Mémoire de Fin d’études pour l’obtention du

Master Gestion Financière Comptable et Fiscale

L’évaluation du contrôle interne dans le cadre

de la loi SOX et son impact : Cycle vente
(Pas encore fixé)

Préparé par : MADDAH MANAL

.
 Table de matière
Chapitre I : Le contexte général du contrôle interne ........................................................................... 3
Section 1 : Le cadre conceptuel du contrôle interne ......................................................................... 3
1.1 Le contrôle interne : ........................................................................................................... 3
1.2 Les objectifs du contrôle interne : ...................................................................................... 3
1.3 Les référentiels du contrôle interne : ................................................................................. 4
1.3.2 PCAOB (Public Company Accounting Oversight Board .......................................................... 7
1.3.3 La loi Sarbanes Oxley (SOX) : .............................................................................................. 7
Section 2 : La loi Sarbanes Oxley et ses exigences par rapport au contrôle interne :.............................. 8
2.1 la responsabilité de la direction pour les rapports financiers (section 302) : ......................... 8
2.2 Evaluation du contrôle interne à l’égard de l’information financière (section 404) .............. 8
2.3 La loi SOX et les normes du PCAOB relatives au contrôle interne : ..................................... 9
Chapitre I : Le contexte général du contrôle interne
Section 1 : Le cadre conceptuel du contrôle interne
1.1 Le contrôle interne :

Les définitions du contrôle interne sont nombreuses et s’évoluent en fonction du

développement des entreprises. La définition du contrôle interne a été présentée pour la
première fois en 1949 par the American Institute of Certificated Accountants (AICPA). Elle a
défini le contrôle interne comme un plan et d'autres moyens coordonnés par l'entreprise pour
protéger ses actifs, vérifier la confidentialité et la fiabilité des données, augmenter son efficacité
et garantir la politique de gestion établie.1

Cependant, la définition présentée du concept de contrôle a été constamment améliorée, et de

nos jours, il existe un ensemble assez étendu de conceptions qui indiquent que le système de
contrôle interne est l'un des moyens de direction pour assurer la sécurité des actifs de
l'entreprise et son développement régulier. (Lakis and Giurinas 2008) 2

Le COSO dans le rapport « internal control-Integrated framework » a défini le contrôle interne

comme étant « Processus mis en œuvre par le conseil d'administration de l'entreprise (la
direction, le personnel), visant à assurer une assurance raisonnable dans la réalisation des
objectifs liés aux opérations, au reporting ainsi que la conformité. » 3

1.2 Les objectifs du contrôle interne :

Les objectifs du contrôle interne sont particulièrement les suivants 4 :

 La Protection et sauvegarde du patrimoine : Le contrôle interne exerce une action

préventive permettant de découvrir la fraude, les erreurs et les négligences en temps
opportun afin de les réduire au minimum.
 La conformité aux lois et aux réglementations en vigueur : Le respect de la réglementation
juridique participe à l’objectif de sécurité de l’entreprise et constitue ainsi une condition
fondamentale de sa pérennité.
 La fiabilité des informations : La qualité de l’information affecte directement la qualité des
décisions prises. Le contrôle interne vise donc à assurer la production d’une information
de qualité, qu’elle soit comptable, opérationnelle ou générale.
 Amélioration des performances : Selon l’ordre des experts comptables, le contrôle interne
est une discipline générale de gestion qui assure une meilleure efficacité des moyens mis

1
Internal control: elements of a coordinated system and its importance to management and the independent
public accountant
2
The concept of internal control system: theoretical aspect
3
COSO internal control integrated framework: Executive summary
 en œuvre pour assurer la pérennité de l'entité. D'un autre côté, le coût d'un manque de
contrôle interne peut être important et amener une entreprise à sous-performer, voire à
échouer.4

