Chapitre I- CONTROLE INTERNE D’UNE BANQUE

Introduction générale
Il est d’usage de dire que le métier de banquier est le métier du risque. Les risques sont
inhérents à l’activité bancaire. L’absence ou l’insuffisance de leur maîtrise provoque
inévitablement des pertes qui affectent la rentabilité et les fonds propres. La persistance et la
profondeur de ces pertes peuvent conduire à la défaillance, c’est-à-dire à l’incapacité de faire
face à ses engagements. Ainsi, le système financier voir l’économie d’une toute zône
économique peut être ébranlée à cause de la défaillance d’un système de contrôle interne
interne. C'est pour faire face efficacement à tous ces risques que les banques et l'ensemble des
établissements de crédit doivent mettre en place des services performants de contrôle interne.
Pour ce qui concerne la zone UMOA (Union Monétaire Ouest Africain), c’est la
CIRCULAIRE N°03-2017/CB/C qui fait office de référentiel à appliquer par des
Etablissements de Crédit et des compagnies financières.
Ce chapitre traitement de dix (10) points qui permettront à l’étudiant d’être à même de
comprendre le dispositif de contrôle interne d’une banque, ses démarches, ses composants, ses
objectifs et ses limites….

I- Quelques définitions du Contrôle interne

Les définitions du contrôle interne sont multiples. En effet, diverses approches et définitions
sont proposées par diverses personnes concernées par le sujet. Sans nécessairement s’exclure
mutuellement, ces approches ne constituent pas pour autant une structure générale, cohérente
et intégrée du contrôle interne.
Quelques définitions du Contrôle Interne
- D’après l’Observatoire des métiers de la banque (France), le contrôle interne peut
se définir comme « la mesure, la surveillance et la maîtrise des risques liés à
l’ensemble des opérations menées par la banque ».

- Selon IFACI (Institut Français de l’Audit et du Contrôle Interne) : Le contrôle

interne est un processus mis en œuvre par le conseil, le management et les
collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la
réalisation d’objectifs liés aux opérations, au reporting et à la conformité. Cette
définition renvoie à certains concepts fondamentaux et met l’accent sur les aspects
suivants du contrôle interne :

 il est axé sur la réalisation d’objectifs relevant d’une ou plusieurs catégories –

objectifs liés aux opérations, au reporting et à la conformité
 il s’agit d’un processus qui repose sur la mise en œuvre de tâches et d’activités
continues. Il constitue un moyen et non une fin en soi
  il est mis en œuvre par des personnes. Il ne repose pas simplement sur un
ensemble de règles et de manuels de procédures, de documents et de systèmes
 il est assuré par des personnes œuvrant à tous les niveaux de l’organisation
 il permet à la direction générale et au conseil d’obtenir une assurance
raisonnable et non une assurance absolue
 il est adaptable à la structure de toute entité. Il offre une certaine souplesse
d’application pour l’ensemble de l’entité ou une filiale, une division, une unité
opérationnelle ou un processus métier en particulier.

- Selon la Commission Bancaire de l’UMOA : un dispositif défini et mis en œuvre par

l'établissement afin de contribuer à la maîtrise de ses activités, à l’efficacité de ses
opérations, à l’utilisation efficiente de ses ressources et au contrôle approprié des
risques significatifs auxquels il est ou pourrait être exposé. Il vise plus
particulièrement à assurer :
 la conformité aux textes juridiques en vigueur
 à l’application des instructions et des orientations fixées par les organes de
gouvernance,
 au bon fonctionnement des processus internes de l'établissement
 et à la fiabilité et l'intégrité des informations financières et opérationnelles
A notre connaissance, la définition la plus complète plus est celle donnée par un groupe de
travail, constitué en 1985 par une commission du Sénat américain dénommée « Tradeway
Commission » en vue d’élaborer une approche et un référentiel de concepts uniformes en
matière de contrôle interne et dont les travaux ont donné lieu à un rapport, publié en 1992,
notoirement connu sous le nom de rapport COSO (Committee of sponsoring Organisations of
the Tradeway Commission). En effet selon le rapport COSO,« Le contrôle interne est un
processus mis en œuvre par le conseil d’administration, les dirigeants, et le personnel d’une
organisation, destiné à fournir une assurance raisonnable et au conseil d’administration, quant
à la réalisation des objectifs suivants :
1.La réalisation et l’optimisation des opérations ;
2.La fiabilité des informations financières ;
3.La conformité aux lois et réglementations en vigueur »

