Vous êtes sur la page 1sur 266

C o m m i t t e e o f S po n so r i n g O rganizations of the Treadway Commission

Référentiel intégré
de contrôle interne
Principes de mise en œuvre et de pilotage

Traduit de l’anglais

https://marketingebooks.tk/
Comm ittee of S ponsor i n g O rg a n i z a t i o n s o f t h e Tr e a d wa y C o m m i s s i o n

Référentiel intégré
de contrôle interne
Le référentiel international Coso est très largement accepté et utilisé
dans le monde entier comme cadre de référence pour la mise en place et le
pilotage de systèmes de contrôle interne ecaces.
Cette nouvelle version du référentiel Coso, venant après l’édition initiale de
1992, a été améliorée en élargissant les objectifs relatifs au reporting financier à
des aspects extra-financiers et internes. Elle intègre également les nombreuses
évolutions qui ont marqué l’environnement économique et opérationnel au
cours des dernières années, notamment les attentes en matière de surveillance
par les instances de gouvernance, la mondialisation des marchés et des opéra-
tions, l’évolution et la complexité croissante des modèles économiques ou les
attentes en matière de prévention et de détection de la fraude.
Le Référentiel intégré de contrôle interne a ainsi pour but de permettre aux
administrateurs, dirigeants, managers et experts du contrôle de trouver
une réponse circonstanciée à la question fondamentale : « L’organisation
est-elle sous contrôle ? »

L’IFACI (www.ifaci.com) rassemble plus de 5 600 professionnels de l’audit et du contrôle internes.


Il favorise la diffusion des meilleures pratiques professionnelles. Il est le partenaire privilégié des
organisations publiques et privées de toutes tailles souhaitant améliorer l’efficacité de leurs dispositifs
de gouvernance, de maîtrise des risques et de contrôle interne. L’IFACI est affilié à l’IIA (The Institute of
Internal Auditors), qui bénéficie d’un réseau de 180 000 adhérents.
PwC développe en France et dans les pays francophones d’Afrique des missions d’audit, d’expertise
comptable et de conseil créatrices de valeur pour ses clients, privilégiant des approches sectorielles.
Couverture : Studio Eyrolles © Éditions Eyrolles

À travers le monde, PwC compte plus de 184 000 personnes dans 157 pays. Les entités françaises et des
pays francophones d’Afrique membres de PwC rassemblent 5 000 personnes couvrant 25 pays.
ISBN : 978-2-212-55664-3
Code éditeur : G55664

https://marketingebooks.tk/
Référentiel intégré
de contrôle interne
Principes de mise en œuvre
et de pilotage

https://marketingebooks.tk/
Groupe Eyrolles
61, bd Saint- G ermain
75240 Paris Cedex 05

www.editions-eyrolles.com

Traduit de l’anglais

Copyright © 2013 by Committee of Sponsoring Organizations of the Treadway Commission, (“COSO”)


strictly reserved. No parts of this material may be reproduced in any form without the written permis-
sion of COSO.
Permission has been obtained from the copyright holder, Committee of Sponsoring Organizations of
the Treadway Commission to publish this translation, which is the same in all material respects, as
the original unless approved as changed. No parts of this document may be reproduced, stored in any
retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying,
recording, or otherwise, without prior written permission of COSO.

© Groupe Eyrolles 2014, dans le seul cadre de cet ouvrage.

ISBN : 978-22- 12-556643

https://marketingebooks.tk/
Référentiel intégré
de contrôle interne
Principes de mise en œuvre
et de pilotage

https://marketingebooks.tk/
https://marketingebooks.tk/
Sommaire

Préface .......................................................................................................................... 9
Avant-propos ................................................................................................................ 13
Synthèse ........................................................................................................................ 17
Définition du contrôle interne.................................................................................... 19
Objectifs ..................................................................................................................... 20
Composantes du contrôle interne............................................................................... 20
Lien entre les objectifs et les composantes du contrôle interne ................................ 23
Composantes et principes .......................................................................................... 23
Efficacité du contrôle interne..................................................................................... 25
Limites........................................................................................................................ 26
Utiliser le Référentiel ................................................................................................. 27

CHAPITRE 1
Définition du contrôle interne................................................................................... 29
Comprendre le contrôle interne ................................................................................. 30
Centré sur la réalisation des objectifs........................................................................ 31
Un processus…........................................................................................................... 32
… mis en œuvre par des personnes… ....................................................................... 33
… fournissant une assurance raisonnable… ............................................................. 34
… adaptable à la structure ......................................................................................... 34

CHAPITRE 2
Objectifs, composantes et principes ........................................................................ 37
Introduction................................................................................................................ 38
Lien entre les objectifs, les composantes du contrôle interne et l’entité ................... 39
Objectifs ..................................................................................................................... 40
Composantes et principes du contrôle interne........................................................... 48
Contrôle interne et processus de gestion.................................................................... 50
Limites du contrôle interne ........................................................................................ 54

https://marketingebooks.tk/
6 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

CHAPITRE 3
Efficacité du contrôle interne .................................................................................... 55
Les conditions d’un contrôle interne efficace............................................................ 56
Pertinence des composantes et des principes ............................................................ 57
Mise en place et fonctionnement ............................................................................... 57
Fonctionnement conjoint ............................................................................................ 58
Déficiences du contrôle interne.................................................................................. 59
Autres considérations................................................................................................. 61

CHAPITRE 4
Considérations additionnelles ................................................................................... 63
Jugement..................................................................................................................... 64
Points d’attention........................................................................................................ 65
Contrôles relatifs à l’application des principes .......................................................... 65
Frontières de l’organisation........................................................................................ 66
Systèmes d’information.............................................................................................. 67
Grandes et petites entités ........................................................................................... 68
Coûts et bénéfices du contrôle interne....................................................................... 69
Documentation ........................................................................................................... 72

CHAPITRE 5
Environnement de contrôle ....................................................................................... 75
Démontrer son engagement en faveur de l’intégrité et des valeurs éthiques ............ 78
Réaliser une surveillance effective............................................................................ 84
Définir des structures, des pouvoirs et des responsabilités....................................... 90
Démontrer son engagement en faveur du développement des compétences............. 95
Instaurer un devoir de rendre compte ........................................................................ 99

CHAPITRE 6
Évaluation des risques ................................................................................................ 107
Définir des objectifs appropriés................................................................................. 111
Identifier et analyser les risques ................................................................................ 120
Évaluer le risque de fraude......................................................................................... 129
Identifier et analyser les changements significatifs .................................................. 135

https://marketingebooks.tk/
SOMM AIRE 7

CHAPITRE 7
Activités de contrôle ................................................................................................... 141
Sélectionner et développer des activités de contrôle ................................................. 143
Sélectionner et développer des contrôles généraux informatiques............................ 154
Déployer par le biais de règles et de procédures ....................................................... 159

CHAPITRE 8
Information et communication ................................................................................. 163
Utiliser des informations pertinentes ........................................................................ 166
Communiquer en interne............................................................................................ 173
Communiquer en externe........................................................................................... 179

CHAPITRE 9
Pilotage ......................................................................................................................... 185
Conduire des évaluations continues et/ou ponctuelles.............................................. 189
Évaluer et communiquer les déficiences du contrôle interne .................................... 197

CHAPITRE 10
Limites du contrôle interne ....................................................................................... 201
Conditions préalables au contrôle interne.................................................................. 202
Jugement..................................................................................................................... 203
Événements externes.................................................................................................. 203
Dysfonctionnements................................................................................................... 203
Contournement par le management ........................................................................... 204
Collusion..................................................................................................................... 205

Annexes ........................................................................................................................ 207


Annexe A : Glossaire.................................................................................................... 208
Annexe B : Rôles et responsabilités ............................................................................. 213
Annexe C : Points spécifiques à prendre en compte pour les petites entités............... 227
Annexe D : Méthodologie de révision du Référentiel .................................................. 233
Annexe E : Commentaires reçus.................................................................................. 236
Annexe F : Synthèse des modifications apportées au référentiel La pratique
du contrôle interne publié en 1992 ................................................................................ 245
Annexe G : Comparaison avec le référentiel ERM ...................................................... 255

Le projet Coso............................................................................................................... 262

https://marketingebooks.tk/
https://marketingebooks.tk/
Préface

1. L’édition française du COSO Report, parue en 1994 sous le titre La nouvelle pratique
du contrôle interne, avait rencontré un franc succès auprès des praticiens, des ensei
gnants et des décideurs. Son succès ne s’est pas démenti depuis lors, et s’est trouvé
confirmé avec le déploiement du contrôle interne dans des environnements très divers.
En effet, dans des contextes de recherche de productivité et de réduction des coûts,
incitant à l’allégement des structures administratives, l’adéquation et l’efficacité des
dispositifs de contrôle apparaissent comme un facteur fondamental du renforcement
de la gouvernance et de la robustesse de toute organisation.
2. C’est pour satisfaire aux attentes relatives à la mise en place et au pilotage d’un sys
tème de contrôle interne performant, visant à limiter les risques de défaillance et à
optimiser l’efficacité des opérations, que la Treadway Commission avait constitué,
en 1985, un groupe de travail réunissant des représentants de grandes entreprises,
de cabinets d’audit et d’organisations professionnelles dont l’IIA (Institute of Inter
nal Auditors) et l’AICPA (American Institute of Certified Public Accountants). Ce
groupe a conduit une étude approfondie sur le contrôle interne visant à en définir
les nouveaux concepts et l’approche référentielle. Depuis lors, Internal Control-Inte
grated Framework, plus communément appelé COSO Report (COSO : Committee of
Sponsoring Organizations of the Treadway Commission), a été largement diffusé et
a notamment inspiré les travaux menés en France par le groupe de place institué par
l’Autorité des marchés financiers en 2007.
3. Cette nouvelle édition prend notamment en compte :
de nouveaux enjeux de contrôle interne (la cybercriminalité, le cloud computing, la
maîtrise des modèles économiques et des processus d’innovation, etc.) ;
l’importance des systèmes d’information, dont le soutien aux métiers est crucial
pour leur performance, leur sécurité et leur continuité, etc. ;
la nécessité d’une bonne définition des attentes en matière de contrôle interne vis-à-
vis des prestataires et d’un suivi spécifique des prestations externalisées ;
les bonnes pratiques concernant les rôles des comités spécialisés du conseil et de la
direction générale ;

https://marketingebooks.tk/
10 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

la responsabilisation du personnel à tous les niveaux – le « tone in the middle » –


ainsi que l’articulation nécessaire entre les opérationnels, les fonctions support et
l’audit interne ;
la
nécessité de s’adapter en permanence à un environnement interne et externe en
mutation ;
l’extension
des exigences de reporting au-delà de la communication financière
(développement durable, environnement, qualité, etc.).
4. En outre, si l’efficacité globale du contrôle interne est conditionnée par l’appréciation
adéquate des risques stratégiques et opérationnels auxquels l’organisation doit faire
face, il convient d’être particulièrement attentif aux conditions d’un environnement
de contrôle robuste et de s’appuyer sur :
des comportements cohérents avec les engagements pris en faveur de valeurs
éthiques ;
une instance de surveillance (conseil d’administration ou de surveillance) ayant
l’indépendance requise pour assurer le suivi de l’efficacité du système de contrôle
interne ;
des structures, des pouvoirs et des responsabilités clairement définis par le manage
ment pour atteindre les objectifs retenus ;
des compétences adéquates et le devoir de rendre compte de la réalisation des
objectifs.
5. En ce sens, le modèle de contrôle présenté dans le COSO propose un cadre concep
tuel et des outils permettant aux administrateurs, dirigeants, managers et experts du
contrôle de trouver une réponse circonstanciée à la question fondamentale : « L’orga
nisation estelle sous contrôle ? ».
6. Le présent ouvrage propose une traduction des deux premiers volumes de la mise à
jour du COSO Report publiée en mai 2013. La Synthèse offre une vue d’ensemble
destinée au conseil et à la direction générale. Le Référentiel et les annexes décrivent
les fondamentaux, notamment la définition du contrôle interne ainsi que les compo
santes et les principes nécessaires à l’efficacité du contrôle interne. Il propose des
orientations que le management, à quelque niveau que ce soit, pourra utiliser pour la
conception, la mise en place et le pilotage du contrôle interne, ainsi que pour l’évalua
tion de son efficacité. Une autre édition concernera des exemples d’outils d’évaluation
de l’efficacité d’un système de contrôle interne et un guide complémentaire sur le
contrôle interne relatif au reporting financier externe.
7. L’IFACI (Institut français de l’audit et du contrôle internes) et PwC France se sont asso
ciés pour traduire et diffuser en français le COSO – Référentiel intégré de contrôle interne.

https://marketingebooks.tk/
PRÉFACE 11

L’IFACI, qui compte aujourd’hui plus de 5 600 membres représentant 950 entreprises
et organisations, et PwC France & Afrique francophone, fort de près de 5 000 collabo
rateurs dans 25 bureaux, ont bénéficié du support de leurs adhérents et collaborateurs
et de l’assistance de leur organisation internationale (180 000 membres dans 160 pays
pour l’IIA et 184 000 membres dans 157 pays pour PwC). La traduction a pu être
menée à bien grâce à la participation active de membres de chacune de ces organisa
tions qu’il convient de remercier : Marie-Elisabeth Albert (La Poste), Laurent Arnaudo
(SODEXO), Béatrice Bon-Michel (Cnam), Annie Bressac (Annie Bressac Conseil),
Bernard Decœur (GDF SUEZ), Pierre Drouard (Renault), Vincent Girbas (Centre d’au
dit des armées), Alain Hocquet (Orange), Jean-Pierre Hottin (PwC France), Catherine
Jourdan (PwC France), Béatrice Ki-Zerbo (IFACI), Yann Le Bourthe (Neuflize OBC),
Béatrice Michel (La Poste), Philippe Mocquard (IFACI), Léa Moullec (PwC Language
Services), Sébastien Ryckelynck (Ministère de la Défense), Jérôme Semik (Lagardère),
James Toner (PwC Language Services).
8. Les dirigeants d’entreprises, managers, experts de la maîtrise des risques, auditeurs
externes, autorités de tutelle, enseignants des sciences de gestion, disposeront, grâce à
cette version française, des orientations pour la conception et le pilotage d’un contrôle
interne efficace qui restera d’actualité pour de nombreuses années encore.

Bernard GAINNIER, Farid ARACTINGI,


Président de PwC France Président de l’IFACI

https://marketingebooks.tk/
https://marketingebooks.tk/
Avant-propos

9. En 1992, le COSO (Committee of Sponsoring Organizations of the Treadway Com


mission) a publié La pratique du contrôle interne. Ce premier guide a été très lar
gement accepté et utilisé dans le monde entier. Il est reconnu comme un référentiel
faisant autorité pour la conception, la mise en place et le pilotage du contrôle interne,
ainsi que pour l’évaluation de son efficacité.
10. Au cours des vingt années qui ont suivi la diffusion du référentiel initial, l’environ
nement économique et opérationnel des organisations a considérablement évolué. Il
est devenu de plus en plus complexe, tiré par les nouvelles technologies et mondia
lisé. Simultanément, les parties prenantes s’impliquent de plus en plus et recherchent
davantage de transparence et de devoir de rendre compte quant à l’intégrité des sys
tèmes de contrôle interne sur lesquels reposent les décisions opérationnelles et la gou
vernance de l’organisation.
11. C’est dans ce contexte que le COSO propose ce Référentiel intégré de contrôle interne
(le Référentiel). Le COSO considère que cette version actualisée permettra aux orga
nisations de développer et de maintenir, de manière efficace et efficiente, des systèmes
de contrôle interne qui renforcent la capacité de l’entité à atteindre ses objectifs et
s’adaptent aux évolutions de l’environnement économique et opérationnel.
12. Le lecteur averti retrouvera dans ce Référentiel des éléments familiers puisqu’il s’ap
puie en grande partie sur ce qui a fait le succès de la première version. Il reprend la
définition initiale et les cinq composantes du contrôle interne. La nécessaire prise en
compte de ces cinq composantes pour évaluer l’efficacité d’un système de contrôle
interne est maintenue. En outre, l’importance du jugement 1 du management dans la
conception, la mise en place et le pilotage du contrôle interne, ainsi que pour l’évalua
tion de son efficacité, est réaffirmée.

1. NdT : « judgment » est traduit par « jugement ou faire appel au jugement ». Le terme « judgment » désigne la
faculté individuelle d’appréciation et de discernement qui permet de se faire une opinion à propos d’une situation
donnée en s’appuyant sur ses connaissances, son expérience et sur les informations disponibles. Ce n’est donc pas
un processus aboutissant nécessairement à un acte juridique.

https://marketingebooks.tk/
14 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

13. Enfin, ce Référentiel comporte des améliorations et des précisions visant à faciliter
son utilisation et son application. L’une des améliorations marquantes est l’explici
tation de concepts fondamentaux qui étaient en filigrane dans la version originale.
Dans le Référentiel, ces concepts sont exprimés sous forme de principes associés aux
cinq composantes du contrôle interne, qui fournissent à l’utilisateur des indications
claires en vue de la conception et de la mise en place des systèmes de contrôle interne.
Ils facilitent en outre la compréhension des conditions nécessaires à l’efficacité du
contrôle interne.
14. Le Référentiel a été amélioré en élargissant les objectifs relatifs au reporting financier
à des aspects extra-financiers et internes. Le Référentiel intègre également les nom
breuses évolutions qui ont marqué l’environnement économique et opérationnel au
cours des dernières années, notamment :
les attentes en matière de surveillance par les instances de gouvernance ;
la mondialisation des marchés et des opérations ;
l’évolution et la complexité croissante des modèles économiques ;
les exigences et la complexité des lois, règlements et normes ;
les attentes relatives aux compétences et au devoir de rendre compte ;
l’utilisation et la dépendance vis-à -vis de technologies en constante évolution ;
les attentes en matière de prévention et de détection de la fraude.
15. La Synthèse offre une vue d’ensemble destinée au conseil et à la direction générale. Le
présent Référentiel et annexes décrit les fondamentaux du Référentiel, notamment la
définition du contrôle interne et la description des composantes et des principes néces
saires à l’efficacité du contrôle interne. Il propose des orientations que le management,
à quelque niveau que ce soit, pourra utiliser pour la conception, la mise en place et le
pilotage du contrôle interne, ainsi que pour l’évaluation de son efficacité. Le Référen
tiel est constitué de dix chapitres.
16. Les annexes sont complémentaires au Référentiel sans pour autant en faire partie. Le
volume intitulé Le référentiel intégré – Outils d’évaluation de l’efficacité du contrôle
interne propose des modèles et des scénarios utilisables dans le cadre de l’application
du Référentiel.
17. En outre, le COSO propose un guide complémentaire intitulé Le référentiel intégré
de contrôle interne – Application au reporting financier externe. Il illustre par des
approches pratiques et des exemples l’application des composantes et des principes
présentés dans le Référentiel dans le cadre de la préparation des états financiers
externes.

https://marketingebooks.tk/
AVANT-PROPOS 15

18. Le COSO a déjà publié des Lignes directrices pour le pilotage des systèmes de contrôle
interne visant à aider les organisations dans la compréhension et l’application des acti
vités de pilotage au sein du système de contrôle interne. Bien que ces lignes directrices
aient été établies pour faciliter l’application du référentiel initial, le COSO estime
qu’elles sont toujours d’actualité et compatibles avec le présent Référentiel. Le COSO
sera peutêtre amené à publier d’autres documents pour faciliter l’application du Réfé
rentiel. Néanmoins, ni le guide Le référentiel intégré au contrôle interne – Application
au reporting financier externe ni aucune ligne directrice passée ou future ne prévau
dront sur le Référentiel.
19. Le COSO a également publié un document intitulé Le management des risques de
l’entreprise (le référentiel ERM). Ce référentiel ERM et le présent Référentiel sont
complémentaires et aucun des deux ne remplace l’autre, ils se concentrent sur des
aspects différents. Le référentiel ERM englobe le contrôle interne et reprend ainsi
plusieurs extraits du référentiel initial. Il constitue un référentiel robuste et approprié
pour la conception, la mise en place et le pilotage, ainsi que l’évaluation de l’efficacité
de la gestion des risques.
20. Enfin, le conseil du COSO souhaite remercier PwC ainsi que le comité consultatif
pour leur participation à l’élaboration du Référentiel et des documents y afférents.
Leur analyse des contributions des diverses parties prenantes et la précision de leur
point de vue ont été des facteurs décisifs pour le maintien, la clarification et la conso
lidation des points forts du référentiel initial.

David L. Landsittel
Président du COSO

https://marketingebooks.tk/
https://marketingebooks.tk/
Synthèse

21. Le contrôle interne aide les entités2 à réaliser leurs principaux objectifs, à maintenir
et à améliorer leur performance. Le Référentiel intégré de contrôle interne (le Réfé
rentiel) permet aux organisations de développer, de manière efficace et efficiente, des
systèmes de contrôle interne qui s’adaptent aux évolutions de l’environnement éco
nomique et opérationnel, visent à maîtriser les risques en les ramenant à des niveaux
acceptables ; ils permettent une prise de décision éclairée et une bonne gouvernance.
22. Concevoir, mettre en place et gérer au quotidien un système de contrôle interne effi
cace peut s’avérer difficile. L’évolution rapide des nouveaux modèles économiques,
l’utilisation croissante et la dépendance vis-à-v is de nouvelles technologies 3, l’accrois
sement des exigences et de la surveillance des régulateurs, la mondialisation, entre
autres enjeux, nécessitent d’adapter les systèmes de contrôle interne avec réactivité
aux évolutions économiques, opérationnelles et réglementaires.
23. Un système de contrôle interne efficace nécessite plus qu’une adhésion rigoureuse
aux politiques et aux procédures : il fait appel au jugement 4. Le management et les
membres du conseil5 font appel à leur jugement pour déterminer le juste niveau de
contrôle. Le management et les collaborateurs font quotidiennement appel à leur juge

2. NdT : le terme « entity » (entité) désigne une entité juridique ou un modèle organisationnel et englobe donc
notamment les « organisations » (organisation). Par souci de cohérence, ces deux termes partiellement substi
tuables ont été systématiquement traduits par leurs équivalents respectifs.
3. NdT : le terme « technology » a été traduit de deux manières : (i) « technologie » dans le cadre de la recherche
et du développement, de l’innovation technologique, des activités ou stratégies de l’organisation en matière de
technologies ; (ii) « système d’information » dans le cadre des technologies informatiques, notamment les logi
ciels et les systèmes de contrôle de la production.
4. NdT : le terme « judgment » désigne une faculté individuelle d’appréciation et de discernement. Dans les
professions d’audit, le « jugement professionnel » est une expression courante, qui fait notamment l’objet d’une
définition dans la Norme d’exercice professionnel n° 200 : il s’agit de « la mise en œuvre par l’auditeur des
aspects pertinents de sa formation, de ses connaissances et de son expérience, dans le cadre fixé par les normes
d’audit, les normes comptables et les normes de déontologie, pour prendre des décisions éclairées sur les actions
appropriées à effectuer dans le contexte de la mission d’audit en cours ».
5. Le terme « conseil » employé dans le Référentiel désigne l’organe de gouvernance, notamment les administra
teurs, les fiduciaires, les associés commandités, les actionnaires ou le conseil de surveillance.

https://marketingebooks.tk/
18 R ÉFÉ RENTIEL INTÉGRÉ DE CONTRÔ LE INTERNE

ment pour sélectionner, développer et déployer les contrôles dans l’ensemble de l’en
tité. Par exemple, le management et les auditeurs internes font appel à leur jugement
lorsqu’ils assurent le suivi du système de contrôle interne et évaluent son efficacité.
24. Sans pour autant adopter une démarche trop normative, ce Référentiel aide le management,
le conseil et les parties prenantes externes à exercer leurs responsabilités respectives en
matière de contrôle interne. Il leur permet de comprendre les éléments structurants d’un
système de contrôle interne et leur donne des indications concernant son efficacité.
25. Pour le management et les membres du conseil, le Référentiel représente :
un moyen d’appliquer le contrôle interne à tout type d’entité, quel que soit son sec
teur d’activité ou sa forme juridique. Le dispositif de contrôle interne peut être
appliqué à l’échelle de l’entité, d’une unité opérationnelle ou d’une fonction ;
une approche fondée sur des principes, flexible, laissant la place au jugement pour la
conception, la mise en place et le pilotage du contrôle interne – principes qui peuvent
s’appliquer à l’échelle de l’entité, d’une unité opérationnelle ou d’une fonction ;
des conditions nécessaires à un système de contrôle interne efficace, notamment en
ce qui concerne la mise en place et le fonctionnement des principes et des compo
santes, et la manière dont ces composantes fonctionnent conjointement ;
un moyen d’identifier et d’analyser les risques, de développer et de gérer des moda
lités de traitement appropriées pour les maintenir dans des limites acceptables, tout
en portant une attention accrue à la lutte contre la fraude ;
l’opportunité d’une extension du contrôle interne, au-delà du reporting financier, à
d’autres types de reporting et à des objectifs liés aux opérations et à la conformité ;
l’opportunité de supprimer les contrôles inefficaces, redondants ou inefficients en
termes de réduction des risques qui compromettent la réalisation des objectifs de
l’entité.
26. Pour les parties prenantes externes, l’application de ce Référentiel permet de bénéficier :
d’une confiance accrue dans la surveillance exercée par le conseil sur les systèmes
de contrôle interne ;
d’une confiance accrue concernant la réalisation des objectifs de l’entité ;
d’une confiance accrue dans la capacité de l’organisation à identifier, analyser et traiter
les risques ainsi que les évolutions de l’environnement économique et opérationnel ;
d’une meilleure compréhension des conditions nécessaires pour un système de
contrôle interne efficace ;
d’une meilleure compréhension de la capacité du management à faire appel à son
jugement pour supprimer les contrôles inefficaces, redondants ou inefficients.

https://marketingebooks.tk/
SYN THÈ SE 19

27. Le contrôle interne n’est pas un processus séquentiel, mais un processus dynamique et
intégré. Le Référentiel s’applique à toutes les entités, qu’elles soient grandes, moyennes,
petites, à but lucratif ou non lucratif, ou du secteur public. Toutefois, chaque organisa
tion peut décider de mettre en place différemment son système de contrôle interne. Par
exemple, le système de contrôle interne d’une petite entité pourra être moins formel et
moins structuré, tout en restant efficace.
28. La suite de la présente Synthèse offre une vision globale du contrôle interne, incluant
une définition des différentes catégories d’objectifs, une description des composantes
et des principes correspondants, ainsi que les conditions nécessaires pour un sys
tème de contrôle interne efficace. Elle propose également une analyse des limites du
contrôle interne et les raisons pour lesquelles aucun dispositif de contrôle interne ne
peut être parfait. Enfin, elle donne des pistes sur la façon dont les différentes parties
prenantes peuvent utiliser le Référentiel.

DÉFINITION DU CONTRÔLE INTERNE


29. La définition du contrôle interne est la suivante :
30. Le contrôle interne est un processus mis en œuvre par le conseil, le management et les
collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la
réalisation d’objectifs liés aux opérations, au reporting et à la conformité.
31. Cette définition renvoie à certains concepts fondamentaux et met l’accent sur les
aspects suivants du contrôle interne :
il est axé sur la réalisation d’objectifs relevant d’une ou plusieurs catégories – objec
tifs liés aux opérations, au reporting et à la conformité ;
il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités conti
nues. Il constitue un moyen et non une fin en soi ;
il est mis en œuvre par des personnes. Il ne repose pas simplement sur un ensemble
de règles6 et de manuels de procédures, de documents et de systèmes ; il est assuré
par des personnes œuvrant à tous les niveaux de l’organisation ;
il permet à la direction générale et au conseil d’obtenir une assurance raisonnable
et non une assurance absolue ;
il est adaptable à la structure de toute entité. Il offre une certaine souplesse d’appli
cation pour l’ensemble de l’entité ou une filiale, une division, une unité opération
nelle ou un processus métier en particulier.

6. NdT : Le terme « policy », extrêmement polysémique en anglais, a été traduit par « politique » dans le cadre
général de l’environnement de contrôle et par « règle » dans un contexte plus opérationnel.

https://marketingebooks.tk/
20 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

32. Cette définition est délibérément large. Elle rend compte des concepts fondamentaux
sur lesquels reposent la conception, la mise en place et le pilotage du contrôle interne,
fournissant ainsi une base essentielle pour l’application du contrôle interne dans diffé
rents types d’organisations, secteurs d’activités ou zones géographiques.

OBJECTIFS
33. Le Référentiel propose trois catégories d’objectifs, ce qui permet aux organisations de
prendre en compte différents aspects du contrôle interne :
objectifs liés aux opérations : ils concernent l’efficacité et l’efficience des opéra
tions. Il s’agit notamment des objectifs de performance opérationnelle et financière,
ainsi que de sauvegarde des actifs ;
objectifs liés au reporting : ils concernent le reporting interne et externe, financier
et extra-financier. Ils peuvent viser la fiabilité, le respect des délais, la transparence
ou d’autres exigences des régulateurs, des organismes de normalisation reconnus ou
des instructions internes ;
objectifs liés à la conformité : ils concernent le respect des lois et règlements appli
cables à l’entité.

COMPOSANTES DU CONTRÔLE INTERNE


34. Le contrôle interne comprend cinq composantes intégrées.

Environnement de contrôle
35. L’environnement de contrôle est l’ensemble des normes, des processus et des structures
qui constituent le socle de la mise en œuvre du contrôle interne dans toute l’organisa
tion. Le conseil et la direction générale font preuve d’exemplarité en ce qui concerne
l’importance du contrôle interne, et notamment les normes de conduite attendues. Le
management répercute et précise ces attentes aux différents niveaux de l’organisation.
L’environnement de contrôle englobe l’intégrité et les valeurs éthiques 7 de l’organi
sation, les éléments permettant au conseil d’exercer ses responsabilités en matière

7. NdT : la « déontologie » constitue l’ensemble des devoirs qui régissent une profession. Ces devoirs se fondent
sur le respect de l’« éthique », un ensemble de valeurs morales qui guident les comportements au-d elà des obli
gations définies sur le plan légal. Les deux termes ont été employés pour traduire, selon le contexte, le terme
« ethical ».

https://marketingebooks.tk/
SYN THÈ SE 21

de surveillance, la structure organisationnelle ainsi que l’attribution des pouvoirs et


des responsabilités, le processus de recrutement, de formation et de fidélisation de
personnes compétentes, et la robustesse des indicateurs, des mesures d’incitation et
des gratifications favorisant le devoir de rendre compte de la performance. L’environ
nement de contrôle a un impact déterminant sur l’ensemble du système de contrôle
interne.

Évaluation des risques


36. Toute entité est confrontée à une diversité de risques, provenant de sources externes et
internes. Un risque est défini comme la possibilité qu’un événement survienne et ait un
impact défavorable sur la réalisation des objectifs. L’évaluation des risques implique
un processus dynamique et itératif d’identification et d’analyse des risques suscep
tibles d’affecter la réalisation des objectifs. Ces risques sont envisagés au regard des
seuils de tolérance au risque. Pour déterminer la manière dont les risques seront gérés,
il convient donc de commencer par les évaluer.
37. Pour pouvoir procéder à cette évaluation, il est nécessaire d’avoir préalablement défini
des objectifs cohérents aux différents niveaux de l’entité. Le management spécifie
des objectifs liés aux opérations, au reporting et à la conformité avec suffisamment
de clarté pour pouvoir identifier et analyser les risques susceptibles d’affecter la réa
lisation de ces objectifs. Le management tient également compte de la pertinence des
objectifs pour l’entité. L’évaluation des risques nécessite par ailleurs que le manage
ment tienne compte de l’impact d’éventuelles évolutions dans l’environnement externe
et dans son propre modèle économique, susceptibles de rendre le contrôle interne
inefficace.

Activités de contrôle
38. Les activités de contrôle désignent les actions définies par les règles et procédures qui
visent à apporter l’assurance raisonnable que les instructions du management pour
maîtriser les risques susceptibles d’affecter la réalisation des objectifs sont mises en
œuvre. Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers
stades des processus métier. Elles peuvent également être mises en œuvre par l’inter
médiaire des systèmes d’information. Il peut s’agir de contrôles préventifs ou détec
tifs, incluant diverses activités manuelles et automatisées, comme des autorisations et
des approbations, des vérifications, des rapprochements et des revues de performance
opérationnelle. La séparation des tâches est généralement à prendre en considération
dès la sélection et lors du développement des activités de contrôle. Lorsque celle- c i

https://marketingebooks.tk/
22 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

n’est pas possible, le management devra sélectionner et développer des solutions alter
natives de contrôle.

Information et communication
39. Dans le cadre de ses responsabilités en matière de contrôle interne et afin de permettre
la réalisation de ses objectifs, toute entité a besoin d’un certain nombre d’informa
tions. Le management obtient, produit, et utilise des informations pertinentes et de
qualité, de source interne ou externe, pour faciliter le fonctionnement des autres com
posantes du contrôle interne. La communication est le processus continu et itératif par
lequel l’information nécessaire est fournie, partagée et obtenue. La communication
interne est le vecteur par lequel l’information est diffusée dans toute l’organisation, en
amont, en aval, et de façon transversale. Elle permet à la direction générale d’adresser
aux collaborateurs un message clair sur l’importance des responsabilités de chacun en
matière de contrôle. La communication externe revêt un double aspect : elle permet de
recevoir en interne des informations externes pertinentes et de fournir des informa
tions aux tiers conformément à leurs exigences et à leurs attentes.

Pilotage8
40. L’organisation procède à des évaluations continues ou ponctuelles, ou à une combi
naison de ces deux formes d’évaluation pour s’assurer que chacune des cinq compo
santes du contrôle interne et les principes qui leur sont associés sont mis en place et
fonctionnent. Les évaluations continues, qui sont intégrées dans les processus métier à
tous les niveaux de l’entité, permettent de disposer d’informations en temps voulu. Les
évaluations ponctuelles, réalisées périodiquement, varient généralement en termes de
périmètre et de fréquence, en fonction de l’évaluation des risques, de l’efficacité des
évaluations continues et d’autres considérations d’ordre managérial. Les constats sont
établis selon les critères définis par les régulateurs, les organismes de normalisation
reconnus, le management et le conseil. Le cas échéant, les déficiences sont communi
quées au management et au conseil.

8. NdT : dans le référentiel de 1992, la composante « Monitoring » avait été traduite en français par « pilotage ».
Malgré le changement d’intitulé en anglais (« Monitoring Activities »), la même traduction a été conservée en
français car le pilotage ne se limite pas aux simples modalités pratiques, il implique notamment la surveillance
de leur mise en œuvre. Le terme « activités de pilotage » n’a donc été utilisé que lorsqu’il s’agissait de préciser
les modalités de ce pilotage.

https://marketingebooks.tk/
SYN THÈ SE 23

LIEN ENTRE LES OBJECTIFS

i té
ns

g
in
ET LES COMPOSANTES

io

m
rt
at

or
po
ér
DU CONTRÔLE INTERNE

nf
Re

Unité opérationnelle
Op

Co

Fonction
41. Il existe un lien direct entre les Environnement
Environnement de
de contrôle
contrôle
objectifs que l’entité cherche à

Division
atteindre, les composantes du Évaluation des risques
contrôle interne nécessaires à leur

Entité
réalisation et la structure organi
Activités de contrôle
sationnelle de l’entité (ses unités
opérationnelles, ses entités juri
diques, etc.). Ce lien est représenté Information et communication
sous forme d’un cube où :
 les trois catégories d’objectifs – Pilotage
liés aux opérations, au reporting
et à la conformité – sont représentées par les colonnes ;
 les cinq composantes du contrôle interne sont représentées par les lignes horizon
tales de la face avant du cube ;
 la structure organisationnelle de l’entité s’inscrit dans la troisième dimension du
cube.

COMPOSANTES ET PRINCIPES
42. Le Référentiel comporte dix-sept principes qui correspondent aux concepts fondamen
taux associés à chaque composante. Tous ces principes étant directement dérivés des
différentes composantes, une entité peut mettre en œuvre un contrôle interne efficace
en les appliquant tous. L’ensemble des principes s’applique aux objectifs liés aux opé
rations, au reporting et à la conformité. Les principes qui sous-tendent les compo
santes du contrôle interne sont énumérés ci-après.

Environnement de contrôle
1. L’organisation9 démontre son engagement en faveur de l’intégrité et des valeurs
éthiques.

9. Aux fins de l’application du Référentiel, le terme « organisation » désigne collectivement le conseil, le mana
gement et les collaborateurs, conformément à la définition du contrôle interne.

https://marketingebooks.tk/
24 RÉF ÉRENT IEL INTÉGRÉ DE CONTRÔLE INTERNE

2. Le conseil fait preuve d’indépendance vis- à-vis du management. Il surveille la mise en


place et le bon fonctionnement du système de contrôle interne.
3. Le management, agissant sous la surveillance du conseil, définit les structures, les
rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre
les objectifs.
4. L’organisation démontre son engagement à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs.
5. L’organisation instaure pour chacun un devoir de rendre compte de ses responsabilités
en matière de contrôle interne afin d’atteindre les objectifs.

Évaluation des risques


6. L’organisation définit des objectifs de façon suffisamment claire pour permettre
l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques susceptibles d’affecter la réalisation de ses objec
tifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer
comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles
d’affecter la réalisation des objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.

Activités de contrôle
10. L’organisation sélectionne et développe des activités de contrôle qui visent à maîtriser
et à ramener à un niveau acceptable les risques susceptibles d’affecter la réalisation
des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour
faciliter la réalisation des objectifs.
12. L’organisation déploie les activités de contrôle par le biais de règles qui précisent les
objectifs, et de procédures qui permettent de mettre en œuvre ces règles.

Information et communication
13. L’organisation obtient, produit et utilise des informations pertinentes et de qualité
pour faciliter le fonctionnement du contrôle interne.
14. L’organisation communique en interne l’information nécessaire au bon fonctionne
ment du contrôle interne, notamment les informations relatives aux objectifs et aux
responsabilités du contrôle interne.

https://marketingebooks.tk/
SYN THÈ SE 25

15. L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionne
ment du contrôle interne.

Pilotage
16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponc
tuelles pour s’assurer que les composantes du contrôle interne sont mises en place et
fonctionnent.
17. L’organisation évalue et communique les déficiences de contrôle interne en temps
voulu aux responsables des mesures correctives, y compris, le cas échéant, à la direc-
tion générale et au conseil.

EFFICACITÉ DU CONTRÔLE INTERNE


43. Le Référentiel fixe les conditions nécessaires à l’efficacité d’un système de contrôle
interne. Un système efficace de contrôle interne fournit une assurance raisonnable que
les objectifs de l’entité seront atteints. Il permet de réduire à un niveau acceptable10 le
risque qu’un objectif relevant d’une ou plusieurs des trois catégories d’objectifs ne soit
pas atteint. L’efficacité du contrôle interne suppose que :
chacune des cinq composantes du contrôle interne et leurs principes soient mis en
place et fonctionnent correctement. La « mise en place » désigne le fait que les com
posantes et les principes sont pris en considération dans la conception et la mise
en œuvre du système de contrôle interne en vue d’atteindre les objectifs fixés. Le
« fonctionnement » désigne le fait que les composantes et les principes continuent
d’être pris en compte dans la mise en œuvre et le pilotage du système de contrôle
interne en vue d’atteindre les objectifs fixés ;
les cinq composantes fonctionnent conjointement de façon intégrée. « Le fonction
nement conjoint » signifie que les cinq composantes contribuent collectivement à
ramener à un niveau acceptable le risque qu’un objectif ne soit pas atteint. Les com
posantes ne devraient pas être prises en compte isolément ; au contraire, elles fonc
tionnent conjointement dans le cadre d’un système intégré. Les composantes sont
interdépendantes et reliées par une multitude de liens tels que l’interaction entre les
principes au sein d’une composante et entre elles.

10. Ce niveau acceptable est une condition préalable à la mise en œuvre du contrôle interne, qui renvoie aux
notions d’appétence pour le risque et de tolérance au risque notamment abordées dans la partie « Évaluation des
risques » du Référentiel.

https://marketingebooks.tk/
26 R ÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

44. Lorsqu’une déficience majeure existe dans la mise en œuvre d’une composante ou
d’un principe, ou encore dans le fonctionnement conjoint et intégré des composantes,
l’organisation ne peut conclure qu’elle satisfait aux exigences d’un système de contrôle
interne efficace.
45. Lorsqu’un système de contrôle interne est jugé efficace, la direction générale et le
conseil ont l’assurance raisonnable que, grâce à l’application de ce système à travers
l’entité, l’organisation :
réalise des activités efficaces et efficientes parce que des événements externes, sus
ceptibles d’avoir un impact significatif sur la réalisation des objectifs, sont jugés
peu probables ou parce que l’organisation peut raisonnablement prévoir la nature et
la date de réalisation des événements externes et en maîtriser l’impact en le rame
nant à un niveau acceptable ;
est à même d’apprécier dans quelle mesure les activités sont gérées de façon efficace
et efficiente, lorsque des événements externes sont susceptibles d’avoir un impact
significatif sur la réalisation des objectifs ou lorsque l’organisation peut raisonna
blement prévoir la nature et la date de réalisation des événements externes et en
maîtriser l’impact en le ramenant à un niveau acceptable ;
établitdes rapports conformément aux lois, règlements et normes applicables, ou
conformément aux objectifs liés au reporting définis par l’entité ;
se conforme aux lois, règlements et normes externes applicables.
46. La conception, la mise en place et le pilotage du système de contrôle interne, ainsi que
l’évaluation de son efficacité, nécessitent de faire appel au jugement. Celui-c i, dans les
limites fixées par les lois, règlements et normes applicables, renforce la capacité du
management à prendre de meilleures décisions concernant le contrôle interne, mais ne
saurait garantir un résultat parfait.

LIMITES
47. Il est admis dans le Référentiel que, si le contrôle interne fournit une assurance raison
nable que les objectifs de l’entité seront atteints, il comporte des limites. Le contrôle
interne ne peut éviter des jugements erronés ou de mauvaises décisions, ou bien encore
des événements externes qui peuvent empêcher l’atteinte des objectifs opérationnels.
En d’autres termes, un système de contrôle interne, même efficace, peut s’avérer
défaillant. Ces limites peuvent résulter des facteurs suivants :
la pertinence des objectifs fixés comme préalable au contrôle interne ;
le fait que des décisions peuvent être prises en se fondant sur un jugement erroné
ou biaisé ;

https://marketingebooks.tk/
SYNTHÈSE 27

des dysfonctionnements provoqués par des défaillances humaines telles que de


simples erreurs ;
la capacité du management à contourner les dispositifs de contrôle interne ;
lacapacité du management, des collaborateurs et/ou des tiers à contourner les
contrôles par le biais d’une collusion ;
les événements externes échappant au contrôle de l’organisation.
48. Ces limites font que le conseil et le management ne peuvent avoir l’assurance absolue
que les objectifs de l’entité seront atteints. Autrement dit, le contrôle interne fournit
une assurance raisonnable et non une assurance absolue. Le management devrait tenir
compte de ces limites inhérentes lors de la sélection, du développement et du déploie
ment des contrôles qui, dans la mesure du possible, sont censés les réduire.

UTILISER LE RÉFÉRENTIEL
49. Ce document peut être utilisé de différentes manières selon les parties prenantes
concernées :
le conseil : le conseil devrait examiner le système de contrôle interne avec la direc
tion générale et exercer une surveillance appropriée. La direction générale, res
ponsable du contrôle interne, rend compte au conseil, dont le rôle est de définir
les règles d’exercice de la surveillance du contrôle interne par ses membres et les
attentes à leur égard. Le conseil devrait être tenu informé des risques compro
mettant la réalisation des objectifs de l’entité, des évaluations des déficiences du
contrôle interne, des mesures prises par le management pour maîtriser ces risques
et ces déficiences, et de la façon dont le management évalue l’efficacité du système
de contrôle interne de l’entité. Le conseil devrait formuler des critiques construc
tives à l’égard du management, aborder, le cas échéant, les sujets les plus sensibles,
solliciter la contribution ainsi que l’appui des auditeurs internes et des auditeurs
externes, entre autres. Souvent, les comités du conseil peuvent l’assister en prenant
en charge certaines de ces activités de surveillance ;
la direction générale : la direction générale devrait évaluer le système de contrôle
interne de l’entité à la lumière du Référentiel, en portant une attention particulière
à la façon dont les dix-sept principes sont appliqués pour faciliter la mise en place
des composantes du contrôle interne. Si la version initiale publiée en 1992 a été
appliquée, les mises à jour de cette version (tel que précisé à l’annexe F du Référen
tiel) devraient tout d’abord être passées en revue afin d’examiner les conséquences
de ces actualisations sur le système de contrôle de l’entité. L’utilisation des Outils
d’évaluation pourra être envisagée dans le cadre de cette comparaison et pour une
évaluation continue de l’efficacité globale du système de contrôle de l’entité ;

https://marketingebooks.tk/
28 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔ LE INTERNE

le management et les collaborateurs : les managers et les collaborateurs devraient


examiner les modifications apportées à cette version et en évaluer les conséquences
sur le système de contrôle interne de l’entité. En outre, ils devraient examiner la
façon dont ils exercent leurs responsabilités à la lumière du Référentiel et soumettre
à leurs supérieurs hiérarchiques leurs idées pour renforcer le contrôle interne. Plus
précisément, ils devraient examiner comment les contrôles existants affectent les
principes liés aux cinq composantes du contrôle interne ;
les auditeurs internes : les auditeurs internes devraient examiner leurs plans d’audit
interne et la façon dont ils ont appliqué l’édition de 1992 du Référentiel. Ils devraient
également examiner en détail les changements apportés à cette version, ainsi que
leurs conséquences éventuelles sur les plans d’audit, les évaluations, et sur tout
reporting relatif au système de contrôle interne de l’entité ;
les auditeurs externes : certaines législations permettent qu’un auditeur externe soit,
tout à la fois, chargé par son client d’auditer ou d’examiner l’efficacité du contrôle
interne sur le reporting financier et d’auditer les états financiers de l’entité. Ces
auditeurs peuvent évaluer le système de contrôle interne de l’entité au regard du
Référentiel, en se concentrant sur la façon dont l’organisation a sélectionné, déve
loppé et déployé les contrôles qui affectent les principes liés aux composantes du
contrôle interne. À l’instar du management, ces auditeurs peuvent utiliser les Outils
d’évaluation dans le cadre de l’évaluation globale de l’efficacité du système de
contrôle interne de l’entité ;
les autres organismes professionnels : les autres organismes professionnels qui éla
borent des lignes directrices sur les opérations, le reporting et la conformité peuvent
comparer leurs normes et leurs lignes directrices au Référentiel. Il est dans l’intérêt
de toutes les parties de disposer d’une terminologie et de concepts unifiés ;
les formateurs : en admettant qu’ils soient largement acceptés, les concepts et le
vocabulaire du Référentiel devraient trouver leur place dans des parcours de forma
tion initiale ou continue.

https://marketingebooks.tk/
CHAPITRE 1

Définition du contrôle interne

https://marketingebooks.tk/
30 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

50. L’objectif du Référentiel intégré de contrôle interne (le Référentiel) est de permettre au
management de mieux contrôler l’organisation, et de renforcer la capacité du conseil 11
à assurer le suivi du contrôle interne. Un système de contrôle interne aide le mana
gement à rester focalisé sur les objectifs de performance opérationnelle et financière
de l’organisation et à exercer ses activités dans le respect des lois applicables tout en
réduisant les mauvaises surprises. Le contrôle interne permet à une organisation de
faire face plus efficacement aux évolutions de l’environnement économique et de la
concurrence, aux changements de dirigeants, de priorités et de modèles économiques.

COMPRENDRE LE CONTRÔLE INTERNE


51. Définition du contrôle interne :
Le contrôle interne est un processus mis en œuvre par le conseil, le management
et les collaborateurs d’une entité12 , destiné à fournir une assurance raisonnable quant
à la réalisation d’objectifs liés aux opérations, au reporting et à la conformité.
52. Cette définition met l’accent sur les aspects suivants du contrôle interne :
il est axé sur la réalisation d’objectifs relevant d’une ou plusieurs catégories qui se
recoupent – objectifs liés aux opérations, au reporting et à la conformité ;
il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités
continues. Il constitue un moyen et non une fin en soi ;
il est mis en œuvre par des personnes. Il ne repose pas simplement sur un ensemble
de règles 13 et de manuels de procédures, de documents et de systèmes ; il est assuré
par des personnes œuvrant à tous les niveaux de l’organisation ;
il permet à la direction générale et au conseil d’obtenir une assurance raisonnable et
non une assurance absolue ;
il est adaptable à la structure de toute entité. Il offre une certaine souplesse d’appli
cation pour l’ensemble de l’entité ou une filiale, une division, une unité opération
nelle ou un processus métier en particulier.

11. Le terme « conseil » employé dans le Référentiel désigne l’organe de gouvernance, notamment les adminis
trateurs, les fiduciaires, les associés commandités, les actionnaires ou le Conseil de surveillance.
12. NdT : Le terme « entity » (entité) désigne une entité juridique ou un modèle organisationnel et englobe donc
notamment les « organisations » (organisations). Par souci de cohérence, ces deux termes partiellement substi
tuables ont été systématiquement traduits par leurs équivalents respectifs.
13. « Policy » est traduit par « règle ». Le terme « policy », extrêmement polysémique en anglais, a été traduit par
« politique » dans le cadre général de l’environnement de contrôle et par « règle » dans un contexte plus opérationnel.

https://marketingebooks.tk/
Définition du contrôle interne 
DÉ FINI TI ON DU CO NTR ÔLE I NT ERNE 31

53. Cette définition est délibérément large pour deux raisons. Premièrement, elle rend
compte des concepts fondamentaux sur lesquels reposent la conception, la mise en
place et le pilotage du contrôle interne, ainsi que l’évaluation de son efficacité par les
organisations. Elle fournit ainsi une base essentielle pour l’application du contrôle
interne dans différents types d’organisations, secteurs d’activités ou zones géogra
phiques. Deuxièmement, cette définition permet de gérer des sous- domaines de
contrôle interne.
54. En effet, ceux qui le souhaitent peuvent par exemple se focaliser sur le contrôle interne
relatif au reporting ou à la conformité aux lois et règlements. De même, il est possible
de se concentrer sur les contrôles visant des unités ou des activités spécifiques.
55. L’application de cette définition peut être relativement flexible. Ainsi, selon la situa
tion ou les besoins particuliers de l’entité, elle permet de maintenir un contrôle interne
sur l’ensemble du périmètre, au niveau d’une filiale, d’une division ou d’une unité
opérationnelle, ou au sein d’une fonction clé pour l’atteinte d’objectifs relatifs aux
opérations, au reporting ou à la conformité.

CENTRÉ SUR LA RÉALISATION DES OBJECTIFS

56. Le Référentiel établit trois catégories d’objectifs, ce qui permet aux organisations de
prendre en compte différents aspects du contrôle interne :
objectifs liés aux opérations – ils concernent l’efficacité et l’efficience des opéra
tions. Il s’agit notamment des objectifs de performance opérationnelle et financière,
ainsi que la sauvegarde des actifs ;
objectifs liés au reporting – ils concernent le reporting interne et externe, financier
et extra-financier. Ils peuvent englober la fiabilité, les délais, la transparence ou
d’autres aspects demandés par les régulateurs, les organismes de normalisation ou
les instructions internes ;
objectifs liés à la conformité – ils concernent le respect des lois et règlements
applicables.
57. Tout en étant distinctes, ces catégories se recoupent – un objectif donné peut relever
de plusieurs d’entre elles – et visent différentes finalités. Elles peuvent relever de la
responsabilité directe de plusieurs personnes. Les trois catégories indiquent également
ce que l’on peut attendre du contrôle interne.
58. Un système de contrôle interne devrait fournir à une organisation un niveau d’assurance
raisonnable quant à la réalisation des objectifs liés au reporting externe et à la confor
mité aux lois et règlements. La réalisation de ces objectifs, qui sont principalement

https://marketingebooks.tk/
32 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

fondés sur des lois, règlements et normes établis par les législateurs, les régulateurs et
les organismes de normalisation, dépend de la façon dont sont conduites les activités
relevant du périmètre de responsabilité de l’entité. En règle générale, le management et/
ou le conseil auront plus de latitude pour définir les objectifs liés au reporting interne
qui ne sont pas directement régis par les tiers. Néanmoins, l’organisation peut choisir
d’aligner ses objectifs liés au reporting interne et externe afin que le reporting interne
étaye mieux le reporting externe de l’entité.
59. La réalisation de certains objectifs liés aux opérations – par exemple en termes de
taux de rentabilité des investissements, de part de marché ou de sécurité – échappe
parfois au contrôle de l’organisation. Par exemple, une compagnie aérienne s’est fixée
comme objectif de faire décoller 90 % de ses avions à l’heure prévue. Des conditions
météorologiques défavorables, comme des ouragans et des tempêtes de neige, sont des
événements externes échappant au contrôle du management et susceptibles d’affecter
de manière significative la réalisation de cet objectif. Dans ce domaine, les systèmes
de contrôle interne permettent uniquement d’obtenir une assurance raisonnable que le
management et le conseil seront informés en temps utile du niveau de réalisation de
ces objectifs.
60. Lorsqu’il est peu probable que des événements externes aient un impact significatif
sur la réalisation des objectifs liés aux opérations fixés ou lorsque l’organisation peut
raisonnablement prédire la nature et la date de réalisation des événements externes
et en réduire l’impact à un niveau acceptable, l’entité peut obtenir une assurance rai
sonnable que ces objectifs peuvent être atteints. Par exemple, supposons que le mana
gement fixe comme objectif de procéder à l’entretien courant du matériel toutes les
500 heures d’activité. Le management peut considérer qu’il est en mesure d’atteindre
cet objectif, tout en reconnaissant que d’éventuels événements externes peu probables
(une pandémie entraînant une réduction importante des effectifs et du temps de travail
consacré à la maintenance, par exemple) sont susceptibles d’affecter la réalisation de
cet objectif.

UN PROCESSUS…
61. Le contrôle interne n’est pas un événement isolé ou un phénomène conjoncturel,
mais un processus14 dynamique et itératif avec des actions omniprésentes dans l’en
semble de l’entité et qui sont inhérentes au mode de management de cette dernière.

14. Bien que le mot « processus » soit employé au singulier, le contrôle interne comprend de nombreux processus.

https://marketingebooks.tk/
Définition du contrôle interne 
DÉ FINI TI ON DU CO NTR ÔLE I NT ERNE 33

Ce processus intègre également des contrôles sous forme de règles15 et de procédures.


Celles- ci reflètent les mesures préconisées par le management et le conseil concernant
la mise en œuvre du contrôle interne. Ces instructions peuvent être documentées,
expressément mentionnées dans d’autres communications du management ou résulter
implicitement d’actes et de décisions du management. Les procédures sont des actions
qui mettent en œuvre une règle.
62. Les processus métier, qui sont mis en œuvre au sein d’une ou plusieurs unités opéra
tionnelles ou fonctions, sont gérés à l’aide d’activités élémentaires telles que la pla
nification, l’exécution et la vérification. Le contrôle interne fait partie intégrante de
ces processus. Grâce à son intégration dans ces processus métier et ces activités, le
contrôle interne est susceptible d’être plus efficace et plus efficient que les contrôles
isolés.

… MIS EN ŒUVRE PAR DES PERSONNES…


63. Le contrôle interne est mis en œuvre par le conseil, le management, et les collabora
teurs. Il est réalisé par les hommes et les femmes d’une organisation à travers leurs
actes et leurs paroles. Ces personnes définissent les objectifs de l’entité et agissent
pour les atteindre.
64. Parmi ses responsabilités en matière de surveillance, le conseil se comporte de manière
constructive en apportant au management des avis et des orientations. Il valide les
politiques et les transactions stratégiques, et supervise les activités du management.
Par conséquent, le conseil représente un élément important du contrôle interne. Le
conseil et la direction générale font preuve d’exemplarité en ce qui concerne l’impor
tance du contrôle interne et des normes de conduite dans l’ensemble de l’entité.
65. La gestion de l’entité soulève en permanence des problèmes. Il est possible que des
personnes ne comprennent pas toujours pleinement la nature de ces problèmes ou des
alternatives qui s’offrent à eux, qu’ils ne communiquent pas efficacement ou n’agissent
pas de manière cohérente. Chaque personne apporte son expérience et ses compé
tences propres et chacun a des priorités et des besoins différents. Ces différences
individuelles peuvent être précieuses en soi et bénéfiques en matière d’innovation et
de productivité. Elles peuvent cependant s’avérer contre- productives si elles ne sont
pas en adéquation avec les objectifs de l’entité. Chaque personne doit ainsi connaître
ses responsabilités et les limites de ses pouvoirs. Il est donc nécessaire d’établir une

15. NdT : le terme « policy », extrêmement polysémique en anglais, a été traduit par « politique » dans le cadre
général de l’environnement de contrôle et par « règle » dans un contexte plus opérationnel.

https://marketingebooks.tk/
34 RÉF ÉRENT IEL INTÉGRÉ DE CONTRÔLE INTERNE

relation étroite et clairement définie entre les rôles et les responsabilités ainsi que la
manière selon laquelle ces derniers seront communiqués, accomplis et alignés sur les
objectifs de l’entité.

… FOURNISSANT UNE ASSURANCE RAISONNABLE…


66. Un système efficace de contrôle interne fournit au management et au conseil une assu
rance raisonnable que les objectifs de l’entité seront atteints. L’emploi de l’expres
sion « assurance raisonnable » plutôt que « assurance absolue » traduit l’existence de
limites à tout système de contrôle interne, et que des incertitudes et des risques diffi
ciles à prévoir avec précision peuvent persister. L’assurance absolue n’existe pas.
67. L’assurance raisonnable signifie que l’entité n’atteindra pas toujours ses objectifs. Un
contrôle interne efficace renforce la probabilité de réalisation de ces objectifs. Néan
moins, la probabilité de les atteindre est soumise aux limites inhérentes à tout système
de contrôle interne, telles que l’erreur humaine et l’incertitude liée au jugement 16, et à
l’impact potentiel de certains événements externes échappant au contrôle du manage
ment. En outre, un système de contrôle interne peut être contourné s’il y a collusion
entre plusieurs personnes. Qui plus est, si le management est en mesure de contourner
les contrôles, c’est l’ensemble du système de contrôle interne qui n’est pas à l’abri
d’une défaillance. Bien qu’il soit censé être conçu dans le but de prévenir et de détec
ter les risques de collusion, d’erreur humaine et de contournement des contrôles par le
management, le système de contrôle interne de l’entité, même efficace, peut s’avérer
défaillant.

… ADAPTABLE À LA STRUCTURE
68. Les entités peuvent être structurées suivant plusieurs axes. Le modèle organisationnel
peut être établi par lignes de services ou de produits. Le reporting peut être réalisé par
division, par unité opérationnelle ou à un niveau consolidé, avec des subdivisions sup
plémentaires ou des consolidations de résultats par zones géographiques. Le modèle

16. NdT : le terme « judgment » désigne une faculté individuelle d’appréciation et de discernement. Dans les
professions d’audit, le « jugement professionnel » est une expression courante, qui fait notamment l’objet d’une
définition dans la Norme d’exercice professionnel n° 200 : il s’agit de « la mise en œuvre par l’auditeur des
aspects pertinents de sa formation, de ses connaissances et de son expérience, dans le cadre fixé par les normes
d’audit, les normes comptables et les normes de déontologie, pour prendre des décisions éclairées sur les actions
appropriées à effectuer dans le contexte de la mission d’audit en cours ».

https://marketingebooks.tk/
Définition du contrôle interne 
DÉ FINI TI ON DU CO NTR ÔLE I NT ERNE 35

organisationnel peut inclure des prestataires externes pour contribuer à la réalisation


des objectifs.
69. La structure juridique de l’entité permet généralement de respecter les dispositions
réglementaires en matière de reporting, de limiter les risques ou de bénéficier d’avan
tages fiscaux. L’organisation des entités juridiques est souvent assez différente du
modèle organisationnel utilisé pour gérer les activités, allouer les ressources, évaluer
les performances et communiquer les résultats.
70. Le contrôle interne peut s’appliquer, selon les décisions du management et selon le
contexte légal ou réglementaire, au modèle organisationnel retenu par le management,
à la structure juridique de l’entité ou à une combinaison des deux.

https://marketingebooks.tk/
https://marketingebooks.tk/
CHAPITRE 2

Objectifs, composantes
et principes

https://marketingebooks.tk/
38 RÉF ÉRENT IEL INTÉGRÉ DE CONTRÔLE INTERNE

INTRODUCTION
71. Une organisation a une mission et une vision, élabore une stratégie, définit des objec
tifs à réaliser et établit des plans afin de les atteindre. Ces objectifs peuvent être fixés
pour l’ensemble de l’entité ou ciblés sur des activités spécifiques. Chaque entité déter
mine ses propres objectifs, même si certains d’entre eux sont génériques. En effet, la
plupart des entités ont pour objectif de préserver une croissance durable, de fournir
des informations aux parties prenantes, de recruter et de fidéliser des personnes com
pétentes et motivées, de construire et de maintenir leur réputation et de se conformer
aux lois et règlements.
72. Pour atteindre ses objectifs, l’organisation peut s’appuyer sur cinq composantes du
contrôle interne :
environnement de contrôle ;
évaluation des risques ;
activités de contrôle ;
information et communication ;
pilotage 17.
73. Ces composantes du contrôle interne s’appliquent à l’échelle de l’entité, à ses filiales,
ses divisions ou unités opérationnelles, ses fonctions ou à toute autre subdivision.

17. NdT : dans le référentiel de 1992, la composante « monitoring » avait été traduite en français par « pilotage ».
Malgré le changement d’intitulé en anglais (« Monitoring Activities »), la même traduction a été conservée en
français, car le pilotage ne se limite pas aux simples modalités pratiques, il implique notamment la surveillance
de leur mise en œuvre. Le terme « activités de pilotage » n’a donc été utilisé que lorsqu’il s’agissait de préciser
les modalités de ce pilotage.

https://marketingebooks.tk/
Objectifs, composantes et principes
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 39

LIEN ENTRE LES OBJECTIFS, LES COMPOSANTES


DU CONTRÔLE INTERNE ET L’ENTITÉ
74. Il existe un lien direct entre les
objectifs que l’entité cherche à

ité
ns

g
in
io

m
atteindre, les composantes du

rt
at

or
po
ér

nf
contrôle interne nécessaires à

Unité opérationnelle
Re
Op

Co
leur réalisation et la structure

Fonction
de l’entité (ses unités opération Environnement de contrôle
nelles, ses entités juridiques,

Division
etc.). Ce lien est représenté Évaluation des risques
dans le cube ci-après :

Entité
les trois catégories d’objec Activités
Activités de
de contrôle
contrôle
tifs sont représentées par les
colonnes ;
Information et communication
les cinq composantes du
contrôle interne sont repré
Pilotage
sentées par les lignes hori
zontales de la face avant du
cube ;
la structure de l’entité s’inscrit dans la troisième dimension du cube. Elle représente
l’ensemble de l’entité, les divisions, les filiales, les unités opérationnelles ou les
fonctions, notamment les processus métier tels que les ventes, les achats, la produc
tion et le marketing 18.
75. Chaque composante du contrôle interne a trait et s’applique aux trois catégories d’ob
jectifs. Par exemple, le fait d’attirer, de former et de fidéliser des personnes com
pétentes capables de piloter le contrôle interne – dans le cadre de la composante
« Environnement de contrôle » – relève des trois catégories d’objectifs.
76. Les trois catégories d’objectifs ne sont ni des parties ni des unités de l’entité. Par
exemple, les objectifs liés aux opérations concernent l’efficience et l’efficacité des
activités en général, et non des unités opérationnelles ou des fonctions spécifiques
telles que les ventes, le marketing, les achats ou les ressources humaines.

18. L’expression « l’entité et ses unités » employée dans le Référentiel désigne l’ensemble de l’entité, de ses divi
sions, de ses filiales, de ses unités opérationnelles et de ses fonctions.

https://marketingebooks.tk/
40 RÉFÉR ENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

77. En conséquence, lorsque l’on examine la catégorie d’objectifs liée au reporting, il est
nécessaire de disposer d’un vaste éventail d’informations sur les activités de l’entité.
Dans ce cas, il convient de se focaliser sur la colonne centrale du modèle – les objectifs
liés au reporting – plutôt que sur la catégorie d’objectifs liés aux opérations.
78. Le contrôle interne est un processus dynamique, itératif et intégré. Ainsi, non seule
ment l’évaluation des risques influe sur l’environnement de contrôle et les activités de
contrôle, mais elle met également en lumière la nécessité de réexaminer les besoins en
matière d’information et de communication, ou de pilotage. Le contrôle interne n’est
donc pas un processus linéaire et séquentiel dans lequel une composante n’affecte que
la composante suivante. C’est un processus intégré dans lequel les composantes sont
interdépendantes.
79. Chaque système de contrôle interne est unique. Les entités, leurs objectifs et leur sys
tème de contrôle interne sont différents selon le secteur d’activité et l’environnement
réglementaire, et selon des facteurs internes tels que la taille, la nature du modèle
organisationnel, la tolérance au risque, la dépendance vis-à-v is des technologies 19,
ainsi que le nombre de collaborateurs et leurs compétences. Ainsi, bien que chacune
des composantes du contrôle interne soit nécessaire pour garantir l’efficacité du sys
tème de contrôle interne d’une entité, ce système est généralement différent d’une
entité à l’autre.

OBJECTIFS
80. Le management définit les objectifs à l’échelle de l’entité sous la surveillance du
conseil. Ces objectifs sont en phase avec la mission, la vision et la stratégie de l’en
tité. Ils reflètent les choix du management et du conseil sur les modalités de création
de valeur pour les parties prenantes. Ces objectifs peuvent être fixés pour l’essentiel
en fonction des besoins opérationnels propres à l’entité, ou conformément aux lois,
règlements et normes imposés par le législateur, les régulateurs et les organismes de
normalisation, ou encore en fonction de ces deux critères. La définition des objectifs
est une condition préalable au contrôle interne et un maillon essentiel du processus
managérial de planification stratégique.

19. NdT : le terme « technology » a été traduit de deux manières : (i) « technologie » dans le cadre de la recherche
et du développement, de l’innovation technologique, des activités ou stratégies de l’organisation en matière de
technologies ; (ii) « système d’information » dans le cadre des technologies informatiques, notamment les logi
ciels et les systèmes de contrôle de la production.

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 41

81. Les personnes impliquées dans le système de contrôle interne doivent comprendre la
stratégie et les objectifs globaux définis par l’organisation. Dans le cadre du contrôle
interne, le management explicite des objectifs appropriés de telle sorte que les risques
susceptibles d’affecter la réalisation de ces objectifs puissent être identifiés et évalués.
Ces objectifs doivent être formulés de façon à être spécifiques, mesurables ou obser
vables, réalistes, pertinents et limités dans le temps.
82. Néanmoins, il peut arriver, dans certains cas, qu’une entité ne documente pas un
objectif de façon explicite. Les objectifs définis de façon suffisamment détaillée
seront aisément compréhensibles par les personnes qui contribuent à leur réalisation.

Catégories d’objectifs
83. Le Référentiel regroupe les objectifs de l’entité en trois catégories : objectifs liés aux
opérations, objectifs de reporting et objectifs de conformité.

