Mise en pages 

: Nord Compo

© Dunod, 2022

11 rue Paul Bert, 92240 Malakoff

www.dunod.com

ISBN : 978-2-10-084229-2
 Sommaire
Couverture

Page de Copyright

Introduction

PARTIE 1
CADRE DU CONTRÔLE INTERNE

Chapitre 1. Contrôle interne : définition, objectifs et processus

1. Définitions et objectifs du contrôle interne

2. Composantes et organes responsables du contrôle interne

3. Processus de contrôle interne

4. Limites du contrôle interne

Chapitre 2. Cadre juridique et réglementaire du contrôle interne

1. Référentiel COSO

2. Référentiel AMF

3. Périmètre du contrôle interne

4. Convergences, divergences et complémentarités

PARTIE 2
PRATIQUE DU CONTRÔLE INTERNE EN ENTREPRISE

Chapitre 3. Modèle de contrôle interne des activités classiques

 1. Contrôle interne du cycle d'investissement

2. Contrôle interne du cycle d'exploitation

3. Contrôle interne des ressources humaines

Chapitre 4. Évaluation du système de contrôle interne

1. Cadre d'évaluation des systèmes de contrôle interne

2. Démarche d'audit par les risques

3. Démarche d'évaluation du système de contrôle interne

4. Outils d'évaluation du système de contrôle interne

PARTIE 3
CONTRÔLE INTERNE, GESTION DES RISQUES
ET DIGITALISATION

Chapitre 5. Gestion des risques en entreprise

1. Référentiels de la gestion des risques

2. Processus de gestion des risques

3. Stratégies de gestion des risques

4. Gestion des risques dans les établissements bancaires et

d'assurances

Chapitre 6. Contrôle interne et digitalisation

1. Cadre conceptuel de la notion de digitalisation

2. Digitalisation de l'entreprise : activités et process

3. Contrôle interne digitalisé

Conclusion

Bibliographie
 Introduction
Le contexte de crise que traverse l’économie mondiale avec la pandémie du
Covid-19 vient rappeler à quel point l’incertitude fait partie des processus
de décision aussi bien à l’échelle macroéconomique qu’au niveau des
agents économiques. Aujourd’hui, plus que jamais agir avec agilité et
résilience face aux aléas et aux évènements incertains constitue une, sinon
la, priorité pour mettre en place des politiques publiques et des conditions
sine qua non pour la survie des acteurs et la pérennité des organisations.
Au cours de vingt dernières années, une culture de contrôle interne et de
gestion des risques a émergé dans de nombreuses entreprises
indépendamment de leur taille et de leur secteur d’activité (banque,
assurance, société de conseil, institution publique, etc.). Consolidé par un
cadre réglementaire en constante évolution, le modèle de base a permis de
répondre aux attentes des parties prenantes et aux besoins des acteurs et des
régulateurs.
Au sens large du terme, le contrôle interne est un outil d’aide à la prise de
décision qui permet à une organisation de réaliser de manière efficace et
efficiente ses objectifs stratégiques et de maintenir, voire améliorer, sa
performance. Le contrôle interne est ainsi indissociable de la gestion des
risques car tout système de contrôle interne vise in  fine à maîtriser des
risques auxquels l’organisation est exposée et à les ramener à des niveaux
acceptables.
Certes, le cadre réglementaire international et européen a évolué au rythme
de la mondialisation, de l’intégration croissante des marchés, des
innovations technologiques et de l’émergence de nouveaux risques comme
les cyber-risques. Toutefois, aujourd’hui ce cadre fait preuve de certaines
limites et faiblesses notamment dans un contexte de ruptures fondamentales
(disruption) caractérisé par la digitalisation des activités, des  processus de
décision et des processus de création de valeur, le croisement des données
de masse ou le big data, l’intelligence artificielle, le remodelage de la
cartographie des risques mondiaux et la prise de conscience de la contrainte
de durabilité.
Avec la récurrence des évènements extrêmes comme les crises,
les catastrophes naturelles ou les pandémies, la gestion des risques se trouve
propulsée au-devant des priorités de toutes entreprises. L’atteinte des
objectifs stratégiques qui a façonné et conditionné la culture de maîtrise des
risques dans les organisations se trouve désormais détrônée au profit d’un
objectif de résilience, soit la capacité des organisations à absorber les chocs
et à amortir leurs coûts économiques et sociaux.

LE CONTRÔLE INTERNE
Le contrôle interne est un processus défini et mis en œuvre par l’entreprise
pour ses propres besoins et sous sa responsabilité. Il comprend l’ensemble
des moyens, des comportements, des procédures et des actions permettant à
l’entreprise d’atteindre ses objectifs. Il couvre toutes les activités
administratives et opérationnelles et s’adapte aux caractéristiques de
l’organisation.
Le contrôle interne contribue donc à la maîtrise des activités, à l’efficacité
des opérations et à l’allocation optimale des ressources. Il permet de
prendre en compte les risques significatifs auxquels est exposée
l’entreprise, qu’ils soient opérationnels, financiers ou de conformité.
Enfin, le dispositif de contrôle interne vise plus particulièrement à :
1. atteindre des objectifs et appliquer des orientations stratégiques fixées
par la direction générale ;
2. mettre en place le bon fonctionnement des processus internes afin de
maintenir et conserver la valeur et les actifs de l’entreprise,
et améliorer sa performance ;
3. garantir la qualité et la fiabilité de l’information financière et
comptable ;
4. assurer la conformité des activités et des procédures aux lois et à la
réglementation.
Du contrôle interne au management des risques (Entreprise
Risk Management)

Dans un contexte de montée en puissance des risques de plus en plus

complexes et variés, le dispositif de contrôle interne de l’entreprise doit être
associé à un système global et transversal de gestion des risques. Le
management des risques en entreprise apparaît alors comme une approche
intégrée qui permet d’identifier, d’analyser, de cartographier et de maîtriser
les risques auxquels l’organisation est exposée. Il sous-entend la mise en
place de processus de gestion des risques en associant à la stratégie de
l’entreprise les facteurs de risques susceptibles d’affecter sa capacité à
atteindre ses objectifs.
Par ailleurs, la gestion des risques en entreprise s’inscrit dans une vision
globale des risques (une vision à la fois politique, économique, socio-
culturelle, technologique et légale). Le management des risques en
entreprise n’est autre qu’un dispositif de contrôle interne fondé sur une
veille active ciblant à la fois les risques stratégiques, opérationnels et
financiers.

Le contrôle interne et la gestion des risques à l’ère

de la digitalisation

La digitalisation touche toutes les activités et les fonctions de l’entreprise.

Certes, les fonctions traditionnelles de production, financière, commerciale
et de gestion des ressources humaines ont connu des bouleversements au
cours des dernières années. Les fonctions support comme celles du contrôle
interne et de gestion des risques ne sont cependant pas épargnées par la
vague de digitalisation.
À la fois une menace et une opportunité, la digitalisation impactera la
culture de contrôle et de risque des organisations. En tant que menace, la
digitalisation fragilise les démarches et approches établies en matière de
contrôle interne et de gestion des risques notamment avec la montée des
cyber-risques, la vulnérabilité accrue des systèmes d’information et le
durcissement des cadres réglementaires. En revanche, la digitalisation, la
disponibilité des données de masse et la dématérialisation croissante de
l’économie peuvent constituer des opportunités pour les entreprises
innovantes.
Pour le contrôle interne et la gestion des risques, la digitalisation ouvre ainsi
de nouvelles voies pour la rationalisation des approches existantes et la
création de valeur à travers une meilleure appréhension des risques.

OBJECTIFS DE L’OUVRAGE
L’objectif principal de cet ouvrage est de présenter une approche globale
pour le contrôle interne et la gestion des risques en entreprise. Cet objectif
est atteint à travers un certain nombre d’objectifs intermédiaires, à savoir :
une présentation exhaustive et complète des principaux référentiels de
contrôle interne et de management des risques à l’échelle internationale
(COSO, ISO 31000, accords de Bâle), au sein de l’Union européenne
(directive de Solvabilité II) et dans le contexte français (référentiel de
l’AMF) ;
la maîtrise d’une démarche globale, intégrée et transversale du contrôle
interne et de gestion des risques. Cette démarche permet d’identifier le
portefeuille de risques de l’entreprise, c’est-à-dire les événements
potentiels susceptibles d’entraver la réalisation des objectifs, de maîtriser
les risques en fonction des seuils de tolérance prédéfinis et de garantir
l’atteinte des objectifs de l’organisation ;
une analyse des pratiques du contrôle interne et de gestion des risques
dans les entreprises et une mise en avant des interactions et
interdépendances entre le contrôle interne, l’audit interne et la gestion
des risques ;
une lecture critique de la réglementation en vigueur et des pratiques en
matière de contrôle interne et de gestion des risques à l’épreuve d’un
environnement économique, technologique et écologique en rupture ;
une sensibilisation aux enjeux et aux défis de la digitalisation, des
nouvelles technologies et du big data sur les fonctions de contrôle
interne et de gestion des risques, des phénomènes qui impacteront sans
doute la culture de gestion des risques dans toutes les organisations.
La première partie est ainsi consacrée aux fondamentaux du contrôle
interne. Le chapitre  1 présente les concepts et les principes de base du
contrôle interne en décrivant ses composantes, ses organes et les différentes
étapes de son processus du contrôle interne. Les faiblesses et les limites de
la pratique du contrôle interne sont également envisagées. Le  chapitre  2
retrace quant à lui l’évolution historique du cadre international du contrôle
interne, notamment les référentiels COSO I et II. Il présente aussi le cadre
développé par l’autorité des marchés financiers (AMF).
La deuxième partie traite de la pratique du contrôle interne dans les
entreprises à travers la proposition d’un modèle de contrôle interne
couvrant à la fois le cycle d’investissement, le cycle d’exploitation et la
gestion des ressources humaines abordé dans le chapitre 3. Parallèlement, le
chapitre  4 est consacré à l’évaluation du contrôle interne, notamment à
travers une démarche d’audit des risques et une présentation des outils de
description et d’évaluation du système de contrôle interne.
Enfin, la dernière partie met l’accent sur l’articulation entre le système de
contrôle interne et le management des risques, et ouvre le débat sur les défis
et les enjeux de la digitalisation. Le chapitre 5 présente ainsi le référentiel
international et européen de la gestion des risques et analyse le processus de
management en entreprise (ERM). Il se focalise également sur les
démarches de gestion des risques dans le contexte particulier des banques et
des assurances. Enfin, le chapitre  6 présente les perspectives du contrôle
interne à l’ère de la digitalisation.
 PARTIE 1

CADRE
DU CONTRÔLE
INTERNE
 CHAPITRE 1

Contrôle interne : définition, objectifs

et processus
Il existe plusieurs définitions pour le contrôle interne. Cette pluralité
de la notion de contrôle interne s’explique notamment par la
divergence des préoccupations et des attentes des différents
intervenants. En effet, le profil, le  métier, le secteur d’activité et
même les crises rencontrées peuvent influencer la perception de
chaque partie prenante du contrôle. Il est certain que la vision et
l’approche du commissaire aux comptes diffèrent de celles du
dirigeant, de  l’auditeur interne ou externe, de celles du consultant
en stratégie.
Par ailleurs, les objectifs du contrôle interne sont multiples, tels que
la protection et la sauvegarde des actifs de l’entreprise, la
performance des opérations, la fiabilité des informations, le respect
des règles de gestion, l’amélioration des performances, le
développement de la rigueur, la  conformité aux différentes
réglementations, etc.

1. DÉFINITIONS ET OBJECTIFS
DU CONTRÔLE INTERNE

Définitions du contrôle interne

Définition de l’Ordre des Experts-Comptables Français de 1977

« Le contrôle interne est l’ensemble des sécurités contribuant à la maîtrise
de l’entreprise. Il a pour but d’assurer la protection, la sauvegarde du
patrimoine et la qualité de l’information, de l’autre, l’application des
instructions de la direction et de favoriser l’amélioration des performances.
Il se manifeste par l’organisation, les méthodes et les procédures de chacune
des activités de l’entreprise, pour maintenir la pérennité de celle-ci. »
Définition avancée du Consultative Committee of Accountancy de
1978
«  Le contrôle interne comprend l’ensemble des systèmes de contrôle,
financiers et autres, mis en place par la direction afin de pouvoir diriger les
affaires de l’entreprise de façon ordonnée et efficace, assurer le respect des
politiques de gestion, sauvegarder les actifs et garantir autant que possible
l’exactitude et l’état complet des informations enregistrées. »
Définition avancée de la Compagnie nationale des commissaires aux
comptes de 1987
« Le contrôle interne est constitué par l’ensemble des mesures de contrôle
comptable ou autre, que la direction définit, applique et surveille, sous sa
responsabilité, afin d’assurer la protection du patrimoine de l’entreprise et
la fiabilité des enregistrements comptables et des comptes annuels qui en
découlent. »
Définition avancée du Committee of Sponsoring Organizations of the
Treadway Commission (COSO) de 1992
Les précédentes définitions institutionnelles données au contrôle interne ont
servi de base à l’élaboration d’une définition plus large par le COSO.
Pour ce dernier, le contrôle interne est donc le processus défini et mis en
œuvre par le conseil d’administration, les dirigeants de l’entreprise et son
personnel, destiné à fournir une assurance raisonnable quant à la réalisation
d’objectifs. Le contrôle interne permet la réalisation et l’optimisation des
opérations, assure la fiabilité de l’information financière et comptable.
Enfin, il garantit la conformité des opérations et des procédures aux lois et à
la réglementation en vigueur.
Définition avancée de l’International Federation of Accountants
(IFAC) de 2008
La définition de l’IFAC introduit pour sa part quelques concepts de base :
• le contrôle interne est un processus : les procédures de contrôle interne
sont plus efficaces lorsqu’elles sont intégrées dans l’infrastructure et
font partie de la culture d’entreprise. Elles doivent être combinées et
 non ajoutées. Il s’agit d’un moyen de parvenir à une fin et non une fin
en soi ;
• le contrôle interne est défini et mis en application par des personnes :
il ne s’agit pas seulement d’un ensemble de manuels, de procédures et
de documents. Le contrôle interne est réalisé par des personnes à tous
les niveaux de la hiérarchie ;
• la direction et le conseil d’administration ne peuvent attendre du
contrôle interne qu’une assurance raisonnable quant à la réalisation
des objectifs de l’entité et non une assurance absolue en raison des
risques inhérents à tout système de contrôle interne (ex. : catastrophe
naturelle, crise économique, introduction de nouvelles
réglementations, fraude, etc.).

Objectifs du contrôle interne

Le contrôle interne répond à trois niveaux de besoins.

1. L’intégration et la prise en compte des risques liée à la
mondialisation, à l’intégration des marchés, à la dématérialisation de
l’économie et à la globalisation financière. Ces tendances et
phénomènes marquants de  l’économie mondiale au cours des
dernières décennies se sont traduits par un accroissement des risques
auxquels sont exposées les entreprises. Afin de limiter l’exposition à
ces risques, le contrôle interne permet la mise en place de mesures
appropriées.
2. Le développement et la sécurisation des systèmes d’information. Avec
l’essor des nouvelles technologies de l’information, les vulnérabilités
de certains systèmes mal conçus ou insuffisamment protégés ont
augmenté. En conséquence, il est plus que nécessaire d’apporter des
réponses à ces nouveaux risques.
3. La rationalisation de certaines pratiques en entreprise et la limitation
d’éventuelles dérives comme le laxisme dans l’application des règles
et des procédures, le non-respect des règles de contrôle ou de sécurité
ou encore les cas de fraudes en interne. Cette situation est due à la
perte de certains repères et au défaut de règles éthiques et
déontologiques.
De plus, le contrôle interne répond à sept objectifs.

Objectif no 1 Protection et sauvegarde du patrimoine

Objectif no 2 Fiabilité et qualité de l’information

Objectif no 3 Respect des règles de gestion

Objectif no 4 Amélioration des performances

Objectif no 5 Développement de la rigueur

Objectif no 6 Conformité aux différentes réglementations

Objectif no 7 Identification des nouveaux risques

Tableau 1.1 – Objectifs du contrôle interne

Objectif no 1 : protection et sauvegarde du patrimoine

La protection est une action qui favorise la génération ou le développement

et la protection du patrimoine (les actifs de l’entreprise). Sans pouvoir
prétendre supprimer totalement toute négligence, erreur ou fraude, le
contrôle interne exerce une action préventive permettant de les découvrir,
en temps opportun, ou tout au moins de les réduire au minimum.
Les actifs sont ainsi entendus au sens large du terme et comprennent :
les actifs corporels : équipements, clients, stocks, etc. ;
les actifs immatériels (incorporels)  : savoir-faire, image ou réputation,
qualité du personnel (compétences, expérience, comportement).

Exemples de procédures pour la protection et la sauvegarde

du patrimoine
• Respect systématique des normes de sécurité lors des constructions et
l’acquisition des équipements.
• Procédures d’autorisation, de justification et d’annulation pour éviter les
dépenses injustifiées ou les doubles paiements.
• Procédures de vérification de crédit, d’autorisation, de preuve de livraison des
biens et de suivi rapide du recouvrement des créances pour éviter le risque de
dettes insolvables.
 • Procédures de couverture d’assurance et de recours à des conseils
compétents.
• Procédure de maintenance préventive systématique.
• Procédures de stockage, de gardiennage, de surveillance et de contrôle du
mouvement des marchandises.
• Procédure de limitation des accès.
• Mise en place d’équipements de protection physique  : portes, barrières,
dispositifs antivol, dispositifs de protection contre les incendies, etc.
• Procédure d’inventaire permanent et d’inventaire physique.
• Comptabilité générale complète, précise, régulière et constamment mise à jour.
• Recours à un audit interne, éventuellement consolidé par un audit externe
indépendant et compétent.

Objectif no 2 : fiabilité des informations

Gérer, c’est prendre des décisions sur la base d’informations recueillies. La

qualité d’une décision est affectée par la qualité des informations sur
lesquelles elle se fonde.
Une information de qualité est une information qui est intelligible et
communicable, fiable, significative et pertinente. Le contrôle interne vise
donc à assurer la production d’une information de qualité, qu’elle soit
comptable, opérationnelle ou générale.
La qualité de ce système de contrôle interne peut être recherchée à travers :
une séparation des tâches qui distingue clairement les tâches
d’enregistrement, d’exploitation et de stockage ;
une description des fonctions qui doivent permettre d’identifier l’origine
des informations produites et leurs destinataires ;
un système de contrôle interne comptable qui garantit que les
transactions sont réalisées conformément aux instructions spécifiques et
générales, et qu’elles sont enregistrées de manière à produire une
information financière conforme aux principes comptables généralement
admis.

Objectif no 3 : respect des règles de gestion

Dans certains cas, les procédures utilisées au sein de l’entreprise ne sont pas
conformes aux règles de gestion fixées par la direction générale. Dès lors, le
respect des principes de contrôle interne vise à mettre en œuvre des
méthodes pédagogiques adaptées et à établir des sécurités permanentes pour
assurer l’exécution efficace des décisions de la direction.
Le respect constant des règles de gestion suppose des procédures de compte
rendu systématique d’exécution, d’une supervision permanente et de
l’instauration d’un contrôle a posteriori.

Objectif no 4 : amélioration des performances

Selon l’Ordre des Experts-Comptables français, le contrôle interne est une

discipline générale de gestion qui assure une meilleure efficacité des
moyens mis en œuvre pour assurer la pérennité de l’entité.
Le coût du contrôle est parfois non significatif par rapport aux avantages de
sécurité, d’efficacité et de sérénité de la gestion procurés par ces contrôles.
En revanche, le coût d’absence de contrôle interne peut être conséquent et
amener l’entreprise à connaître une absence de performance, voire une
défaillance.

Exemples de performances dues à un bon contrôle interne

• Le contrôle des ventes évite les créances insolvables, accélère l’encaissement
des créances et réduit par conséquent les charges financières (charges liées
au crédit de financement de fonds de roulements).
• Le contrôle des stocks réduit le surstockage, la rupture des stocks, le coulage,
le gaspillage et les dépréciations (qui génèrent des provisions et/ou des
pertes).
• Le contrôle des approvisionnements réduit les coûts de matières premières et
favorise la qualité de la production.
• Les différents contrôles facilitent la justification des comptes comptables et
accélèrent la production des états financiers, des situations mensuelles et des
tableaux de bord.
• La culture du contrôle interne améliore le sentiment de sécurité du personnel,
ainsi que son esprit d’appartenance et le rend plus disponible au progrès
(augmentation de productivité qui améliore la performance).
• Le contrôle interne permet le développement d’une bonne image de
l’organisation et de son personnel à la fois à l’intérieur et à l’extérieur de
l’entreprise.
Objectif no 5 : développement de la rigueur

L’ensemble des procédures de contrôle interne qui réglementent et

organisent l’entreprise dans toutes ses activités a pour effet de développer le
sens de la rigueur et concourt à la réalisation d’un terrain favorable à une
gestion rationnelle de l’entreprise.
Le contrôle interne a un effet libérateur pour les dirigeants de la société
puisqu’ils sont soutenus par une organisation sûre et des sécurités qui
fonctionnent. De fait, ils peuvent déléguer les responsabilités avec plus de
sérénité et ils auront, par la suite, la  possibilité de se  consacrer à leurs
attributions essentielles (élaboration des stratégies, travaux de réflexion et
de création, fixation d’objectifs, planification, etc.).

Exemples de procédures participant au développement

de la rigueur
• L’application du contrôle interne empêche le laisser-aller.
• La conviction générale de la prédominance du système et des procédures
l’emporte sur les intérêts individuels et la volonté partisane des hommes.
• La procédure de sélection du personnel permet de doter l’entreprise d’un
personnel compétent, sérieux et de bonne moralité.
• La procédure d’étude des investissements évite le risque mal calculé.
• Les procédures d’achats et de ventes permettent un fonctionnement loyal, une
efficacité accrue et assurent une expansion saine.
• Les procédures de trésorerie préservent l’entreprise contre les fraudes et
réduisent le poids des charges financières.
• Le contrôle efficace de la gestion des participations dans d’autres sociétés et la
sélection des représentants aux conseils d’administration permettent de
préserver la consistance des actifs et évitent d’engager la responsabilité de
l’entreprise dans des cas de direction à gestion défaillante.

Objectif no 6 : conformité aux différentes réglementations

Le respect de la réglementation juridique participe à l’objectif de sécurité de

l’entreprise et constitue ainsi une condition fondamentale de sa pérennité.
Le contrôle interne vise alors à assurer en permanence la conformité de
l’entreprise aux réglementations applicables.
Au vu des nombreux domaines existants (normes comptables, droit des
sociétés, droit fiscal, droit commercial, droit environnemental, etc.), il  est
nécessaire pour une entreprise de disposer d’une organisation lui permettant
de :
comprendre les différentes règles qui s’y appliquent ;
pouvoir être informée en temps utile de toute modification de ces règles
(observation juridique) ;
traduire ces règles en procédures internes ;
former et informer les salariés sur les règles qui les intéressent.

Objectif no 7 : identification des nouveaux risques

Enfin, le contrôle interne est fondé sur des processus d’identification et

d’évaluation des risques engendrés par chaque activité et encourus par
l’entreprise, conjugué à la politique retenue par la direction générale en
matière de prise de risque.
Les processus de contrôle interne mis en place doivent permettre ou aider à
l’identification de nouveaux risques susceptibles d’impacter l’efficacité de
l’entreprise. Un système de contrôle interne à la fois efficace et efficient
permet également de détecter les signes précurseurs des changements
nécessaires et constitue un outil pour mener à bien ces changements.

Contrôle interne et efficacité

La qualité du contrôle interne et son efficacité dépendent de la mise en œuvre
d’un certain nombre de mesures telles que les règles de contrôle interne, le rôle
de l’auditeur, la gouvernance d’entreprise et l’importance des systèmes
d’information.

2. COMPOSANTES ET ORGANES
RESPONSABLES DU CONTRÔLE
INTERNE
Composantes du contrôle interne

Afin de mieux contrôler ses activités, le COSO (cf. chapitre  2) divise les
rôles du contrôle interne en cinq parties. Ces cinq composantes du système
peuvent être déclinées à tous les niveaux de l’organisation : entité, service,
unité opérationnelle, opérateur (entité contrôlée). En  d’autres termes, pour
atteindre les objectifs de l’entreprise, le  contrôle interne a besoin de ces
cinq éléments.

Figure 1.1 – Composantes du contrôle interne

Environnement de contrôle

Base de la construction du contrôle interne, l’environnement de contrôle

englobe l’attitude, l’état d’esprit et les actions de la direction et des
personnes constituant le gouvernement d’entreprise à propos du contrôle
interne et de son importance pour l’entité.
L’environnement de contrôle inclut ainsi les fonctions de gouvernement
d’entreprise et celles de direction, et donne la ligne directrice d’une
organisation influençant l’état d’esprit du personnel de l’entité en matière
de contrôle.
 Figure 1.2 – Environnement de contrôle

Processus d’évaluation des risques

L’évaluation des risques consiste à détecter et à analyser les facteurs

susceptibles d’interférer avec la réalisation des objectifs. Il s’agit d’un
processus continu et répétitif. Les risques couverts sont à la fois internes et
externes, avec une attention particulière aux risques et changements
spécifiques.

Activités de contrôle

Les activités de contrôle sont les règles et procédures qui garantissent que
les orientations de la direction sont appliquées et que les mesures
nécessaires sont prises pour maîtriser les risques susceptibles d’affecter la
réalisation des objectifs.

Maîtrise de l’information et de la communication

La communication est l’outil indispensable à la transmission d’informations

et ses caractéristiques de base sont la clarté et l’efficacité.
La  communication prend la forme de manuels de procédures, de recueils
de  méthodes comptables et d’élaboration de l’information financière et de
mémorandums. La communication peut également se faire par voie
électronique, orale et au travers des actions de la direction. Sa circulation
doit ainsi être multidirectionnelle, intégrant des informations externes.

Pilotage du contrôle interne (suivi des contrôles)

Le système de suivi (pilotage) permet de valider que le contrôle interne est

efficace. Il doit inclure le traitement des faiblesses du contrôle interne
détectées afin de renforcer l’atteinte des objectifs.

Figure 1.3 – Composantes et objectifs du contrôle interne

Source : IFACI/PWC, « COSO 2013. Une opportunité pour optimiser
votre contrôle interne dans un environnement en mutation », Pocket
Guide, juillet 2013.

Organes responsables du contrôle interne

Opérateurs internes

Chaque membre de l’entreprise contribue, dans une certaine mesure, au

contrôle interne et le rôle de chacun comporte un niveau différent de
responsabilité et d’implication.
 Conseil d’administration
Le conseil d’administration définit ses attentes en matière d’intégrité et
d’éthique dans la sélection des personnes auxquelles il confie la gestion de
la société. Il confirme ces attentes par ses activités de contrôle. De plus, en
conservant la responsabilité de certaines décisions clés, le  conseil
d’administration joue un rôle dans la définition des objectifs et la
planification stratégique de l’entreprise.
En outre, par ses activités de surveillance, le conseil d’administration est
largement impliqué dans le contrôle interne. Il est ainsi tenu de s’assurer
que les procédures internes garantissent la significativité et l’honnêteté des
comptes de la société. Fréquemment, les constatations faites sont
communiquées à l’assemblée générale des actionnaires.
Management (direction)
La direction est responsable de toutes les activités de l’entité, y compris de
son système de contrôle interne. Le rôle du manager (dirigeant) est de
superviser et de diriger les activités de l’entreprise et de fournir des conseils
sur la conduite des affaires.
Naturellement, les responsabilités des dirigeants en matière de contrôle
interne varient en fonction du niveau hiérarchique. Les différences, souvent
considérables, dépendent des caractéristiques de la société.
Dans toute entreprise, le directeur général a la responsabilité ultime. Il est
donc le premier responsable du dispositif de contrôle interne. Cette
responsabilité signifie qu’il doit s’assurer qu’il existe un environnement de
contrôle positif. Plus que toute autre personne ou fonction, il devra donner
l’exemple à travers des principes de conduite qui influencent les facteurs
relatifs à l’environnement de contrôle et aux autres composantes du
contrôle interne.
Cadres financiers
Les cadres financiers constituent des personnalités incontournables au sein
de l’entreprise. Ils en optimisent la rentabilité financière et cherchent à
protéger l’équilibre général au sein de celle-ci. Leur activité les amène à
être en relation avec tous les responsables opérationnels et la direction de
l’entreprise.
Ils sont souvent impliqués dans :
 • l’élaboration des budgets et des plans à l’échelle de l’entreprise ;
• le suivi et l’analyse des performances, non seulement par rapport aux
objectifs de reporting financier mais aussi, dans de nombreux cas, par
rapport aux opérations de l’entreprise et à la conformité légale.
Comité de direction
Le comité de direction est impliqué dans la définition et la mise en œuvre
des pratiques de contrôle interne avec les principaux décideurs de
l’entreprise. Il a la responsabilité de s’assurer de la mise en place et de
l’application des bonnes pratiques.
Comité d’audit
Le comité d’audit est chargé d’aider le conseil d’administration à s’acquitter
de ses obligations et responsabilités de surveillance relatives à la qualité et à
l’intégrité de l’information financière.
La fiabilité des états financiers relève de la responsabilité des dirigeants,
mais un comité d’audit efficace joue également un rôle essentiel. Ainsi, le
comité d’audit (ou le conseil d’administration en l’absence d’un tel comité)
a une position privilégiée  : il dispose des pouvoirs nécessaires pour
interpeller la direction sur la manière dont elle s’acquitte de ses
responsabilités en matière d’information financière et pour s’assurer que les
recommandations sont mises en œuvre.
Le comité d’audit, agissant conjointement ou en complément d’une
fonction d’audit interne influente, est le mieux placé pour identifier et agir
sur les tentatives de la direction d’«  outrepasser  » le système de contrôle
interne, d’une part, ou de prendre les mesures correspondantes, d’autre part.
Par conséquent, le comité d’audit (ou le conseil d’administration) peut être
amené à examiner des incidents ou des circonstances graves.

Comité d’audit et membres

Le comité d’audit est composé d’au moins trois membres, désignés par le
conseil d’administration parmi ses membres le cas échéant. Attention  : le
directeur général ne peut être membre du comité permanent d’audit.
Les membres du comité d’audit peuvent recevoir, en rémunération de l’exercice
de leur activité, une somme fixée et perçue dans les conditions mentionnées au
Code des sociétés commerciales relatif aux jetons de présence.

Auditeurs internes
D’après le conseil d’administration de l’IFACI (2000) : « L’audit interne est
une activité indépendante et objective qui donne à une organisation une
assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils
pour les améliorer et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche
systématique et méthodique, ses processus de management des risques, de
contrôle et de gouvernement d’entreprise, en faisant des propositions pour
renforcer leur efficacité. »
Les auditeurs internes ont pour mission de veiller à la qualité de
l’information sur laquelle la direction générale apporte ses décisions et à
l’efficacité avec laquelle sont conduites les opérations qui doivent concourir
à la réalisation des objectifs de l’entreprise.
De ce fait, l’objectif de tout auditeur interne est :
d’apporter à la direction générale des garanties quant aux informations
qu’elle peut utiliser et qui proviennent des divisions annexes ;
d’assurer le bon fonctionnement des différents processus productifs ainsi
que l’efficience de l’ensemble des flux informationnels développés au
sein de l’entreprise ;
d’assister tous les éléments productifs de l’entité pour assurer
l’efficience de toutes les structures productives. En effet,
la  responsabilité des fonctionnaires dans la réalisation des tâches et
l’analyse objective des recommandations provenant de la direction
générale permettent d’accroître l’efficacité de l’ensemble productif ;
de porter un intérêt à tous les systèmes et sous-systèmes comptables ou
non comptables de l’entreprise. Un tel intérêt est primordial afin
d’assurer une rentabilité et une efficience de l’ensemble des
investissements réalisés.
Il est à noter que c’est à la direction générale de fixer les fonctions et les
limites des auditeurs internes.

Contrôle interne et audit interne

Le contrôle interne ne concerne pas seulement quelques personnes. Sa mise en
œuvre est de la responsabilité de toutes les parties prenantes de l’organisation.
L’audit interne est quant à lui l’affaire de quelques salariés (les auditeurs
internes) qui sont seuls responsables de sa mise en œuvre.
 Autres membres du personnel
Dans une certaine mesure, le contrôle interne est la responsabilité de tous
les salariés et devrait être mentionné, explicitement ou implicitement, dans
la description de poste de chaque employé.
Cette responsabilité est ainsi double :
• d’une part, presque tous les employés jouent un rôle dans l’exécution
des contrôles. Ils peuvent être amenés à produire des informations
utilisées dans le système de contrôle interne, comme des rapports
d’inventaire, des données sur les travaux en cours, des statistiques sur
les ventes ou les dépenses, ou à prendre d’autres mesures nécessaires
pour assurer le contrôle. Le soin apporté à ces activités a une incidence
directe sur l’efficacité du système de contrôle interne ;
• d’autre part, chaque employé est tenu de faire remonter à son supérieur
hiérarchique, ou à défaut à une autre personne responsable, tout
problème constaté au niveau des opérations ainsi que toute violation
des règles et toute action illégale.

