Chap-3 Evaluation Du Controle Interne

METHODOLOGIE DE L’AUDIT COMPTABLE ET
FINANCIER
Thème 3 : EVALUATION DU CONTRÔLE

INTERNE
Titre 1. GENERALITES SUR LE CONTRÔLE INTERNE
2
I. Définition du contrôle interne (1/4)
« Le système de contrôle interne est l’ensemble des politiques et

procédures mises en œuvre par la direction d’une entité en vue de
s’assurer, dans la mesure du possible, la gestion rigoureuse et
efficace de ses activités. Ces procédures impliquent le respect de
ses politiques de gestion, la sauvegarde des actifs, la prévention et
la détection des fraudes et erreurs, l’exactitude et l’exhaustivité des
enregistrements comptables et l’établissement en temps voulu
d’informations financières fiables».
ISA 315 - IFAC
3
« Le contrôle interne est l’ensemble des sécurités qui contribuent

à la maîtrise de l’entreprise. Il a pour but, d’un côté, d’assurer la
protection, la sauvegarde du patrimoine et la qualité de
l’information, de l’autre, l’application des instructions de la
direction et de favoriser l’amélioration des performances ».
OEC - FRANCE
4
« Le contrôle interne est constitué par l’ensemble des mesures de

contrôle, comptable ou autre, que la direction définit, applique et
surveille, sous sa responsabilité, afin d’assurer la protection du
patrimoine de l’entreprise et la fiabilité des enregistrements
comptables et des comptes annuels qui en découlent ».
CNCC - FRANCE
5
Extrait de la norme CNCC et IFAC
 Commentaires
 Le contrôle interne est plus préventif que répressif ("contrôle" dans le sens de
"maîtrise"),
 Le contrôle interne est un ensemble de moyens mis en place dans une entreprise
et faisant partie intégrante de son organisation,
 La direction de l'entreprise est responsable de la définition, de la mise en œuvre et
de la supervision de ces moyens pour atteindre un certain nombre d'objectifs.
 Couverture
Le dispositif de contrôle interne couvre un domaine plus large que le contrôle interne
relatif à l'élaboration et au traitement de l'information comptable et financière.
 Limites
Le contrôle interne est un processus, mis en œuvre par des personnes, dont on ne
peut attendre qu’une assurance raisonnable et non une assurance absolue
6
II. Les trois (3) niveaux de contrôle (1/2)
 Niveau 1 : Management opérationnel ou gestion opérationnelle
 Premier degré : contrôles intrinsèques des opérations

 Pré-établis (automatiques ou manuels)
 Effectués tout au long du processus
 Second degré : contrôles du management

 Définis à l’avance ou effectués selon les besoins
 Effectués par le responsable et/ou son représentant
 Niveau 2 : Audit interne

 Indépendant du management
 Rend compte directement au management ou au Comité d’Audit
 Compétent dans tous les domaines d’activités
 Contrôles apériodiques, permettant d’évaluer les contrôles de 1er niveau
7
II. Les trois (3) niveaux de contrôle (2/2)
 Niveau 3 : Contrôles externes
 Actionnaires
- approbation des comptes annuels
- nomination des administrateurs et des auditeurs
 Auditeurs externes (Commissaires aux comptes)

- audits périodiques des comptes
- autres missions d’audit ou de conseil
8
III. Le dispositif du contrôle interne (selon le COSO)
 Le COSO a été crée en 1985 aux USA et a développé en 1992 un modèle
pour l’évaluation et le développement des systèmes de CI. Ce modèle connu
sous le nom de « COSO Internal Control Framework » ou Pyramide du COSO
I » donne l’ossature d’un bon dispositif de CI à travers ses objectifs et ses
composantes.
 Le COSO II (Intregrated Framework ) a été publié en 2004 pour renforcer les

objectifs en rajoutant la prise en compte de la stratégie.
9
IV. Objectifs du contrôle interne
 Les objectifs de contrôle interne, qui sont au coeur des notions de pilotage, de
maîtrise et de contrôle du dispositif, sont les suivants :
 la pertinence des politiques menées et des objectifs impartis (politique adaptée
aux buts et aux moyens de l’entité),
 la notion d’efficacité (respect des politiques, plans, procédures, lois, règlements),
 la notion d’économie (ressources nécessaires obtenues au moindre coût),
 la notion de sécurité (protection du patrimoine et des ressources nécessaires),
 la notion d’efficience (qualité des ressources utilisées et absence de gaspillage),
 la notion de la fiabilité de l’information financière (états financiers, budgets, ...),
 la notion de conformité aux lois et règlements (respect des lois et règlement en
vigueur : OHADA, statuts, lois et décrets.
10
V. Règles de base du contrôle interne
 Le principe d’organisation est la recherche d’une systématisation se traduisant

par une organisation préalable, adaptée, documentée et vérifiable.
 Le principe d’harmonie est la prise en compte, à l’échelle de l’entreprise, de ses

caractéristiques et de son environnement, des risques à éviter, des enjeux
économiques et des besoins de sécurité, ainsi que du coût des sécurités.
 Le principe d’universalité est la couverture par le contrôle interne de tous les

domaines et tout le personnel.
 Le principe d’intégration est l’incorporation aux procédures de mécanismes

d’autocontrôle à base de recoupements, de contrôles réciproques et de procédés
techniques de détection d’erreurs, négligences et fraudes.
11
V. Règles de base du contrôle interne
 Les contrôles sur le personnel sont à base de processus d’autorisations