Objectifs liés aux opérations


84. Les objectifs liés aux opérations concernent la réalisation de la mission et de la
vision de l’entité – raison d’être fondamentale de celle-c i. Ces objectifs varient en
fonction des choix de modèles organisationnels, du secteur d’activité et des perfor
mances. Les objectifs définis à l’échelle de l’entité se déclinent en objectifs plus
détaillés, liés aux opérations réalisées au sein des divisions, des filiales, des unités
opérationnelles et des fonctions, qui visent à optimiser la réalisation des buts de
l’entité.
85. Ainsi, les objectifs liés aux opérations peuvent concerner l’amélioration des résultats
financiers, de la productivité (par exemple en évitant le gaspillage et les redondances),
de la qualité, des pratiques environnementales, de l’innovation et de la satisfaction
des clients et des collaborateurs. Ces objectifs s’appliquent à tous les types d’entités.
Par exemple, une entité à but lucratif peut mettre l’accent sur le chiffre d’affaires,
la rentabilité, le rendement des actifs et la liquidité. En revanche, une entité à but
non lucratif, malgré tout l’intérêt qu’elle accorde au montant de ses revenus ou de ses
dépenses, s’attachera peut-être davantage à accroître les contributions des donateurs.
Une administration publique se focalisera peutêtre sur la réalisation de la mission
fixée par le corps législatif ou l’organe de gouvernance, à travers une gestion efficace
et efficiente de programmes de gouvernement spécifiques et une allocation optimale
de ses dépenses en vue d’atteindre ses objectifs. Si ses objectifs liés aux opérations ne
sont pas définis de façon claire et appropriée, l’entité peut faire une mauvaise alloca
tion de ses ressources.

https://marketingebooks.tk/
42 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Sauvegarde des actifs


86. Les objectifs liés aux opérations incluent la sauvegarde des actifs, c’est-à -d ire leur
protection et leur préservation. Par exemple, une entité peut fixer des objectifs relatifs
à la prévention de toute perte d’actifs, ainsi qu’à la détection et au signalement de ces
pertes dans des délais appropriés. Ces objectifs servent de support à l’évaluation des
risques associés à la sauvegarde des actifs ainsi qu’à la sélection et au développement
des contrôles à mettre en place pour maîtriser ces risques.
87. L’utilisation efficiente des actifs et la prévention de pertes résultant de gaspillages,
d’un manque d’efficacité ou de décisions opérationnelles inopportunes (telles que la
vente de produits à trop bas prix, l’octroi de crédits à des tiers insolvables, l’absence de
mesures visant à fidéliser les collaborateurs clés ou à empêcher la contrefaçon de bre
vets, le fait de contracter des dettes imprévues) relèvent d’objectifs liés aux opérations
plus généraux et n’entrent pas dans le cadre spécifique de la sauvegarde des actifs.
88. Des lois, règlements et normes externes requièrent que le reporting du management,
en matière de contrôle interne, inclue les contrôles préventifs et détectifs de l’acquisi
tion, de l’utilisation ou de la cession non autorisée d’actifs. En outre, certaines entités
identifient d’elles-mêmes la sauvegarde des actifs comme une catégorie d’objectifs
distincte. Cette position est parfaitement compatible avec l’application du Référentiel.

Objectifs liés au reporting


89. Les objectifs liés au reporting ont trait à l’établissement de rapports destinés aux
organisations et aux parties prenantes. Ces objectifs peuvent concerner le reporting
financier ou extra-financier, interne ou externe. Les objectifs liés au reporting interne
reposent sur des critères internes répondant à divers besoins potentiels, liés notam
ment aux orientations stratégiques, aux plans opérationnels et aux indicateurs de per
formance définis à différents niveaux. Les objectifs liés au reporting externe sont
fixés pour l’essentiel en fonction des règlements et/ou des normes édictés par les régu
lateurs et les organismes de normalisation.
Objectifs liés au reporting financier externe : les entités doivent atteindre ces objectifs
pour remplir leurs obligations envers les parties prenantes et répondre aux attentes de
celles-ci. Les états financiers sont nécessaires pour accéder aux marchés des capitaux
et peuvent s’avérer essentiels pour remporter des marchés ou conclure des opérations
avec les fournisseurs. Les investisseurs, les analystes et les créanciers s’appuient sou
vent sur les états financiers externes d’une entité pour évaluer ses performances et les
comparer à celles d’organisations similaires et d’autres investissements. Le mana
gement peut également être tenu de publier des états financiers conformément aux
objectifs fixés par les règlements et normes externes applicables.

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 43

Objectifs liés au reporting extra-financier externe : le management peut publier des


informations extra-financières externes conformément aux lois, règlements, normes
ou autres référentiels applicables. Des obligations de reporting extra-financier sont
imposées par les règlements ; les mécanismes de reporting managériaux sur l’effi
cacité du contrôle interne relatif au reporting financier permettent également de
répondre aux objectifs liés au reporting extra-financier. Aux fins de l’application
du Référentiel, le reporting externe concerne toute communication externe, y com
pris celle qui ne serait pas liée à une loi, un règlement, une norme ou un référentiel
spécifique.
Objectifs liés au reporting financier et extra-f inancier interne : le reporting interne
à l’intention du management et du conseil inclut les informations jugées nécessaires
pour gérer l’organisation. Ce reporting constitue une aide à la décision et à l’éva
luation des activités et des performances. Les objectifs liés au reporting interne
sont fixés en fonction des priorités et du jugement du management et du conseil. Ils
varient selon les entités parce que des organisations différentes ont des orientations
stratégiques, des attentes et des plans opérationnels différents.

Liens existant au sein de la catégorie d’objectifs liés au reporting


90. Le lien global entre les quatre sous- catégories d’objectifs liés au reporting est décrit
dans le graphique ci-après.

Financier/Extra-financier Caractéristiques

• Destinés à répondre
Les objectifs au reporting extra aux exigences des parties
Les objectifs liés au reporting
financier externe peuvent prenantes externes et aux
financier peuvent concerner
concerner les éléments suivants : obligations réglementaires
les éléments suivants :
Rapports sur le contrôle interne • Établis conformément
États financiers annuels
Rapports développement durable aux normes externes
États financiers
Chaîne
intermédiaires
d’approvisionnement/détention
Interne/Externe

Résultats publiés • Parfois exigés


des actifs par les régulateurs ou
par des clauses contractuelles

Les objectifs liés au


Les objectifs liés au reporting reporting extra financier • Utilisés dans le cadre
financier interne peuvent interne peuvent concerner de la gestion de l’activité
concerner les éléments les éléments suivants : et de la prise de décisions
suivants : Les collaborateurs/ • Établis par le management
Rapports financiers L’utlisation des actifs et le conseil
des divisions Mesures de la satisfaction
Analyse de rentabilité client des clients
Calculs des covenants Mesures en matière
bancaires de santé et de sécurité

https://marketingebooks.tk/
44 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

91. Les objectifs liés au reporting sont différents de la composante « Information et


communication » du contrôle interne. Le management définit des objectifs liés au
reporting sous la surveillance du conseil lorsque l’organisation doit acquérir l’assu
rance raisonnable qu’elle atteindra un objectif de reporting donné. Dans ce cas, les
cinq composantes du contrôle interne sont toutes nécessaires. Par exemple, pour
présenter au conseil un rapport extra-financier interne concernant l’état d’avance
ment d’un plan d’intégration suite à une fusion, l’organisation fixe les objectifs liés
au reporting interne (préparer des rapports fiables, pertinents et utiles, par exemple),
désigne des personnes compétentes, évalue les risques associés aux objectifs fixés,
sélectionne et développe des contrôles dans le cadre des cinq composantes néces
saires pour maîtriser ces risques, et effectue un suivi des composantes du contrôle
interne qui contribuent à la réalisation de l’objectif lié au reporting extra-financier
fixé.
92. Au contraire, la composante « Information et communication » facilite le fonctionne
ment de l’ensemble des composantes et la réalisation de toutes les catégories d’objec
tifs (y compris ceux qui sont liés aux opérations ou à la conformité). Par exemple, les
contrôles qui relèvent de la composante « Information et communication » facilitent
la préparation du rapport ci-dessus en contribuant à la fourniture d’informations per
tinentes et de qualité qui le sous-tendent, mais ils ne représentent qu’une partie du
système global de contrôle interne.

Objectifs liés à la conformité


93. Pour exercer leurs activités, les entités sont souvent amenées à prendre des mesures
spécifiques conformément aux lois et règlements applicables. L’organisation doit
savoir quelles lois et règlements s’appliquent dans son contexte afin de définir les
objectifs liés à la conformité. Les lois et règlements sont généralement bien connus,
notamment en matière de ressources humaines, de fiscalité et de respect de l’envi
ronnement, mais d’autres peuvent être plus difficiles à cerner, notamment ceux appli
cables aux entités qui exercent des activités à l’étranger.
94. Les lois et règlements fixent des normes minimales de conduite attendue. L’orga
nisation est censée incorporer ces normes dans les objectifs de l’entité. Certaines
organisations retiendront des objectifs plus ambitieux que ceux fixés par les lois et
règlements. En définissant ces objectifs, le management est à même de fixer les per
formances attendues pour l’entité. Par exemple, un texte de loi peut limiter le nombre
d’heures de travail effectuées par des mineurs en dehors des heures d’école à dix-huit
heures par semaine scolaire. Toutefois, une entreprise de restauration peut décider
de limiter les heures de travail de ses collaborateurs mineurs à quinze heures par
semaine.

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JECTIFS, COMPOS ANTES ET PRINCIPES 45

95. Dans le cadre du Référentiel, le respect des règles et des procédures internes d’une
entité relève surtout des « objectifs liés aux opérations », tandis que le respect des lois
et règlements examinés ci- dessus relève plutôt des « objectifs liés à la conformité ».

Recoupements entre les catégories d’objectifs


96. Un objectif relevant d’une catégorie donnée peut recouper un objectif d’une autre caté
gorie ou en favoriser la réalisation. Par exemple, une organisation peut se fixer pour
but de « clôturer les comptes dans un délai de cinq jours ouvrables » pour atteindre
un objectif lié avant tout aux opérations – à savoir, pour faciliter l’analyse des perfor
mances de l’organisation par le management. Mais la réalisation de cet objectif facilite
également la publication de l’information financière en temps voulu et son dépôt, dans
des délais appropriés, auprès des autorités de tutelle.
97. La catégorie dont relève un objectif peut dépendre des circonstances. Par exemple, les
contrôles visant à empêcher le vol de biens – tels que la mise en place d’une enceinte
empêchant l’accès aux stocks ou la désignation d’un gardien chargé de vérifier les auto
risations relatives aux mouvements de marchandises – s’inscrivent dans la catégorie
des objectifs liés aux opérations. Ces contrôles ne sont pas nécessairement pertinents
aux fins du reporting, la disparition de stocks est détectée au cours de contrôles phy
siques périodiques et est enregistrée dans les états financiers. Toutefois, si le manage
ment s’appuie uniquement sur les inventaires enregistrés de manière permanente pour
les besoins du reporting, par exemple aux fins du reporting financier intermédiaire
ou interne, les contrôles visant à assurer la protection physique des stocks relèvent
alors également de la catégorie des objectifs liés au reporting. Ces contrôles physiques,
ainsi que les contrôles relatifs aux inventaires permanents, sont alors nécessaires pour
atteindre les objectifs liés au reporting. Il est essentiel de bien comprendre les proces
sus, les politiques et les procédures de l’entité, ainsi que leur incidence respective sur
chaque catégorie d’objectifs.

Fondement des catégories d’objectifs


98. Certains objectifs découlent du contexte réglementaire ou du secteur d’activité. Par
exemple :
certaines entités transmettent des informations à des agences chargées de
l’environnement ;
lessociétés cotées déclarent des informations auprès des autorités de contrôle des
marchés ;

https://marketingebooks.tk/
46 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

les universités communiquent les dépenses liées aux subventions à des administra
tions publiques.
99. Ces objectifs sont fixés pour une large part par les lois ou règlements. Ils entrent
dans la catégorie des objectifs de conformité ou dans celle des objectifs liés au
reporting externe, voire dans ces deux catégories si l’on se réfère aux exemples
ci-d essus.
100. En revanche, les objectifs liés aux opérations et au reporting interne reposent davan
tage sur le jugement ainsi que sur les priorités et les choix de l’organisation. Ces
objectifs varient considérablement, simplement parce que des personnes informées et
compétentes sont susceptibles de sélectionner des objectifs différents. Par exemple,
une organisation peut décider d’adopter des nouvelles technologies très tôt pour mettre
au point de nouveaux produits, tandis qu’une autre les adoptera peu de temps après et
une autre encore plus tardivement. Ces décisions reflètent la stratégie de l’entité, ainsi
que les compétences, les systèmes d’information et les contrôles mis en œuvre dans
son service de recherche-développement. Il est donc impossible de définir une seule
série d’objectifs qui serait parfaitement adaptée à toutes les entités.

Objectifs généraux et objectifs détaillés


101. Le management définit, pour chaque objectif fixé à l’échelle de l’entité, des objectifs
détaillés plus spécifiques. Des objectifs détaillés sont également fixés dès l’élabo
ration de la stratégie ou lors de sa déclinaison. Ces objectifs concernent l’entité, ses
unités et ses diverses fonctions, telles que les ventes, la production, l’ingénierie, le
marketing, le suivi de la productivité, le recrutement, l’innovation et les systèmes
d’information. Le management veille à ce que ces objectifs détaillés soient cohérents
avec les objectifs à l’échelle de l’entité et il assure la coordination des objectifs dans
l’ensemble de l’entité.
102. Lorsque les objectifs définis à l’échelle de l’entité changent peu, la corrélation entre les
différentes activités est généralement connue. En revanche, lorsque les objectifs dif
fèrent de ceux poursuivis par le passé, le management doit se préoccuper des interrela
tions ou, à défaut, devra accepter de s’exposer à davantage de risques. Par exemple, la
réalisation d’un objectif à l’échelle de l’entité relatif à la satisfaction des clients dépend
d’objectifs détaillés qui lui sont attachés tels que la mise en place de services basés sur
une infrastructure informatique plus récente. Il peut s’avérer nécessaire d’apporter des
modifications substantielles à ces objectifs détaillés si la pratique antérieure reposait
sur des technologies plus anciennes et éprouvées.
103. Par ailleurs, les objectifs détaillés fixés aux unités opérationnelles et au niveau des
fonctions doivent être spécifiques, mesurables ou observables, réalistes, pertinents et

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 47

limités dans le temps. En outre, ils doivent être intelligibles par les personnes respon
sables de leur réalisation. Les collaborateurs et le management doivent s’accorder sur
les objectifs poursuivis et sur les modalités de détermination du degré de réalisation
des objectifs, afin de s’assurer que les personnes et les équipes sont en mesure d’en
rendre compte.
104. Selon les critères adaptés aux circonstances, les entités peuvent définir pour chaque
activité une série d’objectifs détaillés qui découlent à la fois des objectifs fixés à
l’échelle de l’entité et des normes applicables aux objectifs liés à la conformité et au
reporting. Par exemple, dans le domaine des achats, les objectifs liés aux opérations
peuvent être les suivants :
acheter des biens conformes aux spécifications techniques ;
acheter des biens auprès d’entreprises qui respectent les normes en matière d’envi
ronnement, de santé et de sécurité (par exemple, ne pas faire travailler des enfants,
des conditions de travail favorables) ;
négocier des prix et des conditions acceptables.
105. Autre exemple, pour définir des objectifs appropriés liés au reporting concernant
l’établissement des états financiers externes, le management tient compte des normes
comptables, des critères de qualité dans les états financiers et des spécificités au niveau
de l’entité et de ses unités. Le management peut fixer ainsi l’objectif suivant à l’échelle
de l’entité : « Notre organisation établit des états financiers fiables qui reflètent ses
transactions et événements conformément aux principes comptables généralement
admis ».
106. Le management définit en outre, à l’appui des objectifs à l’échelle de l’entité, des
objectifs détaillés appropriés et suffisamment clairs pour ses divisions, filiales, unités
opérationnelles et différentes fonctions. Par exemple, le management fixe pour ses
opérations de vente des objectifs détaillés qui sont conformes aux normes comptables
applicables compte tenu des circonstances et qui tiennent compte des critères de qua
lité pertinents mentionnés dans les états financiers, tels que :
toutes les opérations de vente conclues sont enregistrées dans des délais appropriés ;
les opérations de vente sont enregistrées, aux bons montants, dans les comptes
appropriés ;
les opérations de vente sont tracées avec exactitude et exhaustivité dans les livres
et les registres de l’entité ;
les informations présentées et publiées concernant les ventes sont correctement
décrites, libellées et classées.

https://marketingebooks.tk/
48 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

COMPOSANTES ET PRINCIPES DU CONTRÔLE INTERNE


107. Le Référentiel décrit cinq composantes du contrôle interne et énonce dix-sept prin
cipes qui correspondent aux concepts fondamentaux associés à ces composantes. Ces
composantes et ces principes sont applicables à toutes les entités. Ces dix-sept prin
cipes s’appliquent à chaque catégorie d’objectifs, ainsi qu’aux objectifs généraux et
détaillés relevant d’une catégorie. Par exemple, une entité peut appliquer le Référentiel
en matière de conformité à une loi spécifique concernant les accords commerciaux
conclus avec des entités étrangères, autrement dit pour un objectif détaillé relevant de
la catégorie des objectifs de conformité.
108. Un résumé de chacune des cinq composantes du contrôle interne et des principes y
afférents est présenté ci-après. Chacun des principes est abordé dans les chapitres
consacrés aux composantes concernées 20.

Environnement de contrôle
109. L’environnement de contrôle est l’ensemble des normes, des processus et des structures
qui constituent le socle de la mise en œuvre du contrôle interne dans toute l’organisa
tion. Le conseil et la direction générale font preuve d’exemplarité en ce qui concerne
l’importance du contrôle interne et les normes de conduites attendues.
110. Il existe cinq principes associés à la composante « Environnement de contrôle » :
l’organisation démontre son engagement en faveur de l’intégrité et des valeurs
éthiques ;
le conseil fait preuve d’indépendance vis-à-v is du management. Il surveille la mise
en place et le bon fonctionnement du système de contrôle interne ;
le management, agissant sous la surveillance du conseil, définit les structures, les
rattachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre
les objectifs ;
l’organisationdémontre son engagement à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs ;
l’organisation instaure pour chacun un devoir de rendre compte de ses responsabi
lités en matière de contrôle interne afin d’atteindre les objectifs.

20. Aux fins de l’application du Référentiel, le terme « organisation » employé dans l’exposé des principes
désigne collectivement le conseil, le management et les collaborateurs. De façon générale, le conseil remplit une
fonction de surveillance dont ce terme rend compte.

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 49

Évaluation des risques


111. L’évaluation des risques implique un processus dynamique et itératif d’identification et
d’analyse des risques susceptibles d’affecter la réalisation des objectifs. Pour déterminer
la manière dont les risques seront gérés, il convient donc de commencer par les évaluer.
Le management tient compte des éventuelles évolutions dans l’environnement externe et
dans son propre modèle économique susceptibles de l’empêcher d’atteindre ses objectifs.
112. Il existe quatre principes associés à la composante « Évaluation des risques » :
l’organisation définit des objectifs de façon suffisamment claire pour permettre
l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation ;
l’organisation identifie les risques susceptibles d’affecter la réalisation de ses objec
tifs dans l’ensemble de son périmètre et procède à leur analyse de façon à déter
miner comment ils doivent être gérés ;
l’organisation intègre le risque de fraude dans son évaluation des risques suscep
tibles d’affecter la réalisation des objectifs ;
l’organisation identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.

Activités de contrôle
113. Les activités de contrôle désignent les actions définies par les règles et procédures qui
visent à apporter l’assurance raisonnable que les instructions du management pour
maîtriser les risques susceptibles d’affecter la réalisation des objectifs sont mises en
œuvre. Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers
stades des processus métier. Elles peuvent également être mises en œuvre par l’inter
médiaire des systèmes d’information.
114. Il existe trois principes associés à la composante « Activités de contrôle » :
l’organisation sélectionne et développe des activités de contrôle qui visent à maî
triser et à ramener à un niveau acceptable les risques susceptibles d’affecter la réa
lisation des objectifs ;
l’organisation sélectionne et développe des contrôles généraux informatiques pour
faciliter la réalisation des objectifs ;
l’organisation déploie les activités de contrôle par le biais de règles qui précisent les
objectifs, et de procédures qui permettent de mettre en œuvre ces règles.

Information et communication
115. Dans le cadre de ses responsabilités en matière de contrôle interne et afin de permettre
la réalisation de ses objectifs, toute entité a besoin d’un certain nombre d’informa

https://marketingebooks.tk/
50 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

tions. La communication est à la fois interne et externe et fournit à l’organisation l’in


formation nécessaire à l’exercice de ses contrôles courants. La communication permet
aux collaborateurs de comprendre les responsabilités liées au contrôle interne et leur
importance pour la réalisation des objectifs.
116. Il existe trois principes associés à la composante « Information et communication » :
l’organisation obtient, produit et utilise des informations pertinentes et de qualité
pour faciliter le fonctionnement du contrôle interne ;
l’organisation communique en interne l’information nécessaire au bon fonctionne
ment du contrôle interne, notamment les informations relatives aux objectifs et aux
responsabilités du contrôle interne ;
l’organisationcommunique aux tiers les éléments qui peuvent affecter le fonction
nement du contrôle interne.

Pilotage
117. L’organisation procède à des évaluations continues ou ponctuelles, ou à une combinai
son de ces deux formes d’évaluation pour s’assurer que chacune des cinq composantes
du contrôle interne et les principes qui leur sont associés sont mis en place et fonc
tionnent. Les constats sont évalués et les déficiences 21 sont communiquées en temps
voulu, les points importants étant signalés à la direction générale et au conseil.
118. Il existe deux principes associés à la composante « Pilotage » :
l’organisation sélectionne, développe et réalise des évaluations continues et/ou
ponctuelles pour s’assurer que les composantes du contrôle interne sont mises en
place et fonctionnent ;
l’organisation évalue et communique les déficiences de contrôle interne en temps
voulu aux responsables des mesures correctives, y compris, le cas échéant, à la
direction générale et au conseil.

CONTRÔLE INTERNE ET PROCESSUS DE GESTION


119. Le contrôle interne fait partie des responsabilités du management. Les cinq composantes
sont donc examinées dans le cadre de la gestion de l’entité. Néanmoins, toutes les déci
sions ou les initiatives prises par le management ne relèvent pas du contrôle interne.

21. Le terme « deficiency » a été traduit par « déficience ». Il correspond à « insuffisance » ou « faiblesse » dans
d’autres traductions officielles.

https://marketingebooks.tk/
Objectifs, composantes et principes 
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 51

Un conseil composé d’administrateurs suffisamment indépendants du management


et qui assume ses responsabilités en matière de surveillance contribue au contrôle
interne. Néanmoins, un grand nombre de décisions prises par le conseil ne relèvent
pas du contrôle interne, par exemple lorsqu’il approuve une orientation stratégique
ou une mission particulière. Le conseil exerce en outre diverses responsabilités en
matière de gouvernance, en sus de celles liées à la surveillance du contrôle interne.
Le fait de prendre des décisions stratégiques qui influent sur les objectifs de l’entité
ne relève pas du contrôle interne. Une organisation peut adopter une approche de
type ERM (Enterprise Risk Management – management des risques de l’entreprise)
ou d’autres approches pour fixer ses objectifs.
La détermination du niveau global de risque acceptable et de l’appétence pour le
risque 22 y afférente relève de la planification stratégique et de l’ERM (Enterprise
Risk Management – management des risques de l’entreprise), et non du contrôle
interne. De même, la détermination des seuils de tolérance aux risques associés aux
objectifs spécifiques ne relève pas du contrôle interne.
La sélection et le développement de contrôles visant à maîtriser les risques sur la
base du processus d’évaluation des risques de l’organisation font partie du contrôle
interne ; toutefois, le choix entre les modalités de traitement d’un risque donné ne
relève pas du contrôle interne.

Le contrôle interne et la définition des objectifs


120. Il n’est pas aisé de concevoir et de mettre en place un système de contrôle interne si
les objectifs ne sont pas définis et spécifiés au sein de l’organisation. La définition des
objectifs généraux et des objectifs détaillés correspondants s’inscrit dans le cadre ou
dans le prolongement du processus de planification stratégique. Elle tient compte des
lois, règlements et normes, ainsi que des choix du management. Toutefois, le contrôle
interne ne saurait dicter ni définir les objectifs qu’une entité souhaite se fixer.
121. Dans le cadre du contrôle interne, une organisation définit les objectifs en procédant
comme suit :
formulation et codification d’objectifs spécifiques, mesurables ou observables, réa
listes, pertinents et limités dans le temps ;

22. L’« appétence pour le risque » est définie comme étant le niveau de risque qu’une entité est prête à accepter
globalement dans le cadre de sa mission et de sa vision.

https://marketingebooks.tk/
52 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

évaluation de la pertinence des objectifs généraux et des objectifs détaillés fixés


pour le contrôle interne compte tenu des circonstances et sur la base des lois, règle
ments et normes applicables ;
communication des objectifs généraux et des objectifs détaillés dans l’ensemble de
l’entité.
122. Le diagramme ci-après illustre la définition des objectifs dans le cadre du proces
sus de gestion, ainsi que l’explicitation et l’utilisation de ces objectifs dans le cadre
du contrôle interne relatif à un reporting financier externe et à un objectif lié aux
opérations.

https://marketingebooks.tk/
Objectifs, composantes et principes
OB JEC TI FS, COMP OSA NTE S E T PRI NCI PE S 53

Tiers Management Dans le cadre du contrôle interne

Identifier Définir Expliciter Utiliser

Des tiers élaborent des Définir des objectifs Formuler des objectifs Retenir les objectifs
lois, règlements et normes stratégiques et retenir une généraux et des objectifs généraux et les objectifs
(le cas échéant) relatifs aux stratégie cohérente avec détaillés qui sont spé- détaillés spécifiés comme
objectifs liés à la conformité la mission et la vision de cifiques, mesurables ou base aux fins de l’évalua-
et au reporting financier l’entité. observables, réalistes, tion des risques.
externe. Fixer des objectifs pour pertinents et limités dans
l’ensemble de l’entité le temps.
et définir des seuils Évaluer et confirmer la
de tolérance au risque pertinence des objectifs
appropriés compte tenu des généraux et des objectifs
circonstances, sur la base détaillés fixés pour le
d’exigences internes. contrôle interne sur la base
S’assurer que les objectifs des faits, des circonstances,
sont compatibles avec la des lois, règlements et
stratégie de l’entité et son normes applicables.
appétence globale pour le Communiquer les objectifs
risque. généraux et les objectifs
Fixer des objectifs généraux détaillés dans l’ensemble
et des objectifs détaillés de l’entité et de ses unités.
appropriés pour l’entité et
ses unités compte tenu des
circonstances.
Exemples d’objectifs généraux et d’objectifs détaillés liés au reporting financier
Le Financial Accounting Notre organisation établit Le management détermine Le management identifie
Standards Board (FASB) des états financiers fiables et atteste que l’application et évalue les risques
a énoncé les principes qui reflètent les transac- des principes comptables associés à l’établissement
comptables généralement tions et les événements généralement admis aux d’états financiers fiables
admis aux États-Unis conformément aux prin- États-Unis est pertinente qui reflètent ses activités
(US GAAP). cipes comptables générale- compte tenu des circons- conformément aux prin-
Un régulateur publie une ment admis aux États-Unis. tances. En cas de réponse cipes comptables générale-
norme comptable relative Notre organisation comp- négative, il en informe les ment admis aux États-Unis.
à la comptabilisation du tabilise le chiffre d’affaires responsables du processus La direction financière
chiffre d’affaires. à la date d’installation du de définition des objectifs. de l’unité opérationnelle
matériel dans le cas de La direction financière identifie et évalue le risque
contrats de location finan- de l’unité opérationnelle associé à la comptabilisa-
cière assimilés à une vente, détermine et atteste que tion du chiffre d’affaires
ou comptabilise les produits l’application des normes lié aux ventes de matériel
de location sur la durée comptables relatives à conformément aux prin-
du bail en cas de location l’ensemble des ventes de cipes comptables générale-
simple. matériel est pertinente. En ment admis aux États-Unis.
cas de réponse négative,
elle en informe les res-
ponsables du processus de
définition des objectifs.
…/…

https://marketingebooks.tk/
54 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔ LE INTERNE

…/…
Tiers Management Dans le cadre du contrôle interne
Exemples d’objectifs liés aux opérations
Non applicable aux objectifs Notre organisation s’efforce La direction de l’unité La direction de l’unité
liés aux opérations. d’améliorer ses perfor- opérationnelle détermine opérationnelle identifie
mances en portant le taux et atteste que les objectifs et évalue le risque associé
de rotation des stocks à liés aux opérations relatifs à la réduction du taux de
douze fois par an, tout en à la rotation des stocks et rotation des stocks à douze
admettant qu’une baisse du aux commandes client en fois par an.
niveau des stocks peut se attente sont appropriés.
traduire par une augmen- En cas de réponse négative,
tation du nombre de com- elle en informe les res-
mandes client en attente. ponsables du processus de
définition des objectifs.

LIMITES DU CONTRÔLE INTERNE


123. Il est admis dans le Référentiel que, si un système de contrôle interne efficace fournit
une assurance raisonnable que les objectifs de l’entité seront atteints, il comporte des
limites. Un système de contrôle interne, même efficace, peut s’avérer défaillant. Ces
limites peuvent résulter des facteurs suivants :
la pertinence des objectifs fixés comme préalable au contrôle interne ;
lefait que des décisions peuvent être prises en se fondant sur un jugement erroné
ou biaisé ;
des dysfonctionnements provoqués par des défaillances humaines telles que de
simples erreurs ;
la capacité du management à contourner les dispositifs de contrôle interne ;
la capacité du management, des collaborateurs et/ou des tiers à contourner les
contrôles par le biais d’une collusion ;
les événements externes échappant au contrôle de l’organisation.
124. Ces limites font que le conseil et le management ne peuvent avoir l’assurance absolue
que les objectifs de l’entité seront atteints. Autrement dit, le contrôle interne fournit
une assurance raisonnable et non une assurance absolue.

https://marketingebooks.tk/
CHAPITRE 3

Efficacité du contrôle interne

https://marketingebooks.tk/
56 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔ LE INTERNE

LES CONDITIONS D’UN CONTRÔLE INTERNE EFFICACE


125. Un système efficace de contrôle interne fournit une assurance raisonnable que les
objectifs de l’entité seront atteints. Le contrôle interne s’applique tant à l’entité consi
dérée dans son ensemble qu’à ses unités. Un système efficace de contrôle interne peut
par conséquent concerner une partie spécifique de la structure organisationnelle. Il
permet de réduire à un niveau acceptable 23 le risque qu’un objectif relevant d’une ou
plusieurs des trois catégories d’objectifs ne soit pas atteint. L’efficacité du contrôle
interne suppose que :
chacune des cinq composantes du contrôle interne et leurs principes soient mis en
place et fonctionnent correctement 24 ;
les cinq composantes fonctionnent conjointement de façon intégrée.
126. Pour évaluer l’efficacité du système de contrôle interne, le management fait appel à son
jugement lorsqu’il vérifie la mise en place et le fonctionnement de chacun des prin
cipes associés aux composantes, ainsi que le fonctionnement conjoint de ces dernières.
127. Lorsque le contrôle interne est jugé efficace, la direction générale et le conseil ont
l’assurance raisonnable que :
concernant les objectifs liés aux opérations, l’organisation :
– réalise des activités efficaces et efficientes parce que des événements externes,
susceptibles d’avoir un impact significatif sur la réalisation des objectifs, sont
jugés peu probables ou parce que l’organisation peut raisonnablement prévoir la
nature et la date de réalisation des événements externes et en maîtriser l’impact
en le ramenant à un niveau acceptable,
– est à même d’apprécier dans quelle mesure les activités sont gérées de manière
efficace et efficiente lorsque des événements externes sont susceptibles d’avoir
un impact significatif sur la réalisation des objectifs et qu’il est impossible d’en
maîtriser l’impact en le ramenant à un niveau acceptable ;
concernant les objectifs liés au reporting, l’organisation établit des rapports confor
mément aux lois, règlements et normes applicables et définis par le législateur, les

23. NdT : « to an acceptable level (the risk) » est traduit par « à un niveau (de risque) acceptable ». La définition
du niveau acceptable est une condition préalable à la mise en œuvre du contrôle interne. Il renvoie aux notions
d’appétence pour le risque et de tolérance au risque qui sont abordées dans la partie « Évaluation des risques »
du Référentiel.
24. Le chapitre 4, intitulé « Considérations additionnelles », présente des points d’attention qui correspondent à
des caractéristiques importantes des principes. Le Référentiel n’exige pas que le management évalue séparément
la mise en place de chaque point d’attention.

https://marketingebooks.tk/
Efficacité du contrôle interne 
EFF IC ACI TÉ DU CO NTR ÔLE I NT ERNE 57

régulateurs et les organismes de normalisation, ou conformément aux objectifs


définis par l’entité et aux règles correspondantes ;
concernant les objectifs liés à la conformité, l’organisation se conforme aux lois et
règlements applicables.
128. Le Référentiel souligne que les composantes du contrôle interne et les principes sont
une condition préalable à l’efficacité du système de contrôle interne. Il ne prescrit pas
le processus que le management doit suivre pour évaluer l’efficacité du système.

PERTINENCE DES COMPOSANTES ET DES PRINCIPES


129. Toutes les composantes du contrôle interne décrites dans le Référentiel sont adaptées
et pertinentes pour toutes les entités.
130. Les principes constituent des concepts fondamentaux associés à chaque composante.
Par conséquent, les dix-sept principes décrits dans le Référentiel sont adaptés à toutes
les entités. Ces principes sont présumés pertinents car ils ont une incidence significa-
tive sur la mise en place et le fonctionnement de la composante correspondante. Ainsi,
lorsqu’un principe n’est pas mis en place et ne fonctionne pas, la composante corres
pondante ne peut ni être mise en place ni fonctionner.
131. À titre exceptionnel, il est possible que, dans un contexte sectoriel, opérationnel ou
réglementaire donné, le management estime qu’un principe n’est pas pertinent pour
la composante correspondante. Ce jugement peut reposer notamment sur des motifs
liés à la structure de l’entité, à la nécessité de respecter des obligations légales, régle
mentaires, sectorielles ou contractuelles de l’entité en matière de gouvernement d’en
treprise, ainsi qu’à l’importance et au degré de complexité des systèmes utilisés par
l’entité. Si le management estime qu’un principe n’est pas pertinent, il doit justifier
sa position en précisant comment la composante concernée peut être mise en place et
fonctionner sans ce principe.

MISE EN PLACE ET FONCTIONNEMENT


132. L’expression « mis en place et fonctionnent » s’applique aux composantes et aux
principes.
La « mise en place » désigne le fait que les composantes et les principes sont pris en
considération dans la conception et la mise en œuvre du système de contrôle interne
en vue d’atteindre les objectifs fixés.
Le « fonctionnement » désigne le fait que les composantes et les principes conti
nuent d’être pris en compte dans le cadre du pilotage du système de contrôle interne
en vue d’atteindre les objectifs fixés.

https://marketingebooks.tk/
58 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

133. Pour déterminer si une composante est mise en place et fonctionne, la direction géné
rale doit, sous la surveillance du conseil, vérifier dans quelle mesure les principes
sont correctement appliqués. Toutefois, la mise en place et le fonctionnement d’un
principe n’impliquent pas que celui-c i soit appliqué en visant le niveau maximum de
performance. En effet, le management dispose d’un pouvoir d’appréciation pour peser
sur les coûts et les avantages liés à la conception, à la mise en place et au pilotage du
système de contrôle interne.

FONCTIONNEMENT CONJOINT
134. Les composantes fonctionnent conjointement de façon intégrée. « Le fonctionnement
conjoint » signifie que les cinq composantes contribuent collectivement à ramener à
un niveau acceptable le risque qu’un objectif ne soit pas atteint.
135. Les composantes sont interdépendantes et reliées par une multitude de liens tels que
l’interaction entre les principes au sein d’une composante et entre les composantes.
Les composantes qui sont mises en place et fonctionnent captent les interdépendances
et les liens qui leur sont propres. Voici d’autres exemples de composantes qui fonc
tionnent conjointement :
l’organisation établit les normes de conduite et définit les indicateurs de perfor
mance et les mesures d’incitation au sein de l’environnement de contrôle afin de
réduire le risque d’actes frauduleux ; elle peut également affecter le niveau de risque
de fraude évalué dans le cadre de l’évaluation des risques ;
le développement et le déploiement de règles et procédures dans le cadre des acti
vités de contrôle contribuent à maîtriser les risques identifiés et analysés dans le
cadre de l’évaluation des risques ;
le traitement d’informations pertinentes et de qualité dans le cadre de la composante
« Information et communication » favorise le déploiement des processus métier et
des contrôles de transactions au sein des activités de contrôle, ainsi que la réalisa
tion d’évaluations continues et ponctuelles de ces contrôles au niveau de la compo
sante « Pilotage » ;
la communication de déficiences du contrôle interne aux responsables des mesures
correctives dans le cadre du pilotage nécessite une bonne compréhension des
structures, des rattachements, des pouvoirs et des responsabilités de l’entité, tels
qu’exposés dans l’environnement de contrôle et communiqués dans le cadre de la
composante « Information et communication ».
136. En conséquence, le management peut démontrer que les composantes fonctionnent
conjointement lorsque :

https://marketingebooks.tk/
Efficacité du contrôle interne 
EFF IC ACI TÉ DU CO NTR ÔLE I NT ERNE 59

les composantes sont mises en place et fonctionnent ;


les déficiences du contrôle interne de toutes les composantes n’aboutissent pas
toutes à la conclusion qu’il existe une ou plusieurs déficiences majeures.

DÉFICIENCES DU CONTRÔLE INTERNE


137. Il existe de nombreuses sources potentielles pour identifier les déficiences du contrôle
interne, parmi lesquelles les activités de pilotage, les autres composantes et les tiers
qui fournissent des informations sur la mise en place et le fonctionnement des compo
santes et des principes.
138. L’expression « déficience du contrôle interne » désigne une insuffisance dans une ou
plusieurs composantes et un ou plusieurs principes, qui réduit la probabilité que l’entité
atteigne ses objectifs. Une déficience du contrôle interne ou une combinaison de défi
ciences est qualifiée de « déficience majeure » lorsqu’elle réduit fortement la probabilité
que l’entité atteigne ses objectifs. Comme l’illustre le schéma ci-après, une déficience
majeure est un sous-ensemble des déficiences du contrôle interne. Ainsi, une déficience
majeure est également une déficience du contrôle interne, par définition.
Déficiences du contrôle interne

Déficiences majeures

139. Lorsqu’il existe une déficience majeure, l’organisation ne peut conclure qu’elle satis
fait aux exigences d’un système de contrôle interne efficace. Une déficience majeure
peut exister dans plusieurs cas de figure : une composante ou, plus précisément, un ou
plusieurs principes ne sont pas mis en place ou ne fonctionnent pas, ou bien lorsque les
composantes ne fonctionnent pas conjointement.
140. Une déficience majeure d’une composante ne peut être ramenée à un niveau acceptable
par la mise en place et le fonctionnement d’une autre composante. De même, une défi
cience majeure d’un principe ne peut être ramenée à un niveau acceptable par la mise
en place et le fonctionnement d’autres principes.
141. Pour déterminer si les composantes et les principes sont mis en place et fonctionnent,
le management peut utiliser les contrôles relatifs à l’application des principes25 . Par

25. Le rôle des contrôles et leur impact sur les principes sont plus amplement détaillés dans le chapitre 4,

https://marketingebooks.tk/
60 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

exemple, lorsque l’organisation évalue la possibilité que le principe « Évaluer le risque


de fraude » ne soit pas mis en place et ne fonctionne pas, elle peut utiliser les contrôles
relatifs à l’application des autres principes tels que « Définir des structures, des pou
voirs et des responsabilités » et « Instaurer un devoir de rendre compte ». En utilisant
les contrôles initialement envisagés dans le contexte d’autres principes, le manage
ment peut être en mesure de déterminer si le principe « Évaluer le risque de fraude »
est mis en place et fonctionne.
142. Lorsqu’il détermine si les principes et les composantes sont mis en place et fonc
tionnent, et si ces dernières fonctionnent conjointement et, in fine, lorsqu’il conclut
sur l’efficacité du système de contrôle interne de l’entité, le management fait appel à
son jugement pour évaluer la sévérité d’une déficience du contrôle interne, ou d’une
combinaison de déficiences. En outre, l’espace laissé au jugement peut varier selon la
catégorie d’objectifs.
143. Les régulateurs, les organismes de normalisation et autres tiers concernés peuvent
définir des critères pour déterminer la sévérité, évaluer et communiquer les déficiences
du contrôle interne. Le Référentiel reconnaît et s’inscrit dans le cadre du mandat et de
la responsabilité des tiers tels que prescrits par les lois, règlements et normes externes.
144. Lorsque l’entité applique une loi, un règlement ou une norme externe, le management
devrait utiliser uniquement les critères pertinents qui y sont inclus pour classer la
sévérité des déficiences du contrôle interne, plutôt que de s’appuyer sur la classification
du Référentiel. Toute déficience du contrôle interne qui se traduirait par une ineffica
cité du système de contrôle interne en regard de ces critères empêcherait le manage
ment de conclure que l’entité satisfait aux exigences d’un contrôle interne efficace
conformément au Référentiel (par exemple, une non- conformité majeure concernant
les objectifs liés aux opérations ou à la conformité, ou bien une faiblesse significative
concernant les objectifs liés à la conformité ou au reporting externe).
145. Pour les objectifs liés au reporting interne et ceux liés aux opérations, la direction
générale peut, sous la surveillance du conseil, définir des critères objectifs aux fins de
l’évaluation des déficiences du contrôle interne et de la communication d’informations
aux personnes responsables de la réalisation de ces objectifs.

« Considérations additionnelles ».

https://marketingebooks.tk/
Efficacité du contrôle interne 
EFF IC ACI TÉ DU CO NTR ÔLE I NT ERNE 61

AUTRES CONSIDÉRATIONS
146. Bien que l’organisation puisse faire appel à un prestataire externe chargé de mettre en
œuvre les processus, les règles et les procédures pour le compte de l’entité, le manage
ment demeure en dernier ressort responsable du respect des conditions d’efficacité du
système de contrôle interne.
147. L’appréciation de l’efficacité du contrôle interne par le management s’opère dans le
cadre du système de contrôle interne de l’entité. Certains tiers en relation avec l’entité,
tels que les auditeurs externes et les régulateurs, ne font pas partie du système de
contrôle interne. Ainsi, ils ne peuvent pas faire partie du processus d’évaluation du
système de contrôle interne par le management.

https://marketingebooks.tk/
https://marketingebooks.tk/
CHAPITRE 4

Considérations additionnelles

https://marketingebooks.tk/
64 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

JUGEMENT
148. La conception, la mise en place et le pilotage du système de contrôle interne, ainsi que
l’évaluation de son efficacité, nécessitent de faire appel au jugement. Celui-c i renforce
la capacité du management à prendre de meilleures décisions concernant le contrôle
interne, mais ne saurait garantir un résultat parfait.
149. Dans les limites fixées par les lois, règlements et normes applicables, le management
fait appel à son jugement dans des domaines importants tels que :
l’application des composantes du contrôle interne aux catégories d’objectifs ;
l’application des composantes et des principes du contrôle interne au sein de la
structure de l’entité ;
la définition d’objectifs généraux et d’objectifs détaillés appropriés ainsi que l’éva
luation des risques liés à la réalisation de ces objectifs ;
la sélection, le développement et le déploiement des contrôles nécessaires à l’appli
cation des principes ;
la vérification de la mise en place et du fonctionnement conjoint des composantes ;
l’appréciation de la pertinence des principes pour l’entité ainsi que la vérification de
la mise en place et du fonctionnement de ces principes ;
l’appréciation de la sévérité d’une ou plusieurs déficiences du contrôle interne au
regard du Référentiel, ainsi que des lois, règlements, et normes externes applicables.
150. Par exemple, aux fins de l’élaboration des états financiers, le management fait appel
à son jugement en respectant les obligations de reporting financier externe. Le mana
gement étudie comment les risques associés aux objectifs généraux et aux objectifs
détaillés de reporting financier doivent être traités. Le management peut adopter pour
ces risques une approche relativement prudente par rapport à celles retenues pour
d’autres catégories d’objectifs. Autrement dit, il est plus probable que le management
réduise le risque au lieu de l’accepter. S’agissant des objectifs relatifs aux états finan
ciers destinés à un usage externe, la question de l’acceptation du risque ne devrait se
poser que lorsque les risques identifiés ne peuvent pas, individuellement ou globale
ment, dépasser le seuil de risque fixé et entraîner une omission ou une inexactitude 26
significative.

26. Le terme « misstatement » a été traduit par « inexactitude » au sens des normes IFRS. Il a été traduit dans
d’autres textes officiels par « anomalie » qui a une acceptation plus large puisqu’une information anormale peut
être une inexactitude, une omission ou une information insuffisante.

https://marketingebooks.tk/
Considérations additionnelles 
CONSIDÉRATIONS ADDITIONNELLES 65

151. Le management fait également appel à son jugement lors de la définition et de l’ap
plication des principes comptables appropriés, en particulier en ce qui concerne les
évaluations subjectives et les transactions complexes. Par exemple, le management
fait appel à son jugement lorsqu’il formule des hypothèses et s’appuie sur des données
pour procéder à des estimations comptables, lorsqu’il applique les principes comp
tables à des transactions complexes et lorsqu’il produit des informations devant être
présentées et publiées de manière fiable et transparente. Le contrôle interne relatif au
reporting financier externe traite le risque d’un jugement biaisé susceptible d’entraîner
une omission ou une inexactitude significative dans ce reporting.

POINTS D’ATTENTION
152. Le Référentiel identifie des points d’attention qui correspondent à des caractéris
tiques importantes des principes. Mais le management peut estimer que certains de
ces points d’attention ne sont pas appropriés ou ne sont pas pertinents, et qu’il faut
intégrer d’autres points d’attention selon la situation spécifique de l’entité. Les points
d’attention peuvent aider le management dans le cadre de la conception, de la mise en
place et du pilotage du contrôle interne, ainsi que dans le cadre de sa vérification de la
mise en place et du fonctionnement correct des principes. Le Référentiel n’exige pas
que le management évalue séparément la mise en place de chaque point d’attention.

CONTRÔLES RELATIFS À L’APPLICATION DES PRINCIPES


153. Le processus de contrôle interne intègre des contrôles sous forme de règles et de pro
cédures. Les règles indiquent les mesures préconisées par le management et le conseil
pour mettre en place le contrôle interne. Les procédures sont destinées à mettre les
règles en œuvre. Les organisations sélectionnent et développent des contrôles dans le
cadre de chaque composante afin d’appliquer les principes. Les contrôles sont liés et
peuvent contribuer à la réalisation de plusieurs objectifs et à l’application de plusieurs
principes.
154. Le Référentiel n’impose pas des contrôles spécifiques dont la sélection, le dévelop
pement et le déploiement seraient impératifs pour garantir l’efficacité du système de
contrôle interne. La sélection des contrôles incombe au management qui fait appel à
son jugement en se fondant sur des facteurs propres à chaque entité, tels que :
les lois, règlements et normes applicables à l’entité ;
la nature de l’activité de l’entité et les marchés sur lesquels elle opère ;
le périmètre et la nature du modèle organisationnel ;

https://marketingebooks.tk/
66 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

la compétence des collaborateurs responsables du contrôle interne ;


l’utilisation et la dépendance vis-à -vis de technologies en constante évolution ;
les traitements retenus pour gérer les risques.
155. Le management doit disposer d’éléments probants pour déterminer que les compo
santes et les principes sont mis en place et fonctionnent. Le management examine les
contrôles en tenant compte de son évaluation des composantes et des principes. L’ana
lyse du rôle joué par les contrôles dans l’application des principes, à travers leur sélec
tion, leur développement et leur déploiement, peut fournir des éléments probants qui
corroborent l’appréciation du management quant à l’efficacité du système de contrôle
interne de l’entité. L’absence de contrôles nécessaires à l’application des principes
serait considérée comme une déficience du contrôle interne. Le Référentiel permet de
faire appel au jugement lors de l’évaluation de l’impact potentiel d’une déficience du
contrôle sur la mise en place et le fonctionnement d’un principe. Le management peut
prendre en compte d’autres contrôles (associés ou non à la composante ou au principe
en question) afin de compenser une déficience du contrôle interne.

FRONTIÈRES DE L’ORGANISATION
156. Un grand nombre d’organisations choisissent de confier certains de leurs processus
métier ou certaines activités à des prestataires externes. Cette approche est désor
mais répandue en raison des bénéfices attendus en termes d’accès à des ressources
humaines à bas coût, de réduction des coûts de gestion courante de certaines fonctions,
d’accès à des processus et à des systèmes plus performants ainsi que la possibilité de
concentrer prioritairement les efforts du management sur la mission de l’entité.
157. Les prestataires externes peuvent assister les organisations dans le cadre de proces
sus métier tels que la gestion des achats et des fournisseurs, la gestion de la paie, des
retraites et des avantages sociaux, la gestion des placements et les plans de rémunéra
tion sous forme d’actions. Les prestataires externes peuvent également apporter une
assistance technologique qui facilite les processus métier, en fournissant des services
liés à l’acquisition, à la gestion et à la maintenance de systèmes d’information précé
demment gérés en interne. Les avancées technologiques ont créé des opportunités de
réduction des coûts en permettant l’accès à des architectures complètes grâce aux
quelles les organisations disposent de systèmes d’information partagés modulables à
la demande qui facilitent des opérations plus complexes et évolutives et dont le coût
pourrait être prohibitif pour le management dans le cadre d’un investissement interne.
158. Cette dépendance vis-à -vis de prestataires externes modifie les risques associés aux
activités opérationnelles, accroît l’importance de la qualité de l’information et de

https://marketingebooks.tk/
Considérations additionnelles 
CONSIDÉRATIONS ADDITIONNELLES 67

la communication provenant de l’extérieur de l’organisation et rend plus délicate la


supervision de ses activités et des contrôles y afférents. Le management peut confier
à autrui le soin d’exécuter des processus métier, des activités et des contrôles pour le
compte de l’entité, mais il demeure responsable du système de contrôle interne. Ainsi,
le management demeure responsable de la définition des objectifs, de la gestion des
risques correspondants, ainsi que de la sélection, du développement et du déploiement
des contrôles relatifs à l’application des composantes et des principes.
159. Le Référentiel peut être appliqué à l’ensemble de l’entité, que le management ait choisi
de mettre directement en œuvre les activités opérationnelles ou qu’il décide de recou
rir à des prestataires externes.

SYSTÈMES D’INFORMATION
160. Les systèmes d’information peuvent jouer un rôle essentiel en facilitant les décisions
prises par le management pour atteindre les objectifs de l’entité et en permettant un
meilleur contrôle de ses activités. Le nombre d’entités faisant appel aux systèmes
d’information continue de croître, ainsi que le niveau d’utilisation de ces technologies.
161. Les systèmes d’information peuvent être désignés par d’autres expressions telles
que « systèmes d’information de gestion » ou « technologies de l’information ». Ces
expressions renvoient à des concepts communs, à savoir l’utilisation d’une combinai
son de processus automatisés et de processus manuels, de matériels informatiques et
de logiciels, de méthodes et de processus. Dans cette traduction, l’expression « sys
tèmes d’information » recouvre un ensemble d’éléments dont les applications logi
cielles fonctionnant sur un ordinateur et les dispositifs de contrôle opérationnel.
162. Les environnements technologiques varient considérablement en termes de taille,
de complexité et de degré d’intégration. Ils comprennent aussi bien des systèmes de
grande envergure centralisés et intégrés que des systèmes décentralisés fonctionnant
de façon autonome au sein d’une unité opérationnelle spécifique. Il peut s’agir d’envi
ronnements fonctionnant en temps réel qui permettent un accès immédiat à l’infor
mation, tels que les applications mobiles qui donnent accès à un grand nombre de
systèmes, d’organisations et de zones géographiques. Les systèmes d’information per
mettent aux organisations de traiter un volume de transactions élevé, de transformer
les données en informations permettant une prise de décision éclairée, de partager
les informations efficacement au sein de l’entité et avec des partenaires, et de proté
ger les informations confidentielles contre une utilisation inappropriée. En outre, les
systèmes d’information permettent aux entités de partager avec le public des données
relatives aux opérations et aux performances.

https://marketingebooks.tk/
68 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

163. L’innovation technologique crée à la fois des opportunités et des risques. Elle peut per
mettre le développement de nouveaux débouchés ou modèles opérationnels, générer des
gains d’efficacité grâce à l’automatisation et permettre aux entités de prendre des initia
tives qui étaient auparavant difficiles à concevoir. Mais elle peut également engendrer
une complexité accrue, qui rend plus difficile l’identification et la gestion des risques.
164. Les principes présentés dans le Référentiel demeurent valables en cas de recours aux
systèmes d’information. Pour autant, les systèmes d’information ne sont pas sans inci
dence sur le contexte de déploiement. Ils affectent sans aucun doute les modalités de
conception, de mise en œuvre et de pilotage du contrôle interne, notamment à tra
vers la disponibilité accrue d’informations et l’utilisation de procédures automatisées,
mais les mêmes principes sont adaptés et pertinents27.

GRANDES ET PETITES ENTITÉS


165. Les principes sous-jacents aux composantes du contrôle interne s’appliquent aussi
bien aux petites qu’aux grandes entités. Néanmoins, l’approche retenue pour leur mise
en œuvre peut varier dans les petites entités, qu’elles soient cotées ou non cotées,
publiques ou à but non lucratif. Par exemple, toutes les sociétés cotées ont un conseil
ou un organe de gouvernance équivalent, investi d’une responsabilité de surveillance
en matière de reporting. Une petite entité peut se caractériser par un modèle organi
sationnel et une structure moins complexes, ainsi que par une communication plus
régulière avec les administrateurs, ce qui permet d’adopter une approche différente
de la surveillance exercée par le conseil. De même, puisque les sociétés cotées sont
souvent tenues de mettre en place un dispositif d’alerte, il peut exister des différences
avec les procédures de reporting des autres types d’entités, quelle que soit leur taille.
Dans une grande entité, par exemple, le volume des événements constatés peut néces
siter leur communication initiale à une fonction interne identifiée, alors que dans une
petite entité, ces événements pourront être communiqués directement au président du
comité d’audit.
166. Les petites entités présentent généralement des avantages intrinsèques qui peuvent
contribuer à l’efficacité du contrôle interne. Ainsi, le périmètre de contrôle des direc
tions générales y est plus étendu et l’interaction directe avec les collaborateurs y est
plus développée. Les réunions informelles peuvent paraître très efficaces pour com
muniquer des informations relatives aux performances opérationnelles, alors que les

27. Fondé sur des principes, le Référentiel ne traite pas en détail de technologies spécifiques, telles que le cloud
computing ou les médias sociaux.

https://marketingebooks.tk/
Considérations additionnelles 
CONSIDÉRATIONS ADDITIONNELLES 69

grandes entités auront peutêtre besoin de recourir à des mécanismes plus formels tels
que des rapports écrits, des portails Intranet, des réunions formelles périodiques ou
des conférences téléphoniques, pour communiquer des informations similaires.
167. Inversement, les grandes entités peuvent bénéficier de certaines économies d’échelle,
qui concernent souvent les fonctions support. Par exemple, la mise en place d’une
fonction d’audit interne nécessitera probablement une proportion plus importante des
ressources d’une petite entité nationale par rapport à celles d’une multinationale. Une
petite entité n’a pas nécessairement mis en place une fonction d’audit interne ou peut
recourir partiellement à des ressources externes ou à l’externalisation complète pour
disposer des compétences nécessaires, alors que dans une grande entité, cette fonction
sera plutôt exercée en interne par une équipe nettement plus étoffée avec des collabo
rateurs expérimentés. Mais, selon toute vraisemblance, le coût sera proportionnelle
ment plus élevé pour une petite entité que pour une grande entité.

COÛTS ET BÉNÉFICES DU CONTRÔLE INTERNE


Bénéfices
168. Le contrôle interne procure de nombreux bénéfices à l’entité. Il donne au management
et au conseil une assurance accrue quant à la réalisation des objectifs, il permet un
retour d’informations sur le fonctionnement d’une activité et il contribue à limiter les
imprévus. Un contrôle interne efficace présente des bénéfices pour bien des entités, le
plus significatif étant la capacité de remplir certaines conditions d’accès aux marchés
financiers et donc aux capitaux nécessaires pour l’innovation et la croissance. Cette
capacité d’accès s’accompagne bien entendu de l’obligation de communiquer des infor
mations fiables en temps voulu aux actionnaires, aux créanciers, aux investisseurs ou
bailleurs de fonds, aux régulateurs et aux autres tiers avec lesquels l’entité entretient
des relations contractuelles directes. Par exemple, un contrôle interne efficace favorise
un reporting financier externe fiable, lequel renforce à son tour la confiance des inves
tisseurs et les incite à fournir les capitaux nécessaires.
169. Un contrôle interne efficace procure d’autres bénéfices qui sont notamment les suivants :
des informations fiables, permettant au management et au conseil de prendre des
décisions éclairées, par exemple en matière de tarification des produits, d’investis
sement et de déploiement des ressources ;
des mécanismes cohérents de traitement des transactions, qui contribuent à amé
liorer la qualité de l’information et de la communication dans toute l’organisation, à
accroître la rapidité et la fiabilité de l’initialisation et de la clôture des transactions
et à garantir l’enregistrement fiable et l’intégrité continue des données ;

https://marketingebooks.tk/
70 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

une efficacité accrue des fonctions et des processus ;


un support pour les décisions nécessitant de faire particulièrement appel au
jugement ;
la capacité et l’assurance de communiquer avec exactitude ses performances à ses
partenaires et à ses clients, favorisant ainsi la poursuite des relations.
170. En outre, grâce au Référentiel, le management peut concevoir, mettre en place et pilo
ter le système de contrôle interne de manière plus efficiente. Par exemple :
la compréhension de l’importance de la définition d’objectifs appropriés peut per
mettre au management de concentrer son attention sur les risques et les contrôles
prioritaires aux fins de la réalisation de ces objectifs ;
le fait de se concentrer sur les risques qui dépassent les seuils de tolérance accep
tables et qui doivent être gérés dans l’ensemble de l’entité permet de réduire les
efforts déployés à maîtriser les risques de moindre impact ;
la coordination des efforts entrepris pour identifier et évaluer les risques asso
ciés à plusieurs objectifs peut réduire le nombre de risques évalués et maîtrisés
séparément ;
la sélection, le développement et le déploiement de contrôles relatifs à l’application
de plusieurs principes peuvent également réduire le nombre de contrôles réalisés
séparément, à différents niveaux ;
l’utilisation d’un langage commun – le Référentiel – pour les processus et les
contrôles relatifs aux opérations, au reporting et à la conformité peut réduire les
écarts entre des terminologies différentes utilisées pour décrire le contrôle interne
dans l’entité.
171. Les entités sont toujours confrontées à des contraintes en matière de ressources
humaines et financières ainsi qu’à des plafonds de dépenses, de sorte qu’elles exa
minent généralement le rapport coûts/bénéfices des différentes approches et solutions
possibles en matière de contrôle interne.

Coûts
172. Il est généralement plus facile de traiter la question des coûts que celle des bénéfices
car, dans la plupart des cas, les coûts peuvent être évalués de façon relativement pré
cise. En règle générale, sont pris en compte tous les coûts directs associés à la mise en
place du contrôle interne, majorés des coûts indirects, lorsqu’ils peuvent être évalués.
Certaines entités tiennent également compte des coûts d’opportunité associés à l’uti
lisation des ressources.

https://marketingebooks.tk/
Considérations additionnelles 
CONSIDÉRATIONS ADDITIONNELLES 71

173. Généralement, lors de la sélection et du développement des dispositifs de contrôle


interne, le management prend en compte une série de facteurs de coûts en regard des
bénéfices attendus. Voici quelques exemples de points à prendre en considération :
arbitrer le recrutement et le maintien de collaborateurs plus compétents compte tenu
des rémunérations plus élevées. Par exemple, une petite entreprise, non cotée, n’est
peut-être pas désireuse ni en mesure de recruter un directeur financier ayant acquis
une expérience dans une société cotée ;
évaluer les efforts requis pour sélectionner, développer et réaliser les activités de
contrôle, ainsi que les contraintes supplémentaires potentielles qu’elles font peser
sur les processus métier, et les efforts à accomplir pour maintenir et faire évoluer
une activité de contrôle donnée en fonction des besoins ;
évaluer l’incidence d’un recours plus intensif aux systèmes d’information. Les
efforts requis par l’exécution des contrôles, ainsi que l’incidence des nouveaux
contrôles informatisés sur le processus opérationnel, peuvent être faibles, mais les
coûts associés à la sélection, au développement, à la maintenance et à la mise à
niveau des systèmes d’information peuvent en revanche être substantiels ;
analyser comment l’évolution des besoins en matière d’information peut impacter
leur collecte, leur traitement et leur stockage, cette évolution pouvant déclencher
une croissance exponentielle du volume de données. Lorsque le volume de don
nées disponibles croît, l’organisation est confrontée à la difficulté d’éviter un excès
d’information en s’assurant que les informations qui circulent sont les bonnes et
sont communiquées sous la bonne forme, avec un niveau de détail approprié, aux
bonnes personnes et en temps voulu. La mise en place d’un système d’information
présentant un rapport coûts/bénéfices équilibré implique un examen approfondi des
besoins d’information.

Autres points à prendre en considération pour évaluer les coûts


et les bénéfices
174. L’évaluation des bénéfices est souvent encore plus subjective que celle des coûts. Par
exemple, les bénéfices des programmes de formation efficaces sont généralement évi
dents mais difficiles à quantifier. Les programmes de formation ne sont pas toujours
conçus de façon à permettre l’évaluation de leurs bénéfices ou la collecte des données
nécessaires à cette évaluation. Ainsi, les programmes de formation commerciale ne
sont pas nécessairement conçus de façon à évaluer les résultats des ventes par colla
borateur avant et après la formation. Il est par conséquent difficile de déterminer si la
formation est efficace et si ses objectifs ont été atteints. Par ailleurs, l’évaluation des
bénéfices par rapport aux attentes des parties prenantes peut s’avérer encore plus diffi

https://marketingebooks.tk/
72 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

cile. Cependant, dans bien des cas, les bénéfices liés aux mesures prises dans le cadre
de l’une des cinq composantes du contrôle interne peuvent être évalués à la lumière
des bénéfices associés à la réalisation de l’objectif concerné.
175. L’évaluation du rapport coûts/bénéfices est rendue encore plus complexe du fait de
l’imbrication des contrôles et des processus métier. Lorsque les contrôles sont intégrés
dans les processus de gestion et les processus métier, il est difficile d’en isoler les coûts
ou les bénéfices.
176. Il appartient au management de décider comment évaluer le rapport coûts/bénéfices
des différentes modalités de mise en œuvre d’un système de contrôle interne, et de
statuer sur la solution retenue en définitive. Néanmoins, le coût ne constitue pas, à
lui seul, un motif valable pour éviter la mise en œuvre du contrôle interne. L’analyse
du rapport coûts/bénéfices renforce la capacité du management à mettre en place et
à gérer un système de contrôle interne qui permet une affectation équilibrée des res
sources humaines dans les domaines les plus risqués ou les plus complexes, ou en
fonction d’autres facteurs liés aux objectifs de l’entité.

