Académique Documents
Professionnel Documents
Culture Documents
Comprendre Et Mettre en Œuvre
Comprendre Et Mettre en Œuvre
: Nord Compo
© Dunod, 2022
www.dunod.com
ISBN : 978-2-10-084229-2
Sommaire
Couverture
Page de Copyright
Introduction
PARTIE 1
CADRE DU CONTRÔLE INTERNE
1. Référentiel COSO
2. Référentiel AMF
PARTIE 2
PRATIQUE DU CONTRÔLE INTERNE EN ENTREPRISE
PARTIE 3
CONTRÔLE INTERNE, GESTION DES RISQUES
ET DIGITALISATION
Bibliographie
Introduction
Le contexte de crise que traverse l’économie mondiale avec la pandémie du
Covid-19 vient rappeler à quel point l’incertitude fait partie des processus
de décision aussi bien à l’échelle macroéconomique qu’au niveau des
agents économiques. Aujourd’hui, plus que jamais agir avec agilité et
résilience face aux aléas et aux évènements incertains constitue une, sinon
la, priorité pour mettre en place des politiques publiques et des conditions
sine qua non pour la survie des acteurs et la pérennité des organisations.
Au cours de vingt dernières années, une culture de contrôle interne et de
gestion des risques a émergé dans de nombreuses entreprises
indépendamment de leur taille et de leur secteur d’activité (banque,
assurance, société de conseil, institution publique, etc.). Consolidé par un
cadre réglementaire en constante évolution, le modèle de base a permis de
répondre aux attentes des parties prenantes et aux besoins des acteurs et des
régulateurs.
Au sens large du terme, le contrôle interne est un outil d’aide à la prise de
décision qui permet à une organisation de réaliser de manière efficace et
efficiente ses objectifs stratégiques et de maintenir, voire améliorer, sa
performance. Le contrôle interne est ainsi indissociable de la gestion des
risques car tout système de contrôle interne vise in fine à maîtriser des
risques auxquels l’organisation est exposée et à les ramener à des niveaux
acceptables.
Certes, le cadre réglementaire international et européen a évolué au rythme
de la mondialisation, de l’intégration croissante des marchés, des
innovations technologiques et de l’émergence de nouveaux risques comme
les cyber-risques. Toutefois, aujourd’hui ce cadre fait preuve de certaines
limites et faiblesses notamment dans un contexte de ruptures fondamentales
(disruption) caractérisé par la digitalisation des activités, des processus de
décision et des processus de création de valeur, le croisement des données
de masse ou le big data, l’intelligence artificielle, le remodelage de la
cartographie des risques mondiaux et la prise de conscience de la contrainte
de durabilité.
Avec la récurrence des évènements extrêmes comme les crises,
les catastrophes naturelles ou les pandémies, la gestion des risques se trouve
propulsée au-devant des priorités de toutes entreprises. L’atteinte des
objectifs stratégiques qui a façonné et conditionné la culture de maîtrise des
risques dans les organisations se trouve désormais détrônée au profit d’un
objectif de résilience, soit la capacité des organisations à absorber les chocs
et à amortir leurs coûts économiques et sociaux.
LE CONTRÔLE INTERNE
Le contrôle interne est un processus défini et mis en œuvre par l’entreprise
pour ses propres besoins et sous sa responsabilité. Il comprend l’ensemble
des moyens, des comportements, des procédures et des actions permettant à
l’entreprise d’atteindre ses objectifs. Il couvre toutes les activités
administratives et opérationnelles et s’adapte aux caractéristiques de
l’organisation.
Le contrôle interne contribue donc à la maîtrise des activités, à l’efficacité
des opérations et à l’allocation optimale des ressources. Il permet de
prendre en compte les risques significatifs auxquels est exposée
l’entreprise, qu’ils soient opérationnels, financiers ou de conformité.
Enfin, le dispositif de contrôle interne vise plus particulièrement à :
1. atteindre des objectifs et appliquer des orientations stratégiques fixées
par la direction générale ;
2. mettre en place le bon fonctionnement des processus internes afin de
maintenir et conserver la valeur et les actifs de l’entreprise,
et améliorer sa performance ;
3. garantir la qualité et la fiabilité de l’information financière et
comptable ;
4. assurer la conformité des activités et des procédures aux lois et à la
réglementation.
Du contrôle interne au management des risques (Entreprise
Risk Management)
OBJECTIFS DE L’OUVRAGE
L’objectif principal de cet ouvrage est de présenter une approche globale
pour le contrôle interne et la gestion des risques en entreprise. Cet objectif
est atteint à travers un certain nombre d’objectifs intermédiaires, à savoir :
une présentation exhaustive et complète des principaux référentiels de
contrôle interne et de management des risques à l’échelle internationale
(COSO, ISO 31000, accords de Bâle), au sein de l’Union européenne
(directive de Solvabilité II) et dans le contexte français (référentiel de
l’AMF) ;
la maîtrise d’une démarche globale, intégrée et transversale du contrôle
interne et de gestion des risques. Cette démarche permet d’identifier le
portefeuille de risques de l’entreprise, c’est-à-dire les événements
potentiels susceptibles d’entraver la réalisation des objectifs, de maîtriser
les risques en fonction des seuils de tolérance prédéfinis et de garantir
l’atteinte des objectifs de l’organisation ;
une analyse des pratiques du contrôle interne et de gestion des risques
dans les entreprises et une mise en avant des interactions et
interdépendances entre le contrôle interne, l’audit interne et la gestion
des risques ;
une lecture critique de la réglementation en vigueur et des pratiques en
matière de contrôle interne et de gestion des risques à l’épreuve d’un
environnement économique, technologique et écologique en rupture ;
une sensibilisation aux enjeux et aux défis de la digitalisation, des
nouvelles technologies et du big data sur les fonctions de contrôle
interne et de gestion des risques, des phénomènes qui impacteront sans
doute la culture de gestion des risques dans toutes les organisations.
La première partie est ainsi consacrée aux fondamentaux du contrôle
interne. Le chapitre 1 présente les concepts et les principes de base du
contrôle interne en décrivant ses composantes, ses organes et les différentes
étapes de son processus du contrôle interne. Les faiblesses et les limites de
la pratique du contrôle interne sont également envisagées. Le chapitre 2
retrace quant à lui l’évolution historique du cadre international du contrôle
interne, notamment les référentiels COSO I et II. Il présente aussi le cadre
développé par l’autorité des marchés financiers (AMF).
La deuxième partie traite de la pratique du contrôle interne dans les
entreprises à travers la proposition d’un modèle de contrôle interne
couvrant à la fois le cycle d’investissement, le cycle d’exploitation et la
gestion des ressources humaines abordé dans le chapitre 3. Parallèlement, le
chapitre 4 est consacré à l’évaluation du contrôle interne, notamment à
travers une démarche d’audit des risques et une présentation des outils de
description et d’évaluation du système de contrôle interne.
Enfin, la dernière partie met l’accent sur l’articulation entre le système de
contrôle interne et le management des risques, et ouvre le débat sur les défis
et les enjeux de la digitalisation. Le chapitre 5 présente ainsi le référentiel
international et européen de la gestion des risques et analyse le processus de
management en entreprise (ERM). Il se focalise également sur les
démarches de gestion des risques dans le contexte particulier des banques et
des assurances. Enfin, le chapitre 6 présente les perspectives du contrôle
interne à l’ère de la digitalisation.
PARTIE 1
CADRE
DU CONTRÔLE
INTERNE
CHAPITRE 1
1. DÉFINITIONS ET OBJECTIFS
DU CONTRÔLE INTERNE
2. COMPOSANTES ET ORGANES
RESPONSABLES DU CONTRÔLE
INTERNE
Composantes du contrôle interne
Afin de mieux contrôler ses activités, le COSO (cf. chapitre 2) divise les
rôles du contrôle interne en cinq parties. Ces cinq composantes du système
peuvent être déclinées à tous les niveaux de l’organisation : entité, service,
unité opérationnelle, opérateur (entité contrôlée). En d’autres termes, pour
atteindre les objectifs de l’entreprise, le contrôle interne a besoin de ces
cinq éléments.
Environnement de contrôle
Activités de contrôle
Les activités de contrôle sont les règles et procédures qui garantissent que
les orientations de la direction sont appliquées et que les mesures
nécessaires sont prises pour maîtriser les risques susceptibles d’affecter la
réalisation des objectifs.
Opérateurs internes
Auditeurs internes
D’après le conseil d’administration de l’IFACI (2000) : « L’audit interne est
une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de
contrôle et de gouvernement d’entreprise, en faisant des propositions pour
renforcer leur efficacité. »
Les auditeurs internes ont pour mission de veiller à la qualité de
l’information sur laquelle la direction générale apporte ses décisions et à
l’efficacité avec laquelle sont conduites les opérations qui doivent concourir
à la réalisation des objectifs de l’entreprise.
De ce fait, l’objectif de tout auditeur interne est :
d’apporter à la direction générale des garanties quant aux informations
qu’elle peut utiliser et qui proviennent des divisions annexes ;
d’assurer le bon fonctionnement des différents processus productifs ainsi
que l’efficience de l’ensemble des flux informationnels développés au
sein de l’entreprise ;
d’assister tous les éléments productifs de l’entité pour assurer
l’efficience de toutes les structures productives. En effet,
la responsabilité des fonctionnaires dans la réalisation des tâches et
l’analyse objective des recommandations provenant de la direction
générale permettent d’accroître l’efficacité de l’ensemble productif ;
de porter un intérêt à tous les systèmes et sous-systèmes comptables ou
non comptables de l’entreprise. Un tel intérêt est primordial afin
d’assurer une rentabilité et une efficience de l’ensemble des
investissements réalisés.
Il est à noter que c’est à la direction générale de fixer les fonctions et les
limites des auditeurs internes.
Opérateurs externes
Exemples de réglementations
• Les réglementations comptables imposent aux entreprises d’établir et de
maintenir des systèmes de contrôle interne répondant à des objectifs
spécifiques.
• Les réglementations relatives aux institutions financières et d’assurance
imposent aux commissaires aux comptes (auditeurs externes) d’émettre un
rapport sur l’évaluation du système de contrôle interne et de le communiquer
aux autorités de surveillance (Banque centrale, ministère des Finances,
conseil du marché financier, etc.).
• Les institutions financières sont tenues de mettre en place un système de
contrôle interne, d’appliquer les règles prudentielles dans leurs activités
commerciales et de communiquer les rapports d’audit (rapports généraux et
rapports spéciaux) à la Banque centrale.
Le périmètre du contrôle interne doit en premier lieu être défini. Cette étape
constituera sa colonne vertébrale.
Les trois plans suivants fournissent un cadre de démarrage clair et complet :
le cadre géographique, qui permet d’inclure formellement les lieux sous
contrôle interne ;
les activités ou processus impliqués ;
les risques que le contrôle interne permettra de mieux maîtriser.
Par conséquent, trois questions fondamentales doivent être posées pour
définir ce périmètre d’action :
Quels sites et filiales sont concernés ?
Quelles activités sont impliquées ?
Quels risques le contrôle interne réduira-t-il ?
Évaluation des risques
Tous les risques ne sont pas égaux et toutes les entreprises ne sont pas
exposées de la même manière. Par conséquent, il est nécessaire d’évaluer le
risque en fonction de la situation réelle de l’organisation pour définir si les
mesures de contrôle sont suffisantes et s’il est nécessaire d’ajouter des
contrôles.
Bien que cette étape ne soit pas obligatoire et puisse sembler longue,
l’établissement de la « criticité » permet de classer les risques en fonction
de leur importance. Cette « criticité » prend notamment en compte la
possibilité de survenance du risque et l’impact s’il survient.
Par exemple, lors de l’édition de la paie, il est très probable que des erreurs
soient commises, mais ce risque a un impact relativement faible sur la
survie de l’entreprise. Au contraire, pour les établissements bancaires,
le risque de fraude aura un impact significatif et si aucune mesure de
contrôle n’est prise, ce risque est également susceptible de survenir. Le
risque sera alors sérieux, avec un score maximum de 90, soit une priorité
absolue.