II- Les objectifs et périmètre du Contrôle Interne

1- Le périmètre du contrôle interne

En premier lieu, le périmètre d’action du contrôle interne doit être défini. C’est certainement
l’étape la plus importante, celle qui va donner au contrôle interne sa colonne vertébrale. Trois
(3) plans permettent de fournir un cadre de départ clair et complet :
a) Le cadre géographique qui permet de formaliser les lieux qui seront inclus dans le
contrôle interne.
b) Les activités ou processus concernés.
 c) Les familles de risques (appelés « objectifs » dans COSO) que le contrôle interne va
permettre de mieux maîtriser.
Donc trois questions essentielles sont à se poser pour définir ce périmètre d’action :
a) Quels sites et filiales sont concernés ?
b) Quelles sont les activités (processus) concernées ?
c) Quelles sont les familles de risques que le contrôle interne va permettre de diminuer ?
Les familles de risques peuvent être les suivantes :
 Financier : risques pouvant faire perdre de l’argent à l’établissement
 Sur les États financier (ou reporting) : risques d’anomalies dans les comptes,
d’informations comptables erronées
 Conformité : risques pouvant mettre l’entreprise dans une situation non conforme aux
normes ou lois
 Opérationnel : risques qui peuvent empêcher l’entreprise de remplir la mission
qu’elle s’est fixée
 Santé des personnes : risques pouvant atteindre la santé physique ou psychologique
des personnes en lien avec l’entreprise
 Sécurité de l’information : risques portant atteinte à la confidentialité, l’intégrité et
l’accessibilité de l’information
 Image : risques pouvant toucher la réputation de l’entreprise
 Environnementaux : risques qui peuvent porter atteinte à l’environnement (air, eau,
sol, espace, matières premières, énergie, etc.)
2- Les Objectifs du contrôle interne
Selon la banque des règlements internationaux, pour optimiser l’efficacité du contrôle interne,
il est nécessaire de classer les objectifs en trois catégories :
- Objectifs opérationnels : il s’agit des objectifs qui sont liés à l’efficacité et
l’efficience de l’organisation à travers l’utilisation de ses ressources et ses emplois
ainsi que dans la protection de l’établissement.
- Objectifs liés aux informations financières : ces objectifs portent sur la nécessité
d’établir des rapports, des comptes annuels et des états financiers fiables nécessaires à
la prise de décision.
- Objectifs de conformité : qui exigent la conformité aux lois, réglementations et
politiques de l’organisation. Cet objectif est nécessaire pour préserver la réputation et
les droits de l’organisation.

III- Composantes et démarches du contrôle interne

L'établissement doit disposer d'un système de contrôle interne conforme aux bonnes pratiques
et adapté à sa taille, sa structure, la nature et la complexité de ses activités ainsi qu'à son profil
de risque et, le cas échéant, à celui du groupe auquel il appartient.
Ce système de contrôle interne doit comporter les composantes interdépendantes ci-après :
- l’environnement de contrôle ;
- l’évaluation des risques ;
- les activités de contrôle ;
- l’information et la communication ;
- le pilotage.

1- Environnement de contrôle
L'organe délibérant doit veiller à la mise en place d'un environnement de contrôle adéquat,
lequel constitue le cadre et la structure nécessaires à la réalisation des objectifs du système
de contrôle interne. Un environnement de contrôle adéquat implique :
- l'engagement des organes de gouvernance en faveur de la promotion de l'intégrité et
- des valeurs éthiques au sein de l'établissement ;
- l'instauration d'une culture qui met en évidence, à tous les niveaux de l'organisation,
- l'importance du contrôle interne ;
- une implication effective de l'organe délibérant dans le suivi des composantes du
système de contrôle interne ;
- une définition claire et cohérente des missions, fonctions et responsabilités, y compris
des délégations de pouvoirs explicites en matière de limites ;
- l'existence d'un personnel compétent et d'un dispositif de gestion des ressources
humaines permettant à l'établissement d'attirer, de développer et de maintenir des
compétences en lien avec ses objectifs ;
- une forte adhésion du personnel aux exigences de contrôle qui lui sont assignées ainsi
qu'au devoir de rendre compte de ses responsabilités en la matière.