Opérateurs externes

Il existe plusieurs types de tiers qui peuvent contribuer à la réalisation des

objectifs de l’entreprise, parfois par des actions menées parallèlement à
celles de l’entité. Dans d’autres cas, les tiers peuvent fournir des
informations utiles à l’entreprise dans le cadre de ses activités de contrôle
interne.
Auditeurs externes
Les auditeurs externes sont généralement ceux qui contribuent le plus à la
réalisation des objectifs de l’entreprise en matière d’information financière.
Ils apportent une vision objective et indépendante de la direction et du
conseil d’administration, et contribuent à la réalisation, par l’entité, des
objectifs en matière d’information financière et de conformité par rapport
aux lois et à la réglementation en vigueur.
Les auditeurs externes renforcent ainsi encore le système de contrôle
interne de la société pour assurer la garantie relative de la fidélité et
l’exactitude des états financiers. En outre, ils fournissent souvent des
informations utiles à la direction dans l’exercice de ses propres
responsabilités de contrôle.
En ce qui concerne les états financiers, les auditeurs externes expriment un
avis sur la régularité et l’exactitude des états financiers préparés,
conformément aux principes comptables généralement admis, contribuant à
l’atteinte des objectifs informationnels et financiers de la société. Enfin,
dans les grandes entités, les auditeurs externes sont tenus d’évaluer le
rapport de la direction générale relatif à l’ensemble des procédures
applicables dans l’entreprise.
Législateurs et autorités de tutelle
Les législateurs et les régulateurs influencent les systèmes de contrôle
interne de nombreuses firmes, soit en les obligeant à mettre en place des
contrôles, soit en contrôlant directement certaines d’entre elles. La plupart
du temps, les lois et les règlements ne traitent que du contrôle interne relatif
aux rapports financiers.

Exemples de réglementations
• Les réglementations comptables imposent aux entreprises d’établir et de
maintenir des systèmes de contrôle interne répondant à  des objectifs
spécifiques.
• Les réglementations relatives aux institutions financières et d’assurance
imposent aux commissaires aux comptes (auditeurs externes) d’émettre un
rapport sur l’évaluation du système de contrôle interne et de le communiquer
aux autorités de surveillance (Banque centrale, ministère des Finances,
conseil du marché financier, etc.).
• Les institutions financières sont tenues de mettre en place un système de
contrôle interne, d’appliquer les règles prudentielles dans leurs activités
commerciales et de communiquer les rapports d’audit (rapports généraux et
rapports spéciaux) à la Banque centrale.

Analystes financiers et organes de presse

Les analystes financiers peuvent examiner de nombreux facteurs qui
influent sur la valeur d’investissement des titres de l’entreprise.
Ils  analysent notamment les objectifs et les stratégies de la direction,
les  états financiers passés et les informations financières prévisionnelles,
les  actions entreprises pour faire face aux conditions économiques du
marché, les possibilités de succès à court et à long terme, les performances
globales du secteur et celles des entités comparables.
La presse écrite et parlée, particulièrement les journalistes financiers, peut
parfois réaliser des analyses similaires.
Les activités d’investigation et de surveillance menées par ces tiers peuvent
alors informer la direction sur :
• la façon dont sont perçues de l’extérieur les performances de
l’entreprise ;
• les risques macro et micro-économiques auxquels elle est confrontée ;
• les stratégies d’exploitation ou financières novatrices qui pourraient
améliorer les performances et les tendances caractérisant le secteur
économique.
Le management doit tenir compte de ces observations et commentaires dès
lors qu’ils seraient susceptibles d’améliorer le contrôle interne.

Figure 1.4 – Organes responsables du contrôle interne

 3. PROCESSUS DE CONTRÔLE INTERNE
Le processus du contrôle interne comporte dix étapes. Elles permettent de
tirer tous les avantages d’un contrôle interne efficace et adapté à
l’entreprise, maximisant ainsi la satisfaction des employés et de la direction.

Définition du périmètre du contrôle interne

Le périmètre du contrôle interne doit en premier lieu être défini. Cette étape
constituera sa colonne vertébrale.
Les trois plans suivants fournissent un cadre de démarrage clair et complet :
le cadre géographique, qui permet d’inclure formellement les lieux sous
contrôle interne ;
les activités ou processus impliqués ;
les risques que le contrôle interne permettra de mieux maîtriser.
Par conséquent, trois questions fondamentales doivent être posées pour
définir ce périmètre d’action :
Quels sites et filiales sont concernés ?
Quelles activités sont impliquées ?
Quels risques le contrôle interne réduira-t-il ?

Identification des activités réalisées

Une fois le périmètre d’action déterminé, les activités entreprises par

l’organisation doivent être répertoriées pour identifier les risques associés à
chaque processus. L’idée est de répondre à une simple et unique question :
que faisons-nous ?
Les activités de chaque entreprise étant différentes, les activités spécifiques
de chaque institution doivent être mises en évidence. En d’autres termes, le
niveau de détail pour déterminer l’activité doit être approprié et cohérent
selon les services.
Identification des risques

Les risques encourus par l’entreprise proviennent principalement des

activités exercées. De ce fait, dans cette étape, pour chaque activité,
à nouveau l’idée est de se poser la question suivante : Quels sont les risques
associés à la famille de risque choisi ?
Par exemple, pour le processus de « paiement des factures fournisseurs  »,
quels sont les risques opérationnels et financiers liés au reporting financier ?
L’identification des risques peut conduire à certains incalculables. Bien
qu’il puisse y avoir de nombreux risques, il faut veiller à aborder la réalité.
L’une des solutions est de partir d’une situation que l’entreprise ou son
secteur d’activité a déjà vécue.

Exemples de familles de risques

• Financier : risques pouvant faire perdre de l’argent à l’organisation.
• États financiers  : risques d’anomalies dans les comptes, informations
comptables incorrectes…
• Conformité  : risques pouvant mettre l’entreprise dans une situation non-
conforme aux normes ou aux lois en vigueur.
• Opérationnel : risques pouvant empêcher l’entreprise d’accomplir les objectifs
qu’elle s’est fixés.
• Santé : risques pouvant affecter la santé physique ou mentale du personnel de
l’entreprise.
• Sécurité de l’information : risques pouvant affecter la confidentialité, l’intégrité
et l’accessibilité des informations.
• Image : risques pouvant affecter la réputation de l’entreprise.
• Environnement : risques pouvant nuire à l’environnement.

Contrôle interne et risques

Le contrôle interne étant issu du domaine comptable, il couvre généralement au
moins les risques liés aux états financiers.

Identification des contrôles existants

Dans le cadre du contrôle interne, le terme «  contrôle  » recouvre tous les

moyens de maîtrise des risques  : mesures de protection tangibles,
procédures, réglementations, logiciels, etc.
Sur la base de l’expérience passée et de la compréhension du secteur,
chaque entreprise dispose déjà de contrôles internes et de procédures
efficaces pour contrôler certains risques – généralement 90 % des contrôles
existent mais ne sont pas formalisés. Il est dès lors important de les
identifier.
Face à chaque risque, il suffit de déterminer quels sont les moyens de
maîtrise à mettre en œuvre. S’ils existent déjà, il s’agit alors de mettre en
place des « contrôles de contrôles » (ou suivi de contrôles). Par exemple :
vérification trimestrielle de la mise en œuvre du «  contrôle mensuel des
salaires ».

Évaluation des risques

Tous les risques ne sont pas égaux et toutes les entreprises ne sont pas
exposées de la même manière. Par conséquent, il est nécessaire d’évaluer le
risque en fonction de la situation réelle de l’organisation pour définir si les
mesures de contrôle sont suffisantes et s’il est nécessaire d’ajouter des
contrôles.
Bien que cette étape ne soit pas obligatoire et puisse sembler longue,
l’établissement de la « criticité » permet de classer les risques en fonction
de leur importance. Cette «  criticité  » prend notamment en compte la
possibilité de survenance du risque et l’impact s’il survient.

Figure 1.5 – Évaluation des risques

 Source : OPTIMISO GROUP, « 10 étapes pour un contrôle interne
efficace »,
optimiso-group.com, 31 août 2020.

Par exemple, lors de l’édition de la paie, il est très probable que des erreurs
soient commises, mais ce risque a un impact relativement faible sur la
survie de l’entreprise. Au contraire, pour les établissements bancaires,
le  risque de fraude aura un impact significatif et si aucune mesure de
contrôle n’est prise, ce risque est également susceptible de survenir. Le
risque sera alors sérieux, avec un score maximum de  90, soit une priorité
absolue.

Traitement des risques

Lors de la mise en place du contrôle interne, quatre stratégies de gestion des

risques sont possibles  : éviter les risques, les réduire, les  transférer ou les
partager et les accepter.
Prenons l’exemple de la collecte des factures en espèces. Lors de la
réception de factures, des erreurs humaines ou logicielles sont toujours
possibles, voire très probables. Par conséquent, il existe des risques associés
à cette activité. Voici alors quatre stratégies possibles pour faire face à ces
risques :
éviter : ne plus encaisser les factures sous forme d’espèces. L’entreprise
n’aura plus de liquidités et cela évitera (éliminera) le « risque d’erreur de
trésorerie » ou le « risque de vol d’argent » ;
réduire  : mettre en place un contrôle de réception des factures en
vérifiant le montant ;
partager ou transférer : souscrire à une assurance vol ;
accepter  : accepter que les reçus des factures contiennent parfois des
erreurs et résoudre les problèmes en conséquence, en fonction de la
situation spécifique, ce qui équivaut à accepter le risque.
Si les mesures de contrôle existantes ne sont pas suffisantes selon la
«  préférence  » de l’entreprise pour les risques, il est nécessaire de placer
davantage de moyens de contrôle afin d’initier un « projet de réduction des
risques ».
Description des moyens de maîtrise

À cette étape, l’objectif est de décrire les moyens de maîtrise requis afin de
réduire les risques  : actions de contrôle, processus, procédures,
réglementations, etc. Il ne s’agit en aucun cas de créer un grand nombre de
documents qui seront oubliés en rayon, mais d’opérer une sélection.
Par exemple, lorsque plusieurs services travaillent ensemble, il est utile de
décrire le processus transversal pour améliorer la coopération entre les
services et réduire les risques dus à une mauvaise coordination.
La documentation d’un moyen de maîtrise doit ainsi permettre :
de réduire les erreurs ;
d’élargir les responsabilités des collaborateurs ;
de vérifier que le contrôle est toujours effectué de manière homogène ;
d’assurer la continuité des activités en cas d’absence des collaborateurs.
Il n’existe pas de modèle spécifique à suivre pour mettre en place cette
documentation  : il peut s’agir d’une simple check-list, d’un règlement
complet ou même d’une vidéo explicative. L’essentiel est de trouver la
bonne forme, celle qui apportera une valeur ajoutée par sa clarté.

Identification des contrôles clés et description

des surveillances

Par la suite, il est important de déterminer quels contrôles valent la peine

d’être vérifiés. Cette surveillance permet de s’assurer que ces contrôles sont
bien réalisés, l’objectif étant de minimiser les risques liés à la sécurité des
informations.
Par exemple, si des contrôles mensuels sont configurés pour vérifier les
accès informatiques, il peut être judicieux d’établir une surveillance à ce
stade. Cela peut comprendre la mise en place d’un contrôle annuel pour
vérifier que le « contrôle d’accès informatique » a été correctement effectué
mensuellement.
Attention cependant  : trop de contrôles tuent le contrôle. Il faut éviter de
définir trop de contrôles clés, car cela demandera un temps précieux pour
les mettre en œuvre.

Communication et formation des collaborateurs

Ce n’est que lorsque les collaborateurs verront l’utilité du contrôle interne

que ce dernier deviendra un outil de gestion des risques réaliste et efficace.
De fait, la communication et la formation dont tout le monde a besoin ne
doivent pas être négligées.
Bien évidemment, il sera tout de même essentiel de montrer l’utilité du
contrôle interne en termes d’obligations légales, mais il est surtout
nécessaire de prouver aux collaborateurs que le contrôle interne les rendra
sereins, réduira les erreurs et les oublis. Ils seront assurés de travailler dans
un environnement où les risques peuvent être maîtrisés.

Gestion du contrôle interne dans le temps

Enfin, même si le système de contrôle interne est efficace lors de la dernière

étape de son processus, celui-ci évoluera au fur et à mesure du
développement de l’entreprise. Ce n’est pas une action ponctuelle mise en
place une fois pour toutes.
Pour le rendre toujours utile et efficace, il faut alors :
réévaluer le risque une fois par an ;
assurer le respect des nouvelles lois ;
maintenir la documentation à jour ;
surveiller les performances appropriées du contrôle et de la
surveillance ;
suivre les projets de réduction des risques ;
surveiller les événements survenus et les traiter comme une source
d’amélioration.

Base de données du contrôle interne

Les opérations relevant du contrôle interne sont variées. Elles se traduisent
souvent par de nombreux signalements pour s’assurer que tout se passe
 normalement ou, au contraire, qu’un évènement anormal a eu lieu. Il s’agit alors
la plupart du temps de dysfonctionnements ou d’incidents. Selon l’approche du
contrôle interne, ces évènements imprévus doivent être remontés vers les
décideurs pour que des mesures correctives soient prises.
De fait, il est fortement recommandé de constituer une base de données qui
recense les différents contrôles effectués, les anomalies constatées, ainsi que
les suites données à ces incidents. Cette base de données permettra non
seulement le suivi des incidents et des dysfonctionnements mais également
l’appréciation de leur degré de maîtrise.
Par ailleurs, il est souhaitable d’établir périodiquement la synthèse des incidents
et des dysfonctionnements constatés, des mesures correctives recommandées
et de rendre compte des contrôles positifs introduits.
Enfin, une base de données du contrôle interne permet d’établir des tableaux de
bord du contrôle interne au niveau de la fonction concernée, du processus, voire
de l’entreprise.

4. LIMITES DU CONTRÔLE INTERNE

Le contrôle interne a pour objectif une assurance raisonnable du bon
fonctionnement de l’entreprise et de sa capacité à atteindre ses objectifs.
Mais comme tout processus, il peut ne pas atteindre les niveaux de
perfection voulus puisque dans la pratique il existe certaines limites qui sont
de nature à présenter un danger pour son efficacité. Le risque zéro n’existe
pas et il est toujours probable qu’un fraudeur exploite les failles au niveau
des procédures internes pour commettre un vol ou un détournement de
fonds.
Le renforcement des dispositifs de contrôle interne permet ainsi de limiter,
voire d’éliminer, ces cas de figure. Cependant, cela s’accompagne souvent
d’un alourdissement des procédures. Au lieu d’améliorer l’efficacité de
l’entreprise, des dispositifs de contrôle interne relativement lourds peuvent
se traduire par plus de lenteur et de bureaucratie.
De plus, de manière plus générale, on constate que l’atteinte des objectifs
de l’entreprise ne dépend pas uniquement des facteurs internes. Si  le
marché s’effondre ou si un concurrent bénéficie d’une innovation majeure,
cette dernière peut avoir des processus efficaces et performants mais elle
sera tout de même en situation de risque vital.
 Figure 1.6 – Limites du contrôle interne

Risques inhérents à l’entreprise

Le niveau d’assurance peut être plus élevé pour la réalisation des objectifs
de fiabilité des informations financières et de conformité aux lois et
règlements applicables que pour l’objectif de réalisation et d’optimisation
des opérations.
La réalisation des objectifs de fiabilité et de compliance fondée sur des
normes générales, imposées à tous, dépend ainsi principalement de la
qualité des procédures, de la volonté et de la compétence de l’entreprise. En
revanche, la réalisation des objectifs liés aux opérations n’est pas toujours
de la seule responsabilité de l’entreprise.

Jugement

Les personnes responsables des décisions de l’organisation doivent exercer

leur jugement dans le temps qui leur est imparti, en fonction des
informations disponibles et des pressions exercées par les affaires.
Cependant, avec le recul, il se peut que certaines décisions fondées sur un
jugement aient donné des résultats décevants devant être modifiés.
La nature des décisions de contrôle interne qui requièrent un jugement est
abordée ci-après dans les sections relatives aux dysfonctionnements, aux
contrôles par la direction et au rapport coûts-avantages.
Dysfonctionnements

Les membres du personnel peuvent mal interpréter les instructions et leur

jugement peut être défectueux. Ils peuvent alors commettre des erreurs à
cause de la routine ou par manque d’attention.

Exemples de dysfonctionnements
• Un responsable du service comptable chargé d’enquêter sur les écarts peut
oublier de le faire ou ne pas aller assez loin dans l’enquête pour prendre les
mesures appropriées.
• Le personnel intérimaire (temporaire), qui remplit des fonctions de contrôle
pour remplacer les employés malades ou en vacances, peut ne pas s’acquitter
correctement de ses tâches.
• Des changements dans les systèmes peuvent être introduits avant que le
personnel n’ait été formé pour réagir correctement aux premiers signes de
dysfonctionnement.

Contrôles outrepassés par le management

La mise en œuvre d’un bon système de contrôle interne au sein d’une entité
se heurte parfois au comportement et à la moralité des dirigeants,
constituant alors un obstacle fondamental.
Le verbe «  outrepasser  » est ici employé pour désigner la déviation
illégitime des normes et procédures prescrites. Le chef d’une division ou
d’une unité, ou un dirigeant, pourrait donc être amené à outrepasser le
système de contrôle interne pour de nombreuses raisons  : augmenter
fictivement les recettes et dissimuler un déclin imprévu de la part de
marché, augmenter artificiellement les bénéfices afin d’atteindre un budget
irréaliste, augmenter la valeur d’une entreprise en prévision de sa vente ou
d’une offre publique…

Collusion

Des individus agissant collectivement pour perpétrer et dissimuler une

action peuvent modifier des informations comptables et financières d’une
manière qui ne peut être détectée par les systèmes de contrôle interne.
 Exemples de collusion
• Un employé ayant une fonction de contrôle importante pourrait s’entendre avec
un client, un fournisseur ou un autre membre du personnel et agir pour leur
propre intérêt.
• Les responsables des ventes à plusieurs niveaux de gestion pourraient
s’entendre pour contourner les contrôles visant à garantir que les résultats
déclarés sont conformes au budget ou aux objectifs sur lesquels les primes
sont basées.

Rapport coûts-avantages
(coûts de contrôle)

Enfin, si la mise en place d’un système de contrôle interne implique des

coûts, il est essentiel que les avantages et la sécurité qu’il procure les
justifient. À cette fin, avant de concevoir tout système, il est primordial
d’analyser non seulement le risque d’une défaillance et son impact potentiel
sur l’organisation, mais aussi de déterminer les coûts associés à la mise en
œuvre de ce contrôle.

Exemple de contrôle « inutile »

Il ne sera pas opportun pour une entreprise de mettre en place un système de
contrôle d’inventaire très efficace pour les matières premières si le coût des
matériaux utilisés dans la production est faible, si les matériaux sont non
périssables, si l’approvisionnement est facile et si l’entreprise ne dispose que
d’un seul lieu de stockage.
 CHAPITRE 2

Cadre juridique et réglementaire

du contrôle interne
De nombreux événements et scandales ayant bouleversé le monde
des affaires ont, à chaque fois, remis en cause le fonctionnement
de certaines entreprises et leur autorégulation dans un
environnement ultralibéral de création de valeur actionnariale. De
fait, le contrôle interne et le management des risques sont devenus
des sujets d’actualité si importants que de nombreux pays ont alors
adapté leur législation afin de créer des dispositifs de contrôle
permettant la détection précoce des risques pour les organisations
et la prévention des comportements frauduleux des managers.
Tous les acteurs économiques étant directement concernés, il était
donc indispensable de disposer d’un référentiel de concepts et
d’une nouvelle approche de la gestion des risques et du contrôle
interne, encore en vigueur.

1. RÉFÉRENTIEL COSO
À l’échelle internationale, il existe un certain nombre de référentiels et de
modèles conceptuels pour assurer la mise en œuvre du contrôle interne. Les
plus largement utilisées sont les référentiels publiés par le Committee of
Sponsoring Organizations of the Treadway Commission (COSO).
La première version date de 1992, puis une mise à jour a eu lieu en 2013.
Le référentiel COSO-ERM (Enterprise Risk Management) sur le
management des risques est pour sa part publié en 2004. Ce dernier permet
alors la conception, la mise en place et le pilotage, ainsi que l’évaluation de
l’efficacité du management des risques. Il est a noté qu’il a fait l’objet d’une
mise à jour en 2017 (cf. chapitre 5).
À l’échelle nationale, un autre référentiel d’audit interne a été publié sous
l’égide de l’Autorité des marchés financiers (AMF) en 2007. La mise à jour
en 2013 de ce cadre de référence de l’AMF a permis d’améliorer la
cohérence des concepts sous-jacents aux travaux du comité d’audit,
du contrôle interne et de la gestion des risques.
Enfin, le modèle des « trois lignes de défense » moralisé par l’Institute of
Internal Auditors (IIA), traduit et publié en 2013 en français par l’Institut
français de l’audit et du contrôle internes (IFACI) et l’Association pour le
management des risques et des assurances de l’entreprise (AMRAE),
prévoit une classification simple et efficace des différentes parties prenantes
dans les processus du management des risques et une clarification de leurs
rôles.

Figure 2.1 – Modèle de trois lignes de maîtrise

Source : IFACI/AMRAE, « Trois lignes de maîtrise pour une meilleure
performance.
Fiabiliser la stratégie par une gestion organisée des risques »,
docs.ifaci.com, 2013.

Référentiel d’origine COSO de 1992

De nombreux scandales financiers aux États-Unis ont atteint des

proportions considérables et soulevé de sérieuses questions sur la
comptabilité, les normes, leur mise en œuvre et leur contrôle. Un cadre de
contrôle interne commun était donc nécessaire. La Treadway Commission a
alors mené une étude sur les facteurs qui conduisaient à la fourniture
d’informations financières frauduleuses et cette étude, achevée en 1992, a
abouti à la création du modèle COSO  : Committee of Sponsoring
Organizations.
Dans sa version de 1992, le référentiel COSO définit le contrôle interne
comme «  un  processus  mis en œuvre par le conseil d’administration, les
dirigeants et le personnel d’une organisation, destiné à fournir une
assurance raisonnable quant à la réalisation des objectifs suivants :
la réalisation et l’optimisation des opérations ;
la fiabilité des informations financières et de gestion ;
la conformité aux lois et aux réglementations en vigueur1. »
Dans cette version, le contrôle interne propose cinq composantes
schématisées sous la forme d’une pyramide, puis d’un cube en 2013.
1. «  L’environnement du contrôle  : l’ensemble des normes, des
processus et des structures qui constitue le socle de la mise en œuvre
du contrôle interne dans toute l’organisation.
2. L’analyse de risques  : l’évaluation des risques qui implique un
processus dynamique et itératif d’identification et d’analyse des
risques susceptibles d’affecter la réalisation des objectifs.
3. Les activités de contrôle  : les actions définies par les règles et
procédures qui visent à apporter l’assurance raisonnable des
instructions du management pour maîtriser les risques susceptibles de
compromettre l’atteinte des objectifs.
4. L’information et la communication  : le management obtient, produit
et utilise des informations pertinentes et de qualité, de source interne
ou externe, pour faciliter le fonctionnement des autres composantes
du contrôle interne. La communication est le processus continu et
itératif par lequel l’information nécessaire est fournie, partagée et
obtenue.
5. Le pilotage  : l’organisation procède à des évaluations continues ou
ponctuelles, ou à une combinaison de ces deux formes d’évaluation,
pour s’assurer que chacune des cinq composantes du contrôle interne
et les principes qui leur sont associés sont mis en place et
fonctionnent2. »
Référentiel COSO-ERM de 2004

En 2004, la Treadway Commission élargit le périmètre de ses réflexions et

élabore un nouveau référentiel, le «  COSO-ERM  » (Committee of
Sponsoring Organizations of the Treadway Commission, Enterprise Risk
Management), qui devient très vite une référence internationale pour la
mise en œuvre d’un processus efficace de gestion des risques.
Le  référentiel  COSO-ERM offre dès lors une analyse supplémentaire en
établissant un système de gestion des risques pour toutes les strates de
l’entreprise, y compris ses filiales. Il étend de plus le périmètre du dispositif
de contrôle interne de trois composants (cf. figure 2.1) :
la fixation des objectifs (pour identifier les évènements nuisibles à leur
atteinte) ;
l’identification des évènements (risques et opportunités) ;
le traitement des risques.

Figure 2.2 – Cube du COSO-ERM

Le référentiel COSO est ainsi une approche qui définit les fondamentaux de
l’audit interne, mais qui permet aussi de mieux refléter l’évolution de
l’environnement réglementaire et économique dans lequel évoluent les
organisations et les nouveaux risques auxquels elles sont confrontées.
Référentiel COSO mis à jour en 2013

Une importante mise à jour du COSO a été publiée le 14  mai 2013. Bien
que cette mise à jour soit basée sur les principes de la version originale, elle
est destinée à prendre en compte les évolutions des environnements et à
accroître les attentes en matière de contrôle interne.
Le référentiel COSO de 2013 « propose [alors] trois catégories d’objectifs,
[permettant] aux organisations de prendre en compte différents aspects du
contrôle interne :
objectifs liés aux opérations  : ils concernent l’efficacité et l’efficience
des opérations. Il s’agit notamment des objectifs de performance
opérationnelle et financière, ainsi que de sauvegarde des actifs ;
objectifs liés au reporting : ils concernent le reporting interne et externe,
financier et extra-financier. Ils peuvent viser la fiabilité, le respect des
délais, la transparence ou d’autres exigences des régulateurs, des
organismes de normalisation reconnus ou des instructions internes ;
objectifs liés à la conformité  : ils concernent le respect des lois et
règlements applicables à l’entité3. »
Les principaux changements apportés par cette nouvelle version du
référentiel sont la déclinaison des cinq composantes du contrôle interne en
dix-sept principes sous-jacents. Ces principes ont pour but d’identifier les
nouveaux niveaux de risques auxquels les entreprises sont désormais
confrontées en prenant notamment en compte les différentes évolutions
technologiques, les risques liés à la maîtrise de la fraude et à la qualité des
relations que l’organisation établit avec ses partenaires externes en général.
Tous ces principes étant directement dérivés des différentes composantes,
en les appliquant tous, une entreprise peut mettre en œuvre un contrôle
interne efficace. Ce lien entre les principes et les composantes est de
nouveau représenté sous forme d’un cube où «  les  trois catégories
d’objectifs –  liés aux opérations, au reporting et à la conformité  – sont
représentées par les colonnes  ; les cinq composantes du contrôle interne
sont représentées par les lignes horizontales de la face avant du cube  ;
[tandis que] la structure organisationnelle de l’entité s’inscrit dans la
troisième dimension du cube4 ».
 Figure 2.3 – Cinq composantes du contrôle interne et structure organisationnelle de l’entité

COMPOSANTES
DU CONTRÔLE 17 PRINCIPES
INTERNE

1. L’organisation manifeste son engagement pour l’intégrité et des

valeurs éthiques.

2. Le conseil est indépendant vis-à-vis du management. Il assure

la surveillance de la mise en place et du bon fonctionnement du
système de contrôle interne.

Environnement 3. Le management, agissant sous la surveillance du conseil, définit

du  contrôle les structures, les rattachements, ainsi que les pouvoirs et les
interne responsabilités appropriés pour atteindre les objectifs.

4. L’organisation démontre son engagement à attirer, former et

fidéliser des personnes compétentes conformément aux objectifs.

5. L’organisation instaure pour chacun un devoir de rendre compte

de ses responsabilités en matière de contrôle interne afin
d’atteindre les objectifs.

Évaluation 6. L’organisation définit des objectifs de façon suffisamment claire

des risques pour permettre l’identification et l’évaluation des risques
susceptibles d’affecter leur réalisation.

7. L’organisation identifie les risques susceptibles d’affecter la

réalisation de ses objectifs dans l’ensemble de son périmètre et
procède à leur analyse de façon à déterminer comment ils doivent
être gérés.
 8. L’organisation intègre le risque de fraude dans son évaluation
des risques susceptibles d’affecter la réalisation des objectifs.

9. L’organisation identifie et évalue les changements qui pourraient

avoir un impact significatif sur le système de contrôle interne.

10. L’organisation sélectionne et développe des activités de

contrôle qui visent à maîtriser et à ramener à un niveau acceptable
les risques susceptibles d’affecter la réalisation des objectifs.

Activités 11. L’organisation sélectionne et développe des contrôles

de contrôle généraux informatiques pour faciliter la réalisation des objectifs.

12. L’organisation déploie les activités de contrôle par le biais de

règles qui précisent les objectifs et de procédures qui permettent
de mettre en œuvre ces règles.

13. L’organisation obtient, produit et utilise des informations

pertinentes et de qualité pour faciliter le fonctionnement du
contrôle interne.

14. L’organisation communique en interne l’information nécessaire

Information et
au bon fonctionnement du contrôle interne, notamment les
communication
informations relatives aux objectifs et aux responsabilités du
contrôle interne.

15. L’organisation communique aux tiers les éléments qui peuvent

affecter le fonctionnement du contrôle interne.

16. L’organisation sélectionne, développe et réalise des

évaluations continues et/ou ponctuelles pour s’assurer que les
composantes du contrôle interne sont mises en place et
fonctionnent.
Pilotage
17. L’organisation évalue et communique les déficiences du
contrôle interne en temps voulu aux responsables des mesures
correctives, y compris, le cas échéant, à la direction générale et au
conseil.

Tableau 2.1 – Composantes et principes du COSO de 2013

Source : IFACI/PWC, 2014.

2. RÉFÉRENTIEL AMF
L’AMF (Autorité des marchés financiers) a publié un autre cadre de
référence des dispositifs de gestion des risques et de contrôle interne publié
en 2007. Ce cadre a fait l’objet d’une nouvelle version actualisée en 2010.
En se basant sur deux référentiels reconnus tels que le COSO et le Turnbull
Guidance, ce cadre présente des principes généraux de contrôle interne et
de gestion des risques, ainsi qu’un guide d’application relatif au contrôle
interne et à la gestion des risques de l’information comptable et financière.
Dans son cadre, l’AMF définit ainsi le contrôle interne comme
« un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il
comprend un ensemble de moyens, de comportements, de procédures et
d’actions adapté aux caractéristiques propres de chaque société qui :
contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et
à l’utilisation efficiente de ses ressources ;
doit lui permettre de prendre en compte de manière appropriée les
risques significatifs, qu’ils soient opérationnels, financiers ou de
conformité.
Le dispositif vise plus particulièrement à assurer :
la conformité aux lois et règlements ;
l’application des instructions et des orientations fixées par la direction
générale ou le directoire ;
le bon fonctionnement des processus internes de la société, notamment
ceux concourant à la sauvegarde de ses actifs ;
la fiabilité des informations financières. »
Un système de contrôle interne suffisant doit être correctement conçu et
appliqué de manière systématique et permanente. Ainsi, une bonne
conception du système de contrôle interne suppose la mise en œuvre de
procédures de contrôle (spécifiques) en adaptation avec l’activité de la
société permettant d’atteindre les objectifs de contrôle interne.
Par ailleurs, le contrôle interne repose sur des règles de conduite ou de
principes dont le respect lui confère une qualité satisfaisante. Il  s’agit de
onze principes fondamentaux.
1. Principe d’avantages supérieurs au coût.
2. Principe d’organisation.
3. Principe d’intégration.
4. Principe d’autocontrôle.
 5. Principe de permanence.
6. Principe d’universalité.
7. Principe d’indépendance.
8. Principe de légalité.
9. Principe d’information.
10.  Principe de communication.
11. Principe d’harmonie.

Principe d’avantages supérieurs au coût

Les avantages à tirer de la mise en œuvre du contrôle interne doivent être

supérieurs au coût de sa conception, de sa mise en œuvre et de son
application. Ces avantages sont généralement liés aux processus d’activités
que le contrôle interne contribue à améliorer et au niveau des risques
encourus qu’il contribue à éviter ou du moins à réduire.
La mise en œuvre des procédures d’un contrôle interne demande en effet la
comparaison des coûts engendrés entre les conséquences d’un risque
provoqué par une défaillance éventuelle et la contribution des procédures de
contrôle interne à l’amélioration des processus de fonctionnement.
Lorsque le coût du contrôle interne est insignifiant, il n’est pas nécessaire
de procéder à cette analyse (avantages/coûts). De plus, une  procédure de
contrôle dont l’avantage est trop faible, ne pas introduire tel contrôle est
peut-être utile, évitant ainsi des situations de contrôle et de bureaucratie
excessives.