Traitement des risques
À cette étape, l’objectif est de décrire les moyens de maîtrise requis afin de
réduire les risques : actions de contrôle, processus, procédures,
réglementations, etc. Il ne s’agit en aucun cas de créer un grand nombre de
documents qui seront oubliés en rayon, mais d’opérer une sélection.
Par exemple, lorsque plusieurs services travaillent ensemble, il est utile de
décrire le processus transversal pour améliorer la coopération entre les
services et réduire les risques dus à une mauvaise coordination.
La documentation d’un moyen de maîtrise doit ainsi permettre :
de réduire les erreurs ;
d’élargir les responsabilités des collaborateurs ;
de vérifier que le contrôle est toujours effectué de manière homogène ;
d’assurer la continuité des activités en cas d’absence des collaborateurs.
Il n’existe pas de modèle spécifique à suivre pour mettre en place cette
documentation : il peut s’agir d’une simple check-list, d’un règlement
complet ou même d’une vidéo explicative. L’essentiel est de trouver la
bonne forme, celle qui apportera une valeur ajoutée par sa clarté.
Le niveau d’assurance peut être plus élevé pour la réalisation des objectifs
de fiabilité des informations financières et de conformité aux lois et
règlements applicables que pour l’objectif de réalisation et d’optimisation
des opérations.
La réalisation des objectifs de fiabilité et de compliance fondée sur des
normes générales, imposées à tous, dépend ainsi principalement de la
qualité des procédures, de la volonté et de la compétence de l’entreprise. En
revanche, la réalisation des objectifs liés aux opérations n’est pas toujours
de la seule responsabilité de l’entreprise.
Jugement
Exemples de dysfonctionnements
• Un responsable du service comptable chargé d’enquêter sur les écarts peut
oublier de le faire ou ne pas aller assez loin dans l’enquête pour prendre les
mesures appropriées.
• Le personnel intérimaire (temporaire), qui remplit des fonctions de contrôle
pour remplacer les employés malades ou en vacances, peut ne pas s’acquitter
correctement de ses tâches.
• Des changements dans les systèmes peuvent être introduits avant que le
personnel n’ait été formé pour réagir correctement aux premiers signes de
dysfonctionnement.
La mise en œuvre d’un bon système de contrôle interne au sein d’une entité
se heurte parfois au comportement et à la moralité des dirigeants,
constituant alors un obstacle fondamental.
Le verbe « outrepasser » est ici employé pour désigner la déviation
illégitime des normes et procédures prescrites. Le chef d’une division ou
d’une unité, ou un dirigeant, pourrait donc être amené à outrepasser le
système de contrôle interne pour de nombreuses raisons : augmenter
fictivement les recettes et dissimuler un déclin imprévu de la part de
marché, augmenter artificiellement les bénéfices afin d’atteindre un budget
irréaliste, augmenter la valeur d’une entreprise en prévision de sa vente ou
d’une offre publique…
Collusion
Rapport coûts-avantages
(coûts de contrôle)
1. RÉFÉRENTIEL COSO
À l’échelle internationale, il existe un certain nombre de référentiels et de
modèles conceptuels pour assurer la mise en œuvre du contrôle interne. Les
plus largement utilisées sont les référentiels publiés par le Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
La première version date de 1992, puis une mise à jour a eu lieu en 2013.
Le référentiel COSO-ERM (Enterprise Risk Management) sur le
management des risques est pour sa part publié en 2004. Ce dernier permet
alors la conception, la mise en place et le pilotage, ainsi que l’évaluation de
l’efficacité du management des risques. Il est a noté qu’il a fait l’objet d’une
mise à jour en 2017 (cf. chapitre 5).
À l’échelle nationale, un autre référentiel d’audit interne a été publié sous
l’égide de l’Autorité des marchés financiers (AMF) en 2007. La mise à jour
en 2013 de ce cadre de référence de l’AMF a permis d’améliorer la
cohérence des concepts sous-jacents aux travaux du comité d’audit,
du contrôle interne et de la gestion des risques.
Enfin, le modèle des « trois lignes de défense » moralisé par l’Institute of
Internal Auditors (IIA), traduit et publié en 2013 en français par l’Institut
français de l’audit et du contrôle internes (IFACI) et l’Association pour le
management des risques et des assurances de l’entreprise (AMRAE),
prévoit une classification simple et efficace des différentes parties prenantes
dans les processus du management des risques et une clarification de leurs
rôles.
Le référentiel COSO est ainsi une approche qui définit les fondamentaux de
l’audit interne, mais qui permet aussi de mieux refléter l’évolution de
l’environnement réglementaire et économique dans lequel évoluent les
organisations et les nouveaux risques auxquels elles sont confrontées.
Référentiel COSO mis à jour en 2013
Une importante mise à jour du COSO a été publiée le 14 mai 2013. Bien
que cette mise à jour soit basée sur les principes de la version originale, elle
est destinée à prendre en compte les évolutions des environnements et à
accroître les attentes en matière de contrôle interne.
Le référentiel COSO de 2013 « propose [alors] trois catégories d’objectifs,
[permettant] aux organisations de prendre en compte différents aspects du
contrôle interne :
objectifs liés aux opérations : ils concernent l’efficacité et l’efficience
des opérations. Il s’agit notamment des objectifs de performance
opérationnelle et financière, ainsi que de sauvegarde des actifs ;
objectifs liés au reporting : ils concernent le reporting interne et externe,
financier et extra-financier. Ils peuvent viser la fiabilité, le respect des
délais, la transparence ou d’autres exigences des régulateurs, des
organismes de normalisation reconnus ou des instructions internes ;
objectifs liés à la conformité : ils concernent le respect des lois et
règlements applicables à l’entité3. »
Les principaux changements apportés par cette nouvelle version du
référentiel sont la déclinaison des cinq composantes du contrôle interne en
dix-sept principes sous-jacents. Ces principes ont pour but d’identifier les
nouveaux niveaux de risques auxquels les entreprises sont désormais
confrontées en prenant notamment en compte les différentes évolutions
technologiques, les risques liés à la maîtrise de la fraude et à la qualité des
relations que l’organisation établit avec ses partenaires externes en général.
Tous ces principes étant directement dérivés des différentes composantes,
en les appliquant tous, une entreprise peut mettre en œuvre un contrôle
interne efficace. Ce lien entre les principes et les composantes est de
nouveau représenté sous forme d’un cube où « les trois catégories
d’objectifs – liés aux opérations, au reporting et à la conformité – sont
représentées par les colonnes ; les cinq composantes du contrôle interne
sont représentées par les lignes horizontales de la face avant du cube ;
[tandis que] la structure organisationnelle de l’entité s’inscrit dans la
troisième dimension du cube4 ».
Figure 2.3 – Cinq composantes du contrôle interne et structure organisationnelle de l’entité
COMPOSANTES
DU CONTRÔLE 17 PRINCIPES
INTERNE
2. RÉFÉRENTIEL AMF
L’AMF (Autorité des marchés financiers) a publié un autre cadre de
référence des dispositifs de gestion des risques et de contrôle interne publié
en 2007. Ce cadre a fait l’objet d’une nouvelle version actualisée en 2010.
En se basant sur deux référentiels reconnus tels que le COSO et le Turnbull
Guidance, ce cadre présente des principes généraux de contrôle interne et
de gestion des risques, ainsi qu’un guide d’application relatif au contrôle
interne et à la gestion des risques de l’information comptable et financière.
Dans son cadre, l’AMF définit ainsi le contrôle interne comme
« un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il
comprend un ensemble de moyens, de comportements, de procédures et
d’actions adapté aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et
à l’utilisation efficiente de ses ressources ;
doit lui permettre de prendre en compte de manière appropriée les
risques significatifs, qu’ils soient opérationnels, financiers ou de
conformité.
Le dispositif vise plus particulièrement à assurer :
la conformité aux lois et règlements ;
l’application des instructions et des orientations fixées par la direction
générale ou le directoire ;
le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières. »
Un système de contrôle interne suffisant doit être correctement conçu et
appliqué de manière systématique et permanente. Ainsi, une bonne
conception du système de contrôle interne suppose la mise en œuvre de
procédures de contrôle (spécifiques) en adaptation avec l’activité de la
société permettant d’atteindre les objectifs de contrôle interne.
Par ailleurs, le contrôle interne repose sur des règles de conduite ou de
principes dont le respect lui confère une qualité satisfaisante. Il s’agit de
onze principes fondamentaux.
1. Principe d’avantages supérieurs au coût.
2. Principe d’organisation.
3. Principe d’intégration.
4. Principe d’autocontrôle.
5. Principe de permanence.
6. Principe d’universalité.
7. Principe d’indépendance.
8. Principe de légalité.
9. Principe d’information.
10. Principe de communication.
11. Principe d’harmonie.
Principe d’organisation
Principe d’intégration
Principe d’autocontrôle
Principe de permanence
L’organisation doit bénéficier d’une stabilité suffisante pour que le contrôle
interne puisse fonctionner efficacement.
Attention cependant : le principe du contrôle interne ne signifie pas
immutabilité. En effet, le contrôle interne contribue au développement et
subit les contraintes de l’environnement, ce qui nécessite l’adaptation des
procédures pour répondre aux nouvelles exigences, aux changements et aux
nouveaux risques.
Principe d’universalité
Principe d’indépendance
Le principe d’indépendance implique que le contrôle interne est régi par des
règles objectives et poursuit des buts invariables. Le contrôle ne peut tolérer
aucun subjectivisme ou limitation avouée ou non.
Principe de légalité
La conformité de l’entreprise aux différentes réglementations qui lui sont
applicables est un principe qui régit tout système efficace de contrôle
interne.
En effet, seules les activités effectuées en conformité avec les
réglementations en vigueur peuvent être organisées selon des principes et
des règles du contrôle interne.
Principe d’information
Principe de communication
Principe d’harmonie
Enfin, le contrôle interne doit être conçu en proportion avec la taille de
l’entreprise et en adéquation avec ses risques, ses moyens,
ses caractéristiques et son environnement.
Le principe d’harmonie fait prévaloir le bon sens pour que le contrôle
interne soit adapté aux ressources de l’entreprise, aux sécurités recherchées
et au coût des contrôles.
L’audit interne est défini par la norme ISO 19011, norme internationale qui
établit des directives pour les systèmes de gestion de l’audit. Au sens
littéral, elle peut se résumer de la manière suivante : « l’audit correspond à
une évaluation par une personne compétente d’une activité ou d’un
processus afin de vérifier sa conformité par rapport à un référentiel donné ».
Selon l’Institut des auditeurs internes (IIA), l’audit interne est « une activité
objective et indépendante, qui donne à une organisation l’assurance du
degré de contrôle sur ses opérations, la conseille pour s’améliorer et
contribue à créer de la valeur. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche méthodique et systématique,
les processus de gestion des risques, de contrôle et de gouvernance
d’entreprise, et en faisant des propositions pour améliorer son efficacité ».
L’audit interne a donc lieu lorsque l’entreprise souhaite évaluer ses propres
systèmes et procédures afin de détecter des dysfonctionnements et les
résoudre. En ce sens, il concerne toutes les activités d’une entreprise et a
également pour objectif l’assurance de la bonne gestion des risques.
L’audit interne est donc rattaché à la direction générale et est mené par un
auditeur interne. L’auditeur interne rédige l’ensemble de ses observations
dans un rapport d’audit, rapport dans lequel il suggère de nouvelles
solutions pour améliorer les processus, définit des objectifs afin d’améliorer
l’efficacité de l’organisation et apporte de la valeur ajoutée.
Enfin, l’audit interne peut se présenter sous trois formes principales qui
diffèrent selon leurs objectifs.
1. Audit comptable et financier : il s’agit d’un audit qui a pour rôle de
contrôler la régularité, la fiabilité et la sincérité des comptes d’une
organisation par rapport à la législation. En effet, le dirigeant a besoin
de s’assurer de la fiabilité des informations financières, de déceler les
insuffisances des organisations comptables actuelles et de les
améliorer. Ainsi, l’évitement des fraudes et des détournements
apparaît comme une nécessité.
2. Audit opérationnel : qualifié comme « opérationnel », cet audit porte
sur la gestion et le fonctionnement d’une entreprise, et s’intéresse plus
particulièrement à l’évaluation de la performance d’un processus,
d’un service ou d’un produit et à son efficacité. Il s’applique à
l’ensemble des éléments et peut se présenter sous différents aspects
(audit social, audit contractuel, etc.).