DOCUMENTATION

177. Les entités constituent et conservent une documentation concernant leur système de
contrôle interne, et ce pour plusieurs raisons. L’une des finalités de la documentation
est de définir clairement les rôles et les responsabilités de chacun, ce qui favorise une
homogénéité dans l’adoption des pratiques, des règles et des procédures de gestion
des activités de l’entité. Une documentation efficace facilite la conception du contrôle
interne et la communication de ses modalités d’exécution (personnes responsables,
nature, échéances, localisation et objectifs des dispositifs de contrôle interne). Elle
édicte des normes et précise les attentes en matière de performances et de conduite.
La documentation facilite également la formation des nouveaux collaborateurs et
constitue un outil de référence pour les collaborateurs plus expérimentés. En outre,
la documentation atteste du pilotage du contrôle interne et permet une surveillance
appropriée. Elle étaye le reporting relatif à l’efficacité du contrôle interne, en particu
lier lorsque cette efficacité est évaluée par des tiers tels que les régulateurs, les audi
teurs ou les clients. La documentation constitue également un moyen de conserver les
connaissances organisationnelles et de maîtriser le risque que l’accès à ces connais
sances soit réservé à un nombre limité de collaborateurs.
178. Par ailleurs, il incombe au management de déterminer à quel point il est nécessaire de
documenter l’évaluation de l’efficacité du contrôle interne. Un certain niveau de for
malisation est toujours nécessaire pour permettre au management d’avoir l’assurance

https://marketingebooks.tk/
Considérations additionnelles 
CONSIDÉRATIONS ADDITIONNELLES 73

que les principes et chacune des composantes sont mis en place et fonctionnent, et que
ces dernières fonctionnent conjointement. Il peut s’agir, par exemple, de documents
attestant que toutes les expéditions sont facturées ou que des rapprochements pério
diques sont effectués. Il convient d’envisager deux niveaux spécifiques d’exigences
en matière de documentation pour le reporting financier et extra-financier externe :
lorsqu’il fait des déclarations sur la conception et l’efficacité opérationnelle de son
système de contrôle interne aux régulateurs, aux actionnaires ou à d’autres tiers, le
management assume un niveau de responsabilité particulièrement élevé. En règle
générale, une documentation est nécessaire pour étayer les déclarations selon les
quelles les principes et les composantes sont mis en place et fonctionnent, et que
ces dernières fonctionnent conjointement. La nature et l’étendue de la documenta
tion peuvent être déterminées en fonction des obligations réglementaires de l’entité.
Ceci ne signifie pas nécessairement que l’ensemble de la documentation revêt ou
devrait revêtir un caractère plus formel, mais qu’il existe des éléments probants
attestant, compte tenu des objectifs de l’entité, que les principes et les composantes
sont mis en place et fonctionnent, et que ces dernières fonctionnent conjointement ;
lorsqu’un auditeur externe atteste de l’efficacité du système de contrôle interne,
le management devra vraisemblablement lui fournir des éléments à l’appui de sa
déclaration concernant l’efficacité du contrôle interne. De tels éléments apporte
ront notamment la preuve que le système de contrôle interne est suffisamment bien
conçu et efficace pour fournir l’assurance raisonnable que les objectifs de l’entité
seront atteints. S’agissant de la nature et de l’étendue de la documentation néces
saire à l’appui des déclarations, le management ne doit pas perdre de vue que celle
ci devra être suffisante et sera vraisemblablement utilisée par l’auditeur externe
en tant que preuve d’audit. Dans les cas où le management a particulièrement fait
appel à son jugement, les conditions de cette prise de décision et les éléments de la
décision finale devront être documentés.
179. Il peut néanmoins arriver que des contrôles soient informels ou implicitement liés à
des actes et des décisions du management. Cette situation peut être appropriée lorsque
le management est en mesure d’obtenir des éléments probants, indiquant que les col
laborateurs effectuent régulièrement ces contrôles, dans le cours normal de l’activité.
Toutefois, il est important de ne pas perdre de vue que des processus, tels que ceux
intégrés dans le pilotage ou l’évaluation des risques, ne sauraient exister que dans le
seul esprit des membres de la direction générale, sans documentation décrivant leur
raisonnement et leurs analyses.
180. L’étendue et la nature de la documentation peuvent également varier selon la taille
de l’organisation et la complexité du contrôle. Dans ces grandes entités généralement
caractérisées par un système de contrôle interne plus étoffé et par des processus métier

https://marketingebooks.tk/
74 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

plus complexes, une documentation plus abondante comprenant notamment des règles
et des manuels de procédure détaillés, des diagrammes de flux, des organigrammes et
des descriptions de poste, peut être jugée nécessaire. Souvent, dans les petites entités,
le besoin de constituer une documentation formelle est moins présent. Ces entités se
caractérisent généralement par des effectifs plus réduits, un nombre plus restreint de
niveaux hiérarchiques, des relations de travail plus étroites et des interactions plus
fréquentes ; autant de facteurs qui favorisent la communication des résultats attendus
et des réalisations. Par conséquent, le management des petites entités est souvent en
mesure de constater que les contrôles sont mis en place par observation directe.
181. La documentation relative au contrôle interne devrait répondre aux besoins opération
nels et être proportionnée aux circonstances. L’étendue de la documentation décrivant
la mise en place et le fonctionnement des principes et de chacune des composantes
du contrôle interne, ainsi que leur fonctionnement conjoint, est une affaire de juge
ment, et devrait être déterminée sans perdre de vue le rapport coût/efficience. En
outre, l’organisation pourrait tirer profit d’une documentation formelle qui permette
au management de réfléchir à la justification de ses jugements et à la conformité aux
objectifs de l’entité.

https://marketingebooks.tk/
https://marketingebooks.tk/
76 RÉFÉRENTIEL INTÉGRÉ DE CO NTRÔLE INTERNE

Principes relatifs à la composante « Environnement de contrôle »


1. L’organisation démontre son engagement en faveur de l’intégrité et des valeurs
éthiques.
2. Le conseil fait preuve d’indépendance vis-à-vis du management. Il surveille la mise en
place et le bon fonctionnement du système de contrôle interne.
3. Le management, agissant sous la surveillance du conseil, définit les structures, les rat-
tachements, ainsi que les pouvoirs et les responsabilités appropriés pour atteindre les
objectifs.
4. L’organisation démontre son engagement à attirer, former et fidéliser des personnes
compétentes conformément aux objectifs.
5. L’organisation instaure pour chacun un devoir de rendre compte de ses responsabi-
lités en matière de contrôle interne afin d’atteindre les objectifs.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 77

INTRODUCTION

ité
ns

g
in
io

Environnement de contrôle
m
rt
at

or
po
ér
183. L’environnement de contrôle

nf

Unité opérationnelle
Re
Op

Co
est influencé par différents

Fonction
facteurs internes et externes,
Environnement de contrôle
notamment l’histoire de l’en

Division
tité, ses valeurs, ses marchés
ainsi que le contexte concur Évaluation
Évaluation desdes risques
risques

Entité
rentiel et réglementaire. Il
est défini par les normes, les Activités
Activités de
de contrôle
contrôle
processus et les structures
qui guident chaque personne Information et communication
lorsqu’elle exerce ses respon
sabilités de contrôle interne et Pilotage
Pilotage
prend des décisions. Il établit
le cadre dans lequel s’insèrent
l’évaluation des risques susceptibles d’affecter la réalisation des objectifs, la mise en
œuvre des activités de contrôle, l’utilisation des systèmes d’information et de commu
nication, et la conduite des activités de pilotage.
184. Une organisation qui établit et maintient un environnement de contrôle solide crée les
conditions de sa résilience face aux contraintes internes et externes. Elle y parvient
grâce à des comportements cohérents avec les engagements pris en faveur de l’inté
grité et de valeurs éthiques, la mise en place de processus et de structures de surveil
lance adéquats, une organisation propice à la réalisation des objectifs associée à une
attribution appropriée des pouvoirs et des responsabilités, des compétences au niveau
approprié et un solide sens du devoir de rendre compte de l’atteinte des objectifs.
185. La culture de l’organisation soutient l’environnement de contrôle en établissant les
comportements attendus, notamment la nature de l’engagement en faveur de l’intégrité
et de valeurs éthiques, la surveillance, le devoir de rendre compte et l’évaluation des
performances. Mettre en place une culture robuste passe par exemple par la clarté et
la cohérence dans la communication et la mise en pratique des normes de conduite.
Dans ce contexte, la culture fait partie de l’environnement de contrôle d’une organi
sation, mais englobe également d’autres composantes du contrôle interne telles que
les politiques et les procédures, la disponibilité de l’information et la réactivité aux
résultats des activités de pilotage. La culture est donc influencée par l’environnement
de contrôle et par les autres composantes du contrôle interne, et vice versa.

https://marketingebooks.tk/
78 RÉFÉRENTIEL INTÉG RÉ DE CO NTRÔLE INTERNE

DÉMONTRER SON ENGAGEMENT EN FAVEUR DE L’INTÉGRITÉ


ET DES VALEURS ÉTHIQUES

Principe n° 1 : L’organisation démontre son engagement en faveur


de l’intégrité et des valeurs éthiques.

Points d’attention
186. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
faire preuve d’exemplarité : le conseil et le management, à tous les niveaux de
l’entité, démontrent à travers leurs instructions, leurs actes et leur comportement,
l’importance de l’intégrité et des valeurs éthiques pour le bon fonctionnement du
système de contrôle interne ;
établir les normes de conduite : les attentes du conseil et de la direction générale
quant à l’intégrité et aux valeurs éthiques sont définies dans les normes de conduite
et sont comprises à tous les niveaux de l’organisation, ainsi que par les prestataires
externes et autres partenaires ;
évaluer l’adhésion aux normes de conduite : les processus sont en place pour évaluer
la performance individuelle et collective au regard des normes de conduite définies ;
gérer les écarts en temps voulu : les écarts par rapport aux normes de conduite de
l’entité sont identifiés et résolus en temps voulu et de façon cohérente.

L’exemplarité déclinée à tous les niveaux de l’organisation


187. Le management et le conseil 28 doivent donner l’exemple en incarnant des valeurs, une
philosophie et un style de management au sein de l’organisation. Ils tiennent compte
des attentes des différentes parties prenantes telles que les collaborateurs, les fournis
seurs, les clients, les investisseurs et la communauté dans son ensemble. De surcroît,
ils sont influencés par les normes sociales et éthiques prévalant sur les marchés dans
lesquels l’entité exerce. Outre le fait qu’ils favorisent la compréhension et l’adhésion
aux exigences légales et réglementaires, le management et le conseil prennent des
mesures spécifiques pour faire preuve d’exemplarité en termes de conduite morale,

28. Le terme « conseil » employé dans le Référentiel désigne l’organe de gouvernance, notamment les adminis
trateurs, les fiduciaires, les associés commandités, les actionnaires ou le Conseil de surveillance.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 79

sociale, environnementale ou concernant tout autre type de conduite responsable,

Environnement de contrôle 
comme la publication d’informations sur les émissions de gaz à effet de serre, les
processus de production compatibles avec un développement durable ou le soutien aux
victimes de catastrophes naturelles. Les attentes qui en découlent sont exprimées plus
ou moins formellement dans des :
déclarations de mission et de valeurs ;
normes ou codes de conduite ;
politiques et modalités pratiques ;
principes opérationnels ;
instructions, lignes directrices et autres documents apparentés ;
actions et décisions du conseil et des différents niveaux de management ;
attitudes et réponses aux écarts par rapport aux normes de conduite attendues ;
actions informelles et quotidiennes de communication des responsables à tous les
niveaux de l’entité.
188. Ces éléments reflètent les attentes en matière d’intégrité et de valeurs éthiques, leur
degré d’intégration dans les décisions prises à tous les niveaux de l’organisation, par
les prestataires externes et les autres partenaires (par exemple, dans le cadre de parte
nariats de type joint ventures ou d’alliances stratégiques). Ils articulent et renforcent
l’engagement de faire ce qui est juste, et pas seulement ce qui est conforme aux lois
et aux réglementations, de façon à ce que ces priorités soient comprises et appliquées
dans l’ensemble de l’organisation. Leur niveau d’application attendu, et pas seulement
de communication, par le conseil, la direction générale et tous les autres niveaux d’en
cadrement, caractérise l’exemplarité déclinée dans l’ensemble de l’organisation.
189. Cette exemplarité dépend également du style de management et de la conduite per
sonnelle du management et des membres du conseil, de leur attitude et de leurs prises
de position face aux risques, qui peuvent être prudentes ou offensives (concernant par
exemple les estimations et les orientations des politiques), et du degré de formalisme
(les contrôles peuvent par exemple être plus informels dans une organisation fami
liale). Tous ces éléments envoient des signaux à l’organisation. La propension à être
indiscret, la manière de réagir aux mauvaises nouvelles ou des pratiques de rému
nération déséquilibrées peuvent affecter la culture et, in fine, favoriser une conduite
inappropriée. En revanche, un historique de comportements éthiques et responsables
de la part du management et des membres du conseil et une volonté manifeste de
résoudre les écarts de conduite sont des messages forts en faveur de l’intégrité. Les
collaborateurs seront enclins à adopter la même attitude que celle qui leur est montrée
en exemple par le management sur ce qui est acceptable ou non en fonction des risques

https://marketingebooks.tk/
80 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

et des contrôles existants. La conduite individuelle est souvent influencée par le fait
de savoir que le directeur général s’est comporté de façon éthique lors d’une décision
professionnelle ou personnelle difficile, et que tous les managers ont pris rapidement
des mesures pour gérer une conduite inappropriée.
190. Un sens partagé de l’exemplarité, décliné depuis le conseil et la direction générale
jusqu’aux unités opérationnelles, permet d’insuffler une compréhension commune des
valeurs, des leviers d’action et du comportement attendu de tous les collaborateurs
et partenaires de l’organisation. Ceci englobe les différentes strates et divisions et
est parfois dénommé « l’exemplarité du management intermédiaire » (« Tone in the
middle ») dans les grandes organisations. Cette cohérence contribue à la cohésion de
l’organisation vers l’atteinte de ses objectifs. Différents facteurs peuvent menacer cette
cohérence. Par exemple, l’exercice d’activités dans différents marchés peut imposer
des approches incitatives variées, des évaluations plus ou moins poussées des fournis
seurs et différents niveaux de services à la clientèle, et la manière dont le management
traite ces facteurs peut créer différents niveaux d’exemplarité au sein de l’organisa
tion. Bien que les messages du management sur ce qui est acceptable et ce qui ne l’est
pas puissent varier en fonction des enjeux spécifiques à ces différents niveaux, il reste
que plus ils sont cohérents en matière d’exemplarité, plus l’exercice des responsabilités
de contrôle interne sera homogène pour la réalisation des objectifs de l’entité.
191. Dans certains cas, l’exemplarité dont fait preuve le directeur général peut avoir des
conséquences involontaires. Prenons l’exemple d’une équipe de management qui
n’hésite pas à modifier les conditions contractuelles habituelles de l’entité pour être
compétitive dans son environnement économique local. Les modifications de ce type
peuvent paraître positives pour répondre aux besoins des clients et générer du chiffre
d’affaires – par exemple en raccourcissant les délais d’obtention des produits par les
clients – mais elles peuvent nuire à la réalisation d’autres objectifs comme le respect
des normes de sécurité des produits et des quotas, et le respect des pratiques commer
ciales équitables ou d’autres exigences réglementaires. Des lignes directrices et des
instructions claires émanant de la direction générale, reprises aux différents niveaux
du management, facilitent la réalisation des objectifs de l’entité.
192. L’exemplarité du management et sa déclinaison dans l’ensemble de l’organisation
sont essentielles au fonctionnement du système de contrôle interne. À défaut d’exem
plarité en appui d’une solide culture de contrôle interne, la sensibilisation au risque
peut être amoindrie, les traitements des risques inappropriés, les activités de contrôle
mal définies ou non suivies, les informations et la communication insuffisantes et les
retours d’informations sur les activités de pilotage ne pas être entendus ou rester sans
effets. L’exemple donné peut donc constituer un levier ou un frein pour le contrôle
interne.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 81

Normes de conduite

Environnement de contrôle 
193. Les normes de conduite guident les comportements, les activités et les décisions qui
permettent la réalisation des objectifs de l’organisation :
déterminant ce qui est approprié ou inapproprié ;
donnant des lignes directrices pour les situations ambiguës, en prenant en compte
les risques correspondants ;
intégrant les lois, règlements et autres normes applicables, ainsi que les attentes éven
tuelles des parties prenantes de l’organisation telles que sa responsabilité sociale.
194. Les attentes, les normes et les pratiques communément admises en matière d’éthique
peuvent varier d’un pays à l’autre. Le management et le conseil – ou l’organe de sur
veillance équivalent – établissent les normes et les dispositifs permettant à l’orga
nisation de comprendre et d’adopter des comportements appropriés, et de définir le
processus et les ressources pour interpréter et gérer les écarts potentiels. Ces attentes
se traduisent par une charte ou un code de conduite.
195. L’organisation manifeste son engagement en faveur de l’intégrité et de valeurs éthiques
en appliquant les normes de conduite et en se posant systématiquement les bonnes ques
tions, en particulier lorsque des décisions difficiles doivent être prises, par exemple :
« Cette décision enfreint-e lle les normes de conduite de l’organisation ? », « Est-elle
légale ? », « Souhaitons-nous que nos actionnaires, clients, régulateurs, fournisseurs
ou autres parties prenantes en soient informés ? », « Donneraitelle une image indivi
duelle ou collective négative ? ».
196. L’intégrité et les valeurs éthiques sont des messages fondamentaux faisant partie de la
communication et de la formation. Par exemple, une organisation qui reçoit régulière
ment la distinction de « meilleur employeur » et affiche un taux élevé de fidélisation
de ses collaborateurs dispense généralement des formations sur les valeurs éthiques et
la culture de l’organisation avec le soutien de la direction générale et du conseil. Les
sessions de formation ont une fréquence trimestrielle ou semestrielle selon le nombre
de collaborateurs recrutés. Au cours de ces formations, les collaborateurs apprennent
comment l’environnement éthique a été renforcé au sein de l’organisation. Par ail
leurs, des exemples sont donnés sur la façon dont l’intégrité et les valeurs éthiques ont
contribué à identifier et à résoudre des problèmes, et sur l’importance de signaler les
sujets de préoccupation.
197. Les normes de conduite de l’organisation sont régulièrement communiquées et renfor
cées non seulement à tous les niveaux de l’organisation, mais également auprès des pres
tataires externes. Par exemple, la mise en œuvre du contrôle interne relatif au respect
des normes de sécurité des produits s’étend au-delà de l’entité et englobe les alliances

https://marketingebooks.tk/
82 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

stratégiques, notamment dans le cas de partenariats de type joint ventures, les fournis
seurs, les distributeurs et autres prestataires externes, quelle que soit leur localisation.
198. Le management conserve la responsabilité ultime des activités qu’il délègue à des
prestataires externes au moyen d’accords légaux ou contractuels. Les facteurs pouvant
influencer l’étendue des communications, de la surveillance et des autres activités
permettant de s’assurer que les prestataires externes et autres partenaires respectent
les normes de conduite de l’entité comprennent :
la nature des services externalisés ;
le degré d’alignement entre les normes de conduite du prestataire externe et celles
de l’entité ;
la qualité et la fréquence avec lesquelles le prestataire rappelle à ses salariés l’im
portance des normes de conduite et en surveille le respect ;
l’envergure et la complexité des circuits logistiques de l’entité et de son modèle
économique.
199. Un comportement inapproprié de la part des prestataires externes ou d’autres parte
naires peut donner une image négative de la direction générale, affecter l’entité en
portant préjudice à ses clients, à ses parties prenantes ou à sa réputation, et nécessiter
de prendre des mesures correctives coûteuses. De ce fait, le management conserve
la responsabilité de la performance des processus qu’il a délégués à des prestataires
externes ou à d’autres partenaires.

Respect des règles et traitement des écarts


200. Les normes de conduite établies constituent le cadre de référence de l’évaluation du
respect de l’intégrité et des valeurs éthiques dans l’ensemble de l’organisation et par ses
prestataires externes. Elles sont communiquées à travers des politiques et des modalités
pratiques définies par l’organisation, ainsi que par les contrats de travail ou de services.
Certaines organisations imposent un engagement formel sur le respect de ces normes.
Pour s’assurer que ces normes sont effectivement appliquées, le management ou un tiers
indépendant évalue les actions, les décisions et les attitudes de chacun.
201. Le non-respect des normes de conduite est souvent imputable à des situations comme
celles-c i :
une exemplarité du management qui n’est pas en ligne avec les attentes en matière
de respect des normes ;
un conseil qui ne fait pas preuve d’impartialité pour juger du respect des normes de
conduite par la direction générale ;
une décentralisation importante sans surveillance adéquate, qui ne permet pas à la
direction générale d’apprécier les actions à tous les niveaux de l’organisation ;

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 83

des pressions exercées par des supérieurs hiérarchiques, des collègues ou des par

Environnement de contrôle 
ties externes pour contourner les règles ou agir de façon illégale ou frauduleuse ;
desobjectifs de performance qui favorisent ou créent des pressions entraînant des
comportements non éthiques ;
descanaux de communication inadaptés pour que les collaborateurs puissent for
muler des questions ou faire part de leurs préoccupations en toute sécurité ;
une absence d’action face à des contrôles inexistants ou inefficaces qui permettent
de dissimuler de mauvais résultats ;
un processus inadapté d’identification et de résolution d’une conduite inappropriée ;
un audit interne inefficace qui n’est pas à même de détecter ou de signaler une
conduite inappropriée ;
dessanctions pour conduite inappropriée qui sont incohérentes, trop faibles ou non
connues et perdent ainsi leur caractère dissuasif.
202. Par exemple, les normes de conduite peuvent interdire des pratiques pouvant être
perçues comme une entente sur les prix. Dans ce cas, l’organisation doit mettre en
place des dispositifs favorisant l’application de ces normes, tels que des opérations de
sensibilisation et de formation, un suivi des prix de marché afin d’identifier les pro
blèmes potentiels, et d’autres mesures pour prévenir ou détecter un écart par rapport
aux normes de conduite de l’organisation. L’organisation communique les niveaux et
les écarts tolérés. Selon l’importance de l’impact sur l’organisation, la sévérité des
mesures correctives peut varier mais est appliquée de façon cohérente dans l’ensemble
de son périmètre. Les évaluations du respect des normes de conduite au niveau indi
viduel et collectif font partie d’un processus systématique d’escalade et de résolution
des exceptions. Le processus requiert que le management :
définisse un ensemble d’indicateurs (par exemple, statistiques sur les formations sui
vies, résultats des activités de pilotage, violation de la confidentialité, collusion avec
d’autres acteurs de marché, cas de harcèlement) afin d’identifier les problèmes et les
tendances liés aux normes de conduite, notamment chez ses prestataires externes. Ces
indicateurs sont revus périodiquement et affinés si nécessaire afin de contribuer à la
détection rapide des problèmes potentiels ou avant même qu’ils ne se reproduisent ;
mette en place des procédures continues et périodiques de conformité afin de s’as
surer que les attentes et les exigences sont satisfaites tant en interne que par les
prestataires externes ;
identifie,analyse et signale à la direction générale et au conseil les problèmes et les
tendances. Les mécanismes d’identification des problèmes peuvent s’appuyer sur
la voie hiérarchique, la fonction ressources humaines et des dispositifs d’alerte. Le

https://marketingebooks.tk/
84 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

plus souvent, l’analyse causale et l’identification des mesures correctives requises


nécessiteront l’appui d’une équipe pluridisciplinaire ;
s’engage en faveur de l’intégrité et des valeurs éthiques lors des revues de perfor
mance et de prises de décisions concernant les rémunérations et les promotions ;
centralisele traitement des déclarations de soupçons et les fasse évaluer en toute
indépendance ;
ait défini et applique des protocoles de conduite et de documentation des investigations ;
effectue un suivi de la mise en œuvre des mesures correctives de manière à résoudre
des problèmes en temps voulu et de façon cohérente ;
procède périodiquement à des revues analytiques et à l’analyse causale des pro
blèmes. Les résultats pourront parfois nécessiter de modifier les règles, les commu
nications, les formations et les contrôles.
203. Les évaluations peuvent être réalisées dans le cadre d’un processus continu par le
management et/ou par un tiers indépendant. Chacun peut également identifier et
signaler des irrégularités par des voies de communication informelles ou formelles
telles qu’un dispositif d’alerte, une hotline déontologique, des processus de remontées
d’information à la hiérarchie et des réunions régulières.
204. Les écarts par rapport aux normes de conduite sont gérés en temps voulu et de façon
cohérente. Le management pourra prendre des mesures différentes en fonction de la
sévérité de l’écart tel qu’il ressortira des résultats des évaluations – il pourra égale
ment avoir à tenir compte des réglementations locales – mais les normes auxquelles
il demande aux collaborateurs de se conformer resteront les mêmes. Par exemple, en
fonction de la sévérité, le collaborateur pourra faire l’objet d’un avertissement associé
à l’obligation de suivre une formation, être mis à l’épreuve, ou licencié.

RÉALISER UNE SURVEILLANCE EFFECTIVE


Principe n° 2 : Le conseil fait preuve d’indépendance vis-à-vis du
management. Il surveille la mise en place et le bon fonctionnement
du système de contrôle interne.

Points d’attention
205. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
établirles responsabilités de surveillance : le conseil appréhende et accepte ses res
ponsabilités de surveillance dans le cadre des exigences et des attentes définies ;

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 85

mettre en œuvre l’expertise requise : le conseil définit, maintient et évalue pério

Environnement de contrôle 
diquement les compétences et l’expertise requises parmi ses membres pour leur
permettre de poser des questions pertinentes à la direction générale et de suivre les
actions qui s’imposent ;
agir en toute indépendance : le conseil compte suffisamment de membres indé
pendants du management et agissant objectivement dans leurs évaluations et leurs
prises de décisions ;
assurer la surveillance du système de contrôle interne : le conseil a la responsabi
lité de la surveillance concernant la conception, la mise en œuvre et le pilotage du
contrôle interne par le management.
– Environnement de contrôle : établir les attentes en matière d’intégrité et de valeurs
éthiques, d’instances de surveillance, de pouvoirs et responsabilités ainsi que les
attentes concernant les compétences et le devoir de rendre compte au conseil ;
– évaluation des risques : surveiller l’évaluation faite par le management des risques
susceptibles d’affecter la réalisation des objectifs, notamment l’impact potentiel
de changements significatifs, de fraudes et du contournement par le management
des principes de contrôle interne ;
– activités de contrôle : surveiller les actions de la direction générale pour s’assurer
de la mise en place et du bon fonctionnement des activités de contrôle ;
– information et communication : analyser et discuter des informations sur la réali
sation des objectifs de l’entité ;
– pilotage : apprécier et surveiller la nature et le périmètre des activités de pilotage
ainsi que l’évaluation par le management des déficiences et les mesures prises
pour y remédier.

Pouvoirs et responsabilités
206. Le conseil d’administration ou l’organe de surveillance équivalent (le « conseil ») a
une bonne compréhension des activités de l’organisation et des attentes des parties
prenantes, notamment des clients, des collaborateurs, des investisseurs et du grand
public, ainsi que des exigences légales et réglementaires et des risques correspon
dants. Ces attentes et ces exigences contribuent à la définition des objectifs de l’orga
nisation, des responsabilités de surveillance du conseil et des ressources nécessaires.
207. Le conseil a le pouvoir d’embaucher et, si nécessaire, de licencier le directeur géné
ral ou le responsable équivalent, et d’établir un plan de succession le concernant. Ce
dernier est chargé de la mise en œuvre globale de la stratégie de l’entité, de la réali
sation des objectifs et de l’efficacité du système de contrôle interne. Le conseil a pour

https://marketingebooks.tk/
86 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

responsabilité de surveiller les actions du management et de lui adresser une critique


constructive.
208. Selon la juridiction concernée, les instances de surveillance sont facultatives ou
répondent à une exigence légale, réglementaire ou normative telle que la réglemen
tation des marchés financiers. Les exigences peuvent être différentes pour les entre
prises privées, les organismes à but non lucratif ou les autres types d’entités. Pour les
sociétés cotées, dans de nombreuses juridictions, le conseil doit compter des comités
spécialisés tels que :
des comités de nomination/gouvernance afin de diriger la sélection des administra
teurs et de surveiller l’évaluation de la direction générale et du conseil ;
des comités de rémunération afin de surveiller les politiques et les modalités pra
tiques de rémunération de la direction générale, prenant en compte la motivation des
comportements exemplaires, l’équilibre des mesures d’incitation liées aux perfor
mances à court et à long terme, le lien entre performance et objectifs stratégiques et
la prise en compte des risques dans la rémunération ;
des comités d’audit afin de surveiller le contrôle interne relatif au reporting finan
cier et à l’intégrité et la transparence du reporting externe ;
d’autres comités du conseil chargés de questions spécifiques qui sont essentielles
à la réalisation des objectifs de l’entité (par exemple des comités des risques dans
des établissements financiers, ou des comités de conformité dans des sociétés
pharmaceutiques).
209. La surveillance exercée par le conseil s’appuie sur des structures et des processus
dont la mise en œuvre opérationnelle est assurée par le management. Par exemple, les
comités peuvent se concentrer sur des thèmes tels que les systèmes d’information, les
produits et les services, les processus ou d’autres aspects de l’activité nécessitant une
attention particulière. Le management analyse en continu les risques découlant des
évolutions de l’environnement opérationnel (par exemple l’émergence de nouvelles
technologies, le durcissement des exigences réglementaires et l’évolution du modèle
économique) et en tire les conséquences sur le système de contrôle interne.
210. Si le conseil conserve la responsabilité de la surveillance, la direction générale est
directement responsable du développement et de la mise en œuvre du système de
contrôle interne. Selon le type d’organisation et sa stratégie, sa structure et ses objec
tifs, les unités opérationnelles peuvent être plus ou moins autonomes dans la concep
tion des processus et des structures de contrôle interne. Par exemple, une organisation
mettra en place un progiciel de gestion intégré (ERP) qui standardisera les principaux
processus et contrôles ; une autre en revanche laissera chaque division déterminer et
mettre en place ceux qui conviendront le mieux à ses activités.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 87

Indépendance et expertise

Environnement de contrôle 
211. Le conseil est indépendant du management, possède les compétences et l’exper
tise requises pour assurer ses responsabilités de surveillance. L’objectivité de ses
membres, ses activités, sa réputation et ses décisions sont les éléments témoignant
de l’indépendance du conseil. Une société cotée est généralement tenue d’avoir une
majorité d’administrateurs indépendants n’ayant pas de relations professionnelles
ou personnelles directes ou récentes avec l’entité (dans certaines juridictions, cette
obligation concerne également tous les membres de certains comités du conseil tels
que le comité d’audit). L’indépendance et l’expertise requises concernent également
les différents mandats détenus par chaque administrateur afin de limiter les biais
ou les conflits d’intérêts qui pourraient découler de mandats détenus dans d’autres
organisations.
212. Il est indispensable que le conseil compte des administrateurs indépendants parce
qu’il doit être constamment vigilant et disposé à examiner soigneusement les activités
du management, à présenter un autre point de vue et à avoir le courage de réagir face à
des agissements incorrects ou supposés l’être. Même si les dirigeants et les collabora
teurs ont une connaissance approfondie de l’entité, des administrateurs indépendants
possédant l’expertise requise apportent leur impartialité, un scepticisme de bon aloi et
une appréciation objective.
213. Il peut être onéreux ou difficile pour certaines entités privées, les entités à but non
lucratif ou d’autres types d’entités, d’attirer des administrateurs indépendants com
pétents. Il appartient à ces organisations, en fonction de leurs obligations (certaines
organisations ne sont pas tenues d’avoir un conseil), de déterminer les qualités pro
fessionnelles et personnelles attendues des candidats (par exemple une compréhen
sion des points de vue des parties prenantes, une sensibilité au contrôle interne) et
de constituer un conseil avec des membres possédant ces qualités. Les rares entités
qui ne sont pas en mesure de mettre en place un conseil indépendant doivent en avoir
conscience et attester de la mise en place d’autres processus et contrôles qui aboutiront
à une surveillance adéquate.
214. La composition du conseil est déterminée à la lumière de la mission, des valeurs et des
différents objectifs de l’entité, ainsi que des compétences et de l’expertise nécessaires
à la surveillance, l’examen et l’évaluation de la direction générale de la façon la plus
appropriée. Le nombre d’administrateurs est déterminé pour favoriser la remise en
question constructive, le dialogue et la prise de décision. Les capacités attendues de
tous les administrateurs englobent l’intégrité et les points de vue éthiques, le leader
ship, le sens critique et l’aptitude à la résolution de problèmes. En outre, le conseil
devrait posséder des compétences et des expertises plus spécialisées qui se recoupent

https://marketingebooks.tk/
88 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

suffisamment pour favoriser les discussions et les délibérations, par exemple dans les
domaines suivants :
sensibilitéau contrôle interne (scepticisme professionnel, points de vue sur les
approches d’identification et de traitement des risques, évaluation de l’efficacité du
système de contrôle interne) ;
connaissances du marché et de l’entité (connaissance des produits et des services, de
la chaîne de valeur, de la clientèle, des concurrents) ;
expertise en comptabilité et en finance, notamment en matière de reporting (normes
comptables, obligations en matière de reporting financier) ;
expertise légale et réglementaire (compréhension des lois, règlements et normes en
vigueur) ;
aspects sociaux et environnementaux (compréhension des attentes sociales et
environnementales) ;
mesures d’incitation et rémunération (connaissances des niveaux et des pratiques de
rémunération dans le secteur) ;
systèmes et technologies (compréhension des systèmes critiques, des enjeux et des
opportunités technologiques).
215. L’expertise et l’indépendance du conseil sont régulièrement évaluées à la lumière de
l’évolution des besoins de l’entité. Au cas par cas, les administrateurs suivent les for
mations nécessaires à l’actualisation de leurs compétences et de leur expertise.

Surveillance exercée par le conseil


216. Le tableau ci-après décrit comment pourrait se traduire, au travers des cinq compo
santes du Référentiel, l’activité du conseil en matière de surveillance de la mise en
place et du bon fonctionnement du système de contrôle interne.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 89

Composante
Activités de surveillance du conseil
du contrôle interne

Environnement de contrôle
Environnement Surveiller la définition des normes de conduite de l’organisation et les appliquer.
de contrôle Déterminer les attentes en matière de performance du directeur général ou du respon-
sable équivalent et les évaluer.
Établir des structures et des processus de surveillance (par exemple le conseil et, le
cas échéant, les comités spécialisés dotés des compétences et de l’expertise requises)
alignés sur les objectifs de l’entité.
Prévoir des revues de l’efficacité des travaux du conseil et traiter les opportunités
d’amélioration.
Exercer des responsabilités fiduciaires envers les actionnaires, les investisseurs et
exercer une surveillance rigoureuse (par exemple, préparation et participation aux
réunions, revue des états financiers et autres informations de l’entité).
Exercer une critique constructive à l’égard de la direction générale en posant des questions
pertinentes sur les projets et la performance de l’entité, en demandant, le cas échéant, un
suivi et la mise en œuvre de mesures correctives (par exemple, poser des questions sur les
transactions récurrentes à la fin des périodes de reporting intermédiaires ou annuelles).
Évaluation Tenir compte des facteurs internes et externes qui menacent de façon significative la
des risques réalisation des objectifs, identifier les problématiques et les tendances (par exemple les
conséquences des activités opérationnelles en termes de développement durable).
Exercer une critique constructive à l’égard du management concernant son évalua-
tion des risques menaçant la réalisation des objectifs, notamment l’impact potentiel
de changements significatifs (par exemple les risques liés à l’entrée sur un nouveau
marché), la fraude ou la corruption.
Évaluer la proactivité de l’organisation en matière d’évaluation des risques associés aux
innovations et aux évolutions, comme celles générées par les nouvelles technologies ou
les bouleversements géopolitiques et économiques.
Activités de contrôle S’enquérir spécifiquement auprès du management de la sélection, du développement
et du déploiement des activités de contrôle concernant les risques significatifs et, le
cas échéant, des mesures correctives (par exemple, en réponse aux risques émergents
significatifs découlant de facteurs internes ou externes).
Surveiller les activités de contrôle de la direction générale.
Information Communiquer sur les orientations données par le conseil et être exemplaire.
et communication Obtenir, analyser et discuter des informations relatives à la réalisation des objectifs de
l’entité.
Examiner les informations fournies et proposer des points de vue alternatifs.
Revoir l’exhaustivité, la pertinence et l’exactitude des informations destinées aux
parties prenantes externes.
Prévoir les processus pour la remontée des problèmes et traiter ces problèmes.
Pilotage Évaluer et surveiller la nature et le périmètre des activités de pilotage, les éventuels
contournements du dispositif par le management, l’évaluation et les mesures prises par
le management pour remédier aux déficiences.
Évaluer l’intégrité et les valeurs éthiques de la direction générale.
Évaluer, en collaboration avec le management, les auditeurs internes et les auditeurs
externes et, si nécessaire, les tiers, le degré de sensibilisation à la stratégie, aux objectifs,
aux risques et à leurs implications en matière de contrôle compte tenu des évolutions opéra-
tionnelles, des changements dans les infrastructures, la réglementation et d’autres facteurs.

https://marketingebooks.tk/
90 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

217. Les obligations de transparence mettent l’accent à la fois sur le devoir de rendre
compte de la direction générale et sur celle du conseil. Les informations à présenter et
les attentes peuvent être différentes selon les juridictions, les secteurs ou pour d’autres
raisons. Le conseil s’assure que ces besoins sont compris et que des réponses y sont
apportées. Le reporting au conseil est effectué à intervalle régulier et, si nécessaire,
de manière ad hoc afin d’aider le conseil à surveiller les problématiques inhérentes au
système de contrôle interne.

DÉFINIR DES STRUCTURES, DES POUVOIRS


ET DES RESPONSABILITÉS

Principe n° 3 : Le management, agissant sous la surveillance


du conseil, définit les structures, les rattachements, ainsi que les
pouvoirs et les responsabilités appropriés pour atteindre les objectifs.

Points d’attention
218. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
prendre en compte l’ensemble des structures de l’entité : le management et le conseil
prennent en compte la complexité des structures organisationnelles (unités opéra
tionnelles, entités juridiques, distribution géographique et prestataires externes) qui
contribuent à la réalisation des objectifs ;
établir les rattachements : le management définit et évalue les rattachements pour
chaque structure de l’entité afin de favoriser l’exercice des pouvoirs et des respon
sabilités et le flux d’informations nécessaires à la gestion des activités de l’entité ;
définir, assigner et délimiter les pouvoirs et les responsabilités : le management et
le conseil délèguent les pouvoirs, définissent les responsabilités, utilisent des pro
cessus et des systèmes d’information appropriés pour assigner les responsabilités
et séparer les tâches comme il convient aux différents niveaux de l’organisation :
– le conseil : détient en dernier ressort le pouvoir de procéder à des décisions et des
révisions significatives concernant l’établissement et la délimitation des pouvoirs
et des responsabilités du management,
– la direction générale : définit les instructions, les lignes directrices et les contrôles
afin de permettre au management et aux collaborateurs de comprendre et d’exercer
leurs responsabilités de contrôle interne,

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 91

– le management : guide et facilite l’exécution des instructions de la direction géné

Environnement de contrôle 
rale au sein de l’entité et de ses unités,
– les collaborateurs : comprennent les normes de conduite de l’entité, les risques
susceptibles d’affecter la réalisation des objectifs de l’entité et les activités de
contrôle associées à leurs niveaux respectifs, les flux de communication et d’in
formation attendus, et les activités de pilotage utiles pour la réalisation des objec
tifs,
– les prestataires externes : adhèrent à la définition par le management de l’étendue
de leurs pouvoirs et responsabilités.

Structures organisationnelles et rattachements


219. La direction générale et le conseil définissent la structure organisationnelle et les rat
tachements nécessaires pour planifier, exécuter, contrôler et évaluer périodiquement
les activités de l’entité – autrement dit, pour l’exercice de leurs responsabilités de sur
veillance. Ils sont soutenus par des processus et des systèmes d’information délimitant
clairement les responsabilités et les flux d’informations dans l’ensemble de l’entité et
de ses unités.
220. Les structures des entités peuvent être très variées. En particulier :
le modèle organisationnel peut être établi par lignes de produits ou de services
afin de favoriser le développement de nouveaux produits et services, d’optimiser
les activités de marketing, de rationaliser la production, d’améliorer le service à la
clientèle ou d’autres aspects opérationnels ;
les structures juridiques des entités sont souvent conçues pour gérer les risques opé
rationnels, créer des structures fiscales favorables et donner des pouvoirs suffisants
aux managers d’opérations à l’étranger ;
d’autres subdivisions ou consolidations de résultats peuvent être basées sur des
zones géographiques ;
dans le cadre de la réalisation de leurs objectifs, les entités entretiennent également
des relations avec des prestataires externes, ce qui crée des structures et des ratta
chements supplémentaires.
221. Chacun de ces prismes peut produire une évaluation différente du système de contrôle
interne. Si l’agrégation des risques liés à un prisme peut ne révéler aucun problème,
une autre perspective peut indiquer un risque de concentration lié à certains types de
clients, une dépendance excessive envers un fournisseur ou d’autres points faibles.
La responsabilisation et le devoir de rendre compte à chaque niveau d’agrégation per
mettent de réaliser ce type de revue et d’analyse multidimensionnelles.

https://marketingebooks.tk/
92 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

222. Les structures organisationnelles changent parallèlement à l’évolution de la nature


de l’activité. En conséquence, le management revoit et réévalue la pertinence, l’effi
cacité et l’efficience des structures à l’appui du système de contrôle interne. Prenons
l’exemple d’une banque qui communique sur ses performances et l’efficacité de son
contrôle interne par entité juridique, unité opérationnelle ou zone géographique. Si
elle ne revoit pas régulièrement son mode de reporting pour vérifier qu’il correspond
à son modèle économique, elle peut ne pas détecter l’émergence de certains risques,
l’absence de contrôles appropriés et le manque de pertinence de son reporting.
223. Pour chaque type de structure qu’il pilote (par zone géographique, secteur opération
nel, structure de l’entité juridique, etc.), le management définit et évalue les ratta
chements de façon à ce que les responsabilités soient assumées et les informations
diffusées selon les besoins. Il vérifie également qu’il n’existe pas de conflit d’inté
rêts dans l’exercice des responsabilités dans l’ensemble de l’organisation et avec ses
prestataires externes. Les facteurs à prendre en compte lors de la détermination et de
l’évaluation des structures organisationnelles sont notamment :
la nature, la taille et la répartition géographique des activités de l’entité ;
les risques liés aux objectifs de l’entité et à ses processus métier, qui peuvent être
réalisés en interne ou externalisés, et les interconnexions avec les prestataires
externes et les autres partenaires ;
la nature de la répartition des pouvoirs et des responsabilités entre la direction générale,
le management des unités opérationnelles, les fonctions et les zones géographiques ;
la définition des rattachements (par exemple hiérarchiques ou fonctionnels) et des
canaux de communication ;
les exigences des différentes juridictions en matière de reporting financier, fiscal,
réglementaire ou autre.
224. Quelle que soit la structure organisationnelle, les définitions et l’attribution des pou
voirs et des responsabilités, les rattachements et les voies de communication doivent
être clairs pour permettre la réalisation du devoir de rendre compte des unités opé
rationnelles et des fonctions. Par exemple, il appartient au conseil de déterminer qui
doit disposer d’un accès informel pour faciliter la communication ouverte de toutes les
problématiques importantes aux administrateurs. De même, les rattachements hiérar
chiques et fonctionnels sont à définir à tous les niveaux de l’organisation.
225. Sous la surveillance du conseil, les responsabilités peuvent généralement être classées
dans l’une des trois lignes de défense de l’entité qui la protègent de la non-r éalisation
de ses objectifs :
le management et les collaborateurs aux avant-postes représentent la première ligne
de défense au niveau des activités quotidiennes. Ils sont responsables de l’efficacité

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 93

du contrôle interne au quotidien, et sont rémunérés en fonction des performances

Environnement de contrôle 
liées à tous les objectifs retenus ;
les fonctions support donnent des lignes directrices sur les exigences concernant
le contrôle interne et évaluent le respect des normes définies ; bien qu’elles soient
structurées en fonction des besoins des métiers, leur rémunération n’est pas directe
ment liée aux performances du domaine qui bénéficie de leur expertise ;
les auditeurs internes représentent la troisième ligne de défense. Ils évaluent le
contrôle interne et en rendent compte et, le cas échéant, recommandent au mana
gement des actions correctives ou des améliorations à mettre en œuvre ; leur rat
tachement et leur rémunération relèvent d’une autorité distincte des domaines
opérationnels qu’ils examinent.
226. Des évaluations périodiques des structures existantes, par rapport aux objectifs de
l’entité, permettent de rester alignés avec les nouvelles priorités (par exemple les nou
velles réglementations), et de rationaliser (par exemple alléger des fonctions ou des
unités opérationnelles) afin d’obtenir une perspective plus exhaustive et mieux inté
grée du contrôle interne.

Pouvoirs et responsabilités
227. Le conseil délègue les pouvoirs, définit et assigne les responsabilités à la direction
générale. Celle- c i délègue à son tour des pouvoirs, définit et assigne les responsabili
tés pour l’ensemble de l’entité et de ses unités. Les pouvoirs et les responsabilités sont
délégués en fonction des compétences prouvées et les rôles sont définis en fonction de
la responsabilité ou de la nécessité d’être informé des décisions. Afin de réaliser les
objectifs ou de gérer les problèmes, le conseil et/ou la direction générale délimitent
les autorisations de pouvoir et les marges de manœuvre individuelles ou collectives.
228. Les principaux rôles et responsabilités assignés dans l’ensemble de l’organisation
concernent généralement les éléments suivants :
le conseil se tient informé pour être en mesure de donner des orientations concer
nant les décisions significatives. Le cas échéant, il formule des critiques construc
tives à la direction générale ;
la direction générale est in fine responsable envers le conseil et les autres parties
prenantes de l’élaboration des instructions, des lignes directrices, et des contrôles
permettant au management et aux collaborateurs de comprendre et d’exercer leurs
responsabilités ;
le management, qui compte l’encadrement et les décideurs, applique les instructions
de la direction générale au sein de l’entité et de ses unités ;

https://marketingebooks.tk/
94 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

les collaborateurs doivent comprendre les normes de conduite de l’entité, les objec
tifs liés à leur domaine de responsabilités, les risques menaçant l’atteinte de ces
objectifs, les activités de contrôle à leur niveau, les flux d’information et de commu
nication, et les activités de pilotage utiles pour atteindre les objectifs ;
le management et les collaborateurs assument la responsabilité directe des pro
cessus externalisés exécutés par des prestataires externes. Ceuxci reçoivent des
clauses contractuelles claires et concises sur les objectifs de l’entité et les attentes
concernant leur conduite et leurs performances, leur niveau de compétence, le flux
attendu d’information et de communication. Ils peuvent exécuter les processus
métier conjointement avec le management ou pour son compte, ce dernier restant
responsable du contrôle interne.
229. Les organisations délèguent au management et aux collaborateurs les pouvoirs et les
responsabilités qui leur permettent de prendre des décisions conformes aux instruc
tions en vue de la réalisation des objectifs de l’entité. Une organisation peut définir ou
revoir ses structures en allégeant les strates de management, et accroître la délégation
des pouvoirs ou des responsabilités, ou conclure des partenariats avec d’autres orga
nisations. Par exemple, une organisation commerciale peut autoriser ses managers
à accorder des remises plus importantes afin d’accroître la part de marché. Toute
fois, les pouvoirs ne sont délégués et les responsabilités ne sont assignées qu’à ceux
qui s’avèrent compétents pour prendre les décisions adéquates, respecter en perma
nence les normes de conduite, les règles et les procédures de l’entité, et comprendre les
conséquences des risques qu’ils prennent.
230. La délégation de pouvoirs accroît l’agilité, mais augmente également la complexité
des risques devant être gérés. La direction générale, sous l’égide du conseil, donne les
bases permettant de déterminer ce qui est ou non acceptable, comme le non-respect
des obligations réglementaires et contractuelles de l’organisation.

Limitation des pouvoirs


231. Les pouvoirs habilitent les personnes à agir dans le cadre d’un rôle défini, mais ces
pouvoirs sont également limités de telle sorte que :
seules les délégations de pouvoirs nécessaires pour réaliser les objectifs de l’entité
soient décidées (par exemple, la revue et l’approbation des nouveaux produits n’im
pliquent que les fonctions opérationnelles et support concernées indépendamment
de l’équipe commerciale) ;
les risques inappropriés ne soient pas acceptés (par exemple, aucun nouveau four
nisseur ne doit être admis sans que la revue de due diligence requise n’ait été
exécutée) ;

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 95

les tâches soient séparées afin de réduire les risques de conduites inappropriées
dans la réalisation des objectifs, et les contrôles requis soient effectués le long de

Environnement de contrôle
la chaîne hiérarchique (par exemple, la définition des rôles, des responsabilités et
des indicateurs de performance de façon à réduire tout conflit d’intérêts potentiel) ;
les systèmes d’information soient, le cas échéant, utilisés pour faciliter la définition
et la délimitation des rôles et des responsabilités au sein des processus métier (par
exemple différents niveaux d’accès aux progiciels de gestion intégrés au sein de
l’entité et de ses filiales, droits d’accès donnés aux clients Internet, aux partenaires
commerciaux et autres) ;
les prestataires externes chargés de réaliser des activités pour le compte d’une entité
comprennent l’étendue de leurs droits à la prise de décision.

DÉMONTRER SON ENGAGEMENT EN FAVEUR


DU DÉVELOPPEMENT DES COMPÉTENCES

Principe n° 4 : L’organisation démontre son engagement à attirer,


former et fidéliser des personnes compétentes conformément aux
objectifs.

Points d’attention
232. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
établir des politiques et des modalités pratiques : les politiques et les modalités pra
tiques reflètent les compétences attendues, nécessaires à la réalisation des objectifs ;
évaluer les compétences disponibles et remédier aux insuffisances : le conseil et le
management évaluent les compétences disponibles dans l’ensemble de l’organisa
tion et chez les prestataires externes au regard de politiques et de modalités pratiques
établies et, le cas échéant, prennent des mesures pour remédier aux insuffisances ;
attirer, former et fidéliser les personnes : l’organisation prévoit le mentorat et la for
mation nécessaires pour attirer, former et fidéliser suffisamment de salariés compé
tents et de prestataires externes pour réaliser ses objectifs ;
planifieret préparer la succession : la direction générale et le conseil élaborent
des plans pour assurer la continuité des responsabilités clés en matière de contrôle
interne.

https://marketingebooks.tk/
96 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Politiques et modalités pratiques


233. Les politiques et les modalités pratiques donnent, à l’échelle de l’entité, les lignes
directrices et les comportements reflétant la prise en compte des attentes et des exi
gences des investisseurs, des régulateurs et autres parties prenantes. Elles établissent
le socle des compétences dont l’organisation a besoin. Elles fournissent également la
base pour l’élaboration de procédures plus détaillées, pour l’évaluation de la perfor
mance, et pour la détermination de mesures correctives si nécessaire. Les politiques et
modalités pratiques décrivent :
les exigences et leur raison d’être (par exemple, les conséquences pour l’entité des
lois, des règlements et des normes sur la sécurité des produits) ;
les compétences et la conduite attendues pour soutenir le contrôle interne dans le
cadre de la réalisation des objectifs de l’entité (par exemple, connaissances du fonc
tionnement des plateformes technologiques qui viennent en appui des processus
métier) ;
la définition des responsabilités et du devoir de rendre compte des principales fonc
tions opérationnelles (par exemple, détermination des responsables de la sécurité
des produits et de leurs domaines de responsabilité dans l’organisation) ;
les principes d’évaluation des insuffisances et de la détermination des mesures cor
rectives éventuelles (par exemple, modification d’un processus ou renforcement des
compétences du management ou des collaborateurs) ;
les moyens pour faire preuve de réactivité face au changement (par exemple, prise
en compte de nouvelles exigences réglementaires, de nouveaux risques identifiés ou
d’une décision interne de modifier les processus métier dans les procédures opéra
tionnelles applicables).
234. Les politiques et les modalités pratiques permettent de décliner les attentes en matière
de compétence dans l’organisation, à commencer par les attentes du conseil vis- à-vis
du directeur général, celles du directeur général vis-à -vis de la direction générale,
et ainsi de suite aux différents niveaux du management. L’engagement en faveur du
développement des compétences qui en découle facilite l’évaluation de la réalisation
des objectifs à tous les niveaux de l’organisation et par les prestataires externes, en
établissant comment les processus devraient être réalisés et quels sont les compé
tences et comportements qui devraient être mis en œuvre.

Évaluer les compétences


235. La compétence est une caractéristique requise pour exercer des responsabilités. Elle
nécessite un savoir-faire et une expertise, provenant principalement de l’expérience,

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 97

de la formation et des certifications. Elle s’exprime par l’attitude, les connaissances et

Environnement de contrôle 
le comportement d’une personne dans l’exercice de ses responsabilités.
236. La fonction ressources humaines d’une organisation peut aider à définir le niveau des
compétences et les effectifs de chaque poste, faciliter et effectuer un suivi des forma
tions, et évaluer la pertinence ainsi que l’adéquation de la formation professionnelle
au regard des besoins de l’entité.
237. L’organisation définit les compétences requises pour soutenir la réalisation des objec
tifs, en tenant compte par exemple :
des connaissances, du savoir-faire et de l’expérience nécessaires ;
du jugement et des pouvoirs nécessaires à l’exercice d’une fonction ainsi que les
limitations y afférentes ;
d’analyses du rapport coûts/avantages des différents niveaux de savoir-faire et
d’expérience.
238. Le conseil évalue la compétence du directeur général. Le management évalue à son
tour les compétences dans l’ensemble de l’organisation et chez les prestataires externes
au regard des politiques et modalités pratiques définies, puis prend les mesures néces
saires pour remédier aux insuffisances ou aux excès. En particulier, une modifica
tion du profil de risque peut inciter l’organisation à réorienter ses ressources vers des
domaines nécessitant une attention accrue. Par exemple, une société introduisant un
nouveau produit sur le marché peut décider de renforcer ses équipes commerciales.
Autre exemple, une société peut se concentrer sur les personnes responsables de la
mise en œuvre d’une nouvelle réglementation. Les insuffisances peuvent être liées
au niveau des effectifs, à leur expertise, ou bien à ces deux critères. Il appartient au
management de remédier en temps voulu à ces insuffisances.

Attirer, former et fidéliser les personnes


239. L’engagement en faveur du développement des compétences est soutenu et intégré
aux processus de gestion des ressources humaines destinés à attirer, former et fidéli
ser les bonnes personnes parmi le management, les collaborateurs et les prestataires
externes. Le volume de ressources est déterminé et périodiquement réajusté compte
tenu de l’importance relative des risques à maîtriser pour permettre la réalisation des
objectifs de l’entité. Les différents niveaux du management établissent les structures
et les processus pour :
attirer : trouver des candidats dont les profils correspondent à la culture, au style
de management et aux besoins de l’organisation, et qui possèdent les compétences
pour les rôles proposés ;

https://marketingebooks.tk/
98 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

former : permettre à chaque personne de développer les compétences appropriées


compte tenu de ses rôles et responsabilités, renforcer les normes de conduite et les
niveaux de compétence attendus pour des missions données, adapter les formations
aux rôles et aux besoins et envisager un éventail de techniques pour dispenser des
formations, notamment des sessions de groupe, de l’auto-formation et de la forma
tion sur le terrain ;
accompagner : donner des orientations sur la performance individuelle au regard
des normes de conduite et des compétences attendues, aligner les compétences
et l’expertise individuelle sur les objectifs de l’entité et aider les collaborateurs à
s’adapter aux évolutions de l’environnement ;
évaluer : mesurer la performance individuelle au regard de la réalisation des objec
tifs et de la conduite attendue et, pour les prestataires externes, comparer leur per
formance aux contrats de services ou aux règles retenues pour leur sélection et leur
rémunération ;
fidéliser : prévoir des mesures d’incitation pour récompenser le niveau de per
formance et la conduite attendue, incluant le cas échéant des formations et des
accréditations.
240. À tous les niveaux de l’organisation, ce processus permet d’identifier, d’évaluer et
de corriger en temps voulu ou de traiter autrement tout comportement qui n’est pas
conforme aux normes de conduite, aux politiques et à leurs modalités pratiques ainsi
qu’aux responsabilités de contrôle interne. Ceci permet à l’organisation de gérer d’une
manière dynamique les compétences nécessaires à la réalisation des objectifs de l’en
tité en équilibrant les coûts et les avantages.

Planifier et préparer la succession

241. Le management identifie et évalue constamment les fonctions qui sont jugées essen
tielles à la réalisation des objectifs de l’entité. L’importance de chaque rôle est déter
minée en évaluant l’impact lié à la vacance temporaire ou définitive de ce poste. Par
exemple, le directeur général et d’autres membres de la direction générale, les fournis
seurs stratégiques et les partenaires clés sont des domaines qui nécessitent générale
ment la mise en place de plans de continuité permettant de s’assurer que les objectifs
peuvent être réalisés, même en cas de vacance du rôle.
242. La direction générale et le conseil élaborent des plans de continuité afin d’attribuer
les responsabilités importantes pour le contrôle interne. En particulier, des plans de
succession sont définis pour les principaux dirigeants, et les candidats à la succession
sont formés et coachés pour tenir le rôle envisagé.

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 99

243. La succession est également prévue lorsque des fonctions importantes sont déléguées

Environnement de contrôle 
à des prestataires externes au moyen d’accords contractuels. Lorsqu’une entité dépend
largement d’un tiers et qu’elle a évalué que le risque de dysfonctionnement des pro
cessus ou des systèmes de ce prestataire a un impact direct sur sa capacité à réaliser
ses objectifs, il peut être nécessaire d’élaborer un plan de succession. Les mesures
favorisant le partage continu des connaissances et la constitution d’une documentation
facilitent, le cas échéant, le transfert à un nouveau prestataire.

INSTAURER UN DEVOIR DE RENDRE COMPTE

Principe n° 5 : L’organisation instaure pour chacun un devoir de


rendre compte de ses responsabilités en matière de contrôle interne
afin d’atteindre les objectifs.

Points d’attention
244. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
instaurer un devoir de rendre compte à travers les structures, les pouvoirs et les res
ponsabilités : le management et le conseil déterminent les mécanismes de commu
nication des responsabilités individuelles en matière de contrôle interne et de devoir
de rendre compte, et prennent, si nécessaire, les mesures correctives ;
établir des indicateurs de performance, des mesures d’incitation et des gratifications :
le management et le conseil établissent des indicateurs de performance, des mesures
d’incitation et des gratifications adaptés aux responsabilités à tous les échelons de
l’entité, en tenant compte du niveau approprié de performance et des normes de
conduite attendues, ainsi que de la réalisation des objectifs à court et à long terme ;
évaluer en continu la pertinence des indicateurs de performance, des mesures d’inci
tation et des gratifications : le management et le conseil alignent les mesures d’inci
tation et les gratifications sur la réalisation des responsabilités liées au contrôle
interne en vue de la réalisation des objectifs ;
tenir compte des pressions excessives : le management et le conseil évaluent et
limitent les pressions associées à la réalisation des objectifs lorsqu’ils assignent
les responsabilités, définissent les indicateurs de performance et évaluent les
performances ;

https://marketingebooks.tk/
100 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

évaluer les performances individuelles et récompenser ou sanctionner les per


sonnes : le management et le conseil évaluent l’exercice des responsabilités liées
au contrôle interne, notamment le respect des normes de conduite et les niveaux de
compétence attendus et récompensent ou sanctionnent selon le cas.

Devoir de rendre compte en matière de contrôle interne


245. Le conseil responsabilise en dernier ressort le directeur général qui rend compte de
sa compréhension des risques auxquels l’entité est confrontée, et de l’établissement du
système de contrôle interne requis pour réaliser les objectifs de l’entité. Le directeur
général et la direction générale sont donc responsables de la conception, de la mise
en place, du pilotage et de l’évaluation périodique des structures, des pouvoirs et des
responsabilités nécessaires au devoir de rendre compte du contrôle interne à tous les
niveaux de l’organisation.
246. Le devoir de rendre compte fait référence à la responsabilité déléguée pour la réa
lisation du contrôle interne en vue d’atteindre les objectifs compte tenu des risques
auxquels l’entité est confrontée. Des prestataires externes peuvent être utilisés pour
s’acquitter des responsabilités conjointement avec le management ou pour son compte,
auquel cas le management établit les niveaux de performance et les dispositifs de sur
veillance requis et reste in fine responsable du contrôle interne. Le management donne
des lignes directrices afin de faciliter la compréhension des risques auxquels l’entité
est confrontée, de communiquer les attentes concernant l’exercice des responsabilités
de contrôle interne dans le cadre de la réalisation des objectifs de l’entité, et du devoir
de rendre compte des collaborateurs.
247. Le devoir de rendre compte en matière de contrôle interne est démontré à chaque niveau
de l’entité. Par exemple, un manager chargé de faire respecter des pratiques commer
ciales loyales est responsable, vis-à-vis de l’entité juridique, de l’unité opérationnelle,
du secteur géographique ou tout autre entité existante, de démontrer qu’il existe un
environnement de contrôle, une évaluation des risques, une information et une com
munication ainsi qu’un pilotage appropriés et efficaces permettant de se conformer
aux directives de l’entité et favorisant le respect des lois et des réglementations.
248. Le devoir de rendre compte est lié au leadership dans la mesure où l’exemplarité
contribue à la compréhension, à la mise en œuvre et au renforcement continu des res
ponsabilités de contrôle interne dans l’ensemble de l’entité. L’exemplarité contribue à
l’établissement et à la mise en œuvre du devoir de rendre compte, d’un climat social
favorable et d’un but commun à travers :
des attentes claires de la direction générale et du conseil, couvrant des questions telles
que l’intégrité et l’éthique, les conflits d’intérêts, les activités illégales ou inappropriées

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 101

et les ententes illicites (par exemple, un code de conduite est élaboré et communiqué à

Environnement de contrôle 
tous les collaborateurs et aux prestataires externes, et il est appliqué) ;
des lignes directrices managériales correspondant à la philosophie et au style de
management traduisent un état d’esprit, des exigences de formalisme plus ou moins
élevées, la constance et d’autres attitudes vis-à-v is du contrôle interne (par exemple,
une entité qui a réussi après une prise de risques significative peut avoir une pers
pective différente sur le contrôle interne par rapport à une entité qui a été confrontée
aux conséquences économiques ou réglementaires drastiques résultant d’aventures
dans des domaines plus risqués) ;
des contrôles et des flux d’informations (par exemple, communiquer la façon dont
les décisions sont prises et demander en retour toutes les informations sur la perfor
mance et en tenir compte) ;
des voies de communication ascendantes et autres moyens de communication
permettant aux salariés et aux prestataires externes de se sentir à l’aise dans le
signalement des écarts par rapport aux normes déontologiques 29 (il existe par
exemple des voies de communication anonymes ou confidentielles) ;
l’engagement des collaborateurs vis-à-v is des objectifs collectifs (par exemple l’ali
gnement les objectifs individuels sur ceux de l’entité) ;
des réponses apportées par le management aux écarts par rapport aux règles et com
portements attendus (par exemple avertissement, licenciement et/ou mesure corrective
au titre du non-respect des règles de l’organisation, évaluation des performances et sys
tèmes de gratification correspondant à la réalisation des objectifs de l’organisation).
249. Le devoir de rendre compte s’appuie sur l’exemplarité et est soutenu par l’engagement
envers l’intégrité et les valeurs éthiques, la compétence, la structure, les processus et
les systèmes d’information qui influencent conjointement la culture de contrôle de
l’organisation. Des mesures correctives sont prises, le cas échéant, pour rétablir le
devoir de rendre compte nécessaire en matière de contrôle interne.

Indicateurs de performance, mesures d’incitation et gratifications


250. La performance est fortement influencée par le devoir de rendre compte de chaque
personne et par la façon dont elle est récompensée.

29. « Ethical standards » est traduit par « normes déontologiques ». La « déontologie » constitue l’ensemble des
devoirs qui régissent une activité professionnelle. Ces devoirs se fondent sur l’« éthique » et la morale qui guident
les comportements, au- delà des obligations définies sur le plan légal. Selon le contexte, le terme « ethical » se
réfère plus précisément à la déontologie ou à l’éthique.

https://marketingebooks.tk/
102 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

251. Le management et le conseil définissent les indicateurs de performance, les mesures


d’incitation et autres gratifications correspondant aux responsabilités à tous les niveaux
de l’entité ; ils tiennent compte de la réalisation des objectifs à court et à long terme.
Sachant que la gratification d’une performance future peut produire des conséquences
indésirables, l’organisation détermine une combinaison équilibrée d’indicateurs de
performance quantitatifs et qualitatifs afin de rétribuer la réussite et, le cas échéant, de
sanctionner les comportements en fonction de l’éventail d’objectifs. Prenons l’exemple
d’une société cherchant à fidéliser une clientèle grâce à des produits de qualité. Elle
embauche, avec pour objectif de diminuer ses taux de défectuosité, et détermine des
indicateurs de performance, des mesures d’incitation et des gratifications en fonction
des objectifs de production de l’unité opérationnelle et des attentes de conformité aux
normes de sécurité et de qualité, aux lois sur la sécurité sur le lieu de travail, aux pro
grammes de fidélisation de la clientèle et à un reporting précis des rappels de produits.
252. Les indicateurs de performance, les mesures d’incitation et les gratifications contri
buent à l’efficacité du système de contrôle interne à condition d’être déterminés en
fonction des objectifs de l’entité et d’être suffisamment flexibles pour évoluer en fonc
tion de ses besoins. Le tableau ci-après synthétise les caractéristiques essentielles d’un
système de motivation et de gratification d’une performance élevée.

Indicateurs de succès Facteurs de succès


Objectifs clairs Associer tous les collaborateurs à la réalisation des objectifs de l’entité.
Tenir compte des différentes attentes au niveau de la conduite et de la performance
de l’organisation, des prestataires externes et des autres partenaires (par exemple
selon le contrat de services), et définir les objectifs ainsi que les incitations et pres-
sions associées.
Impacts prévus Communiquer, insister sur les objectifs de l’entité et la façon dont chacun des
domaines et des niveaux de l’organisation doit soutenir la réalisation des objectifs.
Comprendre et analyser les événements favorablement accueillis par le marché dans
le passé et ceux qu’il a pénalisés.
Communiquer les conséquences (positives et négatives) découlant de la non-réalisa-
tion partielle ou totale d’objectifs spécifiques de l’entité.
Indicateurs pertinents Définir des indicateurs permettant de transformer des données souvent disparates en
informations pertinentes sur la performance.
Évaluer la conduite réelle par rapport à la conduite attendue, ainsi que l’impact des
écarts, tant positifs que négatifs, par rapport aux indicateurs cibles.
Évaluer l’impact attendu sur les objectifs de l’entité.
Ajustement face Ajuster régulièrement les indicateurs de performance après avoir effectué une éva-
au changement luation systématique et continue des impacts potentiels des risques au fil de leur
évolution et après avoir quantifié les gratifications associées.

253. Les mesures d’incitation motivent le management et les collaborateurs. Les hausses de
salaire et les primes sont couramment utilisées, mais une responsabilité, une visibilité,

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 103

une reconnaissance plus importantes et d’autres formes de gratification non monétaire

Environnement de contrôle 
sont également des mesures d’incitation efficaces. Le management met en œuvre en
permanence et revoit régulièrement les évaluations et les gratifications afin de s’assu
rer qu’elles n’encouragent pas une conduite inappropriée (par exemple, un déséqui
libre entre les objectifs de chiffre d’affaires et d’autres objectifs essentiels pour la
pérennité peut déboucher sur une conduite non conforme aux standards attendus).
De même, rémunération, gratification, embauche et promotion tiennent compte de la
déontologie. Les personnes qui ne respectent pas les normes de conduite de l’entité
sont sanctionnées et ne bénéficient ni de promotion, ni de gratification.
254. Quelle que soit leur forme, les mesures d’incitation jouent sur les comportements. Une
entité uniquement axée sur une hausse du résultat risque davantage d’être confrontée
à des comportements indésirables tels qu’une manipulation des états financiers ou des
registres comptables, des techniques de vente agressives, des négociations focalisées
sur une hausse des ventes ou des résultats trimestriels à tout prix, ou des propositions
implicites de pot-de-vin.
255. Le management et le conseil évaluent régulièrement la performance des personnes et
des équipes au regard d’indicateurs de performance définis, qui portent aussi bien sur
la performance opérationnelle que sur l’adhésion et le respect des normes de conduite
et les compétences démontrées.
256. La pertinence et l’adéquation des indicateurs de performance sont périodiquement
revues par rapport aux mesures d’incitation et aux gratifications. Le cas échéant, les
facteurs internes et externes permettent de revoir les objectifs, et les autres attentes à
l’égard du management, des collaborateurs et des prestataires externes.

Pressions
257. Le management et le conseil définissent des cibles pour l’atteinte des objectifs qui, par
nature, créent des pressions au sein de l’organisation. Des pressions peuvent également
découler des variations cycliques de certaines activités. Les organisations peuvent
contrebalancer ces variations en rééquilibrant les charges de travail ou en renforçant
temporairement le niveau des ressources afin de diminuer le risque de contournement
des règles, qui peut être préjudiciable à la réalisation des objectifs.
258. Ces pressions internes ou externes peuvent inciter à adopter les normes de conduite et
à viser l’atteinte des objectifs de performance, tant à court terme qu’à long terme. Tou
tefois, du fait de pressions injustifiées, les collaborateurs redoutant les conséquences
liées à la non-réalisation des objectifs peuvent contourner les processus ou s’engager
dans des activités frauduleuses ou illicites.

https://marketingebooks.tk/
104 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

259. Des pressions excessives sont généralement associées à :


des objectifs de performance irréalistes, notamment à court terme ;
des contradictions entre les objectifs des différentes parties prenantes ;
des déséquilibres entre gratifications liées à la performance financière à court terme
et gratifications liées aux intérêts à long terme des parties prenantes, tels que les
objectifs de développement durable.
260. Par exemple, la pression en vue de générer un chiffre d’affaires qui ne corresponde
pas aux opportunités du marché peut inciter les commerciaux à falsifier les chiffres,
à s’engager dans des activités de corruption ou à commettre des actes illicites. Les
pressions pour démontrer la rentabilité d’un investissement peuvent pousser un trader
à prendre des risques non autorisés pour couvrir des pertes. De même, sous la pres
sion pour commercialiser rapidement un produit sur le marché et générer du chiffre
d’affaires, les collaborateurs peuvent bâcler le développement d’un produit ou les tests
de sécurité, ce qui peut nuire au consommateur ou à l’accueil réservé au produit, ainsi
qu’à la réputation de l’organisation.
261. Pour aligner objectifs individuels, objectifs de l’unité opérationnelle et objectifs de
l’entité, l’organisation tient compte de la façon dont les risques sont pris et gérés dans
la détermination de la rémunération et de la gratification. Par exemple, lorsque les
traders prennent des risques pour le compte de leurs clients et de l’organisation, ils
doivent savoir qu’ils peuvent doper, réduire, voire perdre leur rémunération, leur avan
cement et leur poste en fonction de leur performance. Les modalités d’incitation qui ne
tiennent pas convenablement compte des risques liés au modèle économique peuvent
induire des conduites inappropriées.
262. D’autres changements, par exemple stratégiques, organisationnels ou liés à des acqui
sitions ou des cessions, sont également source de pressions. Le management et le
conseil doivent comprendre ces pressions et les contrebalancer avec des messages,
des mesures d’incitation et des gratifications appropriés. Le management et le conseil
tiennent compte des pressions et ajustent les mesures d’incitation et les gratifications
lors de l’attribution des responsabilités, de la définition des indicateurs de performance
et de l’évaluation des performances. Il appartient au management de guider ceux à qui
ils ont délégué des pouvoirs pour la prise de décisions appropriées dans le cadre habi
tuel des activités. Par exemple, les organisations considèrent souvent la performance
financière, le développement des compétences et la communication d’informations
exactes et en temps opportun aux parties prenantes comme des objectifs essentiels
à la viabilité de l’organisation. Elles attendent également du management, des colla
borateurs, des prestataires externes et des autres partenaires qu’ils préservent en per
manence la qualité des produits et des services fournis, la sécurité des collaborateurs

https://marketingebooks.tk/
ENVIRONNEMENT DE CONTRÔLE 105

dans l’exécution de leurs fonctions et d’autres facteurs susceptibles de constituer un

Environnement de contrôle 
aléa moral ou de porter préjudice à la réputation de l’entité.