hiérarchiques préalables et de règles de séparation des fonctions qui sont
incompatibles entre elles.
 Les procédures d’autorisations préalables (qui dans les systèmes informatisés
s’accompagnent de limitations hiérarchiques d’accès et de mots de passe réservés) vont
de pair avec la supervision des travaux et la réglementation de l’accès (physique ou
logique) aux biens, fichiers et programmes de l’entreprise.
 Le respect de la règle de séparation des fonctions incompatibles entre elles est

fondamental ; elle permet un cloisonnement qui protège le patrimoine de l’entreprise.
 Les fonctions incompatibles sont les suivantes :

 les fonctions opérationnelles concourant à la réalisation de l’objet social,
 la détention et la conservation matérielle des valeurs et des biens,
 l’enregistrement comptable des opérations dans les livres de la société,
 le contrôle des opérations ou des enregistrements.
12
VI. Éléments du contrôle interne
Le contrôle interne se présente, en pratique, comme un

ensemble de procédures et de dispositifs articulé autour des
aspects suivants :
 la répartition et la coordination des activités entre les
différentes fonctions,
 la répartition des rôles entre les différentes personnes
qualifiées et motivées,
 la définition des objectifs, des moyens et des responsabilités,
 la supervision,
 la coordination des différentes personnes qualifiées,
 la conception et le fonctionnement du système d’information.
13
VII. Les 5 composantes du contrôle interne
 Le premier focus du COSO, portait sur les causes des problèmes de contrôle interne qui ont
contribué aux erreurs des reporting financiers.
 Après son premier rapport en 1987 qui demandait au Management d’établir un rapport sur
l’efficacité de son Système de contrôle interne, en 1992, le COSO a publié le COSO Report :
Internal Control-Integrated Framework. L’édition française du COSO Report est parue en 1994
sous le titre La nouvelle pratique du contrôle interne .
 Ce premier guide a été très largement accepté et utilisé dans le monde entier. Il est reconnu
comme un référentiel faisant autorité pour la conception, la mise en place et le pilotage du
contrôle interne, ainsi que pour l’évaluation de son efficacité.
 Son succès ne s’est pas démenti depuis lors, et s’est trouvé confirmé avec le déploiement du
contrôle interne dans des environnements très divers. En effet, dans des contextes de recherche
de productivité et de réduction des coûts, incitant à l’allégement des structures administratives,
l’adéquation et l’efficacité des dispositifs de contrôle apparaissent comme un facteur
fondamental du renforcement de la gouvernance et de la robustesse de toute organisation.
14
VII. Les 5 composantes du contrôle interne
• En 2004, après une longue période de développement de son référentiel sur le Contrôle
Interne, le COSO a publié un nouveau référentiel, le COSO ERM (Enterprise Risk
Management), pour couvrir le management des risques et les risques stratégiques.
L’ERM définit le Contrôle interne comme une part intégrale du Management des risques
« Enterprise risk management is a process, effected by an entity’s board of directors,

management and other personnel, applied in strategy setting and across the enterprise,
designed to identify potential events that may affect the entity, and manage risk to be
within its risk appetite, to provide reasonable assurance regarding the achievement of
entity objectives.»
« La valeur est maximisée lorsque la direction fixe une stratégie et des objectifs
permettant d’optimiser l’équilibre entre croissance, rentabilité et risques associés, ou
encore lorsqu’un déploiement efficace et efficient des ressources permet d’atteindre les
objectifs de l’organisation. »
15
VII. Les composantes du contrôle interne
 Objectifs  Découpage
◦ Objectifs stratégiques fonctionnel
◦ Objectifs opérationnels ◦ Filiale
◦ Objectifs de reporting ◦ Business unit
◦ Objectifs de conformité (centre de
responsabilité)
 Eléments du dispositif ◦ Division
◦ Environnement interne ◦ Divers niveaux
◦ Fixation des objectifs fonctionnels
◦ Identification des de l’entité
événements
◦ Evaluation des risques
◦ Traitement des risques
◦ Activités de contrôle
◦ Information et
communication
◦ Pilotage
16
 Au cours des vingt années qui ont suivi la diffusion du COSO I, l’environnement économique et
opérationnel des organisations a considérablement évolué. Il est devenu de plus en plus
complexe, tiré par les nouvelles technologies et mondialisé.
 Simultanément, les parties prenantes s’impliquent de plus en plus et recherchent davantage de
transparence et de devoir de rendre compte quant à l’intégrité des système de contrôle interne
sur lesquels reposent les décisions opérationnelles et la gouvernance de l’organisation.
 C’est dans ce contexte que le COSO publie en 2013, une mise à jour de son référentiel de 1992,
le COSO 2013. Ce référentiel reprend les éléments essentiels du référentiel COSO de 1992, en
particulier la définition, les cinq composantes, et les critères d’évaluation. Il n’élargit donc pas, le
périmètre du contrôle interne aux objectif stratégiques, à l’appétence pour le risque ou autres
sujets du ressort de l’Enterprise Risk Management. Le COSO 2013 décline 17 principes
essentiels liés aux cinq composantes du contrôle interne.
 En 2017, la COSO a mis à jour son référentiel ERM, « le management des risques de
l’entreprise — Une démarche intégrée à la stratégie et à la performance », pour
répondre aux exigences d’un environnement économique mouvant.
17
COSO ERM 2017
18
 Le contrôle interne est la finalité de l’audit interne.