1.3 Les référentiels du contrôle interne :

1.3.1 COSO (Committee of Sponsoring Organizations of the Treadway Commission):
Le Committee of Sponsoring Organizations of the Treadway Commission (COSO) est un comité
créé en 1985 sponsorisée notamment par l’AICPA (American Institute of Certified Public
Accountants) et qui émet des recommandations en matière d’information financière. Pour lutter
contre la fraude financière dans les entreprises. Le COSO a publié en 1992 un rapport intitulé
"Internal Control - Integrated Framework" qui contient une définition du contrôle interne. Cette
définition est devenue une référence pour les professionnels de la comptabilité et de la finance
dans le monde entier.
En 2013, le COSO a publié une mise à jour souvent appelée : Enterprise Risk Management (ERM)
Integrated Framework, a pour objectif de clarifier et de mettre à jour les concepts et les
principes du contrôle interne pour les rendre plus pertinents et plus pratiques pour les
entreprises modernes.
1.3.1.1 COSO - référentiel intégré de contrôle interne (COSO 1) :

Le contrôle interne selon COSO 1 comprend les cinq composants déterminants 3 :

 L’environnement du contrôle : L’environnement de contrôle est un élément très

important de la culture d'une entreprise, puisqu’il détermine le niveau de sensibilisation
du personnel au besoin de contrôle et leur degré d’acceptabilité à l’égard de ce
dispositif. Il constitue justement le fondement de tous les autres éléments de Contrôle
interne. (OUTSEKI J, 2019). 5
 Évaluation des risques : Toute organisation est exposée à une multitude de risques tant
externes qu'internes. L'analyse de risques consiste justement à définir le niveau et le
type de risque acceptable, à l’évaluer régulièrement et à entrevoir des mesures de
traitement des risques identifiés soit en subissant ces risques, ou en les réduisant ou en
les transférant.
 Activité de contrôle : Les activités de contrôle sont constituées par l’application des
normes et procédures qui contribuent à garantir la mise en œuvre des orientations
émanant du management. Elles sont représentées par les actions et les jugements que
les individus réalisent directement ou par le biais d’applications technologiques en vue
de maîtriser les risques susceptibles d’affecter la réalisation des objectifs de l’entreprise
 Information et communications : Sont essentielles à la réalisation de l'ensemble des

4
Comprendre et mettre en œuvre le contrôle interne : réglementation, concepts et applications, DUNOD 2022
5
L’influence des composantes du système de contrôle interne selon le cadre de référence COSO sur la performance
de l’entreprise : une exploration théorique
 objectifs du contrôle interne. Elles aident l'organisation à évaluer ses performances et
l'efficacité de ses opérations. Ce composant vise essentiellement le système
d’information qui constitue la plateforme de traitement de stockage et de diffusion de
l’information utile aux différents acteurs au sein de l’entreprise.
 Pilotage : Pour maintenir la fiabilité, un système de contrôle interne doit être géré. La
surveillance comprend des évaluations continues qui sont intégrées au cœur des
processus opérationnels à tous les niveaux de l'entité afin que les informations soient
disponibles en temps opportun. Il peut évaluer le système de contrôle interne, identifier
les facteurs positifs et négatifs, puis formuler des recommandations d'amélioration.
Ainsi, la supervision est considérée comme un outil d'amélioration de l'efficacité et de
l'efficience, mais aussi comme une garantie de la performance du système de contrôle
interne.
Ces cinq composantes doivent
travailler ensemble de manière
cohérente pour permettre une gestion
efficace des risques.

COSO’s Internal Control - Integrated Framework cube

1.3.1.2 Enterprise Risk Management (ERM) Integrated Framework (COSO 2):

Le COSO 2 est une étude menée aux États-Unis en réponse à la loi Sarbanes-Oxley. Le COSO
(Committee of Sponsoring Organizations of the Treadway Comission) a mis à jour le cadre
de référence de gestion des risques publié en 2004 pour tenir compte les risques à la fois lors de
l'élaboration de la stratégie et lors de la gestion de la performance. 6

