CONTRÔLE INTERNE ET

GESTION DES RISQUES

1- TABLE D ES MATIÈR ES
1- LE CONTRÔLE INTERNE : FINALITÉS ET DÉFINITIONS 4

1.1 LA MODÉLISATION COSO (LIENS AVEC LE COSO FRAUDE ET LE COSO ERM –

GESTON DES RISQUES) 4

1.2 LES TROIS LIGNES DE MAÎTRISE 4

2- LES CONTRIBUTEURS À LA MAÎTRISE DES ACTIVITÉS 4

2.1 L’AUDIT INTERNE 4

2.2 L’AUDIT EXTERNE 4

2.3 LE RISK MANAGEMENT 4

2.4 LA QUALITÉ 5

2.5 L’INSPECTION5

2.6 LA CONFORMITÉ 5

2.7 LA FONCTION DE CONTRÔLE INTERNE 5

2.8 L’ASSURANCE 5

3- LE POSITIONNEMENT DE LA FONCTION CONTRÔLE INTERNE ET LES RÔLES DES

CONTRÔLEURS INTERNES 5

3.1 L’ORGANISATION DU CONTRÔLE INTERNE (LE NIVEAU UN ET DEUX) 5

3.2 LA COMPLÉMENTARITÉ DES DEUX NIVEAUX 5

3.3 LE DISPOSITIF DE MAÎTRISE DES RISQUES 5

3.4 LA CHARTE DE CONTRÔLE INTERNE 5

4- LES DOCUMENTS CLÉS DU CONTRÔLE INTERNE 5

4.1 LES PROCÉDURES DU CONTRÔLE INTERNE 5

4.2 LA MATRICE RISQUES – CONTRÔLES 5

4.3 LA CARTOGRAPHIE DES RISQUES 5

4.4 LE PLAN DES RISQUES 5

4.5 LE PLAN DE CONTRÔLE 5

4.6 LA FICHE DE CONTRÔLE 5

 4.7 LA FICHE RISQUE 5

5- LE GLOSSAIRE DU CONTRÔLE INTERNE 5

OBJECTIFS

 Comprendre les objectifs, le rôle et le périmètre du contrôle interne dans la maîtrise

des activités d’une organisation.
 Connaître une modélisation clef du contrôle interne (le COSO).
 Identifier le rôle et les interactions entre les acteurs majeurs de la maîtrise des risques.
 S’approprier les documents structurants du contrôle interne.

- Pilotage des contrôles de niveau 2 ( arrêtés de caisse, contrôles GAB, conformité

KYC/KYA, contrôles comptables, contrôles opérationnels )
- Élaboration de reportings à l’attention des entités dirigeantes (CODIR, Groupe Orange…)
- Contribution aux missions d'audit AML/CFT, d'audit BCEAO
- Réalisation de visites de contrôle du réseau de distribution (Abidjan et Intérieur de la Côte
d'Ivoire)
- Préparation des comités relatifs au contrôle interne
- Formulation et suivi des recommandations
- Revue de procédures opérationnelles

Gestion des risques

- Analyses de risques de projets, offres et services
- Mise à jour des cartographies de risques existantes
- Contribution au déploiement des activités de gestion des risques

Formations
- Formation sur la protection des Données à Caractère Personnel (DCP)
- Formation sur la Lutte contre le Blanchiment de Capitaux et le Financement du Terrorisme
(LBCFT)Contrôle Interne - Pilotage des contrôles de niveau 2 ( arrêtés de caisse,
contrôles GAB, conformité KYC/KYA, contrôles comptables, contrôles opérationnels )
- Élaboration de reportings à l’attention des entités dirigeantes (CODIR, Groupe
Orange…) - Contribution aux missions d'audit AML/CFT, d'audit BCEAO - Réalisation
de visites de contrôle du réseau de distribution (Abidjan et Intérieur de la Côte
d'Ivoire) - Préparation des comités relatifs au contrôle interne - Formulation et suivi
des recommandations - Revue de procédures opérationnelles Gestion des risques -
Analyses de risques de projets, offres et services - Mise à jour des cartographies de
risques existantes - Contribution au déploiement des activités de gestion des risques
Formations - Formation sur la protection des Données à Caractère Personnel (DCP) -
Formation sur la Lutte contre le Blanchiment de Capitaux et le Financement du
Terrorisme (LBCFT)