 En effet l’objectif d’une fonction d’audit interne est de donner à une organisation une
assurance sur le degré de maîtrise de ses opérations. Atteindre cet objectif passe par
l’examen de ce qui permet l’exercice de cette maitrise : le Contrôle Interne. C’est la
matière sur laquelle va travailler l’auditeur interne.
 La fonction d’audit interne est une fonction relativement récente puisque son apparition
remonte à la crise économique de 1929 aux Etats-Unis. Le point de départ était
d’assumer certains travaux préparatoires par le personnel de l’organisation, en vue de
réduire le coût de la certification des comptes par les cabinets d’audit externe.
 Après la crise, on continua à utiliser les auditeurs (vérifications comptables) et en 1941,
des personnes aux U.S.A décident d’organiser la fonction. Il faut en 1978 pour voir les
premières normes professionnelles de l’audit interne.
 En 1941 (date de création de l’institut), J.B. Thurston, président de l’IIA, déclarait avec
une étonnante prescience que les perspectives les plus brillantes de l’audit interne
seraient dans l’assistance au management.
 D’abord fonction confidentielle aux contours incertains, limité aux grandes entreprises,
l’audit interne est devenu en quelques décennies un rouage essentiel dans le
management des organisations de toutes tailles et de toute nature.
19
 Cette reconnaissance et son développement concomitant sont dus à la conjonction
de trois facteurs :
 l’impérieuse nécessité, dans un monde complexe, de maîtriser les opérations et
les risques qu’il génère en donnant aux managers conseils et recommandations
pour y parvenir ;
 l’avènement de responsables soucieux de donner à ce mouvement efficace et
cohérence en développant outils et méthodes rationnels et logiques ;
 La mise en place d’une organisation professionnelle au niveau mondial (I.I.A).
20
 Le terme Contrôle Interne a été dans le vocabulaire des affaires depuis plusieurs années, mais sa
définition n’était pas historiquement précise. Le COSO I, a développé une définition ou une
description presque universellement admis aujourd’hui : « Internal control is a process,
affected by an entity’s board of directors, management, and other personnel,
designed to provide reasonable assurance regarding the achievement of objectives
in the following categories:
 Effectiveness and efficiency of operations
 Reliability of financial reporting
 Compliance with applicable laws and regulations. »
« Le contrôle interne est un processus m is en œuvre par le conseil, le m anagem ent et

les collaborateurs d’une entité, destiné à fournir une assurance raisonnable quant à la
réalisation d’objectifs liés aux opérations, au reporting et à la conform ité »
 Partant de cette définition, le COSO a utilisé 3 dimensions pour décrire le système de contrôle
interne d’une organisation.
21
Entités ou
activités
22
 Environnement de contrôle
Comme toute construction nécessite une fondation solide, l’environnement de contrôle

interne constitue le point de départ de tous les contrôles internes d’une entité. Il influence
la façon dont les activités sont structurés et les risques évalués dans une organisation.
L’environnement de contrôle reflète l’ensemble des attitudes, précautions et actions de la

Gouvernance, relativement à l’importance des contrôles internes dans l’organisation.
L’histoire et la culture d’une organisation joue un rôle important dans la formation de

l’environnement de contrôle interne.
Les instructions du Management constituent un message fort pour les employés, les
clients, et les autres parties prenantes. Ce type de message est connu sous l’expression
de « Tone at the top ». D’où l’importance de la réputation.
23
 Environnement de contrôle
Les facteurs déterminants d’un bon environnement de

contrôle interne comprennent : les valeurs d’intégrité et
d’éthique (définir un code de conduite), l’engagement pour la
compétence du personnel, un conseil d’administration et un
comité d’audit actifs, le style de direction et la philosophie
de management, la structure organisationnelle, la
délégation des responsabilités, les politiques et procédures
de ressources humaines, etc.
24
 Evaluation des risques
La capacité d’une organisation a atteindre ses objectifs peut être influencée par
une diversité de facteurs internes ou externes. Un risque est défini comme la
possibilité qu’un événement survienne et ait un impact défavorable sur la
réalisation des objectifs. L’évaluation des risques implique un processus
dynamique et itératif d’identification et d’analyse des risques susceptibles
d’affecter la réalisation des objectifs. Ces risques sont envisagés au regard des
seuils de tolérance au risque. Pour pouvoir procéder à l’évaluation, il est donc
nécessaire d’avoir préalablement défini des objectifs cohérents aux différents
niveaux de l’entité. Le management spécifie des objectifs liés aux opérations, au
reporting et à la conformité avec suffisamment de clarté pour pouvoir identifier et
analyser les risques susceptibles d’affecter la réalisation de ces objectifs.
25
Plusieurs organisations ont découvert que le meilleur moment d’évaluer leurs

niveaux de risque est au cours du processus de planification annuelle ou
périodique. Cette évaluation des risques doit être faite à tous les niveaux de
l’organisation et pour toutes les activités.
Le COSO – Internal control framework, décrit l’évaluation du risque en 3 étapes

: Définir le niveau de risque acceptable – estimer la vraisemblance ou la
fréquence du risque – examiner comment le risque peut être géré et
quelles actions doivent être prises.
26
Dans le processus de management des risques présenté dans l’ISO

