Dossier Le contrôle interne PERFORMANCE ET MAÎTRISE DES RISQUES

Contrôle de gestion
et contrôle interne :
quelle différence ?
Contrôle de gestion et contrôle interne sont deux missions Par Annick Delhon-Bugard
Secrétaire Général
bien distinctes, reposant sur des approches différentes mais La Poste Telecom
complémentaires qui visent à sécuriser au mieux l’entreprise
et sa performance.

Des ambitions différentes Les missions du contrôle de gestion

Le contrôle de gestion a pour ambition de
piloter la performance de l’entreprise, en • Accompagnement des projets
• Trajectoire financière
utilisant un certain nombre de techniques
• Business Plan (BP) • Costing et tarification
comme les budgets, le reporting, les rolling
• Reprévisions • Propositions de plan d’action
forecast ou les trajectoires financières. La
direction générale attend du contrôle de • Dialogue de gestion
gestion qu’il alloue les budgets en fonction • Revues de performance
des objectifs recherchés et qu’il vérifie la Pilotage Business
bonne utilisation des ressources allouées. stratégique Partner
L’ambition du contrôleur de gestion est d’aider
les opérationnels à optimiser leur performance
et pour ce faire, il doit traduire les objectifs
stratégiques en objectifs opérationnels et
piloter l’atteinte de ces derniers grâce au dia-
logue de gestion, qui doit concerner toutes les Pilotage Outils
strates de l’entreprise. Business partner des opérationnel
opérationnels, le contrôleur de gestion les aide • Comptabilité générale
à prendre les bonnes décisions en les accom- • Budget • Comptabilité analytique
pagnant dans le domaine financier. S’il regarde
• Reporting • Business Intelligence
le présent et le passé, c’est pour apprécier une
• Indicateurs (KPI) • Data viz
performance qu’il cherche à projeter dans le
futur grâce aux éléments dont il dispose, en
vérifiant l’efficience des moyens mis en œuvre.
Les démarches de type BBZ (Budget Base Le référencier COSO
Le contrôle interne a pour finalité principale
Zéro) permettent de vérifier le bon niveau des la maîtrise des risques qu’il doit identifier Quatre objectifs

ressources allouées, évitant ainsi le budget et mettre sous contrôle, risques financiers
inflationniste d’une année sur l’autre. mais pas seulement, en cela il diffère du gic
s g ce
ion tin an
ra
te
erat por pli
Le contrôleur de gestion va traduire les contrôle de gestion. À travers les missions St
Op Re m
Co


ambitions stratégiques en trajectoires qu’il conduit, l’auditeur va avoir pour objectif Internal Environment
financières et décliner les KPI 1 (indicateurs d’analyser les processus et leurs objectifs, Objective Setting
Subsidiary
Business Unit

clés de performance) stratégiques en KPI d’évaluer leur performance et les dispositifs

Huit composantes

Event Identification
de contrôle qui permettent d’en garantir la
Division
Entity-level

opérationnels. Les ambitions de la première

Risk Assessment
année de la trajectoire devront se retrouver bonne exécution.
Risk Response
dans le budget de l’année pour permettre la L’AMF (Autorité des Marchés Financiers)
réalisation de la trajectoire. Control Activation
définit ainsi cinq composantes du contrôle
Pour piloter la performance, le contrôleur de interne : l’organisation, la diffusion d’infor- Information & Communication
gestion définit un process budgétaire et des mation, la gestion des risques, l’activité de Monitoring


e
reportings, avec des règles de gestion parta- contrôle et la surveillance (publication par ut ise
To epr
gées avec les responsables. Il met en œuvre l’IFACI, l'Institut Français de l’Audit et du tr
n
l’e
un dialogue de gestion pour permettre une Contrôle Interne). Le COSO est un référentiel de contrôle
analyse partagée autour de l’atteinte des
interne défini par le Committee Of
objectifs et des plans d’action nécessaires
Sponsoring Organizations of the Treadway
pour atteindre les performances attendues
Commission (COSO).
en cas de dérives. 1. KPI : Key Performance Indicator.