Assistant Contrôleur Interne

- Mise à jour des cartographies de risques ;

- Réalisation de matrices SoD et de kits de contrôles ;
- Définition et suivi des plans de mitigation de risques ;
- Contribution à la rédaction et à la revue des procédures ;
- Auto-évaluation de la maturité de l'environnement de Contrôle Interne.- Mise à jour des
cartographies de risques ; - Réalisation de matrices SoD et de kits de contrôles ; -
Définition et suivi des plans de mitigation de risques ; - Contribution à la rédaction et
à la revue des procédures ; - Auto-évaluation de la maturité de l'environnement de
Contrôle Interne.

2- LE C ONTRÔLE INTER NE   : F INALITÉS ET

DÉF INITIO NS
Chaque organisation se fixe des objectifs, et chaque organisation est exposée à
des risques qui menacent la réalisation de ces objectifs. Dans ce chapitre, nous
traitons des diverses composantes du système de contrôle interne que les organisations
élaborent pour maîtriser et gérer ces risques. La lecture de ce chapitre
explicite la signification du contrôle interne et permet d'identifier les différents
cadres de référence y afférents. De plus, vous saurez repérer les composantes
nécessaires pour que le système de contrôle interne soit conçu de manière adéquate et
fonctionne de manière effective. Le contrôle interne relève de la responsabilité de tous
les membres d'une organisation. Ce chapitre précise les rôles et
responsabilités de chaque acteur au sein de l'organisation, y compris l'évaluation par le
management du système de contrôle interne. Nous définissons ici,
principalement, les rôles spécifiques de l'audit interne en termes d'évaluation
du système de contrôle interne.

Différents types d'activités de contrôle servent à maîtriser les multiples risques auxquels
doit faire face une organisation. À la fin de ce chapitre, vous saurez les identifier, et
utiliser chacun de manière appropriée. Enfin, ce chapitre présente une vue d'ensemble
du processus d'évaluation du système de contrôle interne.

Un cadre de référence (ou référentiel) est un ensemble de principes directeurs qui

forment une matrice par rapport à laquelle les organisations peuvent évaluer une
multitude de pratiques. Ces principes se composent de divers concepts, valeurs,
hypothèses et pratiques dont le but est de fournir une référence pour évaluer une
structure, un processus ou un environnement, ou encore un groupe de pratiques ou de
procédures. Différents cadres de référence, spécifiques à la pratique de l'audit interne,
sont utilisés pour évaluer l'adéquation de la conception et le fonctionnement effectif des
contrôles.
L'IIA donne les orientations suivantes pour l'utilisation des cadres de référence : « En
général, un cadre de référence fournit une structure schématique permettant de
comprendre la relation entre un ensemble de connaissances et une ligne directrice. En
tant que système cohérent, le cadre de référence permet d'uniformiser l'élaboration,
l'interprétation, l'application des concepts et des méthodologies ainsi que les techniques
utilisées dans un domaine ou une
profession donnée. »
Les référentiels de contrôle interne

Même si tous les cadres de référence évoqués dans l'encadré 6-2 renferment des
éléments de contrôle interne, ceux qui sont les plus reconnus au niveau mondial par le
management, les comptables, les auditeurs externes et les professionnels de l'audit
interne sont :

 Le référentiel intégré de contrôle interne, publié par le COSO en 1992,

 Recommandations sur le contrôle (souvent appelé Cadre CoCo), publié en 1995 par
l'Institut canadien des comptables agréés (ICCA),
 lnternal Control: Reuised Guide for Directors on the Combined Code (connu sous le
nom de rapport Turnbull), publié par le Financial Reporting Council, qui est
paru pour la première fois en 1999 et a été actualisé en 2005, et,