31000:2018, l’évaluation des risques (ou appréciation des risques) est le
processus global d'identification, d'analyse et d'évaluation des risques.
 Identification du risque : rechercher, reconnaître et décrire les risques

qui peuvent aider ou empêcher un organisme d’atteindre ses objectifs ;
 Analyse du risque : comprendre la nature du risque et ses

caractéristiques, y compris le niveau de risque, le cas échéant. L’analyse
du risque implique la prise en compte détaillée des incertitudes, des
sources de risque, des conséquences, de la vraisemblance, des
événements, des scénarios, des moyens de maîtrise et de leur efficacité.
27
 Evaluation le risque : comparer les résultats de l’analyse du

risque aux critères de risque établis afin de déterminer si une
action supplémentaire est exigée. Cela peut déboucher sur
la décision : de ne rien faire de plus - d’examiner les options
de traitement du risque - d’entreprendre une analyse plus
approfondie afin de mieux comprendre le risque - de
maintenir les moyens de maîtrise du risque existants - de
réexaminer les objectifs.
28
 Activités de contrôles
Les activités de contrôle désignent les actions définies par les règles et
procédures qui visent à apporter l’assurance raisonnable que les instructions
du management pour maîtriser les risques susceptibles d’affecter la réalisation
des objectifs sont mises en œuvre.
Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers
stades des processus métier. Elles peuvent également être mises en œuvre
par l’intermédiaire des systèmes d’information. Il peut s’agir de contrôles
préventifs ou détectifs, incluant diverses activités manuelles et automatisées,
comme des autorisations et des approbations, des vérifications, des
rapprochements et des revues de performance opérationnelle.
29
 Activités de contrôles
La séparation des tâches est généralement à prendre en considération dès la

sélection et lors du développement des activités de contrôle. Lorsque celle-ci
n’est pas possible, le management devra sélectionner et développer des
solutions alternatives de contrôle.
30
 Information et communication
Dans le cadre de ses responsabilités en matière de contrôle interne et afin de

permettre la réalisation de ses objectifs, toute entité a besoin d’un certain
nombre d’informations. Le management obtient, produit, et utilise des
informations pertinentes et de qualité, de source interne ou externe, pour
faciliter le fonctionnement des autres composantes du contrôle interne.
La communication est le processus continu et itératif par lequel l’information

nécessaire est fournie, partagée et obtenue. La communication interne est le
vecteur par lequel l’information est diffusée dans toute l’organisation, en amont,
en aval, et de façon transversale. Elle permet à la direction générale d’adresser
aux collaborateurs un message clair sur l’importance des responsabilités de
chacun en matière de contrôle.
31
 Information et communication
La communication externe revêt un double aspect : elle permet de recevoir en

interne des informations externes pertinentes et de fournir des informations
aux tiers conformément à leurs exigences et à leurs attentes.
32
 Pilotage
L’organisation procède à des évaluations continues ou ponctuelles, ou à une

combinaison de ces deux formes d’évaluation pour s’assurer que chacune des cinq
composantes du contrôle interne et les principes qui leur sont associés sont mis en
place et fonctionnent.
Les évaluations continues, qui sont intégrées dans les processus métier à tous les
niveaux de l’entité, permettent de disposer l’informations en temps voulu.
Les évaluations ponctuelles, réalisées périodiquement, varient généralement en termes

de périmètre et de fréquence, en fonction de l’évaluation des risques, de l’efficacité des
évaluations continues et d’autres considérations d’ordre managérial.
Les constats sont établis selon les critères définis par les régulateurs, les organismes de
normalisation reconnus, le management et le conseil. Le cas échéant, les déficiences
sont communiquées au management et au conseil.
33
La roue de Deming
34
VIII. Les limites du contrôle interne
Au titre des limites naturelles du contrôle interne, citons les plus classiques :
 le coût d’un contrôle interne (qui ne doit pas excéder les avantages
escomptés du dispositif),
 la plupart des opérations internes de vérification portent sur des
opérations répétitives et non sur des opérations non récurrentes,
peu habituelles et non familières,
 la possibilité d’erreur humaine (négligence, distraction, erreurs de
jugement, mauvaise compréhension des instructions),
 les collusions internes ou externes à l’entité, mettant en échec le
dispositif et pouvant entraîner des fraudes
 l’abus éventuel par une personne de ses prérogatives pour ne pas se
soumettre au dispositif,
 l’inadaptation des procédures à la situation,
 la non-application des procédures.
35
IX. Les nouvelles implications du contrôle interne
 Aux lendemains des scandales financiers (« Affaire ENRON ») qui ont ébranlé
la confiance des investisseurs et sérieusement terni le blason du capitalisme
américain (été 2002), les Etats-Unis ont mis en place des dispositifs visant à
mettre en évidence les principaux risques liés à la gestion des entreprises ainsi
qu’à leur contrôle.
 Parmi les dispositifs mis en place figure la « Sarbanes-Oxley Act » (du nom des
deux sénateurs initiateurs de la loi) qui exige une évaluation du système de
contrôle interne de l’entreprise (toutes les sociétés cotées), sa diffusion par les
organes dirigeants et le contrôle de cette évaluation par les auditeurs externes.
 Au Royaume Uni, il y a eu « The Tumbull Guidance (du nom du député

travailliste, Nigel Tumbull). Il s’agit d’un guide pour la mise en place d’un CI et la
revue de son efficacité, basé sur l’approche par les risques.
36
IX. Les nouvelles implication du contrôle interne
Loi de sécurité financière et loi Sarbanes Oxley
 En France, la nouvelle Loi sur la Sécurité Financière (LSF - Août 2003) impose
2 nouveaux rapports relatifs au contrôle interne. Elle constitue une réponse
législative à la question de l’évolution du contrôle légal des comptes et de la
transparence dans les entreprises.
Président Conseil d’Adm
CAC ou Conseil de Surv
Rapport général +
Rapport de gestion +
Rapport présentant
nos observations Rapport sur
sur le rapport du l’organisation des
CA ou du CS travaux du conseil ET
sur les procédures de
contrôle interne, et le
cas échéant,
limitations apportées
aux pouvoirs des DG
Art 120 LSF
Art 117 LSF