Évaluation des performances et gratification


263. Tout comme les objectifs de performance se déclinent du conseil au directeur général,
à la direction générale et aux collaborateurs, l’évaluation des performances est réalisée
à chacun de ces échelons. Le conseil évalue la performance du directeur général, qui
à son tour évalue celle de l’équipe de la direction générale, et ainsi de suite. À chaque
niveau, le respect des normes de conduite et les niveaux de compétence attendus sont
évalués et, le cas échéant, des gratifications sont attribuées ou des mesures disci
plinaires sont prises. Les gratifications peuvent prendre la forme d’une rétribution
financière, d’actions, d’une reconnaissance ou d’une promotion. Les résultats de ces
évaluations sont communiqués et accompagnés de gratifications ou de sanctions afin
d’influencer le comportement attendu.
264. Les politiques et les modalités pratiques de rémunération résultent d’une série de
considérations telles que le positionnement par rapport à la concurrence (mécanismes
et niveaux d’incitation et de rémunération visant à attirer les meilleurs talents afin de
se distinguer des organisations similaires). La rémunération et les gratifications sont
fixées sur la base de l’évaluation des performances, de l’expertise, de l’acquisition de
compétences, ainsi que des informations du marché, l’objectif étant de fidéliser les
meilleurs et de favoriser le départ des moins performants. Les ressources humaines
gèrent le processus d’obtention, de traitement et de communication des informations
pertinentes avec les niveaux appropriés du management et les collaborateurs.
265. La performance est évaluée au regard de la réalisation d’objectifs et des capacités de
gestion dans le cadre des seuils de tolérance au risque, à court terme et à long terme.
Elle tient donc compte des risques historiques (rétrospectifs) et futurs (prospectifs).

https://marketingebooks.tk/
https://marketingebooks.tk/
https://marketingebooks.tk/
108 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

Principes relatifs à la composante « Évaluation des risques »


6. L’organisation définit des objectifs de façon suffisamment claire pour permettre
l’identification et l’évaluation des risques susceptibles d’affecter leur réalisation.
7. L’organisation identifie les risques susceptibles d’affecter la réalisation de ses objectifs
dans l’ensemble de son périmètre et procède à leur analyse de façon à déterminer
comment ils doivent être gérés.
8. L’organisation intègre le risque de fraude dans son évaluation des risques susceptibles
d’affecter la réalisation des objectifs.
9. L’organisation identifie et évalue les changements qui pourraient avoir un impact
significatif sur le système de contrôle interne.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 109

INTRODUCTION

ité
ns

g
in
io

m
rt
at

or
po
267. Toutes les entités, quels que

ér

nf

Unité opérationnelle
Re
Op

Co
soient leur taille, leur structure,

Fonction
la nature de leurs activités et leur
Environnement de contrôle
secteur, sont confrontées à des
risques, et ce à tous les niveaux.

Division
Le risque est défini dans ce Évaluation des risques

Évaluation des risques


Entité
Référentiel comme la possibilité
qu’un événement survienne et Activités de contrôle
ait un impact défavorable sur la
réalisation des objectifs. Information et communication
268. Dans cette définition, le terme
« défavorable » couvre égale- Pilotage
Pilotage
ment les variations positives
liées à un événement ou à une
série d’événements. En effet, des variations positives importantes peuvent aussi avoir
un impact défavorable sur les objectifs. Prenons par exemple une société qui pré
voit des ventes de 1 000 unités et fixe les calendriers de production pour satisfaire la
demande attendue. Le management envisage la possibilité que les commandes réelles
dépassent ces prévisions. Des commandes de 1 500 unités n’affecteraient probable
ment pas les objectifs de vente, mais pourraient avoir un impact défavorable sur les
coûts de production (heures supplémentaires nécessaires pour répondre à l’augmen
tation de volume) ou les objectifs de satisfaction des clients (augmentation des com
mandes en retard et des délais de livraison). En conséquence, la vente d’un nombre
d’unités plus important que prévu peut avoir un impact défavorable sur les objectifs
commerciaux.
269. Dans le cadre du processus d’identification et d’évaluation des risques, une organi
sation peut également déceler des opportunités, qui sont des événements susceptibles
d’avoir un impact positif sur la réalisation des objectifs. Il est important de saisir
ces opportunités et de les relayer vers les processus de définition des objectifs. Dans
l’exemple précité, le management intégrerait ces nouvelles opportunités commerciales
dans le processus de définition des objectifs. Toutefois, l’identification et l’évalua
tion d’opportunités potentielles telles que de nouvelles opportunités commerciales ne
relèvent pas du contrôle interne.
270. Le risque peut remettre en cause la capacité de succès de l’entité à maintenir sa compé
titivité, sa situation financière, sa réputation, la qualité de ses produits, de ses services
et de ses collaborateurs. Sur le plan pratique, il n’existe aucun moyen d’éliminer tous

https://marketingebooks.tk/
110 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

les risques. En effet, le risque est inhérent à la conduite des affaires. Le management
doit déterminer le niveau de risque acceptable, s’efforcer de maintenir le risque dans
cette limite et comprendre quelle tolérance est acceptée par rapport au niveau de risque
cible.
271. Le risque augmente souvent lorsque les objectifs diffèrent des performances passées
et que le management met en place des changements. Lorsque les performances sont
jugées acceptables dans une entité, il est fréquent que les objectifs n’y soient pas expli
citement fixés. Par exemple, le service client peut être considéré comme satisfaisant
au regard des performances passées et, dans ce contexte, des objectifs précis concer
nant le maintien du niveau de qualité des services ne seront pas fixés. Pourtant, dans le
cadre du processus d’évaluation des risques, il est nécessaire d’avoir une compréhen
sion commune des objectifs liés aux opérations, au reporting et à la conformité, tant à
l’échelle de l’entité que dans leur déclinaison.

Tolérance au risque
272. La tolérance au risque désigne la variation acceptable dans l’atteinte des objectifs.
Maintenir les activités à l’intérieur des limites de tolérance au risque renforce la
confiance du management quant à la réalisation de ses objectifs. La tolérance au risque
peut être exprimée de différentes manières selon la catégorie d’objectifs. Par exemple,
elle est généralement exprimée en termes d’importance relative30 pour le reporting
financier, tandis que pour la conformité et les opérations, elle est souvent exprimée en
termes d’écarts acceptables par rapport aux objectifs.
273. La tolérance au risque est normalement fixée dans le cadre du processus de défi
nition des objectifs qui constitue un préalable à la détermination des modalités de
traitement des risques et des activités de contrôle associées. Le management dispose
d’une grande latitude pour fixer les seuils de tolérance au risque et gérer les risques
lorsqu’il n’existe pas d’obligation externe. Toutefois, lorsqu’il en existe, comme en ce
qui concerne les objectifs liés au reporting externe et à la conformité, le management
envisage la tolérance au risque dans le cadre établi par les lois, règlements et normes
externes applicables.

30. Le terme « materiality » a été traduit par « importance relative » au sens des normes IFRS, qui utilisent
également l’expression « caractère significatif » dans d’autres traductions officielles. L’expression « importance
relative » est définie par les régulateurs et les organismes de normalisation. Le management devra tenir compte
de ce contexte légal, réglementaire ou normatif pour appréhender la notion d’importance relative lorsqu’il
applique le Référentiel.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 111

274. De même, la direction générale tient compte de l’importance relative des objectifs contra
dictoires et des priorités différentes dans la poursuite de ces objectifs. Par exemple, un
directeur des opérations peut considérer que les objectifs liés aux opérations nécessitent
une plus grande précision par rapport à l’importance relative des objectifs liés au repor
ting. Le directeur financier peut quant à lui avoir la position inverse. Toutefois, il serait
problématique que les sociétés cotées privilégient à l’excès les objectifs opérationnels, au
détriment de la fiabilité du reporting financier. Ces considérations font partie du proces
sus de planification stratégique et de définition des objectifs, avec des seuils de tolérance

Évaluation des risques


fixés en conséquence. Ce type de décision peut également avoir un impact sur le niveau
des ressources allouées à la réalisation des objectifs concernés.
275. Les indicateurs de performance aident l’entité à exercer ses activités dans les limites
des seuils de tolérance au risque fixés. Il est souvent préférable de mesurer la tolérance
au risque dans la même unité que les objectifs auxquels les risques se rapportent. Par
exemple, une entité :
vise un respect des délais pour 98 % des livraisons, avec une variation acceptable
dans une plage de 97 à 100 % ;
vise des formations dont 90 % des participants atteignent le niveau requis pour
réussir l’examen, mais accepte que seulement 75 % réussissent ;
s’attend à ce que toutes les réclamations des clients soient traitées sous 24 heures,
mais accepte qu’un maximum de 10 % des réclamations ne reçoivent une réponse
que sous 36 heures.

DÉFINIR DES OBJECTIFS APPROPRIÉS

Principe n° 6 : L’organisation définit des objectifs de façon


suffisamment claire pour permettre l’identification et l’évaluation
des risques susceptibles d’affecter leur réalisation.

Points d’attention
276. Les points d’attention suivants soulignent les caractéristiques importantes relatives
aux objectifs liés aux opérations, au reporting et à la conformité :

Objectifs liés aux opérations


Refléter les choix du management : les objectifs liés aux opérations reflètent les
choix du management concernant la structure, le secteur d’activité et la perfor
mance de l’entité ;

https://marketingebooks.tk/
112 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Prendre en compte les seuils de tolérance au risque : le management prend en compte


les écarts acceptables par rapport à l’atteinte des objectifs liés aux opérations ;
Intégrer les cibles de performance opérationnelle et financière : les performances
opérationnelles et financières souhaitées sont reflétées dans les objectifs liés aux
opérations ;
Constituer les bases de l’allocation des ressources : le management se base sur les
objectifs liés aux opérations pour affecter les ressources nécessaires à la réalisation
de la performance opérationnelle et financière souhaitée.

Objectifs liés au reporting financier externe


Respecter les normes comptables applicables : les objectifs liés au reporting finan
cier sont cohérents avec les principes comptables adéquats et applicables à l’entité.
Les principes comptables retenus sont appropriés aux circonstances ;
Tenir compte de l’importance relative : le management tient compte de l’importance
relative dans la présentation des états financiers ;
Refléter les activités de l’entité : le reporting externe reflète les transactions et les évé
nements sous-jacents, dans le respect des critères de qualité communément admis.

Objectifs liés au reporting extra-financier externe


Respecter les normes et les référentiels externes : le management définit des objec
tifs conformes aux lois et règlements, ou aux normes et aux référentiels d’orga
nismes externes reconnus ;
Prendre en compte le niveau de précision requis : le management prend en compte
le niveau de précision et d’exactitude requis pour les besoins des utilisateurs et des
critères fixés par les tiers pour le reporting extra-financier ;
Refléter les activités de l’entité : le reporting externe reflète les transactions et les
événements sous-jacents dans des limites acceptables.

Objectifs liés au reporting interne


Refléter les choix du management : le reporting interne fournit au management des
informations exactes et exhaustives sur ses choix, et celles dont il a besoin pour
gérer l’entité ;
Prendre en compte le niveau de précision requis : le management prend en compte
le niveau de précision et d’exactitude requis pour les besoins des utilisateurs dans
le cadre des objectifs de reporting extra-financier, et l’importance relative dans le
cadre des objectifs de reporting financier ;
Refléter les activités de l’entité : le reporting interne reflète les transactions et les
événements sous-jacents dans des limites acceptables.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 113

Objectifs liés à la conformité


Refléterles lois et règlements externes : les lois et règlements fixent des normes
minimales de conduite que l’entité intègre dans ses objectifs liés à la conformité ;
Prendre en compte les seuils de tolérance au risque : le management prend en compte
les variations acceptables dans l’atteinte des objectifs liés à la conformité.

Définition des objectifs

Évaluation des risques


277. La définition d’objectifs cohérents aux différents niveaux de l’entité est une condition
préalable à l’évaluation des risques. Ces objectifs sont cohérents avec l’orientation
stratégique de l’entité et y contribuent. Bien que la définition de la stratégie et des
objectifs ne fasse pas partie du processus de contrôle interne, les objectifs constituent
la base de la mise en place et de l’exécution des approches d’évaluation du risque, et
de la détermination des activités de contrôle y afférentes. Dans le cadre du contrôle
interne, le management spécifie des objectifs et les regroupe à tous les niveaux de l’en
tité en grandes catégories, à savoir les « opérations », le « reporting » et la « confor
mité ». Le regroupement des objectifs au sein de ces catégories permet d’identifier et
d’évaluer les risques susceptibles d’affecter leur réalisation.
278. Lorsqu’il confirme le caractère approprié des objectifs, le management peut tenir
compte des facteurs suivants :
alignement des objectifs fixés et des priorités stratégiques ;
articulation des seuils de tolérance des différents objectifs ;
conformité des objectifs fixés par rapport aux lois et règlements en vigueur, ainsi
qu’aux normes applicables ;
formulation des objectifs en termes précis, mesurables ou observables, réalisables,
pertinents et définis dans le temps ;
déclinaison des objectifs dans l’ensemble de l’entité et de ses unités ;
adaptation des objectifs aux circonstances nécessitant une attention particulière de
l’entité ;
confirmation du caractère approprié des objectifs dans le cadre du processus de
définition des objectifs avant qu’ils ne servent de base à l’évaluation des risques.
279. Les objectifs peuvent manquer de clarté, ne pas être explicitement cohérents avec
l’orientation stratégique, ne pas sembler adéquats à la lumière des faits, des circons
tances et des lois et règlements en vigueur ainsi que des normes applicables, ou encore
servir de base à l’évaluation des risques tout en étant compris mais non approuvés. Il
appartient au management de relayer ces cas de figure vers les processus de définition
de la stratégie et des objectifs.

https://marketingebooks.tk/
114 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Objectifs liés aux opérations


280. Les objectifs liés aux opérations reflètent les choix du management dans le contexte de
l’activité, du secteur et dans la conjoncture économique de l’entité. Par exemple, une
collectivité territoriale définit plusieurs objectifs liés aux opérations, chacun traduit en
initiatives et critères. Ses objectifs seraient notamment :
de mettre en œuvre cinq engagements publics en faveur de la réduction des gaz à
effet de serre au cours des 12 mois suivants ;
d’augmenter de 30 % l’utilisation de la ceinture de sécurité, de diminuer la vitesse
de 10 % globalement et de 20 % aux abords des écoles, et de réduire de 25 % les
empiétements aux intersections ;
de fixer, au cours des cinq années suivantes, des tarifs de consommation d’eau pour
l’industrie et les particuliers.
281. Une entité à but lucratif peut définir des objectifs liés aux opérations axés sur l’uti
lisation efficace des ressources. Par exemple, un acteur de la grande distribution a
notamment pour objectifs :
de fournir à ses clients un large éventail de produits à des prix systématiquement
inférieurs à ses concurrents ;
d’augmenter le taux de rotation de ses stocks à 12 fois par an au cours des deux
trimestres suivants ;
d’abaisser de 5 % ses émissions de CO2 et d’augmenter de 10 % la réduction et le
recyclage de ses emballages au cours de l’année suivante.
282. Dans le cadre des objectifs liés aux opérations, le management précise également une
tolérance au risque fixée durant le processus de définition des objectifs. Pour les objec
tifs liés aux opérations, la tolérance au risque peut être exprimée en termes d’écarts
acceptables par rapport à l’objectif.

Objectifs et ressources
283. Un ensemble d’objectifs liés aux opérations clairement définis permet à l’entité d’avoir
une perspective claire et de focaliser des ressources importantes sur l’atteinte des
objectifs prévisionnels de performance. Ces objectifs portent notamment sur la perfor
mance financière, applicable quel que soit le type d’entité. Une entité à but lucratif peut
se concentrer sur son chiffre d’affaires, sa rentabilité, ses liquidités ou d’autres indi
cateurs ; une entité à but non lucratif ou une administration publique peut en revanche
être moins axée sur les éléments financiers, tout en ayant des objectifs de revenus, de
liquidités et de dépenses. Si les objectifs liés aux opérations ne sont pas clairs ou sont
mal pensés, l’entité risque de mal orienter ses ressources.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 115

Objectifs liés au reporting


284. Les objectifs liés au reporting concernent l’établissement de rapports et visent à satisfaire
les exigences de fiabilité, de délais, de transparence ou d’autres exigences des régulateurs,
des organismes de normalisation ou des directives internes. Cette catégorie couvre le
reporting financier externe, le reporting extra-financier externe, le reporting financier
interne, et le reporting extra-financier interne. Les objectifs liés au reporting externe sont
fixés pour l’essentiel en fonction des lois, règlements et autres normes publiées par l’État,

Évaluation des risques


les régulateurs et les organismes de normalisation comptable. Les objectifs liés au repor
ting interne sont fixés en fonction de l’orientation stratégique de l’entité, des exigences en
matière de reporting et des attentes fixées par le management et le conseil.

Objectifs liés au reporting financier externe


Respect des normes comptables
285. Les entités doivent atteindre des objectifs liés au reporting financier en vue de satis
faire à des obligations externes. La publication des états financiers et des informations
financières est nécessaire pour accéder aux marchés financiers et peut s’avérer essen
tielle pour remporter des marchés ou conclure des opérations avec des fournisseurs.
Les investisseurs, les analystes et les créanciers peuvent utiliser les états financiers
et d’autres informations financières pour évaluer les performances de l’entité et les
comparer à celles d’organisations similaires et d’autres investissements.
286. Les objectifs liés au reporting financier sont cohérents avec les principes comptables
adéquats et applicables à l’entité et sont appropriés compte tenu des circonstances.
Les objectifs liés au reporting financier externe couvrent l’établissement des rapports
financiers externes, incluant les états financiers publiés, les autres publications finan
cières, et plus largement toute autre forme de reporting financier externe basé sur les
enregistrements et les livres comptables ou de gestion.
287. Les états financiers destinés à un usage externe sont établis conformément aux règle
ments et normes comptables applicables. Les états financiers publiés peuvent inclure
les états financiers annuels et intermédiaires, les états financiers résumés, et des infor
mations financières extraites de ces états financiers. Ces états financiers peuvent par
exemple être destinés à un régulateur, distribués aux actionnaires lors des assemblées
générales annuelles, publiés sur un site Internet ou transmis par voie électronique.
288. D’autres rapports et états financiers peuvent être établis conformément à d’autres prin
cipes comptables et sont généralement requis par l’administration fiscale, des admi
nistrations publiques ou par les clauses des contrats et des accords. D’autres rapports
et états financiers externes peuvent être diffusés à des tiers (par exemple à une banque
dans le cadre des clauses d’un contrat de prêt, à l’administration fiscale dans le cadre

https://marketingebooks.tk/
116 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

du dépôt des déclarations fiscales, à un organisme de financement par une entité à but
non lucratif lorsque ces états ne sont pas rendus publics).
289. Parmi les autres formes de reporting financier externe issues des comptes financiers et
de gestion – et non des états financiers destinés à un usage externe – citons les commu
niqués de presse, les informations financières publiées sur le site Internet d’une entité
et les données chiffrées figurant dans les documents réglementaires. Dans ces cas, les
objectifs liés au reporting financier externe peuvent ne pas être fixés directement par
les organismes de normalisation et les régulateurs, mais en règle générale, les parties
prenantes s’attendent à ce qu’ils soient alignés sur ces normes et règlements.

Critères de qualité
290. Le reporting financier externe reflète les transactions et les événements selon les cri
tères de qualité qui sous-tendent les états financiers ; ces critères sont fixés par les
organismes de normalisation comptable. Il existe de nombreuses sources pour les cri
tères de qualité liés au reporting financier.
291. Les états financiers externes peuvent être considérés en termes de critères fondamen
taux et de critères complémentaires 31, 32.
292. Les critères fondamentaux sont la pertinence et la présentation fidèle, définies ci-après :
pertinence : les informations peuvent peser sur les décisions de l’utilisateur ;
présentation fidèle : les informations sont exhaustives, neutres et exactes.
293. Les critères complémentaires concernent le caractère comparable, vérifiable, ponctuel
et compréhensible, décrits ci-après :
comparabilité : les informations peuvent être comparées avec des informations simi
laires d’autres entités et de la même entité, pour une autre période ou à une autre date ;
caractère vérifiable : différents observateurs avertis et indépendants, sans être obli
gatoirement totalement d’accord, parviennent à un consensus sur l’image fidèle
donnée par une description donnée ;
ponctualité : la mise à disposition, en temps voulu, d’informations qui peuvent être
utilisées par les décideurs ;
caractère compréhensible : les informations sont classées, décrites et présentées de
façon claire et concise.

31. Tiré des normes internationales d’information financière (IFRS).


32. Certaines juridictions qualifient parfois les critères de qualité dans les états financiers avec des termes tels
que « existence ou survenance », « exhaustivité, valorisation ou allocation », « droits et obligations » et « pré
sentation et publication ».

https://marketingebooks.tk/
ÉVALUATION DES RISQUES 117

294. Le concept d’« importance relative des états financiers » est inhérent au critère de
pertinence. L’importance relative fixe le seuil permettant de déterminer si une donnée
financière est pertinente. L’information est significative si son omission ou son inexac
titude peut influencer les décisions des utilisateurs sur la base du reporting financier.
L’importance relative dépend de la taille de l’élément ou de l’erreur par rapport aux
circonstances particulières de l’omission ou de l’inexactitude. Pour le reporting finan
cier externe, l’importance relative reflète le niveau de précision et d’exactitude requis
pour les besoins des tiers et présente les activités, les transactions et les événements de

Évaluation des risques


l’entité concernée dans des limites acceptables33.
295. La fiabilité est un autre critère de qualité souvent utilisée en lien avec les objectifs de
reporting financier externe. La fiabilité est la capacité à préparer des états financiers
externes qui ne sont pas entachés d’erreurs ou de biais significatifs. La fiabilité entre
également en jeu dans la présentation fidèle des informations sur les transactions ou
autres événements qu’elles sont censées décrire. Le reporting externe reflète le niveau
de précision et d’exactitude requis en interne, et présente les activités, les transactions
et les événements de l’entité concernée dans des limites acceptables.
296. Les critères de qualité précités doivent être appliqués avec les normes comptables
adéquates et en prenant en compte d’autres critères, qui relèvent généralement des
catégories suivantes :
les catégories de transactions et d’événements de la période ;
les soldes des comptes en fin de période ;
la présentation et la publication.

Objectifs liés au reporting extra-financier externe


Respect des normes et des référentiels
297. Le management peut publier des informations conformes à des lois, des règlements
et des normes ou des référentiels extra-financiers externes. Par exemple, lorsque le
management cherche à gérer son impact en termes de développement durable, il peut
préparer et publier un rapport qui donne des informations sur la performance écono
mique, environnementale et sociale. Une autre entité appliquera des normes de tra
çabilité pour la distribution de produits depuis les exploitations forestières jusqu’à
leur utilisation finale. Elle obtient une certification annuelle attestant qu’elle pro
duit et consomme de façon responsable les produits de la sylviculture, et publie cette
information.

33. Tiré des normes internationales d’information financière (IFRS). Certaines juridictions peuvent décrire dif
féremment l’importance relative des états financiers.

https://marketingebooks.tk/
118 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Prise en compte des exigences de précision et des activités


298. Comme le reporting financier, le reporting extra-financier :
classe et résume des informations de façon raisonnable et suffisamment précise en
veillant à ce qu’elles ne soient ni trop détaillées, ni trop résumées ;
reflète les activités sous-jacentes ;
présente les transactions et les événements avec la précision et l’exactitude requises
pour les besoins de l’utilisateur ;
utilise des critères fixés par les tiers et exposés dans les éventuels normes ou réfé
rentiels, qui leur sont applicables.

Objectifs liés au reporting interne


299. Un reporting interne fiable, incluant des tableaux de bord prospectifs et des tableaux
de bord de la performance, fournit au management les informations exactes et com
plètes dont il a besoin pour gérer l’organisation. Il constitue un support pour la prise
de décision ainsi que pour le pilotage des activités et de la performance de l’entité. Ce
reporting peut par exemple prendre la forme de résultats de campagnes de marketing,
de rapports quotidiens sur les ventes, sur la qualité de la production et sur la satisfac
tion des collaborateurs et de la clientèle. Les objectifs liés au reporting interne sont
basés sur les priorités, le jugement et le style de management.
300. Les objectifs liés au reporting interne varient selon les entités parce que chacune
d’elles a ses propres buts, orientations stratégiques et seuils de tolérance au risque.
Comme pour le reporting externe, le reporting interne reflète le niveau de précision et
d’exactitude requis en interne et pour les besoins des activités sous-jacentes, présen
tant les transactions et les événements de l’entité concernée dans la limite des écarts
acceptables.
301. De nombreuses organisations s’appuient sur des normes externes pour gérer leurs
activités. Ces normes peuvent porter sur le contrôle des systèmes d’information, la
gestion des ressources humaines ou la gestion des données. Toutefois, les normes qui
s’appliquent au reporting externe peuvent ne pas s’appliquer au reporting interne ; le
management peut donc décider de fixer des niveaux d’écarts acceptables différents
pour le reporting externe et interne.
302. Comme les autres types de reporting, le reporting interne :
utilisedes critères fixés par des tiers tels qu’établis dans les éventuels normes ou
référentiels, applicables selon le cas ;
classe et résume des informations de façon raisonnable et suffisamment précise en
veillant à ce qu’elles ne soient ni trop détaillées, ni trop résumées ;

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 119

reflète les activités sous-jacentes ;


présente les transactions et les événements avec la précision et l’exactitude requises
pour les besoins de l’utilisateur.

Objectifs liés à la conformité


303. Les lois et règlements fixent des normes minimales de conduite que l’entité intègre
à ses objectifs liés à la conformité. Une entité peut ainsi être amenée, du fait de la

Évaluation des risques


réglementation en matière d’hygiène et de sécurité, à se fixer l’objectif « d’assurer
le conditionnement et l’étiquetage de tous les produits chimiques conformément à la
réglementation ». Les règles et procédures traiteront alors des programmes de commu
nication, des inspections de sites et de la formation aux objectifs liés à la conformité.
Et comme pour les objectifs liés au reporting externe, le management détermine les
variations acceptables de la performance au regard du respect des lois et règlements.
Le respect de ces lois et règlements peut conduire le management à abaisser le niveau
d’écarts acceptables.
304. Les entités doivent exercer leurs activités et, souvent, prendre des mesures particu
lières en application des lois et règlements en vigueur. L’organisation doit savoir quels
lois et règlements s’appliquent à l’ensemble de son périmètre afin d’établir les objectifs
liés à la conformité. En général, bon nombre de dispositions légales et réglementaires
sont connues, comme celles relatives au signalement de la corruption, aux conditions
de travail équitables et à l’environnement ; d’autres peuvent en revanche être moins
connues comme celles qui s’appliquent aux activités à l’étranger.
305. Nombre de lois et règlements dépendent de facteurs externes et ont tendance à être
similaires pour toutes les entités ou pour l’ensemble d’un secteur. Ces obligations
peuvent avoir trait, par exemple, aux marchés, aux droits de douane, aux impôts, à
l’environnement, à la protection sociale ou au commerce international. De nombreuses
entités définiront des objectifs tels que :
la prévention et la détection d’agissements délictueux ou autres agissements
répréhensibles ;
la préparation et le dépôt des déclarations fiscales avant l’échéance et conformément
aux exigences réglementaires ;
l’inclusion
d’informations nutritionnelles sur l’emballage de produits alimentaires
conformément aux lignes directrices applicables ;
l’exploitation
d’un parc automobile répondant aux normes d’émission de polluants
atmosphériques.

https://marketingebooks.tk/
120 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

IDENTIFIER ET ANALYSER LES RISQUES

Principe n° 7 : L’organisation identifie les risques susceptibles


d’affecter la réalisation de ses objectifs dans l’ensemble de son
périmètre et procède à leur analyse de façon à déterminer comment
ils doivent être gérés.

Points d’attention
306. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
englober l’entité, les filiales, les divisions, les unités opérationnelles et les services
fonctionnels : l’organisation identifie et évalue les risques à l’échelle de l’entité, au
niveau des filiales, des divisions, des unités opérationnelles et des services fonc
tionnels impliqués dans la réalisation des objectifs ;
analyser les facteurs internes et externes : l’identification des risques tient compte
des facteurs internes et externes et de leur impact sur la réalisation des objectifs ;
impliquer les niveaux appropriés du management : l’organisation met en place des
dispositifs efficaces d’évaluation des risques qui impliquent les niveaux appropriés
du management ;
estimer l’importance des risques identifiés : les risques identifiés sont analysés grâce
à un processus qui inclut l’estimation de l’importance potentielle des risques ;
déterminer les modalités de traitement des risques : l’évaluation des risques permet
de définir la façon dont le risque doit être géré et s’il doit être accepté, évité, réduit
ou partagé.

Identification des risques


307. L’identification et l’analyse des risques constituent un processus continu et itératif
destiné à accroître la capacité de l’entité à atteindre ses objectifs. Une entité peut ne
pas formuler explicitement tous ses objectifs, cela ne signifie pas pour autant qu’un
objectif implicite est exempt de risque interne ou externe. Quel que soit le niveau
d’explicitation des objectifs, le processus d’évaluation des risques devrait prendre en
compte les risques potentiels. Ce processus s’appuie sur des activités, des techniques
et des mécanismes divers, chacun participant à l’évaluation globale des risques. Le
management développe et met en œuvre les contrôles liés à ces activités.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 121

308. Le management tient compte des risques à tous les niveaux de l’entité et prend les
mesures nécessaires à leur traitement. L’évaluation tient compte de facteurs influençant
la sévérité, la vélocité et la persistance des risques, la probabilité de perte d’actifs et l’im
pact sur les opérations, le reporting et la conformité. L’entité doit également appréhender
son seuil de tolérance aux risques et sa capacité à exercer ses activités dans ces limites.
309. L’identification des risques doit être la plus complète possible. Elle doit tenir compte
de toutes les interactions significatives – des biens, des services et des informations –
internes à l’entité et entre celle-c i et ses partenaires ou ses prestataires externes. Ces

Évaluation des risques


derniers peuvent être des fournisseurs existants et potentiels, des investisseurs, des
créanciers, des actionnaires, des collaborateurs, des clients, des acheteurs, des inter
médiaires et des concurrents, ainsi que des instances publiques et des médias. En
outre, l’organisation devra tenir compte des risques liés à des facteurs externes tels que
les nouveaux textes de lois ou règlements ainsi que leurs modifications, les questions
environnementales ou les catastrophes naturelles.
310. Par ailleurs, les risques principalement liés à une catégorie d’objectifs peuvent affecter
la réalisation d’objectifs relevant d’autres catégories. Par exemple, un risque affectant
principalement un objectif opérationnel de production et de livraison en temps voulu
d’un produit peut affecter également le reporting financier si le contrat commercial
de la société prévoit des pénalités pour retard de livraison. Ainsi, dans le cas où une
organisation s’intéresserait principalement aux risques affectant une catégorie d’ob
jectifs, par exemple le reporting financier, le processus d’évaluation des risques peut
devoir s’intéresser aux objectifs relevant d’autres catégories mais qui sont susceptibles
d’avoir un impact sur les objectifs liés au reporting financier.
311. L’identification des risques est un processus itératif qui est souvent intégré au proces
sus de planification. Toutefois, il peut être utile de réexaminer avec un regard neuf les
risques identifiés et de ne pas se contenter de faire un inventaire des risques identifiés
lors de la revue précédente. La priorité est d’identifier les risques susceptibles d’affec
ter la réalisation des objectifs, ainsi que les risques émergents, c’est-à- d ire ceux qui
deviennent de plus en plus importants pour l’entité et peuvent être gérés en passant en
revue et en analysant les facteurs de risque, aussi improbables qu’ils puissent paraître.

Considérer l’entité dans son ensemble et ses différentes composantes


312. L’identification des risques envisage les risques à différents niveaux de la structure
de l’entité, tant au niveau global qu’au niveau de ses composantes, et des processus
tels que les ventes, les ressources humaines, le marketing, la production et les achats.
L’identification des risques à l’échelle de l’entité est généralement effectuée à un
niveau relativement macroscopique et, le plus souvent, ne comprend pas l’évaluation
des risques au niveau des transactions. En revanche, à l’échelle d’un processus, l’iden

https://marketingebooks.tk/
122 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

tification des risques est par nature plus détaillée et comprendra une évaluation des
risques au niveau des transactions.
313. En outre, l’évaluation tient compte des risques inhérents aux prestataires externes, aux
principaux fournisseurs et aux partenaires qui ont, directement ou indirectement, un
impact sur la réalisation des objectifs de l’entité.

Facteurs internes et externes


314. Le management tient compte des risques liés aux facteurs internes et externes. Le
risque est dynamique ; en conséquence, pour déterminer la fréquence du processus
d’évaluation des risques, le management tient généralement compte de la rapidité
d’évolution des risques susceptibles de compromettre la réalisation des objectifs, de
ses autres priorités opérationnelles et des coûts. Généralement, ce processus est une
combinaison d’évaluations continues et périodiques des risques. Lorsque le rythme de
changement d’un objectif est plus rapide, ou lorsque des facteurs internes ou externes
deviennent plus importants, il est utile d’accroître la fréquence d’évaluation des
risques ou de les évaluer en temps réel.

Risques à l’échelle de l’entité


315. Les risques à l’échelle de l’entité peuvent être la conséquence de facteurs externes ou
internes. Parmi les facteurs externes, citons :
les facteurs économiques : les changements peuvent affecter le financement, l’ac
cessibilité aux capitaux et les barrières à l’entrée de concurrents ;
les facteurs environnementaux : les catastrophes naturelles ou d’origine humaine
ainsi que les changements climatiques peuvent entraîner une modification des acti
vités, réduire la disponibilité des matières premières, provoquer des pannes des
systèmes d’information, soulignant la nécessité de plans de continuité ;
les facteurs réglementaires : une nouvelle norme de reporting qui peut imposer de
modifier ou d’élargir un reporting lié à une entité juridique, à l’ensemble du modèle
organisationnel ou une ligne d’activité ; une nouvelle loi anti-t rust ou une nouvelle
réglementation qui peut imposer un changement de la stratégie et des politiques
liées aux opérations et au reporting ;
les activités à l’étranger : un changement de gouvernement dans une zone d’im
plantation peut aboutir à de nouvelles dispositions légales et réglementaires ou à la
modification du régime fiscal ;
les facteurs sociaux : l’évolution des besoins ou des attentes de la clientèle peuvent
affecter le développement des produits, le processus de production, les services à la
clientèle, les politiques tarifaires et les garanties ;

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 123

les facteurs technologiques : les évolutions peuvent affecter la disponibilité des


données et leur utilisation, les coûts liés aux infrastructures et la demande crois
sante de services informatisés.
316. Les facteurs internes comprennent :
les facteurs liés aux infrastructures : les décisions concernant l’utilisation des res
sources en capital peuvent affecter le fonctionnement et la disponibilité continue
des infrastructures ;

Évaluation des risques


la structure de management : un changement dans les responsabilités du manage
ment peut avoir un impact sur la façon dont certains contrôles sont effectués ;
les collaborateurs : la qualité des collaborateurs et les méthodes de formation et de
motivation peuvent influencer le degré de sensibilisation au contrôle au sein de l’entité ;
l’expiration des contrats de travail peut avoir un impact sur la disponibilité des salariés ;
l’accès aux actifs : la nature des activités, ainsi que l’accès des collaborateurs aux
actifs, peuvent contribuer au détournement d’actifs ou au vol ;
système d’information : la mise hors service provisoire des systèmes d’information
peut avoir un impact négatif sur les activités de l’entité.
317. L’identification, à l’échelle de l’entité, des facteurs de risques externes et internes est
essentielle pour procéder à une évaluation complète des risques. Une fois identifiés les
principaux facteurs, le management peut examiner leur pertinence et leur importance
et, lorsque cela est possible, relier ces facteurs à des risques et des activités spécifiques.
318. Par exemple, un importateur dans le secteur du prêt-à-porter et de la chaussure s’est
fixé pour objectif à l’échelle de l’entité de devenir leader dans le domaine des articles
de mode haut de gamme. L’entité a considéré des risques généraux tels que l’impact
d’une détérioration de la situation économique, l’absence de demande pour les pro
duits, l’arrivée de nouveaux concurrents sur le marché, et les changements légaux et
réglementaires en matière de protection de l’environnement. En outre, l’entité a tenu
compte des risques à l’échelle de l’entité, tels que :
les sources d’approvisionnement, notamment la qualité, le nombre et la stabilité des
fabricants étrangers ;
l’exposition aux fluctuations des taux de change ;
la réception dans les délais des produits expédiés et les retards dans les contrôles
douaniers ;
la capacité et la fiabilité des sociétés de fret, ainsi que les coûts ;
la probabilité de tensions internationales et d’embargos commerciaux ;
la pression des clients et des investisseurs en faveur du boycott d’un pays dont les
politiques gouvernementales sont jugées inacceptables ;

https://marketingebooks.tk/
124 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

les attentes des consommateurs ou des parties prenantes locales concernant l’utili
sation des ressources naturelles.

Risques au niveau des transactions


319. Les risques sont identifiés au niveau des transactions au sein des filiales, des divisions,
des unités opérationnelles ou des fonctions, y compris les processus métier tels que les
ventes, les achats, la production et le marketing. À ce niveau, la gestion des risques
contribue à donner la priorité à la réalisation des objectifs découlant de ceux fixés à
l’échelle de l’entité. Une bonne évaluation des risques au niveau transactionnel contri
bue également au maintien, à un niveau acceptable, de risques à l’échelle de l’entité.
320. Dans la plupart des cas, de nombreux risques différents peuvent être identifiés. Dans
le domaine de l’approvisionnement, par exemple, une entité peut s’être fixé comme
objectif de maintenir les stocks de matières premières à un niveau adéquat. Le risque
de ne pas réaliser cet objectif peut provenir de la fourniture de matières ne répondant
pas au cahier des charges ou n’étant pas en quantité suffisante, dans les délais ou à des
prix acceptables. À l’échelle de l’entité, ces risques peuvent avoir un effet sur les objec
tifs relatifs aux modalités de communication des spécifications des marchandises aux
fournisseurs, à l’utilisation et à l’exactitude des prévisions de production, à l’identifica
tion de sources d’approvisionnement alternatives, et au déroulement des négociations.
321. Les causes potentielles de non-r éalisation d’un objectif sont plus ou moins évidentes.
Il est clair que les risques ayant un impact significatif sur l’entité devraient être iden
tifiés. Pour éviter de passer à côté de risques importants, il vaut mieux dissocier leur
identification de l’évaluation de leur probabilité d’occurrence. Le processus d’identifi
cation comporte, cependant, quelques limites d’ordre pratique et il est souvent difficile
de déterminer jusqu’où il est raisonnable d’aller. Par exemple, il ne semble pas per
tinent d’effectuer une évaluation détaillée du risque qu’une météorite tombe sur une
usine ; en revanche, une entité située à proximité d’un aéroport peut raisonnablement
évaluer de façon relativement détaillée le risque de crash d’un avion.

Analyse des risques


322. Une fois les risques à l’échelle de l’entité et au niveau des transactions identifiés, une
analyse des risques doit être réalisée. Il existe différentes méthodes pour procéder
à cette analyse, notamment parce que bien des risques sont difficiles à quantifier.
Toutefois, le processus – qui peut être plus ou moins formel – comprend généralement
l’évaluation de la probabilité d’occurrence du risque et l’estimation de son impact.
Le processus peut également tenir compte d’autres critères si le management le juge
nécessaire.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 125

Niveaux de management
323. Comme pour les autres processus du contrôle interne, la responsabilité et le devoir
de rendre compte des processus d’identification et d’analyse des risques relèvent du
management, au niveau de l’entité et au niveau des unités. L’organisation met en place
des dispositifs efficaces d’évaluation des risques impliquant les niveaux de manage
ment appropriés disposant de l’expertise requise.

Importance des risques

Évaluation des risques


324. Dans le cadre de l’analyse des risques, l’organisation évalue l’importance des risques sus
ceptibles de compromettre la réalisation des objectifs généraux et des objectifs détaillés.
Les organisations peuvent effectuer cette évaluation en se basant sur les critères suivants :
probabilité d’occurrence du risque et son impact ;
vélocité ou rapidité de l’impact lorsque le risque survient ;
persistance ou durée de l’impact après la survenance du risque.
325. « Probabilité » et « impact » sont deux termes couramment utilisés, bien que certaines
entités en utilisent d’autres tels que vraisemblance, criticité, sévérité ou conséquence.
La probabilité représente la possibilité qu’un événement donné survienne, tandis que
l’impact représente son effet. Ces mots prennent parfois des sens spécifiques, « vrai
semblance » indiquant la possibilité de survenance d’un risque donné en termes quali
tatifs (élevée, moyenne ou faible) et « probabilité » indiquant une mesure quantitative
comme un pourcentage, une fréquence d’occurrence ou un autre indicateur numérique.
326. La vélocité du risque désigne la vitesse à laquelle l’entité devrait subir l’impact du
risque. Par exemple, un fabricant de produits électroniques de grande consommation
peut être préoccupé par l’évolution des préférences des consommateurs et par le res
pect des limites concernant l’énergie radioélectrique. Une absence de gestion de ces
risques peut entraîner une érosion de la valeur de l’entité qui peut aller jusqu’à sa
disparition. En l’occurrence, les changements légaux et réglementaires surviennent
nettement plus lentement que les évolutions des préférences des consommateurs.
327. Le management a généralement recours à des mesures de la performance pour déter
miner le degré de réalisation de ses objectifs et utilise habituellement une unité de
mesure identique ou cohérente pour évaluer l’impact potentiel d’un risque sur la réa
lisation d’un objectif donné. Par exemple, une entité ayant pour objectif de maintenir
un certain niveau de service à la clientèle aura défini une note ou une mesure cor
respondant à cet objectif, comme un indice de satisfaction de la clientèle, le nombre
de plaintes ou le ratio de clientèle récurrente. Lorsqu’elle détermine l’impact d’un
risque sur le service à la clientèle, tel que l’inaccessibilité provisoire du site Internet
de l’entité, cet impact sera évalué plus justement en utilisant les mêmes indicateurs.

https://marketingebooks.tk/
126 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

328. Un risque sans impact significatif sur l’entité et dont la probabilité de survenance est
faible ne nécessite généralement pas de traitement détaillé du risque. En revanche, un
risque ayant une probabilité de survenance plus élevée et/ou un impact potentiel signi
ficatif doit faire l’objet d’une grande attention. Les risques ayant un impact potentiel
élevé, mais une faible probabilité de survenance doivent également être pris en compte
– l’idée que ces risques « ne peuvent pas survenir dans l’entité » du fait de leur faible
probabilité doit être écartée, car même de faibles probabilités peuvent se concrétiser.
L’analyse des risques ayant une faible probabilité est d’autant plus importante que leur
impact potentiel peut persister sur une longue période. Par exemple, l’impact à long
terme de dommages environnementaux provoqués par l’entité peut être considéré très
différemment de celui lié à un arrêt technique de plusieurs jours dans une usine.
329. Les estimations de l’importance du risque sont souvent réalisées à partir de données
issues de l’historique des événements, qui constituent une base relativement objective.
Les données générées en interne basées sur l’expérience d’une entité peuvent être plus
pertinentes et produire de meilleurs résultats que les données provenant de sources
externes. Néanmoins, les données provenant de sources externes peuvent être utiles à
titre de référence ou pour renforcer l’analyse. Ainsi, lorsqu’il procède à l’évaluation des
risques d’interruption de la production provoquée par une panne des équipements, le
management peut d’abord examiner la fréquence et l’impact des précédentes pannes
de ses installations. Ces informations peuvent ensuite être complétées par une analyse
comparative avec les données du secteur. Ceci permet d’établir une estimation plus pré
cise de la probabilité et de l’impact des pannes et de mieux planifier la maintenance afin
de les éviter. Notons par ailleurs que l’utilisation de données sur des événements passés
qui surviennent peu fréquemment peut déboucher sur des conclusions incomplètes.
330. En outre, le management peut souhaiter évaluer des risques à un horizon correspon
dant à celui des objectifs concernés. De nombreuses entités ont des objectifs axés sur
le court-moyen terme ; le management analyse donc les risques liés à ces horizons.
Toutefois, certains objectifs peuvent se situer à plus long terme et le management doit
tenir compte des risques plus lointains.

Risque inhérent et résiduel


331. Le management doit considérer à la fois le risque inhérent et le risque résiduel. Le
risque inhérent désigne le risque susceptible d’affecter la réalisation des objectifs
auquel une entité est confrontée en l’absence de mesures prises par le management
pour en atténuer la probabilité ou l’impact. Le risque résiduel désigne le risque qui
demeure et qui est susceptible d’affecter la réalisation des objectifs après que le mana
gement a défini et mis en œuvre les modalités de traitement. L’analyse des risques
s’applique tout d’abord au risque inhérent. Une fois les modalités de traitement des

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 127

risques définies, comme détaillé ci-après, le management examine le risque résiduel.


Évaluer le risque inhérent, en plus du risque résiduel, peut aider l’organisation à com
prendre l’étendue des modalités de traitement nécessaires.

Traitement du risque
332. Une fois évaluée l’importance potentielle des risques, le management examine la
façon dont ils devraient être gérés. Pour ce faire, il doit faire appel à son jugement, en
se basant sur certaines hypothèses concernant le risque, et sur une analyse raisonnable

Évaluation des risques


des coûts qu’il serait nécessaire d’engager pour le réduire. Il n’est pas nécessaire que
le traitement ramène le risque résiduel au niveau le plus bas possible. Mais le mana
gement doit réexaminer et réviser le traitement si le risque résiduel dépasse le seuil de
tolérance acceptable pour le management et le conseil. En conséquence, la recherche
de l’équilibre entre risque et seuil de tolérance peut nécessiter un processus itératif.
333. Il existe quatre types de traitement des risques :
acceptation : aucune mesure n’est prise pour modifier la probabilité du risque et son
impact ;
évitement : abandon des activités à l’origine du risque ; l’évitement du risque peut
avoir pour conséquence d’interrompre une ligne de produits, de renoncer à l’expan
sion sur un nouveau marché ou de vendre une division ;
réduction : des mesures sont prises afin de réduire la probabilité d’occurrence ou
l’impact du risque, ou les deux à la fois ; ce qui implique tout un ensemble de déci
sions opérationnelles courantes ;
partage : diminution de la probabilité ou de l’impact du risque en transférant ou en par
tageant une partie du risque. Parmi les techniques courantes, citons les contrats d’assu
rance, la mise en place de joint-ventures ou d’alliances stratégiques, la mise en place
d’opérations de couverture de risques financiers ou l’externalisation d’une activité.
334. Lorsqu’il définit les modalités de traitement des risques, le management doit tenir
compte des éléments suivants :
leur effet potentiel sur l’importance du risque et les modalités de traitement qui
correspondent le mieux à la tolérance au risque de l’entité ;
la séparation des tâches nécessaire pour que le traitement des risques réduise effec
tivement leur importance ;
le rapport coûts/bénéfices des traitements potentiels.

Évaluation des modalités possibles de traitement des risques


335. Lorsqu’il évalue les possibilités de traitement d’un risque, le management tient compte
de leur portée – en particulier leur effet attendu sur la probabilité et l’impact du risque

https://marketingebooks.tk/
128 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

– en reconnaissant qu’elles peuvent les affecter différemment. Prenons par exemple


une société possédant un centre informatique situé dans une région sujette à de fré
quents orages. Elle élabore un plan de continuité d’activité qui, sans avoir d’effet sur la
probabilité de survenance d’un orage, réduit l’impact des dommages sur le bâtiment ou
celui lié à l’impossibilité pour les collaborateurs de se rendre sur leur lieu de travail en
cas d’orage. A contrario, elle peut faire le choix de déménager le centre informatique
dans une autre région, ce qui ne diminuera pas l’impact d’un orage similaire, mais
réduira sa probabilité d’occurrence à proximité du nouveau site.
336. Les ressources sont toujours contraintes et les entités doivent analyser le rapport coûts/
bénéfices des différentes modalités envisageables pour le traitement des risques. Avant
d’instaurer des procédures additionnelles, le management doit déterminer si celles qui
existent sont adéquates pour traiter les risques identifiés. Dans la mesure où des procé
dures couvrent parfois de multiples objectifs, les dirigeants peuvent s’apercevoir que
des mesures supplémentaires ne sont pas justifiées, ou que les procédures existantes
sont suffisantes ou doivent tout simplement être appliquées de façon plus rigoureuse.

Traitements choisis
337. Il convient de faire une distinction entre l’évaluation des risques, qui fait partie du
contrôle interne, et le choix des modalités de traitement des risques ainsi que les plans,
les programmes ou autres actions liés, qui font partie du processus de gestion. Le
contrôle interne ne couvre pas la pertinence du choix des modalités de traitement des
risques. Par exemple, le management peut choisir de partager le risque lié aux sys
tèmes d’information en externalisant certains aspects du traitement de ses systèmes
auprès d’une entité dont c’est le métier (sachant que, ce faisant, elle peut s’exposer à
de nouveaux risques) tandis qu’une autre entité pourra en revanche décider de conser
ver son traitement informatique et développer les contrôles généraux adéquats pour
gérer les risques associés. Aucun de ces choix ne peut être considéré comme bon
ou mauvais, les deux pouvant être efficaces pour gérer les risques liés aux systèmes
d’information. En revanche, si le traitement retenu ne permet pas de ramener le risque
résiduel dans la limite de la tolérance au risque pour l’une des catégories d’objectifs, le
management doit le réexaminer et reconsidérer le traitement du risque.
338. Une fois que le management a choisi de réduire ou de partager le risque, il peut alors
déterminer les mesures de traitement du risque, puis sélectionner et développer les
activités de contrôle associées. La nature et l’étendue du traitement du risque et des
activités de contrôle associées dépendront, au moins partiellement, du niveau souhaité
de maîtrise des risques (voir le chapitre 7). Dans certains cas, le management peut
sélectionner un traitement qui nécessite d’agir sur une autre composante du contrôle
interne – par exemple en renforçant une partie de l’environnement de contrôle.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 129

339. Généralement, les activités de contrôle ne sont pas nécessaires lorsqu’une entité
décide d’accepter ou d’éviter un risque donné. Par exemple, une société minière expo
sée à un risque important de fluctuation des prix des matières premières, peut décider
d’accepter le risque si elle estime que les investisseurs en sont informés et acceptent ce
risque. Dans ce cas, le management ne mettrait pas en place des activités de contrôle
liées à l’exposition au risque de fluctuation des prix des matières premières, mais
plutôt des activités de contrôle portant sur des critères de qualité du reporting finan
cier, notamment sur leur exhaustivité et leur évaluation. Dans certains cas, cependant,

Évaluation des risques


l’organisation peut décider d’éviter un risque mais choisir, pour ce faire, de dévelop
per des activités de contrôle. Par exemple, pour éviter d’éventuels problèmes liés aux
pratiques commerciales déloyales, une organisation peut mettre en place des activités
de contrôle interdisant d’acheter à certaines entités. Il peut être nécessaire pour le
management de revoir le niveau de risque à la lumière de changements qui le rendent
inacceptable (par exemple s’il dépasse le seuil de tolérance de l’organisation). Lorsque
le management décide de ne pas analyser un risque ou ne l’identifie pas en tant que
tel, il l’accepte de facto sans tenir compte des changements qui pourraient affecter son
évolution potentielle ou le faire sortir de la tolérance au risque de l’organisation.

ÉVALUER LE RISQUE DE FRAUDE


Principe n° 8 : L’organisation intègre le risque de fraude dans son
évaluation des risques susceptibles d’affecter la réalisation des objectifs.

Points d’attention
340. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
envisager différents types de fraude : l’évaluation du risque de fraude couvre le repor
ting frauduleux, la perte éventuelle d’actifs, et la corruption découlant des différentes
possibilités de survenance d’une fraude ou d’un comportement répréhensible ;
évaluer les incitations et les pressions : l’évaluation du risque de fraude tient compte
des incitations et des pressions ;
évaluer les opportunités : l’évaluation du risque de fraude prend en considération
les opportunités d’acquisition, d’utilisation ou de cession non autorisées d’actifs, de
modification des registres comptables ou d’autres agissements inappropriés ;
: l’évaluation du risque de fraude tient
évaluer les comportements et les justifications
compte de la façon dont le management et les collaborateurs pourraient commettre
ou justifier des actes inappropriés.

https://marketingebooks.tk/
130 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Types de fraude
341. L’évaluation des risques comprend l’évaluation, par le management, des risques liés au
reporting frauduleux et à la sauvegarde des actifs de l’entité. En outre, le management
envisage d’éventuels actes de corruption, tant par les salariés que par les prestataires
externes, qui ont un impact direct sur la capacité de l’entité à réaliser ses objectifs.
342. Les actions entrant dans le cadre de l’application de ce principe sont étroitement liées
au principe précédent (« Identifier et analyser les risques »), qui évalue les risques en
présupposant que les normes déontologiques34 sont respectées par le management, les
collaborateurs et les prestataires externes. Le principe « Évaluer le risque de fraude »
est mis en œuvre quant à lui dans un contexte différent, et concerne les cas où les actes
individuels s’écartent des normes de conduite attendues. Le management peut éga
lement tenir compte du point d’attention relatif au principe d’identification et d’ana
lyse des risques lors de la conception, de la mise en place et du pilotage du contrôle
interne. Par exemple, le traitement des risques identifiés dans le cadre de ce principe
relève des catégories précitées (accepter, éviter, réduire et partager). Et, comme il a
déjà été précisé, il est essentiel de sélectionner et de développer les contrôles relatifs
aux modalités de traitement des risques spécifiques privilégiés par le management
afin de maîtriser les risques de fraude.

Reporting frauduleux
343. Un reporting frauduleux peut se produire lorsque le reporting d’une entité comporte
des omissions ou des inexactitudes volontaires. C’est le cas lorsque des montants sont
perçus ou dépensés sans autorisation, ou lors de malversations financières ou d’autres
irrégularités dans les informations présentées. Un système de contrôle interne relatif
au reporting financier est conçu et mis en œuvre pour prévenir ou détecter en temps
voulu une omission ou une inexactitude significative dans les états financiers, qu’elle
provienne d’une fraude ou d’une erreur.
344. Lorsqu’elles évaluent les risques susceptibles de compromettre la réalisation des
objectifs liés au reporting financier, les organisations tiennent généralement compte
des fraudes éventuelles dans les domaines suivants :
reporting financier frauduleux : un acte intentionnel destiné à tromper les utilisa
teurs des rapports financiers externes et qui peut se traduire par une omission ou
une inexactitude significative dans ces rapports financiers ;

34. NdT : la « déontologie » constitue l’ensemble des devoirs qui régissent une profession. Ces devoirs se fondent
sur le respect de l’« éthique », un ensemble de valeurs morales qui guident les comportements, au- delà des obliga
tions définies sur le plan légal. Les deux termes ont été employés pour traduire, selon le contexte, le terme « ethical ».

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 131

reporting extra-financier frauduleux : un acte intentionnel destiné à tromper les


utilisateurs du reporting extra-financier, notamment en matière de développement
durable, de santé et de sécurité, d’emploi, et qui peut entraîner un reporting bien
moins précis que le niveau requis ;
détournement d’actifs : le vol des actifs de l’entité ayant pour effet l’existence pos
sible d’une omission ou d’une inexactitude significative dans la communication
financière externe ;

Évaluation des risques


agissements illégaux : les violations de lois ou de règlements susceptibles d’avoir
un impact direct ou indirect significatif sur la communication financière externe.
345. Dans le cadre du processus d’évaluation des risques, l’organisation devrait identi
fier comment le reporting frauduleux peut se produire en tenant compte des facteurs
suivants :
le niveau de biais associé à la sélection, par le management, des principes
comptables ;
le niveau des estimations et des jugements dans l’élaboration du reporting externe ;
les schémas et scénarios de fraude répandus dans les secteurs d’activité et les mar
chés de l’entité ;
les régions dans lesquelles l’entité développe ses activités ;
les incitations pouvant conduire à commettre des actes frauduleux ;
la nature des systèmes d’information utilisés et la capacité du management à mani
puler les informations ;
les transactions inhabituelles ou complexes pouvant être fortement influencées par
le management ;
la vulnérabilité à un contournement éventuel par le management et les possibilités
de passer outre les activités de contrôle existantes.
346. Dans certains cas, l’organisation peut ne pas être à même de gérer directement les
informations nécessaires pour le reporting financier, mais est pourtant censée dispo
ser des contrôles au sein de l’entité permettant d’identifier, d’analyser et de traiter un
risque donné. Par exemple, le management d’un fournisseur de logiciels peut ne pas
être capable d’empêcher que les collaborateurs de son distributeur en ligne commu
niquent des chiffres de vente sous- évalués afin de minorer les sommes dues au four
nisseur. Toutefois, la société de logiciels peut mettre en place des activités de contrôle
lui permettant de détecter ce type de reporting en comparant le nombre des nouveaux
enregistrements aux volumes des ventes.
347. En outre, les risques inhérents à l’enregistrement complet et exact des pertes d’actifs
dans les états financiers de l’entité constituent un objectif lié au reporting. Plus préci

https://marketingebooks.tk/
132 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

sément, pour le reporting financier, des omissions ou inexactitudes peuvent provenir


du non- enregistrement d’une perte d’actifs, de la manipulation des états financiers
afin de dissimuler la perte, ou de l’enregistrement de transactions en dehors de la
période de reporting correspondante. Par exemple, une entité peut ne pas arrêter les
comptes pendant une période prolongée suivant la clôture pour y intégrer des ventes
supplémentaires, comptabiliser de façon irrégulière des transferts intragroupe de
stocks ou fausser l’amortissement de ses immobilisations.

Sauvegarde des actifs


348. Il s’agit de la protection contre l’acquisition, l’utilisation ou la cession délibérée mais
non autorisée d’actifs. Une utilisation inappropriée des actifs d’une entité peut béné
ficier à une personne ou à un groupe de personnes. L’acquisition, l’utilisation et la
cession non autorisées d’actifs peuvent concerner des activités telles que la commer
cialisation illégale, le vol d’actifs, l’atteinte à la propriété intellectuelle, les opérations
de souscription-rachat hors délais (late trading) et le blanchiment de capitaux.
349. La sauvegarde des actifs relève généralement des objectifs liés aux opérations, bien
que certains aspects puissent être liés à d’autres catégories d’objectifs. En termes
d’opérations, le management peut envisager l’utilisation inappropriée des actifs et
autres ressources d’une entité, notamment la propriété intellectuelle, et prévenir les
pertes liées au vol, au gaspillage ou à la négligence. Les actifs d’une entité peuvent
également se déprécier du fait d’une inefficacité ou tout simplement à cause d’une
mauvaise décision opérationnelle, par exemple la vente d’un produit à un prix trop bas
ou l’octroi d’un crédit risqué – ces situations relèvent des objectifs liés aux opérations,
et ne relèvent pas directement de la sauvegarde des actifs.
350. Lorsqu’il existe des obligations légales ou réglementaires, le management tient compte
des risques liés à la sauvegarde des actifs en lien avec les objectifs liés à la confor
mité. Par exemple, une entité peut volontairement établir un reporting réglementaire
inexact afin d’éviter un contrôle et des pénalités.
351. Quel que soit l’objectif affecté, la responsabilité et le devoir de rendre compte relatifs à
la prévention des pertes ainsi qu’aux politiques et procédures de lutte contre la fraude
incombent au management de l’entité et de ses unités concernées par le risque.

Corruption
352. Outre l’évaluation des risques liés à la sauvegarde des actifs et au reporting frauduleux,
le management tient compte des situations de corruption susceptibles de se produire au
sein de l’entité. La corruption concerne généralement la catégorie des objectifs liés à
la conformité, mais peut aussi bien affecter l’environnement de contrôle et, de ce fait,
avoir un impact sur les objectifs liés au reporting financier externe de l’entité. Ceci

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 133

implique de considérer la compatibilité des incitations et des pressions en faveur de


la réalisation des objectifs dans le cadre du respect des normes de conduite attendues,
ainsi que l’environnement de contrôle, en particulier les mesures liées aux principes
n° 4 (« Démontrer son engagement en faveur du développement des compétences ») et
n° 5 « (Instaurer un devoir de rendre compte »). Les aspects de la corruption qui sont
pris en compte dans un contexte de reporting financier externe relèvent généralement
des actes illégaux prévus par la législation relative à l’activité.
353. Lorsqu’elle évalue les situations éventuelles de corruption, l’entité n’est pas censée gérer

Évaluation des risques


directement les agissements des collaborateurs des organisations externes, notam
ment ceux des activités externalisées, des clients, des fournisseurs ou des consultants.
Toutefois, selon le niveau de risque évalué, le management peut, dans ses relations
contractuelles, indiquer le niveau de performance et les normes de conduite attendus,
et développer des activités de contrôle permettant de surveiller les actes des tiers. Et, si
nécessaire, le management traite les actions de tiers identifiées comme inhabituelles.

Contournement par le management


354. Les contournements par le management sont des actes visant à déroger aux contrôles
pour un motif illégitime, notamment l’enrichissement personnel ou l’amélioration de
la présentation de la situation financière d’une entité ou de sa conformité. Par exemple,
pour permettre une expédition importante de biens à un client affichant un profil
de crédit inacceptable, un manager voulant augmenter le chiffre d’affaires déroge au
contrôle interne en autorisant une opération de vente suspendue par un responsable qui
a effectué le contrôle correctement. Ces abus ne sont généralement pas documentés ou
communiqués et ce, à des fins de dissimulation.
355. Il convient de distinguer les contournements par le management de ses dérogations,
celles- ci désignant le fait que le management s’écarte des contrôles conçus à des fins
légitimes. Une dérogation du management est parfois nécessaire lors de transactions
non récurrentes ou non standard, ou lors d’événements qui sinon ne seraient pas gérés
de manière appropriée. Les dérogations du management sont nécessaires car les
contrôles ne peuvent être conçus pour anticiper et maîtriser tous les risques. En règle
générale, les dérogations du management se font de manière ouverte et documentée,
ou en informant les collaborateurs appropriés.
356. Dans le cadre de l’évaluation du risque de fraude, le management évalue le risque de
contournement du contrôle interne. Le conseil ou des comités du conseil (par exemple,
le comité d’audit) supervisent cette évaluation et, selon les circonstances, font des
critiques constructives à l’attention du management. L’environnement de contrôle de
l’entité peut avoir une influence significative sur le risque de contournement par le

https://marketingebooks.tk/
134 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

management. Ce point est particulièrement important pour les petites entités dans
lesquelles la direction générale peut être très impliquée dans de nombreux contrôles.

Facteurs affectant le risque de fraude


Incitations et pressions
357. L’évaluation du risque de fraude nécessite de tenir compte des possibilités de com
mettre une fraude, ainsi que des comportements et des justifications. En cas de perte
d’actifs, de reporting frauduleux ou de corruption, il existe généralement des incita
tions et des pressions ou des possibilités d’accéder à ces actifs, et des comportements
et des justifications qui prétendent expliquer les actes. Souvent, les incitations et les
pressions découlent de l’environnement de contrôle et y sont liées, comme analysé
dans le principe n° 5 (« Instaurer un devoir de rendre compte »). Dans le cadre de
l’évaluation du risque de fraude, l’organisation tient compte des incitations et des pres
sions éventuelles, ainsi que de l’impact potentiel sur le risque de fraude.

Opportunité
358. L’opportunité désigne la capacité à acquérir, utiliser ou céder des actifs qui peut s’ac
compagner d’une modification des comptes de l’entité. Ceux qui commettent des actes
inappropriés pensent généralement que leurs activités ne seront pas mises au jour.
L’opportunité naît de la faiblesse des activités de contrôle et du pilotage, d’une mau
vaise surveillance et du contournement éventuel des contrôles par le management.
Par exemple, la probabilité d’une perte d’actifs ou d’un reporting externe frauduleux
augmente lorsqu’il existe :
une structure organisationnelle complexe ou instable ;
un taux élevé de rotation de collaborateurs des services en charge de la comptabilité,
de la gestion des risques, de l’audit interne ou des systèmes d’information ;
une mauvaise conception ou faible exécution des activités de contrôle ;
des systèmes d’information inefficaces.

Comportements et justifications
359. Les attitudes des personnes commettant des actes inappropriés et leurs justifications
peuvent par exemple être les suivantes :
une personne qui considère l’utilisation de ressources comme un « emprunt », et a
l’intention de rembourser l’argent volé ;
une personne qui estime que quelque chose lui est dû en raison d’une insatisfaction
professionnelle (salaire, poste, façon dont elle est traitée par les managers, etc.) ;

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 135

une personne qui ne comprend pas ou n’est pas préoccupée par les conséquences de
ses actes ou par les notions généralement admises de décence et de confiance.

Autres aspects de l’évaluation du risque de fraude


360. Il est possible de maîtriser la probabilité d’un risque de fraude en agissant sur les autres
composantes du contrôle interne ou en changeant les unités opérationnelles, les processus
métier et les activités. Une entité peut décider de vendre certaines activités susceptibles

Évaluation des risques


d’être exposées à des risques plus élevés sur le plan des comportements individuels, de
cesser d’exercer des activités dans certaines régions, de réaffecter les rôles parmi les
collaborateurs pour renforcer la séparation des tâches, ou de réorganiser ses processus
afin d’éviter des risques inacceptables. Par exemple, le risque de détournement de fonds
peut être réduit en remplaçant plusieurs processus de paiement dans chaque site par une
fonction de traitement des paiements centralisée avec une plus grande séparation des
tâches. Le risque de corruption peut être réduit en surveillant étroitement le processus
d’approvisionnement. Le risque de fraude sur les états financiers peut être réduit en
créant des centres de services partagés fournissant des services comptables à plusieurs
segments, sociétés affiliées ou sites d’une entité. Un centre de services partagés peut
être moins facilement influencé par les managers locaux et peut être à même de mettre
en œuvre à meilleur coût des programmes de lutte contre la fraude plus complets.
361. À la suite de la détection par le management d’un reporting frauduleux, d’une sau
vegarde insuffisante des actifs ou d’actes de corruption, il pourra être nécessaire de
mettre en place des plans d’action. Outre le traitement direct des actions inappro
priées, il peut être nécessaire de revoir le processus d’évaluation des risques ou de
corriger certains éléments d’autres composantes du contrôle interne.

IDENTIFIER ET ANALYSER LES CHANGEMENTS SIGNIFICATIFS

Principe n° 9 : L’organisation identifie et évalue les changements qui


pourraient avoir un impact significatif sur le système de contrôle interne.