34 Janvier 2021 N° 549 Revue Française de Comptabilité


Des risques très variés
Les risques sont étroitement liés au
domaine d’activité de l’entreprise et sont
de plusieurs natures :
• financier : risques pouvant faire perdre de
l’argent à l’établissement ;
•é  tat financier (ou reporting) : risques
d’anomalies dans les comptes, d’infor-
mations comptables erronées ;
• conformité : risques pouvant mettre l’en-
treprise dans une situation non-conforme
aux normes ou lois ;
• opérationnel : risques qui peuvent empê-
cher l’entreprise de remplir la mission
qu’elle s’est fixée ;
• s anté ou sécurité des personnes : risques
pouvant atteindre la santé physique ou
psychologique des personnes en lien avec
l’entreprise ;
• s écurité de l’information : risques portant
atteinte à la confidentialité, l’intégrité et
l’accessibilité de l’information ;
• image : risques pouvant toucher la répu-
tation de l’entreprise ;
• environnement : risques qui peuvent por-
ter atteinte à l’environnement (air, eau, sol,
espace, matières premières, énergie, etc.).
Plus spécifiquement, le contrôle interne
comptable poursuit l’ambition à travers des
procédures et des contrôles de s’assurer de
la qualité des informations comptables et
financières, et ce faisant, de limiter les risques
comptables et financiers.
Il vise principalement à réduire les erreurs
ou les fraudes, notamment liées aux états
financiers ou à la trésorerie. Mais il n’a pas
l’usage de ces chiffres financiers, qui sont la
conséquence de process maîtrisés ; pour le
contrôle interne, c’est la maîtrise du process
qui importe.
Des outils spécifiques
respectifs
Les deux approches sont donc bien diffé-
rentes et reposent sur des méthodologies
distinctes : pilotage des activités, commu-
nication, contrôle, évaluation des risques et
environnement de contrôle pour le contrôle
interne, alors que le contrôle de gestion va
s’appuyer sur les chiffres financiers, la comp-
tabilité générale et la comptabilité analytique
en particulier.
En termes d’outils, le contrôle interne va s’ap-
puyer sur les interviews, les questionnaires
d’autocontrôles, les tests de cheminement
(piste d’audit), et se baser sur des tests et
des sondages pour effectuer ses contrôles.
De plus en plus, le contrôle interne s’appuie
sur les extractions informatiques pour mieux
identifier les anomalies dans les process.
Le contrôle de gestion, quant à lui, utilise
notamment l’analyse d’écart, entre les
périodes passées et le réalisé, entre le bud-
get et le réalisé, pour en tirer ses analyses
et orienter les pistes de plans d’action. Les
projets sont priorisés par les ROI (retour sur
investissement) et la VAN (valeur actuelle
nette).
La qualité des chiffres financiers est la base
de l’analyse financière du contrôle de ges-
tion : elle lui permet d’effectuer des analyses
fiables, et d’en tirer des axes d’actions qui
permettront aux opérationnels d’atteindre
les performances attendues.
Comprendre les processus
La compréhension des processus est une
nécessité commune pour le contrôle interne
et le contrôle de gestion. Le contrôle
interne, tout comme le contrôle de gestion,
doit évoluer en fonction des transformations
de la société en prenant en compte de nou-
veaux périmètres ou de nouvelles activités.
Pour qu’un contrôle interne soit toujours utile
et efficace, il faut :
• réévaluer les risques une fois par année a
minima ;
• assurer la conformité avec les nouvelles
lois (RGPD, droit de la concurrence, devoir
de vigilance : les sujets ne manquent pas) ;
• maintenir à jour la documentation ;
• suivre la bonne réalisation des contrôles et
surveillances ;
• suivre les plans d’action pour réduire les
risques ;
• suivre les anomalies ou les fraudes pour
identifier les nouvelles actions à lancer.
Le contrôle de gestion, pour piloter la
performance, doit également comprendre
les processus, intégrer les évolutions de
l’entreprise (processus, nouveaux produits
ou référentiels) et être capable de qualifier
la validité des chiffres financiers qui lui sont
communiqués et le pourquoi de leur évolu-
tion (d’une période à l’autre, ou les écarts
entre le réalisé et le budget).
Le contrôle interne et le contrôle de gestion
visent tous deux à sécuriser l’entreprise,
d’un point de vue financier pour le contrôle
de gestion et suivant un axe plus large
intégrant également le respect des lois
(compliance) et la maîtrise des risques pour
le contrôle interne.
Revue Française de Comptabilité Janvier 2021 N° 549 35
Un positionnement distinct
Contrôle interne versus Business partner :
le contrôle interne est très codifié. Il répond
à des normes définies par le COSO, organe
de référence sur la question, régulièrement
mises à jour, et les évaluations se font sou-
vent dans un espace-temps annuel.
Le contrôle interne va s’appuyer sur des mis-
sions d’audit, qui permettront de mettre en
évidence les points en écart. Il est perçu par
l’opérationnel comme une contrainte, ou au
mieux un mal nécessaire. La communication
et les sensibilisations des collaborateurs sont
nécessaires pour travailler leur adhésion à ces
démarches de contrôle.
L’auditeur interne est le gendarme de l’entre-
prise, il protège ses dirigeants en s’assurant
de la bonne conformité des opérations et des
process. Il rapporte en général en direct à la
direction générale, tout en étant indépendant
dans l’exécution de ses missions.
Le contrôleur de gestion, s’il garde dans
ses missions celles de contrôler la perfor-
mance des opérationnels, évolue de plus
en plus vers un positionnement de business
partner, comme un véritable conseiller des
opérationnels pour orienter leurs prises de
décision. D'ailleurs, de nombreuses entre-
prises parlent, aujourd’hui, de manageur de
la performance plutôt que de directeur du
contrôle de gestion. Le directeur du contrôle
de gestion est souvent rattaché hiérarchique-
ment au directeur financier ou au directeur
de la stratégie de l’entreprise.
Un axe de temps différent
L’axe temps est différent et l’agilité devient
un marqueur du contrôle de gestion. Le
contrôle interne a un cycle de gestion en
général annuel, qui lui permet de constater
les progrès ou les régressions opérés par
l’entreprise depuis sa dernière revue. Dans
le contrôle de gestion, ce rythme annuel
tend à être remis en cause. Certaines entre-
prises ont même abandonné le budget pour
des cycles de « reprévision » très réguliers,
axant les analyses sur plusieurs trimestres
qui ne s’arrêtent plus au 31 décembre de
l’année en cours. À la place d’une perfor-
mance budgétaire, les managers peuvent
avoir des objectifs portant sur des indica-
teurs de performance précis, qui évitent
que les budgets ne soient biaisés par des
intérêts particuliers dans le cadre de leur
élaboration.
Dossier Le contrôle interne PERFORMANCE ET MAÎTRISE DES RISQUES