37
Titre 2. DÉMARCHE D’ÉVALUATION DU CONTRÔLE
INTERNE
38
I. Importance de l’évaluation du contrôle interne pour l’auditeur
Norme obligatoire d’audit – ISA 315
L’auditeur :
 prend connaissance des systèmes pour planifier sa mission et concevoir

comptables et de contrôle interne une approche d’audit efficace
pour évaluer le risque d’audit et définir

 exerce son jugement professionnel les procédures visant à le réduire à un
niveau acceptable
39
I. Importance de l’évaluation du contrôle interne pour l’auditeur
Incidence de l'évaluation du contrôle interne
− Contrôle interne
+ Fiable
Insuffisant
+ −
ETENDU CONTROLE DES COMPTES ALLEGE
40
II. Démarche d’analyse du contrôle interne
DESCRIPTION DU SYSTEME OBJECTIF
TESTS DE CONFORMITE
(compréhension du système)
Évaluation de la conception du
Forces Faiblesses
système
TESTS DE PERMANENCE
(application des points forts)
Points forts Points forts

appliqués non appliqués
FORCES FAIBLESSES
EVALUATION DEFINITIVE DU
CONTROLE INTERNE
IMPACT SUR LE CONTRÔLE

RECOMMANDATIONS
DES COMPTES
41
II.1. Prise de connaissance de la procédure
 A) Etude du manuel de procédure
 Avantages :
 Description claire et ordonnée (plus immédiatement compréhensible que celle qu’on obtient
par entretien),
 Lecture tranquille sans gestion parallèle du problème relationnel,
 Montre les grandes lignes, les principales phases, les principaux intervenants,
 Facilite (ou comporte déjà) une représentation sous forme de diagramme.
 Risques :
 Description pas nécessairement mise à jour des dernières modifications,
 Pas d’assurance que la procédure décrite est effectivement appliquée.
 Conclusions :
 A utiliser pour comprendre les grandes lignes et pour faciliter les entretiens avec les
opérationnels, entretiens dont la nécessité reste entière.
 N’est envisageable que si les procédures ont été formalisées.
42
 B) Procéder par interview : quelques conseils pour réussir
 Transiter par la hiérarchie

 Pour avoir un aperçu des grandes lignes de la procédure
 Pour se faire désigner et présenter les personnes intervenants matériellement dans le
déroulement de la procédure.
 Présenter le problème à chaque interlocuteur :

 Nous recherchons une description de certaines opérations, c’est une opération de routine.
 Le but de la démarche est de contrôler les chiffres comptables et non les personnes
concernées par la procédure.
 Nous cherchons à voir comment prennent naissance les éléments qui se trouvent dans les
comptes.
 Questionner les exécutants

 Obtenir une description de la partie du travail qu’ils exécutent personnellement
 Accepter néanmoins qu’ils débordent un peu de leur sujet
 Ne pas poser de questions sur le travail des autres intervenants : c’est celui qui exécute les
tâches qui est le mieux placé pour en parler
43
 Orienter le débat
 Poser des questions, demander des explications : il est naturel de ne pas tout
comprendre du premier coup.
 Garder à l’esprit la finalité de la revue de procédure (respect des objectifs d’audit, points
forts, points faibles …).
 Éviter de prononcer des appréciations (ou de les laisser transparaître) ou de donner des
conseils pendant l’interview (c’est prématuré et cela peut orienter les propos de l’intéressé)
 Suivre l’ordre de déroulement de la procédure, mais sans excès, qui nuirait à la spontanéité
de l’exposé des faits.
 Préparer dès la prise de notes un futur classement rationnel des documents de travail
(penser à noter les nom et fonction de vos interlocuteurs ….).
 Procéder à une évaluation – au moins grossière du nombre de documents, situations,

événements etc. Certains des interlocuteurs attachent trop d’importance à des événements
marginaux.
44
 En fin d’entretien, indiquer que nous sommes susceptibles de demander

ultérieurement d’autres précisions ou compléments.
 Opérer le classement et la mise à jour des notes d’entretien sur le terrain, dans
toute la mesure du possible, immédiatement après une interview.
 S’assurer de l’exhaustivité de la description

 Il est fondamental de définir clairement le domaine étudié : en pratique, on
observe que beaucoup de lacunes se rapportent au traitement de cas
particuliers ou d’exceptions à la règle générale.
 Ces exceptions peuvent concerner : la nature des opérations effectuées, le
traitement qui leur est apporté, la période couverte par la procédure
(réorganisation en cours d’année, vacances…). Exemple : Traitement des
factures fournisseurs contestées par la société ? Traitement des livraisons
réceptionnées en l’absence de commandes préalables ?
45
II.2. Mode de représentation des procédures
Description
narrative
Client Service commercial Logistique Magasin Comptabilité
Ordinogramme
Appel téléphonique
Brouillon de cde
Cde > 50 KF ?
Algorithme oui non
Demande OK ?
non oui
Refus Bon de cde
46
 A ) Description narrative
Elle correspond à la mise au propre des notes d’entretiens :

 reconstitution d’un ordre chronologique : les entretiens sont souvent menés personne par
personne afin de limiter les prises de contact
 des compléments sont fréquemment obtenus dans un deuxième entretien : précision, options
négatives (que faites-vous si le BL ne correspond pas à la facture ?)
 les notes sont souvent prises à la volée : écriture rapide, abréviations, formules elliptiques.
 B) Ordinogramme (ou diagramme par flux/ flow chart)
C’est la description, en grande partie graphique, d’un ensemble d’opérations.

