Dr.

Ahlem K
Audit financier (M2- FE) 2023/2024
Cours 4: LA GESTION DES RISQUES D’ENTREPRISE ET LE CONTROLE INTERNE

Le contrôle interne d'une entité est une composante de la gestion des risques d'entreprise et l'auditeur,
lorsqu'il met en œuvre la procédure pour obtenir la compréhension de l'entité et de son environnement, y
compris de son contrôle interne, étudie à la fois la façon dont l'entité gère ses risques et le contrôle interne
qu'elle a mis en place pour maîtriser ces risques.

1. Définition de la gestion des risques d'entreprise selon le COSO1

Dans son référentielle COSO définit la gestion des risques d'entreprise comme un processus conçu et exécuté
par le conseil d'administration d'une entité, sa direction et tout autre personnel dans le cadre de la mise en
œuvre de la stratégie de l'ensemble de l'entité, pour identifier les événements potentiels qui peuvent l'affecter et
pour gérer les risques conformément au «< risque d'appétit »>, en fournissant une assurance raisonnable quant à
la réalisation des objectifs de l'entité.

Selon le COSO, la gestion des risques d'entreprise n'est pas une fin en soi, mais représente plutôt la mise en
œuvre de moyens importants. Elle est exécutée en relation avec le gouvernement d'entreprise par la fourniture
d'informations au conseil d'administration sur les risques les plus significatifs et sur la manière dont ces risques
sont maîtrisés, Elle entre aussi en relation avec la direction exécutive par la fourniture des mesures relatives aux
risques et aux ajustements. Enfin, elle est en relation avec le contrôle interne de l'entité qui fait partie intégrante
de la gestion des risques d'entreprise.

La gestion des risques d'entreprise aide une entité à réaliser ses objectifs de rentabilité et de performance et
constitue une prévention contre la perte de ressources. Elle fournit une information financière fiable et s'assure
que l'entité se conforme aux lois et règlements, lui évitant ainsi de subir des atteintes à sa réputation et d'autres
conséquences préjudiciables.

L'intervention de l'auditeur, généralement axée sur la confiance à accorder aux seuls états financiers utilisés par
les «< partenaires >> (actionnaires, investisseurs, banques, État, etc.), ne s'étend habituellement pas au
processus de contrôle par l'entité de la réalisation de ses objectifs et stratégies.

Ayant obtenu une connaissance approfondie des entités en général et de leurs activités auditées en particulier,
l'auditeur a une position privilégiée pour évaluer la totalité du système de fonctionnement de l'entité, en plus
des seuls documents financiers destinés à un usage extérieur.

2. Définition du contrôle interne selon le COSO

Le COSO définit le contrôle interne dans son référentiel intitulé Internal Control-Integrated Framework comme
un « processus mis en place parie conseil d'administration, les dirigeants et le personnel de l'entité, destiné à
fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

 La réalisation et l'optimisation des opérations.

 La fiabilité des informations financières.
 La conformité aux lois et aux réglementations en vigueur »

Cette définition du contrôle interne selon le COSO est plus large que celle qui intéresse l'auditeur, dans la
mesure où la réalisation et l'optimisation des opérations couvrent la totalité des activités de l'entité et pas
seulement les activités relatives à l'élaboration et au traitement de l'information comptable et financière visée
par les normes ISA et dont l'article 225-235 du Code de commerce français ne constitue qu'une partie.

1
Committee of Sponsoring Organizations of the Treadway Commission
1
Dr. Ahlem K
Audit financier (M2- FE) 2023/2024
Cours 4: LA GESTION DES RISQUES D’ENTREPRISE ET LE CONTROLE INTERNE

La figure 1 montre l'association qui est nécessaire pour préserver les objectifs face à la menace d'échec, et un
environnement de contrôle adéquat pour exécuter les autres composantes du contrôle interne, c'est-à-dire,
l'activité de contrôle, l'évaluation des risques et le pilotage .