Points d’attention
362. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
évaluer les évolutions de l’environnement externe : le processus d’identification des
risques tient compte des évolutions de l’environnement réglementaire, économique
et physique dans lequel l’entité exerce ses activités ;

https://marketingebooks.tk/
136 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

évaluer les évolutions du modèle économique : l’organisation tient compte de


l’impact potentiel de nouvelles lignes d’activité, des changements en profondeur
affectant les lignes existantes, et des activités acquises ou cédées sur le système de
contrôle interne, d’une croissance rapide, de l’évolution de la dépendance vis- à-vis
d’autres zones géographiques, et des nouvelles technologies ;
évaluer les changements de management : l’organisation tient compte de l’effet des
changements de management et des évolutions du comportement et de la philoso
phie du management sur le système de contrôle interne.

Évaluation des changements


363. L’étendue et la nature du leadership d’une entité, ses priorités, son modèle économique,
sa structure, ses processus opérationnels et ses activités doivent s’adapter et évoluer
au fil des changements de l’environnement économique, sectoriel et réglementaire.
Un contrôle interne efficace dans des conditions données ne le sera pas obligatoire
ment si ces conditions changent significativement. Dans le cadre de l’évaluation des
risques, le management identifie les changements pouvant avoir un impact significatif
sur le système de contrôle interne de l’entité, et prend les mesures qui s’imposent.
Chaque entité devra donc disposer d’un processus pour identifier et évaluer les fac
teurs internes et externes susceptibles de compromettre de façon significative sa capa
cité à réaliser ses objectifs.
364. Ce processus se superposera au processus habituel d’évaluation des risques de l’entité
ou en fera partie intégrante. Il implique d’identifier les changements apportés aux
hypothèses ou aux conditions importantes. Il nécessite d’avoir mis en place les pro
cessus pour identifier et communiquer les changements pouvant affecter la réalisation
des objectifs de l’entité – et pour évaluer les risques y afférents. Une telle analyse
inclut l’identification des facteurs susceptibles de conduire à la réalisation ou à la
non-réalisation des objectifs, l’évaluation de la probabilité que surviennent de telles
circonstances et de leur effet probable sur la réalisation des objectifs, ainsi que l’ap
préciation de la capacité à gérer les risques correspondants.
365. Bien que le processus de gestion des changements d’une entité puisse être similaire à
son processus habituel d’évaluation des risques, et puisse même en faire partie inté
grante, il doit être analysé séparément. Ceci parce qu’il est primordial pour l’effica
cité du contrôle interne, et parce qu’il est facile de le négliger ou d’y accorder une
attention insuffisante dans la gestion courante. Le management élabore des approches
pour identifier les changements significatifs qui ont été apportés ou vont être pro
chainement apportés aux principales hypothèses ou conditions. Dans la mesure du
possible, ces mécanismes sont prospectifs, de façon à ce que l’entité puisse anticiper

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 137

et planifier les changements importants. Des systèmes d’alerte doivent être mis en
place afin d’identifier les informations signalant de nouveaux risques pouvant avoir
un impact sur l’entité. Le management développe et met en œuvre les contrôles liés à
ces approches.
366. Il est impératif d’être attentif au changement parce que certains facteurs peuvent
avoir un impact potentiel significatif. L’attention que le management doit porter à ces
facteurs dépend à l’évidence de l’importance des conséquences qu’ils peuvent avoir
compte tenu des circonstances.

Évaluation des risques


L’environnement externe
Évolution de l’environnement externe : les évolutions de l’environnement écono
mique ou réglementaire peuvent accroître les pressions concurrentielles, modifier
les exigences opérationnelles et entraîner des risques très différents. Les incidents
opérationnels, les manquements en matière de reporting et de conformité, s’ils sont à
grande échelle, peuvent déboucher sur l’introduction rapide de nouvelles exigences
légales et réglementaires. Par exemple, le rejet de matières dangereuses à proximité
de zones habitées ou sensibles sur le plan environnemental peut déboucher sur de
nouvelles restrictions relatives au transport pour l’ensemble d’un secteur, et affecter
la logistique d’expédition ; les informations externes considérées comme peu trans
parentes peuvent aboutir à un renforcement des exigences en matière de reporting
pour toutes les sociétés cotées ; et le mauvais traitement de personnes âgées dans un
établissement spécialisé peut être à l’origine d’un durcissement des exigences pour
tous les établissements. Chacun de ces changements peut contraindre une organi
sation à réexaminer attentivement la conception de son système de contrôle interne.
Évolution de l’environnement physique : les catastrophes naturelles ayant un impact
direct sur l’entité, la chaîne d’approvisionnement et les partenaires commerciaux
peuvent entraîner des risques accrus dont une entité doit tenir compte pour pour
suivre ses activités. Par exemple, une organisation peut devoir trouver d’autres
sources d’approvisionnement en matières premières ou délocaliser sa production.

Modèle économique
Évolution du modèle économique : lorsqu’une entité crée de nouvelles activités,
modifie la manière de délivrer ses services à travers de nouveaux prestataires
externes ou modifie profondément ses activités existantes, les dispositifs de
contrôle interne peuvent perdre l’efficacité qu’ils avaient auparavant. La nature
des risques initialement évalués sur lesquels les contrôles étaient basés peut avoir
changé, ou l’impact de ces risques peut s’être aggravé et les dispositifs de contrôle
interne devenir insuffisants. Certaines institutions financières se sont par exemple

https://marketingebooks.tk/
138 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

développées en lançant de nouveaux produits, donnant lieu à de nouvelles concen


trations de risques, sans prêter attention aux traitements nécessaires pour faire face
aux évolutions des risques.
Acquisitions et cessions importantes : lorsqu’une entité décide d’acquérir une acti
vité, elle peut devoir revoir et harmoniser les dispositifs de contrôle interne dans
ce périmètre étendu. Les contrôles existant au sein de l’activité avant l’acquisition
peuvent être insuffisamment développés et ne pas convenir à la nouvelle entité com
binée, ou être difficilement adaptables aux activités de la nouvelle entité. De même,
lorsqu’une activité est cédée, le niveau de variation acceptable peut changer et l’im
portance relative diminuer. En outre, certains contrôles à l’échelle de l’entité cédée
peuvent ne plus exister. L’acquisition ou la cession d’une activité peut conduire à
revoir et éventuellement à modifier les dispositifs de contrôle interne pour soutenir
la réalisation d’objectifs adaptés à l’entité restructurée.
Activités à l’étranger : le développement ou l’acquisition d’activités à l’étranger
entraîne de nouveaux risques, souvent spécifiques. Le développement d’activités
dans de nouveaux pays ou l’externalisation d’activités à l’étranger peut contribuer à
la croissance de l’activité et/ou à réduire ses coûts, mais peut également constituer
de nouvelles difficultés et modifier le type et l’étendue des risques. Exercer des acti
vités dans des marchés mal connus constitue un risque car les coutumes et les pra
tiques sont différentes. Par exemple, l’environnement de contrôle dans un nouveau
contexte risque d’être influencé par la culture et les coutumes locales. Les risques
opérationnels peuvent provenir de facteurs propres à l’économie et à la réglementa
tion locales et aux canaux de communication.
Croissance rapide : lorsque des activités connaissent une expansion forte et rapide,
les structures existantes, les processus opérationnels, les systèmes d’information
ou les ressources peuvent être soumis à des tensions telles que des dysfonctionne
ments peuvent apparaître dans les dispositifs de contrôle interne. Par exemple, en
cas d’augmentation des effectifs affectés à la production ou aux activités de support
pour répondre à la demande, les personnes chargées de la supervision peuvent avoir
des difficultés à s’adapter à l’intensification de l’activité et ne pas pouvoir maintenir
un niveau de contrôle adéquat.
Nouvelles technologies : lorsque de nouvelles technologies sont intégrées à la pro
duction, aux processus de prestation de services ou aux systèmes d’information
sous-jacents, les dispositifs de contrôle interne risquent de devoir être modifiés.
Par exemple, l’introduction d’applications de vente sur des téléphones mobiles peut
nécessiter des contrôles d’accès propres à cette technologie, ainsi qu’une modifica
tion des contrôles liés aux processus d’expédition.

https://marketingebooks.tk/
É VALUATI ON D ES RI SQU ES 139

Changements de cadres dirigeants


367. Renouvellements significatifs de cadres dirigeants : un nouveau membre de la direc
tion générale peut ne pas comprendre la culture de l’entité et véhiculer une philoso
phie différente, ou bien se concentrer uniquement sur la performance aux dépens des
activités de contrôle. Par exemple, un nouveau directeur général se concentrant sur
la croissance du chiffre d’affaires peut laisser penser que la priorité jusqu’ici donnée
à l’efficacité du contrôle interne est désormais moins importante. Par ailleurs, une

Évaluation des risques


forte rotation des collaborateurs, en l’absence de formation et de supervision efficaces,
peut être à l’origine de dysfonctionnements. Par exemple, une société qui diminue ses
effectifs de 25 % dans le but de réduire ses coûts peut induire une érosion de la struc
ture globale du contrôle interne.

https://marketingebooks.tk/
https://marketingebooks.tk/
CHAPITRE 7

Activités de contrôle

368. Résumé : Les activités de contrôle désignent les actions définies pa r les règles et pro
cédures qui visent à apporter l ’assurance raisonnable que les instructions du manage
ment pour maîtris er les risques susceptibles d’affecter la réalisation des objectifs sont
mises en œuvre. Les activités de contrôle sont réalisées à tous les n iveaux de l’entité
et à divers stades des processus métier. Elles peuvent également être mises en œuvre
par l’intermédiaire des systèmes d ’information. Il peut s’agir de contrôles préventifs
ou détectifs, incluant diverses activités manuelles et automatisées, com me des a uto
risatio ns et des approbations, des vérifications, des rapprochements et des revues de
performance opérationnelle. La séparation des tâches est généralement à prendre
en considération dès la sélection et lors du développement des activités de contrôle.
Lorsqu e celle ci n’est pas po s sib le, le management devra sélectionner et développer
des solutions alternatives de contrôle.

https://marketingebooks.tk/
142 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Principes relatifs à la composante « Activités de contrôle »


10. L’organisation sélectionne et développe des activités de contrôle qui visent à maîtriser
et à ramener à un niveau acceptable les risques susceptibles d’affecter la réalisation
des objectifs.
11. L’organisation sélectionne et développe des contrôles généraux informatiques pour
faciliter la réalisation des objectifs.
12. L’organisation déploie les activités de contrôle par le biais de règles qui précisent les
objectifs, et de procédures qui permettent de mettre en œuvre ces règles.

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 143

INTRODUCTION

ité
ns

g
in
io

m
rt
at

or
po
ér
369. Les activités de contrôle

nf

Unité opérationnelle
Re
Op

Co
constituent l’un des méca

Fonction
nismes contribuant à la réalisa
Environnement de contrôle
tion des objectifs d’une entité ;

Division
elles font partie intégrante des
processus qui aident l’entité à Évaluation
Évaluation des
des risques
risques

Entité
réaliser ses objectifs. Elles ne
constituent pas une fin en soi et Activités
Activités de
de contrôle
contrôle
leur mise en place ne peut être
justifiée par le seul fait qu’il Information et communication
s’agit d’une bonne pratique.

Activités de contrôle
370. Les activités de contrôle peuvent Pilotage
Pilotage
servir un ou plusieurs objectifs
de l’entité liés aux opérations, au
reporting et à la conformité. Par exemple, dans le cadre d’une activité de commerce élec
tronique, les contrôles liés à la sécurité des systèmes d’information affectent l’exactitude
et la validité du traitement des transactions avec les consommateurs, la protection de
leurs coordonnées bancaires confidentielles, ainsi que la disponibilité et la sécurité du site
Internet. Dans ce cas, les activités de contrôle soutiennent les objectifs liés au reporting,
à la conformité et aux opérations.

SÉLECTIONNER ET DÉVELOPPER DES ACTIVITÉS DE CONTRÔLE

Principe n° 10 : L’organisation sélectionne et développe des activités


de contrôle qui visent à maîtriser et à ramener à un niveau acceptable
les risques susceptibles d’affecter la réalisation des objectifs.

Points d’attention
371. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
relier les activités de contrôle à l’évaluation des risques : les activités de contrôle
permettent de s’assurer que les modalités de traitement sont mises en œuvre pour
gérer et maîtriser les risques ;

https://marketingebooks.tk/
144 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

tenir compte des facteurs propres à l’entité : le management tient compte de la façon
dont l’environnement, la complexité, la nature et l’étendue de ses activités, ainsi que
les spécificités de son organisation, affectent la sélection et le développement des
activités de contrôle ;
se focaliser sur les processus métier pertinents : le management détermine les pro
cessus nécessitant des activités de contrôle ;
combiner différents types d’activités de contrôle : les activités de contrôle englobent
un large éventail de contrôles et peuvent comprendre un ensemble équilibré d’ap
proches destinées à maîtriser les risques, dont des contrôles manuels et automatisés
ainsi que des contrôles préventifs et détectifs ;
: le mana
tenir compte du niveau auquel doivent s’appliquer les activités de contrôle
gement apprécie la nécessité de développer des activités de contrôle aux différents
niveaux de l’entité ;
tenir compte de la séparation des tâches : le management sépare les tâches incom
patibles et lorsqu’il n’est pas possible de le faire, il sélectionne et développe des
activités de contrôle alternatives.

Activités de contrôle reliées à l’évaluation des risques


372. Les activités de contrôle soutiennent toutes les composantes du contrôle interne, mais
sont plus particulièrement en phase avec la composante « Évaluation des risques ».
Parallèlement à l’évaluation des risques, le management identifie et met en œuvre des
modalités de traitement des risques. Généralement, les activités de contrôle ne sont pas
nécessaires lorsqu’une entité décide d’accepter ou d’éviter un risque donné. Toutefois,
dans ce dernier cas, il peut parfois s’avérer nécessaire de mettre en place des activités
de contrôle pour s’assurer que les risques sont effectivement évités. La sélection et le
développement des activités de contrôle seront fonction des décisions éventuellement
prises pour la réduction ou le partage des risques. La nature et l’étendue du traitement
du risque ainsi que les activités de contrôle associées dépendront, au moins partielle
ment, du niveau acceptable de maîtrise du risque défini par le management.
373. Les activités de contrôle sont les actions permettant d’assurer que les mesures de traite
ment des risques et les autres instructions du management – comme la mise en place de
normes de conduite dans l’environnement de contrôle – sont mises en œuvre de manière
appropriée et en temps utile. Par exemple, une société fixe l’objectif opérationnel « d’at
teindre ou de dépasser ses objectifs de vente pour la période de reporting suivante » ; le
management identifie le risque que les collaborateurs soient insuffisamment informés
des besoins actuels et potentiels des clients. Pour gérer ce risque, le management peut
notamment mettre à disposition des historiques d’achat pour les clients existants et faire

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 145

des études de marché pour mieux comprendre comment l’organisation peut attirer des
clients potentiels. Les activités de contrôle peuvent comprendre le suivi du développe
ment des historiques d’achats des clients par rapport au calendrier prévu, et des mesures
permettant de s’assurer que les informations sont exactes.

Périmètre des processus métier pertinents


374. Lorsqu’il décide de mettre en œuvre des mesures de maîtrise des risques, le manage
ment tient compte de tous les aspects des composantes du contrôle interne, ainsi que
des processus métier, des systèmes d’information et des sites concernés par les acti
vités de contrôle. Le management peut donc être amené à tenir compte des activités
de contrôle en dehors de l’unité opérationnelle, notamment pour les services partagés,
les centres informatiques et les processus ou les fonctions externalisés. Par exemple,
les entités peuvent avoir à élaborer des activités de contrôle pour gérer l’intégrité des
informations envoyées et reçues de prestataires externes.

Activités de contrôle
Facteurs propres à l’entité
375. Chaque entité ayant ses propres objectifs et sa propre manière de les décliner, les
risques, les modalités de traitement des risques et les activités de contrôle seront égale
ment différents pour chacune. Même si deux entités ont des objectifs et des structures
identiques, leurs activités de contrôle peuvent être différentes. Chaque entité est gérée
par des personnes ayant des compétences spécifiques, qui font appel à leur propre
jugement pour prendre des décisions relatives à la mise en œuvre du contrôle interne.
En outre, les contrôles sont le reflet de l’environnement et du secteur dans lesquels
l’entité opère, de la complexité de sa structure organisationnelle, de son histoire, de sa
culture, de sa nature et de l’étendue de ses opérations.
376. Les facteurs propres à l’entité peuvent affecter les activités de contrôle qui soutiennent
le système de contrôle interne. Par exemple :
l’environnement et la complexité d’une entité, comme la nature et l’étendue de ses
opérations, tant sur les plans géographique qu’opérationnel, ont un impact sur ses
activités de contrôle ;
les modalités de traitement des risques et les activités de contrôle associées sont
plus complexes pour les entités fortement réglementées que pour les entités moins
réglementées ;
l’étendue et la nature des modalités de traitement des risques et les activités de
contrôle sont généralement plus complexes dans le cas d’une entité multinationale
ayant des activités diversifiées que dans le cas d’une entité locale ayant des activités
moins diversifiées ;

https://marketingebooks.tk/
146 RÉFÉRENTIEL IN TÉGRÉ DE CONTRÔLE INTERNE

une entité ayant un progiciel de gestion intégré sophistiqué (type ERP) aura des
activités de contrôle différentes de celle utilisant un progiciel de comptabilité
standard ;
une entité ayant des activités décentralisées et mettant l’accent sur l’autonomie
locale et l’innovation a besoin de contrôles différents de ceux d’une entité dont les
activités sont récurrentes et très centralisées.

Activités de contrôle des processus métier


377. Les processus métier sont mis en œuvre dans l’ensemble de l’entité pour lui permettre
de réaliser ses objectifs. Ces processus métier peuvent être communs à tous les sec
teurs d’activité (tels que les achats, les relations avec les fournisseurs ou le traitement
des ventes) ou propres à un secteur donné (tel que le traitement des réclamations, les
services fiduciaires ou les opérations de forage). Chacun de ces processus transforme
les entrées (inputs) en sorties (outputs) grâce à une série de transactions ou d’activi
tés 35. Les activités de contrôle qui étayent les mesures de maîtrise des risques associés
au traitement des transactions dans le cadre des processus métier sont souvent dénom
mées « contrôles applicatifs » ou « contrôles des transactions »36.
378. Les contrôles des transactions représentent les activités de contrôle les plus fonda
mentales au sein d’une entité, car ils s’appliquent aux modalités de traitement des
risques déployées au sein des processus métier pour que les objectifs du management
soient atteints. Les contrôles des transactions sont sélectionnés et développés sur l’en
semble des périmètres concernés par les processus métier, qu’il s’agisse du processus
de consolidation au plus haut niveau ou du processus de relation clientèle dans une
unité opérationnelle.
379. Un processus métier couvrira probablement plusieurs objectifs généraux et objectifs
détaillés, chacun présentant son propre portefeuille de risques ainsi que les modalités
de traitement spécifiques y afférentes. Une façon usuelle de consolider efficacement
les risques inhérents aux processus métier est de les regrouper en fonction des objec
tifs d’exhaustivité, d’exactitude et de validité du traitement des informations 37.

35. Le terme « transaction » est généralement associé aux processus financiers (par exemple les transactions
fournisseurs), tandis que le terme « activité » s’applique plus spécifiquement aux processus opérationnels ou de
conformité. Dans le Référentiel, le terme « transaction » s’applique aux deux.
36. Le terme « contrôles des transactions » est utilisé dans le Référentiel pour désigner les contrôles manuels et
automatisés.
37. Tout en étant liés sur le plan conceptuel et terminologique, les objectifs liés au traitement des informations et
les critères de qualité des états financiers sont différents. Les critères de qualité des états financiers sont propres

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 147

380. Les définitions suivantes des objectifs liés au traitement des informations sont utili
sées dans le Référentiel 38 :
exhaustivité : les transactions réalisées sont enregistrées. Une organisation peut
par exemple maîtriser le risque de ne pas traiter toutes les transactions avec des
fournisseurs en sélectionnant des actions et des contrôles des transactions qui vont
fournir l’assurance raisonnable que toutes les opérations de facturation sont traitées
au travers du processus de gestion des achats et des fournisseurs ;
exactitude : les transactions sont enregistrées pour les bons montants dans les
comptes appropriés (et en temps voulu) à chaque étape du traitement. Par exemple,
les contrôles des transactions sur les données élémentaires et les données de réfé
rence telles que les tarifs dans le fichier maître des fournisseurs, permettent de
vérifier l’exactitude du traitement d’une transaction d’achat. Dans le contexte d’un
processus opérationnel, l’exactitude peut être étendue au concept plus large de qua

Activités de contrôle
lité (par exemple, l’exactitude et la précision d’une pièce fabriquée) ;
validité : les transactions enregistrées représentent des événements économiques
qui sont survenus et ont été exécutés conformément aux procédures définies. La
validité est généralement obtenue grâce à des activités de contrôle englobant l’auto
risation des transactions selon les règles et les procédures d’une organisation (c’est-
à- dire l’approbation par une personne autorisée). À titre d’exemple, dans un contexte
opérationnel, les pièces utilisées pour fabriquer une automobile sont achetées à un
fournisseur autorisé.
381. Le risque de retard dans le traitement des transactions peut être considéré comme un
risque distinct, ou intégré à l’objectif d’exhaustivité ou d’exactitude de traitement des
informations. La restriction d’accès, qui est un aspect important dans la plupart des
processus métier, est souvent incluse dans l’objectif de traitement des informations
parce qu’en l’absence de restriction d’accès aux transactions dans un processus métier,
les activités de contrôle peuvent être contournées et la séparation des tâches peut ne
pas être assurée.
382. La restriction d’accès est particulièrement importante lorsque le système d’information
fait partie intégrante des processus ou des activités d’une organisation. Par exemple,
de nombreuses organisations utilisent des applications ERP. La configuration de la
sécurité et des restrictions d’accès dans ces applications peut être très complexe et

à la fiabilité du reporting financier, tandis que les objectifs liés au traitement des informations s’appliquent au
traitement des transactions.
38. Les objectifs de traitement des informations désignent les objectifs de l’entité en ce qui concerne les activités
de contrôle, et constituent par conséquent des objectifs détaillés dans le cadre du système de contrôle interne.

https://marketingebooks.tk/
148 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

nécessiter des connaissances techniques et une approche systématique. Ces aspects


de la restriction d’accès sont plus amplement détaillés dans la section « Processus de
gestion de la sécurité » du principe n° 11.
383. Si les objectifs liés au traitement des informations sont le plus souvent associés aux
processus et aux transactions financières, le concept peut être appliqué à n’importe
quelle activité dans une organisation. Par exemple, un fabricant de bonbons s’efforcera
de mettre en œuvre des activités de contrôle qui assurent que tous les ingrédients sont
intégrés au processus de fabrication (exhaustivité), dans les bonnes proportions (exac
titude), et provenant de fournisseurs ayant réussi le test de qualité (validité).
384. Autre exemple, les objectifs liés au traitement des informations et les activités de
contrôle associées s’appliquent également aux processus de prise de décision par le
management impliquant de faire particulièrement appel au jugement et à des esti
mations. En l’espèce, le management devrait tenir compte de l’exhaustivité de l’iden
tification des facteurs significatifs affectant les estimations pour lesquelles il doit
élaborer et justifier des hypothèses. De même, le management devrait tenir compte
de la validité et du caractère raisonnable de ces hypothèses et de l’exactitude de ses
modèles estimatifs.
385. Si le management tient compte des objectifs liés au traitement des informations, cela
ne veut pas dire que l’organisation ne commettra jamais d’erreur de jugement ou
d’estimation ; les jugements et les estimations sont toujours sujets à l’erreur humaine.
Toutefois, lorsque des activités de contrôle appropriées sont mises en œuvre et que
les informations utilisées par le management sont, à son avis, exactes, exhaustives et
valides, la probabilité de prendre la bonne décision est plus forte.

Types d’activités de contrôle des transactions


386. Différentes activités de contrôle des transactions peuvent être sélectionnées et déve
loppées, notamment :
les autorisations et les approbations : une autorisation atteste qu’une transaction est
valide (c’est-à- d ire par exemple qu’elle représente un événement économique réel
ou correspond aux règles de l’entité). Une autorisation peut prendre généralement
la forme d’une approbation par un niveau hiérarchique plus élevé ou d’une revue de
validité de la transaction. C’est le cas par exemple d’un superviseur qui approuve
une note de frais après avoir vérifié le caractère raisonnable de ces frais et leur
conformité aux règles. Une approbation automatisée peut se traduire par la compa
raison automatique du montant d’une facture avec le montant du bon de commande
dans les limites d’un seuil de tolérance prédéterminé. Les factures qui ne dépassent
pas le seuil de tolérance sont alors automatiquement approuvées afin d’être réglées.

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 149

En revanche, les factures dépassant le seuil de tolérance sont signalées et doivent


faire l’objet de recherches supplémentaires ;
les vérifications : les vérifications comparent deux éléments ou plus entre eux, ou
un élément et une règle, et incluent une action de suivi en cas d’écart entre les
deux éléments ou de non-respect de la règle. Citons par exemple les rapprochements
informatiques, ou les contrôles de cohérence. Les vérifications portent générale
ment sur l’exhaustivité, l’exactitude ou la validité des transactions traitées ;
les contrôles physiques : les équipements, les stocks, les valeurs mobilières, les
liquidités et autres actifs font l’objet d’une protection physique (par exemple en
étant mis sous clé ou conservés dans des zones de stockage dont l’accès est limité
aux collaborateurs autorisés), et font régulièrement l’objet d’un inventaire et d’une
comparaison avec les montants figurant dans les registres ;
les contrôles des données permanentes : les données permanentes, telles que le

Activités de contrôle
fichier maître des tarifs, sont souvent utilisées à l’appui du traitement des tran
sactions dans un processus métier. L’organisation met en œuvre des activités de
contrôle au sein des processus afin de collecter les données, de les mettre à jour et
de veiller en continu à leur exactitude, leur exhaustivité et leur validité ;
les rapprochements : les rapprochements comparent deux séries de données ou plus.
Si des différences sont identifiées, des mesures sont prises pour faire concorder les
données. Les rapprochements portent généralement sur l’exhaustivité et/ou l’exac
titude des transactions ;
les contrôles de supervision : les contrôles de supervision évaluent si les autres
activités de contrôle des transactions (vérifications spécifiques, rapprochements,
autorisations et approbations, contrôles des données permanentes et contrôles phy
siques) sont exhaustives, exactes et conformes aux règles et aux procédures. Le
management fait généralement appel à son jugement pour sélectionner et déve
lopper les contrôles de supervision des transactions à haut risque. Par exemple, un
superviseur peut examiner 39 si les rapprochements effectués par un comptable sont
conformes à la règle. Il peut s’agir d’un examen superficiel (par exemple, vérifier
si le tableur de rapprochement est renseigné), ou d’un examen plus approfondi (par
exemple, vérifier si des éléments de rapprochement ont été suivis et corrigés ou
convenablement justifiés).

39. Les revues de supervision peuvent relever soit des activités de contrôle, soit du pilotage. La différence est
plus amplement détaillée dans le chapitre 9, « Pilotage ».

https://marketingebooks.tk/
150 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

387. Les activités de contrôle peuvent être des contrôles préventifs ou détectifs et les orga
nisations sélectionnent généralement des contrôles des deux types qui se distinguent
principalement par le moment où l’activité de contrôle est réalisée. Un contrôle pré
ventif est destiné à éviter un événement ou un résultat imprévu à la date d’occurrence
initiale (par exemple lors de la comptabilisation initiale d’une transaction financière
ou lors du démarrage d’un processus de fabrication). Un contrôle détectif vise à iden
tifier un événement ou un résultat imprévu après le traitement initial, mais avant la
réalisation de l’objectif final (par exemple, la publication de rapports financiers ou la
réalisation d’un processus de fabrication). Dans les deux cas, la partie essentielle de
l’activité de contrôle est l’action entreprise pour corriger ou éviter un événement ou
un résultat non voulu.
388. Lors de la sélection et du développement des activités de contrôle, l’organisation tient
compte de leur précision – c’est-à- d ire du degré d’exactitude avec lequel elles prévien
dront ou détecteront un événement ou un résultat non voulu. Supposons par exemple
que le directeur des achats d’une société examine tous les achats d’un montant supé
rieur à 1 million. L’activité de contrôle peut maîtriser le risque d’erreurs supérieures
à ce seuil et contribuer à limiter l’exposition de l’entité, mais elle ne couvre pas toutes
les transactions. En revanche, un contrôle de validation automatisé qui compare les
prix de tous les bons de commande avec le fichier maître et produit un rapport d’ano
malies examiné par un superviseur des achats permet de vérifier l’exactitude de toutes
les transactions. La précision des activités de contrôle est étroitement liée à la tolé
rance au risque de l’organisation pour un objectif donné (plus la tolérance au risque
est faible, plus les mesures pour maîtriser le risque et les contrôles associés doivent
être précises).
389. Lors de la sélection et du développement des activités de contrôle, il est important de
comprendre ce qu’un contrôle est censé accomplir (le traitement du risque spécifique
géré par le contrôle) et si sa conception et sa mise en œuvre permettront de maîtriser
le risque. Par exemple, les commandes clients font l’objet d’un contrôle de validation
manuel ou automatisé qui rapproche l’adresse de facturation et le code postal d’un
client avec les informations d’un fichier maître clients. En cas d’échec du rapproche
ment, des mesures correctives seront prises. L’activité de contrôle contribue à l’objec
tif lié à l’exactitude du traitement des informations.
390. En revanche, il ne contribue pas à la réalisation de l’objectif lié à l’exhaustivité du
traitement des informations (c’est-à-d ire la vérification du traitement de toutes les
commandes). Une autre activité de contrôle, telle que la numérotation séquentielle des
commandes puis la vérification du traitement de toutes les commandes serait néces
saire pour en vérifier l’exhaustivité.

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 151

Système d’information et activités de contrôle


391. Les activités de contrôle et le système d’information40 sont liés de deux façons :
le système d’information soutient les processus métier : lorsque le système d’infor
mation est intégré aux processus métier de l’entité, par exemple la production robo
tisée dans une usine, des activités de contrôle sont nécessaires pour maîtriser le
risque qu’un dysfonctionnement du système d’information empêche la réalisation
des objectifs de l’organisation ;
le système d’information est utilisé pour automatiser les activités de contrôle : de
nombreuses activités de contrôle sont partiellement ou intégralement automati
sées grâce au système d’information. Ces procédures sont dénommées « activités
de contrôle automatisées » ou « contrôles automatisés » dans le Référentiel. Les
contrôles automatisés englobent les contrôles automatisés des transactions finan
cières tels que les rapprochements commande/livraison/facture réalisés dans un

Activités de contrôle
ERP pour le processus achat, et les contrôles informatiques dans les processus opé
rationnels ou de conformité, tels que la vérification du bon fonctionnement d’une
centrale électrique. L’activité de contrôle est parfois totalement automatisée : c’est
le cas par exemple lorsqu’un système détecte une erreur dans la transmission des
données. Il rejette alors la transmission et demande automatiquement une nouvelle
transmission. Dans d’autres cas, il existe une combinaison de procédures automa
tisées et manuelles : par exemple, le système détecte automatiquement une erreur
dans la transmission, mais une personne doit intervenir manuellement pour initier
la nouvelle transmission. Un contrôle manuel peut également dépendre des infor
mations d’un système, comme les rapports informatisés à l’appui de l’analyse des
écarts entre le budget prévisionnel et les réalisations.
392. La plupart des processus métier comprennent à la fois des contrôles manuels et des
contrôles automatisés en fonction des systèmes d’information utilisés par l’entité. Les
contrôles automatisés ont tendance à être plus fiables – à condition que les contrôles
informatiques généraux, abordés ultérieurement, soient mis en place et fonctionnent.
En effet, ils sont moins sujets au jugement et à l’erreur humaine, et sont généralement
plus efficaces.

40. Le terme « technology » a été traduit par « système d’information » lorsque, comme ici, le Référentiel vise des
technologies informatiques, notamment les logiciels, les systèmes de contrôle de la production, etc.

https://marketingebooks.tk/
152 RÉFÉR ENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Déclinaison des activités de contrôle dans l’organisation


393. Outre les contrôles réalisés au niveau des transactions, l’organisation sélectionne et
développe un éventail de contrôles qui fonctionnent plus globalement et à des niveaux
plus élevés de l’organisation. Ces activités de contrôle plus larges sont généralement
constituées de revues analytiques ou de revues de performance opérationnelle 41 et
impliquent la comparaison de différentes séries de données opérationnelles ou finan
cières. Ces analyses donnent lieu à des mesures correctives lorsque des résultats non
conformes aux règles et aux attentes sont identifiés. Les contrôles des transactions
et les revues de performance opérationnelle se conjuguent pour contribuer à des
démarches de traitement des risques à différents niveaux. Ils font donc partie inté
grante de la combinaison des contrôles définie par l’organisation.
394. Par exemple, une unité opérationnelle peut mettre en place des revues de performance
opérationnelle du processus achats intégrant les écarts de prix d’achats, le pourcentage
de commandes en urgence et le ratio des retours rapportés au total des commandes. En
analysant les résultats atypiques ou les tendances inhabituelles, le management peut
par exemple détecter les circonstances dans lesquelles les objectifs liés aux achats
n’ont pas été réalisés.
395. Une revue de performance opérationnelle peut prendre une autre forme lorsque la
direction générale effectue une revue de la performance réelle comparativement aux
budgets, aux prévisions, aux périodes antérieures et aux performances des concur
rents. Les grands projets sont suivis : programmes marketing, programmes d’amé
lioration de la productivité, programmes de maîtrise ou de réduction des coûts pour
mesurer le niveau de réalisation des objectifs. Le management revoit l’avancement du
développement de nouveaux produits, les opportunités de création de joint-ventures
ou les besoins de financement. Les mesures prises par le management pour analyser
et suivre toutes les informations relatives à ces revues sont des activités de contrôle.
396. L’étendue d’une revue de performance opérationnelle (c’est-à- d ire le nombre de
risques détaillés qu’elle couvre) aura tendance à être plus importante que dans le cadre
des contrôles des transactions. Par ailleurs, le périmètre organisationnel couvert aura
tendance à être plus important car une revue de performance opérationnelle est géné
ralement réalisée à un niveau plus élevé de l’organisation que les contrôles des tran
sactions. Bien que réalisée à un niveau plus global, cette revue doit être suffisamment
précise pour détecter tous les écarts qui se situeraient au- delà du seuil de tolérance
au risque défini. Un contrôle des transactions peut concerner un risque donné, tandis

41. Les revues de la performance opérationnelle peuvent relever soit des activités de contrôle, soit du pilotage.
La différence est plus amplement détaillée dans le chapitre 9, « Pilotage ».

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 153

qu’une revue de performance d’une unité opérationnelle concerne généralement plu


sieurs risques. Par exemple, la revue de performance opérationnelle concernant les
commandes en urgence couvre plusieurs risques du processus des achats, mais pas
nécessairement les risques liés à l’exactitude et l’exhaustivité du traitement de tran
sactions spécifiques.
397. La plupart des revues de performances opérationnelles sont par nature des revues
de détection parce qu’elles sont généralement réalisées après le traitement des tran
sactions. Par conséquent, bien que les contrôles plus globaux soient importants dans
la combinaison des activités de contrôle retenue, il sera difficile de traiter intégrale
ment et efficacement les risques liés aux processus métier sans la mise en œuvre de
contrôles des transactions.

Séparation des tâches

Activités de contrôle
398. Lorsqu’il sélectionne et développe des activités de contrôle, le management devrait
tenir compte de la manière dont sont réparties les tâches entre différentes personnes
afin de réduire les risques d’erreurs ou d’actes inappropriés, voire frauduleux. Cette
prise en compte intégrera l’environnement légal, les obligations réglementaires ainsi
que les attentes des parties prenantes. La séparation des tâches implique généralement
de distinguer les responsabilités en matière d’enregistrement, d’autorisation et d’ap
probation des transactions, mais également en matière de gestion de l’actif concerné.
Par exemple, un manager qui autorise les ventes à crédit ne doit pas être responsable
de la tenue des registres des créances ou du traitement des montants reçus en liquide.
Si une personne est à même d’effectuer toutes ces activités, elle peut par exemple créer
une vente fictive qui ne serait pas détectée. De même, un commercial ne devrait pas
pouvoir modifier les fichiers des tarifs ou des taux de commissions. Une activité de
contrôle dans ce domaine peut consister à revoir les demandes d’accès au système afin
de déterminer si la séparation des tâches est adéquate. Par exemple, si un commercial
demande un accès au système pour modifier les fichiers des tarifs ou des taux de com
missions, sa demande devrait être rejetée.
399. La séparation des tâches peut prévenir des risques importants liés aux éventuels
contournements par le management. Lorsque celui- ci contourne des contrôles exis
tants, c’est souvent pour commettre une fraude. La séparation des tâches est alors
fondamentale pour maîtriser le risque de fraude parce qu’elle diminue, sans toutefois
annuler, la possibilité qu’une personne agisse seule. Toutefois, il demeure toujours un
risque que le management contourne les activités de contrôle. Lorsque la responsabi
lité des processus clés incombe à au moins deux personnes, la collusion sera néces
saire pour qu’un acte frauduleux soit commis. Par ailleurs, la séparation des tâches

https://marketingebooks.tk/
154 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

réduit les erreurs car plusieurs personnes effectuent ou revoient les transactions dans
un même processus, ce qui augmente la probabilité de détection d’une erreur.
400. Malgré tout, il est parfois inapproprié, impossible ou trop onéreux de séparer les
tâches. Par exemple, les petites organisations peuvent ne pas disposer des ressources
suffisantes pour parvenir à une séparation des tâches idéale, et le coût lié à l’embauche
de collaborateurs supplémentaires peut être prohibitif. Dans ce cas, le management
instaure des activités de contrôle alternatives 42. Dans l’exemple cité précédemment,
s’il est possible que le commercial modifie le fichier des tarifs, il convient de mettre
en place un contrôle détectif afin d’effectuer une revue périodique, par une personne
sans lien avec le commercial, pour détecter des modifications éventuelles de tarifs et
tracer leurs justifications.

SÉLECTIONNER ET DÉVELOPPER DES CONTRÔLES


GÉNÉRAUX INFORMATIQUES

Principe n° 11 : L’organisation sélectionne et développe des contrôles


généraux informatiques pour faciliter la réalisation des objectifs.

Points d’attention
401. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
prendre en compte le lien entre l’utilisation des systèmes d’information dans les pro
cessus métier et les contrôles généraux informatiques : le management comprend
et détermine la dépendance et le lien entre processus métier, activités de contrôle
automatisées et contrôles généraux ;
mettre en place les contrôles pertinents liés à l’infrastructure informatique : le
management sélectionne et développe des contrôles relatifs à l’infrastructure infor
matique, qui sont conçus et mis en œuvre afin de contribuer à l’exhaustivité, à
l’exactitude et à la disponibilité du traitement informatique ;

42. Dans le Référentiel, il s’agit de l’expression « contrôles alternatifs » plutôt que « contrôles compensatoires ».
Cette dernière a été souvent utilisée pour décrire des contrôles supplémentaires mis en œuvre en l’absence de
séparation des tâches. Toutefois, elle a évolué pour désigner des activités de contrôle qui maîtrisent l’impact
d’une déficience de contrôle identifiée lors de l’évaluation de l’efficacité opérationnelle des contrôles ; c’est donc
dans ce contexte qu’elle est utilisée dans le Référentiel.

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 155

mettre en place les contrôles pertinents au sein des processus de gestion de la sécu
rité : le management sélectionne et développe des contrôles conçus et mis en œuvre
afin de restreindre les habilitations informatiques aux utilisateurs autorisés dans la
limite de leurs responsabilités, mais également afin de protéger les actifs de l’entité
contre les menaces externes ;
mettre en place les contrôles pertinents liés aux processus d’acquisition, de dévelop
pement et de maintenance des systèmes d’information : afin de réaliser ses objectifs,
le management sélectionne et développe des contrôles liés à l’acquisition, au déve
loppement et à la maintenance des systèmes d’information et de son infrastructure.

Lien entre l’utilisation des systèmes d’information dans les processus


métier et les contrôles généraux informatiques
402. La fiabilité des systèmes d’information – notamment les contrôles automatisés – inté

Activités de contrôle
grés aux processus métier, dépend de la sélection, du développement et du déploiement
des contrôles généraux informatiques 43. Les contrôles généraux informatiques déployés
pour l’acquisition et le développement des systèmes d’information permettent de veil
ler à ce que les contrôles automatisés fonctionnent correctement dès leur conception
et leur mise en place. Les contrôles généraux informatiques permettent également aux
systèmes d’information de continuer à fonctionner correctement une fois mis en œuvre.
403. Par exemple, une organisation souhaite déployer un rapprochement et un contrôle de
saisie afin de vérifier les données saisies en ligne. Si des éléments ne concordent pas
ou sont présentés sous un format inadéquat, une remontée d’information est immé
diatement réalisée de façon à ce que des corrections puissent être apportées. À cette
fin, des messages d’erreur apparaissent à l’écran ou seront regroupés, ultérieurement,
dans un état d’anomalies. Les contrôles généraux informatiques concernant le déve
loppement des systèmes permettent de veiller à ce que les contrôles automatisés fonc
tionnent correctement dès leur conception et leur mise en œuvre (et notamment à ce
que les contrôles de saisie soient en ligne avec la logique commerciale du manage
ment, que les données correspondent à la transaction adéquate ou au bon fichier de
données permanentes, que les messages d’erreur reflètent de manière exacte et com
plète les défaillances, et que toutes les exceptions soient signalées conformément aux
règles de l’organisation).

43. Les termes généralement utilisés pour décrire ces contrôles sont notamment « contrôles informatiques géné
raux », « contrôles généraux », « contrôles des systèmes d’information » (ITGC) ou « contrôles technologiques
généraux ». L’expression « contrôles informatiques généraux » est utilisée ici pour désigner les « contrôles géné
raux liés à la technologie ».

https://marketingebooks.tk/
156 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

404. Une fois ces contrôles automatisés mis en place, les contrôles généraux informatiques
contribuent à assurer leur fonctionnement continu (en veillant par exemple à ce que le
processus de rapprochement utilise les bons fichiers et à ce que ceuxci soient complets
et exacts). Par ailleurs, des contrôles de sécurité adéquats limitent l’accès au système
à ceux qui en ont besoin, ce qui réduit la possibilité de saisie non autorisée dans les
fichiers. Les activités de contrôle relatives aux changements apportés aux systèmes
d’information contribuent à apporter l’assurance raisonnable que ceuxci continuent
de fonctionner comme prévu.
405. Comme pour les autres fonctions de l’entité, des processus sont mis en œuvre pour
sélectionner, développer, faire fonctionner et préserver les systèmes d’information
d’une entité. Ces processus peuvent se limiter à quelques activités liées à l’utilisation
d’une technologie standard acquise auprès d’un tiers (par exemple un tableur), ou être
étendus pour soutenir la technologie acquise et développée en interne. Les contrôles
sélectionnés et développés contribuent à maîtriser les risques inhérents à l’utilisation
des processus informatisés.

Contrôles généraux informatiques


406. Ces contrôles incluent les contrôles afférents à l’infrastructure informatique, à la ges-
tion de la sécurité ainsi qu’à l’acquisition, au développement et à la maintenance des
technologies. Ils s’appliquent à l’ensemble des systèmes d’information – que ce soient
les environnements logiciels sur gros systèmes, les environnements client/serveur,
les ordinateurs, les équipements mobiles, les services informatiques pour l’utilisateur
final (end user computing), ou la technologie opérationnelle telle que les systèmes
de contrôle d’usine ou la production robotisée. L’étendue et le niveau des activités de
contrôle varieront pour chacune de ces technologies en fonction de différents facteurs
tels que la complexité de la technologie et les risques inhérents aux processus métier
sous-jacents. De même que les contrôles des transactions opérationnelles, les contrôles
généraux informatiques peuvent comprendre des contrôles manuels et des contrôles
automatisés.

L’infrastructure informatique
407. Les systèmes d’information nécessitent une infrastructure dédiée, en commençant par
les réseaux de communication reliant les systèmes entre eux et au reste de l’entité,
en passant par les ressources informatiques permettant aux applications de fonction
ner, et l’électricité permettant aux systèmes d’information de fonctionner. L’infras
tructure informatique peut être complexe. Elle peut être partagée par plusieurs unités
opérationnelles au sein de l’entité (par exemple un centre de services partagés), ou

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 157

externalisée, que ce soit à un prestataire externe ou en s’appuyant sur des services


virtuels (par exemple le cloud computing ou « informatique dans les nuages »). Cette
complexité présente des risques qui doivent être compris et gérés. Compte tenu de
l’importance des évolutions possibles dans l’utilisation des systèmes d’information,
l’organisation doit suivre de manière spécifique ces infrastructures afin d’évaluer et
de traiter les nouveaux risques qui leur sont associés.
408. Les activités de contrôle couvrent l’exhaustivité, l’exactitude et la disponibilité du
traitement informatique. Qu’il s’agisse d’une infrastructure de traitement par batch
pour un ordinateur gros système, de traitement en temps réel dans un environnement
client/serveur, d’appareils mobiles ou d’un réseau de communication sophistiqué, les
systèmes d’information font l’objet de vérifications actives et les problèmes détectés
sont, le cas échéant, rapidement corrigés. La maintenance de l’informatique englobe
souvent des procédures de reprise ainsi que des plans de continuité d’activité, selon les
risques et les conséquences d’une panne partielle ou totale.

Activités de contrôle
Processus de gestion de la sécurité
409. La gestion de la sécurité inclut les sous-processus et les activités de contrôle relatifs
à l’accès aux systèmes d’information d’une entité, et notamment aux accès permet
tant d’exécuter des transactions. Elle concerne généralement les droits d’accès aux
données, au système d’exploitation (logiciels systèmes), au réseau, aux applications et
aux matériels. Les contrôles de sécurité liés à l’accès aux données facilitent la sépa
ration des tâches et protègent une entité contre les accès inappropriés ou l’utilisation
non autorisée du système. En prévenant l’utilisation ainsi que les modifications non
autorisées du système, les données et les programmes sont protégés contre des inten
tions malveillantes. C’est le cas par exemple d’une personne qui s’introduit dans les
systèmes afin de commettre une fraude ou d’un acte de vandalisme ou de terrorisme.
Il peut s’agir également d’une simple erreur commise par un collaborateur bien inten
tionné qui utiliserait le compte d’un collègue en congés à des fins professionnelles et
qui commettrait une erreur en exécutant une transaction ou en supprimant un fichier
en raison de son inexpérience.
410. Les menaces peuvent provenir de sources internes et/ou externes. La menace externe
est particulièrement importante pour les entités qui dépendent de réseaux de télécom
munications et d’Internet. Les utilisateurs, les clients et les personnes malveillantes
peuvent se trouver aussi bien à l’autre bout du monde que dans un bureau voisin. La
multiplicité des usages technologiques, ainsi que le nombre de points d’entrée, sou
lignent l’importance de la gestion de la sécurité. Les menaces externes font désormais
partie de l’environnement opérationnel actuel, hautement interconnecté, et la gestion
de ces risques nécessite des efforts constants.

https://marketingebooks.tk/
158 RÉFÉRENTIEL INTÉ GRÉ DE CONTRÔLE INTERNE

411. Les menaces internes peuvent provenir d’anciens collaborateurs ou de collaborateurs


mécontents, qui constituent des risques spécifiques parce qu’ils peuvent être motivés
à porter préjudice à l’entité. De plus, ils sont mieux à même de réussir la réalisation
d’un acte malveillant du fait des accès aux systèmes et de leurs connaissances des
processus de gestion de la sécurité de l’entité.
412. L’accès de l’utilisateur aux systèmes d’information est généralement maîtrisé par des
contrôles authentifiant un utilisateur unique ou une clé d’authentification (token) au
regard d’une liste approuvée. Les contrôles généraux informatiques sont conçus pour
donner un accès uniquement aux utilisateurs autorisés figurant sur une liste approu
vée. Ces activités de contrôle ont généralement pour politique de restreindre l’accès
des utilisateurs autorisés aux applications et aux fonctions correspondant à leurs res
ponsabilités, en respectant le principe de la séparation des tâches. Des activités de
contrôle sont utilisées pour vérifier les demandes d’accès comparativement à la liste
approuvée. D’autres activités de contrôles sont mises en œuvre pour actualiser l’accès
lorsque des collaborateurs changent de poste ou quittent l’entité. Les droits d’accès
sont périodiquement comparés aux règles définies pour vérifier que l’accès reste
approprié. L’accès doit également être contrôlé lorsque différents éléments du système
d’information sont connectés les uns aux autres.

Processus d’acquisition, de développement et de maintenance des systèmes d’information


413. Les contrôles généraux informatiques soutiennent également l’acquisition, le dévelop
pement et la maintenance du système d’information. Par exemple, une méthodologie
de développement44 fournit une structure pour la conception et la mise en œuvre
d’un système en soulignant les étapes spécifiques, la documentation requise, les points
de validation, et facilite le contrôle sur l’acquisition, le développement et la mainte
nance du système d’information. La méthodologie définit des contrôles appropriés
en matière de changements des systèmes d’information au regard, notamment, de la
demande d’approbation des demandes de changement, de l’analyse de ces dernières,
de la vérification du droit légal de l’entité à utiliser ces systèmes d’information comme
elle le fait, de la revue des modifications, des validations et des tests. Elle définit et
met également en œuvre les protocoles pour s’assurer que les modifications sont effec
tuées correctement.
414. Dans certaines sociétés, la méthodologie de développement couvre un champ large,
allant des projets les plus importants jusqu’aux modifications les plus mineures. Dans
d’autres sociétés, il existe un processus distinct pour le développement de nouveaux

44. Ce processus porte différents noms. L’un d’entre eux est « cycle de vie du développement des systèmes ».

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 159

systèmes et un autre pour la gestion des changements. Dans un cas comme dans
l’autre, un processus de gestion du changement sera mis en œuvre pour assurer un
suivi des évolutions tout au long du processus, ces changements pouvant résulter soit
d’un problème qui doit être corrigé, soit d’une demande émanant de la communauté
des utilisateurs.
415. Les contrôles généraux informatiques inclus dans une méthodologie de développe
ment varieront en fonction des risques inhérents à la technologie concernée. Un chan
gement important comportera généralement des risques plus élevés qu’une innovation
mineure ou de faible impact. L’étendue et le niveau des contrôles appliqués seront
proportionnés aux risques potentiels.
416. Le recours au progiciel est une tendance de plus en plus marquée comme alternative
aux développements d’applications internes. Des éditeurs proposent des systèmes inté
grés et souples permettant, grâce au paramétrage, une adaptation aux spécificités de

Activités de contrôle
l’organisation. Certaines méthodologies de développement intègrent l’acquisition de
progiciels comme solution alternative au développement interne et prévoient les pro
cédures de contrôle en termes de choix et d’installation. Une fois sélectionnés et mis
en œuvre, les contrôles généraux précités s’appliquent également au développement et
à la maintenance des systèmes d’information.
417. Une autre possibilité est le recours à l’externalisation. Si, en principe, les mêmes
considérations sont valables, que les contrôles soient effectués en interne ou par un
prestataire externe, l’externalisation présente des risques propres et nécessite souvent
de sélectionner et de développer des contrôles additionnels supplémentaires, notam
ment en matière d’exhaustivité, d’exactitude et de validité des informations échangées
avec les prestataires externes.

DÉPLOYER PAR LE BIAIS DE RÈGLES ET DE PROCÉDURES

Principe n° 12 : L’organisation déploie les activités de contrôle par le


biais de règles qui précisent les objectifs poursuivis, et de procédures
qui permettent de mettre en œuvre ces règles.

Points d’attention
418. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
définirdes règles et des procédures à l’appui du déploiement des instructions du
management : le management établit, grâce à des règles fixant ce qui est attendu et à

https://marketingebooks.tk/
160 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

des procédures précisant les mesures associées, les contrôles qui seront intégrés au
cœur des processus métier et des activités quotidiennes des collaborateurs ;
établir la responsabilité et le devoir de rendre compte de la mise en œuvre des règles
et des procédures : le management assigne la responsabilité et le devoir de rendre
compte des activités de contrôle au personnel d’encadrement (ou à d’autres collabo
rateurs) de l’unité opérationnelle ou de la fonction concernés par le risque ;
exécuter des contrôles en temps voulu : le collaborateur à qui la responsabilité des
contrôles a été assignée les exécute dans les délais définis par les règles et les
procédures ;
prendre les mesures correctives : le collaborateur à qui la responsabilité des contrôles
a été assignée effectue des vérifications et prend des mesures pour traiter les points
identifiés dans le cadre des activités de contrôle ;
faire appel à des collaborateurs compétents pour réaliser les contrôles : des collabo
rateurs compétents, dotés de l’autorité adéquate, exécutent les activités de contrôle
avec la diligence et l’attention qui s’imposent ;
réévaluer les règles et les procédures autant que de besoin : le management revoit
périodiquement les contrôles afin de s’assurer qu’ils restent pertinents, et si néces
saire les actualise.

Règles et procédures
419. Les règles indiquent les mesures préconisées par le management pour mettre en œuvre
le contrôle interne. Ces recommandations peuvent être documentées, expressément
mentionnées dans des communications ou résulter implicitement d’actes et de déci
sions du management. Les procédures sont constituées d’actions permettant la mise
en œuvre de ces règles.
420. Les activités de contrôle sont typiquement liées aux règles et aux procédures qui per
mettent de maîtriser et de ramener à un niveau acceptable les risques susceptibles
d’affecter la réalisation des objectifs. Par exemple, au sein d’une banque commer
ciale, une règle peut prévoir l’examen, par le directeur d’agence, des transactions sur
titres réalisées pour le compte des clients. La procédure consistera à réaliser en temps
voulu cet examen, en utilisant les critères exposés dans la règle tels que la nature et le
volume des transactions sur titres, rapportés au patrimoine du client et à son ancien
neté dans la banque.
421. Les règles et procédures sont souvent communiquées verbalement. Les règles non
écrites peuvent être efficaces lorsqu’elles existent de longue date et sont bien inté
grées. Cela peut être le cas notamment de petites organisations dans lesquelles la com

https://marketingebooks.tk/
AC TIV IT ÉS D E CONT RÔL E 161

munication passe par peu de niveaux hiérarchiques, où un dialogue étroit est maintenu
avec les collaborateurs et où une forte supervision est exercée. Cependant, si elles
constituent une alternative plus économique pour certaines entités, les règles et procé
dures non écrites peuvent être plus facilement contournables et, ainsi, être coûteuses
pour une organisation connaissant une rotation élevée des collaborateurs, et réduire le
devoir de rendre compte. Lorsqu’elles sont soumises à une revue externe, les règles et
procédures devraient être formellement documentées 45.
422. Qu’une règle soit ou non écrite, elle doit établir clairement la responsabilité et le devoir
de rendre compte qui incombent in fine au management de l’entité et de l’unité concernée
par le risque. Les procédures doivent établir clairement les responsabilités des collabo
rateurs effectuant les contrôles. Par ailleurs, les règles doivent être déployées de manière
logique et consciencieuse et les procédures associées doivent être mises en œuvre en
temps utile, de façon rigoureuse et homogène par des collaborateurs compétents.

Activités de contrôle
Exécution en temps voulu
423. Les procédures devraient prévoir à quel moment un contrôle et le suivi des mesures
correctives doivent être mis en œuvre. En effet, des procédures appliquées avec retard
peuvent réduire l’utilité des activités de contrôle. Par exemple, le propriétaire du pro
cessus métier effectue en temps voulu une vérification des droits d’accès des comptes
utilisateurs pour ramener le risque d’accès non autorisé à un niveau acceptable. Si les
intervalles sont plus longs entre les revues, la probabilité d’un retard dans la détection
d’un accès non autorisé augmente.

Mesures correctives
424. Lors de l’exécution des contrôles, les points nécessitant un suivi devraient faire l’objet
d’investigations et, le cas échéant, de mesures correctives. Par exemple, prenons le cas
où le rapprochement de comptes de trésorerie révèle un écart. Le comptable effectue
un suivi avec la personne responsable des encaissements et détecte un montant enre
gistré de manière inappropriée. Le montant reçu sera alors réaffecté et la correction
prise en compte dans le rapprochement.

Compétence
425. Une activité de contrôle bien conçue suppose des collaborateurs compétents dotés de
pouvoirs suffisants pour exécuter les activités de contrôle. Le niveau de compétence
requis pour réaliser une activité de contrôle dépendra de facteurs tels que la com

45. Pour plus de détails sur la documentation, se reporter au chapitre 4, « Considérations additionnelles ».

https://marketingebooks.tk/
162 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

plexité de l’activité de contrôle et le volume des transactions sous-jacentes. En outre,


une procédure perd son utilité si elle est réalisée machinalement, sans une attention
constante aux risques visés par la règle. Les collaborateurs doivent être dotés de pouvoirs
suffisants pour exécuter le contrôle intégralement et prendre des mesures correctives.

Réévaluation périodique
426. Le management réévalue périodiquement la pertinence et l’efficacité des règles et des
procédures ainsi que les contrôles associés, et pas uniquement en réaction à des évolu
tions importantes des risques ou des objectifs de l’entité. Les changements significatifs
sont pris en compte au travers du processus d’évaluation des risques. Les changements
de collaborateurs, de processus et de systèmes d’information peuvent réduire l’effica
cité des contrôles ou rendre certains d’entre eux redondants. Lorsque ces changements
se produisent, le management devrait réévaluer la pertinence des contrôles existants et
les actualiser si nécessaire. Par exemple, si le management met en place une nouvelle
version du module achat d’un ERP en introduisant un contrôle automatisé des transac
tions, il rend redondant et donc superflu l’ancien contrôle manuel.

https://marketingebooks.tk/
CHAPITRE 8

Information et communication

427. Résumé : Dans le cadre de ses responsabilités en matière de contrôle interne et afin
de permettre la réalisation de ses objectifs, toute entité a besoin d’un certain nombre
d’informations. Le management obtient, produit, et utilise des infor mations pertinentes
et de qualité, de source interne ou externe, pour faciliter le fonctionnement du contrôle
interne. La communication est le processus continu et itératif par lequel l’information
nécessai re est fournie, partagée et obtenue. L a communication interne est le vecteur
par lequel l’information est diffusée dans toute l’organisation, en amont, en aval, et de
façon tr ansversale. Elle permet à la direction générale d’adresser aux collaborateurs un
message clair sur l’importa nce des respons abilités de chacun en matière de contrôle.
La communication externe revêt un double aspect : elle permet de recevoir en interne
des informations externes pert inentes et de fournir des informations aux tiers confor
mément à l eurs exigences et à leurs attentes.

https://marketingebooks.tk/
164 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Principes relatifs à la composante « Information et communication »


13. L’organisation obtient, produit et utilise des informations pertinentes et de qualité
pour faciliter le fonctionnement du contrôle interne.
14. L’organisation communique en interne l’information nécessaire au bon fonctionne-
ment du contrôle interne, notamment les informations relatives aux objectifs et aux
responsabilités du contrôle interne.
15. L’organisation communique aux tiers les éléments qui peuvent affecter le fonctionne-
ment du contrôle interne.

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 165

INTRODUCTION

ité
ns

g
in
io

m
rt
at

or
po
ér
428. La composante « Informa

nf

Unité opérationnelle
Re
Op

Co
tion et communication » du

Fonction
Référentiel facilite le fonc
Environnement de contrôle
tionnement de l’ensemble

Division
des composantes du contrôle
interne. Elle favorise, conjoin Évaluation
Évaluation des
des risques
risques

Entité
tement avec les autres com
posantes, la réalisation des Activités de contrôle
objectifs de l’entité, notam
ment des objectifs relatifs au Information et communication
reporting interne et externe.
Les contrôles inhérents à cette Pilotage
Pilotage
composante renforcent la capa
cité de l’organisation à utiliser
les informations appropriées dans le cadre du système de contrôle interne et à assumer
les responsabilités relatives au contrôle interne.
429. Le terme « information » désigne des données qui sont regroupées et synthétisées

Information et communication
pour répondre à des besoins spécifiques. Ces besoins sont déterminés en fonction
des autres composantes du contrôle interne, en tenant compte des attentes de tous les
utilisateurs, tant internes qu’externes. Les systèmes d’information sont un élément
important sur lequel s’appuie la prise de décision : ils favorisent en effet une prise de
décision éclairée et le fonctionnement du contrôle interne en traitant des informations
pertinentes et de qualité (disponibles en temps opportun, exhaustives…) provenant de
sources internes et externes.
430. La communication permet à l’organisation de partager des informations pertinentes et
fiables tant en interne qu’en externe. La communication a trait au partage d’informa
tions nécessaires pour concevoir, mettre en place et piloter le contrôle interne, et pour
en évaluer l’efficacité. Le management communique des informations en interne pour
permettre aux collaborateurs de comprendre les objectifs de l’entité et l’importance de
leurs responsabilités en matière de contrôle. La communication interne facilite le fonc
tionnement du contrôle interne grâce au partage d’informations en amont, en aval et de
façon ascendante, descendante et transverse dans l’entité. La communication externe
permet au management d’obtenir et de partager, dans le cadre d’échanges entre l’entité
et les tiers, des informations concernant les risques, les questions réglementaires, les
changements de contexte et la satisfaction de la clientèle, ainsi que d’autres informa
tions relatives au fonctionnement du contrôle interne.

https://marketingebooks.tk/
166 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

431. Un système d’information désigne l’ensemble des activités qui font appel à des per
sonnes, des processus, des données et/ou des technologies et qui permettent à l’orga
nisation d’obtenir, de générer, d’utiliser et de communiquer des transactions et des
informations afin de maintenir le devoir de rendre compte des collaborateurs, de
mesurer et d’analyser les performances de l’entité ou les progrès réalisés dans l’at
teinte des objectifs.
432. Le Référentiel établit une distinction entre la composante « Information et communi
cation » et la catégorie d’objectifs liée au reporting interne. La composante « Informa
tion et communication » est l’une des cinq composantes du Référentiel. Elle contribue
à fournir des informations pertinentes et de qualité pour faciliter le fonctionnement de
toutes les composantes du contrôle interne. Par ailleurs, l’obtention d’une assurance
raisonnable lors de la préparation des rapports externes d’une organisation requiert
l’application des cinq composantes du contrôle interne. La communication peut par
fois paraître générale (par exemple lorsqu’elle concerne une évolution ou des événe
ments externes) mais, lorsqu’elle s’inscrit dans le contexte du Référentiel, elle peut être
utilisée de manière plus ciblée (en permettant par exemple à un utilisateur de déployer
des contrôles dans le cadre de l’évaluation des risques).

UTILISER DES INFORMATIONS PERTINENTES

Principe n° 13 : L’organisation obtient, produit et utilise


des informations pertinentes et de qualité pour faciliter
le fonctionnement du contrôle interne.

Points d’attention
433. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
identifier les besoins en matière d’information : un processus est en place afin d’iden
tifier les besoins d’information nécessaires au fonctionnement des autres compo
santes du contrôle interne et à la réalisation des objectifs de l’entité ;
s’appuyer sur des données d’origine interne et externe : les systèmes d’information
permettent d’accéder aux sources internes et externes de données ;
traiterles données pertinentes : les systèmes d’information utilisent des données
pertinentes pour les transformer en informations ;
: les systèmes d’information produisent
garantir la qualité tout au long du traitement
en temps voulu des informations à jour, exactes, exhaustives, accessibles, protégées,

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 167

vérifiables et conservées. Les informations sont examinées afin d’évaluer leur per
tinence dans le cadre de la mise en œuvre des composantes du contrôle interne ;
prendre en compte le rapport coûts/bénéfices : la nature, la quantité et la précision
des informations communiquées sont proportionnées aux objectifs, et contribuent
à leur réalisation.

Besoins en matière d’information


434. L’information est nécessaire pour permettre à l’organisation d’assurer ses responsabi
lités en matière de contrôle interne, de façon à faciliter la réalisation des objectifs. Les
informations concernant les objectifs de l’entité proviennent du conseil et de la direction
générale et sont récapitulées de telle sorte que le management et les autres intervenants
puissent comprendre les objectifs ainsi que leur rôle dans la réalisation de ces derniers.
435. Par exemple, un grossiste a constaté que ses managers n’avaient pas bien intégré les
objectifs clés de l’organisation. Le plan d’activité (business plan) était détaillé et dif
ficile à communiquer avec concision. Le conseil a coopéré avec la direction générale
afin de résumer les objectifs clés de l’entité dans une note descriptive claire annexée
aux états financiers diffusés en interne. En outre, le conseil a établi un tableau de
bord prospectif mensuel permettant de comparer ces objectifs à des indicateurs et aux
résultats réels, tant financiers qu’extra-financiers. Les résultats d’une enquête réalisée

Information et communication
ultérieurement auprès du personnel ont permis de constater que le management et les
collaborateurs comprenaient mieux les objectifs de l’organisation.
436. La collecte d’informations pertinentes implique que le management recense et défi
nisse les besoins d’information au niveau et avec la spécificité appropriés. Le recense
ment des besoins d’information est un processus itératif et permanent qui se déroule à
tous les stades de la mise en œuvre d’un système efficace de contrôle interne.
437. Le management définit et met en place des contrôles portant sur l’identification d’infor
mations pertinentes qui facilitent le fonctionnement des composantes. Les exemples
ci-après montrent comment les informations destinées à faciliter le fonctionnement
des autres composantes du contrôle interne sont identifiées et définies.

Composante du contrôle interne Exemples d’informations utilisées


Environnement de contrôle Le management réalise une enquête annuelle auprès de l’ensemble des
collaborateurs afin de recueillir des informations sur leur comportement
au regard du code de conduite de l’entité. Cette enquête s’inscrit dans le
cadre d’un processus de production d’informations qui facilitent la mise
en œuvre de la composante « Environnement de contrôle » et qui peuvent
également être utiles dans le cadre de la sélection, du développement ou
de la gestion des activités de contrôle.

https://marketingebooks.tk/
168 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Composante du contrôle interne Exemples d’informations utilisées


Évaluation des risques Les entités modifient leur gamme de produits et leurs processus de
livraison en fonction de l’évolution des demandes de la clientèle. L’essor
des ventes en ligne a entraîné une nette augmentation des transactions
payées par carte de crédit. Afin d’évaluer le risque de non-conformité à
la réglementation sur la sécurité et à la confidentialité des informations
associées aux cartes de crédit, le management collecte des informations
concernant le nombre de transactions, leur montant global et la nature
des données conservées au titre de l’exercice passé et en apprécie l’im-
portance dans le cadre de son analyse des risques.
Activités de contrôle Certains matériels destinés à une activité de production intensive se
détériorent en cas de fonctionnement prolongé au-delà d’un certain délai.
Afin de maximiser la durée de vie du matériel, le management obtient et
examine les enregistrements quotidiens des durées de fonctionnement et
les compare aux fourchettes fixées par la direction générale. Ces informa-
tions facilitent les activités de contrôle relatives aux dispositifs de maî-
trise à mettre en œuvre lorsque les durées de fonctionnement maximales
sont dépassées.
Pilotage Une grande organisation de services publics rassemble, traite et diffuse
les données relatives aux incidents et accidents corporels survenus dans
l’unité opérationnelle de production d’électricité. La comparaison de ces
informations avec l’évolution des demandes de remboursement d’assu-
rance santé des ouvriers met en évidence des écarts par rapport aux
prévisions établies. Ceci peut vouloir dire que les activités de contrôle
relatives à l’identification, au traitement, à la communication, à l’investi-
gation et à la résolution des incidents et des accidents corporels ne fonc-
tionnent peut-être pas comme prévu.