2- Evaluation des risques

Le système de contrôle interne doit s'assurer que :
- les objectifs et politiques en matière de gestion des risques, définis conformément aux
exigences énoncées dans la Circulaire relative à la gestion des risques dans les
établissements de crédit et les compagnies financières de l'UMOA, sont diffusés et
appliqués ;
- le respect des limites liées aux risques est soumis à une surveillance ;
- les dépassements de limites sont corrigés conformément aux politiques de
l'établissement.
L'établissement doit procéder à l'identification et à l'évaluation, d'une part, des facteurs
internes, notamment la nature des activités de l'établissement, la qualité du personnel, les
modifications organisationnelles et les mouvements d'effectifs et, d'autre part, des facteurs
externes, en particulier l'évolution des conditions économiques, les changements au sein de la
profession et les progrès technologiques qui pourraient compromettre la réalisation de ses
objectifs.
Cette évaluation, qui couvre l'ensemble des entités et activités de l'établissement, doit aboutir
à la détermination des risques qui sont contrôlables et de ceux qui ne le sont pas. Les risques
contrôlables par l'établissement doivent être ramenés à un niveau acceptable au moyen de
procédures de contrôle interne. En ce qui concerne les risques non contrôlables,
l'établissement doit décider soit de les accepter, soit de se désengager, soit de les transférer,
soit encore de réduire le niveau des activités concernées.
Cette évaluation doit aussi notamment prendre en compte l'ensemble des risques auxquels
l'établissement est ou pourrait être exposé, notamment les risques de crédit, de marché, de
liquidité, de concentration et opérationnel.
Le système de contrôle interne doit faire l'objet d'une révision visant à traiter avec diligence
tout risque précédemment non contrôlé ou mal géré et tout nouveau risque émanant de
changements significatifs de l'environnement interne et externe.
3- Activités de contrôle
L'établissement doit s'assurer que des activités de contrôle adéquates sont intégrées aux
fonctions quotidiennes de l'ensemble du personnel. A cet égard, il est tenu de mettre en place
des activités de contrôle à tout niveau et dans toute fonction au sein de l'organisation, en vue
de garantir la mise en œuvre effective des mesures prises pour atténuer les risques identifiés
au moyen du processus d’évaluation des risques
En outre, une attention toute particulière doit être portée aux contrôles des processus de
conception / implémentation et de fonctionnement des systèmes d’information. Les activités
de contrôle s'articulent autour des deux étapes ci-après consistant à :
- mettre en place des activités de contrôle à travers des politiques approuvées par
l'organe délibérant, qui précisent les objectifs poursuivis et des procédures formalisées
qui mettent en œuvre lesdites politiques ;
- vérifier le respect de la conformité à ces politiques et procédures ainsi qu'à garantir la
traçabilité du contrôle.
Les activités de contrôle sont orientées vers les contrôles de type préventif ou de détection.
Elles sont réalisées au moyen de contrôles manuels, automatisés, physiques ou hiérarchiques.
L'établissement doit veiller à retenir une combinaison optimale de ces différents types de
contrôles. Dans ce cadre, lesdites activités doivent être définies en fonction de la nature des
objectifs auxquels elles se rapportent.
L'établissement doit s'assurer que les politiques et procédures régissant ses activités de
contrôle demeurent adaptées à son environnement interne et externe.
L'efficacité des activités de contrôle requiert, au préalable, d'assurer une séparation
appropriée des fonctions et d'éviter l'attribution de responsabilités conflictuelles.
Tout domaine susceptible de donner lieu à des conflits d'intérêts doit être identifié, circonscrit
aussi étroitement que possible et faire l’objet d’une surveillance attentive d’une tierce partie
indépendante.
 4- Information et communication
Les canaux d'information et de communication établis au sein de l'établissement doivent
permettre à tout membre du personnel de disposer des informations dont il a besoin pour
effectuer les activités de contrôle qui lui sont assignées.
Les systèmes d'information doivent, d'une part, couvrir toutes les activités importantes de
l'établissement et, d'autre part, garantir la qualité des données et informations comptables,
prudentielles, opérationnelles ou celles ayant trait au respect de la conformité. Ces données
doivent être exhaustives, fiables, à jour, accessibles et présentées sous une forme cohérente
pour faciliter le fonctionnement de toutes les composantes du contrôle interne.
En ce qui concerne les données et informations comptables et financières, l'établissement est
tenu de garantir l’existence d’une piste d’audit et veiller au respect des dispositions du