La direction et le conseil d'administration ne peuvent attendre du contrôle interne qu'une assurance

raisonnable. En outre, ce contrôle interne est axé sur la réalisation d’objectifs dans un ou plusieurs domaines
(catégories) qui sont distincts, mais se recoupent.

Figure1: Composantes du contrôle interne

Selon cette définition, le contrôle interne à mettre en place dans une entité englobe des sous-systèmes de
contrôle interne, et notamment :

 Des contrôles relatifs à l'information financière ou à la conformité aux lois et réglementations qui
concernent l'auditeur.
 Des contrôles visant des unités ou des activités spécifiques de l'entreprise (par exemple, les
performances non financières des activités des ateliers, d'une machine, qui ne concernent a priori pas
l'auditeur).
 Des contrôles visant des services dans l'entreprise (par exemple, l'entretien et le contrôle qualité qui
ne concernent pas non plus l'auditeur).
 Des contrôles visant la sécurité des actifs.

2
Dr. Ahlem K
Audit financier (M2- FE) 2023/2024
Cours 4: LA GESTION DES RISQUES D’ENTREPRISE ET LE CONTROLE INTERNE

3. Liens entre gestion des risques d'entreprise et contrôle interne

La définition de la gestion des risques d'entreprise donnée par le COSO dans son référentiel présente le contrôle
interne comme un sous-ensemble de la gestion des risques d'entreprise.

Tableau 1: Relation entre la gestion des risques d’entreprise et le contrôle interne, selon les référentiels du
COSO

Référentiel du COSO Référentiel de gestion des risques Référentiel de contrôle interne en

Objectifs d’entreprise en vue d’établir une vue de maîtriser les risques
stratégie
Objectif stratégique
Réalisation et optimisation des Réalisation et optimisation des
opérations, incluant des objectifs opérations, incluant des objectifs
de performance et de rentabilité de performance et de rentabilité
Fiabilité de toutes les informations Fiabilité des informations
produites par l’entité incluant les financières
informations internes et externes,
financières et non financières
Conformité aux lois et aux Conformité aux lois et aux
réglementations en vigueur réglementations en vigueur

Le tableau 1 présente les objectifs similaires du contrôle interne et de la gestion des risques d'entreprise
(GRE). Le référentiel de la gestion des risques d'entreprise spécifie trois objectifs identiques à ceux indiqués
dans le référentiel du contrôle interne, tout en assignant à la gestion des risques d'entreprise des objectifs plus
larges concernant l'information.

En outre, le référentiel de gestion des risques d'entreprise indique un objectif supplémentaire relatif à la
stratégie, objectif considéré comme ayant le plus haut niveau d'importance. La connaissance des objectifs et
de la stratégie de l'entité sont nécessaires à la mise en place d'un contrôle interne et celui-ci est la manifestation
concrète de la gestion des risques d'entreprise.

Selon la norme ISA 315, les risques d'entreprise résultent, lorsqu'ils sont significatifs, des conditions, des
événements, des circonstances et des actions (ou de leur absence) qui peuvent compromettre la capacité de
l'entité à atteindre ses objectifs et à mettre en œuvre ses stratégies ainsi que du choix erroné des objectifs et
stratégies.

Par ailleurs, la conduite des activités d'une entité est dynamique et tout comme l'environnement externe, elle
évolue et entraîne, par conséquent, des changements d'objectifs et de stratégies, ce qui est également source de
risques d'entreprise.

4. Limites du contrôle interne

Le contrôle interne n'est pas forcément efficace ni apte à identifier tous les risques. En effet, il présente
souvent des lacunes qui exposent l'entité à des risques inutiles, telles que :

• L'élaboration de différentes procédures de contrôle par cycle sans tenir suffisamment compte des objectifs,
des stratégies et des risques associés.

• Des procédures insuffisamment documentées ou communiquées aux personnels.

• La méconnaissance de certains contrôles automatisés qui facilitent la supervision des contrôles.

• L'application inconstante des contrôles intégrés dans les procédures.

Références:
1. Mohamed HAMZAOUI, Audit Gestion des risques et contrôle interne, 2édition, Village Mondial, 2008, Paris.
3