Académique Documents
Professionnel Documents
Culture Documents
FINANCIER
2
I. Définition du contrôle interne (1/4)
3
I. Définition du contrôle interne (2/4)
OEC - FRANCE
4
I. Définition du contrôle interne (3/4)
CNCC - FRANCE
5
I. Définition du contrôle interne (4/4)
Extrait de la norme CNCC et IFAC
Commentaires
Le contrôle interne est plus préventif que répressif ("contrôle" dans le sens de
"maîtrise"),
Le contrôle interne est un ensemble de moyens mis en place dans une entreprise
et faisant partie intégrante de son organisation,
La direction de l'entreprise est responsable de la définition, de la mise en œuvre et
de la supervision de ces moyens pour atteindre un certain nombre d'objectifs.
Couverture
Le dispositif de contrôle interne couvre un domaine plus large que le contrôle interne
relatif à l'élaboration et au traitement de l'information comptable et financière.
Limites
Le contrôle interne est un processus, mis en œuvre par des personnes, dont on ne
peut attendre qu’une assurance raisonnable et non une assurance absolue
6
II. Les trois (3) niveaux de contrôle (1/2)
Extrait de la norme CNCC et IFAC
Niveau 1 : Management opérationnel ou gestion opérationnelle
7
II. Les trois (3) niveaux de contrôle (2/2)
Extrait de la norme CNCC et IFAC
Niveau 3 : Contrôles externes
Actionnaires
- approbation des comptes annuels
- nomination des administrateurs et des auditeurs
8
III. Le dispositif du contrôle interne (selon le COSO)
Extrait de la norme CNCC et IFAC
Le COSO a été crée en 1985 aux USA et a développé en 1992 un modèle
pour l’évaluation et le développement des systèmes de CI. Ce modèle connu
sous le nom de « COSO Internal Control Framework » ou Pyramide du COSO
I » donne l’ossature d’un bon dispositif de CI à travers ses objectifs et ses
composantes.
9
IV. Objectifs du contrôle interne
Les objectifs de contrôle interne, qui sont au coeur des notions de pilotage, de
maîtrise et de contrôle du dispositif, sont les suivants :
la pertinence des politiques menées et des objectifs impartis (politique adaptée
aux buts et aux moyens de l’entité),
la notion d’efficacité (respect des politiques, plans, procédures, lois, règlements),
la notion d’économie (ressources nécessaires obtenues au moindre coût),
la notion de sécurité (protection du patrimoine et des ressources nécessaires),
la notion d’efficience (qualité des ressources utilisées et absence de gaspillage),
la notion de la fiabilité de l’information financière (états financiers, budgets, ...),
la notion de conformité aux lois et règlements (respect des lois et règlement en
vigueur : OHADA, statuts, lois et décrets.
10
V. Règles de base du contrôle interne
11
V. Règles de base du contrôle interne
12
VI. Éléments du contrôle interne
différentes fonctions,
la répartition des rôles entre les différentes personnes
qualifiées et motivées,
la définition des objectifs, des moyens et des responsabilités,
la supervision,
13
VII. Les 5 composantes du contrôle interne
Le premier focus du COSO, portait sur les causes des problèmes de contrôle interne qui ont
contribué aux erreurs des reporting financiers.
Après son premier rapport en 1987 qui demandait au Management d’établir un rapport sur
l’efficacité de son Système de contrôle interne, en 1992, le COSO a publié le COSO Report :
Internal Control-Integrated Framework. L’édition française du COSO Report est parue en 1994
sous le titre La nouvelle pratique du contrôle interne .
Ce premier guide a été très largement accepté et utilisé dans le monde entier. Il est reconnu
comme un référentiel faisant autorité pour la conception, la mise en place et le pilotage du
contrôle interne, ainsi que pour l’évaluation de son efficacité.