référentiel comptable applicable. Les éléments constitutifs de la piste d’audit doivent être
conservés pendant au moins dix ans.
Les systèmes qui comportent et utilisent des données informatisées doivent faire l'objet de
contrôles visant à assurer leur bon fonctionnement en permanence. Ces contrôles incluent
notamment des procédures internes de sauvegarde et de reprise, des politiques de
développement et d’acquisition de logiciels, des procédures de maintenance ainsi que des
contrôles de sécurité d’accès physiques et logiques.
L'établissement est tenu d'établir un plan de secours et de continuité des activités
informatiques conforme aux exigences définies dans la Circulaire sur la gestion des risques.
Le système de contrôle interne doit intégrer une communication interne performante en
termes de délais, de destinataires et de contenu pour permettre aux acteurs concernés d'exercer
leurs responsabilités en la matière. Ces acteurs doivent connaître leurs rôles et obligations
ainsi que les imbrications avec d'autres unités organisationnelles.
5- Pilotage du contrôle interne
Le système de contrôle interne doit faire l'objet d'une surveillance permanente afin de vérifier
le respect des procédures définies et de procéder, le cas échéant, à des ajustements lorsque des
changements sont enregistrés dans l'environnement interne ou externe.
La surveillance des activités de contrôle doit s'effectuer à différents niveaux de l'établissement
sur la base du modèle des trois lignes de défense ou de maîtrise de risques ci-après :
• les unités opérationnelles représentent la première ligne de défense. Elles prennent des
risques conformément aux limites qui leur sont fixées et sont responsables d'effectuer le
contrôle permanent de premier niveau sur les opérations quotidiennes qu'elles effectuent ;
• la deuxième ligne de défense inclut les fonctions de support, notamment la gestion des
risques, le contrôle interne, la conformité, la finance, les systèmes d'information et les affaires
juridiques. Ces fonctions de support, indépendantes de la première ligne de défense, réalisent
un contrôle permanent de second niveau visant à s’assurer, de manière régulière, que les
contrôles de premier niveau existent, sont efficaces et bien menés ;
• la troisième ligne de défense est la fonction d'audit interne qui évalue en toute indépendance,
l'efficacité des processus de contrôle mis en place par la première et la deuxième ligne de
défense et fournit une assurance sur ces processus. Cette fonction, indépendante des deux
premières lignes de défense, réalise des contrôles périodiques sur toutes les composantes du
système de contrôle interne.
Chaque responsable hiérarchique doit superviser l'application effective des procédures de
contrôle interne par ses collaborateurs.
Toutefois, l'établissement doit veiller à une coordination rigoureuse des activités de contrôle
des différentes lignes de défense afin de s'assurer que le système de contrôle interne
fonctionne efficacement.
En outre, les commissaires aux comptes de l'établissement, la Commission Bancaire ainsi que
les autres superviseurs constituent une ligne de défense complémentaire, au regard des revues
indépendantes et objectives qu'ils réalisent sur les activités de contrôle des trois lignes de
défense.
IV- Les grands principes du contrôle interne
Les principes du contrôle interne sont les concepts qui exigent que la direction mette en
place des procédures pour garantir la protection des actifs de l’entreprise. En d’autres
termes, ce sont les principes que le management utilise pour établir les moyens de
protéger les actifs de l’entreprise.
Parmi les principes fondamentaux du contrôle interne, on peut citer :
- Le principe de l’organisation : mise en place des manuelles de procédures
opérationnelles, découpage de l’activité de la banque en fonctions audibles
- Le principe de l’harmonie : le contrôle interne doit être adapté à la taille de la
structure et à son environnement. Le principe de l’harmonie est un principe qui se
veut de rendre le coût du contrôle interne proportionnel à la taille de l’entreprise
afin de déterminer un rapport coût/efficacité du contrôle interne acceptable
- Le principe d’intégration : Les informations regroupées dans les documents
comptables de la banque ou de l’entreprise doivent pouvoir se recouper, être
cohérentes et donner une sincérité des informations. Exemple  : Concordance entre
le bon de commande, la facture et le bon de livraison
- Le principe de la séparation des tâches ou des fonctions : Ce principe exclu des
postes, des tâches pouvant favoriser la fraude. Exemple : Etre comptable et être
signataire sur le compte en banque,
- Le principe de permanence et d’universalité : Ce principe prône une
organisation stable au niveau de son organisation et de ces méthodes.