6
Le management des risques de l’entreprise : Une démarche intégrée à la stratégie et à la performance, synthèse,
IFACI, 2017
Le concept de contrôle interne selon COSO-ERM repose sur les composantes suivantes :
 L’environnement interne : Le contexte interne d'une organisation englobe sa culture et
ses valeurs. Cela définit la façon dont les risques sont perçus et gérés par tous les
collaborateurs, en particulier la vision du management sur le risque, l'intégrité et les
valeurs éthiques, ainsi que l'environnement dans lequel l'organisation évolue.
 Fixation des objectifs : La définition des objectifs est nécessaire pour que la direction
puisse identifier les événements potentiels qui pourraient menacer leur réalisation. La
gestion des risques permet de s'assurer que la direction a mis en place une procédure
de fixation d'objectifs et que ces objectifs sont conformes à la mission de
l'organisation et son appétence pour le risque.
 Identification des événements : Les événements internes et externes susceptibles
d’affecter l’atteinte des objectifs doivent être identifiés en faisant la distinction entre
risques et opportunités. Les opportunités sont prises en compte lors de l’élaboration
de la stratégie ou au cours du processus de fixation des objectifs.
 Evaluation des risques : L'analyse des risques tient compte à la fois de leur impact et
de leur probabilité, et cette analyse constitue la base pour décider comment ils
doivent être gérés. Les risques inhérents et résiduels sont évalués.
 Traitement des risques : Le management définit des solutions permettant de faire face
aux risques : évitement, acceptation, réduction ou partage. Pour ce faire le
management élabore un ensemble de mesures permettant de mettre en adéquation
le niveau des risques avec le seuil de tolérance et l’appétence pour le risque de
l’organisation
 Activités de contrôle : Des politiques et procédures sont définies et déployées afin de
veiller à la mise en place et l’application effective des mesures de traitement des
risques.
Il convient de remarquer avec une importance notable que le COSO constitue le référentiel
recommandé par la SEC

1.3.2 PCAOB (Public Company Accounting Oversight Board)

La PCAOB est une organisation à but non lucratif créée par le Congrès pour superviser les audits
des entreprises publiques afin de protéger les investisseurs et de promouvoir l'intérêt public
dans la préparation de rapports d'audit informatifs, précis et indépendants. La PCAOB supervise
également les audits des courtiers et des négociants enregistrés auprès de la Securities and
Exchange Commission (SEC), y compris les rapports de conformité déposés en vertu des lois
fédérales sur les valeurs mobilières. 7
La PCAOB a quatre principales responsabilités :

 Enregistrer les cabinets d'experts-comptables qui préparent des rapports d'audit pour les
émetteurs et les courtiers et négociants enregistrés auprès de la SEC.
 Établir ou adopter des normes d'audit et de certification, de contrôle de la qualité,
d'éthique et d'indépendance connexes.
 Inspecter les audits des cabinets d'experts-comptables enregistrés et leurs systèmes de
contrôle de la qualité.
 Enquêter et discipliner les cabinets d'experts-comptables enregistrés et leurs personnes
associées pour des violations de lois, de règles ou de normes professionnelles spécifiées.

1.3.3 La loi Sarbanes Oxley (SOX) :

La loi Sarbanes-Oxley (SOX) a été promulguée en juillet 2002 suite aux scandales financiers qui
ont secoué les États-Unis. Avant l'adoption de la loi SOX, les investisseurs subissaient des pertes
importantes en raison des défaillances des entreprises causées par la malveillance financière
ainsi que les exigences des marchés financiers qui ont mis en pression les entreprises pour
améliorer leur rentabilité et les engagent dans des stratégies de croissance excessive ,afin de
pouvoir satisfaire les demandes des différentes parties prenantes, les dirigeants d'entreprise
n'hésitent pas à recourir à des pratiques comptables totalement frauduleuses, c'est le cas de
plusieurs sociétés dirigées par Enron, Worldcom

La loi SOX a introduit plusieurs nouvelles mesures visant à résoudre les problèmes de fraude
comptable en tentant d'améliorer la qualité de l'information financière et la fiabilité des
divulgations des entreprises.