Principe d’organisation

Pour assurer un contrôle interne satisfaisant, il est indispensable que

l’organisation de l’entreprise possède certaines caractéristiques.
Cette organisation doit ainsi être :
préalable : l’organisation doit être conçue préalablement à sa mise place.
Autrement dit, elle doit être suffisamment étudiée, réfléchie et motivée
avant sa mise en application et ne doit pas être improvisée et instable ;
 adaptée et adaptable  : l’organisation doit être adaptée à l’entreprise et
adaptable à son évolution. Une organisation adaptée est une organisation
en harmonie avec la taille, la nature des activités, les  objectifs et les
moyens de l’entreprise ;
vérifiable : l’organisation doit être vérifiable à tout moment pour pouvoir
s’assurer que le modèle suivi en pratique est conforme au modèle décrit
dans les supports écrits (organigramme, flow-chart ou ordinogramme,
manuel des procédures, notes de service). Les vérifications doivent être
effectuées de manière continue pour assurer la pérennité des procédures
conçues et l’absence de procédures parallèles (non  formalisées).
Les  procédures parallèles trouvent leur origine dans l’incompréhension
du système, l’indiscipline ou la mauvaise foi ;
formalisée  : l’organisation doit être décrite sur des supports appropriés.
Un document (notamment écrit) décrivant l’organisation est
indispensable pour la mise en place des procédures et leur maintien ;
organisée dans la séparation des fonctions  : la règle de séparation des
tâches a pour but d’éviter qu’un même agent cumule des fonctions de
décision ou opérationnelles, de détention matérielle, d’enregistrement,
ou simplement deux d’entre elles, dans l’exercice de son activité dans
l’entreprise. La séparation de ces fonctions est à la base de la fiabilité de
tout système de contrôle interne. Elle  permet notamment d’exercer un
contrôle réciproque des tâches à l’intérieur d’une procédure5.

Principe d’intégration

Le contrôle interne s’intègre dans la structure, l’organisation et dans

chacune des étapes des procédures de l’entreprise.
Une procédure comporte généralement cinq étapes.
1. La préparation.
2. L’autorisation.
3. L’exécution.
4. La comptabilisation.
5. Le classement définitif et l’archivage.
L’intégration du contrôle interne se traduit par des points forts illustrés par
les autocontrôles introduits à la fois dans l’exécution de chacune des étapes
ou dans le passage d’une étape à une autre et, globalement, dans l’ensemble
de la procédure.

Principe d’autocontrôle

Les forces du contrôle interne se manifestent à travers les sécurités

introduites par l’autocontrôle mis en œuvre dans le déroulement des
procédures. Les autocontrôles permettent en effet d’éviter des erreurs et des
fraudes ou leur détection en temps utile.
L’autocontrôle des procédures repose ainsi sur diverses techniques :
le recommencement  : recommencer le même traitement avec la même
logique. Par exemple, double comptage, double vérification, double
confirmation informatique avant validation, annulation et suppression ou
destruction… ;
le recoupement : obtenir la confirmation d’une information par une autre
source ou procéder au traitement des données selon deux démarches
différentes et méthodes aboutissant au même résultat. Par exemple :
• calcul d’un montant par addition et vérification en multipliant une
assiette par un taux ;
• concordance du résultat de l’exercice au bilan avec le résultat dégagé
par le total des comptes de résultat ;
• concordance de l’assiette des déclarations fiscales et sociales avec la
comptabilité ;
• concordance entre les marchandises livrées (BL) et les marchandises
facturées (factures) ;
la revue des travaux : réexaminer des travaux par une personne chargée
de la supervision pour s’assurer de leur bonne exécution.

Principe de permanence
L’organisation doit bénéficier d’une stabilité suffisante pour que le contrôle
interne puisse fonctionner efficacement.
Attention cependant  : le principe du contrôle interne ne signifie pas
immutabilité. En effet, le contrôle interne contribue au développement et
subit les contraintes de l’environnement, ce qui nécessite l’adaptation des
procédures pour répondre aux nouvelles exigences, aux changements et aux
nouveaux risques.

Principe d’universalité

Le principe d’universalité implique que le contrôle interne s’applique à tous

les biens et à toutes les personnes dans l’entreprise en tout temps, en tout
lieu et à tous les domaines.
Ainsi, le contrôle interne s’applique :
à tous les biens de l’entreprise (corporels et incorporels, créances et
dettes, actifs et passifs) ;
à tous les membres de l’entreprise (discipline collective, bon
comportement de chacun et exemplarité des supérieurs hiérarchiques) ;
à toutes les informations (protection des informations en tant qu’élément
du patrimoine social) ;
aux sous-traitants (protection des relations avec les sous-traitants de
l’entreprise) ;
à tout moment et quelles que soient les circonstances (application du
contrôle de manière systématique et permanente).

Principe d’indépendance

Le principe d’indépendance implique que le contrôle interne est régi par des
règles objectives et poursuit des buts invariables. Le contrôle ne peut tolérer
aucun subjectivisme ou limitation avouée ou non.

Principe de légalité
La conformité de l’entreprise aux différentes réglementations qui lui sont
applicables est un principe qui régit tout système efficace de contrôle
interne.
En effet, seules les activités effectuées en conformité avec les
réglementations en vigueur peuvent être organisées selon des principes et
des règles du contrôle interne.

Principe d’information

Pour être utile, l’information doit être intelligible, pertinente, fiable et

significative, elle doit donc être contrôlée. Un bon contrôle repose ainsi
nécessairement sur une culture et un système efficace de diffusion de
communication et d’acheminement rapide de l’information dans tous les
domaines, à l’ensemble des intéressés.
Le contrôle interne doit être basé sur un système de comptes-rendus écrits
et de rapports d’activité datés et signés de manière lisible afin d’identifier
les auteurs. Les tiers (fournisseurs, clients, banques, administration)
peuvent aussi fournir des informations permettant d’exercer une certaine
appréciation du contrôle interne et par là même d’apporter des
améliorations nécessaires.

Principe de communication

En l’absence de communication adéquate tant à l’intérieur qu’à l’extérieur

de l’entreprise, le contrôle ne saurait réaliser ses objectifs. En effet,
beaucoup de malentendus, de déformations des messages et
d’interprétations erronées constituent un obstacle à l’encontre d’une
application saine des procédures de contrôle interne.
Une communication basée sur une formation préalable appropriée et une
mise à niveau constante du personnel constitue une condition fondamentale
à la mise en œuvre d’un contrôle interne efficace.

Principe d’harmonie
Enfin, le contrôle interne doit être conçu en proportion avec la taille de
l’entreprise et en adéquation avec ses risques, ses moyens,
ses caractéristiques et son environnement.
Le principe d’harmonie fait prévaloir le bon sens pour que le contrôle
interne soit adapté aux ressources de l’entreprise, aux sécurités recherchées
et au coût des contrôles.

3. PÉRIMÈTRE DU CONTRÔLE INTERNE

Nombreuses sont les personnes qui confondent contrôle de gestion et audit
interne, mais également audit interne et contrôle interne. C’est pourquoi,
dans un premier temps, afin d’avoir une vision générale et plus précise, il
est important d’établir une distinction des termes.

Définition de l’audit interne

L’audit interne est défini par la norme ISO 19011, norme internationale qui
établit des directives pour les systèmes de gestion de l’audit. Au  sens
littéral, elle peut se résumer de la manière suivante : « l’audit correspond à
une évaluation par une personne compétente d’une activité ou d’un
processus afin de vérifier sa conformité par rapport à un référentiel donné ».
Selon l’Institut des auditeurs internes (IIA), l’audit interne est « une activité
objective et indépendante, qui donne à une organisation l’assurance du
degré de contrôle sur ses opérations, la conseille pour s’améliorer et
contribue à créer de la valeur. Il aide cette organisation à atteindre ses
objectifs en évaluant, par une approche méthodique et systématique,
les  processus de gestion des risques, de contrôle et de gouvernance
d’entreprise, et en faisant des propositions pour améliorer son efficacité ».
L’audit interne a donc lieu lorsque l’entreprise souhaite évaluer ses propres
systèmes et procédures afin de détecter des dysfonctionnements et les
résoudre. En ce sens, il concerne toutes les activités d’une entreprise et a
également pour objectif l’assurance de la bonne gestion des risques.
L’audit interne est donc rattaché à la direction générale et est mené par un
auditeur interne. L’auditeur interne rédige l’ensemble de ses observations
dans un rapport d’audit, rapport dans lequel il suggère de nouvelles
solutions pour améliorer les processus, définit des objectifs afin d’améliorer
l’efficacité de l’organisation et apporte de la valeur ajoutée.
Enfin, l’audit interne peut se présenter sous trois formes principales qui
diffèrent selon leurs objectifs.
1. Audit comptable et financier  : il s’agit d’un audit qui a pour rôle de
contrôler la régularité, la fiabilité et la sincérité des comptes d’une
organisation par rapport à la législation. En effet, le dirigeant a besoin
de s’assurer de la fiabilité des informations financières, de déceler les
insuffisances des organisations comptables actuelles et de les
améliorer. Ainsi, l’évitement des fraudes et des détournements
apparaît comme une nécessité.
2. Audit opérationnel : qualifié comme « opérationnel », cet audit porte
sur la gestion et le fonctionnement d’une entreprise, et s’intéresse plus
particulièrement à l’évaluation de la performance d’un processus,
d’un service ou d’un produit et à son efficacité. Il s’applique à
l’ensemble des éléments et peut se présenter sous différents aspects
(audit social, audit contractuel, etc.).
3. Audit juridique et fiscal : l’organisation doit avoir des politiques et des
modes organisationnels qui définissent ses relations à la
réglementation. En d’autres termes, cet audit a pour but de vérifier la
non-conformité des décisions qui sont prises en interne à l’égard de la
loi et des règlements en vigueur.
Les audits internes sont jugés perspicaces s’ils détectent au plus tôt les
problèmes en vue globale de l’organisme.

Définition de l’audit externe

L’audit externe peut être qualifié d’audit tierce partie. Doté d’un rôle
« officiel », il doit obéir à des règles précises garantissant leur impartialité
et leur reproductibilité. Il est assuré par un organisme indépendant de celui
audité, principalement par des audits de certification (réalisés par exemple
par l’Association française de normalisation, le Comité français
d’accréditation pour l’obtention de certifications telles que ISO 14001, ISO
45001, ISO 9001, etc.). Cependant, la loi ou la réglementation peut imposer
un audit externe aux organisations, notamment celles cotées en Bourse qui
sont tenues d’établir des états financiers audités.
L’audit financier et comptable externe est donc un examen indépendant et
formel de la qualité de l’information financière d’un organisme. Pouvant
être réalisé par les commissaires aux comptes, ces derniers sont alors
chargés d’établir l’examen de l’organisme en portant un jugement objectif
sur la pertinence des rapports et la crédibilité des états financiers. Mais les
travaux d’audits externes peuvent varier selon les objectifs, d’où l’existence
de différents types d’audit : audit légal des états financiers, missions d’audit
spéciales, missions d’examen (procédures convenues à l’avance), missions
d’examen limitées et de compilation.
Enfin, l’audit externe est soumis à des normes et réglementations nationales
et internationales. L’auditeur réalise un travail contentieux en vue de
s’assurer que les états financiers d’une institution ne présentent aucune
anomalie significative. Une donnée est qualifiée de significative si son
omission ou son inexactitude peut influencer la décision des destinataires
des états financiers.

Définition du contrôle de gestion

Le contrôle de gestion est «  un processus par lequel les managers

garantissent que les ressources sont obtenues et utilisées d’une manière
efficace afin d’atteindre les objectifs de l’organisation  », selon Armelle
Godener et Marianela Fornerino6.
À la lecture de cette définition, il est important de nuancer le sens du mot
«  contrôle  » qu’il faut aborder au sens de «  maîtrise  » et non de
« surveillance » : contrôler une situation, c’est être capable de la maîtriser et
de l’orienter dans la direction souhaitée. En d’autres termes, cela signifie
que l’action de contrôle doit permettre à l’entreprise d’obtenir un retour sur
la stratégie mise en place. Elle pourra ainsi voir si les décisions prises en
amont ont porté leurs fruits ou si au contraire il faut réajuster les décisions :
Information ➔ Décision ➔ Action de contrôle
À l’intérieur d’une organisation, le contrôle tend donc à se développer de
plus en plus. Ce « processus de contrôle » comprend différentes étapes qui
visent à préparer, coordonner, vérifier les décisions et les actions. Dès lors,
il est possible d’avoir un processus de contrôle pour chaque niveau de
décision :
Décision (avant) ➔ Action (pendant) ➔ Résultat (après)
Le contrôle de gestion s’opère alors dans les entreprises en respectant
quatre étapes chronologiques.
1. Définir les objectifs de l’entreprise, ce qui doit résulter des actions
qui seront mises en place et quels bénéfices en découleront. Lors de
cette étape, il est important de planifier le déroulement (à quel
moment intervenir ? Comment ? Et par qui ?). Il faut également
prendre en compte les budgets alloués à ce processus.
2. Mettre en œuvre le processus.
3. Appliquer un suivi de sa réalisation.
4. Effectuer une analyse des résultats obtenus et mettre en place des
actions correctives si nécessaire. Il ne peut y avoir de contrôle de
gestion mis en place sans des objectifs clairement établis. Ce sont ces
derniers qui déterminent la feuille de route du processus qui pointe les
actions à engager et qui désigne les acteurs les plus compétents pour
mener à bien les opérations.
Néanmoins, avec l’évolution de l’environnement et des comportements, de
nouveaux besoins sont apparus et une nouvelle dimension a été donnée au
contrôle de gestion  : celle de conseil et de pilotage de l’organisation. Le
contrôle de gestion cherche ainsi à maîtriser les performances de
l’entreprise en analysant l’ensemble de ses activités et ses objectifs. Pour ce
faire, il se sert d’outils prévisionnels, d’analyse et d’interprétation. Quand
un écart entre les résultats prévisionnels et les résultats réalisés est constaté,
il propose des actions correctives.
Le contrôle de gestion a cependant des limites qui peuvent entraver sa
précision et son efficacité. En effet, il n’est pas possible de tout mesurer à
un coût raisonnable. De plus, certains coûts sont définis de manière
subjective et peuvent dévier de la réalité. Il faut également s’assurer de la
fiabilité des informations traitées ainsi que de leur simplicité, sous peine de
créer des incompréhensions chez son utilisateur. Il peut alors être compliqué
à mettre en place, par la résistance sociale à ce changement important en
apportant la notion de « contrôle » et de sanction ou être perçu comme un
accroissement des tâches pour les collaborateurs.

Définition du contrôle budgétaire

Le contrôle budgétaire est un outil de contrôle par les résultats. Il repose sur
la logique du contrat, selon laquelle la fixation d’objectifs (le contrat) inclut
le suivi des résultats.
La logique du contrôle budgétaire repose donc sur le calcul des écarts (entre
objectifs fixés et résultats) mais aussi sur les origines de ceux-ci,
notamment en termes de responsabilité (qui est le responsable). Ce contrôle
permet alors à l’entreprise de connaître sa progression vers ses objectifs et
de réagir pour à terme évaluer les performances des acteurs, améliorer les
bases des prévisions et la qualité des choix stratégiques.
Le contrôle budgétaire comprend par ailleurs l’élaboration des différents
budgets tels que les budgets opérationnels (ou fonctionnels) qui traduisent
les actions relatives aux différents services :
le budget des ventes : il permet de prévoir les quantités mensuelles et les
prix de vente unitaires en s’appuyant sur une analyse des ventes passées
et de l’environnement de l’entreprise (marché, concurrence, cycle de vie
des produits, comportement des consommateurs, etc.) ;
le budget de production  : il permet de prévoir les quantités à produire
ainsi que les coûts à imputer ;
le budget d’approvisionnement  : il permet d’estimer les achats
nécessaires à la production ;
le budget d’investissement : il permet d’estimer les acquisitions des biens
immobilisés ;
le budget financier : il permet de prévoir les flux de financement ;
le budget de trésorerie : il permet d’étudier les échéances à venir et les
potentielles difficultés de trésorerie (créances escomptées, négociation
de concours ou crédits bancaires, etc.).
Le contrôle budgétaire vise aussi à établir le compte de résultat et le bilan
prévisionnel afin de dégager par anticipation les résultats et la situation de
l’entreprise en cas de réalisation des prévisions.

Définition du contrôle interne

Le contrôle interne est  un processus mis en œuvre par le conseil

d’administration, les dirigeants et le personnel d’une organisation qui vise à
fournir une assurance raisonnable pour atteindre les objectifs suivants  : la
réalisation et l’amélioration des opérations  ; la fiabilité des informations
financières et de gestion ; la conformité aux lois et aux réglementations en
vigueur.
De nos jours, une multitude de définitions du contrôle interne existent et
varient selon les crises rencontrées par l’entreprise ou son secteur d’activité
(cf. chapitre 1). Il est cependant à noter que le contrôle interne est considéré
comme un processus mis en place dans une entreprise afin de maîtriser ses
activités à tous les niveaux pour lui permettre d’atteindre ses objectifs et où
toutes les unités de l’entreprise sont concernées.

4. CONVERGENCES, DIVERGENCES
ET COMPLÉMENTARITÉS

Relation entre audit externe et audit interne

Le champ d’intervention de l’audit externe et de l’audit interne diffère. En

effet, ces deux fonctions emploient des techniques similaires, mais
concernent des objets distincts. L’appréciation du contrôle interne,
la  documentation, le contrôle des comptes, l’utilisation des questionnaires
d’audit font partie de leur similitude. Cette similitude implique une
complémentarité, un risque de confusion élevé, mais aussi une réduction
des biais de communication entre les deux. C’est pourquoi l’organisation et
la définition des tâches ont une place importante dans leur relation.
Il est nécessaire que chacune des parties se prête attention, notamment
concernant l’accomplissement d’une tâche et la circulation des
informations, le but étant que les informations qui leur sont transmises
soient les plus pertinentes et fiables possibles. Néanmoins, les parties
internes et externes ne disposent pas de la même quantité et qualité
d’information à propos de l’organisation. Cette dernière peut alors être
exposée à une asymétrie d’informations qui pourra être d’autant plus forte
entre l’auditeur externe et la direction générale. Pour pallier cela, l’objectif
est alors de poser des questions pertinentes afin d’avoir une communication
claire et précise. L’auditeur externe doit pouvoir compter sur l’auditeur
interne et inversement.
À la suite de la crise économique et financière de 2008, un grand nombre
d’entreprises ont remis en question la collaboration entre l’audit interne et
l’audit externe, notamment du fait d’une certaine pression sur les coûts.
Désormais, même si les deux parties peuvent identifier ensemble les risques
encourus par l’entreprise et définir leur domaine d’audit, c’est à l’auditeur
externe de choisir les informations de l’auditeur interne qui lui semble
fiables. Le cas contraire, ce dernier doit effectuer un contrôle
supplémentaire.
L’audit externe s’appuie donc sur les travaux réalisés par l’audit interne et a
pour rôle d’évaluer la situation financière des entreprises ainsi que de
contrôler les comptes. Ce contrôle a pour objectif le renforcement de
l’image fidèle des comptes. Pour cela, la collaboration doit être permanente,
notamment par la mise en  place d’entretiens réguliers. D’autre part,
les  comptes-rendus des auditeurs externes sont utiles pour la planification
des missions des auditeurs internes. Enfin, le  bon sens et le pragmatisme
sont au cœur de leur relation.

Relation entre audit interne et contrôle de gestion

Le contrôle de gestion et l’audit interne ne présentent pas la même finalité

dans une organisation mais tous deux possèdent une absence de pouvoirs
opérationnels. Sans être le décideur, le contrôleur de gestion accompagne la
direction dans la prise de décision, tandis que l’auditeur interne s’assure, en
vue de la certification des comptes, de  la fiabilisation des données afin
d’améliorer l’efficacité des dispositifs et établit des recommandations
auprès des dirigeants.
Il s’agit donc de deux fonctions en pleine expansion, rattachées au plus haut
niveau de la structure et complémentaires. La relation entre les deux
fonctions est dite réciproque.
L’audit interne se base sur les tableaux de bords, les reporting, le contrôle
budgétaire, éléments conçus par le contrôle de gestion et s’intéresse de la
même manière aux commentaires transmis à la direction. Les données
fournies sont alors une base de travail solide pour l’auditeur interne en
termes de documentation, mais aussi dans le simple but de réaliser des tests
d’audit.
L’auditeur interne produit également une cartographie des risques qui, elle,
est indispensable au contrôleur. Les recommandations émises permettent en
effet au contrôleur d’améliorer ses procédures ainsi qu’éventuellement le
suivi budgétaire.
Le contrôle de gestion et l’audit interne participent donc, de façon
différente, aux performances de l’organisation et tendent à se rejoindre du
fait de leur caractère universel et de leurs objectifs.

DIFFÉRENCES AUDIT INTERNE CONTRÔLE DE GESTION

S’intéresse principalement à
S’intéresse aux systèmes et
Finalité l’information  : contrôle le
procédures : contrôle le processus
de contrôle résultat du processus
lui-même
organisationnel

Informations à caractère multiple Informations chiffrées

Information
(sécurité, qualité, fisc, etc.) ou chiffrables

Période Planifiée, ponctuelle Tout au long de l’année

Mise en œuvre Normalisation des méthodes Intuitive

Tableau 2.2 – Différences entre audit interne et contrôle de gestion

Relation entre contrôle de gestion et contrôle interne

Le contrôle de gestion et le contrôle interne ont tous deux des buts

communs : contribuer à l’amélioration des performances de l’organisation,
à la maîtrise des activités et à l’atteinte des objectifs. La proximité de leur
finalité se traduit par une contiguïté organisationnelle, d’où l’usage d’outils
communs tels que des tableaux de bord ou des logiciels de gestion.
La ressemblance entre la finalité du contrôle de gestion et du contrôle
interne peut faire l’objet d’une confusion. Pourtant, ils sont mis en œuvre
dans des cadres bien différents. Le contrôle de gestion se  base sur les
chiffres comptables et ne fait pas appel à l’audit interne. Inversement, le
contrôle interne utilise l’audit interne afin de s’assurer de la bonne
application des procédures.
Une différence peut également être aperçue quant à leur position dans
l’organigramme hiérarchique de l’entreprise. En effet, le directeur général
s’appuie sur les rapports rédigés par le contrôleur de gestion, qui livrent des
informations financières essentielles, afin de prendre des décisions. Ceci lui
permettra de justifier ses choix devant le conseil d’administration et devant
les actionnaires. En revanche, le contrôle interne est totalement indépendant
de la direction générale  : il permet de contrôler les erreurs et les fraudes
dont celles du directeur général.
Cependant, ces deux modes de contrôle se montrent complémentaires. Le
contrôle interne, jouant un rôle dans le processus de fiabilisation des
informations financières, permettra d’optimiser le choix des indicateurs du
contrôle de gestion. Il assure donc une amélioration du processus de
contrôle de gestion. Ce dernier, à son tour, permet de renforcer la maîtrise
des risques en fournissant les analyses nécessaires.

Relation entre contrôle interne et audit interne

Le contrôle interne et l’audit interne diffèrent en raison de leur finalité mais

aussi en raison de leur nature. En effet, le contrôle interne ne constitue pas
une activité distincte, mais est un ensemble de mécanismes mis en œuvre
afin d’assurer la réalisation des objectifs. Son élaboration est réalisée par
l’ensemble des parties prenantes de l’organisation. Inversement, l’audit
interne représente une activité distincte et prodigue des conseils fondés sur
une approche par les risques. Les auditeurs internes sont les seuls
responsables de la mise en œuvre de l’audit interne.
Malgré les différences que ces modes de contrôle présentent, ils restent
complémentaires : le contrôle interne vise à diminuer les risques et l’audit
interne évalue le dispositif de ce dernier. Autrement dit, l’auditeur interne
est tenu d’évaluer le système du contrôle interne mis en place au sein de
l’entreprise.

Figure 2.4 – Distinction entre contrôle interne et audit interne

CAS D’ENTREPRISE

Affaire Enron : remise en question de l’indépendance

et de l’impartialité des auditeurs

«  Au début des années 2000, l’entreprise Enron réalisait un chiffre d’affaires

d’environ 100 milliards de dollars et comptait plusieurs dizaines de milliers
d’employés. Fin 2001, l’entreprise faisait faillite. En quelques mois seulement, la
valeur de l’action Enron en Bourse [passant] de 90 $ à environ 0 $7. »
L’environnement dans lequel le groupe Enron exerçait son métier de trader
n’était pas stable. Pourtant, il se distinguait par l’avancement du trading
énergétique et l’ingénierie financière, avec un mode de management axé sur la
création de valeur pour l’actionnaire. L’activité initiale d’Enron n’avait ainsi rien
d’illégale. Cependant, à partir des années 1990, une  nouvelle stratégie de
diversification et de développement à l’international fut mise en place. Cette
dernière se révélera être un échec. En effet, afin de cacher ses pertes et
d’augmenter ses bénéfices, l’entreprise utilisa une multitude de sociétés écrans
et altéra ses comptes pour augmenter sa valeur boursière.
Mais comment cela a-t-il pu être possible ? Cette affaire résulte de plusieurs
éléments :
– la complicité du cabinet d’audit ;
– la présence d’un PDG et d’un top management peu scrupuleux ;
– des comptables financiers doués ;
– la création de filiales dans des paradis fiscaux.
D’une part, du côté de la comptabilité, l’information suppose une certaine fiabilité
et transparence. Le métier de contrôleur interne assure l’appréciation d’une
image fidèle de la situation financière et du résultat de l’entreprise. Or, dans le
cas d’Enron, nous pouvons plutôt parler d’ingénierie financière car ce sont les
dirigeants qui ont recherché leur propre image comptable en vue de leur donner
une forme particulière par rapport à la réalité. D’autre part, la présence
d’auditeurs externes aide à encadrer et à réglementer les innovations de la
comptabilité puisqu’ils contrôlent le caractère véridique de l’information
comptable. Mais l’affaire Enron a dévoilé une nouvelle faille  : l’absence de
séparation des activités d’audit et de conseil a provoqué un problème
d’indépendance entre les auditeurs et les conflits d’intérêts.
Ainsi, les relations de complicité entre le service de comptabilité, la direction et
l’audit externe ont suscité l’attention.
L’acteur le plus impliqué dans cette fraude fut le cabinet d’audit Arthur Anderson
(l’un des plus gros cabinets d’audit de l’époque), dont Enron était le meilleur
client depuis 1993. Le cabinet fut accusé d’avoir détruit et falsifié divers
documents et l’auditeur qui s’occupait des comptes d’Enron licencié. Le réseau
américain du cabinet d’audit fut à son tour attaqué par la presse économique
puis par des journaux grand public. La Commission d’échange de sécurité (SEC)
infligea alors de multiples sanctions pour négligence à des auditeurs. De plus, ce
scandale influença fortement les débats des futurs référentiels comptables
internationaux et la chaîne de l’information comptable, au cœur de l’affaire, fut
vivement remise en cause.
En effet, dans le cas de cette affaire, il a été révélé que le cabinet Anderson avait
perçu 25 millions de dollars d’honoraires pour le contrôle légal des comptes
annuels et plus de 14 millions d’honoraires pour les missions d’audit interne8. Il
s’est donc retrouvé dans une situation de dépendance économique vis-à-vis de
son client –  à savoir que cela n’aurait pas été possible en France car il est
interdit pour un commissaire aux comptes de recevoir une rémunération autre
que celle liée à sa fonction. En outre, le contrôle interne possédait un grand
nombre de pouvoirs, mais les dirigeants ont tenté de freiner au maximum les
opérations de contrôle sur les activités risquées, ont esquivé les
recommandations faites par les contrôleurs et ont négligé les règles. Les
contrôles, interne et externe, furent alors difficiles et ont été mal assurés.
Cette affaire a été la première du genre à révéler des failles dans les systèmes,
les procédures, les pratiques de contrôle des comptes et de surveillance des
marchés financiers. Elle a de plus permis de révéler aux législateurs et aux
normalisateurs que le marquage en temps réel sur le marché de certains actifs et
passifs était susceptible d’accroître la volatilité des marchés et la spéculation
boursière9.

CAS D’ENTREPRISE

Affaire Tesco : scandale d’une fraude comptable

Très connu au Royaume-Uni, le groupe Tesco évolue dans le secteur de la

grande distribution et compte plus de 800 magasins rien que sur le territoire
britannique. Mais en 2014, le groupe a subi un revers de taille mettant à mal son
image auprès du grand public. En effet, un lanceur d’alerte a révélé des erreurs
comptables s’élevant à 250 millions de livres sterling. Le dossier mis également
en évidence des écarts importants entre le moment où les bénéfices avaient été
comptabilisés et le moment où les coûts avaient été payés. Pour ce faire,
l’astuce comptable utilisée consistait à inscrire immédiatement en produit du
compte de résultat les sommes escomptées et à reporter les charges engagées
pour ces mêmes opérations.
Dès lors, Tesco se retrouva au centre d’un scandale financier. À la suite de ces
révélations, l’Autorité de conduite financière (FCA) annonça ouvrir une enquête
officielle. Tesco déclara rapidement mener sa propre enquête et reporta la
communication de ses résultats de trois semaines. Par conséquent, les actions
du groupe chutèrent de 11,5  % et quatre dirigeants furent suspendus. Cet
incident entraîna également une perte de confiance de la part des
consommateurs.
Ce scandale soulève plusieurs questions auxquelles il est difficile de répondre
sans remettre en cause le rôle du contrôle interne, la surveillance des processus
sur place et le rôle de l’auditeur : y avait-il des preuves de ces écarts comptables
avant 2014 ? Quand la situation a-t-elle commencé à se détériorer ? Comment
PWC, en tant qu’auditeur externe, a-t-il pu passer à côté de ces éléments ? Les
révélations ont toutefois conduit à remettre en question le rôle du président, et
surtout de PWC qui agissait à l’époque en tant qu’auditeur, car ces derniers
avaient alors déclaré avoir examiné de près les calendriers de paiements des
fournisseurs et n’avoir rien relevé d’incohérent.
Plus tard, les investisseurs révéleront que Tesco avait déjà reçu une première
alerte en 2010. Cette alerte portait sur les méthodes comptables, jugées
agressives, pratiquées par l’entreprise. Cependant, les  remarques allaient plus
loin encore, en avertissant Tesco qu’avec l’utilisation de méthodes comptables
plus «  standards  », son bénéfice avant impôt serait en forte baisse (de 64
millions de livres sterling). Alors pourquoi les parties prenantes de Tesco n’ont
pas fait plus de bruit ? La réponse la plus probable est qu’ils étaient sûrement
trop heureux de récolter les bénéfices d’une entreprise aussi rentable.
L’affaire Tesco prouva la présence d’une complémentarité entre le contrôle
interne et l’audit. En effet, l’audit vient vérifier les processus mis en place par le
contrôle interne afin de limiter les risques et les fraudes. Dans ce cas, le service
de contrôle interne n’était pas à la hauteur des attentes et n’a pas pris en compte
les alertes reçues. Le  président, de son côté, a  profité de la situation. Quant à
l’auditeur externe (PWC), ce  dernier a  tout simplement décidé de négliger
l’affaire.
 PARTIE 2

PRATIQUE
DU CONTRÔLE
INTERNE
EN ENTREPRISE
 CHAPITRE 3

Modèle de contrôle interne
des activités classiques
Les activités classiques de long terme comme les acquisitions
d’éléments d’actif immobilisé (corporel, incorporel et financier)
constituent le cycle d’investissement de l’entreprise. Tandis que les
activités de court terme comme les achats, les ventes ou encore la
gestion de stock relèvent du cycle d’exploitation.
La mise en pratique du contrôle interne couvre ainsi toutes les
structures de l’entreprise et ses activités. Aussi bien le cycle
d’investissement que celui d’exploitation font l’objet de contrôle
interne. Par ailleurs, le contrôle interne porte sur la gestion des
ressources humaines et couvre les procès d’embauche des
employés, de gestion de la paie et de gestion du personnel.

1. CONTRÔLE INTERNE DU CYCLE

D’INVESTISSEMENT
Dans le cadre des entreprises, il existe trois types d’investissements.
1. Les investissements matériels/corporels : ce sont les biens que possède
l’entreprise comme les voitures de fonction, les bâtiments, les
machines, etc.
2. Les investissements immatériels/incorporels  : ce sont les sommes
dépensées pour améliorer la production.
3. Les investissements financiers : ce sont des placements sur des actifs
et des actions de sociétés.

Aspects essentiels
Dans le cadre du cycle d’investissement de l’entreprise, le contrôle interne
consiste ainsi à :
contrôler les investissements engagés ;
contrôler l’utilisation et l’utilité des immobilisations ;
permettre à la comptabilité des investissements, d’être constamment
informée ;
procéder à des mises en rebut ;
s’assurer que les investissements sont réalisés en conformité avec la
réglementation, notamment celle liée à la protection des travailleurs, à
leur sécurité et à la protection de l’environnement.