nouveaux risques rencontrés. Le contrôle

Cycle de gestion et management des risques
Des processus interconnectés lors de l’élaboration budgétaire et des revues de performance.
Processus
de reporting de gestion
Contrôle de gestion :
Mensualisation du budget
et élaboration du reporting
Management des risques :
Plan de contrôle et plan d'audit
De plus en plus, le contrôle de gestion se
réinvente pour évoluer vers une plus grande
agilité, dans un monde où les mutations
s’accélèrent. Il doit s’adapter aux sujets du
moment, plan de réassurance, pilotage du
cash par temps de Covid-19 pour accom-
pagner l’entreprise dans ses évolutions
stratégiques ou opérationnelles, en fonction
des attentes des dirigeants. Pour ce faire, il
n’hésitera pas à revoir ses outils en cas de
nécessité, et adapter son pilotage aux besoins
du moment.
Points Revues
de performance
Revue de performance
analyse de résultats, suivi des risques
et analyse des résultats des contrôles,
lancement de plans de réassurance
Pour autant, il peut être optimal d’intégrer
les deux approches, notamment lors de
l’élaboration des budgets ou de la trajec-
toire financière, afin que les opérationnels
intègrent bien la gestion des risques dans
les approches prévisionnelles.
Deux fonctions
complémentaires
Contrôle interne et contrôle de gestion sont
deux fonctions complémentaires qui doivent
coopérer pour renforcer l’entreprise face aux
de gestion est souvent sollicité en début de
mission pour aider les auditeurs à cibler les
processus à auditer, en partageant sa vision
des risques et la façon dont les processus
fonctionnent. En effet, il peut apporter ses
connaissances sur les dysfonctionnements
qu’il observe à travers les chiffres, les risques
de fraude dont il a connaissance, et les failles
des systèmes ou des procédures.
In fine, contrôle interne et contrôle de gestion
sont deux missions bien distinctes dans les
approches, mais complémentaires qui visent
à sécuriser au mieux l’entreprise et sa per-
formance. La création de « comités fraude »
auxquels contribuent notamment le contrôle
interne et le contrôle de gestion, outre
d’autres fonctions comme la sûreté ou le RSSI
(Responsable de la Sécurité des Systèmes
d'information), permettent également d’iden-
tifier plus efficacement les fraudes et la façon
d’y remédier. Le fait que les diplômes de mas-
ters soient souvent des « Master Audit et de
contrôle de gestion », montre qu’un certain
nombre de fondamentaux sont partagés, et
les passages de l’audit vers le contrôle de
gestion sont assez naturels.
Des différences oui, mais un grand nombre
de complémentarités et une ambition com-
mune : la performance de l’entreprise et sa
pérennité.

LE FINANCEMENT DES ENTREPRISES

Une conjoncture favorable à l’investissement des entreprises.

Le contexte financier actuel est en pleine mutation. Ainsi, l’émergence des plateformes
de financement participatif et l’arrivée de startups sur d’autres métiers du financement
révolutionnent l’écosystème traditionnel du financement.

Par ailleurs, les taux d’intérêt historiquement faibles, l’euro faible par rapport au dollar
ainsi que le développement du commerce en ligne rendent le contexte économique
actuel propice à la reprise à l’échelle de notre économie et hors de nos frontières.

Cette conjoncture favorable incite les entrepreneurs à emprunter pour financer leurs
projets de développement ou d’investissement. Cependant, ce n’est pas si simple. De
nombreuses questions se posent.

Quelles sont les règles à respecter en matière de financement ? Comment s’y retrouver
dans la jungle des financements ? Quelles garanties consentir ? A quelles conditions ?
Qui peut faire appel au crowdfunding ?

Cet ouvrage répond à toutes ces questions et à bien d’autres encore. Il fournit des
informations essentielles pour se lancer dans une recherche de financement efficace.