Son succès ne s’est pas démenti depuis lors, et s’est trouvé confirmé avec le déploiement du
contrôle interne dans des environnements très divers. En effet, dans des contextes de recherche
de productivité et de réduction des coûts, incitant à l’allégement des structures administratives,
l’adéquation et l’efficacité des dispositifs de contrôle apparaissent comme un facteur
fondamental du renforcement de la gouvernance et de la robustesse de toute organisation.
14
VII. Les 5 composantes du contrôle interne
• En 2004, après une longue période de développement de son référentiel sur le Contrôle
Interne, le COSO a publié un nouveau référentiel, le COSO ERM (Enterprise Risk
Management), pour couvrir le management des risques et les risques stratégiques.
L’ERM définit le Contrôle interne comme une part intégrale du Management des risques
Objectifs Découpage
◦ Objectifs stratégiques fonctionnel
◦ Objectifs opérationnels ◦ Filiale
◦ Objectifs de reporting ◦ Business unit
◦ Objectifs de conformité (centre de
responsabilité)
Eléments du dispositif ◦ Division
◦ Environnement interne ◦ Divers niveaux
◦ Fixation des objectifs fonctionnels
◦ Identification des de l’entité
événements
◦ Evaluation des risques
◦ Traitement des risques
◦ Activités de contrôle
◦ Information et
communication
◦ Pilotage
16
VII. Les composantes du contrôle interne
Au cours des vingt années qui ont suivi la diffusion du COSO I, l’environnement économique et
opérationnel des organisations a considérablement évolué. Il est devenu de plus en plus
complexe, tiré par les nouvelles technologies et mondialisé.
Simultanément, les parties prenantes s’impliquent de plus en plus et recherchent davantage de
transparence et de devoir de rendre compte quant à l’intégrité des système de contrôle interne
sur lesquels reposent les décisions opérationnelles et la gouvernance de l’organisation.
C’est dans ce contexte que le COSO publie en 2013, une mise à jour de son référentiel de 1992,
le COSO 2013. Ce référentiel reprend les éléments essentiels du référentiel COSO de 1992, en
particulier la définition, les cinq composantes, et les critères d’évaluation. Il n’élargit donc pas, le
périmètre du contrôle interne aux objectif stratégiques, à l’appétence pour le risque ou autres
sujets du ressort de l’Enterprise Risk Management. Le COSO 2013 décline 17 principes
essentiels liés aux cinq composantes du contrôle interne.
En 2017, la COSO a mis à jour son référentiel ERM, « le management des risques de
l’entreprise — Une démarche intégrée à la stratégie et à la performance », pour
répondre aux exigences d’un environnement économique mouvant.
17
VII. Les composantes du contrôle interne
18
VII. Les composantes du contrôle interne
19
VII. Les composantes du contrôle interne
de trois facteurs :
pour y parvenir ;
20
VII. Les composantes du contrôle interne
Le terme Contrôle Interne a été dans le vocabulaire des affaires depuis plusieurs années, mais sa
définition n’était pas historiquement précise. Le COSO I, a développé une définition ou une
description presque universellement admis aujourd’hui : « Internal control is a process,
affected by an entity’s board of directors, management, and other personnel,
designed to provide reasonable assurance regarding the achievement of objectives
in the following categories:
Entités ou
activités
22
VII. Les composantes du contrôle interne
Environnement de contrôle
Les instructions du Management constituent un message fort pour les employés, les
clients, et les autres parties prenantes. Ce type de message est connu sous l’expression
de « Tone at the top ». D’où l’importance de la réputation.
