objectifs de contrôle du domaine audité. Or ces derniers reposent sur la
connaissance qu'il a des bonnes pratiques. Elles sont la base des règles de contrôle
interne qu'il faut vérifier. L'audit est donc à la base de toute démarche de contrôle
interne. L'auditeur, qu'il soit interne ou externe, va donc s'assurer que les règles de
contrôle interne sont effectivement appliquées et donnent les résultats attendus.
La gouvernance de l'entreprise[modifier | modifier le code]
Derrière la notion de contrôle interne il y a celle de gouvernance de l'entreprise. C'est
une préoccupation apparue dans les années 1990 face à la multiplication des
situations curieuses, voire scabreuses, rencontrées dans un certain nombre
d'entreprises. C'est un mouvement international apparu aux États-Unis et qui a été
repris dans tous les pays développés dont la France (Rapports Viénot I, Mariani,
Viénot II, Bouton, Clément, …). Il a pour but d'améliorer la manière dont les
entreprises sont dirigées. Cela s'est traduit aux États-Unis par la loi Sarbanes-
Oxley et en France par la loi de sécurité financière.
La gouvernance d'entreprise repose sur un ensemble de règles simples qui
permettent d'assurer un meilleur fonctionnement de l'entreprise. Elle repose sur une
clarification des rôles de la direction générale et du conseil d'administration. C'est
une nouvelle répartition des rôles entre les différents organes de gestion de
l'entreprise. Par exemple les grandes entreprises doivent mettre en place un comité
d'audit dont les membres doivent de préférence être des administrateurs
indépendants. La loi de Sécurité Financière fait de plus obligation aux plus grandes
entreprises d'analyser leurs processus et d'établir un rapport les décrivant. Les
Commissaires aux Comptes de l'entreprise doivent valider ce document et en
informer l'Assemblée Générale des actionnaires.
Pour améliorer la gouvernance des entreprises il est nécessaire de mettre en place
des processus adaptés prenant en charge les principales opérations de l'entreprise
comme les achats, les ventes, la production, la logistique, ... Si on veut améliorer
l'efficacité de l'entreprise il est nécessaire de les rendre plus efficaces. On va pour
cela les rationaliser, les simplifier et les informatiser. Ceci se traduit par la rédaction
de procédures décrivant les processus. C'est une pièce fondamentale du contrôle
interne.
L'importance des systèmes d'information[modifier | modifier le code]
Les progrès réalisés ces dernières années en matière informatique ont permis un
développement important des systèmes d'information des entreprises. Ils constituent
aujourd'hui leur cœur. Il est pour cela nécessaire de les mettre en œuvre en
respectant les principes de la gouvernance des systèmes d'information. Ils
permettent de faire fonctionner efficacement les règles de contrôle interne.
Aujourd'hui la plupart des règles de contrôle interne sont mises en œuvre à l'aide des
systèmes d'information des entreprises. Ils comportent d'abord les contrôles
informatiques traditionnels tels que la validation des données saisies, mais aussi le
contrôle des bases de données existantes, le contrôle des traitements, le contrôle
des éditions ou des consultations. Les actions de contrôle interne portent aussi sur
l'amélioration de l'efficacité des opérations, le pilotage des processus et la mise en
place des tableaux de bord décrivant les activités.
Pour améliorer le niveau du contrôle interne des entreprises on va s'attacher à
perfectionner le fonctionnement des systèmes d'information. Pour cela on va veiller à
mieux maîtriser le management des systèmes d'information.
L'importance du reporting du contrôle interne[modifier | modifier le
code]
Les opérations de contrôle interne sont nombreuses et variées. Elles se traduisent
par de nombreux signalements qui indiquent que tout se passe bien ou bien que
quelque chose d'anormal est survenu. Ce sont souvent des dysfonctionnements ou
des incidents. Ces événements doivent rapidement remonter vers les décideurs pour
que des mesures soient prises. C'est la base du contrôle interne.
Ainsi une base de données des contrôles effectués, des anomalies constatées, des
suites données aux incidents, ... est constituée. Elle permet de suivre les incidents et
ainsi apprécier le degré de maîtrise des processus de l'entreprise.
Il est pour cela nécessaire d'établir périodiquement une synthèse des incidents
constatés, des corrections effectuées, mais aussi rendre compte des contrôles
positifs effectués. Pour cela, à partir de la base de données du contrôle interne on va
établir un tableau de bord du contrôle interne de l'entreprise, du processus ou de la
fonction concernée.