2.1 L A MODÉ LI S ATI ON C OS O (L I ENS AVE C LE C OS O

FRAU DE E T LE C OS O E RM – G ES TON DE S RIS QUE S )

2.1.1 Définition du contrôle interne

Le COSO définit le contrôle interne en ces termes :

« ... un processus mis en œuvre par le Conseil, le management et les collaborateurs

d'une entité, destiné à fournir une assurance raisonnable quant à la réalisation
d'objectifs liés aux opérations, au reporting et à la conformité. Cette définition met
l'accent sur les aspects suivants du contrôle interne :

 Il est axé sur la réalisation d'objectifs relevant d'une ou plusieurs catégories qui
se recoupent - objectifs liés aux opérations, au reporting et à la conformité ;
 Il s'agit d'un processus qui repose sur la mise en œuvre de tâches et d'activités
continues. Il constitue un moyen et non une fin en soi ;
 Il est mis en œuvre par des personnes : il ne repose pas simplement sur un
ensemble de règles et de manuels de procédures, de documents et de systèmes ;
il est assuré par des personnes œuvrant à tous les niveaux de l’organisation ;
 Il permet à la Direction générale et au conseil d'obtenir une assurance
raisonnable, et non une assurance absolue ;
  Il est adaptable à la structure de toute entité. Il offre une certaine souplesse
d'application pour l'ensemble de l'entité ou une filiale, une division, une unité
opérationnelle ou un processus métier en particulier. »

Le COSO précise également :

« En effet, ceux qui le souhaitent peuvent par exemple se focaliser sur le contrôle interne
relatif au reporting ou à la conformité aux lois et règlements. De même, il est possible de se
concentrer sur les contrôles visant des unités ou des activités spécifiques  ». Une organisation
peut aussi choisir de se focaliser sur son système global de contrôle interne.

2.1.2 Objectifs, composantes et principes du contrôle interne

D'après le COSO : « il existe un lien direct entre les objectifs que l'entité cherche à
atteindre, les composantes [et principes] du contrôle interne nécessaires à leur
réalisation, et la structure de l'entité (ses unités opérationnelles, ses entités juridiques,
etc.). Ce lien est représenté dans le cube ci-après. »

Le COSO énonce également dix-sept principes qui correspondent aux concepts

fondamentaux associés aux cinq composantes intégrées du contrôle interne.
2.1.2.1 Objectifs

Le référentiel [COSO] établit trois catégories d'objectifs, ce qui permet aux organisations
de prendre en compte différents aspects du contrôle interne :

 Objectifs liés aux opérations - ils concernent l'efficacité et l'efficience des

opérations. Il s'agit notamment des objectifs de performance opérationnelle et
financière, ainsi que la sauvegarde des actifs ;
 Objectifs liés au reporting - ils concernent le reporting interne et externe,
financier et extra-financier. Ils peuvent englober la fiabilité, les délais, la
transparence ou d'autres aspects demandés par les régulateurs, les organismes
de normalisation ou les instructions internes ;
 Objectifs liés à la conformité - ils concernent le respect des lois et règlements
applicables.

Selon le COSO : « Un système de contrôle interne devrait fournir à une organisation un

niveau d'assurance raisonnable quant à la réalisation des objectifs liés au reporting externe
et à la conformité aux lois et règlements. La réalisation de ces objectifs, qui sont
principalement fondés sur des lois, règlements et normes établis par les législateurs, les
régulateurs et les organismes de normalisation, dépend de la façon dont sont conduites les
activités relevant du périmètre de responsabilité de l'entité. En règle générale, le management
et/ou le conseil aura plus de latitude pour définir les objectifs liés au reporting interne qui ne
sont pas directement régis par les tiers. Néanmoins, l'organisation peut choisir d'aligner ses
objectifs liés au reporting interne et externe afin que le reporting interne étaye mieux le
reporting externe de l'entité ».