3. Audit juridique et fiscal : l’organisation doit avoir des politiques et des
modes organisationnels qui définissent ses relations à la
réglementation. En d’autres termes, cet audit a pour but de vérifier la
non-conformité des décisions qui sont prises en interne à l’égard de la
loi et des règlements en vigueur.
Les audits internes sont jugés perspicaces s’ils détectent au plus tôt les
problèmes en vue globale de l’organisme.
L’audit externe peut être qualifié d’audit tierce partie. Doté d’un rôle
« officiel », il doit obéir à des règles précises garantissant leur impartialité
et leur reproductibilité. Il est assuré par un organisme indépendant de celui
audité, principalement par des audits de certification (réalisés par exemple
par l’Association française de normalisation, le Comité français
d’accréditation pour l’obtention de certifications telles que ISO 14001, ISO
45001, ISO 9001, etc.). Cependant, la loi ou la réglementation peut imposer
un audit externe aux organisations, notamment celles cotées en Bourse qui
sont tenues d’établir des états financiers audités.
L’audit financier et comptable externe est donc un examen indépendant et
formel de la qualité de l’information financière d’un organisme. Pouvant
être réalisé par les commissaires aux comptes, ces derniers sont alors
chargés d’établir l’examen de l’organisme en portant un jugement objectif
sur la pertinence des rapports et la crédibilité des états financiers. Mais les
travaux d’audits externes peuvent varier selon les objectifs, d’où l’existence
de différents types d’audit : audit légal des états financiers, missions d’audit
spéciales, missions d’examen (procédures convenues à l’avance), missions
d’examen limitées et de compilation.
Enfin, l’audit externe est soumis à des normes et réglementations nationales
et internationales. L’auditeur réalise un travail contentieux en vue de
s’assurer que les états financiers d’une institution ne présentent aucune
anomalie significative. Une donnée est qualifiée de significative si son
omission ou son inexactitude peut influencer la décision des destinataires
des états financiers.
Le contrôle budgétaire est un outil de contrôle par les résultats. Il repose sur
la logique du contrat, selon laquelle la fixation d’objectifs (le contrat) inclut
le suivi des résultats.
La logique du contrôle budgétaire repose donc sur le calcul des écarts (entre
objectifs fixés et résultats) mais aussi sur les origines de ceux-ci,
notamment en termes de responsabilité (qui est le responsable). Ce contrôle
permet alors à l’entreprise de connaître sa progression vers ses objectifs et
de réagir pour à terme évaluer les performances des acteurs, améliorer les
bases des prévisions et la qualité des choix stratégiques.
Le contrôle budgétaire comprend par ailleurs l’élaboration des différents
budgets tels que les budgets opérationnels (ou fonctionnels) qui traduisent
les actions relatives aux différents services :
le budget des ventes : il permet de prévoir les quantités mensuelles et les
prix de vente unitaires en s’appuyant sur une analyse des ventes passées
et de l’environnement de l’entreprise (marché, concurrence, cycle de vie
des produits, comportement des consommateurs, etc.) ;
le budget de production : il permet de prévoir les quantités à produire
ainsi que les coûts à imputer ;
le budget d’approvisionnement : il permet d’estimer les achats
nécessaires à la production ;
le budget d’investissement : il permet d’estimer les acquisitions des biens
immobilisés ;
le budget financier : il permet de prévoir les flux de financement ;
le budget de trésorerie : il permet d’étudier les échéances à venir et les
potentielles difficultés de trésorerie (créances escomptées, négociation
de concours ou crédits bancaires, etc.).
Le contrôle budgétaire vise aussi à établir le compte de résultat et le bilan
prévisionnel afin de dégager par anticipation les résultats et la situation de
l’entreprise en cas de réalisation des prévisions.
4. CONVERGENCES, DIVERGENCES
ET COMPLÉMENTARITÉS
S’intéresse principalement à
S’intéresse aux systèmes et
Finalité l’information : contrôle le
procédures : contrôle le processus
de contrôle résultat du processus
lui-même
organisationnel
CAS D’ENTREPRISE
CAS D’ENTREPRISE
PRATIQUE
DU CONTRÔLE
INTERNE
EN ENTREPRISE
CHAPITRE 3
Modèle de contrôle interne
des activités classiques
Les activités classiques de long terme comme les acquisitions
d’éléments d’actif immobilisé (corporel, incorporel et financier)
constituent le cycle d’investissement de l’entreprise. Tandis que les
activités de court terme comme les achats, les ventes ou encore la
gestion de stock relèvent du cycle d’exploitation.
La mise en pratique du contrôle interne couvre ainsi toutes les
structures de l’entreprise et ses activités. Aussi bien le cycle
d’investissement que celui d’exploitation font l’objet de contrôle
interne. Par ailleurs, le contrôle interne porte sur la gestion des
ressources humaines et couvre les procès d’embauche des
employés, de gestion de la paie et de gestion du personnel.
Aspects essentiels
Dans le cadre du cycle d’investissement de l’entreprise, le contrôle interne
consiste ainsi à :
contrôler les investissements engagés ;
contrôler l’utilisation et l’utilité des immobilisations ;
permettre à la comptabilité des investissements, d’être constamment
informée ;
procéder à des mises en rebut ;
s’assurer que les investissements sont réalisés en conformité avec la
réglementation, notamment celle liée à la protection des travailleurs, à
leur sécurité et à la protection de l’environnement.
Procédures administratives
Sélection des investissements
Commandes aux fournisseurs
Réception des commandes
Enregistrement des factures
Paiement des factures
Acompte à la commande
Les procédures doivent prévoir à qui sont versés les acomptes et vérifier les
versements effectués pour s’assurer qu’ils sont conformes aux conventions
conclues avec les fournisseurs.
Bon à payer
À la suite de la vérification de la conformité entre la facture, le bon de
commande, le bon de réception et éventuellement le bon de livraison du
fournisseur, il doit être établi un bon à payer sur l’original de la facture.
Cela permet de s’assurer de la prise en compte, dans tous les cas,
au moment des paiements, des acomptes versés à la commande.
Règlements des factures
Quel que soit le mode de règlement habituellement utilisé par l’entreprise,
la personne qui signe les documents attestant des paiements (comme les
chèques) doit être certaine que la facture sera payée et que les délais prévus
seront respectés.
Annulation des factures
Le responsable qui signe le titre de paiement doit porter systématiquement
un cachet mentionnant celui-ci et viser l’original de manière à ce qu’il ne
puisse pas être payé une deuxième fois.
Conservation des immobilisations
Entretien et maintenance
Par la suite, les procédures de contrôle interne doivent prévoir des mesures
pour que les immobilisations soient maintenues dans un excellent état
permettant la meilleure utilisation possible. Par exemple : un service
d’entretien, un contrat de maintenance, des inspections périodiques pour les
entreprises géographiquement décentralisées ou encore des fiches
d’entretien.
Assurance
Les nouvelles acquisitions des immobilisations doivent enfin être
immédiatement couvertes par un contrat d’assurance.
Inventaire des immobilisations
Cycle achats-fournisseurs
2 S’assurer que les besoins exprimés font La demande d’achat est établie par le
l’objet d’une demande d’achat ou magasinier et est basée sur des stocks
minimum/maximum par le service achat
d’autres documents adéquats en en fonction des exigences de la
nombre d’exemplaires suffisant. production.
3 Vérifier que le dépouillement L’entreprise doit fournir ses instructions sur les
des offres et l’établissement du règles relatives à l’acceptation des offres, à la
tableau comparatif sont lecture et à la classification des offres reçues.
exécutés correctement. De plus, les tableaux comparatifs établis doivent
être accompagnés des documents utilisés pour
leur établissement.
La commande doit être :
– prénumérotée ;
– datée ;
– vérifiée par une autre personne que celle
qui l’a créée ;
– signée par une personne compétente.
Pour ce faire, le bon de commande doit :
Vérifier que le bon de – inclure une description détaillée de la
6 commande est correctement nature et des caractéristiques des produits,
établi. l’étendue des services et les prix
correspondants ;
– comporter la date de livraison estimée
prévue ;
– inclure la décharge d’acceptation du
fournisseur ;
– communiquer avec les fournisseurs et
autres destinataires en temps opportun
(comptables, magasinier, etc.).
1 S’assurer que les factures des Les factures des fournisseurs doivent être
fournisseurs sont correctement reçues et répertoriées par le bureau d’ordre afin
vérifiées et enregistrées. de bien distinguer les factures originales des
copies.
1 S’assurer que les Dès réception de tous les documents requis, le service
factures des financier effectue une seconde vérification arithmétique
fournisseurs sont et documentaire. Ce contrôle doit être effectué par
correctement vérifiées l’apposition du cachet « contrôle : service financier ».
et enregistrées.
Les factures doivent être payées conformément aux
conditions générales du fournisseur et à la
réglementation en vigueur (fiscale et légale).
Protection des stocks
Instructions d’inventaire
Évaluation des stocks
Cycle ventes-clients
Tableau 3.8 – Livraison
Tableau 3.9 – Facturation
N° OBJECTIF MOYENS À METTRE EN ŒUVRE
3. CONTRÔLE INTERNE
DES RESSOURCES HUMAINES
Le contrôle interne doit s’assurer que :
les risques liés aux ressources humaines sont bien maîtrisés, ce qui peut
avoir un effet considérable sur l’efficacité de l’entreprise, et vérifier qu’il
y a une pleine compréhension des facteurs clés de performance ;
la gestion des objectifs est efficace pour prouver l’utilité de chaque
membre du personnel (s’il a atteint les objectifs qui lui sont assignés et
s’il a contribué efficacement à réaliser les objectifs stratégiques de
l’entreprise) ;
les tâches et les services sont exécutés à une bonne vitesse (gérer les
difficultés avec une bonne vitesse de réponse, résoudre les problèmes,
découvrir et gérer rapidement de nouveaux risques) ;
une communication rapide et efficace est mise en place entre les
départements et les individus ;
une bonne collaboration entre le service en charge des ressources
humaines et tous les services est présente pour atteindre les objectifs de
l’entreprise ;
les employés sont qualifiés lors du processus de recrutement et en temps
de travail ;
une supervision et un contrôle efficaces du personnel sont effectués ;
la pleine utilisation du personnel et les dépenses supplémentaires dues à
un personnel excessif ne sont pas autorisées ;
l’entreprise prend les mesures nécessaires pour retenir et attirer les
meilleurs talents en compétences et en comportements ;
les collaborateurs ont les moyens nécessaires au développement de leurs
compétences et à l’amélioration de leurs comportements ;
la gestion du personnel est efficace et suffisante ;
les calculs et l’établissement des déclarations salariales et sociales et
fiscales liées aux salaires sont fiables ;
une prévention efficace des risques d’éventuels accidents du travail et de
maladies professionnelles est prévue ;
la gestion des ressources humaines est conforme à la loi.
Dans ce cadre, sauf pour un contrôle de rémunération équivalent, les
fonctions suivantes ne peuvent pas être combinées par la même personne :
fonction d’enregistrement : préparer et vérifier les calculs des bulletins
de paie ;
fonction opérationnelle : déterminer le niveau de salaire, autoriser les
primes et les heures supplémentaires ;
fonction conservation : distribuer une enveloppe de paie.
Ainsi, le processus de gestion des ressources humaines comprend les étapes
suivantes.
1. Embauche des employés.
2. Préparation et établissement de la paie.
3. Calcul des salaires.
4. Paiement et comptabilité des salaires.
5. Gestion des ressources humaines.
6. Gestion des dossiers des personnels et des formulaires de congé.
S’assurer que les dossiers Les dossiers des personnels doivent être
1 des personnels sont mis à constamment mis à jour (promotions, sanctions,
jour. changements de situation familiale, etc.).
Le contrôle de gestion a pour but d’évaluer les résultats en fonction des objectifs fixés et
d’assurer une utilisation efficace et efficiente des ressources pour atteindre les objectifs
de l’entreprise.