V- Les acteurs du contrôle interne

Les principaux acteurs impliqués dans la mise en œuvre du système de contrôle interne sont :
- Le conseil d’Administration et le comité d’audit : Le conseil de surveillance établi
des règles de gouvernance spécifiant le rôle du conseil et les responsabilités de ses
comités. Ces comités et particulièrement le comité d’audit (qui est obligatoire dans
toutes les banque de la zone UMOA) joue un rôle essentiel dans le système de contrôle
interne selon le COSO (comité of sponsoring organisation of the treadway
commission). La direction générale rend compte au comité d’audit des caractéristiques
essentielles du dispositif de contrôle interne et pour que ce dernier puisse assurer le
 suivi et la surveillance attentive et régulière de ce dispositif, il reçoit du responsable de
l’audit interne une synthèse périodique de ses rapports.

- La direction générale ou le directoire : Le directoire définit le cadre général du

système de contrôle interne, il doit être bien informé de ses insuffisances et de ses
difficultés d’application, pour prendre les mesures correctives nécessaires. Les
dirigeants à différents niveaux sont responsables de la mise en œuvre et du suivi du
système de contrôle interne dans leurs domaines respectifs de responsabilité.

- L’audit interne : Le service d’audit interne a la responsabilité d’évaluer et

d’apprécier le contrôle interne, pour aider les responsables de tous les niveaux à mieux
maitriser leurs activités en recommandant ce qu’il convient de faire pour l’améliorer.
Le responsable de l’audit interne rend compte à la direction générale dans un rapport,
les principaux résultats ainsi qu’au comité d’audit.

- Le personnel de l’entité : Le contrôle interne relève de la responsabilité de tous les

membres du personnel, il doit être mentionné dans la description de poste de chaque
employé. Tous les employés jouent un rôle dans la réalisation des contrôles. Ils
entreprennent des actions nécessaires pour assurer le contrôle et sont tenus de
communiquer à leurs supérieurs hiérarchiques tous problèmes

VI- Les niveaux de contrôles

L’organisation du système de contrôle interne au sein de la banque est conçue de manière
assurer une stricte indépendance entre les services chargés de l’engagement des opérations et
ceux chargés de leur validation, de leur règlement ainsi que du suivi des diligences liées à la
surveillance des risques.
Le contrôle interne s’inscrit dans un dispositif global dans lequel on distingue trois niveaux :
- Premier degré : Il s’agit de l’ensemble des contrôles effectués au sein de chaque
service ou de chaque unité opérationnelle initiant des opérations administratives ou
bancaires. Les principes d’organisation et les règles de procédure doivent être conçus
de manière à constituer un premier degré véritablement efficace.
- Deuxième degré : les contrôles de deuxième degré, organisés à un niveau
hiérarchique supérieur, sont réalisés par des services n’ayant pas généré eux-mêmes
les opérations concernées :
- Troisième degré : Exercés par le département contrôle interne de la banque pour
s’assurer de la fiabilité des contrôles de premier et de deuxièmes degré, ils sont eux-
mêmes complétés par les missions réalisées par le commissaire aux comptes,
l’inspection générale du groupe ou un cabinet externe, il a pour principal objectif de
s’assurer du bon fonctionnement du contrôle interne.

VII- Evaluation du contrôle interne

Pour maintenir les degrés de pertinence et d’adéquation, le contrôle interne doit faire l’objet
d’évaluations régulières : c’est le rôle de l’audit interne qui s’assure que les dispositifs de
contrôle interne sont efficaces.

