Wikiversité

Contrôle
interne/Les
composantes du
Contrôle Interne
< Contrôle interne

Les étapes de mise en œuvre d’un projet de CI[1]

La phase de lancement du projet de CI

La mise en place du contrôle interne dans une entreprise est toujours liée à son contexte. En
effet, lorsqu’un projet de cette ampleur est mis en place il faut toujours se demander quelle
en est la cause afin que cette mise en place soit mieux comprise mais surtout mieux prise en
compte par les salariés.

Ensuite, il faut définir dans quels services le contrôle interne sera d’abord mis en place.
Effectivement, dans les grandes entreprises il faudra privilégier une mise en place par étape
avant d’impacter l’ensemble de l’entreprise.

Mais avant de mettre en place un tel projet il faut :

 1. Déterminer quelles personnes seront les membres de l’équipe projet ainsi que leurs
objectifs. L’équipe projet est constituée d’un « coordinateur local » qui interagit avec
l’équipe projet et le service concerné par l’étape du projet et d’un responsable de l’équipe
projet.

2. Définir la méthode de suivi du projet : diagramme GANT, macro-planning, etc.

3. Valider le planning avec l’ensemble des acteurs impactés par le projet

4. Suivre l’avancement du projet : chaque service impacté par le projet remplit des fiches
afin de renseigner l’avancement de son étape. Ces fiches sont transmises au Comité de
pilotage qui se charge de suivre l’avancement du projet afin d’anticiper d’éventuels
retards.

5. Communiquer sur le projet: via une lettre de mission de la Direction Générale (DG) aux
responsables. Puis, communiquer le projet à l’ensemble des salariés.

NB : avoir le soutien de la Direction Générale facilite la collaboration et l’adhésion des salariés
au projet.

La phase d’analyse de l’existant

En contrôle interne l’analyse de l’existant s’effectue via une cartographie des risques. Cette
dernière permet de recenser tous les risques, qu’ils soient financiers, humains, informatiques,
etc., auxquels l’entreprise (ou une partie de l’entreprise) est susceptible d’être confrontés.
Nous reviendrons sur l’élaboration de la cartographie des risques dans le point 2.2 –
L’analyse de risque. Une fois que la cartographie des risques est établie, il faut réaliser un
plan d‘action. Il s’effectue à partir des risques majeurs (Niveaux élevé et très élevés)
recensés dans la cartographie des risques.

Le plan d’action permet de répertorier tous les risques importants de l’entreprise puis
d’établir des actions à mener, jusqu’à une échéance donnée, pour ainsi réduire les risques
majeurs de l’entreprise.

Exemple de plan d’action :

 Niveau Niveau
du du
Référence Description Actions à mettre Responsable Date
risque risque
du risque1 du risque en œuvre de l’action d’échéance
avant après
action actions

Approbation
systématique des
Faux acheteurs avant Chef
FIN201601 Élevé Faible 01/02/2017
fournisseurs la création comptable
informatique du
fournisseur

1 La référence du risque doit être la même qui est présente dans la cartographie des risques.

La phase de mise en œuvre opérationnelle du dispositif de CI

L’identification des risques et la mise en place d’un plan d’action ne sont pas les seuls outils
du contrôle interne qui permettent de faire diminuer le risque.

1re étape : Rédactions des modes d’emplois :

En effet, le contrôle interne rédige des modes d’emplois pour les différents outils que
possède l’entreprise puis réalise des sessions explicatives des modes d’emploi. Ce support
permet aux collaborateurs de mieux comprendre les outils sur lesquels ils travaillent, qu’ils
soient nouveaux ou anciens, et permet également, en cas de remplacement, d’être
opérationnel plus rapidement. De ce fait, les modes d’emplois permettent de réduire les
risques d’erreurs et donc améliore le contrôle interne.

2e étape : Mise à jour régulière des modes d’emplois :

De multiples changements interviennent dans une entreprise, il est donc important de mettre
à jour les données du contrôle interne (cartographie des risques, plan d’action et modes
d’emplois) régulièrement pour qu’il soit toujours optimal.