À commander dès maintenant sur WWW.BOUTIQUE-EXPERTS-COMPTABLES.COM

36 Janvier 2021 N° 549 Revue Française de Comptabilité

 Explorez de
nouveaux marchés
ANALYSES SECTORIELLES,
26 secteurs à découvrir en profondeur.
Bénéficiez d’une analyse économique et financière, de spécificités
juridiques, comptables, fiscales et sociales et de précisions
sur les zones de risque du secteur.

En vente sur boutique-experts-comptables.com et disponible sur bibliordre.fr

pour les abonnés.

OUTIL #4/12 : ANALYSES SECTORIELLES

Chaque année sondez de nouveaux secteurs.
Dossier Le contrôle interne
Création de valeur
dans le contrôle interne :
enjeux et apports dans
le contexte actuel
En cette période de crise, un dispositif de contrôle interne
robuste s’impose comme un outil incontournable dans le
processus d’une création de valeur durable par les entreprises.
A
u cours de la décennie écoulée,
l’environnement des entreprises a
connu de profondes mutations :
globalisation, renforcement des réglemen-
tations, volatilité des marchés financiers,
digitalisation, développement de nouvelles
technologies souvent disruptives pour les
modèles d’affaires des entreprises, exi-
gences croissantes des consommateurs,
prises de conscience des enjeux environ-
nementaux et climatiques, attentes spéci-
fiques des nouvelles générations arrivant
sur le marché du travail, hyper-connectivité
et impact des médias et réseaux sociaux,
montée en puissance de l’activisme de
la société civile… Les entreprises doivent
s’adapter en permanence et renforcer sans
cesse leurs processus et procédures pour
faire face à ces nouveaux enjeux et risques.
La crise planétaire de la Covid-19, aux
redoutables conséquences économiques
et sociales, accentue certaines de ces
évolutions et fait émerger de nouveaux
paradigmes que les entreprises doivent
dorénavant intégrer dans leurs stratégies
et modes opératoires : poids des parties
prenantes dans leur chaîne de création de
valeur, nouveaux modes d’organisation du
travail, intervention forte de l’État dans la vie
économique du pays. Certains risques ont
été mis en exergue, notamment sanitaires,
sociaux et de sécurisation des sources
d’approvisionnements, avec en toile de
fond les problématiques de liquidité et de
solvabilité des entreprises.
Anticipation, adaptation et flexibilité font
désormais partie des enjeux auxquels sont
confrontés les entreprises et leurs organes
de direction et de gouvernance, pour assurer
leur pérennité et leur développement fondés
sur une création durable de valeur.
38 Janvier 2021 N° 549 Revue Française de Comptabilité
PRODUCTIVITÉ
Le processus de création
de valeur de l’entreprise
Une création de valeur durable suppose une
vision stratégique ambitieuse mais réaliste
(où veut-on aller), des politiques claires et
cohérentes (comment et quand y aller) et
des moyens appropriés, non seulement
financiers mais humains (avec qui y aller)
avec des équipes soudées partageant des
valeurs communes fortes assises sur une
culture d’entreprise bien ancrée.
La création de valeur peut s’apprécier à
l’aune de différents critères, souvent com-
binés, parmi lesquels figurent la profitabilité
des capitaux investis (vs coût des capitaux
employés) , le cash-flow généré, l’accroisse-
ment de la valeur de l’entreprise (mesurée
par le cours de l’action si elle est cotée).
Ce processus fait largement interagir de
multiples acteurs, internes à l’entreprise
(direction, encadrement, salariés et leurs
organes de représentation, administrateurs
et actionnaires) et externes (fournisseurs et
sous-traitants, clients, banques, agences de
notation, administrations sociales et fiscales,
collectivités locales…). C’est une des raisons
pour lesquelles la création de valeur n’est plus
considérée aujourd’hui au regard des seuls
actionnaires, mais également par rapport
aux parties prenantes essentielles précitées :
tout ceci s’inscrivant dans une démarche
de recherche d’un « juste partage » de la
valeur, concept qui émerge progressivement
car bénéfique à la performance globale et
durable de l’entreprise et à son image.
Ce maillage relationnel complexe de l’entre-
prise avec son écosystème, fonctionnant un
peu à l’image d’un Rubik’s Cube, requiert
que celle-ci dispose d’une organisation bien
structurée, souple et réactive et de processus
opérationnels robustes et sécurisés intégrant
des mesures de prévention et de gestion de
Par Patrick-Hubert Petit
Expert-comptable honoraire,
consultant en gouvernance,
président Diderot Conseil
International
ses multiples risques. Et cette sécurisation
passe avant tout par l’existence, en son sein,
d’un dispositif de contrôle interne structuré,
fort et évolutif.
Le contrôle interne : raison
d’être, utilité, fondamentaux
Selon l’IFAC 1, le contrôle interne se définit
comme « l’ensemble des politiques et pro-
cédures mises en œuvre par la direction
d’une entité afin d’assurer, dans la mesure
du possible, la gestion rigoureuse et efficace
des activités ».
Ces procédures impliquent :
• respect des procédures de gestion ;
• sauvegarde des actifs ;
• prévention et détection des erreurs et