Cette description s’opère au moyen :
 d’une description narrative et chronologique des opérations constituant la procédure,
 d’une représentation simplifiée des documents créés ou utilisés,
 de lignes de flux retraçant le cheminement des documents.
47
Présentation de quelques symboles
 Classement alpha-numérique par fournisseur A
 Classement numérique par n° de bon B
 Classement par date D
 Documents reçus, émis ou transmis
 Contrôles réalisés
Action
48
 C) Algorithme
C’est une représentation ordonnée d’un processus mettant en évidence les différents
embranchements logiques de la résolution d’un problème.
appel téléphonique
brouillon de commande
commande > 50 Ke ?
oui non
demande accord Directeur de production
OK ?
non oui
ref us signif ié par téléphone au demandeur
établissement d'un bon de commande

49
III. Méthode d’analyse du contrôle interne
La méthode d’analyse du contrôle interne s’oriente autour :
d’une approche par cycle
d’une prise en compte de l’environnement informatique et de son

incidence sur la démarche d’audit
50
III.1. Approche par cycle
1er temps
Identification des cycles significatifs
2ème temps
Décomposition des cycles par fonction
51
IDENTIFICATION DES CYCLES SIGNIFICATIFS
Un cycle est un ensemble de transactions qui aboutit à un enregistrement

comptable
Les principaux cycles habituels sont :
Ventes - clients
Achats - fournisseurs
Personnel - paie
Production - stocks
Immobilisations
Trésorerie
52
Décomposition par fonction

Exemple : Cycle Achats - fournisseurs
demande d'achat
commande
réception
comptabilisation
décaissement
53
III.2. Prise en compte du système informatique
1er temps Evaluation du contrôle interne de la « fonction informatique »
2ème temps Evaluation du contrôle interne d’un système ou d’une

application orientée vers les contrôles mis en place autour de la
« fonction informatique » : préparation et saisie des données,
exploitation, maintien du chemin de révision
54
III.2. Prise en compte du système informatique
Il doit être procédé à une revue d’ensemble de l’environnement informatique:

 Management de la fonction informatique
 Procédures d’exploitation
 Procédures de maintenance
 Sécurité physique
 Sécurité logique
 Sauvegarde
 Documentation des applications et systèmes
 Procédures de back up
55
IV. Les principales étapes de l’évaluation du CI
Objectif S'assurer que les points de contrôle

(points forts théoriques) ont fonctionné
de façon permanente
Test par sondages

• Contrôles de prévention
Etendue
du test • Contrôles de détection
56
IV.1.Les contrôles de prévention
• Contrôles qui empêchent les erreurs de se produire
• Fonctionnent lors du traitement des

opérations
• Couvrent une opération individuelle
• Matérialisées par visas, signatures
• Force probante faible
57
IV.2.Les contrôles de détection
• Contrôles qui doivent permettre d’identifier et de corriger

des erreurs qui se sont produites malgré les contrôles de
prévention
• Fonctionnent après le traitement des

opérations
• Couvrent un ensemble d’opérations
• Matérialisées par des états,
rapprochements
• Force probante forte pour l’auditeur
58
IV.3.L’analyse des contrôles
L’analyse des contrôles mis en place permet d’identifier les contrôles ainsi que
les personnes chargées de les réaliser.
Elle permet d’effectuer une analyse préalable des contrôles et de définir les
contrôles à tester ou à ne pas tester.
Cette analyse est effectuée en référence aux objectifs d’audit (assertions).
Le document utilisé pour l’analyse des contrôles s’appelle FAC (Feuille

d’Analyse des Contrôles).
59
Exemple : Cycle Clients - Ventes
Objectifs de contrôle Contrôle mis en place Qui effectue le contrôle? Évaluation préliminaire
1. Exhaustivité
1.1 Comment s’assure-t-on Le bon de livraison génère GESCOM Efficace à tester
que toutes les livraisons automatiquement la facture.
ou prestations sont
facturées?
1.2 Comment s’assure-t-on Contrôle matérialisé du
que toutes les factures Chef comptable/Chef des Efficace à tester
déversement automatique des ventes
sont comptabilisées? factures en comptabilité
2. Réalité/Existence
Comment s’assure-t-on que BC interne établi par le Directeur commercial et DG Efficace à tester
toutes les livraisons ou Directeur commercial et
prestations sont réelles? approuvé par le DG
3. Évaluation
3.1 Comment s’assure-t-on Rapprochement non Magasinier/livreur Inefficace à ne pas tester
que toutes les livraisons ou matérialisé entre BC
prestations sont correctement interne/BL/Facture
évaluées?
60
Objectifs de contrôle Contrôle mis en place Qui effectue le contrôle? Évaluation préliminaire
3. Évaluation
3.2 Comment s’assure-t-on Les prix de ventes sont gérés GESCOM Efficace à ne pas tester
que toutes les factures par GESCOM et saisis par le
sont correctement Directeur commercial après
évaluées? validation du DG
4. Rattachement
Comment s’assure-t-on que Suivi des commandes reçues Directeur commercial Efficace à tester
toutes les livraisons ou non livrées et déversement
prestations sont facturées sur systématique des ventes en
la bonne période? comptabilité en fin de mois
5. Présentation et
informations données
Comment s’assure-t-on que Contrôle de conformité des Directeur Financier Efficace à tester
toutes les opérations de ventes états financiers au
et de créances sont SYSCOHADA
correctement bien présentées?
61
IV.4. La séparation des tâches : Grille de séparation des tâches

Autorisation Sécurité Exécution et Procédure
physique comptabilisation de contrôle
des actifs
Autorisation des livraisons ou prestations DG ou DC
Vérification de la solvabilité du client DC
Livraison au client Magasinier