3e étape : Mise en place de processus :

Un processus, en contrôle interne, permet de décrire les étapes à exécuter pour la réalisation
d’une tâche. Aussi, le processus décrit les interactions entre les différentes personnes,
qu’elles soient du même service ou non. L’objectif des processus est de savoir à tout moment
quel est l’impact de la suppression d’une étape ou d’une personne dans une chaîne de travail.
Ainsi, les décisions de gestion sont mieux prises. Également, les processus permettent à un
nouvel arrivant de voir qui sont ses interlocuteurs, ce qui lui permet de s’intégrer plus
rapidement. En accompagnement des processus on retrouve généralement les logigrammes
qui sont une représentation visuelle des processus. Ce qui permet de comprendre
rapidement les étapes d’une tâche. (Voir Exemple – Comptabilisation d’une facture
fournisseurs).

L’analyse de risque[1]

« Le risque est la possibilité qu’un événement se produise et ait une incidence défavorable sur la
poursuite et/ou l’atteinte des objectifs et/ou sur les actifs de l’entreprise. L’événement doit être
potentiel et sa potentialité de survenance doit être évaluée. » (Page 73 du livre « Contrôle
interne 4ème édition » de Frédéric BERNARD, Rémi GAYRAUD et Laurent ROUSSEAU)

En contrôle interne, l’analyse de risque s’effectue à l’aide d’une cartographie des risques,
comme vu précédemment.

Il y a trois étapes de construction d’une cartographie des risques :

Première étape : La typologie des risques

Cette étape consiste à référencer tous les risques potentiellement existants dans l’entreprise.

des aléas naturels comme : des catastrophes naturelles, des pannes, des accidents, une
baisse de la demande, des défaillances en matière de personnel (démission, départ à la
retraite, etc.)

des erreurs

de la malveillance comme : du sabotage, atteinte à la confidentialité, des vols, etc.

Cette étape est très importante car c’est à partir de ces éléments que la cartographie sera
établi.

Deuxième étape : Définir les niveaux de risques :

Cette étape consiste à définir l’échelle des niveaux des risques. L’échelle varie en fonction
des entreprises. Toutefois, il faut privilégier des échelles de niveau pair afin de ne pas les
placer par défaut au milieu de l’échelle (de façon à nuancer les risques).

Le classement le plus courant est celui ci-dessous:

Cartographie des risques

Troisième étape : Classement des risques:

Cette étape regroupe les deux étapes précédentes. Il s’agit de classer les risques recensés
dans la typologie des risques (première étape) puis de les classer en fonction de l’échelle des
risques qui a été défini (deuxième étape).

Pour chaque risque il faut déterminer leur impact (sur le personnel, l’image de l’entreprise,
financier, etc.) sur l’entreprise (faible, moyen, élevé et très élevé) ainsi que la probabilité de
survenance de ce risque.

Une fois que la probabilité et l’impact des risques sont définis on peut établir la cartographie
des risques. Pour cela, il faut placer les risques sur le tableau ci-dessus. Une fois que la
cartographie des risques est faite il faut recenser tous les risques de niveau élevé et très
élevé pour établir un plan d’action (Cf. 2.1 – Phase de l’analyse de l’existant).

Le COSO[2],[3]

Le contrôle interne est apparu après une succession de scandales financiers aux États-Unis
et la faillite de l’entreprise Enron suite à des opérations spéculatives, la prévention des
erreurs ainsi que des fraudes est donc devenue primordiale. C’est en 1992, que le COSO est
apparu comme le Référentiel du contrôle interne. Ce Référentiel a pour objectif de fiabiliser
l’entreprise en faisant face aux évolutions de l’environnement économique et de la
concurrence, aux changements de dirigeants. Le COSO permet au management de mieux
contrôler l’organisation, en proposant des outils de suivi du contrôle interne. La définition du
contrôle interne donné par le COSO met l’accent sur : la réalisation des objectifs, des
processus mis en place par des personnes qui fixent des tâches et des activités, et
l’adaptabilité à toute entité. Cette vision du contrôle interne lui permet de s’appliquer à tous
types d’organisations, secteurs d’activité ou aux différentes zones géographiques.
Également, cette vision permet de disposer d’un contrôle interne adaptable en fonction des
besoins des entités tout en maintenant un contrôle interne de qualité.
Les objectifs du contrôle interne