Le contrôle interne dans la banque[modifier | modifier le code]

Parmi toutes les entreprises existantes les banques sont celles connaissant des
niveaux de risques les plus élevés. Pour cette raison, il est nécessaire de mettre en
place un dispositif de contrôle interne permettant d'identifier ces risques et de
prendre des mesures permettant de réduire leur impact.
La réglementation internationale des banques est fixée par le Comité de Bâle. La
réglementation dite Bâle II, publiée en 2004, fixe le minimum de fonds propres (8 %)
que doit couvrir la banque dans les crédits qu'elle octroie. Elle leur impose aussi
d'évaluer les risques opérationnels. Pour cela les banques doivent renforcer leurs
dispositifs de contrôle interne. Ce sont un certain nombre de procédures dont le but
est d'atténuer les risques. Les banques européennes ont eu l'obligation de mettre en
œuvre ces règles à partir de 2008.
Sans attendre le Comité de la réglementation bancaire et financière a mis en place
en 1997 un règlement le CRBF 97.02 sur les « Conditions d'exercice du contrôle
interne des établissements bancaire » qui impose aux banques d'établir un système
de contrôle interne. Il précise dans son article 1 le contenu :
a) un système de contrôle des opérations et des procédures internes ;
b) une organisation comptable et du traitement de l’information ;
c) des systèmes de mesure des risques et des résultats ;
d) des systèmes de surveillance et de maîtrise des risques ;
e) un système de documentation et d’information ;
f) un dispositif de surveillance des flux d’espèces et de titres.
« Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat
en adaptant l’ensemble des dispositifs prévus par le présent règlement à la nature et
au volume de leurs activités, à leur taille, à leurs implantations et aux risques de
différentes natures auxquels elles sont exposées.»

Les limites du contrôle interne[modifier | modifier le code]

L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon
fonctionnement de l'entreprise. Mais ce n'est pas une garantie absolue. Il est toujours
possible qu'un fraudeur particulièrement astucieux profite des failles des procédures
internes pour commettre un vol au détriment de l'entreprise.
Il est probable que le renforcement des dispositifs de contrôle interne doit permettre
d'éviter cela. Souvent cela s'accompagne d'un alourdissement des procédures. Au
lieu d'améliorer l'efficacité de l'entreprise on ne réussit qu'à augmenter la lourdeur de
sa bureaucratie.
De manière plus générale on constate que l'atteinte des objectifs de l'entreprise ne
dépend pas uniquement des facteurs internes. Si le marché s'effondre ou si un
concurrent bénéficie d'une innovation majeure, l'entreprise peut avoir des processus
efficaces et performants, mais elle sera en situation de risque vital.
Notes et références[modifier | modifier le code]
Voir aussi[modifier | modifier le code]
Articles connexes[modifier | modifier le code]

 Système de contrôle interne

 Audit
 COSO
 Loi Sarbanes-Oxley
 Loi de sécurité financière
 Autorité des marchés financiers (AMF)
 Institute of Internal Auditors (IIA)
 Institut français des auditeurs et contrôleurs
internes (IFACI)
 Bâle II
 Audit comptable et financier
 Management du système d'information
Liens externes[modifier | modifier le code]

 L'Autorité des marchés financiers, AMF [archive]

 Le Committee Of Sponsoring Organisations of the
Treadway Commission, le COSO [archive]
 Le Public Company Accounting Oversight Board :
PCAOB [archive]
Bibliographie[modifier | modifier le code]

 COSO 1 : Internal Control - Integration Framework,

traduction française : La pratique du contrôle interne,
2002, Éditions d'Organisation, (ISBN 2708127136)
 COSO 2 : Entreprise Risk Management Framework,
traduction française : Le management des risques de
l'entreprise : cadre de référence, techniques
d'application, 2005, Éditions
d'Organisation, (ISBN 2708134329)
 AMF : Le dispositif de contrôle interne : Cadre de
référence, 2007
 AFAI : Contrôle Interne et Système
d'information 2e édition