Les responsabilités du service de contrôle de gestion sont définies comme suit :
participer à la conception de la structure de l’entreprise et du système d’information
de gestion ;
faire fonctionner correctement le système d’information ;
assurer l’efficience des fonctions de l’entreprise (la productivité) et évaluer son
efficacité en fonction des objectifs ;
utiliser les outils suivants pour définir des règles, des standards de gestion et des
indicateurs de performance : les tableaux de bord, les budgets et d’autres outils d’aide
à la décision.
Le contrôle de gestion et l’audit interne sont complémentaires. S’il n’y a pas de garantie
minimale de la qualité des informations transmises au contrôle de gestion qui est du
domaine de l’audit, le contrôle de gestion ne fonctionnera pas. Le contrôle de gestion
dans le cadre de l’environnement de contrôle interne sera examiné par l’auditeur.
Le contrôle de gestion vérifie l’efficacité du budget de l’audit interne (pour tout service)
et la comparaison avec ses réalisations.
Audit de gestion
Compte tenu des conclusions tirées, il s’agit peut-être de l’audit le plus connu du public.
Le but de l’audit de gestion est de fournir des preuves de fraude, de détournement ou de
gaspillage, ou de porter des jugements importants sur les opérations de gestion ou la
performance des individus ou du personnel.
Contrôle des comptes
Enfin, en fonction du niveau de confiance obtenu lors des étapes précédentes et du niveau
de risque déterminé, un contrôle des comptes est adopté pour chaque type de transaction
et chaque objectif.
La vérification des comptes, le contrôle des documents de synthèse, le suivi des états
financiers et les activités postérieures étant achevées, l’auditeur peut alors se forger une
opinion pouvant se concrétiser par la rédaction d’un rapport.
Risques d’audit
Le modèle d’audit basé sur les risques suppose que le risque d’audit suit la formule
suivante :
RA = RI × RC × RND
Risque d’audit (RA) : les auditeurs expriment des opinions erronées en raison
d’erreurs significatives contenues dans les états financiers (taux maximum 5 %).
Risque inhérent (RI) : malgré l’existence de contrôles internes, il peut encore y avoir
des erreurs significatives dans le compte ou le solde d’un certain type de transaction.
Le risque inhérent dépend de la nature de l’activité, de la société auditée, de la nature
du solde du compte ou du type de transaction et de la complexité de l’opération.
Risque lié au contrôle (RC) : les systèmes comptables et de contrôle interne ne
parviennent pas à planifier à temps ou à détecter des erreurs majeures dans les soldes
de comptes ou les catégories de transactions.
Risque de non-détection (RND) : le contrôle substantiel mis en œuvre par l’auditeur ne
parvient pas à détecter des erreurs dans le solde du compte ou la catégorie de
transaction. Le risque non détecté dépend de l’auditeur, qui est défini par lui-même
selon les risques inhérents et liés au contrôle.
Description détaillée
La description détaillée du système et des procédures de contrôle interne est une étape
supplémentaire à la prise de connaissance générale. En effet, l’auditeur saisit à cette étape
toutes les méthodes et procédures liées à l’organisation comptable, à la préparation et à la
présentation des états financiers. L’auditeur ne s’intéresse alors qu’aux procédures de
contrôle interne liées à l’audit. Pour ce faire, il utilise une méthode narrative
(mémorandum) ou une méthode schématique basée sur un organigramme (flow-chart).
Évaluation initiale
Contrôle des fonctions
Par la suite, l’auditeur s’assure que les avantages théoriques sont appliqués en
permanence. Il effectue alors un test permanent.
Évaluation finale
Lors de la phase d’évaluation finale du système de contrôle interne, l’auditeur peut
déterminer les faiblesses, les points forts théoriques et non appliqués, ainsi que les points
forts théoriques et appliqués.
Les auditeurs s’intéressent aux procédures de contrôle interne qui sont principalement
liées aux différents comptes comptables constituant les états financiers à auditer. Les
auditeurs étant intéressés par tous les comptes comptables conduits de manière non-
isolée, il est nécessaire de décomposer les opérations de l’entreprise en plusieurs cycles
ou modules. En conséquence, diviser l’entreprise en un cycle ou un module permet à
l’auditeur de saisir les procédures en fonction du type d’opération du début à la fin d’une
opération.
Les différents cycles d’opérations d’une entreprise dépendent de sa taille et du secteur
dans lequel elle opère. Cependant, toutes les entreprises ont un cycle d’exploitation
commun, à savoir les achats, les ventes, la paie et les stocks (ce dernier est considéré
comme acyclique et fait l’objet d’un contrôle spécifique, mais il doit être subdivisé car il
est important de le prendre en compte).
L’auditeur peut utiliser les moyens suivants pour saisir les procédures de contrôle
interne :
la révision des documents existants ;
les interviews (entretiens) ;
les excursions sur le terrain et les observations directes ;
l’emploi de questionnaires.
Ces moyens doivent être utilisés en combinaison.
Examen de la documentation existante
Lors de la phase d’évaluation du système de contrôle interne, l’auditeur est tenu de
consulter les documents existants de l’entreprise, tels que :
• le manuel de procédure ;
• l’organigramme de la société ;
• les notes internes ;
• les notes de service ;
• les anciens rapports d’évaluation du contrôle interne ;
• les autres rapports de diagnostic et d’audit.
Manuel de procédures
Le manuel de procédures est un document interne de l’entreprise. Il décrit en détail la nature et
le contenu des tâches à effectuer pour chaque opération de la société. La description de la
méthode utilisée consiste alors à spécifier pour chaque tâche les principales actions
à entreprendre pour la réaliser.
L’existence d’un manuel de procédures interne à l’entreprise est un signe extérieur d’une gestion
efficace et saine. Il permet notamment :
– d’assurer la régularité des traitements des opérations ;
– d’améliorer la productivité des employés ;
– de rendre les employés capables d’accomplir leurs tâches en définissant clairement les
postes ;
– de promouvoir la formation des nouveaux employés ;
– d’améliorer la fiabilité des informations générées ;
– de mettre en place un contrôle interne efficace.
L’organigramme est quant à lui un schéma qui permet de représenter l’organisation d’une
entreprise ou d’un service.
Utilisation de questionnaires
Exemple de questionnaire
Questionnaire de contrôle des stocks
RÉFÉRENCE
PROGRAMME DE
RÉF. OUI OU
QUESTIONS NON COMMENTAIRES VÉRIFICATION
DIAG. N/A
DES
PROCÉDURES
1. Le responsable
des stocks est-il
une autre
personne que le
comptable ?
2. Le responsable
de l’affaire
examine-t-il les
différences
constatées ?
4. Des inventaires
physiques
périodiques sont-
ils effectués ?
5. Un système
d’inventaire
permanent est-il
utilisé ? En
quantité ou en
valeur ?
6. Les couvertures
d’assurances sont-
elles suffisantes
compte tenu du
niveau des
stocks ?
Absence de suivi des commandes en cours. Mettre en place un suivi des commandes en
cours.
Dossiers du personnel non mis à jour de Mettre à jour de façon permanente les
manière permanente. dossiers de personnel.
Exemple 2
Au cours de sa mission, l’auditeur de la société ALPHA a détecté les risques suivants.
FAIBLESSES RISQUES
Absence de contrôle inopiné par une Non-détection à temps des erreurs et des
personne indépendante de la caisse. fraudes.
Exemple 3
Les réponses au questionnaire d’évaluation du contrôle interne ont permis à l’auditeur de la
société BETA de relever les faiblesses et les risques suivants.
FAIBLESSES RISQUES
– Mauvaise exécution.
Bons de commande non établis en quantités
et en valeurs. – Collusion et conflits avec les
fournisseurs.
– Pertes de créances.
Limites de crédit non fixées.
– Litiges avec les clients.
Les techniques que les auditeurs peuvent utiliser pour saisir les procédures de contrôle
interne sont les suivantes :
un mémorandum ;
un diagramme de circulation ;
une grille d’analyse des tâches.
Mémorandum
Le mémorandum est une description narrative des procédures de contrôle interne. Grâce
au mémorandum, l’auditeur peut rédiger un résumé écrit des entretiens et des documents
qu’il a recueillis et consultés.
Avantages : le mémorandum permet aux auditeurs d’avoir un certain degré de flexibilité
dans le dialogue avec divers fonctionnaires et de jouir d’une certaine discrétion dans les
faits et les procédures.
Inconvénients : le mémorandum n’est recommandé que dans des situations simples. En
effet, il n’est pas conseillé d’utiliser un mémorandum pour saisir des procédures longues
et compliquées, auquel cas il sera nécessaire d’utiliser d’autres techniques. De plus, le
mémorandum doit être rédigé dans un certain style de langage de sorte que tous les
collaborateurs de l’auditeur ne puissent pas l’utiliser.
Diagramme de circulation
Un diagramme de circulation est une description graphique d’un groupe d’opérations. Le
diagramme de circulation suit ainsi la progression des documents générés par ces
opérations dans l’ordre chronologique.
Avantages : la méthode graphique permet d’acquérir une connaissance approfondie du
dispositif étudié et de déterminer rapidement ses principaux avantages et inconvénients.
La préparation du diagramme de circulation conduit à la formalisation et à la discipline,
ce qui aide l’auteur à analyser ses connaissances.
Inconvénients : certaines opérations ne conviennent pas à la description graphique. Il
s’agit d’une méthode longue à mettre en œuvre et qui nécessite de la logique, de la
prudence et de l’expérience. Trop de détails affecteront la clarté du diagramme.
Exemple 3
• Obtenir des relevés bancaires auprès de 15 banques.
• Photocopier les relevés.
• Réconcilier les copies et les grands livres.
Grille d’analyse des tâches
La grille d’analyse répond simplement à la question suivante : qui fait quoi ? Elle est
ainsi un outil indispensable pour détecter les fonctions incompatibles.
TÂCHES FONCTIONS
EFFECTUÉES
OPÉRATIONNELLE CONSERVATION ENREGISTREMENT CONTRÔLE
PAR LE
RESPONSABLE
Établissement
X
de la commande
Rapprochement
entre les
factures et les X
bons de
commande
Règlement du
X
fournisseur
Exemple 2
À partir de la grille d’analyse, l’auditeur a pu remarquer que les responsables cumulaient des
fonctions incompatibles (opérationnelle, conservation, enregistrement, contrôle).
TÂCHES
OPÉRATIONNELLE CONSERVATION ENREGISTREMENT CONTRÔLE
CUMULÉES
Comptable –
inventaire X X
physique
Livreur –
encaissement X X
des factures
Magasinier –
négociation
X X
des
commandes
Financier –
embauche X X
du personnel
Test de conformité
Une fois que les procédures du contrôle interne sont décrites et saisies sous forme de
narration (mémorandum) et/ou de diagrammes schématiques (diagramme de circulation),
les auditeurs doivent enfin s’assurer que les procédures qu’ils estiment nécessaires sont
les mêmes que les procédures réelles de l’entreprise.
À cet effet, l’auditeur doit effectuer des tests de conformité afin de vérifier que chaque
procédure instruite par l’entreprise, et inscrite au niveau de la note ou de l’organigramme,
est conforme à la situation réelle utilisée au sein de l’entreprise. Cela permettra aux
auditeurs d’éviter les malentendus sur les procédures décrites par les responsables et
d’éviter de s’engager dans des procédures incompatibles avec les opérations réelles.
Principes
Au cours du processus d’audit, l’auditeur prend des risques durant la matérialisation de sa
compréhension du système déformant la réalité. Afin d’éviter d’exécuter d’autres étapes
de son travail sur de mauvaises bases, l’auditeur s’assure que sa description correspond à
la situation réelle.
Modalités
Certains des moyens que les auditeurs peuvent utiliser pour vérifier l’existence de
procédures de contrôle comprennent :
• l’observation directe : observer le processus de fonctionnement de la procédure ;
• la confirmation verbale : rester en contact avec les exécutants impliqués dans la
procédure de contrôle pour confirmer l’avancement de la procédure ;
• l’observation a posteriori : tracer la séquence du cheminement de la procédure
indiqué dans l’organigramme de circulation (ou mémorandum) en vérifiant les
différentes opérations réalisées.