Celles-ci comprennent des dispositions a pour objectif de renforcer les contrôles internes sur

7
https://pcaobus.org/about
l'information financière (section 404), l'indépendance des auditeurs (sections 201 et 203),
l'efficacité des comités d'audit (sections 202, 204, 301 et 407) et le coût des litiges pour les
dirigeants et administrateurs de l'entreprise (sections 302, 807 et 906).
La loi SOX semblait résoudre les problèmes auxquels étaient confrontées les transactions
financières, le système de contrôle interne, la communication et la gouvernance dans les
entreprises.8

Section 2 : La loi Sarbanes Oxley et ses exigences par rapport au contrôle interne :

Deux des sections clés de la loi SOX qui ont un impact significatif sur la gestion des entreprises et
notamment leur contrôle interne, sont la section 302 et la section 404. La section 302 exige que
les dirigeants d'entreprise attestent de l'exactitude des rapports financiers et de l'efficacité des
contrôles internes. La section 404 oblige les entreprises cotées en bourse à évaluer et à certifier
l'efficacité de leurs contrôles internes liés à la fiabilité des informations financières.

2.1 la responsabilité de la direction pour les rapports financiers (section 302) :

La section 302 de SOX exige que les dirigeants d'entreprise certifient personnellement
l'exactitude des informations financières présentées dans les rapports trimestriels et annuels
déposés auprès de la SEC. Les dirigeants doivent également confirmer que les contrôles internes
de l'entreprise sont adéquats pour garantir l'exactitude des informations financières.
http://www.xavierpaper.com/documents/art/p.Magsecurs.08.01.05.SOX.pdf

https://reciprocity.com/the-differences-between-sox-302-and-404-requirements/

2.2 Evaluation du contrôle interne à l’égard de l’information financière (section 404)

Le contrôle interne relatif à l'information financière est défini plus en détail dans les
réglementations de la SEC qui mettent en œuvre la section 404. Ces réglementations définissent
le contrôle interne relatif à l'information financière comme fournissant une assurance
raisonnable quant à la fiabilité de l'information financière et à la préparation des états financiers,

8
Loi « Sarbanes-Oxley Act of 2002 »
y compris les politiques et procédures qui 10:
 Concernent la tenue de registres qui reflètent de manière raisonnablement détaillée,
précise et équitable les transactions et les dispositions des actifs de la société ;
 Assurent l'enregistrement adéquat des transactions pour permettre la préparation des
états financiers conformément aux principes comptables généralement reconnus, ainsi
que la conformité des recettes et dépenses aux autorisations de la direction et des
administrateurs de la société
 Fournissent une assurance raisonnable quant à la prévention ou à la détection rapide de
l'acquisition, de l'utilisation ou de la disposition non autorisées des actifs de la société qui
pourraient avoir un effet significatif sur les états financiers.

Dans ce cadre, l’article 404 de la loi Sarbanes Oxley exige les entreprises d’inclure dans les
rapports financiers annuels un rapport de contrôle interne indiquant que la direction est
responsable d'une structure de contrôle interne adéquate, ainsi qu'une évaluation par la
direction de l'efficacité de la structure de contrôle. Toutes les lacunes dans ces contrôles
doivent également être signalées. De plus, les auditeurs externes enregistrés doivent attester
de l'exactitude de l'affirmation de la direction de l'entreprise selon laquelle des contrôles
comptables internes sont en place, opérationnels et efficaces.

Cependant, La section 404 est la plus compliquée, la plus contestée et la plus coûteuse à mettre
en œuvre de toutes les sections de la loi Sarbanes-Oxley pour la conformité.

2.3 La loi SOX et les normes du PCAOB relatives au contrôle interne :

le PCAOB a adopté en 2004 la norme N°02 relative au contrôle interne suite à la publication de la
loi Sarbanes Oxley et notamment la section 404. Cette norme établit des exigences et fournit des
directives qui s'appliquent lorsqu'un auditeur est engagé pour auditer à la fois les états financiers
d'une société et l'évaluation par la direction de l'efficacité du contrôle interne à l'égard de
l'information financière elle précise également les étapes à suivre lors d’un audit de contrôle
interne et incite les auditeurs à un examen plus approfondi du système du contrôle interne 11

Cependant, la norme N°2 a été remplacée par la norme d'audit N°5 en 2007, car la norme N°2
était une approche basée sur des règles qui exigeait que les auditeurs effectuent un grand
nombre de procédures de contrôle interne pour chaque audit. Cela entraînait souvent des
augmentations importantes des honoraires d'audit pour les entreprises concernées. La norme
N°5 a été conçue pour être plus flexible et plus efficace, en permettant aux auditeurs d'adapter

10
https://sarbanes-oxley-act.com/

11
Auditing Standard No. 2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with an
Audit of Financial Statements
leur approche en fonction des risques spécifiques liés au contrôle interne de chaque entreprise.