fraudes ;
• exhaustivité et exactitude des enregistre-
ments comptables ;
• établissement d’informations comptables
et financières fiables.
Pour le COSO 2, le contrôle interne est
« l’ensemble des dispositifs mis en œuvre
par le conseil d’administration, les dirigeants
et le personnel d’une organisation, destiné
à fournir une assurance raisonnable quant
à l’atteinte des objectifs de réalisation et
d’optimisation des opérations, ainsi que de
conformité aux lois et règlements ».
Et, pour l’IFACI 3, le contrôle interne est un
processus mis en œuvre par les dirigeants
et le personnel d’une organisation, à quel
que niveau que ce soit, destiné à donner une
assurance raisonnable que :
• les opérations sont réalisées, sécurisées,
optimisées, et permettent ainsi à l’organi-
1. International Federation of Accountants.
2. Committee of Sponsoring of Organizations’ of the
Treadway Commission.
3. Institut Français de l’Audit et du Contrôle Internes.
 sation d’atteindre ses objectifs de base de
performance, de rentabilité et de protection
du patrimoine ;
• les opérations financières sont fiables ;
• les lois, réglementations et directives appli-
cables à l’organisation sont respectées.
De ces trois définitions ressortent des termes
forts et structurants : respect des procédures
liées aux opérations, protection des actifs,
fiabilité des informations (financières, mais
aussi extra-financières), conformité aux lois et
règlements en vigueur. Ils constituent la toile
de fond du champ d’action du contrôle interne.
Les « incontournables »
pour un contrôle interne robuste
et efficace
Quel que soit le référentiel auquel se réfère
l’entreprise, un certain nombre de facteurs
de succès sont incontournables.
n Un cadre d’organisation et de
fonctionnement clair et structuré
Celui-ci requiert :
• rôles et responsabilités bien définis et
formalisés au sein de l’organisation, avec
un « manuel de définition de postes » utile
notamment pour l’intégration de nouveaux
collaborateurs ;
• délégations de pouvoirs bien circonscrites
et formalisées ;
• canaux de communication verticale (hié-
rarchique) et horizontale (transversale)
clairement définis ;
• procédures formalisées pour exécuter et
piloter les opérations avec un « manuel de
procédures » détaillé, plutôt que des notes
diverses émises au fil de l’eau ;
• lignes, formats et contenus de « reporting »
clairs et non ambigus.
n Un environnement de contrôle fort
Le pilotage de toute activité implique prise
en compte et pilotage des risques associés
et mise en place de procédures de contrôle
adéquates. Il est fondamental que « risque »
et « contrôle » fassent partie de la « culture
de l’entreprise » afin que les attitudes
adoptées et décisions prises aux différents
niveaux hiérarchiques les intègrent.
Cet environnement de contrôle, particulière-
ment important en période de crise, suppose
que :
• les composantes du cadre organisationnel
(voir ci-dessus) soient en place et opérantes ;
• les valeurs de l’entreprise (intégrant la notion
de contrôle) soient régulièrement rappelées
aux collaborateurs de tous niveaux ;
• des formations appropriées soient dispen-
sées régulièrement aux salariés en position
décisionnelle ;
• « l’exemple vienne d’en haut », avec un
portage fort et une attention particulière
de la direction au respect des valeurs de
l’entreprise et à l’efficacité du dispositif de
contrôle interne existant.
Outre ces conditions, il est un principe clé :
celui de la séparation des fonctions qui exige
une stricte indépendance entre les fonctions
de décision, exécution, enregistrement
comptable, règlement et contrôle. Il permet
notamment de prévenir les risques d’erreur
et de fraude interne.
De même, une double séparation doit être
opérée :
• entre les opérationnels (générant les opé-
rations et assurant de facto un contrôle
ex ante de premier niveau) et les contrô-
leurs (validant les opérations ex-post) ;
• et entre les procédures de contrôle per-
manent (contrôle des opérations en « back
office » au fil de l’eau) et de contrôle pério-
dique (contrôle a posteriori de la confor-
mité des opérations, du niveau de risque
encouru et du respect des procédures et de
l’efficacité des contrôles en place).
Le développement actuel du télétravail
requiert une vigilance accrue quant au
respect de ces règles de séparation des
fonctions que les circonstances pourraient
parfois amener, pour des raisons pratiques,
à transgresser.
n Une identification et évaluation
pertinentes des risques de toute nature
A chaque objectif stratégique sont associés
des risques.
L’entreprise, par le biais de sa cartographie
des risques (à mettre à jour périodiquement),
identifie la nature des risques existant, leur
probabilité d’occurrence et leurs impacts
potentiels, principalement de nature opé-
rationnelle, humaine, sociale, financière et
réputationnelle. Cette cartographie des
risques doit être hiérarchisée et une « table
L’interaction entre la gouvernance, les risques et les dispositifs de contrôle
Revue Française de Comptabilité Janvier 2021 N° 549 39