On peut distinguer plusieurs phases dans l'évaluation du contrôle interne :

- Description des systèmes et des procédures : L'auditeur prend connaissance du

contrôle interne de l'entreprise en s'efforçant de saisir l'ensemble des méthodes et des
procédures qui ont trait à son organisation comptable. Il utilise à cette fin, un
document descriptif ou des diagrammes de circulation.
- Confirmation de la compréhension du système : L'auditeur s'assure qu'il a bien
compris le système en vérifiant la description qu'il en a reçu : il met en oeuvre à cette
fin des tests de conformité (ou tests de compréhension).
- Evaluation préliminaire du contrôle interne : L'auditeur procède à une première
évaluation du contrôle interne ; il le fait normalement sur la base du questionnaire et
de la grille d'analyse. Il détermine à ce stade :

 Les points forts théoriques du contrôle interne,

 Les points faibles du contrôle interne.

Les phases suivantes intéressent les points forts. En effet, l'auditeur abandonne
momentanément les points faibles ; ces derniers seront examinés ultérieurement lors de
l'examen des comptes.

- Confirmation de l'application des points forts du système : L'auditeur cherche à

s'assurer que les points forts sont appliqués de manière permanente. Il met en œuvre à
cette fin, des tests de permanence.
-  Evaluation définitive du contrôle interne : A ce stade, l'auditeur est à même de
faire la distinction, les points forts et les faiblesses ; l'ensemble de ces éléments lui
fournit les bases de son évaluation définitive du contrôle interne qu'il porte dans un
document de synthèse (ou le tableau d'évaluation du système).

VIII- Contrôle Interne et fonctions voisines

- L’audit interne est une activité indépendante et objective qui donne à une

organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses
conseils pour les améliorer, et contribue à créer de la valeur ajoutée. Il aide cette
organisation à atteindre ses objectifs en évaluant, par une approche systématique et
méthodique, ses processus de management des risques, de contrôle, et de gouvernance,
et en faisant des propositions pour renforcer leur efficacité.
- Le contrôle de gestion : est un système de pilotage mis en oeuvre dans une société ou
une institution, avec pour objectif d'optimiser les performances des services, et
d'améliorer le rapport entre les moyens engagés et les résultats obtenus.
Comparaison entre Audit Interne et Contrôle interne
Le contrôle interne est un processus mis en œuvre par le conseil d’administration, les
dirigeants, et le personnel d’une organisation, dessiné à fournir une assurance raisonnable et
au conseil d’administration, quant à la réalisation des objectifs suivants :
- La réalisation et l’optimisation des opérations ;
- La fiabilité des informations financières ;
- La conformité aux lois et réglementations en vigueur
Rappel de la définition du contrôle in terne
Les différences entre audit et contrôle interne
Il y'a une grande confusion entre audit interne et contrôle interne. L'origine de cette confusion
vient éventuellement:
 de la qualification " Interne " commune aux deux appellations ;
 de la notion de contrôle qui leur est attachée. 
Toutefois, l'audit interne et le contrôle interne sont deux fonctions différentes mais
complémentaires pour la bonne gestion des entreprises. Il est donc important de distinguer
concrètement leurs activités respectives au sein de l'entreprise.
D'après la définition de chacune des notions on peut en déduire les différences suivantes :
1- Une différence dans la finalité :
Le contrôle interne a pour objectif d'assurer la conformité aux lois et règlements et
l'atteinte des objectifs. Alors que l'audit interne a pour finalité de fournir au management
 une assurance sur l'efficacité des processus de gestion des risques et de contrôle ;
 des propositions pour leur amélioration.
En conséquence, le contrôle interne fait partie des éléments à apprécier par l'audit interne.
2- Différence dans les modalités de mise en oeuvre :
 Le contrôle interne est un ensemble d'instruments mis en oeuvre de manière continue au
sein de toutes les activités de m'entreprise.  De ce fait il ne s'agit ni d'une activité
différente, ni d'un service au sein de l'entreprise. En revanche, l'audit interne constitue une
activité à part entière de l'entreprise, dont les interventions se font à posteriori et de
manière ponctuelle.