Procédures administratives

Sélection des investissements

L’élaboration du budget d’investissement permet d’identifier les besoins et

de choisir les projets les plus rentables selon des moyens financiers de
l’entreprise. Chaque investissement doit alors faire l’objet d’un dossier
d’étude commerciale, technique, financière et de rentabilité.
Chaque dépense d’investissement doit par ailleurs faire l’objet d’une
autorisation préalable d’une personne compétente qui constate le motif,
l’estimation, le coût et la rentabilité de la dépense. Pour les dépenses
importantes dépassant un certain montant prédéterminé, l’autorisation doit
être demandée au conseil d’administration.

Commandes aux fournisseurs

Lors de la prise de commande auprès de fournisseurs, le contrôle interne

doit procéder à une consultation systématique des fournisseurs existants sur
le marché, ceci afin de faire jouer la concurrence aux profils de l’entreprise.
Une fois le choix établi, un bon de commande doit être créé, comprenant
notamment la date, le nom du fournisseur, le prix et le délai de règlement,
les garanties offertes par le fournisseur, etc. Il est dressé en autant
d’exemplaires que de besoins.

Réception des commandes

À la réception des immobilisations, les procédures de contrôle interne

doivent prévoir la vérification de la qualité du matériel livré avec la
commande ainsi que prévoir des mesures à prendre si la qualité n’est pas
conforme à la commande.
De plus, il est conseillé d’établir un bon de réception des commandes.

Enregistrement des factures

À la réception de la facture fournisseur, la mention «  original  » doit être

inscrite sur l’originale de la facture. L’indication «  double  » ou «  copie  »
doit être portée sur les copies jointes.
Les vérifications et les contrôles portent alors sur le destinataire, les
additions (prix unitaire, total, etc.), la conformité avec le bon de commande,
le bon de réception, etc.
Le procédé le plus satisfaisant est l’identification des immobilisations par la
description ou l’attribution d’un numéro d’identification et leur localisation
géographique. Pour chaque élément, une fiche d’immobilisation peut donc
être créée pour faciliter ce contrôle.

Paiement des factures

Acompte à la commande
Les procédures doivent prévoir à qui sont versés les acomptes et vérifier les
versements effectués pour s’assurer qu’ils sont conformes aux conventions
conclues avec les fournisseurs.
Bon à payer
À la suite de la vérification de la conformité entre la facture, le bon de
commande, le bon de réception et éventuellement le bon de livraison du
fournisseur, il doit être établi un bon à payer sur l’original de la facture.
Cela permet de s’assurer de la prise en compte, dans tous les cas,
au moment des paiements, des acomptes versés à la commande.
Règlements des factures
Quel que soit le mode de règlement habituellement utilisé par l’entreprise,
la personne qui signe les documents attestant des paiements (comme les
chèques) doit être certaine que la facture sera payée et que les délais prévus
seront respectés.
Annulation des factures
Le responsable qui signe le titre de paiement doit porter systématiquement
un cachet mentionnant celui-ci et viser l’original de manière à ce qu’il ne
puisse pas être payé une deuxième fois.

Conservation des immobilisations

Entretien et maintenance
Par la suite, les procédures de contrôle interne doivent prévoir des mesures
pour que les immobilisations soient maintenues dans un excellent état
permettant la meilleure utilisation possible. Par  exemple  : un service
d’entretien, un contrat de maintenance, des inspections périodiques pour les
entreprises géographiquement décentralisées ou encore des fiches
d’entretien.
Assurance
Les nouvelles acquisitions des immobilisations doivent enfin être
immédiatement couvertes par un contrat d’assurance.

Inventaire des immobilisations

Enfin, l’inventaire physique des immobilisations permet de confirmer

l’inventaire permanent des immobilisations tenu à l’aide d’un fichier et de
détecter les erreurs qui auraient pu se produire dans les enregistrements
comptables ou éventuellement des vols, des détournements, etc.
 2. CONTRÔLE INTERNE DU CYCLE
D’EXPLOITATION

Cycle achats-fournisseurs

Le processus du cycle achats-fournisseurs comprend les étapes suivantes.

1. Expression et approbation du besoin.
2. Consultation des fournisseurs.
3. Sélection du fournisseur, passation et suivi des commandes.
4. Contrôle et réception de la commande.
5. Contrôle et enregistrement des factures.
6. Paiement des factures et enregistrement comptable.
Dans ce cadre, les commandes d’achat de biens et de matériaux doivent être
basées uniquement sur les fonctions requises et dans des quantités
optimales pour l’entreprise. De plus, le contrôle de réception doit être
prévu, ainsi que la vérification des factures avant les paiements. Dès  lors,
les fonctions suivantes doivent être déléguées à différents services ou
personnes :
fonction de commande ;
fonction de réception ;
fonction de comptabilité/enregistrement des factures ;
fonction trésorerie.

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

La gestion des stocks doit fournir un

Veiller à ce que les besoins soient
inventaire minimum et maximum.
exprimés sur la base de critères
L’inventaire minimum peut éviter les
1 appropriés pour éviter les ruptures de
ruptures de stock et l’inventaire
stock ou les stockages. La demande
maximum peut empêcher le sur
doit être réelle et économique.
stockage.

2 S’assurer que les besoins exprimés font La demande d’achat est établie par le
l’objet d’une demande d’achat ou magasinier et est basée sur des stocks
minimum/maximum par le service achat
 d’autres documents adéquats en en fonction des exigences de la
nombre d’exemplaires suffisant. production.

L’établissement du logiciel de gestion

des stocks peut effectuer la publication
S’assurer que les demandes d’achat quotidienne et automatique de la liste
3
sont définies à temps. des références en stock sur les
quantités égales ou inférieures au stock
minimum.

Les demandes d’achat doivent fournir

une première colonne pour l’article, une
S’assurer que les demandes d’achat
deuxième colonne réservée aux
incluent une description détaillée des
4 références techniques du fournisseur et
articles demandés et de leurs
une dernière colonne réservée à la
caractéristiques.
description du produit (nom, dimension,
nature, couleur, etc.).

La demande d’achat doit être signée

S’assurer que les demandes d’achat
par la direction générale via le service
5 sont approuvées par un responsable
de contrôle de gestion, un gestionnaire
indépendant et approprié.
hiérarchique, etc.

Un carnet à souches de triple

S’assurer que l’expédition (dispatching) exemplaire de la demande d’achat est
6
est appropriée. nécessaire pour vérifier l’expédition des
commandes.

Les demandes d’achats doivent être

prénumérotées.

Un tableau de suivi des demandes

S’assurer qu’il existe un suivi adéquat
7 d’achat doit contenir les informations
des demandes d’achat par les clients.
suivantes  : numéro de demande
d’achat, date de la demande,
désignation de l’article, date de livraison
souhaitée, quantité, service demandeur.

Tableau 3.1 – Expression et approbation du besoin

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que les procédures La société doit établir des instructions

de consultation des formalisées et claires via un document dûment
fournisseurs permettent approuvé pour fixer le formulaire de la
d’effectuer les achats dans les consultation (avec ou sans appel d’offres) en
meilleures conditions en termes fonction de la nature des biens et des services,
de : ainsi que leur prix.
– rapport qualité/coût ;
L’entreprise établit des documents spécifiques
 – délai de livraison ;
– modalités de règlement.
pour les consultations des fournisseurs
(demande de prix, cahier des charges, etc.).
Ces documents doivent :
– être établis de manière appropriée ;
– inclure une indication sur la nature et les
caractéristiques des biens ;
– comprendre une indication pour les délais
de livraison requis.

La société doit mettre en place des procédures

de consulting pour permettre des achats
économiques (meilleures qualifications, prix,
délais de livraison et conditions de règlement).

Tableau 3.2 – Consultation des fournisseurs

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

La société doit fixer des instructions claires et

formalisées qui établissent les organes
Vérifier que les procédures de responsables de la sélection des fournisseurs.
sélection du fournisseur Ces organes doivent être compétents et
permettent de choisir le indépendants.
fournisseur qui offre les
meilleures conditions en termes L’entreprise établit un tableau comparatif des
1 de : fournisseurs. Ce tableau doit comporter :

– rapport qualité/prix ; – le nom du fournisseur ;

– délai de livraison ; – le prix proposé ;

– modalités de règlement. – la qualité du produit ;

– le délai de livraison ;
– les conditions de liquidation.

Les personnes qui constituent le corps

responsable de la sélection du fournisseur
doivent :
S’assurer que les organes
responsables de la sélection – être compétentes et avoir une
2 des fournisseurs ont des connaissance des activités de la société, en
garanties d’objectivité particulier le circuit d’approvisionnement ;
suffisantes. – n’avoir aucune relation particulière avec les
fournisseurs ;
– être intègres.

3 Vérifier que le dépouillement L’entreprise doit fournir ses instructions sur les
des offres et l’établissement du règles relatives à l’acceptation des offres, à la
 tableau comparatif sont lecture et à la classification des offres reçues.
exécutés correctement. De plus, les tableaux comparatifs établis doivent
être accompagnés des documents utilisés pour
leur établissement.

Le tableau comparatif des fournisseurs, ainsi

que le PV de sélection des fournisseurs doivent
Vérifier que la décision de
être :
sélection du fournisseur et les
modèles de choix sont – détaillés, avec une décision motivée et
4 correctement axés sur le explicite ;
tableau comparatif et/ou le PV – contrôlés par un indépendant qui n’est pas
et que ces documents sont celui qui a participé à leur établissement et
correctement signés. à leur approbation (par exemple, un
auditeur interne).

L’organe responsable du choix du fournisseur

doit construire un document (PV, note) sur
lequel il mentionne son travail d’élection et son
Vérifier que les commandes
choix final. Plus tard, le fournisseur doit être
5 sont conformes à la décision du
formellement informé qu’il a été retenu. Le bon
choix du fournisseur.
de commande doit être déterminé en fonction
du contenu du PV de la commission de
consultation des fournisseurs.

La commande doit être :
– prénumérotée ;
– datée ;
– vérifiée par une autre personne que celle
qui l’a créée ;
– signée par une personne compétente.
Pour ce faire, le bon de commande doit :
Vérifier que le bon de – inclure une description détaillée de la
6 commande est correctement nature et des caractéristiques des produits,
établi. l’étendue des services et les prix
correspondants ;
– comporter la date de livraison estimée
prévue ;
– inclure la décharge d’acceptation du
fournisseur ;
– communiquer avec les fournisseurs et
autres destinataires en temps opportun
(comptables, magasinier, etc.).

7 Suivre la commande. L’entreprise doit établir un tableau de suivi des

bons de commande (numéro et date du bon de

Tableau 3.3 – Sélection du fournisseur, passation et suivi des commandes
N° OBJECTIF
Vérifier que tous les reçus sont
1 conformes à la quantité et aux
articles réellement commandés.
Tableau 3.4 – Contrôle et réception des commandes
N° OBJECTIF
1 S’assurer que les factures des
fournisseurs sont correctement
vérifiées et enregistrées.
commande, nature et quantité, date de livraison
prévue, date de livraison réelle).
MOYENS À METTRE EN ŒUVRE
Tous les reçus doivent être conformes aux
commandes sur la quantité, la qualité et la date
de réception.
Un document de réception doit être remis après
chaque réception. Ce document peut être un
bon de réception ou un PV de réception.
Le bon de réception doit :
– être daté et prénuméroté ;
– être signé par les réceptionnistes ;
– être établi avec un nombre suffisant de
copies ;
– inclure des instructions exactes sur le code
et le nombre d’articles reçus ;
– être rapidement communiqué aux différents
destinataires.
Un rapport de réception extraordinaire doit être
systématiquement déposé lors d’une réception
non-conforme (quantité et qualité).
Les rapports d’erreur doivent être surveillés
périodiquement pour les fournisseurs (facture
d’avoir, remplacement des marchandises, etc.).
MOYENS À METTRE EN ŒUVRE
Les factures des fournisseurs doivent être
reçues et répertoriées par le bureau d’ordre afin
de bien distinguer les factures originales des
copies.
Le service des achats doit effectuer des
vérifications arithmétiques et laisser une preuve
matérielle de ces vérifications.
 Les factures et pièces jointes doivent être
immédiatement transférées au service
comptable.

Dès réception de tous les documents, le service

comptable doit effectuer un deuxième contrôle
arithmétique et laisser une preuve matérielle
que ce contrôle a été effectué.

Les factures des fournisseurs doivent être

affichées et comptabilisées rapidement. Toutes
les factures enregistrées doivent comporter un
cachet «  comptabilisé  ». Les informations clés
pertinentes pour la comptabilité doivent être
mentionnées ultérieurement (journal, date,
référence des comptes mouvementés, etc.).

Une copie de la facture fournisseur doit être

soumise au niveau du fichier fournisseur
concerné, dans la section relative à la facture en
attente.

Les factures des fournisseurs et les documents

d’accompagnement doivent être rapidement
envoyés au service financier pour la
planification des paiements.

Tableau 3.5 – Contrôle et enregistrement des factures

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que les Dès réception de tous les documents requis, le service
factures des financier effectue une seconde vérification arithmétique
fournisseurs sont et documentaire. Ce contrôle doit être effectué par
correctement vérifiées l’apposition du cachet « contrôle : service financier ».
et enregistrées.
Les factures doivent être payées conformément aux
conditions générales du fournisseur et à la
réglementation en vigueur (fiscale et légale).

Les documents faisant référence au règlement doivent

être exacts (avis de virement, reçu de règlement par
espèce ou par chèque, etc.) et ces références doivent
être inscrites sur la facture.

Après paiement, les factures originales doivent être

annulées avec l’apposition du cachet « payé ».

Après paiement, les documents de référence du

paiement ainsi que les factures et autres documents
 d’accompagnement doivent être envoyés dans de brefs
délais au service comptable. Le service comptable doit
alors vérifier si la réglementation est conforme aux
conditions convenues par le fournisseur, tandis que le
paiement des factures doit être enregistré correctement
et rapidement. La comptabilisation du paiement doit
être réalisée au moyen d’un cachet portant les
informations nécessaires pour identifier la pièce
comptable.

Les factures des fournisseurs et les documents

d’accompagnement doivent être correctement classés.
Les copies des factures classées dans le niveau
«  factures à payer  » doivent être retirées et classées
dans le niveau «  factures payées  » du fichier
fournisseur concerné.

Tableau 3.6 – Paiement des factures et enregistrement comptable

Cycle gestion des stocks

Les quantités sorties de l’entrepôt sont-elles soumises à une autorisation

appropriée  ? Les quantités en stock sont-elles bien protégées contre les
pertes dues au vol, au gaspillage, aux prélèvements non autorisés et contre
les risques physiques (incendie, inondation, humidité,  etc.)  ?
Les  transactions effectuées doivent-elles être rattachées aux exercices
concernés  ? Le calcul des coûts est-il correct  ? L’entreprise tient-elle une
comptabilité analytique ?
Plusieurs étapes initiales doivent ainsi être prises pour assurer un inventaire
physique correct et une bonne gestion des stocks. Les  fonctions suivantes
doivent dès lors être remplies par des personnes totalement différentes :
fonction achat ;
fonction réception ;
fonction magasinage ;
fonction paiement ;
fonction fabrication ;
fonction expédition (vente) ;
fonction comptabilisation ;
 fonction saisie de l’inventaire.

Protection des stocks

Les procédures de contrôle interne doivent conduire à :

faciliter l’identification et le bon stockage des stocks ;
rendre les magasiniers responsables des quantités sous leur contrôle ;
protéger les stocks contre les risques (risque de détérioration, risque
d’incendie, etc.).

Instructions d’inventaire

Les instructions d’inventaire doivent préciser la date de l’inventaire, la

désignation des départements où l’inventaire aura lieu, la nature des
imprimés et leurs utilisations.
Les instructions d’inventaire doivent par ailleurs s’assurer que toutes les
précautions sont prises au sujet du rangement préalable des articles, du
classement à part des articles des tiers se trouvant chez l’entreprise (tels que
les emballages).

Évaluation des stocks

Enfin, les procédures de contrôle interne doivent prévoir la méthode

d’évaluation à utiliser pour les contrôles à effectuer afin de s’assurer de
l’application des instructions d’une manière correcte.
Ainsi, la tenue d’une comptabilité analytique semble être indispensable.

Cycle ventes-clients

Dans ce dernier cycle du grand cycle d’exploitation de l’entreprise, le

contrôle interne doit s’assurer que :
les commandes reçues sont exécutées et centralisées de façon rapide et
efficace ;
 toute marchandise livrée ou tout service rendu est facturé régulièrement
et sans retard ;
toutes les factures générées par les activités de l’entreprise sont
enregistrées d’une manière correcte et complète ;
les comptes débiteurs des clients sont suivis afin d’éviter tout retard dans
l’encaissement.
Le processus du cycle ventes-clients comprend ainsi les étapes suivantes.
1. Réception des commandes des clients et programmation de
la livraison.
2. Livraison.
3. Facturation.
4. Enregistrement des factures clients.
5. Suivi des factures clients.
6. Règlement des factures clients et comptabilisation.

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que la Le service commercial doit vérifier que le bon de

commande du client est commande contient une identification précise des
correctement autorisée. articles commandés et que le client choisi est crédible
pour répondre à la commande.
Le service commercial doit également vérifier l’état des
factures impayées du client.
Les commandes reçues doivent être étudiées et
confirmées par un responsable dûment autorisé à
effectuer cette tâche. Cette personne doit notamment
étudier la capacité de l’entreprise à réaliser les
commandes reçues. Pour ce faire, cette personne
doit :
– déterminer les articles commandés ;
– déterminer le délai de livraison demandé ;
– identifier le prix mentionné dans la commande
(pour le garder cohérent avec la liste de prix) ;
– consulter le plan de production ;
– déterminer la possibilité de traiter les commandes
(en termes de temps, de matières premières et de
main-d’œuvre) et organiser le recours à des sous-
traitances si nécessaire ;
 – autoriser la programmation de la commande en
confirmant et en signant.
Si le prix et/ou le délai mentionné dans le bon de
commande ne sont pas approuvés, le client doit
négocier pour corriger les termes de la commande afin
d’établir un bon de commande définitif.

S’assurer que les

commandes des clients
sont conformes aux Les prix et les remises accordés doivent être autorisés
politiques commerciales dans le cadre de la politique commerciale générale ou
2
de l’entreprise en termes par un chef de service agréé lorsqu’ils sont de nature
de prix, de remises, de particulière.
délais de livraison et de
conditions de paiement.

Tableau 3.7 – Réception des commandes et programmation de la livraison

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 Vérifier que la livraison se La livraison doit être soigneusement préparée en

déroule dans les délais
convenus et conformément
à la commande.
fonction des articles à livrer et du mode de transport
à utiliser. De plus, le client doit être informé de la
date et de l’heure de livraison. En outre, la livraison
doit être documentée d’une manière appropriée.
Le bon de livraison doit :
– être prénuméroté ;
– comporter une date ;
– avoir un nombre suffisant de copies ;
– avoir une référence ;
– inscrire le code, le montant, la quantité et les
instructions précises de l’article à livrer.

Le bon de livraison doit être vérifié par une

personne indépendante avant la livraison,
notamment pour le vérifier avec le bon de
commande et la quantité à livrer.

Si les marchandises doivent être transportées par

des personnes externes à l’entreprise, le
transporteur doit signer correctement le document
des marchandises. De plus, cette pièce justificative
doit inclure une confirmation de réception du client.

Dans le cas du transport aérien ou maritime des

marchandises, une police d’assurance doit être
 souscrite pour couvrir le risque d’endommagement
ou de perte des produits.

Le bon de livraison doit contenir la preuve que le

client a bien reçu l’article (décharge du client).

Tableau 3.8 – Livraison

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

Toutes les livraisons doivent être facturées à

temps. Il doit exister pour cela un logiciel de
gestion des ventes qui permet d’éditer
automatiquement la facture après validation du
bon de livraison. Ce logiciel permet d’établir des
factures pour plusieurs bons de livraison.

La facture doit être appropriée. Elle doit :

S’assurer que tous les biens ou
1 services livrés sont facturés
régulièrement et sans retard.
– être prénumérotée ;
– datée ;
– être établie conformément à la loi en
vigueur ;
– comporter un nombre suffisant de copies ;
– portée la référence du bon de livraison et
du bon de commande ;
– avoir le code produit, le prix, la quantité et
les instructions précises des articles
vendus ;
– mentionnée le prix hors TVA ;
– indiquée le taux et le montant de la TVA ;
– identifiée les différentes réductions ;
– être conforme aux articles livrés et au prix
facturé par l’entreprise ;
– être conforme aux conditions conclues
avec le client.

La facture doit être communiquée au client

immédiatement. Avant d’envoyer la facture, il
est important de la vérifier par une personne
indépendante. Lorsque le client reçoit la facture,
il doit la signer et sceller la copie de la facture
par un cachet prouvant qu’il a déchargé la
marchandise.

Tableau 3.9 – Facturation
N° OBJECTIF MOYENS À METTRE EN ŒUVRE

Le service comptable doit :

– vérifier les factures (bons de commande,
bons de livraison, listes de prix) ;
– vérifier les conditions formelles de la facture ;
– vérifier l’application correcte des taux de TVA
et des différentes taxes fiscales ;
S’assurer que toutes les
factures liées aux activités de – vérifier la correspondance entre la date de
1 l’entreprise sont facturation et la date de livraison avec
intégralement et correctement l’exercice comptable concerné ;
comptabilisées. – surveiller la séquence numérique des
factures ;
– vérifier la séquence numérique du bon de
livraison.
Après avoir effectué les vérifications nécessaires,
le service comptable doit comptabiliser
correctement et rapidement la facture vérifiée.

Tableau 3.10 – Enregistrement des factures clients

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

La fonction d’encaissement doit être

systématiquement et rapidement informée des
factures émises et des paiements.

Les créances encaissées par le service

Vérifier si la facture client est
recouvrement doivent être réalisées au travers de
correctement suivie pour
documents appropriés incluant la décharge du
1 s’assurer qu’elle est
client.
encaissée dans les plus
brefs délais. Le service financier doit envoyer périodiquement
des relevés de compte à chaque client (et
demander au client de confirmer le solde) pour
identifier tout encaissement non déclaré par le
service recouvrement.

Tableau 3.11 – Suivi des factures clients

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 Vérifier que les paiements Un échéancier des créances doit être

sont effectués à temps et constamment mis à jour et comparé au solde
comptable.
 que les factures sont Le paiement reçu du client doit être correctement
correctement comptabilisées. lié à la facture correspondante. Ce dernier doit
être versé immédiatement sur un compte
bancaire.
Le statut du paiement et les documents connexes
doivent être envoyés au service comptable.

Le service comptable doit vérifier les documents

de paiement et régler le paiement au niveau du
compte client approprié.

Tableau 3.12 – Règlement des factures clients et comptabilisation

3. CONTRÔLE INTERNE
DES RESSOURCES HUMAINES
Le contrôle interne doit s’assurer que :
les risques liés aux ressources humaines sont bien maîtrisés, ce qui peut
avoir un effet considérable sur l’efficacité de l’entreprise, et vérifier qu’il
y a une pleine compréhension des facteurs clés de performance ;
la gestion des objectifs est efficace pour prouver l’utilité de chaque
membre du personnel (s’il a atteint les objectifs qui lui sont assignés et
s’il a contribué efficacement à réaliser les objectifs stratégiques de
l’entreprise) ;
les tâches et les services sont exécutés à une bonne vitesse (gérer les
difficultés avec une bonne vitesse de réponse, résoudre les problèmes,
découvrir et gérer rapidement de nouveaux risques) ;
une communication rapide et efficace est mise en place entre les
départements et les individus ;
une bonne collaboration entre le service en charge des ressources
humaines et tous les services est présente pour atteindre les objectifs de
l’entreprise ;
les employés sont qualifiés lors du processus de recrutement et en temps
de travail ;
une supervision et un contrôle efficaces du personnel sont effectués ;
 la pleine utilisation du personnel et les dépenses supplémentaires dues à
un personnel excessif ne sont pas autorisées ;
l’entreprise prend les mesures nécessaires pour retenir et attirer les
meilleurs talents en compétences et en comportements ;
les collaborateurs ont les moyens nécessaires au développement de leurs
compétences et à l’amélioration de leurs comportements ;
la gestion du personnel est efficace et suffisante ;
les calculs et l’établissement des déclarations salariales et sociales et
fiscales liées aux salaires sont fiables ;
une prévention efficace des risques d’éventuels accidents du travail et de
maladies professionnelles est prévue ;
la gestion des ressources humaines est conforme à la loi.
Dans ce cadre, sauf pour un contrôle de rémunération équivalent, les
fonctions suivantes ne peuvent pas être combinées par la même personne :
fonction d’enregistrement : préparer et vérifier les calculs des bulletins
de paie ;
fonction opérationnelle  : déterminer le niveau de salaire, autoriser les
primes et les heures supplémentaires ;
fonction conservation : distribuer une enveloppe de paie.
Ainsi, le processus de gestion des ressources humaines comprend les étapes
suivantes.
1. Embauche des employés.
2. Préparation et établissement de la paie.
3. Calcul des salaires.
4. Paiement et comptabilité des salaires.
5. Gestion des ressources humaines.
6. Gestion des dossiers des personnels et des formulaires de congé.

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

L’embauche doit se faire selon un calendrier. La

direction doit établir un programme pour
identifier les besoins individuels ainsi qu’un plan
de recrutement. En l’absence de programme de

S’assurer que les employés
1 embauchés sont compétents et
honnêtes.
Veiller à ce que le recrutement
du personnel soit conforme à la
réglementation en vigueur et
2
permette de protéger les
intérêts de la société et du
personnel employé.
S’assurer que tous les
employés sont identifiés dans
3
l’entreprise et que les éléments
de paie sont corrects.
recrutement préétabli, tout recrutement doit être
autorisé par une autorité compétente pour
vérifier le besoin et le profil du candidat.
Le recrutement du personnel doit être effectué
sur la base d’une sélection selon des critères
clairement définis. La sélection du personnel
peut être confiée à un organisme externe
spécialisé. Souvent, ces organisations sont
indépendantes et libres de toute influence.
La procédure de recrutement doit inclure une
vérification des références du candidat. Cette
vérification doit être faite par écrit.
Les responsables des ressources humaines
doivent avoir ou être correctement formés en
matière d’emploi et de droit à l’emploi.
Pour chaque personne embauchée, l’entreprise
doit leur fournir un numéro d’identification et un
nombre suffisant de copies du contrat de travail.
Chaque personne embauchée doit recevoir les
vêtements de protection et l’équipement de
sécurité nécessaires.
Chaque personne recrutée doit être déclarée
par l’entreprise dans les plus brefs délais à la
CNSS (Caisse Nationale de Sécurité Sociale).
Pour chaque personne embauchée, un dossier
individuel doit être établi. Ce dossier doit
comprendre les informations suivantes :
– le curriculum vitae (CV) ;
– l’état civil du salarié ;
– une photo ;
– la situation familiale ;
– un exemple de signature ;
– une copie du contrat de travail ;
– la date d’engagement ;
– une fiche de développement de carrière ;
– un rapport d’enquête de l’éthique en cours
d’activité et, éventuellement, les
licenciements ou les départs ;
– les détails de la rémunération.
 Tableau 3.13 – Embauche des employés

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que la préparation Le salarié doit pointer à l’entrée et à la sortie de

et la planification des salaires l’entreprise. Pour ce faire, l’entreprise peut
ont été mises en place s’équiper d’horloges de pointage.
conformément : L’enregistrement peut être effectué avec une fiche
– aux heures de travail ; de pointage ou un badge de pointage
magnétique. Les pointages des employés doivent
– aux informations être vérifiés par rapport à l’état de présence au
contenues dans les niveau des usines et des chaînes de production.
dossiers du personnel ;
– à la loi en vigueur. Un responsable des ressources humaines doit
surveiller le pointage à la porte d’entrée et à la
porte de sortie. Ce contrôle empêchera un
employé de pointer pour plusieurs employés en
même temps.

Les heures supplémentaires doivent être justifiées

par le service demandeur et autorisées par un
gestionnaire. Les heures de travail en sus des
heures normales qui ne correspondent pas aux
heures supplémentaires autorisées doivent être
supprimées du salaire mensuel.

Un récapitulatif de pointage doit être préparé à la

fin de chaque mois. Ce rapport devrait faire la
distinction entre les heures de travail normales et
les heures supplémentaires. Ce  rapport
récapitulatif doit être saisi au niveau du logiciel de
paie par une personne autre que celle qui l’a mis
en place.

Le logiciel de paie doit avoir un accès sécurisé

pour empêcher diverses modifications non
autorisées (suppressions, modifications et ajouts).
La sécurité des logiciels de paie implique des
données liées aux heures de travail, au salaire
journalier et aux données relatives au personnel
(nombre d’enfants, état matrimonial, etc.).

La sécurité sociale et les allégements fiscaux

doivent être contrôlés, supervisés et cohérents
avec les dossiers des personnels.

Outre les impôts et les prélèvements sociaux

(prêts, acomptes, etc.), d’autres prélèvements
doivent être contrôlés, suivis et vérifiés dans les
dossiers des personnels.
 Le journal des salaires et/ou le récapitulatif des
salaires doivent être édités et comparés au
récapitulatif de pointage et aux dossiers
individuels des personnels.

Le salaire doit être vérifié avant le paiement. Une

fois que la paie est prête, elle doit être vérifiée par
le gestionnaire avant le paiement.

Avant de payer les salaires, le signataire du

chèque, du relevé de virement et du bulletin de
versement en espèces doit :
– vérifier que la paie a été approuvée ;
– vérifier que le montant à payer est réconcilié
avec le journal des salaires (ou le barème
des salaires) ;
– signer le montant à payer.
Le personnel chargé de la préparation des
salaires doit être régulièrement renouvelé.

Tableau 3.14 – Préparation et établissement de la paie

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que la masse Le service comptable doit s’assurer que le journal de

salariale est paie et/ou le récapitulatif de paie sont vérifiés par le
correctement saisie. responsable.

Avant d’enregistrer les écritures comptables relatives

à la paie, le comptable doit comparer le montant de la
paie avec le montant du mois précédent. Il doit donc
demander au service des ressources humaines toutes
les explications nécessaires en cas de variation
inhabituelle.

Le service comptable doit effectuer les contrôles sur

les retenues d’impôt et de Sécurité sociale
mentionnés dans le récapitulatif des salaires.

Le service comptable doit s’assurer que les

différentes déductions ont été effectuées
correctement et complètement.

Le service comptable doit calculer la cotisation sociale

de l’employeur et les autres taxes connexes sur les
salaires payés. Ce  calcul doit être vérifié par une
autre personne et doit être approuvé par le
responsable (dans certains cas, les frais et taxes sont
 mentionnés dans le journal de paie. Le service
comptable doit alors les contrôler et les approuver).

Une fois ces contrôles effectués, le service comptable

doit saisir rapidement le journal de paie ou l’état
récapitulatif de la paie.

Une fois les écritures de paie enregistrées, le service

comptable doit vérifier si chaque compte de paie est
correct (pour identifier les erreurs d’estimation et de
comptabilisation).

Tableau 3.15 – Calcul des salaires

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

1 S’assurer que le Le relevé de paiement du salaire doit être comparé au

paiement du salaire est journal et à la feuille de synthèse des salaires. Ce
conforme au contenu de rapprochement doit être effectué par une personne
la paie et est indépendante de la préparation du salaire.
correctement calculé.
Le rapport de paiement du salaire doit contenir trois
parties :
– le paiement en espèces ;
– le paiement par virement bancaire ;
– le paiement par chèque.

Le numéro de compte bancaire du bénéficiaire

mentionné dans le relevé de paiement par virement
bancaire doit être rapproché du RIB bancaire indiqué
dans le dossier personnel de l’employé.

Le bulletin de salaire doit être édité en double

exemplaire (pour le salarié et pour le service des
ressources humaines (signé par l’employé)) et doit
être concilié avec le journal des salaires et le
formulaire de paiement des salaires par un
responsable indépendant de la préparation des
salaires.

Les salaires payés en espèces doivent être vérifiés

par l’identité du bénéficiaire et être réduits au
minimum. La méthode la plus sûre et la plus
recommandée consiste à verser le salaire par
virement bancaire.

Avant d’enregistrer les écritures comptables liées aux

paiements de salaires, le service comptable doit :
 – vérifier que le relevé de paiement est approuvé
par le responsable et que le document de
paiement (reçu et/ou paie) a été signé par le
bénéficiaire ;
– vérifier les différents rapports de paiement des
salaires avec les journaux et le récapitulatif de
paie des salaires ;
– comparer le paiement mensuel avec le paiement
du mois précédent et demander l’explication
nécessaire s’il y a une différence anormale.

Une fois que les vérifications nécessaires ont été

réalisées, le service comptable doit saisir rapidement
les documents de paiement des salaires au niveau
des comptes préoccupés. Les documents enregistrés
doivent être annulés en appliquant un cachet
« comptabilisé » (date, journal, référence d’écriture et
compte mouvementé).

Une fois que les écritures de règlement de paie ont

été validées, le service comptable doit vérifier que
chaque compte de paie est correct (afin d’identifier les
erreurs d’attribution et de comptabilité).