23
VII. Les composantes du contrôle interne
Environnement de contrôle
24
VII. Les composantes du contrôle interne
La capacité d’une organisation a atteindre ses objectifs peut être influencée par
une diversité de facteurs internes ou externes. Un risque est défini comme la
possibilité qu’un événement survienne et ait un impact défavorable sur la
réalisation des objectifs. L’évaluation des risques implique un processus
dynamique et itératif d’identification et d’analyse des risques susceptibles
d’affecter la réalisation des objectifs. Ces risques sont envisagés au regard des
seuils de tolérance au risque. Pour pouvoir procéder à l’évaluation, il est donc
nécessaire d’avoir préalablement défini des objectifs cohérents aux différents
niveaux de l’entité. Le management spécifie des objectifs liés aux opérations, au
reporting et à la conformité avec suffisamment de clarté pour pouvoir identifier et
analyser les risques susceptibles d’affecter la réalisation de ces objectifs.
25
VII. Les composantes du contrôle interne
26
VII. Les composantes du contrôle interne
27
VII. Les composantes du contrôle interne
28
VII. Les composantes du contrôle interne
Activités de contrôles
Les activités de contrôle désignent les actions définies par les règles et
procédures qui visent à apporter l’assurance raisonnable que les instructions
du management pour maîtriser les risques susceptibles d’affecter la réalisation
des objectifs sont mises en œuvre.
Les activités de contrôle sont réalisées à tous les niveaux de l’entité et à divers
stades des processus métier. Elles peuvent également être mises en œuvre
par l’intermédiaire des systèmes d’information. Il peut s’agir de contrôles
préventifs ou détectifs, incluant diverses activités manuelles et automatisées,
comme des autorisations et des approbations, des vérifications, des
rapprochements et des revues de performance opérationnelle.
29
VII. Les composantes du contrôle interne
Activités de contrôles
30
VII. Les composantes du contrôle interne
Information et communication
Information et communication
32
VII. Les composantes du contrôle interne
Pilotage
Les évaluations continues, qui sont intégrées dans les processus métier à tous les
niveaux de l’entité, permettent de disposer l’informations en temps voulu.
Les constats sont établis selon les critères définis par les régulateurs, les organismes de
normalisation reconnus, le management et le conseil. Le cas échéant, les déficiences
sont communiquées au management et au conseil.
33
VII. Les composantes du contrôle interne
La roue de Deming
34
VIII. Les limites du contrôle interne
Au titre des limites naturelles du contrôle interne, citons les plus classiques :
le coût d’un contrôle interne (qui ne doit pas excéder les avantages
escomptés du dispositif),
la plupart des opérations internes de vérification portent sur des
opérations répétitives et non sur des opérations non récurrentes,
peu habituelles et non familières,
la possibilité d’erreur humaine (négligence, distraction, erreurs de
jugement, mauvaise compréhension des instructions),
les collusions internes ou externes à l’entité, mettant en échec le
dispositif et pouvant entraîner des fraudes
l’abus éventuel par une personne de ses prérogatives pour ne pas se
soumettre au dispositif,
l’inadaptation des procédures à la situation,
la non-application des procédures.
35
IX. Les nouvelles implications du contrôle interne
Aux lendemains des scandales financiers (« Affaire ENRON ») qui ont ébranlé
la confiance des investisseurs et sérieusement terni le blason du capitalisme
américain (été 2002), les Etats-Unis ont mis en place des dispositifs visant à
mettre en évidence les principaux risques liés à la gestion des entreprises ainsi
qu’à leur contrôle.
Parmi les dispositifs mis en place figure la « Sarbanes-Oxley Act » (du nom des
deux sénateurs initiateurs de la loi) qui exige une évaluation du système de
contrôle interne de l’entreprise (toutes les sociétés cotées), sa diffusion par les
organes dirigeants et le contrôle de cette évaluation par les auditeurs externes.
36
IX. Les nouvelles implication du contrôle interne
Loi de sécurité financière et loi Sarbanes Oxley
En France, la nouvelle Loi sur la Sécurité Financière (LSF - Août 2003) impose
2 nouveaux rapports relatifs au contrôle interne. Elle constitue une réponse
législative à la question de l’évolution du contrôle légal des comptes et de la
transparence dans les entreprises.