3- Différence dans les acteurs :

Le contrôle interne ne concerne pas que quelques personnes. Son exécution relève de la
responsabilité de l'ensemble des parties prenantes de l'entreprise. Ces parties prenantes
incluent :
 la direction générale,
 le conseil,
  les employés à tous les niveaux,
 les tiers.
Tandis que l'audit interne est l'affaire de quelques salariés (les auditeurs internes) qui
sont les seuls responsables de sa mise en oeuvre.
4- Différence dans les référentiels :
 La mise en oeuvre de l'audit interne est encadrée par les normes internationales pour la
pratique professionnelle de l'audit interne, dictées par l'IIA. Le contrôle interne quant à lui
peut être pratiqué selon différents référentiels (COSO, COCO, etc.)

IX- Les limites du contrôle interne

Le contrôle interne ne peut, à lui seul, garantir la réalisation des objectifs généraux définis par
l’entité. La probabilité d'atteindre les objectifs fixés ne relève pas de la seule volonté de
l’entité. En effet, il existe des limites inhérentes à tout système de contrôle interne. Ces
dernières résultent de nombreux facteurs, notamment des incertitudes du monde extérieur, de
l'exercice de la faculté de jugement ou de dysfonctionnements pouvant survenir en raison
d'une défaillance humaine ou d'une simple erreur.
Les limites qui entravent la réalisation efficace du contrôle interne peuvent être :
1- Le facteur humain
Dans la mesure où le contrôle interne repose sur le facteur humain, il est susceptible d’être
touché par des erreurs de conception, de jugement ou d'interprétation, de malentendus, de la
négligence, de la fatigue ou de la distraction…etc. La mise en place d'un système de contrôle
interne peut être interprétée comme une remise en cause de la direction dans le personnel.
Sans ignorer l'existence de cas particuliers, il faut observer :
- Que le personnel doit être clairement informé des objectifs réels du contrôle interne ;
- Que le contrôle interne joue en faveur du personnel, car il est interdit qu'il soit
suspecté ;
- Que les éventuels obstacles soulevés par le personnel relèvent plus de la résistance au
changement en général

2- Les contraintes financières

Une autre limite tient au fait que la conception d'un système de contrôle interne doit tenir
compte des contraintes financières. Les bénéfices tirés des contrôles doivent, par conséquent,
être évalués par rapport à leur coût. Il est souvent reproché au contrôle interne d'augmenter les
charges de l'entreprise par l'embauche du personnel nouveau et la réalisation d'investissements
supplémentaires.
Il faut cependant observer :
- Que le contrôle interne est un élément de sécurité dans l'entreprise, dont le coût peut
s'analyser comme celui de l'assurance ;
 - Que le contrôle interne est avant tout une meilleure répartition des tâches avant leur
multiplication ;
- Que le contrôle interne doit être à la mesure du risque qu'il doit couvrir. On doit ainsi
souligner que si le risque encouru est faible, la mise en place d'une procédure dont le
coût serait supérieur au risque encouru deviendrait une faiblesse dans l'optique du
rapport coût/efficacité.

3- Les changements organisationnels et l'attitude du management

Les changements organisationnels et l'attitude du management peuvent avoir un impact réel
sur l'efficacité du contrôle interne et sur le personnel qui le met en œuvre. C'est pourquoi il est
nécessaire que la direction vérifie et actualise continuellement les contrôles, communique les
changements au personnel. Il existe d'autres limites inhérentes au contrôle (erreurs de
jugement survenant dans la prise de décision, défaillances attribuables à des erreurs humaines,
collusion permettant de faire échec aux activités de contrôle, contrôle outrepassé par la
direction).
Nous retenons de ce qui précède qu'un système de contrôle interne, aussi bien conçu ne peut
fournir à la direction une assurance absolue quant à la réalisation des objectifs d'une
organisation ou à sa pérennité, et ce à cause des limites et des risques liés à toute activité.
X- Le dispositif de contrôle Interne selon le COSO
Historique :
Le COSO est un référentiel de contrôle interne. Il est l’acronyme de Committee Of
Sponsoring Organizations of the Treadway Commission, une commission à but non
lucratif qui a été établit en 1992 par le congrès américain suite aux scandales financiers et
comptables qui ont mis en faillite deux (2) grandes sociétés américaines dans les année 80
suite à une déclaration frauduleuse dans les états financiers :
- Enron qui évoluait dans le domaine de l’énergie  
- Worldcom dans le domaine des télécommunication…).
Cette initiative indépendante américaine qui souhaitait étudier, dès 1985, les raisons et les
facteurs de causalité pouvant mener à la rédaction de rapports financiers frauduleux a amener
le congrès américain à promulgué en 1985 une loi (loi Sarbanes–Oxley ) qui oblige les
sociétés faisant appel à l’épargne publique à évaluer leur contrôle interne et à en publier leurs
conclusions dans les états demandés auprès d’une commission dénommée Securities and
Exchange Commission (SEC). Cette obligation a favorisé l'adoption du COSO comme
référentiel en 1992 et au COSO 2 en 2002.
1- Les objectifs du COSO
Le référentiel COSO définit le contrôle interne comme un processus mis en œuvre par les
dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable
quant à la réalisation des trois objectifs suivants :