438. Les contrôles intégrés dans les cinq composantes déterminent des besoins d’informa
tion. Ces besoins aident et guident le management et les collaborateurs dans l’identi
fication de sources d’information et de données sous-jacentes pertinentes et fiables.
Il peut arriver que le volume d’informations et de données mis à la disposition du
management excède les besoins en raison d’une prolifération des sources d’informa
tion et d’avancées en matière de processus de collecte, de traitement et de stockage de
données. Dans d’autres cas, il peut s’avérer difficile d’obtenir des données au niveau
approprié ou avec la spécificité requise. Par conséquent, une bonne compréhension
des besoins d’information guide le management et les collaborateurs dans l’identifica
tion de sources d’information et de données pertinentes et fiables.
439. La recherche d’un équilibre entre les coûts et les avantages liés à l’obtention et à la
gestion des informations et des systèmes d’information est un point essentiel à prendre
en compte pour mettre en place un système d’information répondant aux besoins de
l’entité.

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 169

Informations provenant de sources adéquates


440. Les sources et la forme des informations recueillies sont très variées. Le tableau ci-
après contient des exemples de sources et de données internes ou externes grâce aux
quelles le management peut générer des informations utiles et pertinentes en matière
de contrôle interne.

Exemples de sources internes de données Exemples de données internes


Communications par courriel Changements organisationnels
Inspections des installations de production Historique de la production – données relatives aux
délais et à la qualité
Comptes rendus des réunions des comités opérationnels Mesures prises suite à la diffusion d’indicateurs de
ou notes y afférentes consommation d’énergie
Système d’enregistrement des temps passés par les Heures passées sur certains projets
collaborateurs
Rapports générés par les systèmes de fabrication Nombres d’articles expédiés mensuellement
Réponses des clients aux enquêtes de satisfaction Facteurs ayant une incidence sur le taux d’attrition
clients
Dispositif d’alerte Plainte concernant le comportement d’un manager
Exemples de sources externes de données Exemples de données externes
Données reçues de prestataires externes Produits expédiés depuis les locaux d’un sous-traitant

Information et communication
chargé de la fabrication
Études sectorielles Informations sur les produits des concurrents
Résultats publiés par les organisations similaires Indicateurs du marché et indicateurs sectoriels
Régulateurs/tutelles Obligations nouvelles ou élargies
Médias sociaux ou autres communications sur des blogs Perception externe de l’entité
Expositions, salons Évolution des goûts de la clientèle
Dispositif d’alerte Allégations de détournement de fonds ou de corruption

441. Le management examine un large éventail d’événements, d’activités et de sources de


données potentiels, disponibles en interne ou provenant de sources externes fiables,
et sélectionne ceux qui sont les plus pertinents et les plus utiles compte tenu de la
structure organisationnelle, du modèle économique ou des objectifs actuels. Au fur
et à mesure que l’entité évolue, les besoins en matière d’information évoluent éga
lement. Par exemple, les entités qui opèrent dans un environnement opérationnel et
économique très dynamique sont confrontées à des changements permanents tels que
des concurrents très innovants et dynamiques, l’évolution des attentes de la clientèle
ou des obligations réglementaires, la mondialisation et l’innovation technologique. Le
management réévalue par conséquent les besoins en matière d’information et s’adapte
aux besoins.

https://marketingebooks.tk/
170 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Le traitement des données à l’aide des systèmes d’information


442. Les organisations mettent en place des systèmes d’information afin d’identifier, d’ex
traire et de traiter d’importants volumes de données provenant de sources internes
ou externes et de les transformer en informations pertinentes et exploitables pour
répondre aux besoins définis. Les systèmes d’information englobent un ensemble de
personnes, de processus, de données et de technologies qui facilitent les processus
opérationnels, que ces derniers soient gérés en interne ou par le biais de prestataires
externes et d’autres tiers en relation avec l’entité.
443. Les informations peuvent être obtenues par divers moyens tels que la compilation ou la
saisie manuelle, ou grâce aux technologies de l’information, notamment par l’échange
de données informatisées (EDI) ou par des interfaces de programmes d’application
(interfaces API). Des informations riches d’enseignements, permettant d’identifier et
d’évaluer les risques et les opportunités, sont également recueillies au fil des conversa
tions avec la clientèle, les fournisseurs, les régulateurs ou les collaborateurs. Dans cer
tains cas, les informations et les données collectées requièrent la mise en œuvre d’une
série de processus manuels et automatisés afin de s’assurer qu’elles présentent les
caractéristiques et la spécificité requises. Dans d’autres cas, les informations peuvent
provenir directement d’une source interne ou externe. Le management définit et met
en place des activités de contrôle relatives à l’intégrité des données entrées dans les
systèmes d’information, ainsi qu’à l’exhaustivité et à l’exactitude du traitement effec
tué pour transformer ces données en informations destinées à d’autres contrôles.
444. Le volume d’informations accessibles à l’organisation présente à la fois des oppor
tunités et des risques. Un meilleur accès à l’information peut renforcer le contrôle
interne. En revanche, un volume accru d’informations et de données peut engendrer
des risques supplémentaires, notamment des risques opérationnels liés à l’inefficacité
résultant d’un volume excessif de données, des risques de non- conformité associés à
la législation et à la réglementation relatives à la protection et à la conservation des
données, ainsi que des risques afférents à la confidentialité et à la sécurité des données
stockées par l’entité ou pour son compte.
445. La nature et l’importance des besoins, la complexité et le volume des informations,
ainsi que la dépendance vis-à-vis des tiers ont une incidence sur le degré de sophisti
cation des systèmes d’information, notamment sur l’intensité du recours aux techno
logies. Indépendamment de leur degré de sophistication, les systèmes d’information
assurent le traitement de bout en bout de transactions et de données qui permettent à
l’entité de collecter, de stocker et de synthétiser des informations fiables et cohérentes
par des processus adéquats, que ceuxci soient manuels, automatisés ou les deux à la
fois.

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 171

446. Les systèmes d’information qui reposent sur des processus informatisés et intégrés
offrent la possibilité d’accroître l’efficacité, la rapidité et l’accessibilité des informa
tions communiquées aux utilisateurs. En outre, ces systèmes d’information peuvent
renforcer le contrôle interne relatif aux risques associés à la sécurité et à la confi
dentialité des informations obtenues ou générées par l’organisation. Les systèmes
d’information conçus et mis en place de façon à restreindre l’accès aux informations
aux personnes qui en ont besoin et à réduire le nombre de points d’accès renforcent
l’efficacité des mesures prises pour maîtriser les risques associés à la sécurité et à la
confidentialité des informations.
4 47. Les progiciels de gestion intégré (ERP), les systèmes de gestion destinés aux associa-
tions (AMS – Association Management Systems), les systèmes Intranet des organisa
tions, les outils collaboratifs, les médias sociaux interactifs, les entrepôts de données,
les systèmes décisionnels (business intelligence), les systèmes opérationnels (tels que
les systèmes automatisés de fabrication et les systèmes de surveillance des consomma
tions d’énergie), les applications basées sur le Web et d’autres solutions technologiques
offrent au management la possibilité d’optimiser le recours aux technologies de façon
à concevoir et à mettre en place des systèmes d’information efficaces et efficients.

Qualité des informations


448. La qualité des informations est une condition de l’efficacité du système de contrôle

Information et communication
interne, en particulier dans le contexte actuel caractérisé par un volume important
de données et par la dépendance vis-à-v is de systèmes d’information perfectionnés et
automatisés. La capacité à générer des informations de qualité repose en premier lieu
sur les données collectées. Des données inexactes ou incomplètes, et les informations
qui en découlent, peuvent se traduire par des jugements, des estimations ou d’autres
décisions de gestion erronées.
449. La qualité des informations suppose que celles- ci soient :
accessibles : les informations sont aisément accessibles à ceux qui en ont besoin.
Les utilisateurs savent quelles informations sont disponibles et où elles sont acces
sibles dans le système d’information ;
exactes : les données sous-jacentes sont exactes et exhaustives. Les systèmes d’in
formation intègrent des contrôles de validation (y compris des procédures de réso
lution des exceptions) relatifs à l’exactitude et à l’exhaustivité ;
à jour : les données recueillies proviennent de sources à jour et sont collectées avec
la fréquence nécessaire ;
protégées : l’accès aux informations sensibles est restreint aux collaborateurs auto
risés. Le classement des données par catégorie (confidentiel, secret, par exemple)
facilite la protection des informations ;

https://marketingebooks.tk/
172 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

conservées : les informations restent disponibles pendant un délai suffisant pour


permettre à des tiers de les examiner ;
suffisantes: il existe suffisamment d’informations présentées avec un niveau de
détail adéquat pour répondre aux besoins d’information. Les données non perti
nentes ou superflues sont éliminées pour éviter tout problème d’inefficacité, d’utili
sation à mauvais escient ou d’interprétation ;
disponibles en temps voulu : les informations peuvent être extraites du système en
temps voulu. Des informations disponibles en temps voulu facilitent l’identification
précoce des événements, des tendances et des problèmes ;
valides :
les informations proviennent de sources autorisées, sont rassemblées selon les
procédures prescrites et correspondent à des événements qui se sont réellement produits ;
vérifiables : les informations sont étayées par des éléments justificatifs provenant de
la source. Le management met en place des règles de gestion des informations qui
précisent les responsabilités en matière de qualité des informations et prévoient le
devoir d’en rendre compte.
450. Le management met en place des règles de gestion des informations qui précisent
les responsabilités en matière de qualité des informations et prévoient le devoir
d’en rendre compte. Ces règles traitent également des principes de gouvernance qui
régissent les processus de définition des catégories de données et décrivent les exi
gences applicables en matière de manipulation, de stockage, de sécurité et de confi
dentialité. Elles aident le management et les collaborateurs à protéger les informations
et les données contre tout accès ou toute modification non autorisés et à respecter les
règles d’archivage.
451. Par exemple, la direction générale d’un organisme public décentralisé et implanté
dans plusieurs zones géographiques a identifié un risque spécifique associé à la réa
lisation d’un objectif opérationnel et qui semble résulter de la qualité des données
opérationnelles collectées auprès de ses 2 000 unités sur le terrain. Le management
a défini une série de règles applicables aux données à fournir ainsi qu’un modèle de
reporting commun à toutes les unités sur le terrain. La direction générale a effectué
une revue mensuelle des indicateurs clés déterminés à partir des données collectées
auprès de l’ensemble des unités. Les unités ayant les meilleures et les pires perfor
mances ont été invitées à expliquer la source de leurs données à une équipe d’audit
interne. En outre, le management de cet organisme a utilisé les rapports contenant les
données opérationnelles et les indicateurs des unités lors des visites sur le terrain et a
commencé à poser des questions afin de déterminer comment les unités comprenaient
les données figurant dans les rapports. Grâce à la mise en place de ce système de repor
ting, aux revues mensuelles, aux visites sur le terrain et à l’échange d’informations qui

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 173

en a découlé pendant tout le processus, la qualité de l’information a atteint, au bout de


six mois, un niveau jugé acceptable par le management. Pour conserver ce niveau de
qualité, le management a modifié les règles et les processus de reporting des données
opérationnelles et a mis en place des systèmes informatisés de surveillance pour per
mettre la communication régulière des informations dans des délais appropriés.
452. Les informations provenant de prestataires externes qui gèrent des processus métier
pour le compte de l’entité, ou d’autres tiers sur lesquels l’entité s’appuie, sont soumises
à des règles identiques en matière de contrôle interne. Les besoins d’information sont
définis par l’organisation et communiqués aux prestataires externes et aux autres tiers
similaires. Des contrôles portant sur le prestataire externe renforcent la capacité de
l’organisation à s’appuyer sur ces informations, notamment lors de la sélection des
fournisseurs, par l’application de clauses d’audit et la réalisation d’une évaluation
indépendante portant sur les contrôles mis en place par le prestataire.
453. Le management détermine ses besoins en matière d’archivage, en particulier pour les
communications à l’intention ou en provenance de tiers ou celles concernant le respect
de la législation et de la réglementation par l’entité. Selon le volume potentiel ainsi que
les capacités de stockage et d’extraction de ces informations, ces besoins peuvent être
difficiles à gérer lorsque le management s’appuie sur une communication informati
sée en temps réel. Les contrôles portant sur l’archivage des informations relatives au

Information et communication
contrôle interne sont définis en tenant compte des avancées technologiques, notamment
des outils de communication et de collaboration utilisés pour faciliter la mise en œuvre
des autres composantes du contrôle interne et la réalisation des objectifs de l’entité.

COMMUNIQUER EN INTERNE
Principe n° 14 : L’organisation communique en interne l’information
nécessaire au bon fonctionnement du contrôle interne, notamment
les informations relatives aux objectifs et aux responsabilités
du contrôle interne.

Points d’attention
454. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
communiquer des informations relatives au contrôle interne : un processus est en
place afin de communiquer les informations nécessaires, permettant à l’ensemble
des collaborateurs de comprendre et d’exercer leurs responsabilités en matière de
contrôle interne ;

https://marketingebooks.tk/
174 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

communiquer avec le conseil : le management et le conseil communiquent de telle


sorte que ces deux organes détiennent les informations nécessaires pour remplir
leur rôle dans la poursuite des objectifs de l’entité ;
mettre à disposition des canaux de communication spécifiques : des canaux de
communication spécifiques, tels que des dispositifs d’alerte, sont en place comme
mécanismes de sécurité permettant une communication anonyme ou confidentielle
lorsque les canaux habituels sont inopérants ou inefficaces ;
sélectionner un mode de communication approprié : le choix du mode de communi
cation tient compte de la nature, des destinataires et des délais de transmission des
informations.

Communication en matière de contrôle interne


455. Les informations communiquées au sein de l’entité portent notamment sur les points
suivants :
règles et procédures qui assistent les collaborateurs dans l’exercice de leurs respon
sabilités en matière de contrôle interne ;
objectifs précis ;
importance, justification et avantages d’un contrôle interne efficace ;
rôles et responsabilités du management et des collaborateurs concernant l’exécution
des contrôles ;
attentes de l’organisation en matière de communication verticale et transversale, au
sein de l’entité, de toute question importante relative au contrôle interne, notamment
des cas de faiblesse, de dégradation ou de non- conformité.
456. L’organisation définit et met en place des règles et des procédures qui facilitent une
communication interne efficace. Cette communication est notamment spécifique
et ciblée, et porte sur les pouvoirs et les responsabilités de chacun ainsi que sur les
normes de conduite au sein de l’entité. La direction générale communique clairement
les objectifs à travers l’organisation, de telle sorte que les managers et les collabora
teurs, y compris les non- salariés tels que les sous- t raitants, comprennent leurs rôles
individuels dans l’organisation. Cette communication est établie quelle que soit la
localisation des collaborateurs, leur niveau hiérarchique ou leur responsabilité fonc
tionnelle. La communication interne commence par la communication des objectifs
définis. Au fur et à mesure que le management décline les objectifs de l’entité au
sein de l’organisation, il est important que les objectifs détaillés ou les obligations
spécifiques correspondantes soient communiqués aux collaborateurs de façon à leur

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 175

permettre de comprendre l’incidence de leurs rôles et de leurs responsabilités sur la


réalisation des objectifs de l’entité.

457. En outre, tous les collaborateurs reçoivent de la direction générale un message clair
quant à l’importance de leurs responsabilités en matière de contrôle interne. Grâce à
la communication d’objectifs généraux et d’objectifs détaillés, les collaborateurs com
prennent comment leurs rôles, leurs responsabilités et leurs actes interagissent avec les
travaux d’autrui au sein de l’organisation, quelles sont leurs responsabilités en matière
de contrôle interne et quels types de comportement sont jugés acceptables ou inaccep
tables. Comme indiqué pour la composante « Environnement de contrôle », c’est à tra
vers la mise en place de structures, de pouvoirs et de responsabilités appropriés que les
attentes en matière de contrôle interne sont communiquées aux collaborateurs. Tou
tefois, la communication concernant les responsabilités afférentes au contrôle interne
n’est pas nécessairement suffisante, à elle seule, pour s’assurer que le management et
les collaborateurs ont intégré le devoir de rendre compte et réagissent comme ils sont
censés le faire. Le management doit souvent prendre, en temps voulu, des décisions
cohérentes avec cette communication afin de renforcer les messages transmis.

458. Des contrôles sont sélectionnés, développés et déployés par le management afin de
veiller à ce que les informations soient partagées en interne et afin d’aider le manage

Information et communication
ment, ainsi que les autres collaborateurs, à exercer leurs responsabilités en matière de
contrôle dans plusieurs fonctions, unités opérationnelles ou divisions. Par exemple :

les commerciaux d’une entité recueillent des informations sur les taux de défaut de
certaines pièces. Ces informations sont également utiles aux directeurs de la fabri
cation et de l’ingénierie puisqu’elles peuvent fournir des indications sur la qualité
de la production ou sur un problème lié à la conception des produits. En outre, les
résultats des activités de pilotage sont communiqués aux commerciaux afin de faci
liter l’analyse causale d’un problème et l’adoption de mesures correctives ;

le service d’audit interne effectue une mission sur les commissions versées aux
distributeurs dans un site international. La mission révèle des cas de reporting frau
duleux relatif aux ventes par l’intermédiaire de certains distributeurs. Une enquête
plus approfondie met en évidence des paiements effectués par les distributeurs en
faveur du représentant commercial chargé des distributeurs en cause. Ces informa
tions sont partagées non seulement avec les personnes chargées du traitement des
cas de fraude potentiels, mais également avec les directeurs des ventes d’autres sites
internationaux, ce qui leur permet d’analyser les informations sous un angle plus
critique afin de déterminer si le problème est plus répandu et de prendre les mesures
nécessaires le cas échéant.

https://marketingebooks.tk/
176 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Communication avec le conseil au sujet du contrôle interne


459. La communication avec le management fournit au conseil les informations néces
saires à l’exercice de sa responsabilité en matière de surveillance du contrôle interne.
Les informations communiquées au conseil au sujet du contrôle interne concernent
généralement des points critiques liés à l’adhésion au système de contrôle interne, aux
modifications qui lui sont apportées ou aux problèmes qui en découlent. La fréquence
et le niveau de détail de la communication entre le management et le conseil doivent
être suffisants pour permettre à ce dernier de comprendre les résultats des évaluations
continues ou ponctuelles réalisées par le management et l’impact de ces résultats sur
la réalisation des objectifs. En outre, cette communication doit être d’une fréquence
et d’un niveau de détail suffisants pour permettre au conseil de réagir dans des délais
appropriés en cas d’indices révélateurs d’un contrôle interne inefficace.
460. La communication directe entre le conseil et les collaborateurs est également impor
tante. Les administrateurs devraient être en mesure de s’adresser directement aux
collaborateurs sans interférence de leur hiérarchie. Par exemple, certaines organi
sations encouragent les administrateurs à s’entretenir avec le management et des
collaborateurs sans que la direction générale soit présente. Ceci permet aux admi
nistrateurs de poser des questions en toute indépendance et d’être informés de points
importants que les collaborateurs pourraient hésiter à aborder en d’autres circons
tances, tels que le respect du code de conduite, des questions de compétence ou
d’éventuels contournements des contrôles par le management. En outre, l’ensemble
du système de contrôle interne est renforcé par le service d’audit interne qui est
indépendant du management. En règle générale, les informations relatives à l’audit
interne sont communiquées au conseil, sans influence du management et, si néces
saire, à titre confidentiel.

Communication en marge des canaux habituels


461. La circulation de l’information en amont, en aval, et dans l’ensemble de l’organisation,
requiert des canaux ouverts de communication ainsi qu’une ferme volonté de rendre
compte et d’écouter. Le management et l’ensemble des collaborateurs doivent être
convaincus que la hiérarchie est désireuse d’être informée des problèmes et les résou
dra si nécessaire. Dans la plupart des cas, les canaux de communication habituels en
place dans l’entité sont les mieux appropriés. Toutefois, les collaborateurs perçoivent
rapidement si le management n’a pas le temps, la motivation ou les ressources néces
saires pour traiter les problèmes qu’ils ont dévoilés. En outre, un manager non réceptif
ou indisponible est généralement le dernier à savoir que le canal de communication
habituel est inopérant ou inefficace, ce qui accentue le problème.

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 177

462. Dans certaines circonstances, des circuits de communication distincts sont néces
saires pour mettre en place un dispositif de sécurité permettant une communication
anonyme ou confidentielle lorsque les canaux habituels sont inopérants ou inefficaces.
Un grand nombre d’entités mettent à la disposition de leurs collaborateurs un canal
dédié permettant d’adresser ces communications au conseil ou à un administrateur
désigné (un membre du comité d’audit, par exemple). Dans certains cas, la législation
et la réglementation imposent aux entités l’obligation de mettre en place ces canaux de
communication alternatifs (par exemple un dispositif d’alerte ou une hotline déonto
logique). Les systèmes d’information devraient comporter des dispositifs permettant
une communication anonyme ou confidentielle. Il est impératif que les collaborateurs
comprennent parfaitement comment ces canaux fonctionnent, comment les utiliser
et comment ils seront protégés, de sorte qu’ils puissent y recourir en toute confiance.
Des règles et des procédures instaurent l’obligation d’examiner, de prioriser et d’inves
tiguer les informations communiquées par ces canaux. Elles permettent également
de s’assurer que les communications nécessaires seront adressées à un administra
teur désigné, chargé de vérifier que les évaluations, les investigations et les initiatives
appropriées sont menées dans des délais appropriés.
463. Ces dispositifs distincts, qui encouragent les collaborateurs à signaler les violations
présumées du code de conduite de l’entité sans crainte de représailles, constituent un
message clair indiquant que la direction générale est résolue à instaurer des canaux

Information et communication
de communication ouverts et donnera suite aux informations qui lui sont transmises.

Mode de communication
464. La clarté des informations et l’efficacité avec laquelle elles sont communiquées sont
toutes deux importantes pour s’assurer que les messages sont reçus comme prévu.
Les modes de communication actifs, tels que les réunions en face à face, sont souvent
plus efficaces que les modes de communication passifs, tels que l’envoi de courriels
ou la diffusion de messages via un Intranet. L’évaluation périodique de l’efficacité de
la communication permet de s’assurer que les modes de communication fonctionnent.
Cette évaluation peut être réalisée par divers processus tels que l’évaluation des per
formances des collaborateurs, les revues annuelles effectuées par le management et
d’autres modes de retour d’informations.
465. Le management sélectionne le mode de communication approprié selon les destina
taires, la nature des informations communiquées, les délais, le coût et les obligations
légales ou réglementaires. Voici quelques exemples de modes de communication :
tableaux de bord ;
courriels ;

https://marketingebooks.tk/
178 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

formation en présentiel ou en ligne ;


mémos ;
dialogues en face à face ;
évaluation des performances ;
règles et procédures ;
présentations ;
diffusion de messages sur les médias sociaux ;
SMS (textes adressés via un réseau téléphonique) ;
retransmission sur Internet et autres outils vidéo (webcast) ;
publications sur Internet ou sur un site collaboratif.
466. Pour choisir un mode de communication, le management tient compte des éléments
suivants :
lorsque des messages sont transmis oralement – que ce soit devant un auditoire
important, plutôt restreint ou en face à face – le ton et l’attitude de l’intervenant
corroborent le contenu du message, ce qui favorise la compréhension de l’auditoire
et permet à ce dernier de réagir ;
les différences culturelles et les écarts de génération, qui peuvent influer sur la
façon dont les messages sont perçus, devraient être pris en compte au niveau du
mode de communication de façon à pouvoir s’adresser à un public diversifié (par
exemple en traduisant les messages en plusieurs langues, en organisant des réunions
en face à face afin de mieux préserver la confidentialité de certaines informations et
en utilisant des supports informatisés) ;
les communications qui concernent directement l’efficacité du contrôle interne
peuvent nécessiter un support compatible avec un archivage à long terme. Dans cer
tains cas, les collaborateurs doivent confirmer qu’ils ont pris connaissance d’une règle
et il convient de conserver une trace de cette confirmation (par exemple, en matière de
code de conduite, de lutte contre le blanchiment de capitaux et de sécurité de l’entité) ;
les communications urgentes sur des supports informels tels que les courriels, la
messagerie textuelle et les médias sociaux peuvent être suffisantes et plus effi
cientes en termes de coût, en particulier lorsqu’il n’est pas nécessaire d’en assurer la
confidentialité ni l’archivage ;
le management et les collaborateurs qui communiquent uniquement par des moyens
formels (notes de service officielles, par exemple) risquent de ne pas atteindre le
public cible et de ne pas recevoir d’informations en retour de la part de ceux qui ont
davantage l’habitude d’utiliser des modes de communication informels (courriels,
messagerie textuelle ou médias sociaux, par exemple).

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 179

467. La communication d’informations relatives aux responsabilités en matière de contrôle


interne n’est pas nécessairement suffisante, à elle seule, pour avoir l’assurance que le
management et les collaborateurs les recevront et réagiront de façon adéquate. Les
messages transmis sont renforcés si le management prend en temps voulu des mesures
complémentaires appropriées concernant ces communications.

COMMUNIQUER EN EXTERNE
Principe n° 15 : L’organisation communique aux tiers les éléments
qui peuvent affecter le fonctionnement du contrôle interne.

Points d’attention
468. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
communiquer aux tiers : des processus sont en place pour communiquer en temps
voulu des informations pertinentes aux tiers, notamment aux actionnaires, parte
naires, propriétaires, régulateurs, clients, analystes financiers ;
faciliterla réception des communications : des canaux de communication ouverts
permettent de recevoir des informations provenant de clients, consommateurs, four

Information et communication
nisseurs, auditeurs externes, régulateurs, analystes financiers et d’autres tiers, de
sorte que le management et le conseil disposent d’informations pertinentes ;
communiquer avec le conseil : les informations pertinentes découlant d’évaluations
réalisées par des tiers sont communiquées au conseil ;
mettre à disposition des canaux de communication spécifiques : des canaux de com
munication spécifiques, tels que des dispositifs d’alerte, sont mis en place comme
mécanismes de sécurité permettant une communication anonyme ou confidentielle
lorsque les canaux habituels sont inopérants ou inefficaces ;
sélectionner un mode de communication approprié : le choix du mode de communi
cation tient compte de la nature et des destinataires de la communication, des aspects
liés au délai, des obligations légales, réglementaires ou fiduciaires et des attentes.

Communication externe
469. La communication s’effectue non seulement au sein de l’entité, mais aussi avec les
tiers. Lorsque des canaux de communication externe sont ouverts, des informations
importantes concernant les objectifs de l’entité peuvent être communiquées aux
actionnaires ou autres propriétaires, aux partenaires, aux clients, aux régulateurs, aux
analystes financiers, aux organismes publics et à d’autres tiers. Il convient de distin

https://marketingebooks.tk/
180 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

guer la communication du reporting externe, comme indiqué au chapitre 2 « Objec


tifs, composantes et principes ».
470. L’organisation définit et met en place des contrôles qui facilitent la communication
externe. Ces contrôles peuvent notamment consister en des règles et procédures
concernant la collecte ou la réception d’informations provenant de tiers et l’échange
de ces informations en interne, ce qui permet au management et aux collaborateurs
d’identifier les tendances, événements ou circonstances susceptibles d’affecter la réa
lisation des objectifs. Par exemple, les plaintes ou les demandes de renseignements des
clients ou des fournisseurs concernant les expéditions, les réceptions, la facturation
ou toute autre activité inhabituelle peuvent constituer des indices révélateurs de pro
blèmes opérationnels, d’activités frauduleuses ou d’erreurs.

Communication émise
471. La communication vers les tiers permet à ces derniers de comprendre aisément les
événements, les activités ou les autres circonstances qui peuvent influer sur leur mode
d’interaction avec l’entité. Dans sa communication vers les tiers, le management adresse
un message concernant l’importance du contrôle interne dans l’organisation en montrant
qu’il existe des canaux de communication ouverts. La communication à l’intention des
fournisseurs et des clients externes favorise le maintien d’un environnement de contrôle
approprié dans l’entité. Les fournisseurs et les clients doivent comprendre les valeurs et
la culture de l’entité. Ils sont informés du code de conduite de l’entité et sont conscients
de leurs responsabilités en matière de conformité au code de conduite. Par exemple, lors
de l’agrément d’un nouveau fournisseur, le management l’informe des contrôles qu’il
effectue sur les opérations conclues avec les fournisseurs et lui demande d’accepter ces
conditions avant l’approbation de la première commande auprès de ce fournisseur.
472. Les systèmes d’information et les outils de communication permettent aux tiers d’ac
céder aux forums publics et de diffuser des messages sur les métiers, les activités et
les contrôles de l’entité. Lorsqu’une organisation utilise ou autorise ses collaborateurs
à utiliser des forums publics tels que les médias sociaux ou d’autres outils de commu
nication similaires libres d’accès, le management définit et met en place des contrôles
destinés à garantir des conditions d’utilisation appropriées de façon à éviter que la
réalisation des objectifs de l’entité ne soit compromise.

Communiquer au management et au conseil des informations provenant de tiers


473. Les communications provenant de tiers peuvent également contenir des informations
importantes sur le fonctionnement du système de contrôle interne de l’entité. Voici
quelques exemples :

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 181

une évaluation indépendante des dispositifs de contrôle interne mis en place par un
prestataire externe et de leur adéquation aux objectifs de l’organisation ;
l’évaluation par un auditeur externe du contrôle interne relatif au reporting financier
ou extra-financier de l’entité ;
les informations fournies par les clients sur la qualité des produits, la facturation de
frais non justifiés et les livraisons incomplètes ou erronées ;
les publications et/ou révisions, par les législateurs, les régulateurs, les organismes
de normalisation, de lois, règlements, normes et autres dispositions applicables ;
les résultats des examens ou des contrôles de conformité effectués par des autorités
de tutelle telles que les autorités de contrôle des banques ou des marchés boursiers,
ou par l’administration fiscale ;
les questions des fournisseurs concernant les défauts ou les retards de paiement
relatifs à des produits vendus ;
les messages diffusés via des médias sociaux, des sites Internet ou des outils de
communication bénéficiant du soutien de l’organisation.
474. Les informations tirées d’évaluations externes portant sur les activités de l’organisa
tion, lorsqu’elles relèvent du contrôle interne, sont examinées par le management et
communiquées le cas échéant au conseil. C’est le cas par exemple lorsque le mana

Information et communication
gement a conclu un accord qui permet à l’organisation de recourir périodiquement
à des prestations informatiques externalisées, au lieu de recruter et d’acquérir puis
d’installer des matériels et logiciels supplémentaires en interne. L’organisation utilise
des données sensibles relatives à la clientèle dans certains processus. Afin d’assurer la
conformité aux règles de l’entité ainsi qu’aux lois, règlements et normes applicables,
une évaluation du contrôle interne en matière de sécurité et de respect de la confi
dentialité des données transmises en externe (notamment des données transmises via
Internet) est réalisée par un tiers. Les résultats de cette évaluation mettent en évidence
des faiblesses du contrôle interne susceptibles de porter atteinte à la sécurité et au res
pect de la confidentialité des données. Le management évalue le degré de sévérité des
faiblesses et transmet les informations nécessaires pour permettre au conseil d’exercer
ses fonctions de surveillance.
475. Il peut arriver que la répartition des responsabilités entre le système de contrôle interne
de l’entité et celui de ses prestataires externes devienne floue en raison de l’interdé
pendance des processus métier mis en œuvre par l’entité et par ses prestataires. Il
est par conséquent nécessaire d’instaurer des contrôles plus rigoureux en matière de
communication entre les parties. Par exemple, la gestion de la chaîne d’approvision
nement d’une entreprise de distribution repose sur un échange dynamique et interactif
d’activités entre cette organisation, les fournisseurs, les prestataires spécialisés dans

https://marketingebooks.tk/
182 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

la logistique et les sous-t raitants chargés de la fabrication. Le contrôle interne relatif


aux processus de bout en bout devient une responsabilité partagée, mais il peut exister
des incertitudes quant à l’entité qui est responsable à un stade donné du processus. La
communication avec les prestataires externes chargés d’activités qui contribuent à la
réalisation des objectifs de l’entité peut faciliter le processus d’évaluation des risques,
la surveillance des activités opérationnelles, la prise de décisions et l’identification
des responsabilités en matière de contrôle interne tout au long du processus, indépen
damment du lieu d’exercice des activités.

Communication en marge des canaux habituels


476. L’existence d’accords conclus avec des prestataires externes, l’externalisation d’une
partie des activités au travers d’alliances ou des partenariats (de type joint venture)
ou d’autres liens de dépendance réciproque entre les parties, se traduisent par des
relations complexes entre l’entité et les tiers. Une telle complexité peut susciter des
inquiétudes quant à la façon dont les activités sont menées par les parties ou réparties
entre celles- ci. Dans ce cas, l’organisation met des canaux de communication dis
tincts à la disposition des clients, des fournisseurs et des prestataires externes pour
leur permettre de communiquer directement avec le management et les collabora
teurs. Par exemple, il peut arriver que l’acquéreur de produits mis au point par le biais
d’une coentreprise apprenne que l’un des partenaires (notamment dans le cas d’une
joint-venture) a vendu des produits dans un pays non agréé en vertu de l’accord de co-
entreprise. Cette violation de l’accord peut avoir une incidence sur la capacité du client
à utiliser ou à revendre les produits et, par conséquent, sur son activité. Ce client a
besoin d’un canal par lequel il pourra faire part de ses craintes aux membres de l’orga
nisation sans que ses activités courantes ne soient perturbées.

Mode de communication
477. Les moyens par lesquels le management communique en externe influent sur la capa
cité à obtenir les informations nécessaires et à faire en sorte que les messages clés
concernant l’organisation soient reçus et compris. Le management examine le mode
de communication utilisé, qui peut revêtir des formes très variées, en tenant compte
des destinataires, de la nature des informations communiquées, des délais à respecter
et des obligations légales ou réglementaires. Par exemple, les clients qui consultent
régulièrement le site Internet d’une entité peuvent être les destinataires de messages
publiées par cette entité sur ce site.
478. Les communiqués de presse publiés par le biais de canaux dédiés aux investisseurs ou
aux personnes chargées des relations publiques sont souvent efficaces pour atteindre

https://marketingebooks.tk/
INFORMATION E T COMMUNICATION 183

un large public, assurer une large diffusion et accroître les chances que les informa
tions soient reçues. Les blogs, les médias sociaux, les panneaux d’affichage électro
niques et les courriels sont également des modes de communication externe courants
parce qu’ils peuvent être adaptés et adressés à la partie concernée, facilitent le contrôle
des informations obtenues par les tiers et répondent au souhait de pouvoir envoyer et
recevoir des informations rapidement grâce à une utilisation accrue des systèmes de
communication mobiles.

Information et communication

https://marketingebooks.tk/
https://marketingebooks.tk/
CHAPITRE 9

Pilotage

479. Résu mé : L’organisation procède à de s évaluations continues ou ponctuelles, ou à une


combinaison de ces deux formes d’évaluations pour s’assurer que chacune des cinq
composantes du contrôle interne et les principes qui leur sont associés sont mis en
place et fonctionnent. Les évaluation s continues, qui sont intégrées au cœur d es pro
cessus métier à tous l es niveaux de l’entité, permettent de disposer d’informations en
temps voulu. Les évaluations ponctuelles, réalisées périodiquement, varient générale
ment, en termes de périmètre et de fréquen ce, en fonction de l’évaluation des risques,
de l’efficacité des évaluations continues et d’autres considérations d’ordre managérial.
Les constats sont établis selon les critères définis par les régulateurs, les organismes
de normalisation, le management et le conseil. Le cas échéant, les déficiences sont
communiquées au management et au conseil.

https://marketingebooks.tk/
186 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

Principes relatifs à la composante « Pilotage »


16. L’organisation sélectionne, développe et réalise des évaluations continues et/ou ponc-
tuelles pour s’assurer que les composantes du contrôle interne sont mises en place et
fonctionnent.
17. L’organisation évalue et communique les déficiences de contrôle interne en temps
voulu aux responsables des mesures correctives, y compris, le cas échéant, à la direc-
tion générale et au conseil.

https://marketingebooks.tk/
PILOTAGE 187

INTRODUCTION

ité
ns

g
in
io

m
rt
at

or
po
ér

nf
480. Les activités de pilotage visent

Unité opérationnelle
Re
Op

Co
à déterminer si chacune des

Fonction
cinq composantes du contrôle Environnement de contrôle
interne et les principes (notam

Division
ment les contrôles concernant
Évaluation
Évaluation des
des risques
risques
l’application des principes

Entité
dans l’ensemble de l’entité et
de ses unités) sont mis en place Activités de contrôle
et fonctionnent. Pour ce faire,
l’organisation procède à des Information et communication
évaluations continues et/ou à
des évaluations ponctuelles. Le Pilotage
pilotage apporte une contribu
tion essentielle à l’évaluation
de l’efficacité du contrôle interne par l’organisation. Il fournit également des indica
tions précieuses qui permettent d’étayer les assertions concernant l’efficacité du sys
tème de contrôle interne.
481. Le système de contrôle interne des entités est souvent évolutif. Les objectifs de l’entité
et les composantes du contrôle interne peuvent également évoluer au fil du temps.
Par ailleurs, il peut arriver que les contrôles deviennent moins efficaces ou obsolètes,
qu’ils ne soient plus déployés de la même façon que lorsqu’ils ont été sélectionnés ou
développés, ou qu’ils soient jugés insuffisants pour faciliter la réalisation des objectifs
nouveaux ou révisés. Les activités de pilotage sont sélectionnées, développées et réa

Pilotage
lisées afin de vérifier si chacune des composantes continue d’être mise en place et de
fonctionner ou si un changement est nécessaire. Les activités de pilotage apportent des
données précieuses au management qui peut les utiliser pour s’assurer que le système
de contrôle interne continue d’être pertinent dans le temps et est à même de traiter de
nouveaux risques.
482. Les activités de pilotage permettent d’identifier et d’examiner des écarts liés à des
anomalies ou à des situations anormales, qui peuvent être révélateurs d’une ou plu
sieurs déficiences dans le système de contrôle interne de l’entité. L’examen et l’inves
tigation des écarts contribuent à l’analyse causale de ces écarts par le management.
Dans le cadre de la vérification de la mise en place et du fonctionnement des cinq
composantes du contrôle interne, les activités de pilotage prennent en compte les
contrôles dans chacune de ces composantes. Le management évalue les contrôles et le

https://marketingebooks.tk/
188 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

rôle qu’ils jouent dans l’application des principes, notamment les contrôles sélection
nés et déployés par l’organisation pour :
s’assurer de la conformité au code de conduite de l’entité ;
préciser les seuils acceptables de tolérance au risque ;
obtenir des informations pertinentes si les besoins en matière d’information ont
changé.
483. Pour déterminer si une activité relève du pilotage ou des activités de contrôle, les
organisations doivent en examiner les caractéristiques sous-jacentes, en particulier si
elle implique un certain niveau de revue à des fins de surveillance. Le classement des
revues parmi les activités de contrôle ou parmi les activités de pilotage peut être une
affaire de jugement. Par exemple, la finalité d’une activité de contrôle d’exhaustivité
réalisée mensuellement serait de détecter et de corriger les erreurs, tandis qu’une acti
vité de pilotage rechercherait les causes des erreurs et confierait au management le
soin de corriger le processus afin de prévenir les erreurs futures. Plus simplement, une
activité de contrôle répond à un risque spécifique, tandis qu’une activité de pilotage
consiste à évaluer si les contrôles en place au sein de chacune des cinq composantes
du contrôle interne fonctionnent comme prévu.
484. Les exemples ci-après illustrent le lien qui existe entre les activités de contrôle et
celles qui relève du pilotage en matière de rapprochement des comptes fournisseurs.

Activités de contrôle Pilotage


Le comptable chargé des comptes fournisseurs au sein Un manager, non impliqué dans la réalisation de
de la division A réconcilie périodiquement les soldes l’activité de contrôle :
du grand livre avec ceux du journal auxiliaire des • examine les documents attestant que les rappro-
fournisseurs. Les écarts font l’objet d’investigations et chements ont été effectués pour toutes les divisions
sont résolus en temps voulu. ou filiales ;
• analyse les tendances liées au volume et/ou à la
nature des éléments restant en écart.
Le management évalue si les sources et la qualité
des informations utilisées pour le rapprochement des
comptes fournisseurs sont adéquates.
Le management évalue si les risques nouveaux liés à
l’évolution de facteurs internes ou externes ont été
identifiés, évalués et traités dans le cadre du rappro-
chement des comptes fournisseurs.
Le superviseur de la comptabilité fournisseurs revoit Le management vérifie tous les semestres que les
et approuve périodiquement la réconciliation entre les superviseurs chargés de cette revue et de cette appro-
risques et le journal auxiliaire des fournisseurs. bation sont correctement formés et possèdent des
connaissances suffisantes, et qu’ils agissent en confor-
mité avec le processus de comptabilité fournisseurs.

https://marketingebooks.tk/
PILOTAGE 189

CONDUIRE DES ÉVALUATIONS CONTINUES ET/OU PONCTUELLES

Principe n° 16 : L’organisation sélectionne, développe et réalise


des évaluations continues et/ou ponctuelles pour s’assurer que les
composantes du contrôle interne sont mises en place et fonctionnent.

Points d’attention
485. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
envisager une combinaison d’évaluations continues et d’évaluations ponctuelles : le
management combine de manière équilibrée les évaluations continues et les évalua
tions ponctuelles ;
prendre en compte le rythme des changements : le management tient compte du
rythme de changement des activités et des processus métier lors de la sélection et
du développement des évaluations continues ou ponctuelles ;
s’appuyer sur un niveau de référence : un état des lieux de la conception et de l’état
du système de contrôle interne permet de définir le niveau de référence des évalua
tions continues ou ponctuelles ;
faire appel à des collaborateurs avertis : les collaborateurs chargés des évaluations
continues ou ponctuelles possèdent des connaissances suffisantes pour comprendre
les processus évalués ;
intégrer les évaluations continues au cœur des processus métier : les évaluations

Pilotage
continues sont intégrées dans les processus métier et peuvent être modifiées en
fonction de l’évolution du contexte ;
ajusterle périmètre et la fréquence : le management modifie le périmètre et la fré
quence des évaluations ponctuelles en fonction des risques ;
évaluer objectivement : des évaluations ponctuelles sont réalisées périodiquement
afin d’obtenir des informations objectives.

Évaluations continues et évaluations ponctuelles


486. Le pilotage peut être exercé par deux moyens : grâce à des évaluations continues ou
à des évaluations ponctuelles, ou en combinant ces deux formes d’évaluations. Les
évaluations continues consistent généralement en des opérations définies, récurrentes,
intégrées dans les processus métier et réalisées en temps réel, en tenant compte de

https://marketingebooks.tk/
190 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

l’évolution de la situation. Les évaluations ponctuelles sont réalisées périodiquement


par des responsables d’activités faisant preuve d’objectivité, le service d’audit interne
et/ou des tiers. La détermination du périmètre et de la fréquence des évaluations ponc
tuelles est une question de jugement qui est laissée à l’appréciation du management.
487. Les évaluations ponctuelles peuvent faire appel aux mêmes techniques que le pilotage
continu, mais elles ont pour but d’évaluer les contrôles de manière périodique et ne
sont pas intégrées dans les opérations courantes de l’entité. Comme elles sont pério
diques, les problèmes sont identifiés plus rapidement par des évaluations continues.
Un grand nombre d’entités qui réalisent pourtant des évaluations continues efficaces
effectuent néanmoins des évaluations ponctuelles afin de valider les conclusions des
évaluations continues. Une entité qui procède fréquemment à des évaluations ponc
tuelles devra envisager des solutions pour améliorer les évaluations continues.
488. Le management sélectionne, développe et réalise une série d’activités de pilotage qui
combinent généralement évaluations continues et évaluations ponctuelles de façon à
vérifier si chacune des cinq composantes du contrôle interne est mise en place et fonc
tionne. Dans le cadre du pilotage des cinq composantes, le management s’appuie sur
ces évaluations pour vérifier si les contrôles relatifs à l’application des principes dans
l’ensemble de l’entité et de ses unités ont été sélectionnés, développés et déployés. Le
choix entre évaluations continues, évaluations ponctuelles ou une combinaison de ces
deux types d’évaluation peut être effectué à différents niveaux de l’entité. Il convient
de tenir compte du périmètre et de la nature des opérations de l’entité, de l’évolution
des facteurs internes et externes et des risques y afférents lors de la mise en place des
évaluations continues ou ponctuelles.

Rythme des changements


489. Le management tient compte du rythme des changements envisagés dans l’entité ou
dans son secteur d’activité. Si elle opère dans un secteur très évolutif, l’entité peut
avoir besoin d’accroître la fréquence des évaluations ponctuelles et peut réexami
ner la combinaison d’évaluations continues et d’évaluations ponctuelles au cours des
périodes de mutation. Par exemple, les banques soumises aux réformes de la réglemen
tation financière sélectionnent et développent des activités de pilotage qui intègrent
ces réformes et les réactions aux modifications du cadre réglementaire. En règle géné
rale, une combinaison d’évaluations continues et d’évaluations ponctuelles permettra
de déterminer si les composantes du contrôle interne continuent d’être mises en place
et fonctionnent.
490. Les activités de pilotage peuvent servir à étayer le reporting externe, notamment les
assertions du management concernant le système de contrôle interne de l’entité ou
d’autres formes de reporting relatif à la conformité. Les modalités de sélection, de

https://marketingebooks.tk/
PILOTAGE 191

développement et de réalisation des évaluations continues et des évaluations ponc


tuelles, ainsi que leur combinaison, seront généralement déterminées en fonction des
exigences liées au reporting externe ou aux assertions du management.

Niveau de référence
491. Comprendre la conception et l’état du contrôle interne fournit un niveau de référence
utile pour la mise en place d’évaluations ponctuelles ou continues. L’utilisation des
activités de pilotage requiert une bonne compréhension de l’architecture du système
de contrôle interne, et du rôle joué par les contrôles dans l’application des principes
dans les cinq composantes. Au fur et à mesure que le management acquiert l’expé
rience du pilotage, sa compréhension du système évolue en fonction des résultats de
ces activités. Si l’entité ne possède pas un niveau de référence de certains domaines
qui présentent des risques importants, il peut s’avérer nécessaire de procéder à une
évaluation ponctuelle dans ces domaines. En cas de modification au sein de l’une des
cinq composantes du contrôle interne, il arrive qu’une évaluation des informations
de référence soit nécessaire afin de s’assurer que les activités de pilotage demeurent
appropriées ou actualisées et sont par conséquent en phase avec les autres compo
santes du contrôle interne.

Évaluations continues
492. Les évaluations continues manuelles ou automatisées ont pour objet de piloter la mise
en place et le fonctionnement des composantes du contrôle interne dans le cadre de la
gestion courante des activités opérationnelles. Les évaluations continues sont géné
ralement réalisées par des responsables opérationnels ou fonctionnels qui sont com

Pilotage
pétents et qui possèdent des connaissances suffisantes pour comprendre les éléments
évalués et examiner attentivement les implications des informations qu’ils reçoivent.
En concentrant leur attention sur les corrélations, les incohérences ou autres implica
tions pertinentes, ces responsables détectent des problèmes et effectuent un suivi avec
les collaborateurs concernés afin de déterminer si des mesures correctives ou d’autres
initiatives s’imposent.
493. Les entités font souvent appel aux systèmes d’information pour faciliter les évalua
tions continues. Les techniques informatiques de pilotage continu sont en principe
plus objectives (selon la qualité des programmes et des tests réalisés) et permettent
de couvrir efficacement d’importants volumes de données moyennant un coût très
modéré. Ces techniques, associées à une revue et une analyse solides des résultats par
des collaborateurs avertis et responsables, peuvent conduire à des programmes d’éva
luation continue efficients et efficaces.

https://marketingebooks.tk/
192 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

494. Voici quelques exemples d’évaluations continues :

Une entreprise industrielle de taille moyenne a mis en place un processus visant à


organiser une réunion mensuelle sur la production à laquelle participent le respon
sable de la fabrication, le responsable des stocks et le responsable de la planifica
tion des besoins, qui revoient les niveaux de production actuels et les modifications
apportées aux produits. La responsable qualité participe également à cette réunion.
Dans le cadre de son évaluation continue des contrôles relatifs au processus de pla-
nification de la production, la responsable qualité évalue les informations qu’elle a
obtenues durant la réunion afin de poser des questions pertinentes au management
et aux collaborateurs, lui permettant de vérifier que des analyses et des mesures
appropriées sont mises en œuvre et suivies en temps voulu, et d’identifier des ano
malies ou des tendances inhabituelles qui justifient le lancement immédiat d’inves
tigations. Elle exploite également les informations qu’elle a obtenues et analysées
durant la réunion pour dégager des tendances et lancer des requêtes spécifiques afin
de recommander des modifications au niveau des activités de contrôle relatives au
processus de planification de la production.

Dans le cadre des activités de contrôle intégrées au processus d’approvisionne


ment, un logiciel est utilisé pour automatiser la revue de toutes les transactions
de paiement. Une procédure logicielle intégrée dans le processus de paiement des
fournisseurs identifie immédiatement toute transaction inhabituelle en fonction de
paramètres préétablis (par exemple, les éventuels règlements en double). Le super
viseur de la comptabilité fournisseurs procède à des investigations quotidiennes sur
les anomalies identifiées, procède à leur analyse causale, et évalue et communique
toute déficience du contrôle interne aux responsables du processus d’approvisionne
ment chargés de prendre des mesures correctives.

Le service des ressources humaines a développé des politiques et des modalités pra
tiques permettant à l’organisation de respecter son engagement à attirer, former et
fidéliser des collaborateurs compétents. Ces pratiques comprennent une formation,
un encadrement et des pratiques d’évaluation favorisant le développement et la pro
motion des postes de management. Chaque semestre, conformément aux politiques
et modalités pratiques de l’entité relatives aux ressources humaines, les personnes
concernées préparent et présentent aux responsables des ressources humaines une
revue de la performance réelle des collaborateurs qui leur sont affectés au regard
des niveaux de performance et des normes de conduite attendus. Dans le cadre
de l’évaluation continue de ces politiques et modalités pratiques, le directeur des
ressources humaines assiste à ces présentations semestrielles et formule des com
mentaires objectifs en temps réel à l’intention des superviseurs et responsables de

https://marketingebooks.tk/
PILOTAGE 193

service sur l’efficacité du processus de revue et le respect du droit du travail, ainsi


que des recommandations pour améliorer les processus ultérieurs.
Sans demander l’approbation des superviseurs, une entité autorise son comptable
chargé des comptes fournisseurs à traiter des factures présentant jusqu’à 5 %
d’écart en faveur des sous-t raitants par rapport aux tarifs fixés pour les services
dans les contrats. Le manager chargé des comptes fournisseurs pilote cette activité
de contrôle à chaque fin de mois en effectuant une revue des paiements en tenant
compte de deux indicateurs en particulier : le nombre de paiements présentant un
écart par rapport au contrat et la fréquence à laquelle tel ou tel comptable traite des
écarts de paiements. Le manager chargé des comptes fournisseurs recherche tout
écart excessif ou toute fréquence anormale d’un point de vue opérationnel ou pou
vant impliquer une fraude, et procède à une analyse causale pour y remédier.

Évaluations ponctuelles
495. En règle générale, les évaluations ponctuelles ne sont pas intégrées dans les processus
métier mais elles peuvent être utiles pour examiner sous un angle nouveau la mise en
place et le fonctionnement des cinq composantes du contrôle interne. Ces évaluations
incluent des observations, des enquêtes, des revues et autres examens, selon le cas, pour
s’assurer de la conception, de la mise en place et de l’exécution des contrôles relatifs à
l’application des principes dans l’ensemble de l’entité et de ses unités. Les évaluations
ponctuelles des composantes du contrôle interne ont un périmètre et une fréquence
variables selon l’importance des risques, leurs modalités de traitement, les résultats
des évaluations continues et les effets attendus. Les risques majeurs et les mesures de
traitement y afférentes devraient faire l’objet d’évaluations plus approfondies et/ou plus
fréquentes. Les risques majeurs peuvent faire l’objet tant d’évaluations continues que

Pilotage
ponctuelles. Les évaluations ponctuelles peuvent donner un éclairage sur les résultats
des évaluations continues et leur nombre peut être accru en fonction des besoins.
496. Une évaluation ponctuelle de l’ensemble du système de contrôle interne, ou de com
posantes spécifiques du contrôle interne, peut être appropriée pour plusieurs raisons :
changement important de stratégie ou de managers, acquisitions ou cessions d’acti
vités, évolution de la situation économique ou politique, modifications apportées aux
opérations ou aux modes de traitement de l’information. Le périmètre de l’évaluation
dépend de la catégorie d’objectifs concernée : objectifs liés aux opérations, au repor
ting ou à la conformité.

Collaborateurs avertis
497. Les évaluations ponctuelles sont souvent réalisées par la fonction d’audit interne. Bien
que cette fonction ne soit pas obligatoire, son existence peut néanmoins améliorer le

https://marketingebooks.tk/
194 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

périmètre, la fréquence et l’objectivité de ces revues 46. Étant donné que les évaluations
ponctuelles sont réalisées périodiquement par des managers, des collaborateurs ou
des tiers indépendants, de façon à obtenir des informations objectives, ces évaluateurs
doivent posséder une bonne connaissance de l’entité et du fonctionnement des activités
de pilotage, et comprendre les éléments évalués. Les procédures conçues pour fonc
tionner d’une façon spécifique peuvent être modifiées au fil du temps afin d’opérer
différemment, ou peuvent ne plus être exécutées. Il arrive que de nouvelles procédures
soient mises en place mais ne soient pas connues de ceux qui décrivent le processus et
ne figurent pas dans la documentation existante. Leur mode de fonctionnement réel
peut être déterminé au moyen d’entretiens avec les collaborateurs chargés d’effectuer
les contrôles ou concernés par ces derniers, de l’examen de certains dossiers ou d’une
combinaison de procédés.
498. Le responsable de l’évaluation analyse la mise en place et le fonctionnement des com
posantes du contrôle interne ainsi que les résultats des évaluations. Cette analyse est
réalisée à partir des instructions formulées par le management pour chaque compo
sante, afin d’avoir une assurance raisonnable quant à l’atteinte des objectifs préalable
ment définis.

Approches et objectivité en matière d’évaluations ponctuelles


499. Il existe un grand nombre d’approches possibles en matière d’évaluations ponctuelles.
Le périmètre, la nature, la fréquence et le caractère plus ou moins formel des évalua
tions varient selon l’importance relative des modalités de traitement des risques, des
composantes concernées et des principes du contrôle interne qui sont évalués. Les
évaluations ponctuelles peuvent inclure les évaluations suivantes :
évaluations réalisées par l’audit interne : les auditeurs internes sont objectifs et com
pétents, qu’ils soient salariés ou prestataires. L’audit interne procède à des évalua
tions ponctuelles de sa propre initiative, ou à la demande spécifique de la direction
générale ou du conseil. En règle générale, la fonction d’audit interne établit tous
les ans un plan d’audit interne récapitulant les missions sélectionnées selon une
approche fondée sur les risques qui répond aux objectifs de l’organisation et aux
priorités des parties prenantes. Par exemple, la revue peut porter sur le respect du
code de conduite, la conception du processus d’évaluation des risques, le reporting
concernant la qualité des données ou des transactions et des contrôles spécifiques.

46. Certains organes externes peuvent imposer à l’entité l’obligation de se doter d’une fonction d’audit interne.
Par exemple, la bourse de New York (New York Stock Exchange) exige que toutes les sociétés qui émettent des titres
cotés disposent d’une fonction d’audit interne (Manuel du NYSE à l’intention des sociétés cotées, 303A.07(d)).

https://marketingebooks.tk/
PILOTAGE 195

Les rapports sont diffusés à la direction générale, au conseil ou à son comité d’audit,
ainsi qu’aux autres acteurs en mesure de donner suite aux recommandations formu
lées dans le rapport ;
autres évaluations objectives : dans les entités qui n’ont pas de service d’audit
interne, le management peut faire appel à d’autres prestataires internes ou externes
d’assurance, comme les services en charge de la conformité, de l’organisation et des
méthodes, du contrôle interne ou de la sécurité informatique, ou les consultants. Par
exemple, le spécialiste de la sécurité informatique d’une entité peut évaluer pério
diquement la conformité de l’entité aux normes applicables en matière de sécurité
de l’information 47 ;
évaluations réalisées par les collaborateurs de diverses unités opérationnelles ou
fonctionnelles : une entité peut faire appel à des collaborateurs provenant de diffé
rentes unités opérationnelles ou de diverses fonctions pour évaluer les composantes
du contrôle interne. Par exemple, les collaborateurs de l’unité opérationnelle A en
charge des audits qualité peuvent évaluer les contrôles internes de l’unité opéra
tionnelle B. En outre, la participation des collaborateurs de différentes unités
opérationnelles ou de diverses fonctions aux évaluations peuvent améliorer les
communications entre ces unités ou fonctions ;
analyses comparatives (Benchmark)/évaluations d’entités similaires : certaines
entités comparent les composantes de leur contrôle interne à celles d’autres entités.
Ces comparaisons peuvent être effectuées directement avec une autre entité, ou
sous les auspices d’associations professionnelles ou sectorielles. Il arrive que les
autres entités puissent fournir des informations comparatives. Point de vigilance :
lors des comparaisons, il convient de tenir compte des différences liées aux objec
tifs, aux faits et aux circonstances, qui existent toujours ;

Pilotage
auto- é valuations : les évaluations ponctuelles peuvent revêtir la forme d’auto- éva
luations ; dans ce cas, les responsables d’une unité ou d’une fonction donnée évaluent
la mise en place et le fonctionnement des composantes du contrôle interne rela
tives à leurs activités. Par exemple, la directrice générale de la division « Produits
alimentaires » d’une société dirige l’évaluation de ses activités de contrôle interne
liées à la réglementation relative à la sécurité alimentaire. Elle évalue elle-même les
contrôles associés aux choix stratégiques et aux objectifs clés, ainsi que les compo

47. Une entité peut appliquer la norme ISO/IEC 27002, éditée par l’Organisation internationale de normalisation
(International Organization for Standardization – ISO) et la Commission électrotechnique internationale (Inter
national Electrotechnical Commission – IEC), qui définit les pratiques recommandées en matière de gestion de la
sécurité de l’information aux personnes chargées de concevoir, de mettre en place et d’assurer le fonctionnement
des systèmes de gestion de la sécurité de l’information.

https://marketingebooks.tk/
196 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

santes de l’environnement du contrôle interne, tandis que les collaborateurs chargés


des diverses activités opérationnelles de la division évaluent la mise en place et le
fonctionnement des composantes relatives à leurs domaines de responsabilité. Les
auto- évaluations pouvant être moins objectives que les autres modes d’évaluation
ponctuelle (en fonction de la personne qui s’auto-é value), le collaborateur chargé
de l’évaluation ou les utilisateurs du rapport détermineront l’importance relative et
l’intérêt qu’il convient d’accorder aux résultats.

Prestataires externes
500. Les entités qui font appel à des prestataires externes pour des services comme l’entre
posage par des tiers, l’hébergement sur Internet, le traitement de demandes de rem
boursement de soins de santé, la gestion de régimes de retraite ou des services de prêt
doivent comprendre les activités et les contrôles associés à ces services et l’incidence
du système de contrôle interne d’un prestataire externe sur celui de l’entité.
501. Les entités peuvent adopter diverses approches, décrites ci-après, pour comprendre le
système de contrôle interne d’un prestataire externe :
l’utilisateur des services externes peut procéder à ses propres évaluations ponc
tuelles du système de contrôle interne du prestataire externe si cette approche est
pertinente pour l’entité. Dans ce cas, l’entité devrait insérer dans les contrats conclus
avec le prestataire externe une clause relative au droit d’audit, qui l’autorise à pro
céder à ses propres évaluations ponctuelles et à accéder aux locaux du prestataire ;
des informations pertinentes concernant le système de contrôle interne d’un presta
taire externe peuvent être obtenues par la revue d’un rapport d’examen ou d’audit
indépendant 48. Lors de la revue de ces rapports, l’organisation examine le contenu
des assertions et des attestations qu’ils contiennent afin de s’assurer que les contrôles
du prestataire externe sont en phase avec ceux de l’entité et que les tests et les résul
tats des contrôles du prestataire donnent une assurance suffisante à l’entité utilisa
trice. Les entités examinent en outre la période couverte par le rapport d’examen ou
d’audit indépendant car il peut arriver que celle- ci ne réponde pas parfaitement aux
besoins de l’entité. Dans ces circonstances, l’entité devrait insérer dans les contrats
conclus avec les prestataires externes une clause prévoyant l’obligation de présenter
un rapport d’examen ou d’audit indépendant ;

48. Parmi les attestations délivrées aux fins du reporting financier externe, on peut citer, à titre d’exemples,
le rapport SOC (Service Organization Control) présenté conformément à la prise de position n° 16 de l’AICPA
concernant les normes relatives aux missions d’attestation (SSAE 16 ou SOC 1) ou le rapport 3402 prévu par la
norme internationale relative aux missions d’assurance (ISAE 3402).

https://marketingebooks.tk/
PILOTAGE 197

au vu d’éléments tels que la nature et la portée des informations transférées entre
les parties, la nature des traitements effectués par le prestataire externe et de ses
remontées d’informations, l’entité pourra peut-ê tre conclure, sans documentation
supplémentaire, que le contrôle interne relatif aux traitements effectués par le pres
tataire est suffisant.

ÉVALUER ET COMMUNIQUER LES DÉFICIENCES


DU CONTRÔLE INTERNE

Principe n° 17 : L’organisation évalue et communique les déficiences


de contrôle interne en temps voulu aux responsables des mesures
correctives, y compris, le cas échéant, à la direction générale
et au conseil.

Points d’attention
502. Les points d’attention suivants soulignent les caractéristiques importantes relatives à
ce principe :
évaluer les résultats : le management et/ou le conseil, selon le cas, évaluent les résul
tats des évaluations continues et des évaluations ponctuelles ;
communiquer les déficiences : les déficiences sont communiquées aux parties
chargées de prendre des mesures correctives ainsi qu’à la direction générale et au
conseil, le cas échéant ;
effectuer le suivi des mesures correctives : le management effectue un suivi afin de

Pilotage
s’assurer que les déficiences sont corrigées dans des délais appropriés.

Évaluation des résultats


503. Il peut arriver que, dans le cadre des activités de pilotage, l’organisation détecte des
anomalies ou des opportunités qui méritent une attention particulière. Lorsqu’elles
correspondent à une insuffisance réelle ou potentielle de certaines parties du système
de contrôle interne qui pourrait compromettre la capacité de l’entité à atteindre ses
objectifs, les anomalies constatées sont qualifiées de déficiences du contrôle interne.
En outre, l’entité peut identifier des domaines dans lesquels l’efficacité du contrôle
interne peut être renforcée, ou dans lesquels des modifications pourraient être appor
tées au système de contrôle interne actuel afin d’améliorer la probabilité que les objec
tifs de l’entité soient atteints. Bien que l’identification et l’évaluation des opportunités

https://marketingebooks.tk/
198 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

potentielles ne relèvent pas du système de contrôle interne, l’organisation souhaitera


en principe saisir les opportunités identifiées et en tenir compte dans le cadre de la
définition de la stratégie ou des objectifs.
504. Les déficiences constatées dans les composantes du contrôle interne d’une entité et les
principes sous-jacents peuvent provenir de sources diverses :
activités de pilotage, notamment :
– les évaluations continues d’une entité, qui incluent notamment les fonctions
managériales et la supervision quotidienne des collaborateurs, qui permettent de
recueillir le point de vue de ceux qui sont directement impliqués dans les activités
de l’entité. Ces points de vue sont recueillis en temps réel et permettent une iden
tification rapide des déficiences,
– les évaluations ponctuelles réalisées par le management, les auditeurs internes,
les responsables fonctionnels et les autres collaborateurs qui peuvent mettre en
exergue les points à améliorer ;
les autres composantes du contrôle interne fournissent des indications sur le fonc
tionnement de la composante concernée ;
les tiers tels que les clients, les fournisseurs, les auditeurs externes et les régu
lateurs, fournissent souvent des informations importantes concernant les compo
santes du contrôle interne d’une entité.

Communication des déficiences du contrôle interne


505. La communication concernant les déficiences du contrôle interne dépend des critères
fixés par les régulateurs, les organismes de normalisation, ainsi que le management et
le conseil. Les résultats des évaluations continues et des évaluations ponctuelles sont
examinés en fonction de ces critères afin de déterminer les destinataires et le contenu
de la communication y afférente. En outre, les critères fixés par le conseil ou le mana
gement sont généralement fondés sur la situation de l’entité et sur les lois, règlements
et normes applicables.
506. La communication des déficiences du contrôle interne aux parties compétentes pour
prendre des mesures correctives est une condition essentielle de la réalisation des
objectifs des entités. En outre, le périmètre des évaluations, l’approche retenue, ainsi
que toute déficience du contrôle interne, doivent être communiqués aux personnes
chargées de l’évaluation globale de l’efficacité du contrôle interne.
507. La nature des éléments à communiquer varie en fonction des résultats de l’évaluation
de la déficience selon les critères appropriés, de la compétence des destinataires en
matière de traitement des problèmes soulevés et des fonctions de surveillance des

https://marketingebooks.tk/
PILOTAGE 199

supérieurs hiérarchiques. Les déficiences peuvent être signalées à la direction générale


et au conseil selon les critères de présentation de l’information fixés selon le cas par les
régulateurs, les organismes de normalisation ou l’entité. Les déficiences du contrôle
interne sont généralement communiquées à la fois aux parties chargées de prendre des
mesures correctives et, au minimum, à l’échelon supérieur de management.
508. L’échelon supérieur de management, qui contribue à la mise en œuvre des mesures cor
rectives par son soutien ou sa surveillance, est bien placé pour informer les autres col
laborateurs de l’entité dont les activités pourraient être affectées. Lorsque les constats
concernent plusieurs unités de l’organisation, les déficiences sont communiquées à
l’ensemble des parties intéressées et à un niveau suffisamment élevé pour que des
mesures appropriées soient prises. Par exemple, les déficiences concernant un membre
ou un sous- comité du conseil – qui peuvent être liées à son manque d’indépendance
ou à une surveillance insuffisante – sont généralement communiquées, conformément
aux règles de reporting de l’entité, à tous les membres du conseil, à son président, au
directeur général et/ou au comité des nominations, au comité de la gouvernance ou à
tout autre comité approprié du conseil.
509. Pour déterminer la nature des informations à communiquer, il convient d’examiner
les implications des constats et les règles en matière de reporting de l’entité. Il est
primordial que non seulement une transaction ou un événement donné soit communi
qué, mais également que les procédures défaillantes soient réévaluées. Des voies de
communication alternatives devraient également exister pour la transmission d’infor
mations sensibles, notamment celles concernant les actes illégaux ou répréhensibles.
En outre, la communication des déficiences à des tiers est parfois nécessaire selon
le type d’entité et les obligations réglementaires, sectorielles, ou les autres règles de
conformité auxquelles elle est soumise.