Tableau 3.16 – Paiement et comptabilité des salaires

N° OBJECTIF MOYENS À METTRE EN ŒUVRE

La direction des ressources humaines doit établir un

Garantir une gestion bilan social chaque année.
efficace des objectifs
pour prouver l’utilité de L’entreprise doit établir un budget salarial annuel
chaque membre du chaque année.
personnel, la qualité du
personnel, un contrôle Le service des ressources humaines doit préparer un
efficace du personnel, rapport d’activité annuel.
1 un plein usage du
personnel, des mesures La direction de l’entreprise doit élaborer chaque
nécessaires pour retenir année les plans de formation nécessaires pour mettre
et attirer les meilleurs à jour les connaissances et améliorer les
talents en compétences compétences des employés.
et en comportements,
une gestion efficace des À la fin de chaque année, le service des ressources
salariés. humaines doit coopérer avec les autres services pour
évaluer tous les employés.

Tableau 3.17 – Gestion des ressources humaines

N° OBJECTIF
S’assurer que les dossiers
1 des personnels sont mis à
jour.
S’assurer que les employés
ne dépassent pas le
2
nombre de jours auxquels
ils ont droit.
Tableau 3.18 – Gestion des dossiers des personnels et des formulaires de congé
MOYENS À METTRE EN ŒUVRE
Les dossiers des personnels doivent être
constamment mis à jour (promotions, sanctions,
changements de situation familiale, etc.).
Le service des ressources humaines doit suivre
avec précision et attention les informations
relatives aux congés payés (nombre de jours au
début de la période –  nombre de jours de congé
dans la période + nombre de jours dans la période
en cours = nombre de jours à la fin de la période).
Le calcul du droit au congé doit être effectué
conformément au Code du travail et à la
convention collective, et doit être vérifié et validé
par un responsable.
 CHAPITRE 4

Évaluation du système de contrôle interne

Le mot «  audit  » vient du latin «  audire », qui signifie «  écouter  », et s’inspire du
verbe anglais «  to audit  » qui peut se traduire par «  vérifier, inspecter  ». L’audit
financier est peut-être le plus célèbre et le plus ancien des audits, bien que les
activités d’audit se soient étendues à tous les aspects des opérations de
l’entreprise : audit social, audit juridique, audit industriel, etc.
Ainsi, un audit comprend généralement une inspection par un professionnel
indépendant sur la manière dont l’activité est réalisée et les informations préparées
par le personnel d’encadrement sur la base des critères d’évaluation liés à l’activité
de l’entreprise.

1. CADRE D’ÉVALUATION DES SYSTÈMES

DE CONTRÔLE INTERNE

Définition générale de l’audit

Un audit est un processus d’examen clé et ses caractéristiques professionnelles se

reflètent dans :
la compétence du professionnel générée par la formation et l’expérience connexe ;
l’emploi des méthodes, des techniques et des outils pour assurer l’examen.
L’audit porte ainsi sur des informations :
synthétiques ou analytiques ;
prévisionnelles ou historiques ;
externes ou internes à l’entité émettrice ;
qualitatives, quantitatives ou techniques, etc.
Les opinions exprimées par l’auditeur sont des opinions responsables. Elles peuvent être
complétées par la formulation de recommandations. Ainsi, la principale contribution de
l’audit est la crédibilité et la sécurité qui peuvent être rattachées aux informations
auditées.

Définition de l’audit financier

Selon les publications de diverses organisations professionnelles, l’audit financier peut
être défini comme :
un ensemble de travaux réalisés par des professionnels compétents et indépendants
dans le but d’exprimer des opinions raisonnables sur la sincérité et la régularité des
états financiers (le bilan, le compte de résultat, l’état de flux de trésorerie, etc.) ;
un audit permettant de vérifier les éléments probants étayant les données contenues
dans les comptes sur la base de tests. Il intègre également les principes comptables
suivis dans l’évaluation et les estimations significatives retenues pour la clôture et
l’appréciation de sa présentation d’ensemble ;
un audit permettant aux auditeurs d’exprimer leurs opinions et de préparer des états
financiers dans tous les aspects significatifs selon le référentiel comptable défini,
conformément aux normes internationales de l’IFAC.

Distinction de l’audit avec les disciplines voisines

Audit et expertise comptable

Habituellement, un expert-comptable ayant la capacité d’un commissaire aux comptes

peut être chargé par l’entreprise d’établir ou de vérifier les comptes annuels. Trois types
de tâches peuvent être délégués à un expert-comptable : présentation, inspection (limitée)
et audit annuel des comptes. Il doit respecter les règles professionnelles et fournir une
attestation de fin d’emploi.
La mission de présentation est un format simple pour les états financiers. La mission
d’examen comprend également des vérifications régulières de la cohérence du compte
établi, et la troisième est une mission d’audit complète.

Audit et contrôle de gestion

Le contrôle de gestion a pour but d’évaluer les résultats en fonction des objectifs fixés et
d’assurer une utilisation efficace et efficiente des ressources pour atteindre les objectifs
de l’entreprise.
Les responsabilités du service de contrôle de gestion sont définies comme suit :
participer à la conception de la structure de l’entreprise et du système d’information
de gestion ;
faire fonctionner correctement le système d’information ;
assurer l’efficience des fonctions de l’entreprise (la productivité) et évaluer son
efficacité en fonction des objectifs ;
 utiliser les outils suivants pour définir des règles, des standards de gestion et des
indicateurs de performance : les tableaux de bord, les budgets et d’autres outils d’aide
à la décision.
Le contrôle de gestion et l’audit interne sont complémentaires. S’il n’y a pas de garantie
minimale de la qualité des informations transmises au contrôle de gestion qui est du
domaine de l’audit, le contrôle de gestion ne fonctionnera pas. Le contrôle de gestion
dans le cadre de l’environnement de contrôle interne sera examiné par l’auditeur.
Le contrôle de gestion vérifie l’efficacité du budget de l’audit interne (pour tout service)
et la comparaison avec ses réalisations.

Audit de gestion

Compte tenu des conclusions tirées, il s’agit peut-être de l’audit le plus connu du public.
Le but de l’audit de gestion est de fournir des preuves de fraude, de détournement ou de
gaspillage, ou de porter des jugements importants sur les opérations de gestion ou la
performance des individus ou du personnel.

2. DÉMARCHE D’AUDIT PAR LES RISQUES

Démarche d’audit par les risques

Prise de connaissance générale de l’entreprise

La prise de connaissance générale de l’entreprise permet aux auditeurs de mieux

comprendre leur mission et les éléments qui peuvent être importants pour leur jugement.
Ainsi, la prise de connaissance générale représente l’étape la plus importante de la phase
préliminaire (prise de connaissance générale, lettre de mission, diagnostic, planification),
qui permet à l’auditeur de comprendre le contexte général de l’entité, d’évaluer les
risques dus en fonction du domaine d’activité et des caractéristiques générales de
l’entreprise, et de comparer les transactions afin de les traiter par nature.

Analyse du système de contrôle interne

Grâce à l’analyse du système de contrôle interne de l’entreprise, l’auditeur peut évaluer

ses forces et ses faiblesses afin d’identifier le risque d’anomalies significatives contenues
dans les états financiers et donc être en mesure de déterminer la nature, l’étendue et le
calendrier de ses travaux de vérification. De plus, pour les données qui se répètent,
l’évaluation du contrôle interne permet aux auditeurs de comprendre le système de
production d’informations financières afin d’identifier les risques liés à sa conception et à
son fonctionnement.

Contrôle des comptes

Enfin, en fonction du niveau de confiance obtenu lors des étapes précédentes et du niveau
de risque déterminé, un contrôle des comptes est adopté pour chaque type de transaction
et chaque objectif.
La vérification des comptes, le contrôle des documents de synthèse, le suivi des états
financiers et les activités postérieures étant achevées, l’auditeur peut alors se forger une
opinion pouvant se concrétiser par la rédaction d’un rapport.

Risques d’audit

Le modèle d’audit basé sur les risques suppose que le risque d’audit suit la formule
suivante :
RA = RI × RC × RND
Risque d’audit (RA)  : les auditeurs expriment des opinions erronées en raison
d’erreurs significatives contenues dans les états financiers (taux maximum 5 %).
Risque inhérent (RI) : malgré l’existence de contrôles internes, il peut encore y avoir
des erreurs significatives dans le compte ou le solde d’un certain type de transaction.
Le risque inhérent dépend de la nature de l’activité, de la société auditée, de la nature
du solde du compte ou du type de transaction et de la complexité de l’opération.
Risque lié au contrôle (RC)  : les systèmes comptables et de contrôle interne ne
parviennent pas à planifier à temps ou à détecter des erreurs majeures dans les soldes
de comptes ou les catégories de transactions.
Risque de non-détection (RND) : le contrôle substantiel mis en œuvre par l’auditeur ne
parvient pas à détecter des erreurs dans le solde du compte ou la catégorie de
transaction. Le risque non détecté dépend de l’auditeur, qui est défini par lui-même
selon les risques inhérents et liés au contrôle.

3. DÉMARCHE D’ÉVALUATION DU SYSTÈME

DE CONTRÔLE INTERNE
L’évaluation du système de contrôle interne est la deuxième étape de l’approche d’audit.
La méthode utilisée par les auditeurs pour évaluer le contrôle interne lié aux principaux
cycles d’exploitation et aux actifs ou passifs qui en résultent comprend alors deux étapes
principales.
 1. L’évaluation de l’existence d’un contrôle interne implique la compréhension des
procédures et contrôles appropriés de traitement des données dans l’entreprise.
2. L’évaluation de la permanence du contrôle interne comprend la vérification du
fonctionnement du contrôle interne sur lequel l’auditeur décide de s’appuyer pour
s’assurer que le contrôle interne produit les résultats attendus tout au long de la
période examinée.
Les étapes d’évaluation du système de contrôle interne sont alors les suivantes.

Prise de connaissance des procédures

Description détaillée

La description détaillée du système et des procédures de contrôle interne est une étape
supplémentaire à la prise de connaissance générale. En effet, l’auditeur saisit à cette étape
toutes les méthodes et procédures liées à l’organisation comptable, à la préparation et à la
présentation des états financiers. L’auditeur ne s’intéresse alors qu’aux procédures de
contrôle interne liées à l’audit. Pour ce faire, il utilise une méthode narrative
(mémorandum) ou une méthode schématique basée sur un organigramme (flow-chart).

Confirmation de la compréhension et de l’application du système

En confirmant la compréhension et l’application du système de contrôle interne,

l’auditeur s’assure qu’il a une bonne compréhension du système de contrôle interne et
que les procédures décrites sont cohérentes avec les procédures appliquées. À ce niveau,
il appliquera des tests de conformité (également appelés tests de compréhension).

Évaluation initiale

Suite à l’étape précédente, l’auditeur peut donner sa première évaluation du système de

contrôle mis en place au sein de l’entité. Il  détermine les forces et les faiblesses
théoriques (ou de conception).

Contrôle des fonctions

Par la suite, l’auditeur s’assure que les avantages théoriques sont appliqués en
permanence. Il effectue alors un test permanent.

Évaluation finale
Lors de la phase d’évaluation finale du système de contrôle interne, l’auditeur peut
déterminer les faiblesses, les points forts théoriques et non appliqués, ainsi que les points
forts théoriques et appliqués.

Analyse des faiblesses et établissement d’un rapport d’évaluation

Enfin, l’évaluation finale du système de contrôle interne doit être entièrement

documentée dans les dossiers de l’auditeur et faire l’objet d’un rapport qui doit être
communiqué de la même manière que le rapport sur les états financiers.

Figure 4.1 – Étapes d’appréciation du contrôle interne

4. OUTILS D’ÉVALUATION DU SYSTÈME

DE CONTRÔLE INTERNE

Outils de description des procédures

Découpage de l’activité de l’entreprise en cycles ou modules

Les auditeurs s’intéressent aux procédures de contrôle interne qui sont principalement
liées aux différents comptes comptables constituant les états financiers à auditer. Les
auditeurs étant intéressés par tous les comptes comptables conduits de manière non-
isolée, il est nécessaire de décomposer les opérations de l’entreprise en plusieurs cycles
ou modules. En conséquence, diviser l’entreprise en un cycle ou un module permet à
l’auditeur de saisir les procédures en fonction du type d’opération du début à la fin d’une
opération.
Les différents cycles d’opérations d’une entreprise dépendent de sa taille et du secteur
dans lequel elle opère. Cependant, toutes les entreprises ont un cycle d’exploitation
commun, à savoir les achats, les ventes, la paie et les stocks (ce dernier est considéré
comme acyclique et fait l’objet d’un contrôle spécifique, mais il doit être subdivisé car il
est important de le prendre en compte).

Moyens à mettre en œuvre pour la saisie des procédures

L’auditeur peut utiliser les moyens suivants pour saisir les procédures de contrôle
interne :
la révision des documents existants ;
les interviews (entretiens) ;
les excursions sur le terrain et les observations directes ;
l’emploi de questionnaires.
Ces moyens doivent être utilisés en combinaison.
Examen de la documentation existante
Lors de la phase d’évaluation du système de contrôle interne, l’auditeur est tenu de
consulter les documents existants de l’entreprise, tels que :
• le manuel de procédure ;
• l’organigramme de la société ;
• les notes internes ;
• les notes de service ;
• les anciens rapports d’évaluation du contrôle interne ;
• les autres rapports de diagnostic et d’audit.

Manuel de procédures
Le manuel de procédures est un document interne de l’entreprise. Il décrit en détail la nature et
le contenu des tâches à effectuer pour chaque opération de la société. La description de la
méthode utilisée consiste alors à spécifier pour chaque tâche les principales actions
à entreprendre pour la réaliser.
L’existence d’un manuel de procédures interne à l’entreprise est un signe extérieur d’une gestion
efficace et saine. Il permet notamment :
– d’assurer la régularité des traitements des opérations ;
– d’améliorer la productivité des employés ;
–  de rendre les employés capables d’accomplir leurs tâches en définissant clairement les
postes ;
– de promouvoir la formation des nouveaux employés ;
 – d’améliorer la fiabilité des informations générées ;
– de mettre en place un contrôle interne efficace.
L’organigramme est quant à lui un schéma qui permet de représenter l’organisation d’une
entreprise ou d’un service.

Réalisation d’interviews (entretiens)

L’entretien est une technique de collecte d’informations qui permet d’expliquer la
procédure à évaluer. Il comprend des conversations avec les responsables et leurs
collaborateurs sur la base du guide d’entretien. Pour l’auditeur, il s’agit de comprendre
les différentes étapes des procédures en demandant à chaque interlocuteur les moindres
détails sur l’exécution de leurs tâches respectives.
Le succès de l’entretien dépend de la qualité de la communication de l’auditeur et de la
pertinence des questions posées aux salariés de l’entreprise.
Visites des lieux et observations directes
Dans le processus d’évaluation du système de contrôle interne, l’auditeur est tenu de
visiter les locaux de l’entreprise (usine, magasin, etc.) et d’observer le processus utilisé
par la fonction à évaluer.

Utilisation de questionnaires

Enfin, l’évaluation du contrôle interne lors de l’audit nécessite l’élaboration de deux

questionnaires :
questionnaire de sensibilisation (prise de connaissance)  : ce questionnaire est
indispensable pour l’auditeur car il peut, d’une part, lui permettre de bien comprendre
la fonction à évaluer et, d’autre part, il peut également l’aider à l’élaboration du
questionnaire de contrôle interne ;
questionnaire de contrôle interne : ce questionnaire a pour objectif principal de trouver
des anomalies liées au système de contrôle interne.

Exemple de questionnaire
Questionnaire de contrôle des stocks

RÉFÉRENCE
PROGRAMME DE
RÉF. OUI OU
QUESTIONS NON COMMENTAIRES VÉRIFICATION
DIAG. N/A
DES
PROCÉDURES

1. Le responsable
des stocks est-il
une autre
personne que le
comptable ?
 2. Le responsable
de l’affaire
examine-t-il les
différences
constatées ?

3. Les stocks sont-

ils régulièrement
identifiés ?

4. Des inventaires
physiques
périodiques sont-
ils effectués ?

5. Un système
d’inventaire
permanent est-il
utilisé ? En
quantité ou en
valeur ?

6. Les couvertures
d’assurances sont-
elles suffisantes
compte tenu du
niveau des
stocks ?

Exemples de risques détectés via un questionnaire

Exemple 1
Les réponses au questionnaire d’évaluation du contrôle interne ont permis à l’auditeur de
l’entreprise CASA de relever les faiblesses ci-dessous mentionnées. Aussi, l’auditeur a proposé
des mesures qui sont de nature à permettre de dépasser les risques associés à ces faiblesses.

FAIBLESSES MESURES PROPOSÉES

Les vendeurs acceptent les commandes et

Séparer les fonctions vente et livraison.
préparent les bons de livraison.

Les magasiniers procèdent à l’inventaire Séparer les fonctions contrôle (inventaire

physique. physique) et conservation.

Barrer systématiquement les chèques dès

Le caissier ne barre pas les chèques.
leur réception.

Le directeur financier établit le Confier le rapprochement bancaire au service

rapprochement bancaire. comptable

– Former les cadres de l’entreprise pour

Faible connaissance de la législation bien maîtriser la législation douanière.
douanière. – Recourir à des consultants externes lors
des importations et des exportations.

Absence de suivi des commandes en cours. Mettre en place un suivi des commandes en
 cours.

Bien définir les fonctions et les tâches

Les fonctions et les postes sont mal définis. confiées à chaque responsable au sein de
l’entreprise.

Dossiers du personnel non mis à jour de Mettre à jour de façon permanente les
manière permanente. dossiers de personnel.

Non-respect des règles de bonnes pratiques Respecter obligatoirement les différentes

de sécurité lors de la production. mesures de sécurité au sein de l’entreprise.

Bien contrôler l’accès au système

Accès au système d’information non contrôlé.
d’information de l’entreprise.

Exemple 2
Au cours de sa mission, l’auditeur de la société ALPHA a détecté les risques suivants.

FAIBLESSES RISQUES

Absence d’un document précisant les tâches

des différents intervenants et formalisant les Réalisation d’actions non autorisées.
différentes procédures appliquées.

Absence d’’annulation des pièces comptables Omission ou double comptabilisation d’une

saisies. même pièce comptable.

Absence d’inventaire des immobilisations à la – Détournement des biens de l’entreprise.

clôture de chaque exercice. – États financiers non fiables.

Absence de contrôle inopiné par une Non-détection à temps des erreurs et des
personne indépendante de la caisse. fraudes.

– Justification difficile des comptes

Comptabilisation de certaines opérations bancaires.
bancaires sur la base des relevés bancaires
et non sur la base des pièces comptables. – Difficulté à détecter les erreurs initiées
par les établissements bancaires.

Règlements de certaines factures d’achat en

espèces sans que ces règlements soient Manipulation des avoirs en caisse.
matérialisés par des reçus de règlement.

Absence d’état financier instantané – Ruptures de stock possibles.

présentant le stock réel disponible. – Abus des biens de la société.

Absence de procédure claire pour identifier – Manipulation des ventes.

les responsables habilités à autoriser les
remises commerciales. – Accords de remises indus.

Erreurs lors des déclarations de la TVA

Déclarations de TVA non basées sur la
(déclarer en plus ou en moins des impôts
comptabilité (un tableau de suivi de la TVA).
dus).

Absence de mesures de mise à jour des Impayés majeurs.

 limites de crédit par client.

Erreurs au niveau de la détermination des Calcul du coût de production des produits

quantités des matières consommées. finis faussé.

Absence de suspension des livraisons aux

Augmentation des impayés.
clients défaillants.

– Pratique contraire aux dispositions de la

Frais sur achats des matières premières non NC4.
incorporés dans le coût de ces matières. – Effet sur la fiabilité des valeurs
transférées rentrées dans le stock.

Équipe de comptage (lors de l’inventaire – Mauvaise influence sur les agents de

physique des stocks) dispose uniquement comptage.
des quantités théoriques des stocks. – Quantités réelles inventoriées faussées.

Exemple 3
Les réponses au questionnaire d’évaluation du contrôle interne ont permis à l’auditeur de la
société BETA de relever les faiblesses et les risques suivants.

FAIBLESSES RISQUES

Pertes des documents parvenus à

Absence d’un bureau d’ordre.
l’entreprise.

– Insuffisances au niveau du système

d’information de l’entreprise.
Absence d’un service d’audit interne. – Problèmes associés à l’absence d’un
outil de contrôle important au niveau de
l’entreprise.

Absence d’un service de comptabilité Insuffisances au niveau du système

analytique. d’information de l’entreprise.

– Lourdeur de la gestion manuelle.

Absence d’un système informatisé pour gérer
– Erreur de gestion des stocks.
les stocks.
– Production des informations tardives.

Absence de budget pour les tâches. Difficultés pour gérer l’avenir.

– Mauvaise exécution.
Bons de commande non établis en quantités
et en valeurs. – Collusion et conflits avec les
fournisseurs.

Chèques envoyés aux fournisseurs non

Détournement facile des chèques.
barrés.

– Difficultés pour identifier les soldes.

Absence de comptes individuels fournisseurs.
– Conflits avec les fournisseurs.
 Formulaires de commande non signés par les Refus de certaines livraisons.
clients.

Absence de coordination entre le service – Indisponibilités des articles.

client et les autres services avant d’établir le
planning de livraison. – Indisponibilités des moyens de transport.

Factures établies un mois après la livraison. Règlement tardif.

Absence de mentions des références de

Difficultés pour consulter l’écriture comptable.
comptabilisation par le service comptable.

– Pertes de créances.
Limites de crédit non fixées.
– Litiges avec les clients.

Comptabilisation des factures d’avoir par le – Cumul des tâches incompatibles.

directeur financier. – Erreurs et détournement.

Techniques pour saisir les procédures

Les techniques que les auditeurs peuvent utiliser pour saisir les procédures de contrôle
interne sont les suivantes :
un mémorandum ;
un diagramme de circulation ;
une grille d’analyse des tâches.
Mémorandum
Le mémorandum est une description narrative des procédures de contrôle interne. Grâce
au mémorandum, l’auditeur peut rédiger un résumé écrit des entretiens et des documents
qu’il a recueillis et consultés.
Avantages : le mémorandum permet aux auditeurs d’avoir un certain degré de flexibilité
dans le dialogue avec divers fonctionnaires et de jouir d’une certaine discrétion dans les
faits et les procédures.
Inconvénients : le mémorandum n’est recommandé que dans des situations simples. En
effet, il n’est pas conseillé d’utiliser un mémorandum pour saisir des procédures longues
et compliquées, auquel cas il sera nécessaire d’utiliser d’autres techniques. De plus, le
mémorandum doit être rédigé dans un certain style de langage de sorte que tous les
collaborateurs de l’auditeur ne puissent pas l’utiliser.
Diagramme de circulation
Un diagramme de circulation est une description graphique d’un groupe d’opérations. Le
diagramme de circulation suit ainsi la progression des documents générés par ces
opérations dans l’ordre chronologique.
Avantages : la méthode graphique permet d’acquérir une connaissance approfondie du
dispositif étudié et de déterminer rapidement ses principaux avantages et inconvénients.
La préparation du diagramme de circulation conduit à la formalisation et à la discipline,
ce qui aide l’auteur à analyser ses connaissances.
Inconvénients  : certaines opérations ne conviennent pas à la description graphique. Il
s’agit d’une méthode longue à mettre en œuvre et qui nécessite de la logique, de la
prudence et de l’expérience. Trop de détails affecteront la clarté du diagramme.

Figure 4.2 – Symboles utilisés dans un diagramme de circulation

Exemples de diagrammes de circulation

Exemple 1
Création d’un bon de livraison en 4 exemplaires et enregistrement du bon dans le registre des
commandes.
Exemple 2
Création de 6 exemplaires d’une facture, contrôle de celle-ci, réception de 2 copies des bons de
livraison et rapprochement entre les bons de livraison avec les copies.

Exemple 3
• Obtenir des relevés bancaires auprès de 15 banques.
• Photocopier les relevés.
• Réconcilier les copies et les grands livres.
 Grille d’analyse des tâches
La grille d’analyse répond simplement à la question suivante  : qui fait quoi  ? Elle est
ainsi un outil indispensable pour détecter les fonctions incompatibles.

Exemples de grilles d’analyse des tâches

Exemple 1
Le responsable des achats effectue les actions suivantes :
• établissement de la commande ;
• réconciliation entre la facture et le bon de commande ;
• règlement des fournisseurs.
Grâce à la grille d’analyse des tâches, l’auditeur a pu remarquer que le responsable des achats
avait cumulé des tâches incompatibles (opérationnelle, contrôle, conservation).

TÂCHES FONCTIONS
EFFECTUÉES
OPÉRATIONNELLE CONSERVATION ENREGISTREMENT CONTRÔLE
 PAR LE
RESPONSABLE

Établissement
X
de la commande

Rapprochement
entre les
factures et les X
bons de
commande

Règlement du
X
fournisseur

Exemple 2
À partir de la grille d’analyse, l’auditeur a pu remarquer que les responsables cumulaient des
fonctions incompatibles (opérationnelle, conservation, enregistrement, contrôle).

TÂCHES
OPÉRATIONNELLE CONSERVATION ENREGISTREMENT CONTRÔLE
CUMULÉES

Comptable –
  inventaire X X
physique

Livreur –
 encaissement X X
des factures

Magasinier –
  négociation
X X
des
commandes

Financier –
  embauche X X
du personnel

Outils d’évaluation des procédures

Test de conformité

Une fois que les procédures du contrôle interne sont décrites et saisies sous forme de
narration (mémorandum) et/ou de diagrammes schématiques (diagramme de circulation),
les auditeurs doivent enfin s’assurer que les procédures qu’ils estiment nécessaires sont
les mêmes que les procédures réelles de l’entreprise.
À cet effet, l’auditeur doit effectuer des tests de conformité afin de vérifier que chaque
procédure instruite par l’entreprise, et inscrite au niveau de la note ou de l’organigramme,
est conforme à la situation réelle utilisée au sein de l’entreprise. Cela permettra aux
auditeurs d’éviter les malentendus sur les procédures décrites par les responsables et
d’éviter de s’engager dans des procédures incompatibles avec les opérations réelles.
Principes
Au cours du processus d’audit, l’auditeur prend des risques durant la matérialisation de sa
compréhension du système déformant la réalité. Afin d’éviter d’exécuter d’autres étapes
de son travail sur de mauvaises bases, l’auditeur s’assure que sa description correspond à
la situation réelle.
Modalités
Certains des moyens que les auditeurs peuvent utiliser pour vérifier l’existence de
procédures de contrôle comprennent :
• l’observation directe : observer le processus de fonctionnement de la procédure ;
• la confirmation verbale  : rester en contact avec les exécutants impliqués dans la
procédure de contrôle pour confirmer l’avancement de la procédure ;
• l’observation a posteriori  : tracer la séquence du cheminement de la procédure
indiqué dans l’organigramme de circulation (ou mémorandum) en vérifiant les
différentes opérations réalisées.
Importance quantitative du test
Le test de conformité permet de vérifier l’existence de la procédure en cause et non son
exécution permanente. En effet, dans le cas de la vérification de l’existence d’un système
de contrôle interne, l’auditeur ne vérifiera pas un échantillon de grande taille mais
seulement certains éléments pour s’assurer que le contrôle interne existe. En
conséquence, l’importance quantitative du test devrait se limiter à la vérification d’un
petit nombre d’opérations car, dans la pratique, certaines opérations sont suffisantes pour
apprécier l’existence réelle du contrôle.
Conclusions du test
Si au cours du processus de vérification de l’existence du système, l’auditeur découvre
une anomalie, il doit vérifier d’autres documents au même stade du traitement pour
s’assurer qu’il ne s’agit que d’un écart ponctuel par rapport au système et non d’une
description incorrecte. Si la seconde situation se présente, l’auditeur doit corriger sa
description.
À terme, les tests de conformité permettront de :
corriger les erreurs de compréhension de l’auditeur ;
corriger les erreurs dans les informations collectées auprès de l’interlocuteur ;
approfondir la compréhension des procédures, en particulier aux points de contrôle du
système.

Test de permanence
Le test de permanence est réalisé à l’aide de sondages. Grâce à ces sondages, l’auditeur
peut facilement obtenir des informations sur une grande population en observant une
partie de celle-ci. Celui-ci est alors très utile lorsqu’une certaine population ne peut être
pleinement observée à l’aide d’outils informatiques. Puis, un sondage sur une partie de la
population est réalisé, de sorte qu’il soit possible de déterminer une caractéristique
spécifique permettant de déduire un niveau pour l’ensemble de la population.
Cependant, il est important de se rappeler que l’étude d’une partie de la population n’est
pas une étude de l’ensemble de la population et que les résultats ne donnent pas de
résultats définitifs, mais une estimation plus au moins précise. Cette estimation est alors
mesurée par deux indicateurs :
le degré de confiance du résultat : il indique le pourcentage de chance que le résultat
soit correct. Exemple : un niveau de confiance de 95 % signifie qu’il y a 95 chances
sur 100 pour que le résultat obtenu soit correct et 5 chances sur 100 qu’il soit
incorrect ;
la précision du résultat : il indique l’intervalle incluant le résultat identifié. Exemple :
pour un résultat identifié de 80  %, une  précision de +/–  2 donne un intervalle de
confiance entre 78 et 82 %.
En synthétisant ces deux exemples, l’auditeur peut alors en déduire que dans une telle
situation, il y a 95 chances sur 100 que le résultat soit compris entre 78 et 82  %, et 5
chances sur 100 que le résultat soit inférieur à 78 % ou supérieur à 82 %.

CAS D’ENTREPRISE

La société NINA est une PME familiale, spécialisée dans la fabrication et la commercialisation
des produits agroalimentaires. Afin de préparer la mission d’audit externe dont l’entreprise va
faire l’objet dans les mois à venir, le gérant a communiqué à son auditeur interne les
constatations suivantes :
–  l’organisation existante prévoit la présence d’une direction générale et de 5 départements, à
savoir  : comptable et financier, technique, commercial, administratif, achats et
approvisionnement. Néanmoins l’entreprise n’a pas d’organigramme ;
–  le responsable des services financier et comptable supervise également le service achats et
approvisionnement ;
– le responsable du service administratif a conçu la plupart des démarches administratives grâce
à ses instructions verbales données lorsque cela est nécessaire. Ainsi, même lorsqu’il est en
congés, les collaborateurs n’ont pas hésité à lui demander de prendre les décisions nécessaires
à tous les niveaux ;
– le caissier de l’entreprise est une personne de confiance. Afin de réduire la charge de travail du
service d’approvisionnement, le directeur général lui ordonne parfois d’acheter certains biens et
services nécessaires à l’entreprise et paie les fournisseurs lui-même en espèces ;
–  l’inventaire physique des stocks est toujours réalisé par le magasinier qui s’est habitué à le
faire rapidement et correctement sans attendre que quelqu’un lui rappelle cette obligation. De
plus, ses fiches de stocks sont bien tenues et les produits sont si bien gérés qu’il n’a jamais
trouvé de différences entre les inventaires théoriques et les inventaires physiques.
À partir de ces informations, l’auditeur de l’entreprise NINA a détecté plusieurs risques et a
suggéré des recommandations.

CONSTATATIONS FAIBLESSES RISQUES RECOMMANDATIONS

 Absence Absence de définition des – Fixer un organigramme.
1
d’organigramme. tâches. – Définir les tâches.

2 Fonctions incompatibles. Erreurs, fraudes, omission. Séparer les fonctions.

Procédures appliquées (pouvant

Fixer dans un organigramme les
être) non conformes à celles du
instructions devant être écrites dans
théorique (procédures
Absence de un manuel de définition des tâches.
théoriques).
formalisation des
3 procédures (verbales)  :
Procédures incomplètes peu
pas de manuel de Définir les pouvoirs.
réfléchies.
procédures.
Définir les responsabilités de
Difficultés à contrôler.
chaque employé et du directeur.

Cumul de fonctions
incompatibles.

Perturbation et affectation du
climat social.
4 Fonctions incompatibles Séparer les fonctions
Pas de définition des tâches et
des pouvoirs.

Fraudes et erreurs.