de matérialité » établie de façon à ce que la
direction puisse piloter et gérer efficacement
les risques significatifs.
Il importe que les organes de direction et
de gouvernance définissent « l’appétit au
risque » de l’entreprise afin de déterminer le
niveau de risque acceptable. Celui-ci permet
de mettre en place les mesures d’atténuation
possible des principaux risques (en veillant
toutefois au rapport « coût-utilité » de ces
mesures) et d’aboutir, pour chaque risque, à
un « risque résiduel » (le « risque net ») qui
doit être cohérent avec ce niveau de risque
acceptable.
Dans le contexte actuel, le positionnement du
curseur en matière de « risque acceptable »,
de même que la cartographie des risques,
méritent d’être actualisés. A cet égard, une
attention particulière sera portée à certains
risques spécifiques, notamment sanitaire,
social et de sécurité informatique (voir
« Sécurisation des opérations » ci dessous).
n La communication et le traitement
des faiblesses constatées
Les faiblesses de contrôle interne décelées
doivent être communiquées, selon un pro-
cessus de reporting régulier et structuré,
aux parties concernées chargées de gérer
les risques identifiés (les « propriétaires
des risques ») et à celles devant mettre en
place des mesures correctives, ainsi qu’à
la direction générale et, le cas échéant, au
comité d’audit et des risques ­– voire au
conseil d’administration – selon la gravité
des faiblesses. Il importe que ces derniers
s’assurent que des actions de remédiation
ont bien été mises en œuvre.
n Une architecture efficiente des activités
de contrôle
Le schéma ci-après illustre le positionnement
du contrôle interne et son articulation avec
les autres composantes internes du dispositif
de contrôle global de l’entreprise.
Dossier Le contrôle interne
Les 4 niveaux de contrôle
Le dispositif de contrôle de l’entreprise doit
être organisé selon 4 niveaux (« lignes de
défense ») :
• 1er niveau : contrôles à caractère permanent
par les opérateurs et leur hiérarchie directe ;
• 2ème niveau : contrôles à caractère perma-
nent par des équipes (centrale et délocali-
sées au sein des directions fonctionnelles)
de contrôleurs internes ;
• 3ème niveau : contrôles à caractère pério-
dique par les auditeurs internes ;
• 4ème niveau : contrôle des auditeurs externes.
La direction de l’entreprise doit s’assurer
que des contrôles appropriés sont mis en
place pour que les principaux risques restent,
après procédures d‘atténuation, en deçà du
niveau tolérable préalablement défini. Si des
changements notables interviennent dans les
opérations de l’entreprise, les procédures de
contrôle doivent être rapidement adaptées.
n Rôle des contrôleurs internes
(niveaux 1 et 2)
La direction doit veiller que l’équipe de
contrôle interne soit correctement structu-
rée (effectif, connaissance des activités de
l’entreprise, compétences et expertises…).
La démarche des contrôleurs internes
consiste, sur la base de la cartographie des
risques, à :
• recenser la totalité des contrôles existants ;
• mettre à disposition des opérationnels un
référentiel de contrôle permettant d’avoir
une base normalisée et un langage com-
mun utilisés par l’ensemble des acteurs du
dispositif ;
• identifier, pour chaque contrôle, sa nature,
sa prépondérance dans la maîtrise du
risque considéré (contrôle clé ou non),
son objectif (prévention, détection, protec-
tion), sa fréquence (permanent, quotidien,
hebdomadaire, mensuel…), sa typologie
(automatisé, semi-automatique, manuel) ;
• apprécier le fonctionnement effectif des
différents contrôles et leur matérialisation
(preuve de leur exécution).
Sur la base d’une pondération des différents
contrôles et de l’évaluation faite de leur
fonctionnement, l’efficacité du dispositif de
contrôle interne peut ainsi être appréciée.
n Rôle de l’audit interne (niveau 3)
L’équipe d’audit interne, distincte de celle des
contrôleurs internes, joue un rôle déterminant
dans la fiabilisation du dispositif global de
contrôle. Rattachée au niveau hiérarchique
le plus élevé de l’entreprise (direction
40 Janvier 2021 N° 549 Revue Française de Comptabilité
PRODUCTIVITÉ
générale), elle conduit ses missions en toute
indépendance par rapport aux directions
opérationnelles et fonctionnelles. Ses mis-
sions consistent à vérifier que les procédures
applicables aux plans opérationnel et finan-
cier sont respectées (conformité aux manuels
de procédures) et à mettre en exergue toute
défaillance constatée dans les processus clés
de l’entreprise (achats, production, ventes,
investissements, gestion de la trésorerie,
gestion des ressources humaines…).
Le directeur de l’audit interne établit, en
début d’exercice, un plan annuel d’interven-
tion qui est approuvé par la direction générale
et le comité exécutif et soumis pour revue
au comité d’audit et des risques, lorsqu’il
existe. Chaque mission effectuée donne lieu
à l’émission d’un rapport comprenant les
faiblesses relevées et les recommandations
formulées.
n Rôle des auditeurs externes (niveau 4)
Les auditeurs externes ont pour mission