Réception des paiements des clients Caissier Comptable
Établissement des états de rapprochement bancaires Comptable DF
Remise en banques des espèces DG Caissier Comptable

Gardes des espèces en caisse Caissier Comptable
Comptabilisation des encaissements et des ventes Comptable DF
Suivi et analyse des comptes clients Comptable DF
Déclassement et provisionnement des créances DG Comptable DF
Conclusion : La séparation des tâches est-elle satisfaisante? ----------

62
IV.5. Les tests de procédures

Tests de procédures à mettre à oeuvre Fait par : Date :
1. Sélectionner 2 factures par mois de janvier à septembre et vérifier :
- que le BC du client a fait l’objet d’autorisation de livraison par le DG;
- que le BL établi correspond à la facture ;
- que cette facture a été comptabilisée sur la bonne période.
2. Rapprocher les facturations mensuelles de janvier à septembre issues

du service commercial avec celles figurant en comptabilité. S’assurer
que le contrôle de déversement automatique des ventes a été
régulièrement effectué et matérialisé.
3. Obtenir la balance âgée et vérifier la correcte évaluation des

provisions pour dépréciations des créances douteuses.
4. Obtenir les analyses des soldes des clients et vérifier leur supervision.
63
V. Documentation de l’évaluation du contrôle interne
Dossier Permanent
 PRESENTATION GENERALE DU CYCLE

SYNTHESE
 SYNTHESE DE L'EVALUATION (points forts,
points faibles par objectif d'audit
 COPIE DES PROGRAMMES
AUTRES ELEMENTS  DIAGRAMME

 NARRATIF (le cas échéant)
 TEST DE CONFORMITE
64
V. Documentation de l’évaluation du contrôle interne
Dossier de contrôle
• Tests de permanence (ou test de contrôles)

• Synthèse
• feuilles de travail
(dans chaque section concernée)
65
VI. Finalité de l’évaluation du contrôle interne
OBJECTIF DES RECOMMANDATIONS
TECHNIQUE : Améliorer la fiabilité des comptes pour :

 le client
 l'auditeur
COMMERCIAL :  Donner une valeur ajoutée à l'audit
 Montrer notre compréhension du métier du client
 Conduire le cas échéant, le cabinet à proposer ses services

pour une étude plus approfondie du contrôle interne et / ou
l'élaboration de procédures
66
VII. Présentation des résultats de l’évaluation du CI
1. DESCRIPTION DES FAITS : Objectivité et opposabilité
2. CAUSE OU ORIGINE : interne/externe, humaine ou matérielle
3. RISQUES ENCOURUS/IMPACTS : Immédiat, probable ou avéré
4. RECOMMANDATIONS : claire, réaliste et constructive
5. COMMENTAIRES EVENTUELS DE LA SOCIETE
67
VII. Présentation des résultats de l’évaluation du CI
Exemple : Cycle Immobilisations
Il n'existe pas de procédure permettant d'identifier

Faits régulièrement les mises au rebut et la comptabilisation
systématique des sorties d’immobilisations.
Les mises au rebut ne font pas l’objet d’établissement
Cause de bordereau de mise au rebut validé par la direction et
transmis à la comptabilité.
Risque de sorties fictives et de non comptabilisation des
Risques sorties d'immobilisations :
- Incidence sur le résultat si valeur résiduelle positive
- incidence sur la taxe professionnelle dans les autres cas
Recommandations Créer un bordereau de mise au rebut qui sera soumis à

l’approbation de la direction générale et adressé à la
comptabilité.
Commentaires
de la société Recommandation mise en œuvre.
68
VIII. Utilisation des résultats de l’évaluation du CI
 La connaissance des résultats de l’évaluation du CI permet d’établir une

cartographie des risques.
 Il s’agit d’abord d’établir une liste de tous les évènements perturbateurs qui pèsent
sur l’entité dans le déroulement de ses opérations courantes : erreurs, malveillance,
accidents …
 Il s’agit ensuite de mesurer les conséquences de ces évènements en terme de

gravité et de fréquence possible, et de les hiérarchiser, c’est-à-dire de déterminer le
seuil en dessous duquel des actions de préventions et de protection seront mises
en place.
 Il s’agit enfin de qualifier les risques selon deux critères :

- la probabilité de survenance
- l’impact en cas de survenance.
69
Evaluation Notation/Cotation Restitution
1 2
3 4
Prise de
Evaluation du risque Evaluation du
connaissance de Notation du risque
intrinsèque dispositif de contrôle
l’environnement
5 6 7 8
Correcte mise en Identification des

Mise en évidence du
œuvre du dispositif éléments probants Restitutions
risque d’anomalies
décrit des contrôles
significatives résiduel
effectués
5 7
bis bis
Identification des
Couverture des contrôles
risques supplémentaires à
mettre en œuvre
70
La cartographie des risques peut se présenter comme suit :
Élevé
Risques à surveiller Risques acceptables

Actions à MT Actions immédiates
Probabilité de Moyenne
survenance
Risques acceptables Risques à surveiller

Actions à CT Actions à MT
Faible
Faible Moyen Élevé
Impact
71
IX. Prise en compte du risque informatique
Les facteurs de risques liés au SI sont aujourd’hui importants, en raison notamment :