2.1.2.2 Composantes du contrôle interne

2.2 LE S TROI S L IG NE S DE MAÎ TRIS E

3- LES C ONTRIBU TEU R S À LA MAÎTR IS E DES

AC TIVITÉS
3.1 L’ AU DI T IN TE RN E

3.2 L’ AU DI T EX TE RN E

3.3 LE RIS K MAN AG E ME NT

3.4 L A QU ALI TÉ

3.5 L’ I NS P EC TI ON

3.6 L A CON FORMI TÉ

3.7 L A FON C TI ON DE C ONTRÔL E INTE RNE

3.8 L’ AS S U RAN CE

4- LE POS ITIONNEMENT DE LA F ONC TION

C ONTRÔLE INTERNE ET LES R ÔLES DES
C ONTRÔLEU RS INTER NES
4.1 L’ ORG AN IS ATI ON DU CONTRÔLE I NTE RNE (LE NI VE AU
U N ET DE U X )

4.2 L A COMP L É MEN TARI TÉ DES DE UX NI VE AUX

4.3 LE DI SP OS I TI F DE MAÎ TRI SE DE S RIS QUE S

4.4 L A CH ARTE DE C ON TRÔL E INTE RNE

5- LES DOC U MENTS C LÉS DU C ONTR ÔLE INTER NE

5.1 LE S PROC É DU RES DU CONTRÔL E INTE RNE

5.2 L A MATRIC E RI S QU ES – CONTRÔLE S

5.3 L A C ARTOG RAP H IE DE S RI S QUES

5.4 LE P L AN DES RI S QUE S

5.5 LE P L AN DE CON TRÔLE

5.6 L A FIC HE DE C ON TRÔLE

5.7 L A FIC HE RI S QUE

6- LE GLOS S AIRE D U C ONTR ÔLE INTER NE

La classification des risques

Le processus de contrôle interne

Un processus de contrôle interne analyse les risques liés à l’ensemble des activités de
l’établissement et propose des actions pour les couvrir (3 étapes).

1- Faire une cartographie des risques

a. Répertorier les activités
b. Recenser et analyser les risques liés à chaque activité
c. Évaluer les risques et leur potentiel d’impact (par l’importance et la
fréquence)
2- Identifier des actions pour couvrir les risques
a. Élaborer un plan de gestion des risques et un manuel de procédures pour
prévenir leur survenance
3- Mettre en œuvre les actions
a. Mettre en œuvre le plan de gestion des risques et mettre en place les
processus de contrôle
b. Suivre leur application
c. Les faire évoluer si nécessaire.

La cartographie des risques

La cartographie des risques se définit comme la démarche d’identification, d’évaluation,

de hiérarchisation et de gestion des risques inhérents aux activités d’une organisation.

Répertorier les activités de l’établissement

Pour que le dispositif soit efficace, il faut commencer par répertorier l’ensemble des
activités de l’établissement.

Recenser et analyser les risques liés à chaque activité

On distingue deux types de risques :

 Les risques externes liés à l’environnement ou à la nature des activités (ex :

décisions politiques, catastrophes naturelles, etc.)
 Les risques internes ou risques d’erreurs liés à :
o Une insuffisante séparation des fonctions
o Un dysfonctionnement des procédures de contrôle
o Un manque de compétences ou de formation.
o Des changements de cadre juridique ou réglementaire non maitrisés
o Une absence de prise en compte d’évolutions technologiques

Le dispositif de contrôle interne va permettre de couvrir les risques internes

uniquement.

Evaluer les risques et leur potentiel d’impact

Pour évaluer les risques, il faut ensuite mesurer leur importance et leur fréquence. En
pratique, il s’agit, pour chaque risque identifié, de croiser le degré d’impact financier
(conséquences financières) avec la probabilité d’occurrence (probabilité de survenance)
et de donner une note d’évaluation globale du risque. Par exemple, il sera nécessaire de
couvrir un risque avec un degré d’impact financier important même si la probabilité
d’occurrence est faible.