Cette nouvelle norme constitue une innovation en matière du contrôle interne du fait qu’elle
adopte une approche "top-down, basée sur les risques" pour l'audit des contrôles internes, ce
qui signifie que l'auditeur commence par évaluer les risques liés aux états financiers de
l'entreprise et utilise cette évaluation pour déterminer les procédures d'audit appropriées. La
norme AS5 permet également aux auditeurs de personnaliser leur approche d'audit en fonction
de la taille et de la complexité de l'entreprise. 12
En outre, elle élimine certaines procédures inutiles qui étaient requises par la norme N°2
précédente, ce qui réduit le temps et les coûts associés à l'audit des contrôles internes.

En outre, elle élimine certaines procédures inutiles qui étaient requises par la norme N°2
précédente, ce qui réduit le temps et les coûts associés à l'audit des contrôles internes.
Selon une étude présenter par (Dechun Wang; Jian Zhou)13 l'adoption de la norme n°5 a entraîné
une diminution des honoraires d'audit par rapport à la norme n°2. Les entreprises ont exprimé
leur préoccupation quant aux coûts élevés associés à la mise en œuvre de la norme n°2, La
norme N°5 est conçue pour être moins coûteuse que la norme n°2 tout en maintenant un niveau
élevé de qualité d'audit.

12
Auditing standard No. 5 – an audit of internal control over financial reporting that is integrated with an audit of
financial statement
13
The Impact of PCAOB Auditing Standard No. 5 on Audit Fees and Audit Quality, Dechun Wang; Jian Zhou ,2016,
page 1
 BIBLIOGRAPHIE

1 Internal control: elements of a coordinated system and its importance to management and the
independent public accountant, special report of committee on auditing procedure, Published by
AMERICAN INSTITUTE OF ACCOUNTANTS 1949, page 7.
https://egrove.olemiss.edu/cgi/viewcontent.cgi?article=1102&context=aicpa_comm

2.The concept of internal control system: theoretical aspect, vaclovas lakis, lukas giriūnas, 2012
page 146
https://www.researchgate.net/publication/330519076_THE_CONCEPT_OF_INTERNAL_CONTROL_S
YSTEM_THEORETICAL_ASPECT

3. COSO internal control integrated framework: Executive summary

https://www.coso.org/Shared%20Documents/Framework-Executive-Summary.pdf

4. Comprendre et mettre en oeuvre le contrôle interne : réglementation, concepts et applications,

DUNOD 2022

5. L’influence des composantes du système de contrôle interne selon le cadre de référence COSO
sur la performance de l’entreprise : une exploration théorique, 2019, page 638
https://revue-isg.com/index.php/home/article/view/84/74

6. Le management des risques de l’entreprise : Une démarche intégrée à la stratégie et à la

performance, synthèse, IFACI, 2017
https://www.ifaci.com/wp-content/uploads/COSO-ERM-2017_synthe%CC%80se.pdf

8. Loi « Sarbanes-Oxley Act of 2002 »

https://www.govinfo.gov/content/pkg/COMPS-1883/pdf/COMPS-1883.pdf

9. https://sarbanes-oxley-act.com/

10 .Auditing Standard No. 2-An Audit of Internal Control Over Financial Reporting Performed
in Conjunction with an Audit of Financial Statements, PCAOB Release No. 2004-001 March 9,
2004
https://pcaobus.org/oversight/standards/archived-standards/details/Auditing_Standard_2

11. Auditingstandard No. 5 – an audit of internal control over financial reporting that is
integrated with an audit of financial statement, PCAOB Release No. 2007-005A June 12, 2007
https://pcaobus.org/oversight/standards/auditing-standards/details/AS2201

12. The Impact of PCAOB Auditing Standard No. 5 on Audit Fees and Audit Quality, Dechun
Wang; Jian Zhou ,2016, page 1
https://publications.aaahq.org/accounting-horizons/article-abstract/26/3/493/2041/The-Impact-
of-PCAOB-Auditing-Standard-No-5-on