Président Conseil d’Adm
CAC ou Conseil de Surv
Rapport général +
Rapport de gestion +
Rapport présentant
nos observations Rapport sur
sur le rapport du l’organisation des
CA ou du CS travaux du conseil ET
sur les procédures de
contrôle interne, et le
cas échéant,
limitations apportées
aux pouvoirs des DG
Art 120 LSF
38
I. Importance de l’évaluation du contrôle interne pour l’auditeur
L’auditeur :
39
I. Importance de l’évaluation du contrôle interne pour l’auditeur
− Contrôle interne
+ Fiable
Insuffisant
+ −
ETENDU CONTROLE DES COMPTES ALLEGE
40
II. Démarche d’analyse du contrôle interne
TESTS DE CONFORMITE
(compréhension du système)
Évaluation de la conception du
Forces Faiblesses
système
TESTS DE PERMANENCE
(application des points forts)
FORCES FAIBLESSES
EVALUATION DEFINITIVE DU
CONTROLE INTERNE
Avantages :
Description claire et ordonnée (plus immédiatement compréhensible que celle qu’on obtient
par entretien),
Lecture tranquille sans gestion parallèle du problème relationnel,
Montre les grandes lignes, les principales phases, les principaux intervenants,
Facilite (ou comporte déjà) une représentation sous forme de diagramme.
Risques :
Description pas nécessairement mise à jour des dernières modifications,
Pas d’assurance que la procédure décrite est effectivement appliquée.
Conclusions :
A utiliser pour comprendre les grandes lignes et pour faciliter les entretiens avec les
opérationnels, entretiens dont la nécessité reste entière.
N’est envisageable que si les procédures ont été formalisées.
42
II.1. Prise de connaissance de la procédure
43
II.1. Prise de connaissance de la procédure
Orienter le débat
Poser des questions, demander des explications : il est naturel de ne pas tout
comprendre du premier coup.
Garder à l’esprit la finalité de la revue de procédure (respect des objectifs d’audit, points
forts, points faibles …).
Éviter de prononcer des appréciations (ou de les laisser transparaître) ou de donner des
conseils pendant l’interview (c’est prématuré et cela peut orienter les propos de l’intéressé)
Suivre l’ordre de déroulement de la procédure, mais sans excès, qui nuirait à la spontanéité
de l’exposé des faits.
Préparer dès la prise de notes un futur classement rationnel des documents de travail
(penser à noter les nom et fonction de vos interlocuteurs ….).
44
II.1. Prise de connaissance de la procédure
Opérer le classement et la mise à jour des notes d’entretien sur le terrain, dans
toute la mesure du possible, immédiatement après une interview.
45
II.2. Mode de représentation des procédures
Description
narrative
Ordinogramme
Appel téléphonique
Brouillon de cde
Cde > 50 KF ?
Demande OK ?
non oui
46
II.2. Mode de représentation des procédures
A ) Description narrative
47
II.2. Mode de représentation des procédures
Contrôles réalisés
Action
48
II.2. Mode de représentation des procédures
C) Algorithme
C’est une représentation ordonnée d’un processus mettant en évidence les différents
embranchements logiques de la résolution d’un problème.
appel téléphonique
brouillon de commande
commande > 50 Ke ?
oui non
OK ?
non oui
50
III.1. Approche par cycle
1er temps
Identification des cycles significatifs
2ème temps
Décomposition des cycles par fonction
51
III.1. Approche par cycle
Ventes - clients
Achats - fournisseurs
Personnel - paie
Production - stocks
Immobilisations
Trésorerie
52
III.1. Approche par cycle
demande d'achat
commande
réception
comptabilisation
décaissement
53
III.2. Prise en compte du système informatique
54
III.2. Prise en compte du système informatique
55
IV. Les principales étapes de l’évaluation du CI
56
IV.1.Les contrôles de prévention
57
IV.2.Les contrôles de détection
58
IV.3.L’analyse des contrôles
L’analyse des contrôles mis en place permet d’identifier les contrôles ainsi que
les personnes chargées de les réaliser.