Importance quantitative du test
Le test de conformité permet de vérifier l’existence de la procédure en cause et non son
exécution permanente. En effet, dans le cas de la vérification de l’existence d’un système
de contrôle interne, l’auditeur ne vérifiera pas un échantillon de grande taille mais
seulement certains éléments pour s’assurer que le contrôle interne existe. En
conséquence, l’importance quantitative du test devrait se limiter à la vérification d’un
petit nombre d’opérations car, dans la pratique, certaines opérations sont suffisantes pour
apprécier l’existence réelle du contrôle.
Conclusions du test
Si au cours du processus de vérification de l’existence du système, l’auditeur découvre
une anomalie, il doit vérifier d’autres documents au même stade du traitement pour
s’assurer qu’il ne s’agit que d’un écart ponctuel par rapport au système et non d’une
description incorrecte. Si la seconde situation se présente, l’auditeur doit corriger sa
description.
À terme, les tests de conformité permettront de :
corriger les erreurs de compréhension de l’auditeur ;
corriger les erreurs dans les informations collectées auprès de l’interlocuteur ;
approfondir la compréhension des procédures, en particulier aux points de contrôle du
système.
Test de permanence
Le test de permanence est réalisé à l’aide de sondages. Grâce à ces sondages, l’auditeur
peut facilement obtenir des informations sur une grande population en observant une
partie de celle-ci. Celui-ci est alors très utile lorsqu’une certaine population ne peut être
pleinement observée à l’aide d’outils informatiques. Puis, un sondage sur une partie de la
population est réalisé, de sorte qu’il soit possible de déterminer une caractéristique
spécifique permettant de déduire un niveau pour l’ensemble de la population.
Cependant, il est important de se rappeler que l’étude d’une partie de la population n’est
pas une étude de l’ensemble de la population et que les résultats ne donnent pas de
résultats définitifs, mais une estimation plus au moins précise. Cette estimation est alors
mesurée par deux indicateurs :
le degré de confiance du résultat : il indique le pourcentage de chance que le résultat
soit correct. Exemple : un niveau de confiance de 95 % signifie qu’il y a 95 chances
sur 100 pour que le résultat obtenu soit correct et 5 chances sur 100 qu’il soit
incorrect ;
la précision du résultat : il indique l’intervalle incluant le résultat identifié. Exemple :
pour un résultat identifié de 80 %, une précision de +/– 2 donne un intervalle de
confiance entre 78 et 82 %.
En synthétisant ces deux exemples, l’auditeur peut alors en déduire que dans une telle
situation, il y a 95 chances sur 100 que le résultat soit compris entre 78 et 82 %, et 5
chances sur 100 que le résultat soit inférieur à 78 % ou supérieur à 82 %.
CAS D’ENTREPRISE
La société NINA est une PME familiale, spécialisée dans la fabrication et la commercialisation
des produits agroalimentaires. Afin de préparer la mission d’audit externe dont l’entreprise va
faire l’objet dans les mois à venir, le gérant a communiqué à son auditeur interne les
constatations suivantes :
– l’organisation existante prévoit la présence d’une direction générale et de 5 départements, à
savoir : comptable et financier, technique, commercial, administratif, achats et
approvisionnement. Néanmoins l’entreprise n’a pas d’organigramme ;
– le responsable des services financier et comptable supervise également le service achats et
approvisionnement ;
– le responsable du service administratif a conçu la plupart des démarches administratives grâce
à ses instructions verbales données lorsque cela est nécessaire. Ainsi, même lorsqu’il est en
congés, les collaborateurs n’ont pas hésité à lui demander de prendre les décisions nécessaires
à tous les niveaux ;
– le caissier de l’entreprise est une personne de confiance. Afin de réduire la charge de travail du
service d’approvisionnement, le directeur général lui ordonne parfois d’acheter certains biens et
services nécessaires à l’entreprise et paie les fournisseurs lui-même en espèces ;
– l’inventaire physique des stocks est toujours réalisé par le magasinier qui s’est habitué à le
faire rapidement et correctement sans attendre que quelqu’un lui rappelle cette obligation. De
plus, ses fiches de stocks sont bien tenues et les produits sont si bien gérés qu’il n’a jamais
trouvé de différences entre les inventaires théoriques et les inventaires physiques.
À partir de ces informations, l’auditeur de l’entreprise NINA a détecté plusieurs risques et a
suggéré des recommandations.
Cumul de fonctions
incompatibles.
Perturbation et affectation du
climat social.
4 Fonctions incompatibles Séparer les fonctions
Pas de définition des tâches et
des pouvoirs.
Fraudes et erreurs.
Cumul de fonctions de
conservation et
Fraudes et erreurs (il ne peut y
d’enregistrement. Mettre en place une équipe
5 avoir d’écart entre deux types
d’inventaire.
d’inventaires).
Absence de contrôle
réciproque.
PARTIE 3
CONTRÔLE
INTERNE,
GESTION
DES RISQUES ET
DIGITALISATION
CHAPITRE 5
1. RÉFÉRENTIELS DE LA GESTION
DES RISQUES
Le cadre de management des risques de l’entreprise dit Entreprise Risk
Management (ERM) s’est développé autour des référentiels COSO, AMF et ISO
31 000 ainsi que les accords de Bâle 2 et 3 et la directive européenne de solvabilité
II.
Selon ces référentiels, le risque a un impact sur la réalisation des objectifs de
l’entreprise, sa valeur patrimoniale et sa performance. Ainsi, selon le référentiel
COSO de 2004, le risque est un aléa négatif ou positif qui a un impact sur la
capacité de l’entreprise à créer de la valeur : « Les évènements probables ayant un
impact négatif sont des risques pouvant freiner la création de valeur ou détruire la
valeur existante. […] Les événements probables ayant un impact positif peuvent
constituer des opportunités. » Le cadre de référence de l’AMF de 2010 définit
quant à lui le risque comme étant « la probabilité de réalisation d’un évènement
ayant des conséquences sur les personnes, les actifs, l’environnement, les objectifs
et la réputation de l’entreprise ».
Développer une vision globale du L’organisation développe une vision globale et une
portefeuille de risques évaluation du portefeuille de risques.
Poursuivre l’amélioration du
L’organisation poursuit l’amélioration du management
management des risques de
des risques de l’entreprise.
l’entreprise
Surveillance, suivi et revue régulière L’objectif est non seulement d’identifier et d’analyser les
du dispositif de gestion des risques principaux risques, mais également de tirer des
enseignements de l’historique des risques de
l’entreprise.
Source : AMF, « Cadre de référence sur les dispositifs de gestion des risques
et de contrôle interne », 2010.
Le cadre de l’AMF met l’accent sur la complémentarité entre la gestion des risques
et les processus du contrôle interne. Tandis que le dispositif de gestion des risques
vise à identifier et à analyser les principaux risques auxquels est exposée
l’entreprise, le dispositif de contrôle interne s’appuie sur les processus de gestion
des risques pour identifier les risques et contribuer à les maîtriser.
De plus, les risques, dépassant les seuils de tolérance fixés par l’entreprise, doivent
faire l’objet de plans d’action. L’action de l’entreprise peut porter sur la mise en
place de contrôles appropriés, un transfert des conséquences financières
notamment à travers des mécanismes d’assurance ou encore une adaptation de
l’organisation. De fait, les contrôles à mettre en place relèvent plutôt du dispositif
de contrôle interne. En outre, le dispositif de management de risque intègre des
contrôles qui relèvent du dispositif de contrôle interne et sont destinés à assurer son
fonctionnement adéquat.
La cohérence globale des deux dispositifs est conditionnée par leur environnement
de contrôle commun, la culture de risque de l’entreprise et ses valeurs éthiques.
Dans le cas particulier d’un groupe, il est du ressort de la société mère de veiller à
la mise en place d’un dispositif de contrôle interne et de gestion des risques au sein
des différentes filiales. Le dispositif doit être adapté aux caractéristiques propres
des filiales et à la nature de leurs relations avec la société mère.
Le référentiel de l’AMF précise par ailleurs que la gestion des risques et le contrôle
interne sont de la responsabilité de tous les acteurs de l’entreprise, allant des
organes de gouvernance à l’ensemble des collaborateurs, indépendamment de leurs
niveaux hiérarchiques. Néanmoins, le cadre de référence de l’AMF énumère
explicitement les acteurs suivants :
le directoire ou la direction générale ;
le conseil d’administration ou de surveillance ;
le comité d’audit ;
le gestionnaire des risques ;
l’audit interne ;
le personnel de la société ;
les commissaires aux comptes.
ACTEURS RÔLES
ACTEURS RÔLES
Le référentiel de l’AMF reconnaît enfin que les procédures de gestion des risques
et de contrôle interne peuvent présenter des limites et ne constituent en aucun cas
une garantie absolue pour la réalisation des objectifs de l’entreprise. En effet, la
capacité de l’entreprise à y parvenir dépend aussi de nombreux facteurs, à savoir
des incertitudes externes, de l’exercice de la faculté de jugement ou de
dysfonctionnements pouvant survenir en raison de défaillances techniques ou
humaines ou de simples erreurs.
De plus, la couverture d’un risque est obtenue à travers un arbitrage entre les
avantages et les coûts de couverture du risque, en tenant compte de leurs effets
possibles sur l’occurrence et/ou leurs conséquences, ceci afin de ne pas
entreprendre des actions inutilement coûteuses.
Accords de Bâle
Créé par les gouverneurs des principales Banques centrales, le comité sur le
contrôle bancaire vise à renforcer la stabilité du système bancaire international et à
harmoniser les règles prudentielles appliquées par les banques. En effet, en réponse
aux crises financières successives, plusieurs pays se sont regroupés en 1974 au sein
d’un comité : celui de Bâle sur le contrôle bancaire qui se réunit en Suisse au siège
de la Banque des règlements internationaux (BRI).
Bien que le comité de Bâle ne dispose pas de pouvoir législatif ou réglementaire,
ses règles s’appliquent par commun accord des parties prenantes. Sous l’influence
de l’évolution du contexte économique et financier, les accords de Bâle ont évolué
par palier. Aujourd’hui, les accords de Bâle sont au nombre de trois.
Adopté en 1988, l’accord dit de Bâle I impose aux banques de couvrir au moins
8 % des crédits accordés par leurs fonds propres (ratio Cooke). Mais face à un
système financier en pleine croissance et de plus en plus complexe, notamment
avec l’importance croissante de la mondialisation, le comité de Bâle renforce sa
réglementation par l’introduction de la notion des risques opérationnels et
l’amélioration de la communication.
Le nouveau dispositif, appelé Bâle II, repose alors sur trois piliers : une exigence
de fonds propres avec un ratio de 8 %, la mise en place d’une procédure de
surveillance prudentielle plus complète avec entre autres l’instauration d’un
modèle interne de gestion des risques, la nécessité d’une meilleure communication,
transparente et uniforme, qui permet de renforcer la discipline de marché. Le
dispositif Bâle II définit ainsi un ensemble de règles qui conduisent à une meilleure
mesure du risque lié au crédit avec la définition d’un nouveau ratio (ratio
McDonough) visant à mobiliser moins de ressources propres pour les banques :
le ratio de 8 % s’applique donc toujours mais est pondéré par un coefficient
déterminé à partir de la notation de l’entreprise.
Cependant, après la crise de 2008, le comité de Bâle prend un certain nombre de
mesures pour renforcer la résilience du secteur bancaire. Il s’agit en effet de
consolider la solvabilité des banques, de développer une surveillance de la liquidité
plus importante, d’améliorer la capacité des banques à absorber les chocs qui
résultent des tensions financières et économiques et, enfin, de réduire et maîtriser
les risques systémiques et de contagion sur l’économie réelle.
L’exigence minimale de fonds propres réglementaires, fixée par Bâle II, au regard
des risques pondérés demeure inchangée et égale à 8 %. Néanmoins, l’accord de
Bâle III impose aux banques de nouvelles normes de sécurité en capitaux propres
et de risque de liquidités notamment à travers :
le renforcement de la structure du capital des banques avec l’amélioration de la
qualité des fonds propres via un objectif de fonds propres de 10,50 % du total
des engagements en 2019. Les capitaux propres doivent quant à eux représenter
au moins 3 % du total de l’actif du bilan d’une banque. Ce niveau est crucial
puisqu’il garantit la solvabilité des banques face aux pertes qu’elles pourraient
réaliser ;
l’amélioration de la gestion de la liquidité : l’établissement bancaire doit
sélectionner des actifs facilement cessibles (sans perte de valeur) pour alimenter
sa trésorerie en cas de difficulté ayant pour origine des retraits massifs de sa
clientèle ou un assèchement de liquidité sur le marché interbancaire ;
l’introduction d’un plafond d’effet de levier, dans le but de limiter le montant
total des actifs qu’une banque peut posséder en fonction de ses fonds propres.