Cumul de fonctions de
conservation et
Fraudes et erreurs (il ne peut y
d’enregistrement. Mettre en place une équipe
5 avoir d’écart entre deux types
d’inventaire.
d’inventaires).
Absence de contrôle
réciproque.
 PARTIE 3

CONTRÔLE
INTERNE,
GESTION
DES RISQUES ET
DIGITALISATION
 CHAPITRE 5

Gestion des risques en entreprise

Le risque est souvent perçu comme un danger ou une situation dangereuse.
En effet, le risque est défini, selon Larousse, comme étant  :
1) « la possibilité, la probabilité d’un fait, d’un évènement considéré comme
un mal ou un dommage » ; ou encore comme 2) « le danger, l’inconvénient
plus ou moins probable auquel on est exposé » ; et, enfin, le risque peut être
appréhendé comme étant 3) «  le fait de s’engager dans une action qui
pourrait apporter un avantage mais qui comporte l’éventualité d’un danger ».
Ces différentes définitions, plus ou moins convergentes, témoignent de la
difficulté à cerner le concept de risque et à délimiter son champ
d’application.
L’un des auteurs de cet ouvrage en propose ainsi une définition : « Le risque
est un concept pluridisciplinaire qui se trouve au croisement de plusieurs
disciplines  : l’économie, la finance, les mathématiques, la  psychologie,
les  sciences de l’ingénieur et plus récemment les neurosciences.
Par  ailleurs, le risque est une notion variable en fonction de son domaine
d’application. À titre indicatif, en finance, le risque désigne la perte financière
potentielle qui résulte d’un processus de décision. Pour  une compagnie
d’assurances, le risque signifie l’indemnisation d’un dommage causé à
l’assuré ou à une tierce personne. En statistiques, le risque est la probabilité
d’occurrence d’un évènement aléatoire. En sciences de l’ingénieur, le risque
est plutôt synonyme d’un dysfonctionnement ou d’une erreur dans un
procédé ou un processus. Enfin, en médecine, le risque désigne l’apparition
d’une pathologie1. »

1. RÉFÉRENTIELS DE LA GESTION
DES RISQUES
Le cadre de management des risques de l’entreprise dit Entreprise Risk
Management (ERM) s’est développé autour des référentiels COSO, AMF et ISO
31 000 ainsi que les accords de Bâle 2 et 3 et la directive européenne de solvabilité
II.
Selon ces référentiels, le risque a un impact sur la réalisation des objectifs de
l’entreprise, sa valeur patrimoniale et sa performance. Ainsi, selon le référentiel
COSO de 2004, le risque est un aléa négatif ou positif  qui a un impact sur la
capacité de l’entreprise à créer de la valeur : « Les évènements probables ayant un
impact négatif sont des risques pouvant freiner la création de valeur ou détruire la
valeur existante. […] Les événements probables ayant un impact positif peuvent
constituer des opportunités.  » Le cadre de référence de l’AMF de 2010 définit
quant à lui le risque comme étant «  la probabilité de réalisation d’un évènement
ayant des conséquences sur les personnes, les actifs, l’environnement, les objectifs
et la réputation de l’entreprise ».

Référentiel COSO mis à jour en 2017

Au niveau international, comme nous l’avons vu au chapitre  2, deux référentiels

publiés par le Committee of Sponsoring Organizations of the Treadway
Commission (COSO) existent et servent de base pour le contrôle interne et le
management des risques : COSO I et COSO II (ou COSO-ERM).
Le référentiel COSO II a connu une importante mise à jour en 2017 à travers la
publication d’un document intitulé «  Le management des risques de l’entreprise.
Une démarche intégrée à la stratégie et à la performance ».
Ce COSO de 2017 complète et consolide la version de 2013 en soulignant
l’importance de prendre en considération le management des risques tant lors de
l’élaboration de la stratégie qu’au niveau du processus de pilotage de la
performance. Il permet notamment de :
mettre en avant l’intérêt du management des risques de l’entreprise lors de
l’élaboration et de la mise en œuvre d’une stratégie ;
renforcer l’articulation entre la performance et le management des risques de
l’entreprise afin d’améliorer la définition des objectifs de performance et la
compréhension de l’impact des risques sur la performance ;
tenir compte des différentes attentes en matière de gouvernance et de
surveillance ;
intégrer la mondialisation des marchés et des activités ainsi que la nécessité
d’avoir une approche à la fois commune et modulée selon les zones
géographiques ;
présenter de nouvelles méthodes et approches permettant d’appréhender les
risques liés à la définition et à la réalisation des objectifs dans un contexte de
complexité accrue ;
élargir le périmètre du reporting pour répondre à des exigences afin d’aller vers
une plus grande transparence de la part des parties prenantes ;
 tenir compte de l’évolution des technologies et des données de masse (big data)
et des analyses requises pour étayer la prise de décision ;
proposer des définitions, des composantes et des principes pour chaque niveau
du management impliqué dans la conception, la mise en œuvre et le pilotage des
processus de management des risques dans l’entreprise.
Ce nouveau cadre de référence ciblé propose alors un ensemble de principes
organisés en cinq composantes interdépendantes.
1. Gouvernance et culture  : la gouvernance impacte l’organisation en insistant
sur l’importance du management des risques de l’entreprise et en définissant
les responsabilités de surveillance de cette démarche. La culture correspond
aux valeurs éthiques, aux comportements souhaités et à la compréhension des
risques dans l’entité.
2. Stratégie et définition des objectifs  : le management des risques de
l’entreprise, la stratégie et la définition des objectifs contribuent
conjointement au processus de planification stratégique. L’appétence pour le
risque est définie et ajustée à la stratégie de l’entreprise et à ses objectifs
opérationnels permettant ainsi de mettre en œuvre la stratégie tout en servant
de base pour l’identification, l’évaluation, le traitement et la maîtrise des
risques.
3. Performance : les risques qui peuvent affecter la réalisation de la stratégie et
des objectifs opérationnels doivent être identifiés et évalués. Les risques sont
priorisés selon leur criticité dans le contexte de l’appétence pour le risque de
l’organisation. L’entreprise sélectionne ensuite les modalités de traitement
des risques et analyse en termes de portefeuille le niveau de risque assumé.
Les  résultats de ce processus sont communiqués aux parties prenantes clés
concernées par les risques.
4. Revue et amendement  : en examinant la performance de l’entité, une
organisation peut prendre en considération la manière dont les composantes
du management des risques fonctionnent au fil du temps et en fonction de
changements substantiels, ainsi que les éventuels amendements nécessaires.
5. Information, communication et reporting  : le management des risques de
l’entreprise exige un processus permanent d’obtention et de partage des
informations nécessaires, provenant de sources internes et externes, qui sont
transmises de façon ascendante, descendante ou transversale dans
l’organisation.
Ces cinq composantes s’appuient donc sur un ensemble de principes allant de la
gouvernance au pilotage. D’un nombre raisonnable, ils  définissent des pratiques
applicables de différentes manières dans des organisations de taille, type ou secteur
divers. En adoptant ces principes, la direction générale et le conseil
d’administration peuvent raisonnablement attendre de l’organisation qu’elle
comprenne et s’efforce de gérer les risques associés à sa stratégie et à ses objectifs
opérationnels.

Composante 1 : Gouvernance et culture

Le conseil d’administration assure la surveillance de la

Exercer une surveillance des  risques stratégie et assume les responsabilités en matière de
par le conseil gouvernance pour soutenir la direction générale dans la
réalisation de la stratégie et des objectifs opérationnels.

L’organisation définit des structures organisationnelles

Définir les structures
dans la perspective de la réalisation de la stratégie et
organisationnelles
des objectifs opérationnels.

L’organisation définit les comportements attendus qui

Définir la culture souhaitée
caractérisent la culture de l’entité.

Démontrer l’engagement en faveur de L’organisation démontre son engagement pour les

valeurs fondamentales valeurs fondamentales de l’entité.

L’organisation s’engage à développer le capital humain

Attirer, former et fidéliser des
en adéquation avec la stratégie et les objectifs
personnes compétentes
opérationnels.

Composante 2 : Stratégie et définition des objectifs

L’organisation prend en considération l’impact potentiel

Analyser le contexte de l’organisation
de son contexte sur le profil de risque.

L’organisation définit l’appétence pour le risque dans le

Définir l’appétence pour le risque contexte de la création, de  la préservation et de la
concrétisation de la valeur.

L’organisation évalue les stratégies alternatives et leurs

Évaluer les stratégies alternatives
impacts potentiels sur le profil de risque.

L’organisation prend en considération les risques lors de

la définition, à différents niveaux, d’objectifs
Définir les objectifs opérationnels
opérationnels qui soient en phase avec la stratégie et la
soutiennent.

Composante 3 : Performance

L’organisation identifie les risques qui affectent la

Identifier les risques
réalisation de la stratégie et des objectifs opérationnels.

Évaluer la criticité des risques L’organisation évalue la criticité des risques.

L’organisation priorise les risques pour sélectionner les

Prioriser les risques
modalités de traitement de ces risques.

Mettre en œuvre les modalités de L’organisation identifie et sélectionne les modalités de

traitement des risques traitement des risques.

Développer une vision globale du L’organisation développe une vision globale et une
portefeuille de risques évaluation du portefeuille de risques.

Composante 4 : Revue et amendement

L’organisation identifie et évalue les changements qui

Évaluer les changements substantiels pourraient affecter substantiellement la stratégie et les
objectifs opérationnels.

Réexaminer les risques et la L’organisation revoit la performance de l’entité et prend

performance en considération les risques.

Poursuivre l’amélioration du
L’organisation poursuit l’amélioration du management
management des risques de
des risques de l’entreprise.
l’entreprise

Composante 5 : Information, communication et reporting

L’organisation exploite les systèmes d’information et

Tirer parti des données et des
technologies de l’entité pour soutenir le management
technologies
des risques de l’entreprise.

Communiquer les informations L’organisation utilise les moyens de communication pour

relatives aux risques soutenir le management des risques de l’entreprise.

L’organisation rend compte des risques, de la culture et

Rendre compte des risques, de la
de la performance à différents niveaux et dans toute
culture et de la performance
l’entité.

Tableau 5.1 – Composantes et principes du COSO 2017

Source : COSO, « Le management des risques de l’entreprise :

démarche intégrée à la stratégie et la performance », 2017.

Cadre de référence de l’AMF

En 2007, l’autorité des marchés financiers (AMF) a établi un cadre de référence

portant sur onze dispositifs de gestion des risques et de contrôle interne (cf.
chapitre  2). Ce cadre s’applique aux entreprises françaises  et tient compte de
l’évolution législative et réglementaire notamment la loi du 3  juillet 2008 et
l’ordonnance du 8 décembre 2008. Le cadre développé par l’AMF intègre de plus
les différentes évolutions constatées au niveau des référentiels internationaux,
en particulier le COSO II et la norme ISO 31000.
En 2008, le cadre de référence de l’AMF a été adapté aux valeurs moyennes et
petites (VaMPs) pour s’appliquer notamment aux sociétés dont la capitalisation
boursière est inférieure à un milliard d’euros.
Le cadre de l’AMF considère ainsi la gestion des risques comme l’affaire de tous
les acteurs de l’entreprise et inclut l’ensemble des activités, processus et actifs. Il
définit la gestion des risques comme «  un dispositif dynamique arrêté et mis en
œuvre par l’entreprise sous sa responsabilité ». La gestion des risques permet alors
aux dirigeants de maintenir les risques à des niveaux acceptables. Elle comprend
l’ensemble de moyens, de comportements, de procédures et d’actions adaptés aux
caractéristiques de chaque entreprise.

Objectifs de la gestion des risques selon le cadre AMF

Selon le cadre de l’AMF, la gestion des risques constitue un levier de management

pour l’entreprise qui permet d’atteindre un certain nombre d’objectifs.
1.  Création et conservation de la valeur, des actifs et de la réputation de
l’entreprise
Le processus de gestion des risques permet à l’entreprise d’identifier et d’analyser
ses principales menaces et opportunités. Le processus vise ainsi à anticiper les
risques au lieu de les subir et, en conséquence, à préserver la capacité de
l’entreprise à créer de la valeur et à protéger ses actifs, sa réputation et son image.
2. Atteinte des objectifs à travers la sécurisation des process et des processus
de prise de décision
La gestion des risques a pour objectif d’identifier les principaux aléas qui peuvent
affecter de manière significative l’atteinte des objectifs. La maîtrise de ces risques
et leur couverture permettent de favoriser la réalisation de la stratégie de
l’entreprise.
La gestion des risques est l’un des outils de pilotage de la performance et d’aide à
la décision. Elle est intégrée aux processus décisionnels et opérationnels de
l’entreprise et permet de donner aux dirigeants une vision objective et globale des
menaces et opportunités potentielles, de prendre des risques mesurés et d’appuyer
leurs décisions quant à l’allocation des ressources humaines et financières.
3. Cohérence des actions et des activités avec les valeurs et les principes de
l’entreprise
De nombreux risques sont la résultante d’une incohérence entre les valeurs de
l’entreprise, les décisions et les activités au quotidien. Ces  risques affectent
principalement l’image de l’entreprise.
4. Mobilisation des collaborateurs de la société autour d’une vision commune
Enfin, la gestion des risques permet de sensibiliser l’ensemble des collaborateurs
aux principaux risques inhérents à leur activité.
Dispositif de gestion des risques selon l’AMF

Le cadre de gestion des risques de l’AMF est non contraignant dans la mesure où il

appartient à chaque entreprise de mettre en place un dispositif de management des
risques qui répond à ses besoins et qui soit adapté à ses caractéristiques
intrinsèques.

Composante 1 : Un cadre organisationnel

Le cadre organisationnel assure, d’une part, la

cohérence globale du dispositif à travers la définition des
L’organisation rôles et des responsabilités des différents acteurs et,
d’autre part, l’établissement des procédures et des
normes.

La formalisation des objectifs est faite en cohérence

avec la culture et les valeurs de l’entreprise à travers
une politique intégrée pour le management des risques.
La politique de management du risque
Sont ainsi définis un langage commun, l’identification
d’une démarche d’analyse et de traitement des risques,
ainsi que la fixation des seuils de tolérance aux risques.

Le système d’information garantit la bonne diffusion en

Le système d’information
interne des informations relatives aux risques.

Composante 2 : Un processus de gestion des risques

Cette phase permet de recenser et de centraliser les

Phase 1 : Identification des risques
principaux risques qui peuvent compromettre l’atteinte
des objectifs. Par risque, il est entendu une menace ou
une opportunité manquée. Le risque s’identifie par un
événement, une ou plusieurs sources et une ou
plusieurs conséquences. La phase d’identification des
risques doit s’inscrire dans une démarche continue.

Cette phase consiste à examiner les conséquences

potentielles (financières, humaines, juridiques ou de
Phase 2 : Analyse des risques réputation) des principaux risques et à apprécier leur
possible occurrence. L’analyse des risques doit être
assurée de manière continue.

Cette phase implique de choisir le(s) plan(s) d’action

Phase 3 : Traitement du risque
le(s) plus adapté(s) à l’entreprise. Afin de maintenir les
risques à des niveaux acceptables, plusieurs mesures
peuvent être envisagées comme la réduction du risque,
son transfert, sa suppression ou son acceptation. Le
traitement du risque s’effectue en arbitrant entre les
opportunités et le coût des mesures de son traitement.

Composante 3 : Un pilotage en continu du dispositif de gestion des risques

Surveillance, suivi et revue régulière L’objectif est non seulement d’identifier et d’analyser les
du dispositif de gestion des risques principaux risques, mais également de tirer des
 enseignements de l’historique des risques de
l’entreprise.

Tableau 5.2 – Dispositif de gestion des risques de l’AMF

Source : AMF, « Cadre de référence sur les dispositifs de gestion des risques
et de contrôle interne », 2010.

Articulation entre gestion des risques et contrôle interne

Le cadre de l’AMF met l’accent sur la complémentarité entre la gestion des risques
et les processus du contrôle interne. Tandis que le dispositif de gestion des risques
vise à identifier et à analyser les principaux risques auxquels est exposée
l’entreprise, le dispositif de contrôle interne s’appuie sur les processus de gestion
des risques pour identifier les risques et contribuer à les maîtriser.
De plus, les risques, dépassant les seuils de tolérance fixés par l’entreprise, doivent
faire l’objet de plans d’action. L’action de l’entreprise peut porter sur la mise en
place de contrôles appropriés, un transfert des conséquences financières
notamment à travers des mécanismes d’assurance ou encore une adaptation de
l’organisation. De fait, les contrôles à mettre en place relèvent plutôt du dispositif
de contrôle interne. En outre, le dispositif de management de risque intègre des
contrôles qui relèvent du dispositif de contrôle interne et sont destinés à assurer son
fonctionnement adéquat.
La cohérence globale des deux dispositifs est conditionnée par leur environnement
de contrôle commun, la culture de risque de l’entreprise et ses valeurs éthiques.
Dans le cas particulier d’un groupe, il est du ressort de la société mère de veiller à
la mise en place d’un dispositif de contrôle interne et de gestion des risques au sein
des différentes filiales. Le dispositif doit être adapté aux caractéristiques propres
des filiales et à la nature de leurs relations avec la société mère.

Acteurs de la gestion de risque et du contrôle interne

Le référentiel de l’AMF précise par ailleurs que la gestion des risques et le contrôle
interne sont de la responsabilité de tous les acteurs de l’entreprise, allant des
organes de gouvernance à l’ensemble des collaborateurs, indépendamment de leurs
niveaux hiérarchiques. Néanmoins, le cadre de référence de l’AMF énumère
explicitement les acteurs suivants :
le directoire ou la direction générale ;
le conseil d’administration ou de surveillance ;
 le comité d’audit ;
le gestionnaire des risques ;
l’audit interne ;
le personnel de la société ;
les commissaires aux comptes.
ACTEURS
Le directoire ou la direction
générale
Le conseil d’administration
ou de surveillance
Le comité d’audit
RÔLES
Garantir la qualité des systèmes de contrôle interne et de gestion
des risques.
Garantir la conception et la mise en œuvre d’un système de
contrôle interne et de management des risques adaptés à la taille
de l’entreprise, à ses activités et à son organisation.
Assurer une surveillance continue des systèmes de contrôle interne
et de management des risques.
Initier toute action corrective nécessaire pour corriger les
dysfonctionnements identifiés et accepter les seuils de risques
définis.
Assurer la communication des informations appropriées au conseil
d’administration ou de surveillance et au comité d’audit.
Rendre compte des risques dans son rapport de gestion. Le rapport
de gestion doit prévoir :
– une description des risques et incertitudes auxquels sont
confrontés les entreprises, établissements et filiales entrant
dans le périmètre de consolidation du groupe ;
– des indications portant sur la politique de gestion des risques
financiers de l’entreprise et sur l’utilisation des instruments
financiers.
S’assurer que les risques identifiés et encourus par l’entreprise
soient intégrés à ses objectifs stratégiques et pris en compte dans
les processus de gestion de l’entreprise.
Vérifier que le dispositif de pilotage et des systèmes de contrôle
interne et de management des risques est de nature à assurer la
fiabilité de l’information financière produite par l’entreprise et à
donner une image fidèle des résultats et de la performance
financière de la société.
Procéder aux contrôles et vérifications qu’il juge opportuns ou
prendre toute autre initiative qu’il estimerait appropriée en la
matière si besoin.
S’assurer du suivi et de l’efficacité des systèmes de contrôle interne
et de management des risques sur la base des informations qui lui
sont communiquées.
Veillez à l’existence des systèmes de contrôle interne et de
management des risques, et à leur déploiement.
S’assurer que les faiblesses identifiées donnent lieu à des actions
correctrices.
Veiller à ce que des systèmes soient mis en place pour détecter et
corriger d’éventuels dysfonctionnements.
 Apprécier l’importance des dysfonctionnements qui lui sont
communiqués et en informer le conseil d’administration, le cas
échéant.

Tableau 5.3 – Acteurs au niveau stratégique

ACTEURS RÔLES

Mettre en place un dispositif permanent, structuré et adaptable

permettant d’identifier, d’analyser et de traiter les différents risques.
Le gestionnaire
Apporter un support méthodologique aux directions opérationnelles
des risques
et fonctionnelles de l’entreprise tout en animant le dispositif de
gestion des risques.

Évaluer le fonctionnement des dispositifs de contrôle interne et de

management des risques, en assurer la surveillance régulière et
proposer des préconisations ou des recommandations pour son
amélioration.
S’assurer de l’application des instructions de la direction générale,
L’audit interne
examiner la conformité aux lois et règlements et vérifier le bon
fonctionnement des processus internes de l’entreprise, notamment
les systèmes d’information.
Rendre compte à la direction générale et aux organes sociaux des
résultats de sa surveillance des risques.

S’assurer de l’application de la politique de l’entreprise en matière

de gestion des risques en rapport avec l’activité dont il a la
Le personnel de la société responsabilité.
Veiller à ce que l’exposition aux risques soit conforme à la politique
de management des risques arrêtée par la direction générale.

Identifier des risques significatifs et des faiblesses majeures au

niveau des dispositifs de contrôle interne ayant un impact significatif
sur la qualité et la pertinence de l’information comptable et
financière.
Les commissaires aux
Consigner leurs observations au niveau du rapport du président,
comptes
notamment en ce qui concerne les procédures de contrôle interne
en rapport avec l’élaboration et le traitement de l’information
comptable et financière et attester l’établissement des autres
informations requises par la loi.

Tableau 5.4 – Acteurs au niveau opérationnel

Limites du cadre de management des risques et du contrôle interne

Le référentiel de l’AMF reconnaît enfin que les procédures de gestion des risques
et de contrôle interne peuvent présenter des limites et ne constituent en aucun cas
une garantie absolue pour la réalisation des objectifs de l’entreprise. En effet, la
capacité de l’entreprise à y parvenir dépend aussi de nombreux facteurs, à savoir
des incertitudes externes, de l’exercice de la faculté de jugement ou de
dysfonctionnements pouvant survenir en raison de défaillances techniques ou
humaines ou de simples erreurs.
De plus, la couverture d’un risque est obtenue à travers un arbitrage entre les
avantages et les coûts de couverture du risque, en  tenant compte de leurs effets
possibles sur l’occurrence et/ou leurs conséquences, ceci afin de ne pas
entreprendre des actions inutilement coûteuses.

Norme internationale ISO 31000

La norme internationale ISO 31000 de 2018 s’applique à toute organisation,

indépendamment de son statut juridique, de sa taille, de son activité et de son lieu
d’implantation. Son objectif est la gestion de toute forme de risque.
La norme ISO 31000 aide ainsi les entreprises à développer et à mettre en place
une stratégie de management du risque visant à identifier et à atténuer ces risques.
Ces organisations sont alors plus à même d’atteindre leurs objectifs et de préserver
la valeur de leurs actifs. En effet, l’objectif premier de la norme est de contribuer
au développement d’une culture du management du risque permettant aux parties
prenantes de prendre conscience de l’importance du suivi et de la gestion des
risques. La mise en application de la norme permet également aux entreprises de
comprendre les opportunités positives et les conséquences négatives associées au
risque et les aide à prendre des décisions plus éclairées et plus efficaces,
notamment en matière d’affectation des ressources. Cette norme peut en outre
jouer un rôle essentiel dans l’amélioration de la gouvernance d’une organisation et,
à terme, de sa performance.
La première version de la norme ISO 31000 a été publiée en 2009. En 2018, une
version révisée a vu le jour pour prendre en compte l’évolution du marché et les
nouveaux défis auxquels sont confrontées les organisations. Cette nouvelle version
de la norme tient notamment compte de la complexité croissante des systèmes
économiques et de l’émergence de nouveaux facteurs de risque tels que les
monnaies numériques ou les cyber-risques.
La version 2018 de la norme internationale met ainsi davantage l’accent sur
l’implication du top management et l’intégration du dispositif de management du
risque au sein de l’entreprise. Elle recommande de développer une déclaration ou
une politique qui confirme l’engagement de la structure en faveur de la gestion du
risque en attribuant l’autorité et la responsabilité aux niveaux appropriés de
l’organisation et en garantissant que les ressources nécessaires sont allouées au
management du risque. Elle recommande également que le management du risque
soit intégré à la structure, aux processus, aux objectifs, à la stratégie et aux activités
de l’organisme. Enfin, elle met davantage en avant la création de valeur et
comprend d’autres principes connexes tels que l’amélioration continue,
l’implication des parties prenantes, l’adaptation au contexte de l’organisme et à la
prise en compte des facteurs humains et culturels.

Accords de Bâle

Créé par les gouverneurs des principales Banques centrales, le comité sur le
contrôle bancaire vise à renforcer la stabilité du système bancaire international et à
harmoniser les règles prudentielles appliquées par les banques. En effet, en réponse
aux crises financières successives, plusieurs pays se sont regroupés en 1974 au sein
d’un comité : celui de Bâle sur le contrôle bancaire qui se réunit en Suisse au siège
de la Banque des règlements internationaux (BRI).
Bien que le comité de Bâle ne dispose pas de pouvoir législatif ou réglementaire,
ses règles s’appliquent par commun accord des parties prenantes. Sous l’influence
de l’évolution du contexte économique et financier, les accords de Bâle ont évolué
par palier. Aujourd’hui, les accords de Bâle sont au nombre de trois.
Adopté en 1988, l’accord dit de Bâle I impose aux banques de couvrir au moins
8  % des crédits accordés par leurs fonds propres (ratio  Cooke). Mais face à un
système financier en pleine croissance et de  plus en plus complexe, notamment
avec l’importance croissante de la mondialisation, le comité de Bâle renforce sa
réglementation par l’introduction de la notion des risques opérationnels et
l’amélioration de la communication.
Le nouveau dispositif, appelé Bâle II, repose alors sur trois piliers : une exigence
de fonds propres avec un ratio de 8  %, la mise en place d’une procédure de
surveillance prudentielle plus complète avec entre autres l’instauration d’un
modèle interne de gestion des risques, la nécessité d’une meilleure communication,
transparente et uniforme, qui permet de renforcer la discipline de marché. Le
dispositif Bâle II définit ainsi un ensemble de règles qui conduisent à une meilleure
mesure du risque lié au crédit avec la définition d’un nouveau ratio (ratio
McDonough) visant à mobiliser moins de ressources propres pour les banques  :
le  ratio de 8  % s’applique donc toujours mais est pondéré par un coefficient
déterminé à partir de la notation de l’entreprise.
Cependant, après la crise de 2008, le comité de Bâle prend un certain nombre de
mesures pour renforcer la résilience du secteur bancaire. Il s’agit en effet de
consolider la solvabilité des banques, de développer une surveillance de la liquidité
plus importante, d’améliorer la capacité des banques à absorber les chocs qui
résultent des tensions financières et économiques et, enfin, de réduire et maîtriser
les risques systémiques et de contagion sur l’économie réelle.
L’exigence minimale de fonds propres réglementaires, fixée par Bâle II, au regard
des risques pondérés demeure inchangée et égale à 8  %. Néanmoins, l’accord de
Bâle III impose aux banques de nouvelles normes de sécurité en capitaux propres
et de risque de liquidités notamment à travers :
le renforcement de la structure du capital des banques avec l’amélioration de la
qualité des fonds propres via un objectif de fonds propres de 10,50 % du total
des engagements en 2019. Les capitaux propres doivent quant à eux représenter
au moins 3  % du total de l’actif du bilan d’une banque. Ce niveau est crucial
puisqu’il garantit la solvabilité des banques face aux pertes qu’elles pourraient
réaliser ;
l’amélioration de la gestion de la liquidité  : l’établissement bancaire doit
sélectionner des actifs facilement cessibles (sans perte de valeur) pour alimenter
sa trésorerie en cas de difficulté ayant pour origine des retraits massifs de sa
clientèle ou un assèchement de liquidité sur le marché interbancaire ;
l’introduction d’un plafond d’effet de levier, dans le but de limiter le montant
total des actifs qu’une banque peut posséder en fonction de ses fonds propres.
Les banques sont désormais contraintes de disposer d’un «  coussin contra
cyclique  » de fonds propres, une sorte de matelas de sécurité qu’elles
constituent et alimentent en phase d’expansion et dans lequel elles peuvent
puiser lors de récessions.

Directive européenne de Solvabilité II

Entrée en application le 1er janvier 2016, la directive européenne dite Solvabilité II

est un ensemble de règles fixant le régime de solvabilité applicable aux entreprises
d’assurances dans l’Union européenne.
En effet, depuis les années  1970, le marché unique européen a développé une
directive nommée Solvabilité I qui vise à harmoniser les règles de solvabilité des
compagnies d’assurances. Face à la crise financière de 2008, la directive de
Solvabilité  I a montré un certain nombre de faiblesses et de limites. En 2009, la
directive-cadre de Solvabilité  II est adoptée, visant à renforcer les règles
européennes sur les garanties apportées par les compagnies d’assurances. Les
règles prudentielles de la directive de Solvabilité II répartissent alors en trois piliers
les exigences applicables aux entreprises d’assurance.
Pilier 1 : exigences quantitatives

Par exigences quantitatives, il est entendu les règles de valorisation des éléments
d’actif et de passif, ainsi que les exigences en termes de capitaux propres et leur
mode de calcul. Les exigences de capital peuvent être calculées au moyen de la
formule standard ou au moyen d’un modèle interne complet ou partiel. Enfin, les
organismes d’assurance peuvent demander différentes autorisations touchant aux
exigences quantitatives.

Pilier 2 : exigences qualitatives

Les exigences qualitatives sont réparties, d’une part, entre les règles de
gouvernance et de gestion des risques et, d’autre part, l’évaluation propre du risque
de solvabilité (Own Risk and Solvency Assessment, ORSA).
Le référentiel de Solvabilité II impose ainsi aux organismes d’assurance d’adopter
un système de gouvernance efficace dont l’objectif est de garantir une gestion
prudente et rationnelle des opérations. La structure organisationnelle doit être
transparente, avec une répartition claire et une séparation appropriée des
responsabilités. Le système de gouvernance et de gestion des risques s’appuie
également sur l’élaboration de politiques écrites, validées par le conseil
d’administration ou de surveillance. Ce système de gouvernance doit enfin être
proportionné à la nature et à la complexité de l’organisme.
L’ORSA est donc le processus interne d’évaluation des risques et de la solvabilité
par l’établissement. Il doit illustrer la capacité de l’organisation à identifier,
mesurer et gérer les éléments de nature à  modifier sa solvabilité ou sa situation
financière. De plus, sa déclinaison opérationnelle en fait un outil stratégique qui
doit être appréhendé par l’entreprise comme un outil de pilotage de l’activité en
fonction des risques.

Pilier 3 : informations à destination du public et du superviseur

Ce dernier pilier vise à harmoniser au niveau européen les informations publiées

par les compagnies d’assurances ainsi que celles remises aux superviseurs. Ces
informations, à la fois quantitatives et qualitatives, sont à divulguer à une
fréquence annuelle et, pour certaines, trimestrielles.

2. PROCESSUS DE GESTION DES RISQUES

La gestion des risques en entreprise (COSO-ERM) a vu le jour dans les années
1990 autour des concepts de gestion des risques et d’aléas. Dans un contexte de
crise financière, notamment la crise des subprimes de 2007-2008, l’ERM a évolué
vers une gestion intégrée des risques sous les effets conjugués de la complexité
croissante des opérations et des activités, de l’évolution de l’environnement et de la
volatilité des marchés. L’ERM comprend aujourd’hui la gestion des risques
stratégiques, opérationnels et financiers dans un cadre permettant à l’entreprise la
réalisation des objectifs tout en préservant sa valeur, ses actifs et sa réputation.
La mise en place d’un processus de gestion des risques en entreprise nécessite au
préalable la définition d’un cadre organisationnel efficient. Ce cadre repose sur
trois piliers à savoir : une organisation établie, une politique de gestion des risques
claire et un système d’information fiable.
Le processus de gestion des risques en entreprise peut ensuite être résumé en trois
étapes.
1. L’identification des risques.
2. L’évaluation des risques.
3. La mise en place d’un dispositif intégré pour la gestion des risques.

Phase d’identification des risques

L’identification des risques constitue la première phase du processus de gestion des

risques en entreprise. Elle révèle par une analyse détaillée des processus, les
vulnérabilités et les facteurs de risques dans l’organisation.
Les risques auxquels l’entreprise est exposée peuvent résulter de facteurs externes
PESTEL (politiques, économiques, socio-culturels, technologiques, écologiques et
légaux) ou de facteurs internes (capital humain, management, système
d’information, processus, etc.)
Les risques peuvent de plus être classés par nature :
les risques économiques  dus aux évolutions de la demande, de  l’offre, des
marchés et des prix ;
les risques stratégiques  liés à la vision de long terme de l’entreprise et à sa
capacité de création de valeur ;
les risques opérationnels résultant d’un dysfonctionnement dans les processus ;
les risques financiers tels que les risques de crédit, de liquidité, de taux de
change, de taux d’intérêt de prix de matières premières, etc. ;
 les risques juridiques et de conformité par rapport aux lois et à la
réglementation.

RISQUES EXTERNES (PESTEL)

Socio-
Politiques Économiques Technologiques Écologiques Légaux
culturels

Risques internes

Stratégiques Opérationnels Financiers

Processus Technologies Compliance

Liquidité
Pérennité des Sécurité des Solvabilité
process données Fraude Change
Portefeuille de Développement Écart Déontologie Marché
produits de produits technologique Taux
Positionnement
d’intérêt
sur le marché Management Capital humain
Prix des
Relations clients matières
Capacité d’innovation premières
Relations fournisseurs
Leadership
Budget

Tableau 5.4 – Matrice des risques de l’entreprise

L’identification des risques suppose au préalable la recherche des facteurs de risque

à travers la collecte de l’information. Ensuite, l’identification de ces facteurs de
risque et leur classement. Enfin, l’enregistrement des risques (au niveau d’une base
de données, d’une carte ou d’une liste) afin de mieux les appréhender.
Afin de répertorier les risques spécifiques à l’entreprise, il convient d’effectuer des
études préalables (description des systèmes et process, analyse des antécédents,
etc.), d’analyser des points de contrôle (check-lists), de faire des retours
d’expérience (feedbacks) ainsi que d’analyser les documents (documents financiers
et comptables, contrats, documents internes, manuels de procédures, etc.).