Elle permet d’effectuer une analyse préalable des contrôles et de définir les
contrôles à tester ou à ne pas tester.
59
IV.3.L’analyse des contrôles
Objectifs de contrôle Contrôle mis en place Qui effectue le contrôle? Évaluation préliminaire
1. Exhaustivité
1.1 Comment s’assure-t-on Le bon de livraison génère GESCOM Efficace à tester
que toutes les livraisons automatiquement la facture.
ou prestations sont
facturées?
1.2 Comment s’assure-t-on Contrôle matérialisé du
que toutes les factures Chef comptable/Chef des Efficace à tester
déversement automatique des ventes
sont comptabilisées? factures en comptabilité
2. Réalité/Existence
Comment s’assure-t-on que BC interne établi par le Directeur commercial et DG Efficace à tester
toutes les livraisons ou Directeur commercial et
prestations sont réelles? approuvé par le DG
3. Évaluation
3.1 Comment s’assure-t-on Rapprochement non Magasinier/livreur Inefficace à ne pas tester
que toutes les livraisons ou matérialisé entre BC
prestations sont correctement interne/BL/Facture
évaluées?
60
IV.3.L’analyse des contrôles
Objectifs de contrôle Contrôle mis en place Qui effectue le contrôle? Évaluation préliminaire
3. Évaluation
3.2 Comment s’assure-t-on Les prix de ventes sont gérés GESCOM Efficace à ne pas tester
que toutes les factures par GESCOM et saisis par le
sont correctement Directeur commercial après
évaluées? validation du DG
4. Rattachement
Comment s’assure-t-on que Suivi des commandes reçues Directeur commercial Efficace à tester
toutes les livraisons ou non livrées et déversement
prestations sont facturées sur systématique des ventes en
la bonne période? comptabilité en fin de mois
5. Présentation et
informations données
Comment s’assure-t-on que Contrôle de conformité des Directeur Financier Efficace à tester
toutes les opérations de ventes états financiers au
et de créances sont SYSCOHADA
correctement bien présentées?
61
IV.4. La séparation des tâches : Grille de séparation des tâches
4. Obtenir les analyses des soldes des clients et vérifier leur supervision.
63
V. Documentation de l’évaluation du contrôle interne
Dossier Permanent
64
V. Documentation de l’évaluation du contrôle interne
Dossier de contrôle
65
VI. Finalité de l’évaluation du contrôle interne
66
VII. Présentation des résultats de l’évaluation du CI
67
VII. Présentation des résultats de l’évaluation du CI
68
VIII. Utilisation des résultats de l’évaluation du CI
Il s’agit d’abord d’établir une liste de tous les évènements perturbateurs qui pèsent
sur l’entité dans le déroulement de ses opérations courantes : erreurs, malveillance,
accidents …
69
VIII. Utilisation des résultats de l’évaluation du CI
1 2
3 4
Prise de
Evaluation du risque Evaluation du
connaissance de Notation du risque
intrinsèque dispositif de contrôle
l’environnement
5 6 7 8
5 7
bis bis
Identification des
Couverture des contrôles
risques supplémentaires à
mettre en œuvre
70
VIII. Utilisation des résultats de l’évaluation du CI
Élevé
Faible
Impact
71
IX. Prise en compte du risque informatique
Divulgation de
données critiques Inadéquation du SI aux
Indisponibilité des SI besoins « métiers »
supportant l’activité
Exécution de
Inadéquation des compétences nos différentes Couverture des
du personnel informatique démarches impacts financiers
interne dans le cadre liés au risque SI
du CAC
Dépendance de l’activité vis à vis
de la sous-traitance informatique
73
IX. Prise en compte du risque informatique
1 2 3 4 5
74