• du nombre croissant de processus opérationnels et comptables automatisés ;
• de l’environnement informatique de plus en plus complexe intégrant de
nombreuses fonctionnalités ayant un impact direct sur les états financiers ou sur
les processus opérationnels;
• l’utilisation massive des outils informatiques et des communications électroniques
(bureautique, emails, archivage, et sauvegarde des données, etc.) ;
• des flux d’informations dématérialisés avec le développement de systèmes EDI
(Échanges de Données Informatisés) ;
• l’utilisation massive des réseaux étendus dans le cadre des connexions avec les
autres sites, de l’Internet pour l’accès à certains services partenaires telles que les
plateformes de transfert d’argent, ou encore de réseaux privés virtuels à travers
divers opérateurs dans le but d’interconnecter agences, et sites domestiques ;
• la valeur de l’information croissante (base clients, secrets bancaires, anticipation
d’événements conduisant aux délits d’initiés, etc.).
72
L’auditeur doit prendre en compte l’évaluation du SI dans sa démarche d’audit:
Divulgation de
données critiques Inadéquation du SI aux
Indisponibilité des SI besoins « métiers »
supportant l’activité
Exécution de
Inadéquation des compétences nos différentes Couverture des
du personnel informatique démarches impacts financiers
interne dans le cadre liés au risque SI
du CAC
Dépendance de l’activité vis à vis
de la sous-traitance informatique
Absence de fiabilité des systèmes Dysfonctionnements du

informatiques SI suites aux évolutions
73
L’auditeur peut mettre en œuvre la démarche suivante :
1 2 3 4 5
Test des contrôles Test des contrôles

Compréhension des Prise de connaissance des applicatifs en termes de applicatifs (semi-
Identification et principales étapes des contrôles manuels,
conception dans le but automatiques) en terme
évaluation des processus “Métier” automatiques et semi
de s’assurer qu’ils sont d’efficacité, afin s’assurer de
principaux risques jugés haut risque suite à automatiques permettant de
limiter les risques inhérents bien conçus et mis en la correcte mise en œuvre et
inhérents l’analyse préalable aux processus étudiés œuvre de manière à de l’application des
couvrir le risque contrôles
74

Chap-3 Evaluation Du Controle Interne

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chap-3 Evaluation Du Controle Interne

Transféré par

Droits d'auteur :

Formats disponibles

METHODOLOGIE DE L’AUDIT COMPTABLE ET

Thème 3 : EVALUATION DU CONTRÔLE

« Le système de contrôle interne est l’ensemble des politiques et

ISA 315 - IFAC

« Le contrôle interne est l’ensemble des sécurités qui contribuent

« Le contrôle interne est constitué par l’ensemble des mesures de

 Premier degré : contrôles intrinsèques des opérations

 Second degré : contrôles du management

 Niveau 2 : Audit interne

 Auditeurs externes (Commissaires aux comptes)

 Le COSO II (Intregrated Framework ) a été publié en 2004 pour renforcer les

 Le principe d’organisation est la recherche d’une systématisation se traduisant

 Le principe d’harmonie est la prise en compte, à l’échelle de l’entreprise, de ses

 Le principe d’universalité est la couverture par le contrôle interne de tous les

 Le principe d’intégration est l’incorporation aux procédures de mécanismes

 Les contrôles sur le personnel sont à base de processus d’autorisations

 Le respect de la règle de séparation des fonctions incompatibles entre elles est

 Les fonctions incompatibles sont les suivantes :

 la détention et la conservation matérielle des valeurs et des biens,

 l’enregistrement comptable des opérations dans les livres de la société,

 le contrôle des opérations ou des enregistrements.

Le contrôle interne se présente, en pratique, comme un

 la coordination des différentes personnes qualifiées,

 la conception et le fonctionnement du système d’information.

« Enterprise risk management is a process, effected by an entity’s board of directors,

COSO ERM 2017

 Le contrôle interne est la finalité de l’audit interne.

 Cette reconnaissance et son développement concomitant sont dus à la conjonction

 l’impérieuse nécessité, dans un monde complexe, de maîtriser les opérations et

les risques qu’il génère en donnant aux managers conseils et recommandations

 l’avènement de responsables soucieux de donner à ce mouvement efficace et

cohérence en développant outils et méthodes rationnels et logiques ;

 La mise en place d’une organisation professionnelle au niveau mondial (I.I.A).

 Effectiveness and efficiency of operations

 Reliability of financial reporting

 Compliance with applicable laws and regulations. »

« Le contrôle interne est un processus m is en œuvre par le conseil, le m anagem ent et

Comme toute construction nécessite une fondation solide, l’environnement de contrôle

L’environnement de contrôle reflète l’ensemble des attitudes, précautions et actions de la

L’histoire et la culture d’une organisation joue un rôle important dans la formation de

Les facteurs déterminants d’un bon environnement de

 Evaluation des risques

 Evaluation des risques

Plusieurs organisations ont découvert que le meilleur moment d’évaluer leurs

Le COSO – Internal control framework, décrit l’évaluation du risque en 3 étapes

 Evaluation des risques

Dans le processus de management des risques présenté dans l’ISO

 Identification du risque : rechercher, reconnaître et décrire les risques

 Analyse du risque : comprendre la nature du risque et ses

 Evaluation des risques

 Evaluation le risque : comparer les résultats de l’analyse du

La séparation des tâches est généralement à prendre en considération dès la

Dans le cadre de ses responsabilités en matière de contrôle interne et afin de

La communication est le processus continu et itératif par lequel l’information

La communication externe revêt un double aspect : elle permet de recevoir en

L’organisation procède à des évaluations continues ou ponctuelles, ou à une

Les évaluations ponctuelles, réalisées périodiquement, varient généralement en termes

 Au Royaume Uni, il y a eu « The Tumbull Guidance (du nom du député

Art 117 LSF

Norme obligatoire d’audit – ISA 315

 prend connaissance des systèmes pour planifier sa mission et concevoir

pour évaluer le risque d’audit et définir

Incidence de l'évaluation du contrôle interne