Les objectifs du contrôle interne sont définis et mis en œuvre par le conseil , le management
et les collaborateurs. Le conseil a un rôle important car il apporte des avis et des
orientations, valide les politiques et les transactions stratégiques, et supervise les activités
du management. De ce fait, le conseil est essentiel au bon fonctionnement du contrôle
interne.

D’après le COSO, le conseil et la Direction Générale doivent faire preuve d’exemplarité quant à
l’importance du contrôle interne et des normes de conduites applicables dans l’entité. Le
COSO a défini des objectifs, des composantes et des principes sur lesquels doivent
s’appuyer les entités afin d’exercer un bon contrôle interne. Pour que ces objectifs soient
applicables à toutes entités, ils ont été définis en s’appuyant sur des objectifs que la plupart
des entités ont en commun. Ces objectifs sont :

préserver une croissance durable ;

fournir des informations aux parties prenantes ;

recruter et fidéliser des personnes compétentes et motivées ;

construire et maintenir leur réputation ;

se conformer aux lois et règlements.

Les objectifs des entités et les composantes du contrôle interne et la structure de l’entité
sont donc liés. Chaque composante s’applique aux différentes catégories d’objectifs, ce qui
fait du contrôle interne un processus dynamique où les composantes sont interdépendantes.

Le COSO reprend :

Ce cube reprend :

les catégories d’objectifs : opérations, reporting (informations financières), conformités ;

les composantes : environnement de contrôle, évaluation des risques, activités de contrôle,

information et communication et le pilotage ;

la structure de l’entité : correspond aux divisions, les filiales ou les processus métier, par
exemple.

Afin d’obtenir un système de contrôle interne performant, des objectifs doivent être définis
par le management sous le contrôle du conseil. Il est essentiel que les personnes qui soient
impliquées dans le contrôle interne comprennent la stratégie et les objectifs définis par
l’entité.
Le Référentiel du COSO a donc regroupé les objectifs en trois catégories :

Les objectifs liés aux opérations Ces objectifs sont liés à la réalisation de la mission de
l’entité afin d’en obtenir une meilleure vision. Par exemple, améliorer les résultats
financiers, la satisfaction des clients et des collaborateurs, l’innovation, etc. La définition
de ces objectifs permet d’effectuer une meilleure allocation des ressources.

Les objectifs liés au reporting Ces objectifs sont fixés dans le but d’établir des rapports
destinés aux organisations et aux parties prenantes de l’organisation. On distingue deux
types d’objectifs, les objectifs liés au reporting interne, répondant à des besoins internes, et
les objectifs liés au reporting externe, qui sont fixés essentiellement par les règlements, les
normes ou via des organismes de normalisation.
Les objectifs de conformité Ils correspondent aux lois et règlements s’appliquant à l’entité.
Ils peuvent être plus ambitieux que ceux fixés par les lois et règlements, ce qui assurera à
l’entreprise une meilleure gestion de ses risques.

Bien que le COSO ait défini une série d’objectifs, ils peuvent varier d’une entité à une autre
selon l’information, la compétence des personnes, la stratégie de l’organisation, etc.

Les composantes du contrôle interne

Outre les objectifs, le COSO référence cinq composantes du contrôle interne et dix-sept
principes associés aux composantes, applicables à toutes les entités.