 l'efficacité et l'efficience des opérations,

 la fiabilité des informations financières,
 la conformité aux lois et règlements.
On notera que ces objectifs correspondent en grande partie aux préoccupations des
investisseurs.

2- Les composantes du COSO

En rappel, le contrôle interne, tel que défini par le COSO, comporte cinq composants. Ces
composants procurent un cadre pour décrire et analyser le contrôle interne mis en place dans
une organisation. Il s’agit de :

 l'environnement de contrôle, qui correspond, pour l'essentiel, aux valeurs diffusées dans
l'entreprise ;
 l'évaluation des risques à l'aune de leur importance et fréquence ;
 les activités de contrôle, définies comme les règles et procédures mises en œuvre pour
traiter les risques, le COSO imposant la matérialisation factuelle des contrôles ;
 l'information et la communication, qu'il s'agit d'optimiser ;
 le pilotage, c'est-à-dire le « contrôle du contrôle » interne.

3- Le cube

Le référentiel COSO suggère une vision en trois dimensions du management des risques. Il

est représenté sous forme de cube.
Grâce à ce cube, on peut alors déterminer, pour chaque niveau de l’organisation (entité,
filiale, direction, unité opérationnelle, etc.), comment les cinq composantes du contrôle
interne permettent d’atteindre les objectifs du COSO.
Le « cube » COSO est ainsi divisé en 3 catégories d’objectifs x 5 composantes du contrôle
interne x n entités. Chaque entité doit atteindre les trois objectifs et intégrer les cinq
composantes.
Schématisation du COSO 1

Le COSO 2
À partir du COSO 1, les différents éléments identifiés ont été affinés et complétés en
approfondissant plus particulièrement le ventre mou de la pyramide, c'est-à-dire l'évaluation
des risques. On lui substitue alors une notion nouvelle, celle d'enterprise risk management
(ERM), ou gestion globale du risque. L'approfondissement des travaux du COSO 1 a en effet
montré que c'est ce processus, pris dans sa globalité, qui peut le plus efficacement permettre
l'implantation d'un bon contrôle interne lequel ne saurait exister sans une gestion globale des
risques.
De nouveaux développements ont été apportés en 2013 et qui sont autant de compléments au
COSO 2 dont les principes ne changent pas. Ces développements portent pour l'essentiel sur
les points suivants : • le constat que toute organisation bien gérée s'appuie de fait sur trois
lignes de défense (on dit aussi trois lignes de maîtrise) : le risk management, le
management opérationnel et l'audit interne . Ce qui donne une assurance sur l'efficacité
des dispositifs mis en œuvre par les deux premières lignes ;
• l'énoncé de 17 principes structurants associés aux différentes composantes du COSO. Ils
permettent de guider l'organisation dans la mise en œuvre et l'appréciation du contrôle interne.
Ce sont des bonnes pratiques connues du plus grand nombre, mais il n'est pas inutile de les
rappeler ;
• l'importance rappelée du management intermédiaire dans la définition et le suivi d 'un bon
contrôle interne dont on rappelle l'universalité.
Bien avant 2004, les travaux du COSO avaient franchi plusieurs frontières au-delà des USA.