principale de vérifier et certifier les comptes
annuels sociaux et consolidés et de s’assurer
de la sincérité et fiabilité de l’information
financière produite à cette occasion.
Leur démarche repose pour beaucoup sur
des vérifications par sondages, s’appuyant
sur une appréciation de l’environnement
de contrôle de l’entreprise et des risques
à caractère financier susceptibles d’altérer
l’information comptable et financière. Dans ce
cadre, ils revoient les procédures de contrôle
interne existantes, pour autant qu’elles soient
afférentes au traitement et à l’élaboration de
l’information comptable et financière.
Ils rendent compte au comité d’audit et au
conseil d’administration des résultats de leurs
travaux et de leurs conclusions, tant sur les
comptes que sur les procédures de contrôle
interne qu’ils ont été amenés à revoir.
n Rôle du comité d’audit
(instance de gouvernance)
Selon l’article L.823-19-II du Code de com-
merce, « le comité d’audit suit l’efficacité des
systèmes de contrôle interne et de gestion
des risques ainsi que, le cas échéant, de
l’audit interne, en ce qui concerne les procé-
dures relatives à l’élaboration et au traitement
de l’information comptable et financière ». Il
est toutefois fréquent que le comité d’audit
joue aussi le rôle de comité des risques. Dans
ce cas, il doit se pencher sur l’ensemble des
risques de l’entreprise. Dans l’hypothèse
où un comité RSE/ESG existe, le conseil
d’administration délimite le périmètre des
risques à caractère non financiers entrant
dans le champ de compétences de chacun
de ces comités.
Le comité d’audit (et des risques) revoit en
début d’exercice le plan d’intervention prévi-
sionnel de l’audit interne et formule ses éven-
tuels commentaires et recommandations.
Il s’assure que les procédures afférentes
aux risques majeurs de l’entreprise sont
couvertes, ainsi que les principaux cycles et
processus (au moins sur une base rotative,
une bonne pratique étant de couvrir ces
derniers sur une période de 2 ans).
Le comité prend connaissance annuellement
des résultats des travaux de l’audit interne,
des principales défaillances constatées et des
plans de remédiation envisagés. Il veille, pour
les faiblesses majeures décelées, que l’audit
interne procède à de nouvelles vérifications
l’année suivante pour s’assurer des actions
correctrices mises en œuvre.
Bien que dépendant hiérarchiquement de
la direction générale, le directeur de l’audit
interne a une ligne de reporting fonction-
nelle directe avec le comité d’audit et son
président qui apprécient, en fin d’année, la
contribution de l’audit interne.
Le comité d’audit s’entretient, par ailleurs,
avec les auditeurs externes pour comprendre
leur démarche, les principales diligences
effectuées, les difficultés rencontrées dans
l’exercice de leur mission, et prendre connais-
sance des résultats de leurs travaux et de
leurs constats, recommandations (notam-
ment sur les faiblesses de contrôle interne
relevées) et conclusions (le cas échéant ajus-
tements d’audit non comptabilisés et opinion
sur les comptes et l’information financière).
Les apports du contrôle
interne par rapport
aux enjeux actuels
Compte tenu des changements dans les acti-
vités et l’organisation interne des entreprises
du fait de la crise, il convient rapidement
d’identifier les risques nouveaux apparus
et d’adapter les procédures de contrôle
interne en mettant une focale sur les points
de vulnérabilité.
Ceux-ci dépendent évidemment de l’activité
de l’entreprise et de son organisation, mais
on trouve notamment les suivants.
Sécurisation des opérations
n Approvisionnements
La crise a fait ressortir certaines fragilisa-
tions dans la chaîne d’approvisionnements
de nombreuses entreprises. Les procédures
de contrôle interne liées à celles-ci doivent
donc faire l’objet d’une attention redoublée :
processus de sélection et de sécurisation
des fournisseurs et sous-traitants (dont suivi
de leur santé financière), formalisation de
la relation commerciale (nouveaux enga-
gements pris avec les niveaux d’autorisa-
tion appropriés, conditions tarifaires et de
règlement renégociées, nature et modalités
des coopérations commerciales convenues),
contrôle des factures reçues (rapprochement
aux bons de commande et de livraison),
autorisation et génération du règlement,
enregistrement comptable, le tout dans le
respect du principe de séparation des tâches
précédemment décrit.
n Ressources humaines
La composante humaine se trouve aujourd’hui
fragilisée : inquiétude croissante des salariés
quant à la sécurité de leur emploi, difficul-
tés d’adaptation à de nouveaux modes de
travail, risque de démotivation et de perte
progressives du sentiment d’appartenance
à l’entreprise par suite du télétravail…
Le contrôle interne est à renforcer au regard
des procédures de recrutement, gestion des
compétences, formation continue, mobilité
géographique et fonctionnelle, accompa-
gnement au départ et licenciement, mais
aussi de gestion de la paie et des congés
et absences (dont maladie et accidents
du travail), ainsi que de la conformité à la
réglementation applicable aux instances