Phases d’analyse et d’évaluation des risques

La manifestation du risque est précédée par une analyse des causes puis d’une
détermination des conséquences. En effet, l’application d’une logique causale
permet d’identifier le fait générateur, ou la cause principale du risque, et de définir
les éléments de pertes. L’analyse du risque est ainsi un exercice qui exige des
échanges avec les opérationnels afin d’affiner les études de causalité. La phase
d’analyse et d’évaluation permet donc, en remontant à la cause première du risque,
d’élaborer des dispositifs de maîtrise des risques et de réduire les impacts.
Dans certains cas, la cause des risques n’est pas maîtrisable (pandémie, catastrophe
naturelle, incendie…). En conséquence, il convient de mettre en place un plan de
continuité d’activité (PCA). Pour une bonne maîtrise des risques, il faut également
les anticiper pour pouvoir en évaluer les conséquences.
Cette phase d’analyse et d’évaluation des risques peut être résumée en trois étapes.
1. L’analyse des causes/effets des risques.
2. L’évaluation qualitative.
3. L’évaluation quantitative.

Figure 5.1 – Processus d’analyse et d’évaluation des risques en entreprise

L’évaluation des risques suppose au préalable la mesure de l’occurrence d’un

évènement indésirable, de ses effets et de ses conséquences. La  mesure de
l’occurrence se base sur le calcul d’une probabilité de réalisation d’un risque sur un
horizon temporel donné ou une fréquence de production de ce risque par unité de
temps. La mesure de l’occurrence peut également se faire à travers la proposition
de classes de possibilités d’apparition de ce risque (son délai). Les effets ou les
conséquences du risque sont alors estimés de manière quantitative à travers le
calcul de coût direct ou indirect (humain, économique ou environnemental) ou de
manière qualitative en évaluant la gravité de ses effets.
En résumé, les risques sont évalués en fonction de leur probabilité de réalisation et
leurs impacts financiers. Néanmoins, l’évaluation des risques demeure
approximative avec une part de subjectivité. La  démarche permet cependant de
classer les risques selon une échelle de criticité (faible, moyen et élevé). La phase
d’analyse et d’évaluation des risques permet enfin de modéliser les différents
risques auxquels est exposée l’entreprise et de valoriser leurs conséquences
financières. Elle constitue un préalable pour la définition des stratégies de gestion
et de couverture des risques.
Par ailleurs, la mise en place d’un dispositif intégré de gestion des risques s’inscrit
dans une nouvelle culture d’entreprise compte tenu de la complexité croissante des
risques auxquels les organisations sont confrontées. Récemment, la fonction de
Risk Management a émergé dans les grands groupes pour assurer une gestion
continue et transversale des risques. La cartographie des risques est quant à elle
devenue une pratique courante dans ces organisations permettant une meilleure
appréhension des risques.

Fonction Risk Management

La fonction de gestion des risques, ou Risk Management, contribue à la prise de

conscience de l’intérêt d’une approche stratégique des risques au sein l’entreprise
et à la diffusion d’une culture de prévention et de gestion des risques. Elle est
généralement rattachée à la direction financière pour sa proximité avec des
fonctions connexes comme celles de l’audit et du contrôle interne. Dernièrement,
la  fonction de gestion de risque a gagné progressivement en autonomie et en
indépendance, principalement dans les grandes organisations.
La fonction Risk Management est ainsi placée sous l’autorité d’un Chief Risk
Officer et est formée par une équipe réduite de Risk Managers. Tandis que les
managers de risques assurent la liaison avec les niveaux opérationnels pour
l’identification et le traitement des différents risques, le Chief Risk Officer demeure
l’interlocuteur dédié des directeurs et de la direction générale.
Le système de management des risques est mis en œuvre selon une approche
participative, intégrée et décentralisée pour garantir une réactivité et une remontée
de l’information au niveau de la fonction chargée de la gestion des risques. Cette
approche permet une rationalisation des process grâce à la maîtrise des coûts, à la
hiérarchisation des risques, au reporting et au choix des instruments de couverture.
En impliquant les collaborateurs, le dispositif permet le respect des objectifs de
l’organisation et l’implantation de systèmes de contrôle plus adaptés. Il permet
également la mise en place d’un système d’information de meilleure qualité grâce à
une centralisation, une hiérarchisation et une homogénéisation des flux
d’information et via un feedback fiable de la part des niveaux opérationnels par
rapport aux indicateurs de risque.
Cartographie des risques

La cartographie des risques permet de représenter de manière synthétique et

graphique les risques de la structure concernée, hiérarchisés selon des critères
définis en amont. La cartographie permet ainsi de donner une vision globale et
exhaustive des risques, de rationaliser la gestion des risques et de mieux les
appréhender, et permet également un arbitrage entre la gestion du risque en interne
ou son transfert à un organisme extérieur. Enfin, la cartographie des risques permet
de se focaliser sur la gestion des risques les plus menaçants.
Pour cartographier les risques, il convient tout d’abord d’identifier les différents
risques et de les classer par catégorie (stratégique, opérationnel, financier, etc.).
Puis, il s’agit de les évaluer en termes de fréquence et d’impact, et de les quantifier
le cas échéant. Enfin, la phase de traitement permet la mise en place de différents
plans d’action.
La démarche pour la cartographie des risques est enfin ascendante, basée sur
l’agrégation des risques identifiés par les différents métiers et les fonctions
d’appui. Le modèle de risque élaboré par l’entreprise est alors commun à toutes les
structures et permet un classement homogène des risques.

Grandes catégories de risques

Les risques sont habituellement classés en deux grandes catégories  : les risques
stratégiques et les risques opérationnels.

Risques stratégiques

Le risque stratégique  est le risque lié aux choix stratégiques de l’entreprise lui
permettant de s’adapter à son environnement concurrentiel. Les choix stratégiques
doivent en effet répondre aux attentes des parties prenantes (actionnaires,
dirigeants, salariés, clients, fournisseurs, etc.), consolider le portefeuille de produits
et de services, et renforcer les parts de marché de l’entreprise. Les choix
stratégiques de l’entreprise portent ainsi principalement sur des stratégies de
développement interne (nouveaux produits, nouveaux marchés, nouveaux circuits
de distribution) et externe (fusion-acquisition, partenariat, sous-traitance etc.),
l’investissement en recherche et développement, l’innovation technologique, la
gouvernance, etc.
Le risque stratégique peut alors être analysé à travers une matrice SWOT ou
PESTEL.
La matrice SWOT2 est un outil déployé pour évaluer le positionnement stratégique
de l’entreprise et définir son plan d’action sur un horizon de moyen et long terme.
Bien conduite, cette analyse permet d’évaluer les forces et les faiblesses en interne
de l’entreprise, de lister les opportunités et de détecter les menaces de
l’environnement externe.

Figure 5.2 – Matrice SWOT

L’analyse SWOT peut être affinée par le recours à d’autres instruments d’analyse
stratégique comme le business model canvas ou le modèle des cinq forces de
Porter. Parmi ces outils d’analyse stratégique figure également l’analyse PESTEL.
Celle-ci permet en effet à l’entreprise d’identifier et de mesurer les
éléments susceptibles d’avoir un impact sur son activité et son développement.
Le modèle PESTEL s’articule autour de six composants.
1. Politique  : l’ensemble des décisions prises par les pouvoirs publics et les
gouvernements qui peuvent avoir un impact direct ou indirect sur l’activité
de l’entreprise et sa performance (politique fiscale, politique de change,
politique budgétaire, politique de commerce extérieur, etc.).
2. Économique : l’ensemble des facteurs économiques pouvant avoir un impact
sur la performance de l’entreprise comme le pouvoir d’achat des ménages, le
comportement des consommateurs, les  prix des inputs ou l’évolution des
conditions du marché (revenu disponible, taux de chômage, prix, taux
d’intérêt).
3. Socio-culturel : l’ensemble des caractéristiques sociales et culturelles pouvant
influencer le pouvoir d’achat des ménages et leurs habitudes de
consommation (pyramide démographique, niveau d’éducation, répartition
 des revenus, attitude vis-à-vis des loisirs et du travail, mobilité sociale,
égalité entre les genres, etc.).
4. Technologique  : l’ensemble des avancées technologiques susceptibles
d’impacter le marché de l’entreprise (dépenses recherche et développement,
nouveaux brevets, découvertes, technologie de substitution, etc.).
5. Écologique ou environnemental  : l’ensemble des facteurs liés à
l’environnement pouvant influencer l’activité de l’entreprise, son business
model ou sa performance (critères ESG, économie durable, traitement des
déchets, pollution, etc.).
6. Légal  : l’ensemble des lois et des règlements ayant un impact sur le cadre
légal dans lequel l’entreprise évolue.

Figure 5.3 – Analyse PESTEL

Risques opérationnels

Le risque opérationnel est le risque qui dépend de la manière dont l’entreprise

exerce son métier. L’article 13 de la directive européenne Solvabilité II définit ainsi
le risque opérationnel comme « le risque de perte résultant de procédures internes,
de membres du personnel ou de systèmes inadéquats ou défaillants, ou
d’événements extérieurs ».
En conséquence, et contrairement aux risques métiers et stratégiques, le risque
opérationnel est un risque subi par l’entreprise. Il peut alors être diffus et difficile à
appréhender par la multitude de formes qu’il peut endosser.
Le dispositif de gestion des risques opérationnels doit donc permettre la détection
des risques et incidents de nature opérationnelle entraînant des conséquences
financières ou d’image sur l’entreprise. Il  doit ainsi analyser et apprécier les
impacts de ces risques, permettre d’alerter et de mobiliser les principaux
responsables concernés par les risques, définir des plans d’actions nécessaires y
compris en termes d’instruments de financement du risque et, enfin, disposer
d’outils de pilotage à destination de la direction ou des différentes parties prenantes
du dispositif.
Le point essentiel est que ce dispositif doit avant tout reposer sur un réseau de
correspondants capables de servir de relais d’informations en cas d’alertes ou
d’incidents. En contrepartie, ces correspondants « risques » doivent également être
alimentés en informations et disposer d’un retour sur investissement via des
reporting.
Concrètement, pour l’élaboration d’un dispositif de risque opérationnel adapté aux
enjeux de l’organisation, il faut que celui-ci soit alimenté constamment des
situations et des évènements passés que ce soit ceux vécus par l’entreprise (base
d’incidents) ou ceux connus et qui se sont produits dans d’autres organisations.
Mais aussi prendre la mesure de la situation actuelle et de l’environnement de
l’entreprise en appréhendant le contour du profil de risque (cartographie des
risques), en déterminant le contrôle permanent en place (contrôle interne) et en
définissant des éléments permettant de surveiller et/ou d’être alerté en temps et en
heure sur la modification du profil de risque de l’entreprise (indicateurs). Enfin, le
dispositif cible doit permettre de se projeter sur des évènements moins fréquents
qui sont le plus souvent des risques majeurs (analyse de scénarios).
Ainsi, la logique d’Enterprise Risk Management (ERM) doit être appliquée pour
donner une vue d’ensemble et transversale des risques. C’est  pourquoi il est
nécessaire que l’organisation du dispositif de gestion des risques repose sur des
échanges entre les acteurs des risques qualitatifs et quantitatifs mais aussi les
directeurs et les managers afin d’ancrer le dispositif à la réalité de l’entreprise.

3. STRATÉGIES DE GESTION DES RISQUES

Pour appréhender les risques auxquels est exposée l’entreprise, quatre stratégies
différentes peuvent être adaptées.
1. La stratégie d’évitement  : elle consiste à apporter des changements afin
d’éviter une partie ou la totalité du risque, par exemple, mettre fin à l’activité
 ou éviter un événement porteur de risque, ou confier l’activité ou
l’événement à un tiers.
2. La stratégie d’atténuation ou de diminution du risque  : elle se base sur la
mise en œuvre de nouvelles activités pour diminuer la probabilité que
l’événement se produise, par exemple, la mise en place de nouvelles
politiques ou procédures et nouveaux contrôles, l’audit des activités ou le
développement d’un nouveau plan d’action.
3. La stratégie de transfert ou partage du risque : elle sous-entend qu’une tierce
entité assume le risque, par exemple, à travers le recours à l’assurance, le
développement de partenariats et autres contrats avec des tiers.
4. La stratégie d’acceptation du risque (ou de l’auto-assurance)  : elle vise la
conservation du risque au niveau de l’entreprise en développant des
mécanismes d’auto-assurance où aucune mesure n’est nécessaire.
Ces quatre stratégies sont intégrées au processus de gestion des risques au niveau
de la phase de traitement des risques. Elles sont ensuite déclinées en plans d’action
pour réduire l’impact des risques.

Figure 5.4 – Processus de gestion des risques

Source : AJILI W., « Quels instruments de couverture pour la gestion du
cyber-risques ? », Insurance and Risk Management, 87(1-2), juillet 2020 :
 69-99.

Enfin, le risque se mesure assez souvent selon deux critères :

la probabilité d’occurrence (ou la fréquence) ;
l’intensité (ou l’impact).
Ainsi, une répartition spatiale des différents risques en fonction de ces deux
critères est possible. Il s’agit d’une cartographie des risques dite fréquence/impact
(cf. figure 1.5). Cette cartographie des risques permet dès lors de définir différents
niveaux de risque  : mineur, modéré, majeur et critique, chaque niveau de risque
étant représenté sur la cartographie par une zone différente.
Toutefois, si la cartographie des risques s’avère utile pour appréhender des risques
hétérogènes et les classer en fonction de leur degré de criticité, son caractère
général et son approche globale réduisent sa portée. Néanmoins, l’établissement de
ces cartographies demeure le résultat d’enquêtes menées souvent auprès de
professionnels. En conséquence, ces cartographies doivent être lues et interprétées
avec prudence, en tenant compte de plusieurs biais méthodologiques (méthode de
collecte de l’information, représentativité de l’échantillon, taille de l’échantillon,
etc.) et cognitifs (perception, mémoire, appréciation, etc.) qui peuvent réduire leur
significativité.
En définitive, ces cartographies traduisent une appréciation plus ou moins
subjective de la criticité du risque à un instant donné, assez souvent établie sur la
base d’un échantillon de professionnels.

4. GESTION DES RISQUES
DANS LES ÉTABLISSEMENTS BANCAIRES
ET D’ASSURANCES
Les activités bancaires couvrent un large éventail, allant de la collecte de dépôts,
au financement de l’économie à la commercialisation de produits d’assurance, en
passant par les activités de marchés comme la négociation des actifs financiers. Le
système bancaire français, voire européen, est ainsi basé sur la notion de banque
universelle, c’est-à-dire un consortium financier multi-activités qui regroupe
différents métiers tels que les banques de détail, les banques de marchés et
d’investissements et l’activité assurance.
La banque de détail se focalise sur les particuliers, les professionnels, les petites et
moyennes entreprises (PME), les petites et moyennes industries (PMI), les start-up,
les collectivités locales et les associations. Elle assure alors trois principaux rôles à
savoir la collecte des dépôts, l’octroi de crédits et la gestion des moyens de
paiement. Par  opposition, la banque de financement et d’investissement est
destinée aux grandes entreprises, aux gestionnaires de fonds, aux investisseurs
institutionnels et aux États. Celle-ci est donc un acteur des marchés financiers qui
agit à la fois pour son propre compte, notamment à travers des placements de
trésorerie, la négociation d’actions et d’obligations, l’émission d’emprunts
obligataires et autres titres de créance et la souscription aux OPCVM, mais aussi
pour le compte de sa clientèle lors des introductions en Bourse, des émissions
obligataires et des restructurations du capital. Enfin, les banques assurent une
« activité assurance » qui consiste à offrir à ses clients des produits d’assurance de
biens ou de personnes, comme l’assurance-vie.
Selon le cadre de la réglementation de Bâle II, l’activité bancaire a alors été
répartie en huit lignes métiers ou business lines.

Figure 5.5 – Lignes métiers de la banque selon Bâle II

Risques inhérents à l’activité bancaire

Le risque se trouve donc au cœur de l’activité bancaire et des assurances. En effet,

toute banque est amenée à prendre des risques, à en assumer les conséquences et à
mettre en place les moyens de couverture appropriés. Néanmoins, les crises
financières ainsi que certaines faillites de banques ont révélé l’ampleur des risques
inhérents à leur activité.
La banque subit deux types de risques. La première catégorie de risque est un
risque accepté et rémunéré lié à la nature même de l’activité bancaire et
d’assurance. À l’inverse, la seconde catégorie expose la banque à certains risques
qu’elle ne souhaite même pas assumer comme le risque de fraude ou celui des
cyber-attaques. Il s’agit dans ce cas de risques dits subis.

Risques bancaires acceptés et rémunérés

Le métier de la banque est fondé sur la notion de prise de risque. Celle-ci se

caractérise par un arbitrage coût/opportunité basé sur la détermination de
l’espérance de gains comparée au niveau de risque encouru. De fait, toute banque
est rémunérée sur la base de cette acceptation de prise risque.
Risque de crédit ou de contrepartie
Le risque de crédit ou de contrepartie couvre les pertes financières inhérentes à
l’incapacité des clients ou des contreparties à honorer leurs engagements
financiers.
Le risque de crédit assumé par la banque de détail est le risque de défaut de
remboursement, lié à la probabilité de perte de toute ou une partie du montant du
crédit accordé si l’emprunteur ne rembourse pas sa dette à échéance. Pour se
couvrir contre le risque de crédit, la banque de détail est amenée à sélectionner ses
clients emprunteurs via le recours à des méthodes de scoring en interne. Ces
approches de scoring sont notamment imposées par l’accord de Bâle II, puis
complétées et perfectionnées par l’accord de Bâle III.
Le risque de contrepartie subi par une banque de financement et d’investissement
(BFI) est la perte potentielle due au défaut d’un client, personne physique ou
morale, lors d’une opération de gré à gré (over-the-counter, OTC).
Le risque de règlement/livraison est également assumé par les BFI en rapport avec
leurs activités de marchés portant sur la négociation de titres financiers ou
l’échange de devises au comptant (spot) et à terme (forward). Concrètement, ce
risque correspond au non-règlement de la transaction ou à la non-livraison par la
contrepartie.
Risque de marché
Le risque de marché est le risque pour une banque de subir des pertes financières à
la suite de variations des prix des actifs financiers (actions, obligations, produits
dérivés, matières premières, etc.), des taux de change et des taux d’intérêt. Il est à
noter que le concept de risque de marché couvre les risques suivants.
• Le risque de taux (d’intérêt) : risque lié à une évolution défavorable des taux
d’intérêt, à la baisse comme à la hausse, aussi bien sur les prêts que sur les
 emprunts. Le risque de taux a un impact non seulement sur les activités de
marché des banques mais aussi sur celles de gestion des dépôts et des crédits.
• Le risque de liquidité : risque résultant d’un problème de refinancement pour
une banque. Il se manifeste dans le cas d’une banque avec des ressources
financières (des liquidités) insuffisantes pour faire face à ses engagements de
court terme. Une  crise de liquidité bancaire est également une crise de
confiance à l’égard de la banque qui freinera son refinancement sur le marché
interbancaire. La crise des subprimes, se trouvant à l’origine de l’accord de
Bâle III, a notamment contraint les régulateurs à renforcer la couverture du
risque de liquidité.
• Le risque de change  : risque de pertes (éventuellement de gains) lié aux
fluctuations des taux de change. En effet, toute fluctuation défavorable (ou
favorable) des taux de change se répercutera négativement (ou positivement)
sur les flux futurs espérés par la banque dans le cadre de son activité sur
devises. La banque subit également le risque de change dans le cadre de ses
activités de crédit notamment lorsqu’elle prête ou emprunte en devises
étrangères.
Risque de souscription
Le risque de souscription couvre les pertes financières ou de variation de la valeur
des engagements de la bancassurance en raison d’hypothèses inadéquates en
matière de tarification et d’approvisionnement. En fonction des produits
d’assurance commercialisés par la banque, le  risque de souscription peut être
composé d’un ou plusieurs éléments parmi les suivants.
• Le risque vie  : risque concernant notamment les produits d’assurance-vie et
résultant des probabilités de morbidité, de mortalité, de longévité, d’incapacité
des assurés.
• Le risque non-vie : risque couvrant notamment les produits incendie, accidents
et risques divers. Il concerne les assurances de biens et de responsabilité, et
les assurances des dommages corporels.
• Le risque santé : risque inhérent aux produits de complémentaire santé. Pour
les produits de prévoyance, il porte sur les probabilités de mortalité des
assurés. Font également partie de cette catégorie les risques liés aux
épidémies, pandémies et frais de santé.

Risques bancaires subis

À l’inverse des risques acceptés et rémunérés, certaines activités exposent les

établissements bancaires à des risques non volontaires. Il s’agit en effet de risques
inévitables car inhérents à l’activité bancassurance.
Risques stratégiques
Ce sont les risques liés aux processus de prise de décisions stratégiques au sein des
banques. Les risques stratégiques visent ainsi l’ensemble des évènements
susceptibles de remettre en cause l’atteinte des objectifs stratégiques.
Les décisions stratégiques peuvent porter sur des décisions de restructuration,
d’implantation régionale, d’internationalisation, d’alliances ou de partenariats, de
fusions et d’acquisitions, d’externalisation, de diversification, etc.
Risques opérationnels
Pour la banque, le risque opérationnel est le risque de pertes financières résultant
d’une défaillance au niveau des procédures (non-respect des procédures, défaut de
contrôle ou contrôle incomplet), de son personnel (erreurs, malveillance et
fraudes), des systèmes internes (panne informatique) ou d’évènements exogènes
(catastrophe naturelle, inondation, incendie, etc.)
Depuis l’accord de Bâle II, le risque opérationnel est pris en compte dans le calcul
des fonds propres réglementaires. Le comité de Bâle pour le contrôle bancaire a
ainsi défini une classification du risque opérationnel en sept catégories.
• La fraude interne : divers évènements comme le vol commis par un salarié, la
falsification de documents, le délit d’initié, les informations inexactes
communiquées sur des positions de marché.
• La fraude externe : le détournement de fonds, les faux en écriture, l’usurpation
d’identité, le vol de données, la manipulation des données et le piratage
informatique.
• Les clients, les produits et les pratiques commerciales : le défaut de conseil, le
défaut d’information, la violation du secret bancaire, la vente forcée, le
soutien, la rupture abusive de contrat.
• L’exécution, la livraison et la gestion des processus : les erreurs de saisie, les
erreurs dans l’enregistrement des données, les défaillances dans la gestion des
sûretés, les lacunes de procédures, l’absence de traitement d’une opération, les
erreurs de paramétrage, le  non-respect des obligations législatives ou
réglementaires.
• Les dommages occasionnés aux actifs physiques  : la dégradation volontaire
des actifs corporels, les actes de terrorisme, le vandalisme, les séismes, les
incendies et les inondations.
• Les interruptions d’activité et les dysfonctionnements des systèmes  : les
pannes de matériels et de logiciels informatiques, les  problèmes de
télécommunications et les pannes d’électricité.
 • Les pratiques en matière d’emploi et de sécurité sur le lieu de travail  : la
violation des règles de santé et de sécurité des salariés, le délit d’entrave aux
activités syndicales, la discrimination à l’embauche.
Risque de non-conformité
Le risque de non-conformité est une sous-catégorie du risque opérationnel. Il
résulte du non-respect de dispositions propres aux activités bancaires, qu’elles
soient législatives, réglementaires ou déontologiques. Le risque de non-conformité
est passible de sanction judiciaire, disciplinaire ou administrative, de perte
financière significative ou d’atteinte à la réputation de l’entreprise.

– Risque de crédit
Risque de crédit/contrepartie – Risque de contrepartie
– Risque de règlement/livraison

– Risque de taux
Risques acceptés
Risque de marché – Risque de liquidité
et rémunérés
– Risque de change

– Risque vie
Risque de souscription – Risque non-vie
– Risque santé

Risques stratégiques

– Fraude interne
– Fraude externe
– Clients, produits et pratiques
commerciales
– Exécution, livraison et gestion
des processus
Risques subis Risques opérationnels – Dommages occasionnés aux
actifs physiques
– Interruptions de l’activité et
dysfonctionnements des
systèmes
– Pratiques en matière d’emploi et
de sécurité au travail

Risque de non-conformité

Tableau 5.5 – Cartographie des risques en bancassurance

Pratique de contrôle interne et de gestion des risques
dans les établissements bancaires

Selon le règlement CCLRF 97-02 relatif au contrôle interne des établissements de

crédit et des entreprises d’investissement, ces derniers ont l’obligation de se doter
d’un système de contrôle interne afin d’assurer le contrôle des opérations, des
activités et des procédures internes relatives à la surveillance et à la maîtrise des
risques.

Contrôle permanent

Les banques et les établissements de crédit doivent disposer d’agents réalisant des
contrôles périodiques mais également permanents. Ce  contrôle permanent est
assuré par des agents des services centraux et locaux, exclusivement dédiés à cette
fonction, à savoir les contrôleurs internes ou permanents.
Ce contrôle permanent porte sur la conformité, la sécurité et la validation des
opérations et des activités. Le contrôle permanent peut également être assuré par
des agents exerçant des activités opérationnelles comme les managers de crédit ou
les analystes crédit, ainsi que les responsables de services opérationnels.

Direction de la conformité

En application des recommandations de l’accord de Bâle II, le CCLRF 97-02 exige

également des banques de se doter d’une direction de la conformité. Même si la
fonction de conformité est considérée comme une fonction de contrôle de second
niveau, elle constitue cependant une pierre angulaire du système de contrôle
interne de la banque.
L’objectif principal de la fonction conformité est ainsi d’assurer la vérification,
l’adéquation et la conformité des processus, des produits et des services bancaires
avec la réglementation en vigueur. De fait, elle est une composante du système de
contrôle permanent.

Filière risques

Par ailleurs, les banques et les établissements de crédit sont également tenus de
désigner un responsable de la filière risques, en application des dispositions du
CCLRF 97-02 relatives à la surveillance des risques et au renforcement des
systèmes de maîtrise des risques. Le responsable risque a ainsi pour fonction de
remonter aux organes exécutifs et délibérants l’état de la maîtrise des risques. Il
doit également notifier à l’Autorité de contrôle prudentiel et de résolution (ACPR)
les cas d’incidents majeurs.
La filière risques des établissements bancaires regroupe les agents et structures
chargées de mesurer, de surveiller et de maîtriser les risques. Elle doit assurer
l’appréhension de l’analyse et la mesure des risques selon une approche
transversale et prospective.

Fonction risques

Les banques et les établissements de crédit doivent de plus intégrer une fonction
risques aux procédures de prises de décisions et à leur structure organisationnelle.
Ce dispositif de gestion des risques des banques doit servir de socle au système de
contrôle interne.
La fonction risques a pour but d’identifier, de mesurer, de gérer et d’évaluer
l’ensemble des risques pris ou subis par la banque. La fonction risques doit alors
prendre en compte, au minimum, la  gestion des risques de contrepartie, de
marchés, opérationnels, stratégiques et de réputation, ainsi que les techniques
d’atténuation du risque. Pour y parvenir, elle doit définir dans un premier temps la
gouvernance des risques et sa stratégie de gestion des risques, soit sa politique en
matière de maîtrise et de surveillance des risques, puis elle doit assurer dans un
second temps une vision unitaire et consolidée de ses risques via la mise en place
d’un pilotage et d’un suivi des risques.
Enfin, la fonction risques doit s’assurer que la banque est bien dotée d’une
procédure coordonnée de gestion des risques et de contrôle interne « permettant de
participer à la réalisation et, le cas échéant, au développement de mécanismes et de
plans de sauvetage appropriés ».

Fonction actuarielle

Enfin, la directive européenne Solvabilité II impose aux établissements

d’assurance, y compris appartenant aux banques, de se doter d’une fonction
actuarielle. Celle-ci est composée d’une ou plusieurs personnes justifiant des
connaissances actuarielles et qui établissent un rapport relatif à la tarification, à la
rétrocession et au montant des réserves ou des provisions techniques.
La fonction actuarielle est tenue d’informer l’organe d’administration, de gestion
ou de contrôle de la banque, de la fiabilité et du caractère adéquat du calcul des
provisions techniques. La fonction actuarielle est dès lors considérée comme étant
une fonction de contrôle de second niveau. Elle peut cependant être intégrée au
dispositif de  contrôle interne de la banque pour la supervision des activités de la
filiale assurance car elle est l’un des acteurs du contrôle permanent.
 CHAPITRE 6

Contrôle interne et digitalisation

À l’image de la révolution industrielle qui a profondément
bouleversé la société au XIXe  siècle, la digitalisation est souvent
comparée à cette dernière en raison de son terrain d’entente
révolutionnaire et incontournable1. Elle fait partie intégrante de notre
quotidien et, surtout, ne va que se développer et se renforcer dans
les années à venir. Personne ne peut y échapper, que ce soient les
entreprises, les employés ou les clients.
Cavelius et ses coauteurs ajoutent même que la numérisation est
devenue un facteur clé de succès et peut profondément modifier la
façon dont les organisations fonctionnent. En effet, avec
l’émergence du big data et le développement de nouveaux outils
basés sur l’intelligence artificielle, la  digitalisation entraîne des
changements en profondeur, affectant tous les processus des
firmes2.
Le recours à la digitalisation du contrôle interne a ainsi fortement
réduit l’exposition de l’entreprise aux différents risques tout en
améliorant ses performances, car le contrôle interne digitalisé
permet de traiter en continu et automatiquement les données de
l’entreprise. En  conséquence, il  limite l’existence d’erreurs et
d’anomalies dans les bases de données et protège l’entité de
nombreuses menaces telles que la fraude. Un contrôle interne
continu et automatique ne fait donc que  contribuer à  renforcer la
sécurité de l’entreprise.

1. CADRE CONCEPTUEL DE LA NOTION

DE DIGITALISATION

Qu’est-ce que la digitalisation ?
De nos jours, la digitalisation est devenue un concept de base pour les
entreprises. Elle s’applique à tous les domaines et garantit l’optimisation du
temps et des efforts en automatisant des tâches qui s’avéraient complexes
dans le passé. Dans certains domaines où l’entreprise n’a pas encore
pleinement réalisé un virage digital, elle a même pris la forme d’un
avantage concurrentiel3. La digitalisation est donc un processus qui vise à
transformer n’importe quel outil ou même métier en code informatique, soit
pour le remplacer, soit pour le rendre plus efficace4. Lemqeddem et Chouay
ajoutent par ailleurs que la digitalisation permet de supprimer la frontière
entre le réel et le virtuel, ce que l’on appelle le « monisme numérique5 ». De
fait, l’élimination de la frontière entre les deux sphères permet de mieux
réaliser les activités des deux côtés. En effet, la numérisation des activités
d’audit et de contrôle au sein de l’entreprise permet d’optimiser les
processus de prises de décision et d’améliorer la performance.
Dès lors, pour renforcer la compétitivité et assurer la pérennité de
l’organisation, qu’il s’agisse d’un organisme public ou privé, le concept de
la digitalisation doit être appliqué, donc une transformation digitale en
profondeur doit être menée. En effet, créer un site Internet ou investir dans
un réseau social ne suffit plus, la digitalisation doit s’appliquer à l’ensemble
de l’organisation6.
Voici quelques exemples concrets pour illustrer le rôle de la digitalisation
en entreprise :
le mail qui remplace le courrier postal et évite une gestion administrative
compliquée des papiers ;
l’utilisation d’un logiciel de gestion qui permet de suivre
automatiquement les factures impayées ;
le self-scanning qui permet d’améliorer la rapidité et la fluidité aux
caisses des supermarchés, etc.

Digitalisation et transformation digitale

La transformation digitale fait donc référence au processus qui permet aux

entreprises d’intégrer toutes les technologies numériques disponibles dans
leurs activités. Dès lors, la transformation digitale des entités est un
changement profond qui doit répondre aux besoins futurs, l’un des plus
grands défis étant de pouvoir « faire parler » les données que l’entreprise a
accumulées au fil des ans.
La relation entre digitalisation et transformation digitale peut être
considérée comme réciproque  : la technologie digitale encourage, voire
renforce, la transformation digitale, c’est-à-dire la capacité à gérer
l’entreprise grâce à la digitalisation7. De plus, pour mettre en œuvre ces
technologies, l’entreprise doit subir une transformation profonde et peut
maximiser son nouveau modèle commercial grâce à l’excellence
opérationnelle. En d’autres termes, à l’ère digitale, les  entités qui
réussissent sont à la fois digitalisées et digitales8.

Digitalisation et technologie

Cependant, la digitalisation tendrait à se confondre avec la technologie dont

les innovations ne feront que remplacer des outils devenus obsolètes. En
réalité, la digitalisation signifie autre chose que le simple fait de mettre en
œuvre de nouveaux outils technologiques.
En effet, Cavelius et ses coauteurs ajoutent que la digitalisation est un
phénomène bien plus large qui implique non seulement l’utilisation de
nouveaux outils numériques, mais aussi de profonds changements dans les
processus de travail et les business models9.