Pilotage
Suivi des mesures correctives
510. Une fois les déficiences du contrôle interne évaluées et communiquées aux parties
chargées de prendre des mesures correctives, le management effectue un suivi afin
de s’assurer que des mesures correctives sont mises en place en temps voulu. Les par
ties chargées de prendre des mesures correctives ne sont généralement pas les mêmes
que celles qui exécutent les activités de pilotage. L’organisation exerce un jugement
lorsqu’elle évalue la manière dont les déficiences sont corrigées. Ce jugement devrait
être appliqué par les personnes responsables de la sélection, du développement et du
déploiement des contrôles relatifs à l’application des principes.
511. Comme dans le cadre de la communication initiale des déficiences du contrôle interne,
les déficiences qui ne sont pas corrigées en temps voulu sont généralement commu

https://marketingebooks.tk/
200 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

niquées, au minimum, à l’échelon de management supérieur à la partie chargée de


prendre des mesures correctives. En outre, il est possible que le management ait à
revoir la sélection et le déploiement des activités de pilotage, y compris la combinai
son d’évaluations continues et d’évaluations ponctuelles, jusqu’à ce que les mesures
correctives aient corrigé les déficiences du contrôle interne.

https://marketingebooks.tk/
CHAPITRE 10

Limites du contrôle interne

512. Résumé : Le contrôle interne, aus si b i en conçu, mis en place et piloté soit il, ne peut
offrir au management et au conseil qu’une assurance raisonnable quant à la réalisation
des objectifs de l’entité. La p robabilité d’atteindre ces objectifs est soumise aux limites
inhérentes à tout système de contrôle interne. Elles proviennent, par exemple, du
fait que le jugement des personnes impliquées dans les prises de décision peut être
erroné, d u fait de l’impact potentiel d’événements externes échappant au contrôle
de l’organisation, ou du fait de dysfonctionnements provoqués par des défaillan ces
humaines telles que de simples erreurs. Par ailleurs, les contrôles mis en place peuvent
être contournés s’il y a collusion entre plusieurs person nes, et le management a tou
jours la possibilité de déroger volontairement au système de contrôle interne.

https://marketingebooks.tk/
202 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

513. Le contrôle interne est considéré par certains observateurs comme une garantie de
succès pour l’entité (à savoir la réalisation systématique des objectifs liés aux opéra
tions, au reporting et à la conformité). En d’autres termes, le contrôle interne est par
fois considéré comme une solution à tous les problèmes existants et potentiels frappant
l’organisation. Cette vision est erronée : le contrôle interne n’est pas la panacée.
514. Lorsqu’il s’agit d’étudier les limites du contrôle interne, il est nécessaire de distinguer
deux concepts. La première série de limites réside dans le fait que des événements ou
des situations échappent au contrôle du management. La seconde catégorie de limites
vient du fait qu’aucun système de contrôle interne ne réalise systématiquement ce
pour quoi il a été conçu. Ce que l’on peut attendre de mieux d’un système de contrôle
interne est de fournir une « assurance raisonnable ». Il s’agit du point essentiel de ce
chapitre. Deuxièmement, le contrôle interne ne peut fournir une assurance absolue que
les objectifs seront réalisés.
515. L’assurance raisonnable ne signifie pas que les systèmes de contrôle interne seront fré
quemment défaillants. De nombreux facteurs, isolés ou conjoints, servent à renforcer
cette « assurance raisonnable ». Les contrôles participant à la réalisation de plusieurs
objectifs ou qui sont relatifs à l’application de plusieurs principes contribuent à réduire
le risque de non-atteinte des objectifs de l’entité. Par ailleurs, les activités et les respon
sabilités courantes des collaborateurs à tous les niveaux de la hiérarchie concourent à
la réalisation des objectifs de l’entité. En effet, grâce à ces activités, il est probable que
le management soit souvent informé du processus qui sous-tend les objectifs liés aux
opérations de l’entité tout en facilitant la réalisation des objectifs liés à la conformité et
au reporting. Cependant, en raison des limites inhérentes au contrôle interne énumérées
dans cette section, il ne peut y avoir aucune garantie que, par exemple, un événement
impossible à contrôler, une erreur, ou un abus ne se produise jamais. En d’autres termes,
un système de contrôle interne, même efficace, peut s’avérer défaillant. « Assurance
raisonnable » n’est pas synonyme d’« assurance absolue ».
516. Quelles que soient ces limites, le management devrait en tenir compte lors de la sélec
tion, du développement et du déploiement des contrôles qui, dans la mesure du pos
sible, sont censés les réduire.

CONDITIONS PRÉALABLES AU CONTRÔLE INTERNE

517. Le Référentiel spécifie plusieurs domaines faisant partie du processus de gestion mais
qui ne relèvent pas du processus de contrôle interne. Par exemple, deux des domaines
qui sont hors du contrôle interne sont : le processus de gouvernance (qui concerne le
rôle du conseil au- delà du contrôle interne), et la détermination des objectifs (qui est

https://marketingebooks.tk/
LIM ITE S DU CONTR ÔL E INT ERN E 203

une condition préalable au contrôle interne). L’efficacité provient également du fait


que ces domaines, parmi d’autres, sont interdépendants. Par exemple, une gouver
nance défaillante en termes de sélection, de développement et d’évaluation des admi
nistrateurs peut limiter la capacité à fournir une surveillance appropriée du contrôle
interne. De même, l’inefficacité des processus d’élaboration de la stratégie et de défi
nition des objectifs peut remettre en cause la capacité à identifier des objectifs impré
cis, irréalistes ou inappropriés. Un système de contrôle interne ne peut pas couvrir
toutes les activités exercées par une entité, et les faiblesses dans ces domaines peuvent
l’empêcher d’avoir un contrôle interne efficace.

JUGEMENT
518. L’efficacité du contrôle interne est limitée par le risque de défaillances humaines lors
de la prise de décisions opérationnelles. Les personnes responsables de telles décisions
doivent faire appel à leur jugement dans le temps qui leur est imparti, en se basant sur
les informations disponibles, susceptibles d’être biaisées par le management, et en
faisant face aux pressions liées à la conduite de l’activité. Avec le recul, il peut s’avérer
que certaines décisions fondées sur le jugement produisent des résultats décevants et
doivent être modifiées.

ÉVÉNEMENTS EXTERNES
519. Le contrôle interne, aussi efficace soit-i l, opère à différents niveaux selon les objectifs
visés. En ce qui concerne les objectifs liés à l’efficacité et à l’efficience des opérations
d’une entité – réalisation de sa mission, des valeurs (productivité, qualité et services à
la clientèle), des objectifs de rentabilité, et autres – le contrôle interne ne peut pas four
nir une assurance raisonnable quant à leur réalisation lorsque des événements externes
sont susceptibles d’avoir un impact significatif et qu’il est impossible de réduire cet
impact à un niveau acceptable. Dans de telles circonstances, le contrôle interne ne
peut fournir à l’organisation qu’une assurance raisonnable d’être informée de l’évolu
tion (positive ou négative) des performances de l’entité en matière de réalisation des
Limites du contrôle interne

objectifs.

DYSFONCTIONNEMENTS
520. Même un système de contrôle interne bien conçu peut faire l’objet de dysfonctionne
ments. Les collaborateurs peuvent mal interpréter les instructions, leur jugement peut
être défaillant, ou bien ils peuvent commettre des erreurs par manque d’attention. Il

https://marketingebooks.tk/
204 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

peut également leur être demandé de se concentrer sur des tâches trop nombreuses.
Par exemple, un responsable de service chargé de réaliser des investigations sur les
anomalies peut simplement oublier de les mettre en œuvre ou ne pas les approfon
dir suffisamment pour lui permettre de prendre les mesures appropriées. Il est pos
sible que les personnes qui s’acquittent des activités de contrôle en lieu et place des
collaborateurs absents (en congé ou malades) ne les réalisent pas correctement. Des
changements peuvent être introduits dans les contrôles applicatifs avant que les colla
borateurs n’aient reçu la formation nécessaire pour identifier les signes d’un éventuel
dysfonctionnement.

CONTOURNEMENT PAR LE MANAGEMENT


521. Même au sein d’une entité dotée d’un système efficace de contrôle interne, un manager
peut souhaiter et être en mesure de contourner ce système. L’expression « contourne
ment par le management » est employée pour désigner la dérogation illégitime aux
règles et procédures prescrites, dans le but d’en tirer profit personnellement, d’amélio
rer la présentation des performances de l’entité ou de dissimuler une non- conformité.
Le manager d’une division ou d’une unité opérationnelle, ou un membre de la direc
tion générale, pourrait être amené à contourner le contrôle interne pour de nombreuses
raisons :
accroître fictivement le chiffre d’affaires et ainsi dissimuler une baisse non anti
cipée de parts de marché ;
augmenter artificiellement le résultat en vue d’atteindre un budget irréaliste ;
rehausser la valeur d’une entité en prévision de sa cession ou d’une offre publique
d’achat (OPA) ;
simulerl’atteinte du chiffre d’affaires ou de prévisions budgétaires dans le but
d’augmenter une prime liée aux performances ;
dissimuler une situation qui entraînerait le remboursement immédiat des emprunts
si elle était connue ;
masquer la non-conformité aux obligations légales.
522. De telles pratiques peuvent se traduire par des déclarations délibérément trompeuses
aux banquiers, aux avocats, aux auditeurs et aux fournisseurs, ainsi que par l’émission
délibérée de faux documents (par exemple, des bons de commande ou des factures).
523. Il convient de distinguer les contournements par le management de son interven
tion, celle- ci désignant le fait que le management s’écarte des contrôles prescrits à
des fins légitimes. L’intervention du management est nécessaire lors de transactions

https://marketingebooks.tk/
LIM ITE S DU CONTR ÔL E INT ERN E 205

non récurrentes ou exceptionnelles, ou d’événements qui, sinon, ne seraient pas gérés


de manière appropriée. Les interventions du management sont nécessaires car aucun
processus ne peut être conçu pour anticiper tous les risques et toutes les situations. En
règle générale, les interventions du management se font de manière ouverte, dans le
cadre de règles et de procédures, ou en informant les collaborateurs appropriés. Les
abus, quant à eux, ne sont généralement pas documentés ou communiqués et ce, à des
fins de dissimulation.

COLLUSION
524. La collusion peut entraîner des déficiences du contrôle interne. Des personnes agissant
collectivement pour perpétrer et dissimuler une action peuvent altérer les informations
financières ou opérationnelles d’une manière qui ne peut pas être détectée ou évitée
par le système de contrôle interne. Par exemple, un collaborateur chargé de contrôles
pourrait agir en collusion avec un client, un fournisseur ou un autre collaborateur. Des
responsables des ventes ou d’unités opérationnelles pourraient agir en collusion pour
contourner des contrôles afin que les résultats communiqués soient conformes au bud
get ou aux objectifs sur lesquels seraient fondées des mesures d’incitation.

Limites du contrôle interne

https://marketingebooks.tk/
https://marketingebooks.tk/
Annexes

https://marketingebooks.tk/
ANNEXE A

Glossair e
525. À l’échelle de l’entité : aux échelons les plus élevés de l’entité, qui sont distincts des
autres parties de l’entité, notamment des filiales, divisions, unités opérationnelles et
fonctions.
526. Activité de contrôle : activité consistant à appliquer des règles et des procédures
visant à s’assurer de la mise en œuvre des instructions du management pour maîtriser
les risques susceptibles d’affecter la réalisation des objectifs.
527. Assurance raisonnable : concept selon lequel le contrôle interne, même parfaitement
conçu et mis en œuvre, ne peut pas garantir la réalisation des objectifs de l’entité en
raison des limites inhérentes à tout système de contrôle interne.
528. Catégorie : l’un des trois groupes d’objectifs en matière de contrôle interne. Les caté
gories concernent les opérations, le reporting et la conformité.
529. Composante : l’un des cinq éléments du contrôle interne. Les cinq composantes sont
les suivantes : environnement de contrôle, évaluation des risques, activités de contrôle,
information et communication, pilotage.
530. Conception : (1) but ; lorsqu’il est employé dans le cadre de la définition du contrôle
interne, ce mot signifie que le système de contrôle interne a été conçu pour fournir une
assurance raisonnable quant à la réalisation des objectifs ; lorsque ce but est atteint, il
est possible de conclure à l’efficacité du système. (2) Prévision : la façon dont le sys
tème devrait fonctionner, par opposition à la façon dont il fonctionne dans la réalité.
531. Conformité : le respect des lois et des règlements auxquels l’entité est soumise.
532. Conseil : organe de gouvernance d’une entité, notamment le conseil d’administration
ou le conseil de surveillance pour une société de capitaux, le conseil de direction pour
un organisme à but non lucratif, le conseil des gouverneurs ou le collège des com
missaires pour les entités publiques, les associés commandités pour les sociétés de
personnes ou le propriétaire pour les organisations moins grandes.
533. Contournement par le management : le fait pour le management de contourner, à
des fins illégitimes, les règles ou les procédures prescrites, dans le but d’en tirer profit
personnellement, d’améliorer la présentation de la situation financière de l’entité ou de
dissimuler une non-conformité.

https://marketingebooks.tk/
ANNEXES 209

534. Contrôle détectif : contrôle visant à identifier un événement ou un résultat imprévu


après le traitement initial mais avant la réalisation de l’objectif final (par opposition
au contrôle préventif).
535. Contrôle interne efficace : un système de contrôle interne efficace fournit une assu
rance raisonnable quant à la réalisation des objectifs de l’entité. Il suppose que les
principes et chacune des cinq composantes du contrôle interne soient mis en place et
fonctionnent, et que ces dernières fonctionnent conjointement.
536. Contrôle interne : processus mis en œuvre par le conseil, le management et les col
laborateurs de l’entité afin d’obtenir une assurance raisonnable quant à la réalisation
d’objectifs liés aux opérations, au reporting et à la conformité.
537. Contrôle préventif : contrôle destiné à éviter, à la date d’occurrence initiale, un évé-
nement ou un résultat imprévu (par opposition au contrôle détectif).
538. Contrôle : (1) nom (existence d’un contrôle) désignant une règle ou une procédure
relevant du contrôle interne. Des contrôles existent au sein de chacune des cinq com
posantes. (2) Verbe (contrôler) désignant le fait de définir ou de mettre en place une
règle ou une procédure en application d’un principe.
539. Contrôles applicatifs : procédures programmées dans les logiciels et procédures
manuelles connexes visant à assurer l’exhaustivité et l’exactitude du traitement de
l’information.
540. Contrôles automatisés : activités de contrôle réalisées en totalité ou en majeure par
tie grâce aux systèmes d’information (par exemple, fonctions de contrôle automatisés
programmées dans un logiciel, par opposition aux contrôles manuels).
541. Contrôles des transactions : activités de contrôle qui viennent directement en appui
des mesures de maîtrise des risques associés au traitement des transactions dans le
cadre des processus métier d’une entité. Les contrôles des transactions peuvent être
manuels ou automatisés et sont généralement liés aux objectifs d’exhaustivité, d’exac
titude et de validité du traitement de l’information.
542. Contrôles généraux informatiques : activités de contrôle qui contribuent à assurer le
fonctionnement correct et continu des systèmes d’information. Ces contrôles incluent
les contrôles afférents à l’infrastructure informatique, à la gestion de la sécurité ainsi
qu’à l’acquisition, au développement et à la maintenance des systèmes d’information.
Les contrôles généraux informatiques sont également appelés « contrôles généraux
afférents aux systèmes d’information » et « contrôle des systèmes d’information ».
543. Contrôles manuels : contrôles réalisés manuellement, sans faire appel aux systèmes
d’information (par opposition aux contrôles automatisés).
544. COSO : désigne le Committee of Sponsoring Organizations of the Treadway Com
Annexes

mission (COSO). Le COSO est une initiative conjointe de cinq organisations du sec

https://marketingebooks.tk/
210 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

teur privé qui, par un leadership éclairé, a vocation à élaborer des référentiels et des
lignes directrices de premier plan concernant la gestion des risques, le contrôle interne
et la lutte contre la fraude (voir le site www.coso.org).
545. Dans l’ensemble de l’entité : activités qui concernent chaque échelon de l’entité – il
s’agit le plus souvent de contrôles concernant l’ensemble de l’entité.
546. Déficience du contrôle interne : insuffisance dans une ou plusieurs composantes et
principes, qui réduit la probabilité que l’entité atteigne ses objectifs.
547. Déficience du contrôle : synonyme de déficience du contrôle interne. Une déficience
du contrôle peut également viser un contrôle ou une activité de contrôle donné.
548. Déficience majeure : déficience du contrôle interne, ou combinaison de plusieurs
déficiences, qui réduit fortement la probabilité que l’entité atteigne ses objectifs.
549. Direction générale : le directeur général ou un responsable équivalent et l’équipe de
direction générale.
550. Entité : entité juridique ou modèle organisationnel de n’importe quelle dimension,
mis en place dans un but précis. Une entité juridique peut être, par exemple, une entre
prise, un organisme à but non lucratif, un organisme public ou une institution universi
taire. Le modèle organisationnel peut être établi par lignes de services ou de produits,
par division ou par unité opérationnelle, avec des subdivisions supplémentaires ou des
consolidations de résultats par zones géographiques.
551. États financiers : en règle générale, ils comprennent l’état de la situation financière,
le compte de résultat, l’état des variations des capitaux propres, le tableau des flux de
trésorerie et les notes annexes aux états financiers.
552. Fonctionnement conjoint : les cinq composantes contribuent collectivement à rame
ner à un niveau acceptable le risque qu’un objectif ne soit pas atteint.
553. Intégrité : état d’esprit associé à des principes tels que l’honnêteté, l’incorruptibilité,
la probité ; le souhait de bien faire, d’exprimer et d’incarner un ensemble de valeurs
et d’attentes.
554. Intervention du management : le fait pour le management de déroger, à des fins
légitimes, aux règles ou aux procédures prescrites, lors de transactions non récur
rentes ou exceptionnelles, ou d’événements qui, sinon, ne seraient pas gérés de manière
appropriée.
555. Limites inhérentes : ces limitations sont inhérentes à tout système de contrôle
interne. Elles concernent les conditions préalables au contrôle interne, les événements
externes échappant au contrôle de l’entité, les limites inhérentes au jugement humain,
le fait que des dysfonctionnements soient plausibles, l’éventualité d’un contournement
des contrôles par le management ou d’une collusion.

https://marketingebooks.tk/
ANNEXES 211

556. Mis en œuvre : à propos d’un système de contrôle interne, ce terme signifie conçu et
mis en place.
557. Mise en place et fonctionnement : s’applique aux composantes et aux principes. La
« mise en place » désigne le fait que les composantes et les principes sont pris en
considération lors de la conception et de la mise en œuvre du système de contrôle
interne en vue d’atteindre les objectifs fixés. Le « fonctionnement » désigne le fait
que les composantes et les principes continuent d’être pris en compte dans le cadre du
pilotage du système de contrôle interne en vue d’atteindre les objectifs fixés.
558. Opérations (liés aux) : expression employée avec « objectifs » ou « contrôles » à pro
pos de l’efficacité et de l’efficience des activités, notamment en termes d’objectifs de
performance, de rentabilité et de sauvegarde des ressources.
559. Organisation : les membres d’une organisation, qui comprennent les administra
teurs, la direction générale et les autres collaborateurs.
560. Parties prenantes : parties qui sont affectées par l’entité telles que les actionnaires,
les communautés dans lesquelles l’entité opère, les collaborateurs, les clients et les
fournisseurs.
561. Principe : les principes correspondent aux concepts fondamentaux associés à chaque
composante. À titre exceptionnel, il est possible que, dans un contexte sectoriel, opé
rationnel ou réglementaire donné, le management estime qu’un principe n’est pas per
tinent pour la composante correspondante.
562. Procédure : action qui permet de mettre en œuvre une règle.
563. Processus de gestion : l’ensemble des mesures prises par le management pour gérer
l’entité. Le système de contrôle interne fait partie d’un processus de gestion intégré.
564. Règle : politiques ou instructions du management ou des administrateurs concernant
les mesures à prendre pour mettre en œuvre le contrôle. Elles peuvent être déclinées
sous forme de modalités pratiques. Ces instructions peuvent être documentées, expres
sément mentionnées dans des communications ou résulter implicitement d’actes et de
décisions. Une règle sert de fondement aux procédures.
565. Risque inhérent : il désigne le risque susceptible d’affecter la réalisation des objec
tifs en l’absence de mesures prises par le management pour en atténuer la probabilité
ou l’impact.
566. Risque résiduel : le risque susceptible d’affecter la réalisation des objectifs qui
demeure après que le management ait défini et mis en œuvre les modalités de traite
ment du risque inhérent.
567. Risque : possibilité qu’un événement survienne et ait un impact défavorable sur la
Annexes

réalisation des objectifs.

https://marketingebooks.tk/
212 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

568. Systèmes d’information : applications logicielles fonctionnant sur les ordinateurs,


systèmes de contrôle de la fabrication, etc.
569. Tolérance au risque : désigne l’écart acceptable entre les objectifs et la performance
réelle.
570. Traitement du risque : décision d’accepter, d’éviter, de réduire ou de partager un
risque.
571. Valeurs éthiques : il s’agit de valeurs morales qui permettent au décideur de détermi
ner le comportement approprié ; ces valeurs ne se limitent pas à ce qui est admissible
sur le plan légal.

https://marketingebooks.tk/
ANNEXE B

Rôles et responsabilités
INTRODUCTION
572. Le contrôle interne est mis en œuvre par les collaborateurs de l’organisation ainsi que
le conseil ou l’organe de surveillance équivalent et ses comités. Le management et
leurs collaborateurs, les fonctions support et les auditeurs internes contribuent col
lectivement à fournir l’assurance raisonnable que les objectifs fixés seront atteints.
Lorsque des prestataires externes effectuent des contrôles pour le compte de l’entité,
le management demeure responsable de ces contrôles.
573. Une organisation peut considérer qu’il existe trois lignes de défense en matière de
contrôle interne :
le management et les collaborateurs opérationnels constituent la première ligne
puisqu’ils sont responsables du maintien d’un contrôle interne efficace ; ils sont
rémunérés sur la base des performances liées à l’ensemble des objectifs applicables ;
les collaborateurs chargés des fonctions support telles que la gestion des risques,
le contrôle interne, le contrôle de gestion, les services juridiques et la conformité
assurent la deuxième ligne de défense puisqu’ils précisent les exigences en matière
de contrôle interne et évaluent le respect des normes définies. Bien qu’ils soient
organisés en fonction des besoins des métiers, leur rémunération n’est pas directe
ment liée aux performances du secteur qui bénéficie de leur expertise ;
les auditeurs internes représentent la troisième ligne de défense : ils procèdent à
des évaluations du contrôle interne et en rendent compte. Le cas échéant, ils recom
mandent des mesures correctives ou des améliorations qu’ils présentent au mana
gement pour examen et mise en œuvre ; leur rattachement et leur rémunération
relèvent d’une autorité distincte des domaines opérationnels qu’ils examinent.

PERSONNES ET ORGANES RESPONSABLES


574. Chaque membre de l’entité contribue à la mise en œuvre du contrôle interne. Les rôles
Annexes

varient en termes de responsabilité et de degré d’implication, comme indiqué ci-après.

https://marketingebooks.tk/
214 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Le conseil et ses comités


575. Les structures de gouvernance adoptées sont susceptibles de varier selon la nature et
l’implantation de l’organisation et peuvent inclure les administrateurs, le conseil de
surveillance, les fiduciaires et/ou les associés commandités, auxquels s’ajoutent, le cas
échéant, des comités. Dans le Référentiel, ces structures de gouvernance sont généra
lement désignées par l’expression « conseil ».
576. Le conseil est responsable de la surveillance du système de contrôle interne. Le conseil
a le pouvoir de désigner ou de révoquer le directeur général. Il joue un rôle clé dans la
définition des exigences relatives à l’intégrité, aux valeurs éthiques, à la transparence
et au devoir de rendre compte de la mise en œuvre du contrôle interne. Les administra
teurs sont objectifs et compétents et font preuve de curiosité. Ils doivent posséder une
connaissance solide concernant les activités et l’environnement de l’entité et consacrer
le temps nécessaire à leurs responsabilités.
577. Ils mettent en œuvre les ressources nécessaires pour approfondir les points délicats et
ils ont la possibilité de communiquer librement et ouvertement avec l’ensemble des
collaborateurs de l’entité, les auditeurs internes, les auditeurs externes, les évaluateurs
externes et les conseillers juridiques.
578. Le conseil s’appuie souvent, pour remplir certaines fonctions, sur des comités aux
quels il fait appel en fonction des exigences réglementaires et d’autres facteurs. Ces
comités peuvent avoir pour mission de surveiller l’audit, les rémunérations, les nomi
nations et la gouvernance, la gestion des risques et d’autres domaines importants
pour l’organisation. Chaque comité peut mettre l’accent sur certaines composantes
du contrôle interne. Lorsqu’un comité spécifique n’a pas été constitué, les fonctions
correspondantes sont exercées directement par le conseil.
579. Les comités du conseil peuvent inclure les comités suivants :
comité d’audit : les autorités de tutelle et les organismes professionnels de normali
sation imposent souvent l’obligation de mettre en place un comité d’audit. Le rôle et
l’étendue des pouvoirs d’un comité d’audit peuvent varier en fonction de l’environ
nement réglementaire de l’organisation, des normes sectorielles et d’autres facteurs.
Ce comité est parfois appelé comité d’audit et des risques afin de souligner l’impor
tance de la surveillance des risques. La fiabilité des états financiers relève de la
responsabilité du management, mais un comité d’audit efficace remplit une mission
de surveillance essentielle dans ce domaine. Il appartient au conseil, qui s’appuie
souvent sur son comité d’audit, d’interroger la direction générale sur les modalités
d’exercice de ses responsabilités en matière de reporting interne et externe et de
vérifier, le cas échéant, que des mesures correctives sont prises dans des délais
appropriés. Grâce à son indépendance, le comité d’audit, qui peut être soutenu par

https://marketingebooks.tk/
ANNEXES 215

des auditeurs internes, est souvent le mieux placé pour identifier les situations dans
lesquelles la direction générale contourne les contrôles ou les normes de conduite
et, le cas échéant, agir rapidement. Le comité d’audit interagit avec les auditeurs
externes, avec lesquels il se réunit régulièrement pour examiner le périmètre des
procédures d’audit planifiées et les résultats de ces audits. Dans le but de renforcer
le dialogue avec les auditeurs externes, certaines réunions se déroulent sans le
management. Bien que les règles relatives à la composition des conseils varient,
les administrateurs indépendants sont toujours importants car ils peuvent donner
un avis objectif. Par exemple, les règles de gouvernement d’entreprise applicables
au Royaume-Uni, en Allemagne, en France et dans d’autres pays, ainsi que celles
imposées par le New York Stock Exchange (NYSE) et le NASDAQ pour la cotation
des sociétés, fixent le nombre des membres des comités d’audit et d’autres critères
à respecter pour garantir leur indépendance vis-à -vis du management et leur com
pétence dans le domaine financier (par exemple, un membre au minimum doit pos
séder des compétences en comptabilité ou en gestion financière) ;
comité des rémunérations : ce comité fixe la rémunération du directeur général ou
du dirigeant équivalent et surveille les accords relatifs aux rémunérations afin de
motiver sans pour autant inciter à prendre des risques excessifs, de façon à défendre
en définitive les intérêts des actionnaires ou autres propriétaires de l’entité. Il s’as
sure que les systèmes d’évaluation des performances, d’incitation et de gratification
mis en place par la direction générale répondent aux impératifs dictés par les objec
tifs de l’entité, et il contribue à l’adoption de systèmes de rémunération qui favo
risent la réalisation de ces objectifs sans privilégier à l’excès les résultats à court
terme au détriment des performances à long terme ;
comité des nominations/de gouvernance : ce comité exerce un contrôle sur la sélection
des candidats aux fonctions d’administrateur et aux postes de direction générale. Il
désigne et évalue régulièrement les administrateurs, formule des recommandations
concernant la composition du conseil, les opérations et les performances, surveille
le plan de succession du directeur général et des autres postes clés de direction, et
met en place des processus et dispositifs de surveillance. Il s’assure de l’intégration
et de la formation des administrateurs et évalue les instances et processus de sur
veillance (évaluations du conseil et des comités, par exemple) ;
autres comités : d’autres comités du conseil peuvent être investis d’une mission de
surveillance dans d’autres domaines. Ces comités sont souvent mis en place dans
les organisations de grande dimension ou en raison de circonstances particulières
propres à l’entité. Par exemple, la mise en place d’un comité de la conformité chargé
d’assister le conseil peut s’avérer nécessaire dans les secteurs d’activité où le res
Annexes

pect de certaines lois et règlements est fondamental pour assurer la pérennité ou

https://marketingebooks.tk/
216 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

le développement de l’organisation. Les comités des risques sont constitués pour


surveiller attentivement l’évolution des niveaux de risque, leur incidence et le trai
tement adopté en la matière. Outre les comités du conseil qui sont investis d’une
mission de surveillance, des comités managériaux sont souvent constitués pour
formuler des lignes directrices dans certains domaines comme la conformité, les
nouveaux produits, et d’autres.

La direction générale
Le directeur général
580. Le directeur général rend compte au conseil. Il est responsable de la conception, de
la mise en place et du pilotage d’un système efficace de contrôle interne. Dans les
entreprises non cotées, les organismes à but non lucratif ou d’autres entités, le poste
équivalent aux fonctions de directeur général peut être appelé différemment mais il
comporte généralement les mêmes responsabilités, décrites ci-après. Plus que tout
autre, le directeur général doit faire preuve d’exemplarité. En effet, il a la capacité
d’influencer l’environnement de contrôle et toutes les autres composantes du contrôle
interne.
581. Les responsabilités du directeur général en matière de contrôle interne sont notam
ment les suivantes :
avec l’aide du management, donner des instructions et des orientations aux membres
de la direction générale pour définir les valeurs, les normes et les exigences de l’en
tité concernant les compétences requises, la structure organisationnelle et le devoir
de rendre compte, qui constituent le fondement du système de contrôle interne de
l’entité (par exemple, le directeur général définit les directives et les objectifs pour
l’ensemble de l’entité) ;
assurer la surveillance et le contrôle des risques auxquels l’entité est exposée (par
exemple, donner des directives à l’ensemble du management et des collaborateurs
pour qu’ils identifient de façon proactive les risques, compte tenu de l’accélération
des changements et des interactions avec les partenaires, les prestataires externes,
les clients, les collaborateurs, et des facteurs de risque qui en résultent) ;
guider la mise en place et le bon fonctionnement des activités de contrôle au niveau
de l’entité, et déléguer aux niveaux d’encadrement appropriés la conception, la mise
en place, le pilotage et l’évaluation du contrôle interne aux différents niveaux de
l’entité (par exemple, processus et contrôles à mettre en place) ;
communiquer les attentes (par exemple en matière d’intégrité, de compétence, de
directives clés) et les exigences en matière d’information (par exemple en ce qui
concerne le type de systèmes de planification et de communication à utiliser) ;

https://marketingebooks.tk/
ANNEXES 217

évaluer les déficiences du contrôle interne et leur impact sur son efficacité actuelle
et à long terme (grâce, par exemple, à des réunions régulières avec la direction géné
rale de chaque unité opérationnelle comme l’unité de recherchedéveloppement, de
production, de marketing ou de ventes), ainsi que les principales fonctions support
comme les fonctions finance, ressources humaines, affaires juridiques, conformité
et gestion des risques, afin d’apprécier comment elles assument leurs responsabi
lités en matière de contrôle interne.

Les autres membres de la direction générale


582. La direction générale comprend non seulement le directeur général mais également
d’autres cadres supérieurs qui dirigent les principales unités opérationnelles et fonc
tions support. Quelques exemples sont fournis ci-après :
responsable administratif ;
responsable de l’audit interne ;
responsable de la conformité ;
directeur financier ;
directeur des systèmes d’information ;
responsable des affaires juridiques ;
directeur des opérations ;
responsable de la gestion des risques ;
autres postes de direction, selon la nature de l’activité.
583. Ces autres membres de la direction générale assistent le directeur général et leurs
missions concernant le contrôle interne consistent notamment à :
donner des instructions et des orientations au management pour définir les valeurs,
les normes et les exigences de l’entité concernant les compétences requises, la struc
ture organisationnelle et le devoir de rendre compte, qui constituent le fondement
du système de contrôle interne de l’entité (par exemple, le directeur général définit
les directives et les objectifs pour l’ensemble de l’entité) ;
assurer la surveillance des risques auxquels l’entité est exposée (par exemple,
donner des directives à l’ensemble du management et des collaborateurs pour qu’ils
identifient de façon proactive les risques compte tenu de l’accélération des change
ments et des interactions avec les partenaires, les prestataires externes, les clients,
les collaborateurs, et des facteurs de risque qui en résultent) ;
guider la mise en place et le bon fonctionnement des contrôles au niveau de l’entité,
Annexes

et déléguer aux niveaux d’encadrement appropriés la conception, la mise en place,

https://marketingebooks.tk/
218 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

le pilotage et l’évaluation du contrôle interne aux différents niveaux de l’entité (par


exemple processus et contrôles à mettre en place) ;
communiquer les attentes (par exemple en matière d’intégrité, de compétence, de
directives clés) et les exigences en matière d’information (par exemple en ce qui
concerne le type de systèmes de planification et de communication à utiliser) ;
évaluer les déficiences du contrôle interne et leurs impacts sur son efficacité actuelle
et à long terme (grâce, par exemple, à des réunions régulières avec les fonctions
finance, contrôle de gestion, gestion des risques, systèmes d’information, ressources
humaines et management des activités métier de chaque unité opérationnelle en vue
d’évaluer comment ils exercent leurs responsabilités en matière de contrôle interne).
584. Les membres de la direction générale pilotent la définition et la mise en place de
politiques et procédures de contrôle interne qui répondent aux objectifs de leur unité
opérationnelle ou fonctionnelle et vérifient qu’elles sont compatibles avec les objectifs
généraux de l’entité. Ils émettent des orientations, concernant par exemple la struc
ture organisationnelle d’une unité, ses modes de recrutement, la formation de ses
collaborateurs, ainsi que les processus budgétaires et les systèmes d’information qui
favorisent le contrôle des activités de l’unité. Ainsi, dans une structure de responsabi
lités en cascade, chaque directeur est en quelque sorte un directeur général dans son
domaine de compétence.
585. La direction générale confie la responsabilité de la mise en place de procédures de
contrôle interne encore plus spécifiques aux collaborateurs responsables des fonctions
ou des services des unités. Les managers des unités peuvent ainsi jouer un rôle plus
concret dans la définition et la mise en œuvre de certaines procédures de contrôle
interne. Ces managers sont souvent directement responsables de la détermination des
besoins en termes de ressources et de formation, et de la définition de procédures de
contrôle interne répondant aux objectifs de l’unité, par exemple en matière d’autorisation
des achats de matières premières, d’agrément de nouveaux clients ou de revue des rap
ports de production destinés au suivi des rendements. En outre, ils formulent des recom
mandations sur les contrôles, pilotent leur mise en œuvre dans le cadre des processus et
se réunissent avec la hiérarchie pour rendre compte du fonctionnement des contrôles.
586. Selon le nombre d’échelons hiérarchiques, ces responsables d’unités, ou le person
nel d’encadrement qui leur est rattaché, sont directement impliqués dans la mise en
œuvre des politiques et des procédures à un niveau plus détaillé. Il leur appartient de
mettre en œuvre des mesures correctives en cas d’anomalies ou d’autres problèmes.
Ces mesures peuvent consister en des recherches concernant les erreurs de saisie de
données, les transactions figurant sur les rapports d’anomalies, les écarts par rapport
aux charges prévisionnelles d’un service, les commandes en attente ou les niveaux

https://marketingebooks.tk/
ANNEXES 219

des stocks de produits. Les problèmes sont signalés à la hiérarchie de l’organisation


selon leur degré de sévérité. Les points qui nécessitent la surveillance de la direction
générale incluent les résultats financiers, la qualité des produits, la sûreté des produits,
la sécurité sur le lieu de travail, les engagements vis- à-vis des communautés locales,
la conformité aux normes d’émission de polluants et d’autres domaines liés à la réali
sation des objectifs de l’entité.
587. Les responsabilités du management vont de pair avec un pouvoir et un devoir de
rendre compte spécifiques. Chaque manager rend compte à l’échelon supérieur pour la
partie du système de contrôle interne qui lui incombe, le directeur général rend compte
en dernier ressort au conseil, et ce dernier rend compte aux actionnaires ou autres
propriétaires de l’entité.
588. Le directeur financier assiste le directeur général dans l’exercice de certaines res
ponsabilités, notamment celles liées au contrôle interne relatif au reporting financier.
Certaines juridictions imposent au directeur financier la même obligation qu’au direc
teur général en termes d’attestation de l’efficacité du contrôle interne sur le reporting
financier.

Fonctions support
589. Diverses fonctions organisationnelles ou unités opérationnelles apportent une assis
tance à l’entité grâce à des compétences dans des domaines spécifiques tels que la
gestion des risques, la finance, le contrôle de gestion, le contrôle interne, la gestion de
la qualité des produits ou des services, les systèmes d’information, la conformité, les
affaires juridiques, les ressources humaines et d’autres domaines. Ces fonctions ou
unités fournissent des lignes directrices ainsi qu’une évaluation du contrôle interne
dans leurs domaines de compétence, et il leur appartient de communiquer et d’évaluer
les problèmes et les tendances qui transcendent les unités ou les fonctions organi
sationnelles. Elles tiennent l’organisation informée des exigences à respecter au fur
et à mesure que celles- ci évoluent (par exemple, modification des lois et règlements
dans les différentes zones d’implantation). Ces fonctions support correspondent à la
deuxième ligne de défense susmentionnée, tandis que les collaborateurs opérationnels
exécutent leurs activités de contrôle.
590. Tous les contrôles sont mis en œuvre pour répondre à un objectif. Ils sont coordonnés
et intégrés selon des modalités appropriées. Par exemple, le processus d’agrément des
nouveaux clients mis en place par une organisation peut être examiné par la fonc
tion conformité sous l’angle réglementaire, par la fonction gestion des risques sous
l’angle de la concentration des risques et par la fonction d’audit interne sous l’angle
Annexes

de l’évaluation de la conception et de l’efficacité des contrôles. Le déroulement des

https://marketingebooks.tk/
220 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

processus métier est d’autant moins perturbé que les dates et l’approche retenues pour
les revues et la gestion des problèmes sont coordonnées dans toute la mesure du pos
sible. La coordination des efforts contribue à l’instauration d’une plateforme et d’un
langage communs aux fins de l’évaluation et de la résolution de problématiques de
contrôle interne, et les fonctions support guident l’organisation dans la réalisation de
ses objectifs.

Fonctions de gestion des risques et de contrôle


591. Les fonctions de gestion des risques et de contrôle relèvent de la deuxième ligne de
défense. Selon la taille et la complexité de l’organisation, des collaborateurs dédiés à
la gestion des risques et au contrôle peuvent aider les responsables fonctionnels à gérer
différents types de risques (opérationnels, financiers, quantitatifs ou qualitatifs, par
exemple) en apportant une expertise et des lignes directrices au management et autres
collaborateurs opérationnels et en évaluant le contrôle interne. Ces activités peuvent
être intégrées dans la structure hiérarchique ou centralisée d’une entité, ou être rat
tachées fonctionnellement aux responsables des fonctions support. Les fonctions de
gestion des risques et de contrôle ont une incidence déterminante sur la façon dont le
management contrôle les activités opérationnelles.
592. Les responsabilités des collaborateurs chargés de la gestion des risques et du contrôle
incluent l’identification des risques connus ou émergents, l’assistance du management
dans la mise en place de processus de gestion de ces risques, la communication et la
formation relatives à ces processus dans l’ensemble de l’organisation, ainsi que l’évalua
tion de l’efficacité de ces processus et l’information y afférente. Le ou les responsables
de la gestion des risques et du contrôle sont chargés d’informer la direction générale
et le conseil des risques significatifs liés aux activités opérationnelles et d’indiquer si
ces risques sont gérés conformément aux seuils de tolérance fixés par l’entité, avec un
contrôle interne adéquat. Malgré ces responsabilités importantes, les collaborateurs
chargés de la gestion des risques et du contrôle ne sont pas responsables de l’exécution
de tous les contrôles, mais facilitent globalement la mise en œuvre du contrôle interne.

Collaborateurs chargés des affaires juridiques et de la conformité


593. Les conseils des juristes jouent un rôle essentiel dans la définition de contrôles effi
caces permettant d’assurer la conformité aux règlements et dans la gestion du risque
de contentieux. Dans les grandes organisations complexes, les collaborateurs spéciali
sés dans la conformité peuvent contribuer utilement à la définition et à l’évaluation des
contrôles visant à assurer le respect des règles tant externes qu’internes. Le respon
sable des affaires juridiques et le responsable de la conformité sont chargés de faire
en sorte que les obligations légales ou réglementaires et toute règle applicable soient

https://marketingebooks.tk/
ANNEXES 221

comprises et communiquées aux collaborateurs responsables de la mise en œuvre de


la conformité.
594. Une relation de travail étroite entre le management opérationnel et les collaborateurs
chargés des affaires juridiques et de la conformité facilite la conception, la mise en
place et le pilotage du contrôle interne de façon à gérer les événements défavorables
tels que les sanctions réglementaires, la responsabilité juridique et le non-r espect des
politiques et procédures internes de conformité. Dans les organisations les moins
grandes, la fonction juridique et la fonction conformité peuvent être exercées par le
même professionnel, ou l’une de ces fonctions peut être externalisée sous la surveil
lance étroite du management.

Autres collaborateurs
595. Le contrôle interne relève de la responsabilité de tous les membres de l’entité et
figure par conséquent, de façon explicite ou implicite, dans la description de poste de
chaque collaborateur. Les collaborateurs opérationnels constituent la première ligne
de défense en matière de mise en œuvre du contrôle interne. À titre d’exemples, ses
fonctions incluent les tâches suivantes :
environnement de contrôle : prendre connaissance, comprendre et appliquer les
normes de conduite de l’organisation ;
évaluation des risques : identifier et évaluer les risques associés à la réalisation des
objectifs et comprendre les seuils de tolérance au risque fixés dans leur domaine de
compétence ;
activités de contrôle : effectuer les rapprochements, le suivi des rapports d’anoma
lies et les contrôles physiques, ainsi que l’analyse des écarts de coûts ou d’autres
indicateurs de performances ;
information et communication : produire et communiquer les informations utilisées
dans le système de contrôle interne (états de stocks, données relatives aux travaux
en cours, rapports sur les ventes ou sur les charges, par exemple) ou prendre d’autres
mesures nécessaires à la mise en œuvre du contrôle ;
pilotage : appuyer les efforts accomplis pour identifier et communiquer aux supé
rieurs hiérarchiques les problèmes liés aux opérations, au non-respect du code de
conduite et à d’autres non- conformités aux directives ou aux actions illégales.
596. L’attention accordée à ces activités a une incidence directe sur l’efficacité du système
de contrôle interne. Le contrôle interne repose sur des vérifications, sur le contrôle
réciproque résultant de la séparation des tâches et sur la réactivité des collaborateurs
Annexes

vis- à-vis des agissements incorrects ou irréguliers qu’ils peuvent constater au sein de

https://marketingebooks.tk/
222 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

l’organisation. Les collaborateurs comprennent la nécessité de ne pas céder aux pres


sions exercées par des supérieurs hiérarchiques qui les pousseraient à participer à des
activités inappropriées, et des canaux de communication sont mis à leur disposition,
en marge des canaux habituels, pour leur permettre de signaler ce type de situations.

Auditeurs internes
597. Les auditeurs internes, qui constituent la troisième ligne de défense, fournissent au
management une assurance et des avis en matière de contrôle interne. Selon l’environ
nement légal, la taille de l’entité et la nature de son activité, cette fonction peut être
obligatoire ou facultative, interne ou externalisée, étoffée ou de dimension modeste.
Dans tous les cas, les activités d’audit interne doivent être exercées par des collabora
teurs compétents et avec des ressources en rapport avec les risques auxquels l’entité
est exposée.
598. L’activité d’audit interne comprend l’évaluation de la pertinence et de l’efficacité des
contrôles, en réponse aux risques, dans le cadre des processus de surveillance, des
opérations et des systèmes d’information de l’organisation. Cette évaluation porte
notamment sur les points suivants :
fiabilité et intégrité des informations financières et opérationnelles ;
efficacité et efficience des opérations et des programmes ;
protection des actifs ;
respect des lois, règlements, normes, règles, procédures et contrats.
599. En principe, le périmètre de responsabilité de l’audit interne couvre toutes les activités
d’une organisation. Dans certaines entités, la fonction d’audit interne est largement
impliquée dans le contrôle des opérations. Par exemple, les auditeurs internes peuvent
vérifier périodiquement la qualité de la production ou le respect des délais de livraison
convenus avec les clients, ou évaluer l’efficience de l’agencement des locaux. Dans
d’autres entités, la fonction d’audit interne sera axée pour l’essentiel sur la conformité
ou sur les activités liées au reporting financier. Dans tous les cas, les auditeurs internes
possèdent une connaissance suffisante de l’activité et font preuve de l’indépendance
nécessaire pour procéder à une évaluation pertinente du contrôle interne.
600. En règle générale, le domaine d’intervention des auditeurs internes devrait inclure la
gouvernance, la gestion des risques et le contrôle interne, ainsi que la fourniture d’une
assistance à l’organisation dans la mise en place d’un contrôle efficace. Cette assis
tance revêt la forme d’une évaluation de l’efficacité et de l’efficience du système de
contrôle et de propositions visant à l’améliorer continuellement. L’audit interne com
munique ses constats et interagit directement avec le management, le comité d’audit
et/ou le conseil.

https://marketingebooks.tk/
ANNEXES 223

601. Grâce à leurs compétences et à leur autorité au sein de l’entité, les auditeurs internes
émettent un avis impartial sur les activités qu’ils vérifient. Les auditeurs internes sont
rattachés au comité d’audit et/ou au conseil sur le plan fonctionnel, et au directeur
général ou à d’autres membres de la direction générale sur le plan hiérarchique.
602. Les auditeurs internes ne peuvent être impartiaux que si leur position au sein de l’orga
nisation est de nature à garantir un jugement indépendant et s’ils sont protégés contre
d’autres risques susceptibles d’altérer leur objectivité. La principale protection contre
ces risques réside dans des rattachements, une mission et un périmètre d’intervention
appropriés. La composition des équipes d’audit est faite de manière à éviter les conflits
d’intérêt et les biais réels ou potentiels. Les auditeurs internes ne doivent pas assumer
de responsabilités opérationnelles ni participer à l’audit d’activités au sein desquelles
ils ont exercé récemment des fonctions opérationnelles.

TIERS

603. Un certain nombre de tiers peuvent contribuer à la réalisation des objectifs de l’entité,
soit en exerçant des activités en tant que prestataires externes, soit en fournissant des
données ou des analyses aux collaborateurs des fonctions support ou opérationnelles.
Dans les deux cas, le management des fonctions support ou opérationnelles conserve
toujours l’entière responsabilité du contrôle interne.

Prestataires externes
604. De nombreuses organisations sous-t raitent certaines fonctions, déléguant ainsi leur
gestion courante à des prestataires externes. L’exécution de tâches administratives ou
financières ou de tâches liées aux ressources humaines, aux systèmes d’information,
aux affaires juridiques et même à certaines opérations internes spécifiques peut être
confiée à des tiers à l’extérieur de l’organisation, dans le but d’accéder à des capacités
renforcées à moindre coût. Par exemple, une institution financière peut externaliser
son processus de revue des prêts, une société spécialisée dans les systèmes d’informa
tion peut sous- t raiter l’exploitation et la maintenance de ses traitements informatiques,
et une société de distribution peut déléguer à des tiers sa fonction d’audit interne. Bien
que ces activités soient réalisées par des tiers au nom de l’organisation, le manage
ment demeure responsable de la gestion des risques y afférents et ne peut s’affranchir
de cette responsabilité. Le management doit impérativement mettre en place un pro
gramme d’évaluation des activités confiées à des prestataires externes afin de s’assu
Annexes

rer de l’efficacité du système de contrôle interne relatif à ces activités.

https://marketingebooks.tk/
224 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Autres tiers en relation avec l’entité


605. Les clients, les fournisseurs et les autres tiers qui interagissent avec l’entité consti
tuent une source importante d’informations utilisées dans la conduite des activités de
contrôle. Par exemple :
un client peut attirer l’attention d’une organisation sur des retards de livraison, sur
la qualité médiocre des produits ou sur d’autres motifs d’insatisfaction liés aux pro
duits ou aux services. Les clients peuvent aussi jouer un rôle plus actif et coopérer
avec l’entité afin d’apporter aux produits les améliorations nécessaires ;
un fournisseur peut fournir des relevés ou des informations concernant les com
mandes livrées ou à livrer, facturées ou à facturer, ce qui permettra d’identifier et
de corriger les écarts et de rapprocher les soldes ;
un fournisseur potentiel peut informer la direction générale qu’un collaborateur de
l’organisation a essayé de le corrompre ;
les experts peuvent fournir des données relatives au marché afin d’aider l’organisa
tion à adapter son modèle économique, ses processus et ses contrôles en fonction de
nouvelles difficultés ou opportunités ;
les organisations non gouvernementales ou les journaux peuvent publier des rap
ports sur les conditions de travail ou l’impact environnemental d’un fournisseur ou
d’un sous-traitant.
606. Ce partage d’informations entre le management et les tiers peut être important pour
l’entité et pour la réalisation de ses objectifs liés aux opérations, au reporting et à la
conformité. L’entité a mis en place des dispositifs qui lui permettent de recevoir ces
informations et de prendre des mesures appropriées en temps voulu, c’est-à-d ire non
seulement de gérer la situation particulière signalée, mais aussi de rechercher la cause
initiale des problèmes et de les résoudre.
607. Outre les clients et les fournisseurs, d’autres tiers, tels que les créanciers, peuvent
fournir des indications sur la réalisation des objectifs d’une entité. Une banque, par
exemple, peut demander des rapports concernant le respect par l’emprunteur de cer
taines dispositions des contrats de prêt et recommander la mise en place d’indicateurs
de performance, d’autres objectifs ou de contrôles.

Auditeurs externes
608. Certaines juridictions permettent qu’un auditeur externe soit, tout à la fois, chargé
d’auditer ou d’examiner l’efficacité du contrôle interne relatif au reporting financier
externe et d’auditer les états financiers de l’entité. (Par ailleurs, certaines juridictions
imposent à l’auditeur externe l’obligation d’émettre un avis sur l’efficacité du contrôle

https://marketingebooks.tk/
ANNEXES 225

interne relatif au reporting financier externe, en sus de son opinion sur les états finan
ciers.) Les résultats de ces audits permettent à l’auditeur externe de communiquer au
management des informations qui seront utiles dans l’exercice de ses fonctions de
surveillance. Ces rapports et communications peuvent englober :
des observations comprenant des résultats d’examens analytiques et des recomman
dations concernant les mesures à prendre pour réaliser les objectifs fixés ;
des constats concernant les déficiences du dispositif de contrôle interne relevées par
l’auditeur externe et des recommandations pour y remédier.
609. Quelles que soient leur étendue et leur nature, les travaux de l’auditeur externe ne
sauraient remplacer ni compléter un système de contrôle interne adéquat, qui reste de
l’entière responsabilité du management.
610. Il arrive souvent que les informations communiquées concernent non seulement le
reporting financier, mais également les opérations et la conformité. Ces informations
sont communiquées au management et, selon leur importance, au conseil ou au comité
d’audit qui prend les mesures appropriées.

Évaluateurs externes
611. Des experts peuvent être sollicités ou mandatés pour examiner certains aspects spé
cifiques du contrôle interne. Les organisations, conscientes des diverses attentes ou
exigences de leurs parties prenantes, consultent souvent des experts afin de modifier
en conséquence leurs politiques et leurs procédures, ainsi que leur communication
et leurs programmes de formation, et d’évaluer le respect de ces exigences et de ces
normes. À titre d’exemples, la sécurité sur le lieu de travail, les questions environ
nementales et les pratiques commerciales équitables font partie des domaines dans
lesquels les organisations adoptent une démarche proactive pour s’assurer qu’elles res
pectent les règles et les normes applicables. Certaines revues portant sur des aspects
fonctionnels peuvent également renforcer l’efficacité et l’efficience des opérations ;
par exemple, les contrôles de conformité, les tests d’intrusion des systèmes d’informa
tion et les évaluations concernant les pratiques en matière d’emploi.

Législateurs et régulateurs
612. Les législateurs et les régulateurs peuvent avoir une incidence sur les systèmes de
contrôle interne en imposant des obligations spécifiques liées à la mise en place du
contrôle interne dans l’ensemble de l’organisation ou dans certaines unités opération
nelles. Un grand nombre d’entités sont soumises depuis longtemps à des obligations
légales en matière de contrôle interne. Par exemple, les sociétés cotées aux États-Unis
Annexes

sont censées mettre en place et gérer un système de contrôle interne, et la législation

https://marketingebooks.tk/
226 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

impose aux dirigeants des sociétés cotées l’obligation d’attester l’efficacité du contrôle
interne de leur société sur le reporting financier.
613. Divers règlements prévoient l’obligation pour les sociétés cotées de mettre en place
et de gérer des systèmes de contrôle interne répondant à certains objectifs liés à la
comptabilité. Les programmes d’assistance financière mis en place aux États-Unis
dans divers domaines, allant des droits civils à la gestion de la trésorerie, sont soumis
à des lois et règlements qui prévoient l’obligation de mettre en œuvre certaines procé
dures ou pratiques relatives au contrôle interne. Diverses autorités de tutelle constatent
directement les entités qu’elles sont chargées de surveiller. Par exemple, les orga
nismes chargés de la supervision des banques au niveau fédéral ou au niveau des États
procèdent à des contrôles sur les établissements bancaires et plus particulièrement
sur certains aspects de leurs systèmes de contrôle interne. Ces autorités émettent des
recommandations et disposent souvent des pouvoirs nécessaires pour contraindre les
banques à les mettre en œuvre. Ainsi, les législateurs et les régulateurs exercent une
influence sur les systèmes de contrôle interne à plusieurs titres :
d’une part, ils publient des règles qui incitent le management à mettre en place un
système de contrôle interne répondant aux exigences légales et réglementaires ;
d’autrepart, à l’issue de leurs contrôles sur une entité donnée, ils fournissent des
informations utiles pour l’amélioration du système de contrôle interne de l’entité et
adressent des commentaires, des recommandations, voire des instructions au mana
gement concernant les améliorations à apporter au système de contrôle interne ;
enfin,ils peuvent recevoir des informations dans le cadre de dispositifs d’alerte et
procéder à des investigations.

Analystes financiers, agences de notation et médias


614. Les analystes financiers, les agences de notation et les médias analysent les perfor
mances du management au vu, notamment, de la stratégie et des objectifs fixés, des
états financiers publiés et des informations financières prospectives, des mesures prises
compte tenu de la conjoncture économique et des conditions du marché, des chances
de réussite à court terme et à long terme, des performances du secteur d’activité et
de comparaisons avec des organisations similaires. Ces analyses peuvent notamment
fournir des indications sur l’efficacité du contrôle interne et sur les mesures prises par
le management pour l’améliorer.

https://marketingebooks.tk/
ANNEXE C

Points spécifiques
à prendre en compte
pour les petites entités
CARACTÉRISTIQUES DES PETITES ENTITÉS
615. Les avis divergent sur la définition des « petites » entités. Certains estiment qu’une
organisation familiale de vente de matériel implantée localement, ou le boulanger
au coin de la rue, sont représentatifs des petites entités. D’autres penseront peut-ê tre
à un organisme sans but lucratif qui collecte plusieurs millions de dollars de dons
annuels. D’autres associent à la catégorie des petites entités une société spécialisée
dans la fabrication d’un produit innovant, qui a fait appel public à l’épargne pendant
de nombreuses années, qui génère un chiffre d’affaires annuel de plusieurs centaines
de millions d’euros et qui espère se hisser, grâce à sa croissance future, parmi les
500 premières entreprises telles que celles qui sont classées par le magazine Fortune.
Selon les points de vue, chacune de ces entités peut être considérée faire partie des
« petites » entités.
616. Le Référentiel ne fournit aucune définition en fonction du chiffre d’affaires, de la
capitalisation ou d’autres facteurs ; c’est le rôle des régulateurs ou d’autres organes.
En revanche, l’expression « petite » employée dans le Référentiel signifie « de taille
relativement modeste », ce qui laisse supposer qu’il vise un large éventail d’entités.
Sont visées pour l’essentiel les petites entités qui présentent un grand nombre des
caractéristiques suivantes :
des secteurs d’activités peu nombreux et, pour chacun d’entre eux, un nombre assez
restreint de produits ;
concentration du marketing par canal ou par secteur géographique ;
rôle moteur du management qui détient des intérêts ou des droits de propriété
Annexes

importants ;

https://marketingebooks.tk/
228 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

nombre restreint d’échelons hiérarchiques avec des domaines de compétence étendus ;

faible degré de complexité des systèmes de traitement des transactions ;


effectif réduit de collaborateurs aux attributions souvent élargies ;
capacité limitée à mettre en œuvre des ressources importantes, tant pour les postes
opérationnels que pour les fonctions support comme le service juridique, la gestion
des ressources humaines, la comptabilité et l’audit interne.
617. Le dernier point (capacité limitée à mettre en œuvre des ressources importantes)
explique pourquoi les petites entités peinent à réaliser des économies d’échelle. Il est
fréquent que le coût unitaire de production des produits ou des services soit plus élevé
dans les petites entités, même si ce n’est pas systématique. En revanche, un grand
nombre d’entre elles disposent d’un avantage concurrentiel grâce aux économies de
coûts liées à l’innovation, à des frais fixes moins élevés (effectifs réduits et remplace
ment de frais fixes par des coûts variables au moyen de postes à temps partiel ou de
systèmes de rémunération variable) et à des efforts mieux ciblés en termes de produits,
d’installations et de complexité.
618. Les économies d’échelle sont souvent un facteur qui influe sur les fonctions support,
notamment sur celles directement liées au contrôle interne. Par exemple, plus la sur
face financière d’une entité est faible, plus il est vraisemblable qu’elle consacrera une
proportion plus importante de ses ressources économiques à la mise en place de sa
fonction d’audit interne. En règle générale, la fonction d’audit interne des petites enti
tés sera plus modeste et pourra recourir partiellement à des ressources externes ou à
l’externalisation complète pour disposer des compétences nécessaires, alors que dans
une grande entité, cette fonction sera plutôt exercée en interne par une équipe nette
ment plus étoffée avec des collaborateurs expérimentés. Mais, selon toute vraisem
blance, le coût sera proportionnellement plus élevé pour une petite entité que pour une
grande.
619. Aucune des caractéristiques ci- dessus n’est déterminante à elle seule. Quel que soit
le critère de classement retenu (actifs, chiffre d’affaires, dépenses, collaborateurs,
etc.), la taille de l’organisation influe sur ces caractéristiques et, inversement, celles- ci
déterminent notre conception des organisations les « moins grandes ».

DIFFICULTÉS LIÉES AU RAPPORT COÛT/EFFICACITÉ


DU CONTRÔLE INTERNE
620. En raison de leurs caractéristiques, les petites entités rencontrent généralement des
difficultés importantes pour mettre en place un contrôle interne présentant un bon
rapport coût/efficacité. Les managers des petites entités perçoivent souvent le contrôle

https://marketingebooks.tk/
ANNEXES 229

comme une charge administrative supplémentaire par rapport aux processus métier
existants, au lieu de reconnaître la nécessité et les avantages d’un contrôle interne
efficace intégré dans les processus métier.
621. Les difficultés à surmonter sont notamment les suivantes :
obtenirdes ressources suffisantes pour mettre en place une séparation des tâches
adéquate ;
pallier la capacité du management à avoir de l’emprise sur la réalisation des acti
vités, ce qui peut induire un risque important de contournement des processus dans
l’intention de donner l’impression que les objectifs de performance ont été atteints ;
trouver des personnes possédant les compétences requises pour siéger efficacement
au conseil et dans ses comités ;
recruter et fidéliser des collaborateurs possédant une expérience et des compétences
suffisantes en matière d’opérations, de reporting, de conformité et dans d’autres
disciplines ;
faire en sorte que le management ne concentre pas toute son attention sur les activités
opérationnelles et qu’il accorde suffisamment d’importance au contrôle interne ;
maîtriser les systèmes d’information et mettre en place des contrôles informatiques
généraux et des contrôles applicatifs appropriés avec des ressources techniques
limitées.
622. Malgré ces contraintes liées à leurs ressources, les petites entités parviennent généra
lement à résoudre ces difficultés et à mettre en place un contrôle interne efficace avec
un rapport coût/efficacité raisonnable.

Séparation des tâches


623. Les petites entités ont souvent un nombre limité de collaborateurs chargés de remplir
diverses fonctions, ce qui se traduit parfois par une séparation des tâches inadéquate.
Toutefois, le management peut prendre certaines mesures afin de compenser cette
situation. Voici quelques exemples de contrôles qui peuvent être mis en œuvre :
revue des rapports de transactions détaillées : les managers revoient régulièrement,
en temps voulu, des rapports édités par les systèmes et contenant les transactions
détaillées ;
revue de transactions sélectionnées : les managers sélectionnent des transactions
pour lesquelles ils examinent les documents justificatifs ;
inventaires périodiques des actifs : les managers organisent périodiquement un
inventaire physique des stocks, du matériel et d’autres actifs, et comparent les résul
Annexes

tats avec les livres comptables ;

https://marketingebooks.tk/
230 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

revue des analyses de comptes : les managers revoient périodiquement les analyses
de comptes, par exemple pour la trésorerie, les comptes fournisseurs et les créances,
ou les font effectuer de façon indépendante.
624. La séparation des tâches n’est pas une fin en soi, mais plutôt un moyen de maîtriser
un risque inhérent. Lorsqu’il définit ou évalue des contrôles qui visent à maîtriser les
risques dans une entité où la séparation des tâches ne peut être que limitée, le mana
gement devrait examiner si d’autres contrôles permettent de gérer ces risques de façon
satisfaisante et sont effectués de façon suffisamment rigoureuse pour réduire le risque.

Contournement par le management


625. Les petites entités sont nombreuses à être dirigées par leur fondateur ou par un res
ponsable qui exerce un pouvoir discrétionnaire et donne des instructions aux colla
borateurs à titre individuel. Cette caractéristique peut conforter la capacité de l’entité
à réaliser ses objectifs de croissance et d’autres objectifs, et peut aussi contribuer de
façon significative à un contrôle interne efficace. Grâce à sa connaissance approfondie
des différentes facettes de l’entité – ses opérations, ses processus, ses règles et procé
dures, ses engagements contractuels et ses risques opérationnels – ce responsable est
bien placé pour savoir à quoi s’attendre dans les rapports générés par le système et
pour effectuer le suivi nécessaire. Une telle concentration de connaissances et de pou
voirs présente toutefois un inconvénient : ce responsable est généralement en mesure
de contourner les contrôles.
626. Quelques précautions élémentaires mais importantes peuvent contribuer à réduire le
risque que le management contourne les procédures :
instaurer une culture d’entreprise dans laquelle l’intégrité et les valeurs éthiques
sont très appréciées, intégrées dans l’ensemble de l’organisation et mises en pratique
quotidiennement. L’instauration de cette culture peut être facilitée et renforcée par
une politique de recrutement, de rémunération et de promotion favorable aux colla
borateurs dont le comportement reflète ces valeurs ;
mettre en place un dispositif d’alerte, de telle sorte que les collaborateurs se sentent à
l’aise pour signaler tout acte abusif, quel que soit le niveau auquel il a pu être commis.
Il est impératif de pouvoir garantir que l’anonymat sera préservé et que les points
signalés feront l’objet d’investigations approfondies et de mesures appropriées, et ce
sans représailles. Il est important que, lorsque les circonstances le justifient, les faits
puissent être portés directement à la connaissance du conseil ou du comité d’audit ;
mettre en place une fonction d’audit interne efficace à même de détecter les écarts
de conduite et les dysfonctionnements dans l’ensemble de l’entité et de ses unités.
La facilité d’accès aux informations pertinentes et la capacité à communiquer direc

https://marketingebooks.tk/
ANNEXES 231

tement avec la direction générale et le conseil ou le comité d’audit sont des facteurs
clés d’efficacité de cette fonction ;
attirer et fidéliser des administrateurs compétents qui prennent leurs fonctions au
sérieux et qui pourront jouer un rôle essentiel dans la prévention ou la détection des
cas dans lesquels le management contourne les contrôles.
627. Ces pratiques réduisent le risque de comportement abusif et favorisent le devoir de
rendre compte des dirigeants, tout en offrant les avantages d’un contrôle interne au
rapport coût/efficacité satisfaisant dans le cas des petites entités.

Conseil ou organe de gouvernance équivalent


628. Les points examinés ci-dessus soulignent combien il est important que les adminis
trateurs possèdent les compétences requises pour remplir correctement leurs fonc
tions de surveillance. Avec des connaissances, une attention et une communication
appropriées, le conseil est bien placé pour contrebalancer efficacement les effets des
contournements de contrôles par le management. Dans les petites entités, le conseil
possède généralement une connaissance approfondie des processus métier, qui sont le
plus souvent relativement simples, et il est en contact plus étroit avec un groupe élargi
de collaborateurs.
629. Toutefois, les petites entités éprouvent souvent de grandes difficultés pour attirer
des administrateurs indépendants possédant les compétences et l’expérience souhai
tées. Les difficultés généralement rencontrées pour trouver des administrateurs qui
conviennent sont liées notamment à une connaissance insuffisante de l’entité et de ses
collaborateurs, à la capacité limitée de l’entité à proposer une rémunération en rapport
avec les responsabilités d’un administrateur, au sentiment que le directeur général
n’est peutêtre pas habitué ou n’est pas disposé à partager comme il convient ses res
ponsabilités en matière de gouvernance, ou à des craintes concernant la mise en jeu
éventuelle d’une responsabilité individuelle.
630. Certaines entités répondent aux enjeux de compétences en étendant leurs recherches
à des candidats possédant des compétences appréciées ou requises telles que des com
pétences financières et comptables. Elles peuvent ainsi faire évoluer leur conseil, qui
a non seulement pour mission de superviser à bon escient la direction générale, mais
aussi d’apporter une valeur ajoutée par ses conseils.

Systèmes d’information
631. Les petites entités sont nombreuses à ne pas disposer des ressources techniques néces
Annexes

saires pour assurer la sélection, le développement et le déploiement des logiciels avec

https://marketingebooks.tk/
232 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

des contrôles adéquats. Ces entités envisagent donc d’autres solutions pour répondre à
leurs besoins en matière de processus métier et de contrôle interne.
632. Les petites entités utilisent souvent des logiciels développés et maintenus par des tiers.
Ces progiciels nécessitent néanmoins une mise en place et une utilisation contrôlées,
mais les risques associés aux systèmes développés en interne sont en grande partie
réduits. Par exemple, les contrôles relatifs à la modification des programmes sont
généralement moins importants, dans la mesure où ces modifications sont réalisées
exclusivement par l’organisation qui a développé le produit et où les collaborateurs des
petites entités ne possèdent pas, en règle générale, les compétences techniques néces
saires pour essayer d’apporter des modifications non autorisées aux programmes.
633. Les progiciels développés à des fins commerciales peuvent présenter d’autres avan
tages. Ils peuvent comporter des dispositifs intégrés qui permettent de contrôler
l’identité des collaborateurs habilités à accéder à certaines données ou à les modifier,
à exécuter des contrôles sur l’exhaustivité et l’exactitude du traitement des données et
à mettre à jour la documentation y afférente.