représentatives des salariés et aux relations
avec celles-ci.
n Systèmes d’information
Les contrôles généraux informatiques, l’exis-
tence de plan de sauvegarde et le dispositif
de protection contre le risque cyber doivent
faire l’objet d’une vigilance accrue, compte
tenu d’une multiplication récente de tenta-
tives d’intrusion par des « hackers ».
Protection des actifs
n Actifs physiques
Les contrôles afférents à l’accès physique
aux locaux ne doivent pas être négligés,
d’autant que pour des entreprises exerçant
des « activités sensibles », ces temps troublés
pourraient être mis à profit pour certaines
intrusions malveillantes…
Les procédures de contrôle liées à la réa-
lisation des programmes d’entretien des
équipements industriels doivent rester
actives, même si l’outil de production est en
sous-activité.
De même, le respect des procédures d’inves-
tissements (conformité au plan approuvé
par le comité exécutif ou d’investissement,
choix –­­ via appel d’offres le cas échéant –
des prestataires, alignement sur le budget
pré-alloué …) doit être strictement contrôlé.
n Fraude
Les temps troublés se révélant souvent favo-
rables au développement d’actes frauduleux
et malveillants (détournement d’actifs, mani-
pulation de données comptables et finan-
cières, corruption), le dispositif de contrôle
interne afférent à la prévention et détection
des fraudes (dont système d’alerte interne),
ainsi qu’à leurs sanction et remédiation, doit
être l’objet d’une surveillance active.
Qualité de l’information
et de la communication
L’entreprise produit et diffuse de nombreuses
informations (particulièrement « épluchées »
en période de crise) qui servent à des prises
de décision, tant en interne qu’en externe.
Ces informations sont d’abord de nature
financière : comptes annuels sociaux et
consolidés (ceux de l’exercice 2020), rapport
d’activité, communiqué de presse….
Le contrôle interne porte en particulier sur les
processus sous-tendant la production de cette
information, ainsi que sur le respect des règles
et procédures comptables (généralement lis-
tées dans un « manuel des procédures comp-
tables »), notamment leur bonne application
dans des « domaines sensibles » (provisions
pour dépréciation de créances et stocks…).
Il sera, par ailleurs, renforcé au regard des
procédures de détection des indices de perte
de valeur des actifs immobilisés corporels et
incorporels (dont Goodwill), eu égard aux
conséquences économiques découlant de
la crise de la Covid-19. De même, une atten-
tion spécifique sera portée aux procédures
concernant la gestion de la trésorerie, point
très sensible dans le contexte actuel.
Pour les sociétés cotées, qui ont désormais
l’obligation d’établir à compter de l’exercice
ouvert au 1er janvier 2020 leurs états financiers
primaires consolidés selon le nouveau format
européen ESEF (European Single Electronic
Format), il conviendra de s’assurer que les
Revue Française de Comptabilité Janvier 2021 N° 549 41
procédures de contrôle interne couvrent bien
les aspects liés à cette nouvelle obligation,
notamment respect de la taxonomie et des
règles de présentation imposées, ainsi que
du principe du balisage 4.
L’information extra-financière n’est pas
en reste, compte tenu de l’importance
croissante prise par la RSE (responsabilité
sociale/sociétale et environnementale) et
des obligations de reporting auxquelles sont
soumises un certain nombre d’entreprises,
notamment dans le cadre de la « déclaration
de performance extra-financière » 5 et de
la loi sur le devoir de vigilance. Le contrôle
interne porte aussi sur les processus per-
mettant la production des informations
requises.
Ces informations financières et extra-
financières doivent être complètes, fiables,
pertinentes, transparentes et conformes aux
exigences réglementaires : autant de critères
que les procédures de contrôle interne y affé-
rentes, portant sur la capture, le traitement
(exhaustivité, exactitude, enregistrement) et
la restitution des informations, contribuent
à sécuriser.
En synthèse, il apparaît que le contrôle
interne représente, en quelque sorte, le sys-
tème nerveux de l’entreprise et qu’il contri-
bue à son fonctionnement efficient dans le
but de sécuriser, pérenniser et développer
ses opérations.
Ce dispositif met en jeu différents acteurs
clés, direction et responsables internes,
contrôleurs internes, auditeurs internes et
externes, comité d’audit et des risques et
conseil d’administration, dont l’articulation
harmonieuse contribue à la qualité de la
gouvernance de la société au regard de la
gestion de ses multiples risques.
Plus que jamais, dans ce monde encore en
crise, un dispositif de contrôle interne robuste
s’impose comme un outil incontournable
dans le processus d’une création de valeur
durable par les entreprises : le retour sur
investissement est alors à coup sûr assuré !
4. Voir articles dans la Revue Française de
Comptabilité, n° 540 (mars 2020) et n° 542 (mai
2020).
5. Sur ce point, voir article du même auteur dans la
Revue Française de Comptabilité n° 527, janvier 2019.