Quels sont les outils digitaux ?

Les entreprises numériques renforcent donc leur résilience en remplaçant

leur structure et leurs processus rigides par une infrastructure et une culture
de travail aptes à s’adapter et à répondre aux nouveaux besoins. À ce
propos, l’entreprise digitalisée utilise de nouvelles technologies telles que le
big data, l’intelligence artificielle, les réseaux sociaux ou encore l’Internet
des objets, etc., permettant la création de produits et de services innovants
répondant aux besoins des consommateurs.
De fait, les outils technologiques peuvent offrir de nouvelles opportunités
pour mesurer la satisfaction clients (par exemple, en mesurant la voix des
clients pendant un appel ou en analysant leur langage corporel),
l’investissement des employés (par exemple, en observant la navigation sur
Internet et les clics effectués) ou encore la gestion des performances
managériales. Une bonne digitalisation de l’entreprise signifie dès lors que
ses nouveaux outils digitaux ont été établis et utilisés avec succès10.

Big data

Le big data désigne les ressources d’information dont les caractéristiques

en termes de quantité, de vitesse et de diversité nécessitent l’utilisation de
nombreuses techniques informatiques pour générer des informations
permettant la prise de décision. Le big data représente ainsi une variété et
une quantité de données constituant une différence importante par rapport
aux données précédemment disponibles dans les systèmes d’information.
Ces nouvelles ressources sont issues des médias, des réseaux sociaux, du
web, des bases de données privées et publiques de l’entreprise, etc.
Par ailleurs, l’explosion quantitative redondante des données digitales offre
alors une nouvelle façon d’analyser le monde, car l’énorme quantité de
données numériques disponibles implique de nouveaux ordres de grandeur
dans la capture, le stockage, la récupération, le partage, l’analyse et la
visualisation des données. En outre, ce traitement des «  méga données  »
ouvre de nouvelles possibilités pour l’exploration des informations.
Lemqeddem et Chouay alertent cependant sur le fait que si Internet aidera à
accéder à plus de données dans un laps de temps plus court qu’auparavant,
les organisations devront garantir la fiabilité et l’authenticité de leurs
données11.
 Figure 6.1 – Prévisions de mars 2021 de l’évolution de la quantité de données numériques de
2020 à 2035 (en zettaoctet12)
Source : GAUDIAUT T., « Le Big Bang du Big Data », fr.statista.com ,
19 octobre 2021.

Landing page des sites Internet

L’une des solutions pour les entreprises de se différencier via leur site
Internet, est leur landing page, également appelée page de destination ou
page d’atterrissage. Cette dernière désigne la page sur laquelle les
internautes arrivent après avoir cliqué sur un certain lien renvoyant à
l’organisation (lien de messagerie, lien commercial, lien publicitaire, etc.).
Autrement dit, les landing pages sont des pages « indépendantes » du site
web qui permettent au public de cibler des actions spécifiques jouant le rôle
d’accueil. « Être contacté », « s’inscrire à la newsletter », « s’inscrire aux
événements », « télécharger l’application », « rediriger vers la page du site
web »… Toutes ces actions peuvent apparaître sur la landing page du site
web d’une organisation, il est donc essentiel que celle-ci soit optimisée pour
réaliser des performances optimales.
Les landing pages optimisées visent généralement à formuler efficacement
une proposition de valeur ou les avantages de l’offre promue sur le canal
marketing en tant que source de trafic, à suggérer des liens de sortie
susceptibles de guider les internautes vers d’autres pages et à proposer un
formulaire permettant la conversion (achat, encaissement, abonnement,
etc.).
Cependant, lors de la mise en œuvre de campagnes marketing Internet, par
exemple, l’optimisation de la landing page est encore négligée ou sous-
estimée par les organisations, ce qui peut sérieusement affecter les
performances de la campagne lorsque le taux de rebond est trop élevé ou
que la conversion est entravée. Les organisations doivent dès lors s’emparer
de leur landing page.

Newsletter

Une newsletter a pour but de résumer régulièrement les activités de

l’organisation. En d’autres termes, les newsletters sont des mails dont le
contenu est formaté aux couleurs de l’entité et qui sont envoyés à la base de
données des utilisateurs préalablement enregistrés pour les recevoir.
La newsletter, ou lettre d’information, peut être quotidienne, mensuelle ou
trimestrielle, selon le site concerné et les choix de l’entreprise. Elle peut
alors contenir des activités commerciales, des  actualités, une revue de
presse, des présentations de produits, etc.
En conséquence, il est nécessaire que la newsletter suscite l’intérêt des
utilisateurs et qu’elle soit envoyée plus souvent possible (attention
cependant  : le timing d’envoi des newsletters a son importance. Des
newsletters trop régulières peuvent décourager les utilisateurs. Au contraire,
des newsletters trop rares peuvent ne pas avoir l’effet espéré). Les
informations qui en résultent (taux de clics, taux d’ouverture, taux de
rebond, etc.) s’avèrent très importantes pour mieux s’adapter aux activités
futures. Néanmoins, le contenu de la newsletter doit aussi être adapté en
fonction de l’audience pour ne pas être considéré comme un spam qui
viendrait ternir l’image de l’entreprise. Dès lors, classer son audience selon
des critères bien précis permet de mieux cibler ses communications et
d’obtenir plus de conversions.

Visioconférences

À l’aide d’outils tels que Slack, Microsoft Teams, Skype ou Google Meet,
l’entreprise peut également organiser des visioconférences et créer des
groupes pour chaque tâche, s’assurant ainsi que chaque intervenant suit
l’avancement d’un projet. Non seulement cela permet une meilleure
diffusion de l’information, mais il s’agit aussi d’une solution pratique pour
impliquer tous les acteurs. En effet, chacun peut intervenir pour répondre à
une question ou proposer une solution. À noter que la participation est un
élément essentiel pour motiver les équipes à atteindre leurs objectifs.
Ces outils numériques permettent également de s’adapter à une nouvelle
organisation de l’entreprise. Dans le monde numérique, les employés ne
doivent pas nécessairement être dans le même bureau. Travail à distance,
collègues à l’étranger, il est donc essentiel de pouvoir communiquer
autrement. Les outils de communication numériques permettent alors de
communiquer partout dans le monde à moindre coût.
 Covid-19 et outils digitaux
Au printemps 2020, 88  % des télétravailleurs utilisaient un logiciel de
visioconférence et 81 % un programme de messagerie instantanée, plaçant les
outils de communication numérique au premier plan. Par  la suite, 75  % des
travailleurs à domicile utilisaient des outils de travail collaboratif et de partage de
documents. D’autres outils dédiés à l’intelligence artificielle, à la conception
assistée ou à la gestion de la relation client, ont également été utilisés par moins
un télétravailleur sur cinq13.

2. DIGITALISATION DE L’ENTREPRISE :
ACTIVITÉS ET PROCESS

Pourquoi digitaliser l’entreprise ?

Du point de vue de l’entreprise

La digitalisation se caractérise par une vitesse de diffusion exceptionnelle :

la nature exponentielle du rythme de l’innovation se distingue
fondamentalement la numérisation des révolutions technologiques
précédentes14. À titre d’exemple, il a fallu près de 38  ans à la radio pour
atteindre les 50 millions d’auditeurs, 13 ans à la télévision, quand il n’aura
suffi que d’un an pour Facebook ou même 9  mois pour Twitter pour
atteindre des millions d’abonnés15.
De ce fait, la transformation digitale, généralement considérée comme un
facteur de croissance, implique tous les métiers et tous les départements
d’une organisation afin de permettre une coordination et une collaboration
au sein de l’entreprise. Cavelius et ses coauteurs définissent ainsi
l’entreprise numérique comme celle ayant introduit l’utilisation d’outils
numériques innovants dans ses opérations quotidiennes, tels que le big data,
les systèmes de Cloud, l’intelligence artificielle, les réseaux sociaux ou
encore l’Internet des objets. Ils  considèrent alors la digitalisation comme
l’un des principaux défis auxquels sont confrontées les entreprises du
monde entier16.
En effet, la digitalisation au sens large peut développer des opportunités
dans tous les secteurs :
le concept de distance n’existe plus et l’information peut être diffusée
instantanément sans restriction géographique ;
l’information et le contenu dématérialisé peuvent atteindre plus de
personnes sans aucune restriction pratique ;
les contenus peuvent être partagés et modifiés par différents employés
de l’entité en temps réel et peuvent faciliter le travail sur un même
projet ;
la communication est plus rapide et plus simple entre les employés de
l’entreprise ;
les conditions de travail des employés sont améliorées ;
la numérisation peut limiter les erreurs car il est plus facile de détecter
les anomalies et de les corriger.
En particulier, Cavelius et al. constatent qu’une transformation numérique
réussie permet aux entreprises d’identifier et de répondre plus rapidement
aux préférences et besoins des consommateurs, de développer des services
et produits plus innovants que leurs concurrents et de se renforcer sur le
marché.
En d’autres termes, la digitalisation peut même devenir une source
d’avantage concurrentiel  : la valeur générée par l’automatisation des
pratiques et des données et les autres processus numériques permet en effet
d’améliorer la performance de l’entité, tout en baissant ses coûts, la rendant
alors plus compétitive face à la concurrence.
Ainsi, d’après une récente étude17, il a été prouvé que la performance des
entreprises ayant choisi l’application de la numérisation a augmenté de
26 % et certaines regrettent de ne pas avoir fait ce choix plus tôt. En sus, les
résultats d’une autre étude menée par PWC indiquent que 57  % des
dirigeants s’attendent à une augmentation de leur chiffre d’affaires en
investissant dans le digital. Lemqeddem et Chouay, quant à eux, ajoutent
que les clients qui achètent sur deux canaux (physique et numérique)
achètent plus de produits que ceux à canal unique18. Se rendre disponible
sur différents canaux permet donc de faciliter l’achat et d’augmenter les
ventes.
Du point de vue du client

La digitalisation offre aux clients une variété d’outils numériques pour que
ces derniers consultent les informations qu’ils souhaitent sur n’importe quel
support, n’importe quand et n’importe où (c’est le fameux acronyme
ATAWADAC, any time, any where, any device, any content). Dans le
secteur privé, les entreprises ont ainsi tendance à utiliser ces outils pour
résoudre les problèmes des clients finaux afin de comprendre ce qu’ils
pensent.
La clientèle de l’entreprise digitalisée a en effet l’avantage d’avoir des
offres plus personnalisées et pertinentes, et une assistance après achat en
fonction de ses besoins d’une manière plus rapide et facile. La digitalisation
permet également aux clients de mieux communiquer avec l’entreprise,
augmentant leur fidélité vis-à-vis d’elle. Enfin, la  digitalisation de
l’entreprise lui permet de communiquer à l’extérieur des informations liées
à ses compétences, comme l’automatisation des processus, une meilleure
collaboration, etc. Toutes ces informations communiquées améliorent ses
compétences tout en impliquant ses collaborateurs.

Comment digitaliser l’entreprise ?

Une digitalisation réussie nécessite que l’entreprise se transforme assez

rapidement et opère dans des conditions comparables à celles de ses
concurrents mondiaux19. Les entreprises doivent par ailleurs trouver des
moyens d’allouer des budgets réels à leur transformation numérique afin de
bénéficier rapidement de ses impacts. De plus, pour réussir sa digitalisation,
une entreprise doit connaître ses clients et devenir visionnaire dans un
monde en mutation rapide.
Pour ce faire, la digitalisation d’une activité ou d’une entreprise doit
d’abord être accompagnée d’une bonne stratégie digitale. Si cette stratégie
est bien pensée, la digitalisation de l’entreprise apportera des avantages
indéniables. Lemqeddem et Chouay constatent ainsi qu’il faut commencer à
planter une « vision numérique » dans la culture de l’entreprise.
Cavelius et al., pour leur part, estiment que les entités doivent être
soutenues par des processus commerciaux numériques  : efficacité
opérationnelle, discipline des processus, fiabilité des données, rentabilité et
sécurité des transactions sont devenues les clés du succès sur un marché
concurrentiel et turbulent.
Plus précisément, les  services marketing qui maintiennent un contact
permanent avec les clients doivent amorcer leur transformation digitale dès
que possible.
Notons par ailleurs que la digitalisation de l’entreprise a conduit à
l’abandon des organisations en silo. Il n’est plus possible d’utiliser deux
réseaux de distribution indépendants, l’un physique et l’autre numérique. Il
est recommandé de fusionner les données numériques relatives aux clients,
car en renforçant la cohérence de la base clients, les clients monocanaux
peuvent se transformer en clients multicanaux.
Enfin, il est à noter que la formation numérique est l’un des outils qui doit
être utilisé pour mettre à niveau les employés, notamment ceux impliqués
en première ligne de la digitalisation. Mettling ajoute alors que la
digitalisation comporte des risques qui doivent être prévus et évités,
notamment par le biais du dialogue social et des efforts d’éducation à
grande échelle20. Ne pas former les employés signifie que l’entreprise finira
par se retrouver en difficulté et créera une atmosphère délétère.
En résumé, pour bien réussir la digitalisation de l’entreprise, il ne faut pas
hésiter à trouver de nouveaux partenaires. La délégation partielle des tâches
lui permettra de mieux fonctionner, notamment dans l’acquisition et le
développement de nouvelles compétences. Toutefois, il est recommandé de
ne pas déléguer l’ensemble du travail numérique de l’entreprise à des
sociétés externes.
 Figure 6.2 – Sept étapes pour initier la transformation numérique de l’entreprise
Source : BOUR L., « Qu’est-ce que la transformation digitale ou
numérique ? »,
journalducm.com, 19 juin 2017.

3. CONTRÔLE INTERNE
DIGITALISÉ
La digitalisation peut donc profondément changer la façon dont les
organisations fonctionnent. En effet, la transformation digitale bouleverse
les organisations de travail traditionnelles à bien des égards  :
paradoxalement, elle permet une reconstruction plus collaborative et
participative, et la création de nouvelles équipes professionnelles basées sur
de nouvelles méthodes de travail. Elle conduit également à la conception de
nouveaux espaces de travail plus conviviaux et plus ouverts, et favorise la
communication et la collaboration. En  conséquence, la transformation
digitale inclut la capacité à travailler de différentes manières à travers le
monde. Productif et efficace ne signifient plus se fixer des limites en les
ramenant dans le domaine professionnel, mais la capacité à se développer
en collaboration depuis n’importe où.
De ce fait, comme les autres fonctions de l’entreprise, le contrôle interne
lui-même doit être transformé par les opportunités offertes par la
digitalisation : les contrôleurs internes doivent utiliser des outils d’analyse
des données et des processus, voire intégrer des systèmes d’alerte précoces
dans le contrôle interne continu, pour augmenter la productivité et obtenir
les moyens de traiter les enjeux.
Aujourd’hui, la digitalisation permet notamment aux fonctions financières
et comptables d’accéder à des capacités de contrôle qui étaient auparavant
inaccessibles. Et automatiser les données comptables et opérationnelles
d’une entreprise, c’est optimiser la gestion des risques, car la technologie
est plus fiable et plus efficace que l’humain lors de l’analyse d’un grand
nombre de lignes. De  plus, certaines intelligences artificielles peuvent
effectuer rapidement des tâches complexes  : rapprochement de factures,
recherche de  doublons, détection d’actions atypiques, etc. Ces mêmes
mouvements et contrôles nécessitent généralement plus de main-d’œuvre,
de temps et de ressources financières. En conséquence, automatiser la
comptabilité peut aussi signifier raccourcir les délais de paiement, réduire
les coûts, respecter la réglementation, récupérer les trop payés, mieux
connaître les fournisseurs, voire logiquement améliorer les performances et
la productivité.
Dès lors, le contrôle interne disposera de meilleurs outils d’analyse et ne
fera que prendre des décisions plus efficacement. En effet, le  contrôle
interne digitalisé permet de traiter en continu et automatiquement les
données de l’entreprise, ouvrant un plus large éventail de possibilités
d’analyse. De par sa dimension réglementaire, ce contrôle apparaît
généralement comme une contrainte. Cependant, le processus de
digitalisation peut en faire une nouvelle opportunité pour l’entreprise. Une
étude menée par PWC en 2019 auprès de 2 000  dirigeants a ainsi montré
que lorsque le contrôle interne fait partie de la transformation numérique,
les parties prenantes peuvent mieux comprendre les risques et prendre de
meilleures décisions.
Jusqu’à présent opéré manuellement et donc exposé à de nombreuses
sources d’erreur, le contrôle interne est susceptible d’être révolutionné par
la transformation digitale. Processus de contrôle interne plus simple, plus
flexible mais aussi plus efficace, sont les preuves de la digitalisation
croissante de ce dernier. Grâce à l’automatisation, ces processus modernes
ont l’avantage de pouvoir traiter de grandes quantités de données
comptables et de mieux maîtriser les risques inhérents, grâce à :
des rapports précis ;
une amélioration de la réactivité ;
une compréhension approfondie des normes réglementaires ;
un élargissement de la portée du contrôle.
Les solutions numériques de contrôle interne permettent donc à la direction
de l’entreprise de suivre en quasi-continu l’évolution de ses données et ses
écarts potentiels par rapport aux niveaux de performance et d’efficacité
attendus.
En résumé, la digitalisation représente un enjeu considérable pour les
fonctions de contrôle interne et de comptabilité. À l’avenir,
le  fonctionnement des services financiers peut et doit être grandement
amélioré grâce à la technologie. L’intelligence artificielle n’en est qu’à ses
débuts et encore peu utilisée, elle bouleversera certainement à  terme
l’industrie financière, notamment bancaire.
 Conclusion
Cet ouvrage a présenté un large éventail de concepts, d’outils et de
méthodes de contrôle interne. Il permet notamment de comprendre l’utilité
de la mise en place d’un système de contrôle interne au sein d’une
organisation, de connaître les principales procédures et techniques de
contrôle interne, d’évaluer la qualité d’un système de contrôle interne en
identifiant ses forces et ses faiblesses, et  de  s’initier au contrôle interne
digitalisé.
Le mot « contrôle » est la traduction de « control » en anglais, dans lequel
le verbe « to control  » renvoie au sens de «  maîtrise  ». En français, il est
utilisé dans le sens de « surveillance ». Dans le contexte des organisations
publiques, le terme « contrôle  » a néanmoins trois  sens : le  premier est la
vérification, l’évaluation et l’inspection, soit une intervention après
l’exécution d’une opération. Le second renvoie à la supervision et au suivi,
qui sont des actions permanentes. Enfin, le contrôle est considéré comme la
maîtrise des événements, des comportements et des actions.
Différentes méthodes de contrôle ont donc été conçues pour guider le
comportement des acteurs vers l’atteinte des objectifs de l’entité, à savoir le
contrôle de gestion et le contrôle interne. Ces deux processus de contrôle
sont souvent mis en œuvre séparément, mais sont employés ensemble pour
assurer l’efficacité et l’efficience des ressources mobilisées pour atteindre
les objectifs organisationnels.
Le contrôle de gestion, le contrôle interne, l’audit interne et l’audit externe
sont des concepts différents dans leur fonctionnement, leur source et leur
méthodologie, mais ils restent donc complémentaires.
Cette complémentarité s’établit dans le cadre d’une aide pour l’entreprise,
car en cas de constatation alarmante, elle doit agir rapidement. C’est
pourquoi l’ensemble de ces fonctions contribue à l’atteinte des objectifs et
constitue une aide à la décision importante.
Les fonctions de contrôleur interne, de contrôleur de gestion et d’auditeur
interne sont dès lors au cœur des préoccupations des dirigeants. La
communication et l’information étant un enjeu majeur, il semble intéressant
que les contrôleurs de gestion et les contrôleurs internes aient des échanges
réguliers avec les auditeurs internes, bien que ce ne soit pas toujours le cas
en pratique. Pourtant, les différents types de contrôle et d’audit constituent
une tâche délicate et importante, nécessitant des procédures adéquates et un
système rigoureux et fiable afin de pouvoir détecter les dysfonctionnements
qui affectent l’image de l’entreprise.
À travers ce livre, nous avons également proposé des réponses multiples
permettant de comprendre les objectifs et les avantages d’une démarche de
contrôle interne tant pour les entreprises que pour l’ensemble des acteurs
économiques.
Le premier facteur, qui oblige les entreprises à mettre en place des
procédures de contrôle interne, est exogène. En effet, sous peine
de  sanctions immédiates, les actionnaires exigent de plus en plus de
transparence, d’assurance et de sécurité dans la gestion de l’entreprise. De
même, l’État entend renforcer le cadre réglementaire en mettant en œuvre
de nouvelles lois, se faisant ainsi le porte-parole de ces actionnaires. Son
objectif est de réduire les risques en analysant et en évaluant régulièrement
les processus qui ont un impact direct sur les comptes et la situation
financière de l’entreprise.
Le deuxième facteur est interne aux sociétés qui, pour maintenir la
durabilité, doivent modeler leur organisation de manière plus flexible et
décentralisée. Cela implique la superposition de multiples couches dans le
processus décisionnel, entraînant une augmentation de la délégation de
pouvoirs et un besoin de renforcer systématiquement les mesures et les
systèmes de contrôle existants pour s’assurer que tout se déroule dans le
cadre préalablement déterminé et que les responsabilités attribuées sont
bien contrôlées.
De ce point de vue, le contrôle interne n’est plus un processus isolé, mais
un processus transversal mis en œuvre par le conseil d’administration, la
direction et l’ensemble des salariés. Il devient un ensemble d’actions et de
décisions qui doivent être intégrées dans toutes les activités de l’entité et
dans ses procédures. De plus, comme nous l’avons souligné, il doit aller de
pair avec d’autres fonctions de contrôle : audit, contrôle de gestion, etc.
La mise en place d’un système de contrôle interne est ainsi un véritable
projet qui doit être mené comme tel et avec la plus grande rigueur pour
augmenter ses chances de succès. Tout d’abord, il est nécessaire d’identifier
le contexte et les objectifs précis à atteindre avant de définir les étapes
essentielles, les ressources associées et enfin les procédures de suivi. Puis, il
convient de prévoir une approche construite et opérationnelle mais de la
soumettre, avant toute exploitation à grande échelle dans l’entreprise, à une
modélisation destinée à la rendre la plus adéquate possible à la culture et au
contexte de l’entreprise. Bien entendu, la réussite du projet dépendra des
qualités humaines de toutes les personnes impliquées et de la capacité de la
direction à impliquer les opérateurs dans le projet, à favoriser les actions
correctives et à digitaliser leur firme.
Cependant, de vastes zones restent à explorer. De nouvelles cartes doivent
encore être élaborées. Les guides méthodologiques proposés ici ne doivent
dès lors pas devenir un carcan qui entraverait ces nouveaux horizons.
 Bibliographie
« Compendium des systèmes de contrôle interne publics des États Membres
de l’Union européenne », ec.europa.eu, 2014.
ANTOINE S., «  La gestion transdisciplinaire du risque dans un système
intégré d’approches du contrôle cas du secteur de l’habitat social.
Identification et maîtrise des risques : enjeux pour l’audit, la comptabilité et
le contrôle de gestion », HAL, noalshs-00582727, 2020, p. 1-25.
ARNAUD O.L., « Le COSO 1992 est mort, vive le nouveau COSO », Audit
et contrôle interne, no 215, 2015, p. 25-28.
AUTORITÉ DES MARCHÉS FINANCIERS, « Cadre de référence sur les dispositifs
de gestion des risques et de contrôle interne », amf-france.org, 2010.
BANQUE DE FRANCE, «  Bâle 1,2,3… de quoi s’agit-il  ? Séminaire national
des professeurs de BTS Banque Conseiller de Clientèle  », acpr.banque-
france.fr, 2017.
BANQUE DES RÈGLEMENTS INTERNATIONAUX, « Convergence internationale de
la mesure et des normes de fonds propres », Comité de Bâle sur le Contrôle
bancaire, 2006.
BANQUE DES RÈGLEMENTS INTERNATIONAUX, « Principes fondamentaux pour
un contrôle bancaire efficace  », Comité de Bâle sur le Contrôle bancaire,
2012.
BERNARD F., GAYRAUD R. et ROUSSEAU L., Contrôle interne, 3e  éd., Paris,
Maxima, 2010.
BONIN E. et ROSSIGNOL J., «  Le contrôle interne des entreprises de travail
temporaire d’insertion », La Revue des sciences de gestion, vol. 2, no 224-
225, 2007, p. 39-48.
BOSCHE-LENOI A. et MARFAING R., « Le COSO 2013 et le cadre de l’AMF
ne s’excluent ni ne s’opposent, ils sont complémentaires », Audit et contrôle
interne, no 215, 2015, p. 29-32.
CAVELIUS F., ENDENICH C. et ZICARI A., « L’impact de la digitalisation sur le
rôle du contrôleur de gestion », HAL, nohal-01907810, 2018, p. 1-28.
CHELLY D. et SÉBÉLOUÉ S., « Les métiers du risque et du contrôle dans la
banque. Les études de l’observatoire des métiers, des qualifications et de
l’égalité professionnelle entre les femmes et les hommes dans la banque,
mars 2014 », Audit et contrôle interne, no 215, 2015, p. 25-28.
COLLINS L. et VALIN G., Audit et contrôle interne  : aspects financiers,
opérationnels et stratégiques, Paris, Dalloz, 1992.
COMMISSION EUROPÉENNE, «  Prise de position sur les systèmes de contrôle
interne public au sein des 28 États membres de l’Union européenne  »,
ec.europa.eu, 2017.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
« Internal Control-Integrated Framework », coso.org, 1992.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
« Internal Control-Integrated Framework », coso.org, 2013.
COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION,
«  Le management des risques de l’entreprise  : démarche intégrée à la
stratégie et à la performance », chapters.theiia.org, 2017.
DABLI F., «  Initiation au contrôle de gestion. Tome  1  », fr.calameo.com,
ministère de l’Enseignement Supérieur et de la Recherche Scientifique,
Bénin, 2012, p. 1-43.
DE LAGARDE O. et KEREBEL P., Le Contrôle interne face au contrôle de
gestion, Paris, Éditions d’Organisation, coll. « Finance », 2011.
DELOITTE, Les Fondamentaux du contrôle interne, Paris, Université d’été,
2008.
DI MARTINO M., « Les règles prudentielles de Bâle 1, Bâle 2, Bâle 3 et le
financement des entreprises  », Revue Française de comptabilité, no  539,
2020, p. 3-5.
FESSI M., La Pratique de l’audit interne, Tunis, Éditions C.L.E., 1999.
GODENER A. et FORNERINO M., «  Pour une meilleure participation des
managers au contrôle de gestion  », Comptabilité Contrôle Audit, vol.  11,
no 1, 2005, p. 121-140.
HAMROUNI A., « Le rôle de l’audit interne dans la bonne gouvernance des
associations : cas d’une association à but non lucratif », Revue du contrôle,
de la comptabilité et de l’audit, vol. 1, no 2, 2020, p. 1-20.
IFACI/PWC, « COSO 2013 : une opportunité pour optimiser votre contrôle
interne dans un environnement en mutation », Pocket Guide, 2013.
INSTITUT FRANÇAIS DES AUDITEURS CONSULTANTS INTERNES, La Nouvelle
pratique du contrôle interne, Paris, Éditions d’Organisation, 1994.
KI-ZERBO B., « Plaidoyer pour des principes justes et pertinents : comment
donner du sens aux systèmes de contrôle interne ?  », Audit et contrôle
interne, no 215, 2015, p. 16-20.
LEMQEDDEM H.A. et CHOUAY J., «  Le rôle de la digitalisation dans
l’efficacité de l’audit interne », Revue Française d’économie et de gestion,
vol. 5, no 1, 2020, p. 48-65.
LOUISE F., «  Le jeu pénal insufflé par l’affaire Enron est-il en train de
s’essouffler ? », Droit et société, no 2, 2007, p. 451-462.
METTLING B., «  Transformation numérique et vie au travail  », vie-
publique.fr, ministère du Travail, de l’Emploi, de la Formation
Professionnelle et du Dialogue Social, 2015, p. 1-69.
OBERT R. et MAIRESSE M., Comptabilité et audit : manuel et applications,
Paris, Dunod, 2007.
OUASHIL M., «  Interaction entre le contrôle interne et le contrôle de
gestion : contribution au débat à travers le cas d’un établissement public »,
Moroccan Journal of Business Studies, vol. 1, no 1, 2017, p. 1-21.
PAUL M.H. et KRISHNA G.P., “The Fall of Enron”, Journal of Economic
Perspectives, American Economic Association, 17(2), 2003: 3-26.
PLUCHART J., «  L’éthique des affaires  : portée et limites de l’approche
fonctionnaliste  », La Revue des sciences de gestion, vol. 216, no  6, 2005,
p. 17-32.
RENARD J., Théorie et pratique de l’audit interne, Paris, Éditions
d’Organisations, 2002.
SECRÉTARIAT GÉNÉRAL DE L’AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE
RÉSOLUTION, «  Rapport sur le contrôle interne  », acpr.banque-france.fr,
2017.
VILLEPELET S., « Le COSO 2013 : une mise à jour du référentiel d’origine
pour mieux maîtriser les évolutions  », Audit et contrôle interne, no  215,
2015, p. 22-24.
YAICH A., Normes, pratiques et procédures de contrôle interne, Sfax,
Imprimerie Reliure d’Art, 1996.
YAICH A., Le Nouveau contrôle interne  : concepts, composantes et
techniques de contrôle, Sfax, Éditions Raouf Yaich, 2011.
 
docs.ifaci.com
fr.statista.com
journalducm.com
optimiso-group.com
Notes
1.   IFACI/PWC, «  Synthèse –  Référentiel intégré de contrôle interne  », docs.ifaci.com,
2014.
2.  Ibid.
3.  IFACI/PWC, op. cit., 2014.
4.  IFACI/PWC, op. cit., 2014.
5.  Les fonctions de décision ou opérationnelles sont les décisions ou opérations de ventes,
de production, d’achats, d’embauche, de gestion des personnels ou d’investissement.
Les fonctions de détention matérielle des valeurs ou des biens, appelées aussi les fonctions
de conservation, sont  par exemple  : caissier, trésorier, magasinier, responsable des
archives, chauffeur ou personnel livreur.
Les fonctions d’enregistrement sont la comptabilité générale et analytique, l’établissement
de la paie, la comptabilité matière et les fiches de stocks, l’établissement des budgets et la
comptabilité budgétaire, la saisie des informations dans les différentes bases de données et
logiciels.
6.   GODENER A. et FORNERINO M., «  Pour une meilleure participation des managers au
contrôle de gestion », Comptabilité Contrôle Audit, vol. 11, no 1, 2005, p. 121-140.
7.   LE CAPTAIN’, «  Le scandale Enron pour les nuls et l’identification d’anomalies via la
théorie des réseaux », captaineconomics.fr, 14 janvier 2019.
8.  LOUISE F., «  Le jeu pénal insufflé par l’affaire Enron est-il en train de s’essouffler  ?  »,
Droit et société, no 2, 2007, p. 451-462.
9.  Ibid.
Notes
1. AJILI  W., «  Quels instruments de couverture pour la gestion du cyber-risques ?  »,
Insurance and Risk Management, 87(1-2), juillet 2020: 69-99.
2. SWOT  : acronyme anglais  de «  Strengths, Weaknesses, Opportunities and Threats  »,
que l’on peut traduire par « Forces, Faiblesses, Opportunités, Menaces ».
Notes
1. LEMQEDDEM H.A. et CHOUAY J., «  Le rôle de la digitalisation dans l’efficacité de l’audit
interne », Revue française d’économie et de gestion, vol. 5, no 1, 2020, p. 48-65.
2. CAVELIUS F., ENDENICH C. et ZICARI A., «  L’impact de la digitalisation sur le rôle du
contrôleur de gestion », HAL, nohal-01907810, 2018, p. 1-28.
3. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020, p. 48-65.
4. Ibid.
5. Ibid.
6. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
7. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
8. Ibid.
9. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
10. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
11. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
12. Un zettaoctet équivaut à mille milliards de gigaoctets.
13. SMART CITIES, «  L’impact du télétravail sur l’usage des outils digitaux et les
compétences digitales », smartcitiesmag.lu, 9 avril 2021.
14. METTLING B., « Transformation numérique et vie au travail »¸ vie-publique.fr, ministère
du Travail, de l’Emploi, de la Formation Professionnelle et du Dialogue Social, 2015, p. 1-
69.
15. Ibid.
16. CAVELIUS F., ENDENICH C. et ZICARI A., op. cit., 2018.
17. KEVUNIE R., « Transformation numérique en entreprise : découvrez les chiffres clés »,
objetconnecte.com, 23 août 2021.
18. LEMQEDDEM H.A. et CHOUAY J., op. cit., 2020.
19. METTLING B., op. cit., 2015.
20. METTLING B., op.cit., 2015.