Pilotage
634. Les activités de pilotage régulièrement exécutées par les managers dans le cadre de
la gestion d’une organisation peuvent fournir des informations sur la mise en place et
le fonctionnement des autres composantes et des principes. Dans un grand nombre de
petites entités, le management exécute régulièrement ces tâches, mais sa contribution
à l’efficacité du contrôle interne n’a pas toujours été suffisamment reconnue. Ces acti
vités, qui sont généralement réalisées manuellement et parfois à l’aide de logiciels,
devraient être pleinement prises en compte lors de la conception, de la mise en place et
du pilotage du contrôle interne et de l’évaluation de son efficacité.

https://marketingebooks.tk/
ANNEXE D

Méthodologie de révision
du Référentiel
LE CONTEXTE
635. En novembre 2010, le COSO (Committee of Sponsoring Organizations of the Tread
way Commission) a annoncé un projet de révision et d’actualisation de son référentiel,
La pratique du contrôle interne (le référentiel initial). Cette initiative avait pour but de
rendre le référentiel initial et les outils d’évaluation connexes plus pertinents dans un
environnement sectoriel, opérationnel et réglementaire de plus en plus complexe, de
façon à permettre aux organisations du monde entier de mieux concevoir, mettre en
place et piloter le contrôle interne et d’en évaluer l’efficacité. En tant que rédacteur du
référentiel initial, PwC a piloté ce projet en s’appuyant à la fois sur une connaissance
approfondie du référentiel initial et sur la justification des décisions prises lors de sa
création. En outre, PwC a consulté les utilisateurs, les parties prenantes et des spé
cialistes de haut niveau qui ont donné leur point de vue actuel sur le contrôle interne.
636. Le référentiel initial a été largement adopté par les organisations lors de la mise en
place, de la conception, du pilotage et de l’évaluation du contrôle interne relatif aux
objectifs liés aux opérations, à la conformité et au reporting financier, plus récemment
pour le contrôle interne relatif au reporting financier conformément à la loi Sarbanes
Oxley de 2002 applicable aux États-Unis et aux obligations réglementaires similaires
applicables dans d’autres pays. Les améliorations apportées dans le cadre de ce projet
n’ont pas pour but de modifier la définition du contrôle interne, ni ses modalités d’éva
luation ou de gestion, mais plutôt de donner des lignes directrices pertinentes et des
exemples concrets.
637. Le conseil du COSO a constitué un comité consultatif composé de représentants de dif
férents secteurs d’activité, du monde universitaire, des administrations, d’organismes
à but non lucratif et d’observateurs provenant des régulateurs et des organismes de
Annexes

normalisation chargés de donner leur avis au fur et à mesure de l’avancement du pro

https://marketingebooks.tk/
234 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

jet. En outre, le Référentiel a fait l’objet d’une consultation publique afin de recueillir
des avis supplémentaires. Ce processus rigoureux a permis d’apporter des solutions
adéquates aux difficultés rencontrées actuellement par les organisations dans le cadre
de la mise en œuvre de leur contrôle interne.

L’APPROCHE
638. Le projet a comporté cinq phases :
évaluation : grâce à l’étude de documents publiés, à des enquêtes réalisées à l’échelle
mondiale et à des forums publics, cette phase a permis d’identifier les difficultés
auxquelles les organisations se heurtent actuellement lors de la mise en œuvre du
Référentiel. Au cours de cette phase, PwC a analysé des informations, consulté
diverses sources de données et identifié les points critiques. Le COSO a lancé une
enquête mondiale, diffusée auprès du grand public, afin de recueillir des avis sur le
Référentiel initial. Plus de 700 réponses ont été recueillies ;
conception : PwC a préparé le Référentiel actualisé sous la supervision du conseil
du COSO. Le comité consultatif a revu plusieurs projets de documents et divers
groupes d’utilisateurs et de parties prenantes ont fourni des données supplémen
taires sur les mises à jour proposées en participant à des conférences, des webinars
et des séminaires organisés par les organisations membres du COSO ;
préparation de la consultation publique : avec l’assistance du comité consultatif et
sous la supervision du conseil du COSO, PwC a préparé des exposés- sondages et
un questionnaire en ligne pour faciliter la revue par le public. Le conseil du COSO
et PwC ont sollicité les commentaires du public sur de nombreux thèmes pertinents,
notamment afin de vérifier si :
– le Référentiel présente clairement les conditions d’un contrôle interne efficace,
– le Référentiel définit clairement une composante, un principe et un point d’atten
tion,
– le Référentiel est bien conçu, logique et utile au management des entités quelle
qu’en soit la taille ;
consultation publique : au cours de cette phase, PwC a apporté des améliorations
à la version actualisée compte tenu des avis recueillis. Le Référentiel a été soumis
au public pour commentaires pendant 104 jours. Au cours de cette phase, PwC, les
membres du conseil du COSO et les membres du comité consultatif ont présenté
la version actualisée du Référentiel lors de multiples conférences, tables rondes,
réunions et séminaires professionnels avec les utilisateurs et les parties prenantes.
Le Référentiel actualisé a également été présenté pour commentaires au cours de

https://marketingebooks.tk/
ANNEXES 235

la consultation publique concernant les documents annexes : Application au repor


ting financier externe, et Outils d’évaluation de l’efficacité d’un système de contrôle
interne. PwC a revu et analysé l’ensemble des commentaires recueillis lors des
périodes de consultation publique, puis a examiné, avec le conseil du COSO et le
comité consultatif, les solutions et les modifications relatives aux problématiques
les plus importantes soulevées lors de cette consultation publique ;
: PwC a finalisé le Référentiel et les publications annexes et a présenté
finalisation
ces documents au conseil du COSO pour examen et approbation.
639. Comme on pouvait s’y attendre, de nombreuses observations ou recommandations
différentes, parfois contradictoires, ont été formulées au cours des phases du projet
et entre celles- ci, sur des questions fondamentales liées au contrôle interne. Sous la
supervision du conseil du COSO, PwC a étudié attentivement le bien-fondé des points
de vue exprimés, tant individuellement que dans le contexte des questions connexes,
et a révisé le Référentiel afin de présenter un document pertinent, logique et cohérent
sur le contrôle interne.

Annexes

https://marketingebooks.tk/
ANNEXE E

Commentaires reçus
640. Comme indiqué à l’annexe D, consacrée à la méthodologie de révision du Référentiel,
un projet de Référentiel a été présenté au public pour commentaires du 19 décembre
2011 au 31 mars 2012. Plus de 100 réponses ont été reçues dans le cadre de l’enquête
en ligne et 96 commentaires ont été reçus du public dans le cadre de cet exposé- son
dage. Ces lettres contenaient plus de 1 000 commentaires portant sur un grand nombre
d’aspects du Référentiel actualisé, et chaque commentaire a été examiné.
641. Les personnes concernées ont également été invitées à commenter le Référentiel au
cours de la consultation publique concernant le recueil Application au reporting finan
cier externe, qui a duré 78 jours. Des réponses ont été reçues dans le cadre de l’enquête
en ligne et 23 commentaires ont été reçus du public concernant la version avant publi
cation du Référentiel.
642. La présente annexe contient une synthèse des commentaires les plus importants et des
modifications auxquelles ils ont donné lieu dans la version définitive du Référentiel
suite à ces différentes consultations publiques. Bon nombre de personnes consultées
ont estimé, d’un commun accord avec le COSO, que l’actualisation du Référentiel
devrait aider le management des organisations à renforcer les systèmes de contrôle
interne existants en les adaptant aux nombreux changements économiques et opéra
tionnels intervenus au cours des 20 dernières années et en formalisant les principes
associés aux cinq composantes du contrôle interne et en élargissant l’objectif lié au
reporting de façon à tenir compte d’autres formes importantes de reporting. Des points
de vue divergents ont été exprimés sur la question de savoir si les mises à jour du Réfé
rentiel allaient se traduire par des exigences plus fortes pour l’efficacité du contrôle
interne et par des travaux supplémentaires pour les entités qui publient des rapports
sur le contrôle interne, et si elles devraient incorporer certains aspects supplémen
taires liés à la gestion des risques.
643. Certaines des personnes consultées ont demandé une refonte d’envergure du Référen
tiel, tandis que d’autres ont estimé qu’il conservait toute sa pertinence et son utilité et
devrait simplement être actualisé sur certains points, comme indiqué ci-après.

https://marketingebooks.tk/
ANNEXES 237

DÉFINITION DU CONTRÔLE INTERNE


644. Certains ont suggéré la modification de la définition du contrôle interne. Les sugges
tions portaient notamment sur les points suivants : harmonisation de la définition avec
les autres normes, intégration des risques, suppression des catégories d’objectifs, mise
en exergue du rôle du conseil, ajout de normes de conduite en matière d’éthique et de
lutte contre la fraude, suppression du concept d’assurance raisonnable, élargissement
de l’objectif lié au reporting afin de tenir compte d’autres aspects liés notamment aux
délais et à la transparence, et mention indiquant que l’efficacité du contrôle interne
implique de réduire à un niveau suffisamment faible le risque de ne pas réaliser un
objectif. D’autres réponses, cependant, indiquaient que la définition initiale était lar
gement admise (par exemple dans les normes d’audit, la législation et les lignes direc
trices) et devait être maintenue.
645. Dans la version actualisée du Référentiel, la définition est révisée afin d’éliminer cer
tains éléments dans chaque catégorie d’objectifs. Ce changement se justifie par le
fait que les objectifs font l’objet d’un examen détaillé par la suite, dans le chapitre 1
« Définition du contrôle interne », et que, compte tenu de l’élargissement de la catégo
rie d’objectifs liés au reporting, les réponses reçues mentionnent à juste titre certains
aspects supplémentaires et pertinents de l’objectif lié au reporting qui vont au- delà de
la simple fiabilité.
646. Hormis ce changement, le Référentiel retient une définition large puisque d’autres
suggestions sont prises en compte dans la définition, telle que modifiée, ou font l’objet
d’examens plus appropriés dans le cadre des composantes du contrôle interne. Enfin,
l’incorporation de la notion de réduction du risque à un niveau faible, potentiellement
trop restrictive pour certains objectifs, reviendrait en fait à préjuger de la position du
management.

OBJECTIFS LIÉS AUX OPÉRATIONS, AU REPORTING


ET À LA CONFORMITÉ
647. Certains ont préconisé le réexamen de l’élargissement des objectifs liés au reporting
financier et des implications réglementaires potentielles, ainsi que le caractère mesu
rable de la réalisation des objectifs liés aux opérations. Le Référentiel contient des des
criptions des trois catégories d’objectifs et fournit des descriptions supplémentaires
pour les objectifs liés aux opérations et à la conformité.
Annexes

https://marketingebooks.tk/
238 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

PRINCIPES FONDAMENTAUX
648. Les personnes consultées ont reconnu l’intérêt d’une explicitation, sous la forme de
principes, des concepts de contrôle interne présentés dans le Référentiel initial, et ont
estimé que ces principes fournissaient des indications claires au management en vue
de la conception, de la mise en place et du pilotage du système de contrôle interne et
de l’évaluation de son efficacité.
649. Certains ont proposé l’incorporation du principe n° 11, « Sélectionner et développer
des contrôles généraux informatiques », dans le principe n° 10, « Sélectionner et déve
lopper des activités de contrôle », au motif que la sélection et le développement des
contrôles généraux informatiques constituent un sous-e nsemble de la sélection des
activités de contrôle en général, couverte par le principe n° 10.
650. D’autres ont également suggéré le regroupement du principe n° 8, « Évaluer le risque
de fraude », et du principe n° 7, « Identifier et analyser les risques », au motif que le
risque de fraude peut être considéré comme un type de risque parmi d’autres, suscep
tible d’avoir un impact sur les objectifs.
651. Le Référentiel reprend les 17 principes. Il maintient ceux qui concernent pour l’essen
tiel l’utilisation des systèmes d’information et l’évaluation des risques de fraude, dont
il reconnaît le rôle important dans la mise en place d’un contrôle interne efficace. Par
ailleurs, certains principes ont été affinés ou clarifiés sur la base des commentaires
formulés dans les réponses.

EFFICACITÉ

Réalisation des objectifs liés aux opérations


652. Certaines personnes ont répondu qu’un contrôle interne efficace permet au manage
ment et au conseil d’être mieux à même d’apprécier dans quelle mesure les activités
sont gérées de manière efficace et efficiente. Certains ont estimé que si les objectifs
liés aux opérations sont définis avec suffisamment de clarté et si les limites inhé
rentes aux événements externes ne sont pas significatives ou peuvent être réduites à
un niveau acceptable, le contrôle interne peut fournir une assurance raisonnable que
ces objectifs liés aux opérations seront réalisés.
653. Le Référentiel a été actualisé afin de reconnaître que, lorsqu’il est jugé peu probable
que des événements externes aient un impact significatif sur la réalisation des objec
tifs, ou lorsque l’organisation peut raisonnablement prévoir la nature et la date de
réalisation des événements externes et en réduire l’impact à un niveau acceptable,

https://marketingebooks.tk/
ANNEXES 239

le contrôle interne permet d’obtenir une assurance raisonnable que les activités sont
gérées de manière efficace et efficiente.
654. Il peut néanmoins arriver, dans certains cas, que des événements externes soient sus
ceptibles d’avoir un impact significatif sur la réalisation des objectifs et qu’il soit
impossible de réduire cet impact à un niveau acceptable. Dans ces cas précis, un
contrôle interne efficace permet uniquement au management et au conseil d’être à
même d’apprécier dans quelle mesure les activités sont gérées de manière efficace et
efficiente.

Principes
655. Les commentaires recueillis sur la version avant publication mettaient l’accent sur les
conditions d’un contrôle interne efficace et la capacité du management à se pronon
cer sur l’efficacité d’un système de contrôle interne si les principes ne sont pas mis
en place et ne fonctionnent pas. Ces principes sont présumés pertinents. Toutefois,
il peut arriver à titre exceptionnel que, dans un contexte sectoriel, opérationnel ou
réglementaire donné, le management estime qu’un principe n’est pas pertinent pour la
composante correspondante. Ce jugement peut notamment reposer sur des motifs liés
à la structure de l’entité, à la nécessité de respecter des obligations légales, réglemen
taires, sectorielles ou contractuelles de l’entité en matière de gouvernement d’entre
prise, ainsi qu’à l’importance et au degré de complexité des systèmes d’information
utilisés par l’entité. Le Référentiel insiste sur la nécessité que ces principes soient mis
en place et fonctionnent pour assurer l’efficacité du contrôle interne.

Fonctionnement conjoint des composantes


656. Certaines des personnes consultées ont demandé des éclaircissements quant à la
nécessité du fonctionnement conjoint des composantes. Une définition ainsi que de
plus amples détails ont été ajoutés au chapitre 3 concernant le fonctionnement conjoint
des composantes.

Points d’attention
657. Certains ont exprimé la crainte que la rubrique consacrée aux points d’attention
(intitulée « caractéristiques » dans l’exposé-s ondage) soit utilisée à mauvais escient
comme une check-list par le management, les auditeurs et les régulateurs. D’autres
souhaitaient savoir si les points d’attention énonçaient les règles à suivre pour que les
principes soient mis en place et fonctionnent, ou si le Référentiel présumait que les
Annexes

points d’attention étaient mis en place et fonctionnaient.

https://marketingebooks.tk/
240 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

658. Le Référentiel reprend l’expression « points d’attention » employée dans sa version


initiale, en remplacement du terme « caractéristiques », pour ne pas donner l’impres
sion que le respect des points d’attention est impératif. Le Référentiel apporte des
précisions sur la pertinence des points d’attention en les présentant comme des carac
téristiques importantes des principes. Le Référentiel apporte au management une plus
grande latitude pour exercer son jugement lorsqu’il détermine les points d’attention
qui sont pertinents pour l’entité. Le Référentiel a été révisé de façon à ne pas donner
l’impression que les points d’attention doivent être mis en place et évalués séparément.
659. Les points d’attention ont été supprimés du chapitre 3, « Efficacité du contrôle
interne », afin d’indiquer clairement qu’il n’y a pas lieu de les considérer comme des
exigences associées aux principes. En revanche, le chapitre 4, « Considérations addi
tionnelles », permet de les présenter et d’apporter des précisions sur leur pertinence.
Dans les chapitres consacrés aux diverses composantes, les points d’attention sont
énumérés après le principe auquel ils s’appliquent.

Classement des déficiences du contrôle interne


660. Certains ont suggéré la suppression de la référence aux « non- conformités majeures »
et aux « non-conformités mineures » pour une terminologie cohérente pour toutes les
catégories d’objectifs mentionnées dans le Référentiel. D’autres ont proposé d’utiliser
les expressions « déficience significative » et « faiblesse significative » pour toutes
les catégories.
661. Le Référentiel emploie une terminologie révisée lorsqu’il fait référence d’une façon
générale à la sévérité des déficiences, et utilise les expressions « déficiences du
contrôle interne » et « déficiences majeures ». Toutefois, pour certains objectifs, le
Référentiel admet que le management devrait uniquement utiliser les critères perti
nents retenus par les lois, règlements et normes applicables pour classer la sévérité des
déficiences du contrôle interne.

DÉFINITION DES OBJECTIFS


662. Certains ont suggéré d’inclure la définition des objectifs dans le Référentiel en tant que
composante du contrôle interne. D’autres ont proposé que la définition des objectifs
demeure une condition préalable du contrôle interne et que le Référentiel indique plus clai
rement le rôle de l’évaluation de la pertinence des objectifs en matière de contrôle interne.
663. Le Référentiel maintient les cinq composantes et le concept selon lequel la mise en
place des objectifs est une condition préalable du contrôle interne. Il clarifie la dis
tinction entre la fixation des objectifs (en dehors du système de contrôle interne) et la

https://marketingebooks.tk/
ANNEXES 241

déclinaison des objectifs (dans le cadre du système de contrôle interne) au chapitre 2,


« Objectifs, composantes et principes ». Le Référentiel approfondit la question de la
pertinence des objectifs et explique comment le management devrait réagir lorsque
les objectifs fixés sont jugés inadéquats (voir le chapitre 4, « Évaluation des risques »).

OBJECTIFS
Sauvegarde des actifs
664. Certains ont suggéré que la sauvegarde des actifs devienne une catégorie d’objectifs
en se référant aux lois, règlements et normes applicables. D’autres ont proposé que la
sauvegarde des actifs fasse partie de chaque catégorie d’objectifs.
665. Le Référentiel maintient la sauvegarde des actifs en tant qu’objectif opérationnel,
conformément au Référentiel initial. Il était mentionné dans le Référentiel intégré de
contrôle interne, addenda afférent au reporting financier (mai 1994) que la défini
tion du contrôle interne porte sur les objectifs relatifs aux opérations, à la conformité
et au reporting, comme indiqué dans le Référentiel initial. Cette position demeure
appropriée. Il était également indiqué dans les conclusions de l’addenda que, lorsque le
management présente un rapport sur le contrôle interne sur le reporting financier, l’on
peut raisonnablement s’attendre à ce que ce reporting couvre les contrôles qui visent
à faciliter l’élaboration des états financiers et à prévenir ou à détecter dans des délais
appropriés toute acquisition, utilisation ou cession non autorisée d’actifs.
666. Le Référentiel reconnaît que certaines lois, règlements et normes ont fait de la sauve
garde des actifs une catégorie distincte d’objectifs. Lorsque le management présente
un rapport sur le système de contrôle interne d’une entité, celui-c i peut mentionner des
objectifs généraux ou détaillés relatifs à la sécurité physique des actifs et à la préven
tion de toute acquisition, utilisation ou cession non autorisée d’actifs, ou à sa détection
en temps voulu. Le Référentiel adopte le point de vue selon lequel la sauvegarde des
actifs est liée principalement aux opérations, mais peut également être envisagée dans
le cadre des objectifs liés au reporting et à la conformité.

Objectifs stratégiques
667. Certains ont suggéré l’ajout d’une catégorie d’objectifs correspondant aux objectifs
stratégiques. D’autres ont fait valoir que cette modification était déjà effectuée dans le
référentiel ERM et que le Référentiel devrait adopter une position similaire.
668. Le Référentiel retient les catégories d’objectifs liées aux opérations, au reporting et à la
Annexes

conformité et le point de vue selon lequel les objectifs stratégiques ne font pas partie

https://marketingebooks.tk/
242 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

du contrôle interne. La prise en compte d’objectifs stratégiques et d’objectifs liés à la


définition de la stratégie impliquerait l’adoption de nouveaux concepts, notamment
ceux d’appétence pour le risque et de tolérance au risque, de façon à procéder à un
examen complet de cette catégorie d’objectifs. Ces concepts sont mieux appropriés
dans le contexte de la gestion des risques, comme indiqué ci-après.

ERM (ENTERPRISE RISK MANAGEMENT)

669. Certains ont préconisé une intégration plus poussée des concepts de gestion des
risques dans le contrôle interne, en particulier en vue d’un examen plus approfondi de
la tolérance au risque et de l’appétence pour le risque. Certains ont également demandé
que le référentiel ERM du COSO soit fusionné avec le Référentiel. D’autres étaient
favorables à ce que ces deux référentiels restent bien distincts.
670. Le conseil du COSO a étudié la question de la fusion des deux référentiels et a décidé
de conserver deux référentiels distincts. Par conséquent, la définition de la straté
gie, les objectifs stratégiques et l’appétence pour le risque continuent de relever du
référentiel ERM. Le Référentiel considère la définition de l’appétence pour le risque,
l’application du seuil de tolérance au risque et la définition de la stratégie comme une
condition préalable du contrôle interne.
671. Le Référentiel complète l’avant-propos afin d’indiquer que les deux référentiels doivent
être complémentaires et qu’aucun ne remplace l’autre. Le Référentiel contient un exa
men des concepts qui se recoupent à l’annexe G.

PETITES ENTITÉS ET ORGANISMES PUBLICS

672. Certains ont demandé des lignes directrices plus détaillées spécifiques aux petites
entités et aux organismes publics. Certains ont suggéré que le Référentiel souligne
expressément les différences concernant l’applicabilité à ces entités. D’autres ont
estimé que le document risquait d’être beaucoup trop volumineux pour les organisa
tions les moins grandes.
673. Le Référentiel contient des dispositions supplémentaires relatives au principe n° 2,
« Réaliser une surveillance effective », en ce qui concerne les petites entités. Des
dispositions supplémentaires extraites des Lignes directrices à l’intention des petites
sociétés cotées publiées par le COSO en 2006 figurent à l’annexe C. Cette annexe a
été complétée afin de prendre en considération, outre les petites sociétés cotées, les
autres petites entités.

https://marketingebooks.tk/
ANNEXES 243

SYSTÈMES D’INFORMATION
674. Certaines réponses contenaient des commentaires d’ordre général concernant l’inser
tion dans le Référentiel de lignes directrices plus détaillées relatives aux systèmes
d’information. D’autres ont suggéré de rattacher les dispositions détaillées concernant
les systèmes d’information, notamment les plans de secours et la gestion de sinistres,
au principe n° 11, « Sélectionner et développer des contrôles généraux informa
tiques ». D’autres encore ont suggéré d’ajouter une liste détaillée des risques associés
aux technologies les plus récentes comme le cloud computing ou les techniques d’audit
continu. Certains ont recommandé de mentionner ou d’incorporer d’autres référentiels
existants qui traitent en particulier des contrôles et d’autres questions relatives aux
systèmes d’information.
675. Le Référentiel contient un examen plus poussé des systèmes d’information, tant dans
les points d’attention que dans les divers chapitres. Le Référentiel ne contient pas
d’examen approfondi des technologies les plus récentes ni des risques y afférents en
raison de leur caractère évolutif et de la crainte que le Référentiel ne devienne obsolète.
Le Référentiel ne fait pas explicitement référence à d’autres référentiels.

STRUCTURE ET PRÉSENTATION
676. Certains ont fait part de leur inquiétude au sujet de la longueur du Référentiel et ont
suggéré de présenter uniquement les exigences de contrôle interne. D’autres ont sug
géré de revoir la structure du document et de mettre en relief les exigences obliga
toires, par opposition aux lignes directrices recommandées.
677. Le conseil du COSO estime comme par le passé que le Référentiel est constitué de
l’ensemble des chapitres. Il admet toutefois qu’il est important de bien préciser que les
composantes et les principes constituent des conditions de l’efficacité d’un système de
contrôle interne.

ROBUSTESSE DES PROCESSUS DE RÉVISION


678. Certains se sont demandés si l’ensemble des processus liés à l’initiative d’actualisation
du Référentiel lancée par le COSO étaient suffisants. Ils ont notamment suggéré que
PwC et le COSO organisent de nouvelles actions de sensibilisation et de consultation
publique avant de publier le Référentiel. Le conseil du COSO estime que les diverses
activités mises en œuvre au cours de ces dernières années ont permis de recueillir
Annexes

un grand nombre d’avis sur les révisions du Référentiel proposées, comme indiqué à

https://marketingebooks.tk/
244 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

l’annexe D consacrée à la méthodologie de révision du Référentiel. Dans le cadre de


cette approche, PwC et le COSO :
ont sollicité l’avis des utilisateurs et des parties prenantes du référentiel initial sur
la nature et l’importance des mises à jour nécessaires ; plus de 700 réponses ont été
recueillies (entre décembre 2010 et septembre 2011) ;
ont tenu 11 réunions avec le comité consultatif (constitué de représentants de
l’AICPA, de l’AAA, de la FEI, de l’IIA, de l’IMA, de cabinets d’audit, d’autres
organisations professionnelles et de divers régulateurs) ;
ontprésenté au public des exposés-sondages de la version actualisée du Référentiel
pour commentaires (entre décembre 2011 et mars 2012) ;
ont présenté au public un projet de Référentiel révisé pour commentaires, ainsi
que des exposés-s ondages du Référentiel et des publications Application au repor
ting financier externe et Outils d’évaluation de l’efficacité d’un système de contrôle
interne (entre septembre et décembre 2012) ;
ont participé à de multiples conférences, webinars et séminaires avec les membres
du COSO afin de recueillir des avis supplémentaires de la part des parties prenantes
et des utilisateurs (entre janvier 2011 et janvier 2013).
679. Le COSO estime que d’importants efforts ont été déployés pour recueillir des avis sur
les documents provisoires du Référentiel et des annexes révisés, Application au repor
ting financier externe et Outils d’évaluation de l’efficacité d’un système de contrôle
interne.

https://marketingebooks.tk/
ANNEXE F

Synthèse des modifications


apportées au référentiel
La pratique du contrôle
interne publié en 1992
680. La présente annexe récapitule les modifications d’ordre général apportées par rapport
à la version initiale publiée en 1992, ainsi que celles effectuées dans le cadre de cha
cune des cinq composantes du contrôle interne.

MODIFICATIONS D’ORDRE GÉNÉRAL


681. Les modifications significatives décrites ci-après concernent l’ensemble des disposi
tions du Référentiel actualisé :
adoption d’une approche fondée sur les principes : le Référentiel met davantage
l’accent sur les principes. Alors que le référentiel initial abordait implicitement les
grands principes du contrôle interne, le Référentiel énonce expressément les dix-
sept principes qui correspondent aux concepts fondamentaux associés aux compo
santes du contrôle interne. Ces principes demeurent généraux puisqu’ils sont censés
s’appliquer (1) à toute catégorie d’objectifs et (2) à tout type d’entité, aux sociétés
privées, cotées ou non cotées, aux organismes à but non lucratif, aux organismes
publics et aux autres organisations. Chaque principe est étayé par des points d’atten
tion qui correspondent à des caractéristiques importantes des principes ;
précision des conditions d’un contrôle interne efficace : les composantes et les prin
cipes comprennent les critères que le management de l’entité pourra utiliser pour
évaluer l’efficacité du contrôle interne. Le Référentiel impose que les principes et
chacune des composantes soient mis en place et fonctionnent, et que ces dernières
Annexes

fonctionnent conjointement ;

https://marketingebooks.tk/
246 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

élargissement de la catégorie des objectifs liés au reporting : la catégorie des objec


tifs précédemment liés au reporting est élargie afin de tenir compte du reporting
extra-financier externe et du reporting interne, tant financier qu’extra-financier ;
clarification concernant la définition des objectifs et le contrôle interne : le référen
tiel initial indiquait que la définition des objectifs est un processus de gestion, et
que la fixation des objectifs est une condition préalable du contrôle interne. Le Réfé
rentiel maintient ce point de vue et approfondit les problématiques de détermination
des objectifs et de pertinence des objectifs fixés. Ces questions sont examinées au
chapitre 2, « Objectifs, composantes et principes » ;
prise en compte de la mondialisation des marchés et des opérations : en quête de
création de valeur, les organisations se développent au-delà des marchés nationaux,
s’introduisent sur des marchés internationaux et réalisent des fusions-acquisitions
transfrontalières. Le Référentiel traite des changements des modèles organisation
nels, des structures des entités juridiques et des rôles, des responsabilités et du
devoir de rendre compte en matière de contrôle interne aux niveaux de l’entité et des
unités. Par ailleurs, le Référentiel examine l’identification et l’analyse des facteurs
de risques externes et internes liés aux fusions-acquisitions ;
exposé plus détaillé des règles de gouvernance : le Référentiel comprend un exposé
plus détaillé des règles de gouvernance applicables au conseil et à ses comités,
notamment au comité d’audit, au comité des rémunérations et au comité des nomi
nations/de la gouvernance ;
examen des différents modèles économiques et des structures organisationnelles :
les modèles économiques et les structures ont évolué au cours des vingt dernières
années, et un grand nombre d’entités élargissent désormais leurs modèles écono
miques afin d’englober le recours à des prestataires externes chargés de fournir
les produits ou les services nécessaires au fonctionnement de l’entité. Le paysage
concurrentiel, la mondialisation, les mutations sectorielles et technologiques,
l’évolution des modèles économiques, la course aux talents, la gestion des coûts
et d’autres facteurs ont contraint le management à sortir du cadre de l’organisa
tion pour accéder aux ressources nécessaires. Le Référentiel prend explicitement
en compte ce modèle économique élargi, notamment les responsabilités liées au
contrôle interne dans le cadre de ce modèle et la mise en place d’un contrôle interne
efficace ;
examen des exigences et de la complexité des lois, règlements et normes : les régu
lateurs et les organismes de normalisation renforcent la protection des parties
prenantes et la confiance dans le reporting externe à travers les modifications appor
tées aux lois, aux règlements et aux normes. Le Référentiel reconnaît le rôle joué par
les régulateurs et les organismes de normalisation dans la définition d’objectifs et

https://marketingebooks.tk/
ANNEXES 247

de critères aux fins de l’évaluation de la sévérité des déficiences du contrôle interne


et de leur communication ;
exigences relatives aux compétences et au devoir de rendre compte : les exigences rela
tives aux compétences et au devoir de rendre compte croissent au fur et à mesure que
les organisations deviennent plus complexes, procèdent à des acquisitions d’entités et
à des restructurations, lancent de nouveaux produits ou services et mettent en place
des systèmes d’information et des processus nouveaux. Les organisations peuvent
modifier les modèles organisationnels et déléguer plus de pouvoirs ou être plus exi
geantes sur le devoir de rendre compte. Le Référentiel élargit le débat sur ces sujets ;
prise en compte de l’intensification du recours aux systèmes d’information : le
nombre d’entités qui s’appuient sur les systèmes d’information a considérablement
augmenté depuis 1992, et l’utilisation des systèmes d’information s’est intensifiée
dans la plupart des entités. Les systèmes d’information ont évolué pour passer de
gros systèmes centralisés et autonomes conçus pour traiter des lots de transactions
à des applications mobiles décentralisées et très perfectionnées qui permettent de
réaliser plusieurs activités en temps réel à travers un grand nombre de systèmes,
d’organisations, de processus et de technologies. L’évolution technologique peut
avoir un impact sur les modalités de mise en œuvre de l’ensemble des composantes
du contrôle interne ;
prise en compte des attentes accrues en matière de lutte contre la fraude : le référentiel
initial tenait compte de la fraude, mais il ne mettait pas autant en exergue les attentes
dans ce domaine ni le lien existant entre la fraude et le contrôle interne. Le Référentiel
accorde une place bien plus large à la fraude. En outre, certaines règles relatives au
risque de fraude sont considérées comme un principe de contrôle interne.

RÉALISATION DES OBJECTIFS

682. D’après le référentiel initial, le contrôle interne peut être jugé efficace dans chacune
des trois catégories d’objectifs si le conseil d’administration et le management ont
l’assurance raisonnable :
qu’ils comprennent dans quelle mesure les objectifs liés aux opérations de leur
entité sont atteints ;
que les états financiers publiés sont élaborés de manière fiable ;
que les lois et règlements applicables sont respectés.
683. D’après le Référentiel initial, la réalisation des objectifs liés aux opérations échappe
Annexes

parfois au contrôle de l’entité. Dans ce domaine, le système de contrôle interne per

https://marketingebooks.tk/
248 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

met uniquement d’obtenir une assurance raisonnable que le management et le conseil


(investi d’une mission de surveillance) seront informés en temps utile de l’avancement
de l’entité dans la réalisation de ces objectifs.
684. Le Référentiel admet que la réalisation de certains objectifs liés aux opérations échappe
parfois au contrôle de l’organisation et, lorsque tel est le cas, l’approche du référentiel
initial est retenue. Le Référentiel reconnaît également que, lorsqu’il est peu probable
que des facteurs externes aient un impact significatif sur la réalisation des objectifs
fixés, l’organisation peut obtenir une assurance raisonnable que ces objectifs peuvent
être atteints.

MODIFICATIONS APPORTÉES AUX COMPOSANTES


DU CONTRÔLE INTERNE
Environnement de contrôle
685. Au cours des deux décennies écoulées depuis la publication du Référentiel initial en
1992, plusieurs facteurs ont mis en évidence la nécessité d’actualiser les éléments à
prendre en compte pour mettre en place un environnement propice au contrôle. Les
modèles économiques sont devenus plus complexes car les organisations font désor
mais appel à un réseau étendu de tiers et de partenaires qui sont tenus non seulement
d’obtenir des résultats, mais d’adhérer également à certaines normes que l’organisa
tion entend faire appliquer. Les multiples structures qui caractérisent les organisations
de nos jours, qu’elles reposent sur les lignes de produits, le secteur géographique, les
entités juridiques ou tout autre facteur, nécessitent une approche flexible et multidi
mensionnelle en matière de gouvernance et de contrôle, et une aptitude à communi
quer en conséquence.
686. Il existe de nos jours un besoin accru de transparence en ce qui concerne les modalités
de fonctionnement et de direction des organisations ; le reporting s’étend désormais
au-delà des résultats financiers ; l’examen des risques est censé être plus robuste et
détaillé ; les parties prenantes accordent davantage d’importance aux rapports sur la
responsabilité sociale des organisations ; et le rythme de publication de ces infor
mations s’est accéléré. L’évolution des règles de gouvernance liée aux modifications
des règlements, les normes imposées aux sociétés cotées et d’autres exigences des
parties prenantes ont contraint les organisations à adopter certaines structures et cer
tains processus. Ces normes ou exigences concernent notamment l’indépendance des
administrateurs, la diffusion de leur profil de compétence, les processus d’évalua
tion des conseils et des comités d’audit, ainsi que la mise en conformité des systèmes
d’incitation et de gratification de façon à promouvoir les comportements attendus et

https://marketingebooks.tk/
ANNEXES 249

à s’assurer que les comportements inadéquats sont rectifiés. Toutes ces normes visent
à assurer une mise en adéquation avec le profil de risque évolutif de l’organisation.
687. Les principales modifications relatives au chapitre 5, « Environnement de contrôle »,
portent sur les points suivants :
le regroupement en cinq principes des points concernant l’intégrité et l’éthique,
l’engagement en faveur du développement des compétences, le conseil ou le comité
d’audit, la vision et le style opérationnel du management, la structure organisation-
nelle, l’attribution des pouvoirs et des responsabilités, ainsi que les règles et les
pratiques liées aux ressources humaines ;
l’explication des liens existant entre les diverses composantes du contrôle interne
afin de mettre en évidence le rôle fondamental de l’environnement de contrôle dans
la mise en place d’un système de contrôle interne adéquat ;
l’examen plus approfondi du rôle de la gouvernance dans une organisation, compte
tenu des différences constatées dans les structures, les exigences et les difficultés
qui caractérisent les juridictions, les secteurs ou les types d’entités ;
la clarification des exigences en matière d’intégrité et d’éthique afin de tenir compte
des enseignements tirés et de l’évolution observée en matière d’éthique et de confor
mité (par exemple, codes de conduite, processus d’attestation, dispositifs d’alerte,
investigation et résolution, ainsi que formation et renforcement tant en interne
qu’avec les tiers) ;
l’élargissement de la notion de surveillance des risques et renforcement des liens
entre les risques et la performance afin de faciliter l’allocation de ressources desti
nées à appuyer le contrôle interne et la réalisation des objectifs de l’entité ;
la mise en exergue de la nécessité d’envisager le contrôle interne en tenant compte
de la complexité des structures organisationnelles liée aux différents modèles éco
nomiques et au recours à des prestataires ou autres partenaires externes ;
l’harmonisation des rôles et des responsabilités examinés dans le cadre de la struc
ture organisationnelle avec les informations présentées à l’annexe B, « Rôles et
responsabilités », afin d’assurer la cohérence des principaux rôles décrits dans le
Référentiel.

Évaluation des risques


688. Depuis 1992, l’attention accordée aux risques et à la composante « Évaluation des
risques » a continué de s’intensifier, les risques et le contrôle étant plus que jamais étroi
tement associés. Par voie de conséquence, un grand nombre d’organisations ont modifié
Annexes

leur stratégie et ont abandonné une démarche normative en faveur d’une approche du

https://marketingebooks.tk/
250 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

contrôle interne davantage fondée sur les risques. Certains utilisateurs du Référentiel
initial ont fait valoir qu’une actualisation était nécessaire pour permettre une meilleure
compréhension des risques et de leur lien avec le système global de contrôle interne.
Au fur et à mesure qu’elles se lancent dans des programmes de gestion des risques, les
organisations recherchent en outre une plus grande clarté sur la façon dont l’évaluation
des risques est abordée dans le cadre du contrôle interne et sur les aspects de la gestion
des risques qui apportent une valeur ajoutée en matière de contrôle interne.
689. Les utilisateurs ont également relevé que près de la moitié du chapitre initial sur
l’évaluation des risques mettait l’accent sur les objectifs, et que cette mise en exergue
n’était pas nécessaire si la définition des objectifs est réellement une condition préa
lable du contrôle interne. Un grand nombre d’organisations ont fait évoluer leur repor
ting extra-financier qui va désormais bien au-delà du reporting financier. Enfin, un
grand nombre d’organisations ont également redoublé d’efforts en matière de lutte
contre la fraude, souvent en raison d’événements survenus en leur sein, dans leur sec
teur d’activité ou dans le monde des affaires d’une façon générale, et sous l’effet de
pressions législatives croissantes dans certaines juridictions.
690. Le chapitre 6, « Évaluation des risques », reflète par conséquent ces principales
modifications :
l’examen de la définition des objectifs, toujours considérée comme une condition
préalable de l’évaluation des risques, est en grande partie transféré dans le cha
pitre 2, « Objectifs, composantes, et principes », tandis que l’examen des catégories
d’objectifs, des liens entre les objectifs et de la réalisation des objectifs ne figure
plus dans la composante « Évaluation des risques » ;
s’agissant de la composante « Évaluation des risques », le chapitre 6 met l’accent sur
la définition des objectifs liés aux opérations, au reporting et à la conformité, qui
doivent être formulés de façon suffisamment claire pour que les risques y afférents
puissent le cas échéant être identifiés et évalués, et tient compte de la nécessité
d’évaluer la pertinence d’objectifs qui serviront de base à l’évaluation de l’efficacité ;
la catégorie des objectifs précédemment liés au reporting financier est élargie afin
de tenir compte du reporting extra-financier externe et du reporting interne ;
il est tenu compte du fait que le reporting extra-financier peut répondre à une norme
ou à une exigence externe ;
il est précisé que l’évaluation des risques inclut des processus d’identification,
d’analyse et de traitement des risques ;
l’examen de la criticité des risques est élargi au-delà de l’impact et de la probabilité
afin d’intégrer des notions comme la vélocité, la rapidité et la persistance ;

https://marketingebooks.tk/
ANNEXES 251

les tolérances au risque (déterminées en tant que condition préalable du contrôle


interne et en fonction de l’importance relative des objectifs et du taux d’écart accep
table entre objectifs et résultats) sont incorporées dans l’évaluation des niveaux de
risque acceptables ;
la nécessité pour le management de comprendre les changements significatifs rela
tifs aux facteurs internes et externes et leur impact éventuel sur le système global de
contrôle interne est mieux prise en compte ;
le processus d’évaluation des risques comprend l’examen du risque de fraude lié à
des omissions ou inexactitudes significatives dans le reporting, à une sauvegarde
inadéquate des actifs et à la corruption.

Activités de contrôle
691. Le rôle joué par les systèmes d’information a considérablement évolué depuis 1992, et
c’est peut-être dans le cadre de la mise en place des activités de contrôle que cette évolu
tion est la plus évidente. Les concepts fondamentaux exposés dans le Référentiel initial
demeurent valables, mais les technologies sont venues modifier les modalités détaillées
des activités de contrôle. De nos jours, les systèmes d’information sont bien plus intégrés
dans les processus métier des entités. La panoplie de technologies utilisées dans la plu
part des entités s’est considérablement étoffée et les systèmes d’information qui étaient
en grande partie concentrés dans le centre de données d’une organisation sont désor
mais complétés par une myriade de plateformes technologiques décentralisées, mobiles,
intelligentes et basées sur le Web, qui sont de plus en plus situées dans les locaux de
prestataires externes. Par ailleurs, la priorité accordée récemment à l’amélioration des
contrôles au sein des organisations, sous l’impulsion du marché et de la réglementation,
a permis une meilleure compréhension des moyens à mettre en œuvre pour concevoir et
mettre en place les activités de contrôle avec efficacité.
692. Les principales modifications apportées au chapitre 7, « Activités de contrôle »,
concernent par conséquent les points suivants :
la prise en compte de l’évolution technologique survenue depuis 1992 (par exemple
remplacement des concepts de centre de données par un examen plus général de
l’infrastructure informatique) ;
l’examen plus détaillé du lien existant entre les activités de contrôle automatisées
et les contrôles généraux informatiques afin de renforcer le lien avec les processus
métier ; par ailleurs, les informations détaillées concernant les activités de contrôle
automatisées, d’une part, et les contrôles généraux informatiques, d’autre part, sont
présentées dans des sections séparées de façon à clarifier la distinction entre ces
Annexes

deux types de contrôle ;

https://marketingebooks.tk/
252 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

l’examen plus approfondi des activités de contrôle et des diverses techniques, com
portant une description plus détaillée des types de contrôle et des techniques uti
lisées, ainsi qu’une méthode de classement par catégorie ; l’établissement d’une
distinction entre les contrôles effectués au niveau des transactions et ceux effectués
à d’autres niveaux de l’organisation ; et l’examen plus détaillé des objectifs liés au
traitement de l’information ;
l’actualisationdes paragraphes concernant les contrôles généraux informatiques
afin de remplacer des dispositions précises applicables aux systèmes d’information
de 1992 par des concepts universels (points à contrôler dans ce domaine) ;
laclarification de la définition des activités de contrôle, qui sont les mesures prises
en application des règles et des procédures et ne sont donc pas ces règles ou procé
dures proprement dites.

Information et communication
693. Les sources, le volume et la forme de l’information et de la communication se sont
considérablement développés depuis 1992. Les sources d’information sont devenues
plus variées et plus complexes et englobent aussi bien des prestataires chargés d’exécu
ter en tout ou partie certains processus métier de l’organisation (prestataires externes,
coentreprises, par exemple) que des réseaux internes ou externes conçus pour créer
des dispositifs non structurés de partage d’informations (médias sociaux).
694. Le volume d’informations accessibles aux organisations et collectées par celles- c i, en
particulier sous la forme de données brutes, constitue à la fois une source d’opportu
nités et de risques. Les régimes réglementaires adoptés se sont traduits par une aug
mentation de la demande d’informations et par des exigences plus poussées en matière
de qualité, de protection et de communication de données. Et, au fur et à mesure que
les organisations et les modèles économiques sont devenus plus complexes de par leur
structure et leur envergure géographique, la production d’informations de qualité et
leur communication au sein de l’organisation sont devenues des impératifs. En outre,
la libre circulation de l’information au sein de l’organisation, de façon à permettre au
management et aux collaborateurs de comprendre les événements nouveaux ou les
changements de circonstances, de réévaluer les risques et de modifier le système de
contrôle interne, revêt plus que jamais une importance primordiale dans la mesure
où les structures des entités sont devenues plus complexes sur les plans juridique et
fonctionnel ainsi qu’en matière de gestion.
695. Les principales modifications apportées au chapitre 8, « Information et communica
tion », portent sur les points suivants :
la mise en exergue de l’importance de la qualité de l’information ;

https://marketingebooks.tk/
ANNEXES 253

l’examen plus approfondi des exigences en matière de vérification des sources et


d’archivage lorsque les informations sont destinées à favoriser la réalisation d’ob
jectifs liés au reporting externe ;
l’examen plus approfondi de l’incidence des exigences réglementaires sur la fiabi
lité et la protection des informations ;
l’examen plus approfondi du volume et des sources d’information à la lumière de la
complexité accrue des processus métier, d’une plus grande interaction avec les tiers
et des avancées technologiques ;
la prise en compte de l’impact des systèmes d’information et d’autres systèmes de
communication sur la rapidité, les modalités et la qualité du flux d’informations ;
l’ajout d’un paragraphe concernant les besoins d’information et de communica
tion entre l’entité et les tiers, qui souligne combien il est important d’étudier les
possibilités d’externaliser certains processus (par exemple en faisant appel à des
prestataires externes pour les gérer) et de recenser les besoins de l’entité en termes
d’information et de communication avec les tiers qui opèrent en marge de son cadre
juridique et opérationnel.

Pilotage
696. Dans le cadre du Référentiel initial, il arrivait souvent que les utilisateurs concentrent
en priorité les efforts de pilotage sur les activités de contrôle. Puis la réglementation
relative au reporting financier a évolué dans bon nombre de juridictions, et les orga
nisations ont commencé à envisager le pilotage dans un contexte plus large en tenant
compte de sa finalité – qui est d’aider le management à comprendre les modalités
d’application de l’ensemble des composantes du contrôle interne et à déterminer si
le système global de contrôle interne fonctionne de manière efficace. Par souci de
cohérence des composantes décrites dans le Référentiel, et pour faciliter leur mise en
œuvre, cette composante a été intitulée « Pilotage » et concerne les activités de pilo
tage au sens large.
697. Les modifications apportées aux principes énoncés dans le Référentiel n’auront pas
d’incidence significative sur les approches définies dans les lignes directrices sur le
pilotage des systèmes de contrôle interne publiées par le COSO.
698. Les principales modifications apportées au chapitre 9, « Pilotage », concernent les
points suivants :
l’amélioration de la terminologie, les deux catégories principales d’activités de
pilotage étant désormais désignées par les expressions « évaluations continues » et
Annexes

« évaluations ponctuelles » ;

https://marketingebooks.tk/
254 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

l’ajout
d’un paragraphe concernant la nécessité de posséder une compréhension
commune pour mettre en place des évaluations continues ou ponctuelles ;
l’examen plus approfondi du recours aux systèmes d’information et aux prestataires
externes.

VUE D’ENSEMBLE DU RÉFÉRENTIEL


699. Le Référentiel initial contenait un seul chapitre consacré à la définition du contrôle
interne, aux composantes du contrôle interne, au lien entre les objectifs et les compo
santes, ainsi qu’à l’efficacité. Dans le Référentiel, ces questions sont traitées dans trois
chapitres différents : le chapitre 1, « Définition du contrôle interne », qui définit le
contrôle interne, le chapitre 2, « Objectifs, composantes et principes », consacré aux
composantes du contrôle interne et aux liens existant entre les objectifs, les compo
santes et les principes, et le chapitre 3, « Efficacité du contrôle interne », qui traite des
règles à suivre pour évaluer l’efficacité d’un système de contrôle interne. Par ailleurs,
le chapitre 4, « Considérations additionnelles », est consacré à l’examen du jugement
du management, des points d’attention, des coûts et avantages du contrôle interne, du
rôle évolutif des systèmes d’information, de la documentation et de l’application du
contrôle interne dans les grandes et les petites entités.

https://marketingebooks.tk/
ANNEXE G

Compara i s on
avec le référentiel ERM
700. En 2004, le COSO a publié Le management des risques de l’entreprise (le référentiel
ERM), qui instaure un cadre pour la gestion des risques et qui contient des lignes
directrices à l’intention des entreprises ou autres entités afin de les aider à mettre en
œuvre leurs activités de gestion des risques. Ce référentiel propose huit composantes
interdépendantes nécessaires pour une gestion des risques efficace.
701. Le référentiel ERM définit la gestion des risques comme un processus qui est mis
en œuvre par le conseil, le management et les collaborateurs d’une entité, appliqué
pour la définition de la stratégie et aux différents échelons de l’entité et conçu pour
identifier les événements potentiels susceptibles d’affecter l’entité, gérer les risques et
fournir l’assurance raisonnable que les objectifs de l’entité seront atteints. Le présent
Référentiel devrait avoir un impact marginal sur les organisations qui ont appliqué le
référentiel ERM.
702. La présente annexe décrit le lien existant entre le Référentiel intégré de contrôle interne
et le référentiel ERM.

UN CONCEPT PLUS LARGE


703. Le concept de gestion des risques est plus large que celui de contrôle interne ; il per
met d’approfondir l’examen du contrôle interne et met plus directement l’accent sur
les risques. Le contrôle interne fait partie intégrante de la gestion des risques, tandis
que la gestion des risques fait partie intégrante du processus global de gouvernement
d’entreprise. Ce lien est décrit dans le schéma ci-après.
Annexes

https://marketingebooks.tk/
256 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

Gouvernement
d’entreprise

Gestion des risques ERM

Contrôle interne

704. Le référentiel ERM reste valable pour les entités et tous ceux qui s’intéressent d’une
façon générale à la gestion des risques.

CATÉGORIES D’OBJECTIFS
705. Le Référentiel intégré de contrôle interne et le référentiel ERM concernent tous deux
l’ensemble des rapports établis par les entités. Il s’agit aussi bien de rapports utili
sés en interne par le management que de rapports destinés aux tiers, y compris les
documents émis conformément à la réglementation et les rapports destinés à d’autres
parties prenantes.
706. Il existe entre ces deux publications des divergences qui concernent les catégories d’ob
jectifs. Tandis que les deux ouvrages définissent les trois catégories d’objectifs liées aux
opérations, au reporting et à la conformité, le référentiel ERM identifie une quatrième caté
gorie : les objectifs stratégiques (illustrée dans le schéma ci-après). Les objectifs straté
giques se situent à un niveau plus élevé que les autres. Ils découlent de la mission et de la
vision de l’entité, et les objectifs liés aux opérations, au reporting et à la conformité doivent
être en adéquation avec eux. La gestion des risques s’applique lors de la définition de la
stratégie et dans le cadre des actions menées pour atteindre les objectifs relevant des trois
autres catégories.
707. Le postulat de base de la gestion des risques est le suivant : chaque entité a vocation
à créer de la valeur pour ses parties prenantes. Les objectifs stratégiques reflètent
les choix du management quant aux moyens que l’entité mettra en œuvre pour créer
de la valeur pour ses partenaires. Les objectifs liés aux opérations, au reporting et à

https://marketingebooks.tk/
ANNEXES 257

la conformité (appelés objectifs connexes dans le référentiel ERM ) découlent de ces


objectifs stratégiques. Tandis que la gestion des risques met l’accent sur la façon dont
une entité crée, préserve et réalise de la valeur, le contrôle interne met essentiellement
l’accent sur la réalisation des objectifs fixés.
708. La gestion des risques est souvent considérée comme une fonction plus prospective,
qui tient compte du niveau de risque que l’organisation est disposée à accepter, de l’im
pact des choix stratégiques sur la génération et la maîtrise des risques et de l’incidence
potentielle des risques émergents sur l’organisation. Le contrôle interne, en revanche,
consiste pour l’essentiel à s’assurer que l’organisation maîtrise les risques associés à
la réalisation des objectifs fixés. Dans ce contexte, le contrôle interne est souvent plus
rétrospectif que prospectif.

L’APPÉTENCE POUR LE RISQUE ET LA TOLÉRANCE AU RISQUE


709. Le référentiel ERM introduit les concepts d’appétence pour le risque et de tolérance
au risque :
l’appétence pour le risque désigne le niveau global de risque qu’une entité est prête
à accepter dans le cadre de sa mission et de sa vision. Elle sert de référence lors de
la définition de la stratégie et de la sélection des objectifs connexes ;
la tolérance au risque désigne la variation acceptable dans l’atteinte des objectifs.
Pour fixer les seuils de tolérance au risque, le management tient compte de l’impor
tance relative des objectifs connexes et de l’appétence pour le risque.
710. La prise en compte de la tolérance au risque donne au management une assurance
accrue que l’entité opère dans les limites de son appétence pour le risque, ce qui ren
force la probabilité pour qu’elle atteigne ses objectifs. Le concept de tolérance au
risque est mentionné dans le Référentiel en tant que condition préalable du contrôle
interne. Il ne fait donc pas partie du contrôle interne.

VISION GLOBALE
711. La gestion des risques requiert l’examen des risques composites dans une optique
globale. Ce concept ne figure pas dans le Référentiel intégré de contrôle interne, qui
met l’accent sur la réalisation des objectifs à titre individuel. Le contrôle interne n’im
plique pas nécessairement que l’entité adopte une vision globale.
Annexes

https://marketingebooks.tk/
258 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

COMPOSANTES
712. Compte tenu de l’importance croissante accordée au risque, le référentiel ERM élargit
la composante « Évaluation des risques » du Référentiel intégré de contrôle interne
et crée trois composantes : l’identification des risques, l’évaluation des risques et les
modalités de traitement des risques (tel que décrit dans le schéma ci-après).
s

ité

it é
s
g
i on

g
on
e
in

in
gi
m

rm
rt

at i

rt
at


or
po

po

nfo
ér

ér
ra
nf

Re
Re

Unité opérationnelle

Unité opérationnelle
Op
Op

St

Co
Co

Fonction

Fonction
Environnement interne
Environnement
Environnement de
de contrôle
contrôle
Définition des objectifs
Division

Division
Évaluation des risques Détaillé Identification des événements
selon 3

Entité
Entité

compo
santes Évaluation
Évaluation des
des risques
risques
Activités de contrôle
Traitement
Traitement du
du risque
risque
Information
Informationet
etcommunication
communication Activités de contrôle
Information
Informationet
etcommunication
communication
Pilotage
Pilotage Pilotage
Pilotage
Référentiel intégré de contrôle interne Référentiel ERM

713. Dans le référentiel ERM, la composante « Définition des objectifs » comprend l’examen
du processus mis en œuvre par le management et le conseil pour fixer les objectifs liés
aux opérations, au reporting et à la conformité. La détermination de l’appétence pour le
risque et de la tolérance au risque sont des éléments clés de la gestion des risques. Le
contrôle interne, en revanche, considère la définition des objectifs et de la tolérance au
risque comme des conditions préalables d’un système efficace de contrôle interne.

SYNTHÈSE DES SIMILITUDES ET DES DIFFÉRENCES


LIÉES AUX COMPOSANTES
714. Chacune des cinq composantes du contrôle interne est examinée ci-après sous la forme
d’une comparaison avec le référentiel ERM. Dans tous les cas, un tableau est présenté
afin d’indiquer les concepts qui sont :
communs au Référentiel de contrôle interne (CI) et au Référentiel de management
des risques de l’entreprise (ERM) ;
pris en compte dans le contrôle interne et approfondis dans le cadre de la gestion
des risques ;
spécifiques à la gestion des risques et ne relevant pas du contrôle interne.

https://marketingebooks.tk/
ANNEXES 259

715. Les principes énoncés dans le Référentiel pour chaque composante sont utilisés dans
la mesure du possible pour décrire ces similitudes et ces différences.

Environnement de contrôle
Pris en compte dans le CI
Communs à l’ERM et au CI Spécifiques à l’ERM
et approfondis dans l’ERM
Démontrer son engagement en faveur Réaliser une surveillance Définir la politique de gestion
de l’intégrité et des valeurs éthiques. effective par le conseil. des risques.
Définir des structures, des pouvoirs et Instaurer une culture en matière
des responsabilités. de risques.
Démontrer son engagement en faveur Déterminer l’appétence pour
du développement des compétences. le risque.
Instaurer un devoir de rendre compte.

716. Dans le cadre de la composante « Environnement de contrôle », le référentiel ERM


aborde la question (dans le chapitre intitulé « Environnement interne ») de la culture
de l’entité en matière de gestion des risques, définie comme étant l’ensemble des opi
nions et des attitudes communes qui caractérisent sa façon d’appréhender les risques,
reflètent ses valeurs et influent sur sa culture et son style opérationnel. Comme indi
qué ci- dessus, le Référentiel reprend le concept d’appétence pour le risque, qui est
étayé par des seuils de tolérance aux risques plus spécifiques.
717. Compte tenu de l’importance primordiale du conseil et de sa composition, le référen
tiel ERM insiste sur la nécessité de constituer une masse critique d’administrateurs
indépendants (en principe au minimum au nombre de deux) et indique qu’une ges
tion des risques efficace suppose que le conseil comprenne au minimum une majorité
d’administrateurs externes indépendants.

Évaluation des risques


Pris en compte dans le CI
Communs à l’ERM et au CI Spécifiques à l’ERM
et approfondis dans l’ERM
Évaluer le risque de fraude. Définir des objectifs appropriés. Distinguer entre risques
Identifier et analyser les changements Identifier et analyser les et opportunités.
significatifs. risques. Élaborer une vision d’ensemble.

718. Le référentiel ERM et le Référentiel intégré de contrôle interne reconnaissent tous deux
que les risques se produisent à tous les niveaux de l’entité et sont la conséquence de
différents facteurs internes et externes. Ces deux référentiels placent l’identification
Annexes

des risques dans le contexte de son impact potentiel sur la réalisation des objectifs.

https://marketingebooks.tk/
260 RÉFÉRENTIE L INTÉGRÉ DE CONTRÔLE INTERNE

719. Le référentiel ERM aborde le concept d’événements potentiels, un événement étant un


incident ou une circonstance résultant de facteurs internes ou externes qui ont une inci
dence sur la mise en œuvre de la stratégie ou la réalisation des objectifs. Les événe
ments potentiels dont l’impact est favorable sont des opportunités, tandis que ceux dont
l’impact est défavorable sont des risques. Le Référentiel met l’accent sur l’identification
des risques et n’évoque pas le concept d’identification des opportunités car la décision
d’étudier les opportunités relève du processus plus large de définition de la stratégie.
720. Les deux référentiels préconisent une évaluation des risques, mais le référentiel ERM
recommande une analyse plus fine dans ce domaine. Les risques sont considérés
comme étant inhérents ou résiduels et sont exprimés de préférence dans l’unité de
mesure retenue pour les objectifs correspondants. L’horizon retenu doit être cohérent
avec la stratégie et les objectifs de l’entité et, si possible, avec les données observables.
Le référentiel ERM attire également l’attention sur les risques corrélés et montre com
ment un événement unique peut engendrer des risques multiples.
721. Comme indiqué ci-dessus, la gestion des risques implique l’adoption d’une vision glo
bale à l’échelle de l’entité, et les managers responsables d’une unité opérationnelle,
d’une fonction, d’un processus ou de toute autre activité doivent procéder à une éva
luation d’ensemble des risques associés aux unités individuelles.
722. Tout comme le Référentiel intégré de contrôle interne, le référentiel ERM identifie
quatre types de traitement des risques : l’évitement, la réduction, le partage et l’accep
tation. Toutefois, la gestion des risques implique l’examen d’une question supplémen
taire, celle du choix entre ces solutions potentielles dans le but d’atteindre un niveau
de risque résiduel en rapport avec les tolérances au risque de l’entité. Dans le cadre de
la gestion des risques, le management examine en outre les conséquences globales des
modalités de traitement retenues sur l’ensemble de l’entité en tenant compte de l’appé
tence de celle- c i pour le risque.

Activités de contrôle
Pris en compte dans le CI
Communs à l’ERM et au CI Spécifiques à l’ERM
et approfondis dans l’ERM
Sélectionner et développer des activités Néant. Néant.
de contrôle.
Sélectionner et développer des
contrôles généraux informatiques.
Déployer par le biais de règles et de
procedures.

723. Les deux référentiels présentent les activités de contrôle comme des activités visant
notamment à s’assurer que les modalités de traitement retenues par le management

https://marketingebooks.tk/
ANNEXES 261

dans le cadre de la gestion des risques sont mises en œuvre. Le Référentiel intégré
de contrôle interne est davantage à jour en ce qui concerne l’examen des systèmes
d’information et de leur impact sur le fonctionnement des entités.

Information et communication
Pris en compte dans le CI
Communs à l’ERM et au CI Spécifiques à l’ERM
et approfondis dans l’ERM
Communiquer en interne. Utiliser des informations Néant.
Communiquer en externe. pertinentes.

724. Le référentiel ERM repose sur une vision plus large de l’information et de la commu
nication qui met en évidence les données tirées des événements passés, présents et
futurs. Les données historiques permettent à l’entité de comparer les résultats réels
aux objectifs, aux prévisions et aux attentes, et fournissent des indications sur les
niveaux de performance atteints par l’entité au cours de différentes périodes et dans
des situations différentes. Les données relatives à la situation actuelle apportent des
informations complémentaires importantes, tandis que les données concernant les
événements futurs potentiels et les facteurs sous-jacents viennent compléter l’analyse.
Les infrastructures en place en matière d’information permettent de recenser et de col
lecter les données dans des délais et avec un niveau de détail qui permettent à l’entité
d’identifier les événements, d’évaluer les risques et d’adopter des solutions compa
tibles avec son appétence pour le risque. Le Référentiel intégré de contrôle interne
insiste davantage sur la qualité des données et sur la pertinence des informations qui
sont des conditions du contrôle interne.

Pilotage
Pris en compte dans le CI
Communs à l’ERM et au CI Spécifiques à l’ERM
et approfondis dans l’ERM
Conduire des évaluations continues et/ Néant. Néant.
ou ponctuelles.
Évaluer et communiquer les déficiences
du contrôle interne.

725. Les deux référentiels présentent le pilotage comme une activité visant notamment
à s’assurer que les composantes du contrôle interne et la gestion des risques conti
nuent de fonctionner et demeurent adéquates au fil du temps. Le Référentiel intégré de
contrôle interne est désormais plus à jour en ce qui concerne l’utilisation d’informa
Annexes

tions de référence dans le cadre du pilotage et le suivi des prestataires externes.

https://marketingebooks.tk/
Le projet Coso
726. Ce projet a été commandité par le COSO qui, par un leadership éclairé, a vocation à
élaborer des référentiels et des lignes directrices de premier plan concernant le contrôle
interne, la gestion des risques et la lutte contre la fraude, destinés à améliorer les perfor
mances et la surveillance de l’organisation et à réduire l’étendue de la fraude dans les
organisations. Le COSO est une initiative privée, pilotée et financée conjointement par :
American Accounting Association (AAA) ;
American Institute of Certified Public Accountants (AICPA) ;
Financial Executives International (FEI) ;
Institute of Management Accountants (IMA) ;
The Institute of Internal Auditors (IIA).
Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Membres du conseil
David L. Landsittel Président du COSO
Mark S. Beasley American Accounting Association
Douglas F. Prawitt
Richard F. Chambers The Institute of Internal Auditors
Charles E. Landes American Institute of Certified Public Accountants
Marie N. Hollein Financial Executives International
Sandra Richtermeyer Institute of Management Accountants
Jeffrey C. Thomson

PwC – Auteur
Principaux rédacteurs
Miles E. A. Everson Stephen E. Soske Frank J. Martens
Engagement Leader Project Lead Partner Project Lead Director
New York, États-Unis Boston, États-Unis Vancouver, Canada
Cara M. Beston Charles E. Harris J. Aaron Garcia
Partner Partner Director
San José, États-Unis Florham Park, États-Unis San Diego, États-Unis
Catherine I. Jourdan Jay A. Posklensky Sallie Jo Perraglia
Director Director Manager
Paris, France Florham Park, États-Unis New York, États-Unis

https://marketingebooks.tk/
ANNEXES 263

Comité consultatif

Représentants des organisations membres du COSO


Audrey A. Gramling Steven Jameson J. Stephen McNally
Université Bellarmine Community Trust Bank Campbell Soup Company
Fr. Raymond J. Treece Endowed Executive Vice President et Chief Finance Director/Controller
Chair Internal Audit & Risk Officer
Ray Purcell William D. Schneider Sr.
Pfizer AT&T
Director of Financial Controls Director of Accounting
Membres externes qualifiés
Jennifer Burns James DeLoach Trent Gazzaway
Deloitte Protiviti Grant Thornton
Partner Managing Director Partner
Cees Klumper Thomas Montminy Alan Paulus
Le Fonds mondial de lutte contre le PwC E&Y
sida, la tuberculose et le paludisme Partner Partner
Chief Risk Officer
Thomas Ray Dr. Larry E. Rittenberg Sharon Todd
Baruch College Université du Wisconsin KPMG
Emeritus Professor of Accounting Partner
Chair Emeritus COSO
Kenneth L. Vander Wal
ISACA
International President 2011-2012
Régulateurs et autres observateurs
James Dalkin Harrison E. Greene Jr. Christian Peo
Government Accountability Office Federal Deposit Insurance Corpo- Securities and Exchange Commis-
Director in the Financial Manage- ration sion
ment and Assurance Team Assistant Chief Accountant Professional Accounting Fellow
(jusqu’en juin 2012)
Amy Steele Vincent Tophoff Keith Wilson
Securities and Exchange Commis- International Federation of Accoun- Public Company Accounting Over-
sion tants sight Board
Associate Chief Accountant (à partir Senior Technical Manager Deputy Chief Auditor
de juillet 2012)
Autres contributeurs de PwC
Joseph Atkinson Jeffrey Boyle Glenn Brady
Partner Partner Partner
New York, États-Unis Tokyo, Japon St Louis, États-Unis
…/…
Annexes

https://marketingebooks.tk/
264 RÉFÉRENTIEL INTÉGRÉ DE CONTRÔLE INTERNE

…/…
James Chang Mark Cohen Andrew Dahle
Partner Partner Partner
Pékin, Chine San Francisco, États-Unis Chicago, États-Unis
Mary Grace Davenport Megan Haas Junya Hakoda
Partner Partner Partner (à la retraite)
New York, États-Unis Hong Kong, Chine Tokyo, Japon
Diana Hillier Steve Hirt Brian Kinman
Partner Partner Partner
Londres, Angleterre Boston, États-Unis St Louis, États-Unis
Barbara Kipp Hans Koopmans Sachin Mandal
Partner Partner Director
Boston, États-Unis Singapour Florham Park, États-Unis
Alan Martin Pat McNamee Jonathan Mullins
Partner Partner Partner (à la retraite)
Francfort, Allemagne Florham Park, États-Unis Dallas, États-Unis
Simon Perry Andrew Reinsel Kristin Rivera
Partner Partner Partner
Londres, Angleterre Cincinnati, États-Unis San Francisco, États-Unis
Valerie Wieman Alexander Young David Albright
Partner Partner Principal
Florham Park, États-Unis Toronto, Canada Washington, D.C., États-Unis
Charles Yovino Eric M. Bloesch Christopher Michaelson
Principal Managing Director Director
Atlanta, États-Unis Philadelphie, États-Unis Minneapolis, États-Unis
John Morrow Tracy Walker Qiao Pan
Director Director Senior Associate
Florham Park, États-Unis Bangkok, Thaïlande New York, États-Unis

https://marketingebooks.tk/

Vous aimerez peut-être aussi