Les banques sont désormais contraintes de disposer d’un « coussin contra
cyclique » de fonds propres, une sorte de matelas de sécurité qu’elles
constituent et alimentent en phase d’expansion et dans lequel elles peuvent
puiser lors de récessions.
Par exigences quantitatives, il est entendu les règles de valorisation des éléments
d’actif et de passif, ainsi que les exigences en termes de capitaux propres et leur
mode de calcul. Les exigences de capital peuvent être calculées au moyen de la
formule standard ou au moyen d’un modèle interne complet ou partiel. Enfin, les
organismes d’assurance peuvent demander différentes autorisations touchant aux
exigences quantitatives.
Les exigences qualitatives sont réparties, d’une part, entre les règles de
gouvernance et de gestion des risques et, d’autre part, l’évaluation propre du risque
de solvabilité (Own Risk and Solvency Assessment, ORSA).
Le référentiel de Solvabilité II impose ainsi aux organismes d’assurance d’adopter
un système de gouvernance efficace dont l’objectif est de garantir une gestion
prudente et rationnelle des opérations. La structure organisationnelle doit être
transparente, avec une répartition claire et une séparation appropriée des
responsabilités. Le système de gouvernance et de gestion des risques s’appuie
également sur l’élaboration de politiques écrites, validées par le conseil
d’administration ou de surveillance. Ce système de gouvernance doit enfin être
proportionné à la nature et à la complexité de l’organisme.
L’ORSA est donc le processus interne d’évaluation des risques et de la solvabilité
par l’établissement. Il doit illustrer la capacité de l’organisation à identifier,
mesurer et gérer les éléments de nature à modifier sa solvabilité ou sa situation
financière. De plus, sa déclinaison opérationnelle en fait un outil stratégique qui
doit être appréhendé par l’entreprise comme un outil de pilotage de l’activité en
fonction des risques.
Socio-
Politiques Économiques Technologiques Écologiques Légaux
culturels
Risques internes
La manifestation du risque est précédée par une analyse des causes puis d’une
détermination des conséquences. En effet, l’application d’une logique causale
permet d’identifier le fait générateur, ou la cause principale du risque, et de définir
les éléments de pertes. L’analyse du risque est ainsi un exercice qui exige des
échanges avec les opérationnels afin d’affiner les études de causalité. La phase
d’analyse et d’évaluation permet donc, en remontant à la cause première du risque,
d’élaborer des dispositifs de maîtrise des risques et de réduire les impacts.
Dans certains cas, la cause des risques n’est pas maîtrisable (pandémie, catastrophe
naturelle, incendie…). En conséquence, il convient de mettre en place un plan de
continuité d’activité (PCA). Pour une bonne maîtrise des risques, il faut également
les anticiper pour pouvoir en évaluer les conséquences.
Cette phase d’analyse et d’évaluation des risques peut être résumée en trois étapes.
1. L’analyse des causes/effets des risques.
2. L’évaluation qualitative.
3. L’évaluation quantitative.
Les risques sont habituellement classés en deux grandes catégories : les risques
stratégiques et les risques opérationnels.
Risques stratégiques
Le risque stratégique est le risque lié aux choix stratégiques de l’entreprise lui
permettant de s’adapter à son environnement concurrentiel. Les choix stratégiques
doivent en effet répondre aux attentes des parties prenantes (actionnaires,
dirigeants, salariés, clients, fournisseurs, etc.), consolider le portefeuille de produits
et de services, et renforcer les parts de marché de l’entreprise. Les choix
stratégiques de l’entreprise portent ainsi principalement sur des stratégies de
développement interne (nouveaux produits, nouveaux marchés, nouveaux circuits
de distribution) et externe (fusion-acquisition, partenariat, sous-traitance etc.),
l’investissement en recherche et développement, l’innovation technologique, la
gouvernance, etc.
Le risque stratégique peut alors être analysé à travers une matrice SWOT ou
PESTEL.
La matrice SWOT2 est un outil déployé pour évaluer le positionnement stratégique
de l’entreprise et définir son plan d’action sur un horizon de moyen et long terme.
Bien conduite, cette analyse permet d’évaluer les forces et les faiblesses en interne
de l’entreprise, de lister les opportunités et de détecter les menaces de
l’environnement externe.
L’analyse SWOT peut être affinée par le recours à d’autres instruments d’analyse
stratégique comme le business model canvas ou le modèle des cinq forces de
Porter. Parmi ces outils d’analyse stratégique figure également l’analyse PESTEL.
Celle-ci permet en effet à l’entreprise d’identifier et de mesurer les
éléments susceptibles d’avoir un impact sur son activité et son développement.
Le modèle PESTEL s’articule autour de six composants.
1. Politique : l’ensemble des décisions prises par les pouvoirs publics et les
gouvernements qui peuvent avoir un impact direct ou indirect sur l’activité
de l’entreprise et sa performance (politique fiscale, politique de change,
politique budgétaire, politique de commerce extérieur, etc.).
2. Économique : l’ensemble des facteurs économiques pouvant avoir un impact
sur la performance de l’entreprise comme le pouvoir d’achat des ménages, le
comportement des consommateurs, les prix des inputs ou l’évolution des
conditions du marché (revenu disponible, taux de chômage, prix, taux
d’intérêt).
3. Socio-culturel : l’ensemble des caractéristiques sociales et culturelles pouvant
influencer le pouvoir d’achat des ménages et leurs habitudes de
consommation (pyramide démographique, niveau d’éducation, répartition
des revenus, attitude vis-à-vis des loisirs et du travail, mobilité sociale,
égalité entre les genres, etc.).
4. Technologique : l’ensemble des avancées technologiques susceptibles
d’impacter le marché de l’entreprise (dépenses recherche et développement,
nouveaux brevets, découvertes, technologie de substitution, etc.).
5. Écologique ou environnemental : l’ensemble des facteurs liés à
l’environnement pouvant influencer l’activité de l’entreprise, son business
model ou sa performance (critères ESG, économie durable, traitement des
déchets, pollution, etc.).
6. Légal : l’ensemble des lois et des règlements ayant un impact sur le cadre
légal dans lequel l’entreprise évolue.
Risques opérationnels
4. GESTION DES RISQUES
DANS LES ÉTABLISSEMENTS BANCAIRES
ET D’ASSURANCES
Les activités bancaires couvrent un large éventail, allant de la collecte de dépôts,
au financement de l’économie à la commercialisation de produits d’assurance, en
passant par les activités de marchés comme la négociation des actifs financiers. Le
système bancaire français, voire européen, est ainsi basé sur la notion de banque
universelle, c’est-à-dire un consortium financier multi-activités qui regroupe
différents métiers tels que les banques de détail, les banques de marchés et
d’investissements et l’activité assurance.
La banque de détail se focalise sur les particuliers, les professionnels, les petites et
moyennes entreprises (PME), les petites et moyennes industries (PMI), les start-up,
les collectivités locales et les associations. Elle assure alors trois principaux rôles à
savoir la collecte des dépôts, l’octroi de crédits et la gestion des moyens de
paiement. Par opposition, la banque de financement et d’investissement est
destinée aux grandes entreprises, aux gestionnaires de fonds, aux investisseurs
institutionnels et aux États. Celle-ci est donc un acteur des marchés financiers qui
agit à la fois pour son propre compte, notamment à travers des placements de
trésorerie, la négociation d’actions et d’obligations, l’émission d’emprunts
obligataires et autres titres de créance et la souscription aux OPCVM, mais aussi
pour le compte de sa clientèle lors des introductions en Bourse, des émissions
obligataires et des restructurations du capital. Enfin, les banques assurent une
« activité assurance » qui consiste à offrir à ses clients des produits d’assurance de
biens ou de personnes, comme l’assurance-vie.
Selon le cadre de la réglementation de Bâle II, l’activité bancaire a alors été
répartie en huit lignes métiers ou business lines.
– Risque de crédit
Risque de crédit/contrepartie – Risque de contrepartie
– Risque de règlement/livraison
– Risque de taux
Risques acceptés
Risque de marché – Risque de liquidité
et rémunérés
– Risque de change
– Risque vie
Risque de souscription – Risque non-vie
– Risque santé
Risques stratégiques
– Fraude interne
– Fraude externe
– Clients, produits et pratiques
commerciales
– Exécution, livraison et gestion
des processus
Risques subis Risques opérationnels – Dommages occasionnés aux
actifs physiques
– Interruptions de l’activité et
dysfonctionnements des
systèmes
– Pratiques en matière d’emploi et
de sécurité au travail
Risque de non-conformité
Contrôle permanent
Les banques et les établissements de crédit doivent disposer d’agents réalisant des
contrôles périodiques mais également permanents. Ce contrôle permanent est
assuré par des agents des services centraux et locaux, exclusivement dédiés à cette
fonction, à savoir les contrôleurs internes ou permanents.
Ce contrôle permanent porte sur la conformité, la sécurité et la validation des
opérations et des activités. Le contrôle permanent peut également être assuré par
des agents exerçant des activités opérationnelles comme les managers de crédit ou
les analystes crédit, ainsi que les responsables de services opérationnels.
Direction de la conformité
Filière risques
Par ailleurs, les banques et les établissements de crédit sont également tenus de
désigner un responsable de la filière risques, en application des dispositions du
CCLRF 97-02 relatives à la surveillance des risques et au renforcement des
systèmes de maîtrise des risques. Le responsable risque a ainsi pour fonction de
remonter aux organes exécutifs et délibérants l’état de la maîtrise des risques. Il
doit également notifier à l’Autorité de contrôle prudentiel et de résolution (ACPR)
les cas d’incidents majeurs.
La filière risques des établissements bancaires regroupe les agents et structures
chargées de mesurer, de surveiller et de maîtriser les risques. Elle doit assurer
l’appréhension de l’analyse et la mesure des risques selon une approche
transversale et prospective.
Fonction risques
Les banques et les établissements de crédit doivent de plus intégrer une fonction
risques aux procédures de prises de décisions et à leur structure organisationnelle.
Ce dispositif de gestion des risques des banques doit servir de socle au système de
contrôle interne.
La fonction risques a pour but d’identifier, de mesurer, de gérer et d’évaluer
l’ensemble des risques pris ou subis par la banque. La fonction risques doit alors
prendre en compte, au minimum, la gestion des risques de contrepartie, de
marchés, opérationnels, stratégiques et de réputation, ainsi que les techniques
d’atténuation du risque. Pour y parvenir, elle doit définir dans un premier temps la
gouvernance des risques et sa stratégie de gestion des risques, soit sa politique en
matière de maîtrise et de surveillance des risques, puis elle doit assurer dans un
second temps une vision unitaire et consolidée de ses risques via la mise en place
d’un pilotage et d’un suivi des risques.
Enfin, la fonction risques doit s’assurer que la banque est bien dotée d’une
procédure coordonnée de gestion des risques et de contrôle interne « permettant de
participer à la réalisation et, le cas échéant, au développement de mécanismes et de
plans de sauvetage appropriés ».
Fonction actuarielle
Qu’est-ce que la digitalisation ?
De nos jours, la digitalisation est devenue un concept de base pour les
entreprises. Elle s’applique à tous les domaines et garantit l’optimisation du
temps et des efforts en automatisant des tâches qui s’avéraient complexes
dans le passé. Dans certains domaines où l’entreprise n’a pas encore
pleinement réalisé un virage digital, elle a même pris la forme d’un
avantage concurrentiel3. La digitalisation est donc un processus qui vise à
transformer n’importe quel outil ou même métier en code informatique, soit
pour le remplacer, soit pour le rendre plus efficace4. Lemqeddem et Chouay
ajoutent par ailleurs que la digitalisation permet de supprimer la frontière
entre le réel et le virtuel, ce que l’on appelle le « monisme numérique5 ». De
fait, l’élimination de la frontière entre les deux sphères permet de mieux
réaliser les activités des deux côtés. En effet, la numérisation des activités
d’audit et de contrôle au sein de l’entreprise permet d’optimiser les
processus de prises de décision et d’améliorer la performance.