1. Environnement de contrôle:

C’est l’ensemble des normes, processus et des structures qui constituent la mise en œuvre
du contrôle interne. Cinq principes sont associés à cette composante :

l’entité démontre son engagement en faveur de l’intégrité et des valeurs éthiques ;

le conseil surveille la mise en place et le bon fonctionnement du système de contrôle

interne ;

le management agit sous la surveillance et définit les structures, les pouvoirs et les
responsabilités pour atteindre les objectifs ;

démontrer l’engagement de l’entité à attirer, former et fidéliser des personnes compétentes

conformément aux objectifs ;

l’entité instaure pour tous un devoir de rendre compte de ses responsabilités en contrôle
interne pour atteindre les objectifs.
2. Évaluation des risques:

C’est un processus qui permet d’analyser les risques susceptibles d’affecter la réalisation
des objectifs. Pour cela, le management prend en compte les éventuelles évolutions dans
l’environnement externe ou interne qui empêcheraient l’entité d’atteindre ses objectifs. Il
existe quatre principes qui sont associés à cette composante :

définir des objectifs clairs pour identifier et évaluer les risques susceptibles d’affecter leur
réalisation ;

identifier les risques qui pourraient affecter la réalisation des objectifs dans l’ensemble de
son périmètre et déterminer leur gestion ;

intégrer le risque de fraude dans l’évaluation des risques susceptibles d’affecter la

réalisation des objectifs ;

identifier et évaluer les changements qui pourraient impacter le système de contrôle

interne.

3. Activités de contrôle :

Permettent de définir les règles et procédures que le management utilise pour maîtriser les
risques susceptibles d’affecter la réalisation des objectifs. Cette composante est réalisée à
tous les niveaux de l’entité et à plusieurs stades des processus métier. Trois principes sont
associés à cette composante :

sélectionner et développer des activités de contrôle qui visent à maîtriser et à ramener à un

niveau acceptable les risques susceptibles d’affecter la réalisation des objectifs ;

sélectionner et développer des contrôles informatiques facilitant la réalisation des

objectifs ;

mettre en œuvre des règles déployant des activités de contrôle qui précisent les objectifs
et les procédures.

4. Information et communication :

La communication interne et externe d’une entité permet de lui fournir des informations
nécessaires à l’exercice de ses contrôles. La communication interne permet aux
collaborateurs de comprendre les responsabilités liées au contrôle interne et leur importance
pour la réalisation des objectifs.

Il existe trois principes :

 pour faciliter le fonctionnement de son contrôle interne, l’organisation obtient produit et
utilise des informations pertinentes ;

communication en interne des informations nécessaires au bon fonctionnement du

contrôle interne, particulièrement les informations relatives aux objectifs du contrôle
interne ;

communication aux tiers des éléments pouvant affecter le fonctionnement du contrôle

interne.

5. Pilotage :

Cette dernière composante permet d’évaluer continuellement ou ponctuellement que les cinq
composantes du contrôle interne et leurs principes sont mis en place et fonctionnent. Les
constats sont évalués, les déficiences sont communiquées en temps voulu et les points
importants sont signalés à la Direction Générale et au conseil.

Deux principes sont associés à cette composante :

sélectionner, développer et réaliser des évaluations continues et/ou ponctuelles

évaluation et communication des déficiences du contrôle interne en temps voulu aux

responsables des mesures correctives.

Références

1. « Contrôle interne 4ème édition » de Frédéric BERNARD, Rémi GAYRAUD et Laurent

ROUSSEAU.

2. PWC, IFACI. (2014). Référentiel intégré de contrôle interne: Principes de mise en œuvre et
de pilotage. PARIS: EYROLLES.

3. PWC, IFACI. (2015). Référentiel intégré du contrôle interne: Application au reporting

financier externe. Paris : EYROLLES

Récupérée de
« https://fr.wikiversity.org/w/index.php?
title=Contrôle_interne/Les_composantes_du_Con
trôle_Interne&oldid=816192 »

Dernière modification il y a 2 ans par Anpanman

Wikiversité