  Portail de la finance 
  Portail du management 
  Portail de l’informatique
Catégories : 
  Comptabilité
 Audit
 Finance d'entreprise
 Management du système d'information
 Outil du management
 Risque
[+]
 La dernière modification de cette page a été faite le 29 mars 2021 à 09:20.
 Droit d'auteur : les textes sont disponibles sous licence Creative Commons
attribution, partage dans les mêmes conditions ; d’autres conditions peuvent
s’appliquer. Voyez les conditions d’utilisation pour plus de détails, ainsi que
les crédits graphiques. En cas de réutilisation des textes de cette page,
voyez comment citer les auteurs et mentionner la licence.
Wikipedia® est une marque déposée de la Wikimedia Foundation, Inc.,
organisation de bienfaisance régie par le paragraphe 501(c)(3) du code fiscal
des États-Unis.

Les 5 composantes du contrôle interne

Date de mise à jour 
26/05/2014
Le contrôle interne poursuit un objectif global, la maîtrise par un organisme de ses activités. Il
est explicité ci-dessous via la méthodologie COSO. Même si celle-ci n’est pas la seule à traiter
du contrôle interne, elle est très largement répandue et se révèle adaptée pour structurer la
maîtrise des risques liés à la gestion des politiques publiques.
 Le référentiel COSO décline le contrôle interne en quatre objectifs opérationnels :

 le respect des lois, règlements, contrats ;

 la protection du patrimoine, dans une acception aujourd’hui élargie qui comprend, outre les
actifs de l’organisme, ses agents et son image ;

 la fiabilité et l’intégrité des informations financières et opérationnelles (fiables et vérifiables,

exhaustives, pertinentes, disponibles) ;

 l’efficacité et l’efficience des opérations.

 
Le COSO classe en 5 composantes les dispositifs qu’un organisme doit définir et mettre en œuvre
pour maîtriser au mieux ses activités. Ces 5 composantes de dispositifs sont déclinées pour chacun
des 4 objectifs décrits ci-dessus et à tous les niveaux de l’organisation : entité, directions, unités
opérationnelles, opérateurs (entités contrôlées).
 
1ère composante : un environnement interne favorable à la maîtrise des risques
Il repose notamment sur :

 une implication des responsables en termes d’intégrité et d’éthique,

 le pilotage des activités,

 une organisation appropriée (les différentes instances de gouvernance remplissent

pleinement leur rôle),

 une définition claire des responsabilités et des pouvoirs,

 des procédures formalisées et diffusées,

 la mobilisation des compétences.

 
2ème composante : une évaluation des risques
Celle-ci comprend deux temps :

 l’identification des risques sur la base d’une analyse des activités, tant au niveau global de
l’organisme qu’au niveau détaillé de chacune de ses activités ;

 la hiérarchisation de ces risques en fonction de leur impact en termes d’enjeux pour

l’organisme.
 
3ème composante : des activités de contrôle qui comprennent les dispositifs mis en place pour
maîtriser les risques de ne pas atteindre les objectifs fixés

 Les dispositifs doivent être proportionnés aux enjeux,

 ils peuvent être transverses à l’organisme, pour faire face à des risques généraux ou propres
à une activité,

 ils sont de natures diverses : mise en place d’une procédure, d’une méthode, action de
contrôle mutuel ou de supervision…
 
4ème composante : la maîtrise de l’information et de la communication
Elle recouvre :

 la qualité de l’information (contenu, délais de disponibilité, mise à jour, exactitude,

accessibilité) nécessaire au contrôle interne,

 la qualité des systèmes d’information, stratégiques et intégrés aux opérations,

 la définition des règles et modalités de communication interne (implication du secrétaire

général en matière de contrôle interne, bonne connaissance du dispositif de contrôle interne par les
agents),

 la communication externe (information à l’extérieur de l’organisme sur la mise en œuvre de la

démarche de contrôle interne).
 
5ème composante : le pilotage du contrôle interne
Il repose sur :
 l’appropriation du contrôle interne par chaque responsable qui doit le conduire à définir,
mettre en place, piloter les dispositifs de maîtrise des risques dans son périmètre de responsabilité ;

 une sensibilisation des responsables à la nature du contrôle interne (maîtrise des activités) et
à ce qu’ils doivent faire pour le mettre en œuvre, de façon à permettre cette appropriation ;

 des processus d’actualisation (mise à jour) permanents des dispositifs de contrôle interne ;

 des dispositifs d’évaluation (internes continus et externes ponctuels, notamment par l’audit
interne).