Dès lors, pour renforcer la compétitivité et assurer la pérennité de
l’organisation, qu’il s’agisse d’un organisme public ou privé, le concept de
la digitalisation doit être appliqué, donc une transformation digitale en
profondeur doit être menée. En effet, créer un site Internet ou investir dans
un réseau social ne suffit plus, la digitalisation doit s’appliquer à l’ensemble
de l’organisation6.
Voici quelques exemples concrets pour illustrer le rôle de la digitalisation
en entreprise :
le mail qui remplace le courrier postal et évite une gestion administrative
compliquée des papiers ;
l’utilisation d’un logiciel de gestion qui permet de suivre
automatiquement les factures impayées ;
le self-scanning qui permet d’améliorer la rapidité et la fluidité aux
caisses des supermarchés, etc.
Digitalisation et technologie
Big data
L’une des solutions pour les entreprises de se différencier via leur site
Internet, est leur landing page, également appelée page de destination ou
page d’atterrissage. Cette dernière désigne la page sur laquelle les
internautes arrivent après avoir cliqué sur un certain lien renvoyant à
l’organisation (lien de messagerie, lien commercial, lien publicitaire, etc.).
Autrement dit, les landing pages sont des pages « indépendantes » du site
web qui permettent au public de cibler des actions spécifiques jouant le rôle
d’accueil. « Être contacté », « s’inscrire à la newsletter », « s’inscrire aux
événements », « télécharger l’application », « rediriger vers la page du site
web »… Toutes ces actions peuvent apparaître sur la landing page du site
web d’une organisation, il est donc essentiel que celle-ci soit optimisée pour
réaliser des performances optimales.
Les landing pages optimisées visent généralement à formuler efficacement
une proposition de valeur ou les avantages de l’offre promue sur le canal
marketing en tant que source de trafic, à suggérer des liens de sortie
susceptibles de guider les internautes vers d’autres pages et à proposer un
formulaire permettant la conversion (achat, encaissement, abonnement,
etc.).
Cependant, lors de la mise en œuvre de campagnes marketing Internet, par
exemple, l’optimisation de la landing page est encore négligée ou sous-
estimée par les organisations, ce qui peut sérieusement affecter les
performances de la campagne lorsque le taux de rebond est trop élevé ou
que la conversion est entravée. Les organisations doivent dès lors s’emparer
de leur landing page.
Newsletter
Visioconférences
À l’aide d’outils tels que Slack, Microsoft Teams, Skype ou Google Meet,
l’entreprise peut également organiser des visioconférences et créer des
groupes pour chaque tâche, s’assurant ainsi que chaque intervenant suit
l’avancement d’un projet. Non seulement cela permet une meilleure
diffusion de l’information, mais il s’agit aussi d’une solution pratique pour
impliquer tous les acteurs. En effet, chacun peut intervenir pour répondre à
une question ou proposer une solution. À noter que la participation est un
élément essentiel pour motiver les équipes à atteindre leurs objectifs.
Ces outils numériques permettent également de s’adapter à une nouvelle
organisation de l’entreprise. Dans le monde numérique, les employés ne
doivent pas nécessairement être dans le même bureau. Travail à distance,
collègues à l’étranger, il est donc essentiel de pouvoir communiquer
autrement. Les outils de communication numériques permettent alors de
communiquer partout dans le monde à moindre coût.
Covid-19 et outils digitaux
Au printemps 2020, 88 % des télétravailleurs utilisaient un logiciel de
visioconférence et 81 % un programme de messagerie instantanée, plaçant les
outils de communication numérique au premier plan. Par la suite, 75 % des
travailleurs à domicile utilisaient des outils de travail collaboratif et de partage de
documents. D’autres outils dédiés à l’intelligence artificielle, à la conception
assistée ou à la gestion de la relation client, ont également été utilisés par moins
un télétravailleur sur cinq13.
2. DIGITALISATION DE L’ENTREPRISE :
ACTIVITÉS ET PROCESS
Du point de vue de l’entreprise
La digitalisation offre aux clients une variété d’outils numériques pour que
ces derniers consultent les informations qu’ils souhaitent sur n’importe quel
support, n’importe quand et n’importe où (c’est le fameux acronyme
ATAWADAC, any time, any where, any device, any content). Dans le
secteur privé, les entreprises ont ainsi tendance à utiliser ces outils pour
résoudre les problèmes des clients finaux afin de comprendre ce qu’ils
pensent.
La clientèle de l’entreprise digitalisée a en effet l’avantage d’avoir des
offres plus personnalisées et pertinentes, et une assistance après achat en
fonction de ses besoins d’une manière plus rapide et facile. La digitalisation
permet également aux clients de mieux communiquer avec l’entreprise,
augmentant leur fidélité vis-à-vis d’elle. Enfin, la digitalisation de
l’entreprise lui permet de communiquer à l’extérieur des informations liées
à ses compétences, comme l’automatisation des processus, une meilleure
collaboration, etc. Toutes ces informations communiquées améliorent ses
compétences tout en impliquant ses collaborateurs.
3. CONTRÔLE INTERNE
DIGITALISÉ
La digitalisation peut donc profondément changer la façon dont les
organisations fonctionnent. En effet, la transformation digitale bouleverse
les organisations de travail traditionnelles à bien des égards :
paradoxalement, elle permet une reconstruction plus collaborative et
participative, et la création de nouvelles équipes professionnelles basées sur
de nouvelles méthodes de travail. Elle conduit également à la conception de
nouveaux espaces de travail plus conviviaux et plus ouverts, et favorise la
communication et la collaboration. En conséquence, la transformation
digitale inclut la capacité à travailler de différentes manières à travers le
monde. Productif et efficace ne signifient plus se fixer des limites en les
ramenant dans le domaine professionnel, mais la capacité à se développer
en collaboration depuis n’importe où.
De ce fait, comme les autres fonctions de l’entreprise, le contrôle interne
lui-même doit être transformé par les opportunités offertes par la
digitalisation : les contrôleurs internes doivent utiliser des outils d’analyse
des données et des processus, voire intégrer des systèmes d’alerte précoces
dans le contrôle interne continu, pour augmenter la productivité et obtenir
les moyens de traiter les enjeux.
Aujourd’hui, la digitalisation permet notamment aux fonctions financières
et comptables d’accéder à des capacités de contrôle qui étaient auparavant
inaccessibles. Et automatiser les données comptables et opérationnelles
d’une entreprise, c’est optimiser la gestion des risques, car la technologie
est plus fiable et plus efficace que l’humain lors de l’analyse d’un grand
nombre de lignes. De plus, certaines intelligences artificielles peuvent
effectuer rapidement des tâches complexes : rapprochement de factures,
recherche de doublons, détection d’actions atypiques, etc. Ces mêmes
mouvements et contrôles nécessitent généralement plus de main-d’œuvre,
de temps et de ressources financières. En conséquence, automatiser la
comptabilité peut aussi signifier raccourcir les délais de paiement, réduire
les coûts, respecter la réglementation, récupérer les trop payés, mieux
connaître les fournisseurs, voire logiquement améliorer les performances et
la productivité.
Dès lors, le contrôle interne disposera de meilleurs outils d’analyse et ne
fera que prendre des décisions plus efficacement. En effet, le contrôle
interne digitalisé permet de traiter en continu et automatiquement les
données de l’entreprise, ouvrant un plus large éventail de possibilités
d’analyse. De par sa dimension réglementaire, ce contrôle apparaît
généralement comme une contrainte. Cependant, le processus de
digitalisation peut en faire une nouvelle opportunité pour l’entreprise. Une
étude menée par PWC en 2019 auprès de 2 000 dirigeants a ainsi montré
que lorsque le contrôle interne fait partie de la transformation numérique,
les parties prenantes peuvent mieux comprendre les risques et prendre de
meilleures décisions.
Jusqu’à présent opéré manuellement et donc exposé à de nombreuses
sources d’erreur, le contrôle interne est susceptible d’être révolutionné par
la transformation digitale. Processus de contrôle interne plus simple, plus
flexible mais aussi plus efficace, sont les preuves de la digitalisation
croissante de ce dernier. Grâce à l’automatisation, ces processus modernes
ont l’avantage de pouvoir traiter de grandes quantités de données
comptables et de mieux maîtriser les risques inhérents, grâce à :
des rapports précis ;
une amélioration de la réactivité ;
une compréhension approfondie des normes réglementaires ;
un élargissement de la portée du contrôle.
Les solutions numériques de contrôle interne permettent donc à la direction
de l’entreprise de suivre en quasi-continu l’évolution de ses données et ses
écarts potentiels par rapport aux niveaux de performance et d’efficacité
attendus.
En résumé, la digitalisation représente un enjeu considérable pour les
fonctions de contrôle interne et de comptabilité. À l’avenir,
le fonctionnement des services financiers peut et doit être grandement
amélioré grâce à la technologie. L’intelligence artificielle n’en est qu’à ses
débuts et encore peu utilisée, elle bouleversera certainement à terme
l’industrie financière, notamment bancaire.
Conclusion
Cet ouvrage a présenté un large éventail de concepts, d’outils et de
méthodes de contrôle interne. Il permet notamment de comprendre l’utilité
de la mise en place d’un système de contrôle interne au sein d’une
organisation, de connaître les principales procédures et techniques de
contrôle interne, d’évaluer la qualité d’un système de contrôle interne en
identifiant ses forces et ses faiblesses, et de s’initier au contrôle interne
digitalisé.
Le mot « contrôle » est la traduction de « control » en anglais, dans lequel
le verbe « to control » renvoie au sens de « maîtrise ». En français, il est
utilisé dans le sens de « surveillance ». Dans le contexte des organisations
publiques, le terme « contrôle » a néanmoins trois sens : le premier est la
vérification, l’évaluation et l’inspection, soit une intervention après
l’exécution d’une opération. Le second renvoie à la supervision et au suivi,
qui sont des actions permanentes. Enfin, le contrôle est considéré comme la
maîtrise des événements, des comportements et des actions.
Différentes méthodes de contrôle ont donc été conçues pour guider le
comportement des acteurs vers l’atteinte des objectifs de l’entité, à savoir le
contrôle de gestion et le contrôle interne. Ces deux processus de contrôle
sont souvent mis en œuvre séparément, mais sont employés ensemble pour
assurer l’efficacité et l’efficience des ressources mobilisées pour atteindre
les objectifs organisationnels.
Le contrôle de gestion, le contrôle interne, l’audit interne et l’audit externe
sont des concepts différents dans leur fonctionnement, leur source et leur
méthodologie, mais ils restent donc complémentaires.
Cette complémentarité s’établit dans le cadre d’une aide pour l’entreprise,
car en cas de constatation alarmante, elle doit agir rapidement. C’est
pourquoi l’ensemble de ces fonctions contribue à l’atteinte des objectifs et
constitue une aide à la décision importante.
Les fonctions de contrôleur interne, de contrôleur de gestion et d’auditeur
interne sont dès lors au cœur des préoccupations des dirigeants. La
communication et l’information étant un enjeu majeur, il semble intéressant
que les contrôleurs de gestion et les contrôleurs internes aient des échanges
réguliers avec les auditeurs internes, bien que ce ne soit pas toujours le cas
en pratique. Pourtant, les différents types de contrôle et d’audit constituent
une tâche délicate et importante, nécessitant des procédures adéquates et un
système rigoureux et fiable afin de pouvoir détecter les dysfonctionnements
qui affectent l’image de l’entreprise.
À travers ce livre, nous avons également proposé des réponses multiples
permettant de comprendre les objectifs et les avantages d’une démarche de
contrôle interne tant pour les entreprises que pour l’ensemble des acteurs
économiques.
Le premier facteur, qui oblige les entreprises à mettre en place des
procédures de contrôle interne, est exogène. En effet, sous peine
de sanctions immédiates, les actionnaires exigent de plus en plus de
transparence, d’assurance et de sécurité dans la gestion de l’entreprise. De
même, l’État entend renforcer le cadre réglementaire en mettant en œuvre
de nouvelles lois, se faisant ainsi le porte-parole de ces actionnaires. Son
objectif est de réduire les risques en analysant et en évaluant régulièrement
les processus qui ont un impact direct sur les comptes et la situation
financière de l’entreprise.
Le deuxième facteur est interne aux sociétés qui, pour maintenir la
durabilité, doivent modeler leur organisation de manière plus flexible et
décentralisée. Cela implique la superposition de multiples couches dans le
processus décisionnel, entraînant une augmentation de la délégation de
pouvoirs et un besoin de renforcer systématiquement les mesures et les
systèmes de contrôle existants pour s’assurer que tout se déroule dans le
cadre préalablement déterminé et que les responsabilités attribuées sont
bien contrôlées.
De ce point de vue, le contrôle interne n’est plus un processus isolé, mais
un processus transversal mis en œuvre par le conseil d’administration, la
direction et l’ensemble des salariés. Il devient un ensemble d’actions et de
décisions qui doivent être intégrées dans toutes les activités de l’entité et
dans ses procédures. De plus, comme nous l’avons souligné, il doit aller de
pair avec d’autres fonctions de contrôle : audit, contrôle de gestion, etc.
La mise en place d’un système de contrôle interne est ainsi un véritable
projet qui doit être mené comme tel et avec la plus grande rigueur pour
augmenter ses chances de succès. Tout d’abord, il est nécessaire d’identifier
le contexte et les objectifs précis à atteindre avant de définir les étapes
essentielles, les ressources associées et enfin les procédures de suivi. Puis, il
convient de prévoir une approche construite et opérationnelle mais de la
soumettre, avant toute exploitation à grande échelle dans l’entreprise, à une
modélisation destinée à la rendre la plus adéquate possible à la culture et au
contexte de l’entreprise. Bien entendu, la réussite du projet dépendra des
qualités humaines de toutes les personnes impliquées et de la capacité de la
direction à impliquer les opérateurs dans le projet, à favoriser les actions
correctives et à digitaliser leur firme.
Cependant, de vastes zones restent à explorer. De nouvelles cartes doivent
encore être élaborées. Les guides méthodologiques proposés ici ne doivent
dès lors pas devenir un carcan qui entraverait ces nouveaux horizons.
Bibliographie
« Compendium des systèmes de contrôle interne publics des États Membres
de l’Union européenne », ec.europa.eu, 2014.
ANTOINE S., « La gestion transdisciplinaire du risque dans un système
intégré d’approches du contrôle cas du secteur de l’habitat social.
Identification et maîtrise des risques : enjeux pour l’audit, la comptabilité et
le contrôle de gestion », HAL, noalshs-00582727, 2020, p. 1-25.
ARNAUD O.L., « Le COSO 1992 est mort, vive le nouveau COSO », Audit
et contrôle interne, no 215, 2015, p. 25-28.
AUTORITÉ DES MARCHÉS FINANCIERS, « Cadre de référence sur les dispositifs
de gestion des risques et de contrôle interne », amf-france.org, 2010.
BANQUE DE FRANCE, « Bâle 1,2,3… de quoi s’agit-il ? Séminaire national
des professeurs de BTS Banque Conseiller de Clientèle », acpr.banque-
france.fr, 2017.
BANQUE DES RÈGLEMENTS INTERNATIONAUX, « Convergence internationale de
la mesure et des normes de fonds propres », Comité de Bâle sur le Contrôle
bancaire, 2006.
BANQUE DES RÈGLEMENTS INTERNATIONAUX, « Principes fondamentaux pour
un contrôle bancaire efficace », Comité de Bâle sur le Contrôle bancaire,
2012.
BERNARD F., GAYRAUD R. et ROUSSEAU L., Contrôle interne, 3e éd., Paris,
Maxima, 2010.
BONIN E. et ROSSIGNOL J., « Le contrôle interne des entreprises de travail
temporaire d’insertion », La Revue des sciences de gestion, vol. 2, no 224-
225, 2007, p. 39-48.
BOSCHE-LENOI A. et MARFAING R., « Le COSO 2013 et le cadre de l’AMF
ne s’excluent ni ne s’opposent, ils sont complémentaires », Audit et contrôle
interne, no 215, 2015, p. 29-32.
CAVELIUS F., ENDENICH C. et ZICARI A., « L’impact de la digitalisation sur le
rôle du contrôleur de gestion », HAL, nohal-01907810, 2018, p. 1-28.
CHELLY D. et SÉBÉLOUÉ S., « Les métiers du risque et du contrôle dans la
banque. Les études de l’observatoire des métiers, des qualifications et de
l’égalité professionnelle entre les femmes et les hommes dans la banque,
mars 2014 », Audit et contrôle interne, no 215, 2015, p. 25-28.
COLLINS L. et VALIN G., Audit et contrôle interne : aspects financiers,
opérationnels et stratégiques, Paris, Dalloz, 1992.
COMMISSION EUROPÉENNE, « Prise de position sur les systèmes de contrôle
interne public au sein des 28 États membres de l’Union européenne »,
ec.europa.eu, 2017.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
« Internal Control-Integrated Framework », coso.org, 1992.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
« Internal Control-Integrated Framework », coso.org, 2013.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
« Le management des risques de l’entreprise : démarche intégrée à la
stratégie et à la performance », chapters.theiia.org, 2017.
DABLI F., « Initiation au contrôle de gestion. Tome 1 », fr.calameo.com,
ministère de l’Enseignement Supérieur et de la Recherche Scientifique,
Bénin, 2012, p. 1-43.
DE LAGARDE O. et KEREBEL P., Le Contrôle interne face au contrôle de
gestion, Paris, Éditions d’Organisation, coll. « Finance », 2011.
DELOITTE, Les Fondamentaux du contrôle interne, Paris, Université d’été,
2008.
DI MARTINO M., « Les règles prudentielles de Bâle 1, Bâle 2, Bâle 3 et le
financement des entreprises », Revue Française de comptabilité, no 539,
2020, p. 3-5.
FESSI M., La Pratique de l’audit interne, Tunis, Éditions C.L.E., 1999.
GODENER A. et FORNERINO M., « Pour une meilleure participation des
managers au contrôle de gestion », Comptabilité Contrôle Audit, vol. 11,
no 1, 2005, p. 121-140.
HAMROUNI A., « Le rôle de l’audit interne dans la bonne gouvernance des
associations : cas d’une association à but non lucratif », Revue du contrôle,
de la comptabilité et de l’audit, vol. 1, no 2, 2020, p. 1-20.
IFACI/PWC, « COSO 2013 : une opportunité pour optimiser votre contrôle
interne dans un environnement en mutation », Pocket Guide, 2013.
INSTITUT FRANÇAIS DES AUDITEURS CONSULTANTS INTERNES, La Nouvelle
pratique du contrôle interne, Paris, Éditions d’Organisation, 1994.
KI-ZERBO B., « Plaidoyer pour des principes justes et pertinents : comment
donner du sens aux systèmes de contrôle interne ? », Audit et contrôle
interne, no 215, 2015, p. 16-20.
LEMQEDDEM H.A. et CHOUAY J., « Le rôle de la digitalisation dans
l’efficacité de l’audit interne », Revue Française d’économie et de gestion,
vol. 5, no 1, 2020, p. 48-65.
LOUISE F., « Le jeu pénal insufflé par l’affaire Enron est-il en train de
s’essouffler ? », Droit et société, no 2, 2007, p. 451-462.
METTLING B., « Transformation numérique et vie au travail », vie-
publique.fr, ministère du Travail, de l’Emploi, de la Formation
Professionnelle et du Dialogue Social, 2015, p. 1-69.
OBERT R. et MAIRESSE M., Comptabilité et audit : manuel et applications,
Paris, Dunod, 2007.
OUASHIL M., « Interaction entre le contrôle interne et le contrôle de
gestion : contribution au débat à travers le cas d’un établissement public »,
Moroccan Journal of Business Studies, vol. 1, no 1, 2017, p. 1-21.
PAUL M.H. et KRISHNA G.P., “The Fall of Enron”, Journal of Economic
Perspectives, American Economic Association, 17(2), 2003: 3-26.
PLUCHART J., « L’éthique des affaires : portée et limites de l’approche
fonctionnaliste », La Revue des sciences de gestion, vol. 216, no 6, 2005,
p. 17-32.
RENARD J., Théorie et pratique de l’audit interne, Paris, Éditions
d’Organisations, 2002.
SECRÉTARIAT GÉNÉRAL DE L’AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE
RÉSOLUTION, « Rapport sur le contrôle interne », acpr.banque-france.fr,
2017.
VILLEPELET S., « Le COSO 2013 : une mise à jour du référentiel d’origine
pour mieux maîtriser les évolutions », Audit et contrôle interne, no 215,
2015, p. 22-24.
YAICH A., Normes, pratiques et procédures de contrôle interne, Sfax,
Imprimerie Reliure d’Art, 1996.
YAICH A., Le Nouveau contrôle interne : concepts, composantes et
techniques de contrôle, Sfax, Éditions Raouf Yaich, 2011.
docs.ifaci.com
fr.statista.com
journalducm.com
optimiso-group.com
Notes
1. IFACI/PWC, « Synthèse – Référentiel intégré de contrôle interne », docs.ifaci.com,
2014.
2. Ibid.
3. IFACI/PWC, op. cit., 2014.
4. IFACI/PWC, op. cit., 2014.
5. Les fonctions de décision ou opérationnelles sont les décisions ou opérations de ventes,
de production, d’achats, d’embauche, de gestion des personnels ou d’investissement.
Les fonctions de détention matérielle des valeurs ou des biens, appelées aussi les fonctions
de conservation, sont par exemple : caissier, trésorier, magasinier, responsable des
archives, chauffeur ou personnel livreur.
Les fonctions d’enregistrement sont la comptabilité générale et analytique, l’établissement
de la paie, la comptabilité matière et les fiches de stocks, l’établissement des budgets et la
comptabilité budgétaire, la saisie des informations dans les différentes bases de données et
logiciels.
6. GODENER A. et FORNERINO M., « Pour une meilleure participation des managers au
contrôle de gestion », Comptabilité Contrôle Audit, vol. 11, no 1, 2005, p. 121-140.
7. LE CAPTAIN’, « Le scandale Enron pour les nuls et l’identification d’anomalies via la
théorie des réseaux », captaineconomics.fr, 14 janvier 2019.
8. LOUISE F., « Le jeu pénal insufflé par l’affaire Enron est-il en train de s’essouffler ? »,
Droit et société, no 2, 2007, p. 451-462.
9. Ibid.
Notes
1. AJILI W., « Quels instruments de couverture pour la gestion du cyber-risques ? »,
Insurance and Risk Management, 87(1-2), juillet 2020: 69-99.
2. SWOT : acronyme anglais de « Strengths, Weaknesses, Opportunities and Threats »,
que l’on peut traduire par « Forces, Faiblesses, Opportunités, Menaces ».
Notes
1. LEMQEDDEM H.A. et CHOUAY J., « Le rôle de la digitalisation dans l’efficacité de l’audit
interne », Revue française d’économie et de gestion, vol. 5, no 1, 2020, p. 48-65.
2. CAVELIUS F., ENDENICH C. et ZICARI A., « L’impact de la digitalisation sur le rôle du
contrôleur de gestion », HAL, nohal-01907810, 2018, p. 1-28.
3. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020, p. 48-65.
4. Ibid.
5. Ibid.
6. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
7. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
8. Ibid.
9. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
10. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
11. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
12. Un zettaoctet équivaut à mille milliards de gigaoctets.
13. SMART CITIES, « L’impact du télétravail sur l’usage des outils digitaux et les
compétences digitales », smartcitiesmag.lu, 9 avril 2021.
14. METTLING B., « Transformation numérique et vie au travail »¸ vie-publique.fr, ministère
du Travail, de l’Emploi, de la Formation Professionnelle et du Dialogue Social, 2015, p. 1-
69.
15. Ibid.
16. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
17. KEVUNIE R., « Transformation numérique en entreprise : découvrez les chiffres clés »,
objetconnecte.com, 23 août 2021.
18. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
19. METTLING B., op. cit., 2015.
20. METTLING B., op.cit., 2015.