AUDIT COMPTABLE ET FINANCIER

Pr. A. F-
F- A. Rahmouni
Semestre 8 - ACG
Année universitaire : 2022/2023

CHAPITRE 3 : LE CONTRÔLE
INTERNE

1
 Compétence attendue
■ Faire le lien entre les principes du contrôle interne et l’organisation
d’une entité
■ Savoir situer l’appréciation du contrôle interne dans la démarche
d’audit.

Introduction
■ Le contrôle interne est un système d’organisation mis en place par
une entité pour qu’elle puisse acheter, produire, vendre, administrer...,
pour atteindre les objectifs fixés par les dirigeants, tout en évitant les
gaspillages, les fraudes et les erreurs

2
 Introduction
■ L’auditeur qui a pour but la certification des comptes s’intéresse de très près
au contrôle interne de l’entité

■ Si le contrôle interne est fiable et efficient, il y a une forte présomption que

les informations comptables et financières traduisent fidèlement la réalité
économique vécue par l’entreprise.

Introduction
■ L’auditeur qui a pour but la certification des comptes ne s’intéresse
pas à tous les aspects du contrôle interne mis en place par l’entité : il
ne s’intéresse qu’aux seules procédures ayant un lien avec les
comptes annuels et les informations financières diffusées par l’entité.

■ Le présent chapitre présente le contrôle interne et son appréciation

par l’auditeur dans le cadre de sa certification des comptes

3
 1. Définitions

1.1. Contrôle interne d’une façon générale

■ Le Contrôle Interne est un processus mis en œuvre par le Conseil

d’Administration, les dirigeants et le personnel d’une organisation,
destiné à fournir une assurance raisonnable quant à la réalisation des
objectifs suivants :

• la réalisation et l’optimisation des opérations,

• la fiabilité des informations financières,

• la conformité aux lois et aux réglementations en vigueur.

4
1.1. Contrôle interne d’une façon générale

■ Ainsi le Contrôle Interne n’offre pas de garantie absolue car il ne permet pas de

réaliser complètement les objectifs fixés par les responsables d’une

organisation, mais fournit uniquement « une assurance raisonnable » quant à

l’atteinte de ces objectifs

■ En ce sens, nous pouvons ajouter que le Contrôle Interne ne rend pas la fraude

impossible, ce n’est qu’un moyen préventif de la limiter au maximum ou de la

découvrir aussitôt que possible.

1.2. Contrôle interne auquel l’auditeur s’intéresse

■ Pour l’auditeur comptable, le contrôle interne est un système

d’organisation qui comprend :

– les procédures de traitement de l’information comptable d’une entité

– les procédures de vérification du bon traitement de cette information

comptable.

■ Par « information comptable », on entend ici toutes les opérations ayant

un lien avec l’établissement des comptes annuels et la diffusion
d’informations financières liées à la comptabilité.
10

5
 1.2. Contrôle interne auquel l’auditeur s’intéresse

■ La partie du contrôle interne auquel l’auditeur s’intéresse est celle liée :

–à la sauvegarde du patrimoine (éviter les erreurs et les fraudes),

– au respect des lois et des textes en vigueur,

– à l’établissement et à la diffusion d’informations financières fidèles.

11

1.3. Contrôles intégrés au système de contrôle interne

■ Il s’agit du contrôle prévention et du contrôle détection
Contrôle prévention
Définition/description Exemples
Objectif : empêcher une - lors de la saisie, le système d’information est programmé pour
erreur signaler un traitement comptable qui sort de l’ordinaire : la
Il se base sur des procédures référence d’un article facturé est incomplète, ou bien la référence
programmées, à savoir des alphanumérique indiquée ne correspond à rien, ou encore un
procédures électroniques, compte a été débité alors qu’il est usuellement crédité.
automatiques et - lors de l’entrée d’informations, le système d’information les croise
systématiques de vérification systématiquement avec les diverses informations qu’il a à sa
des traitements, intégrées à disposition : il vérifie l’existence d’une référence, il vérifie le taux
ces traitements. Les de TVA en fonction de la nature du produit, il compare un code
procédures programmées client avec l’adresse qui lui est indiquée pour le lieu de livraison, il
permettent d’éviter le plus refuse une expédition pour un client qui n’a pas encore réglé des
grand nombre possible factures anciennes
d’anomalies prévisibles
12

6
 1.2. Contrôles intégrés au système de contrôle interne

Définition/description
Objectif : détecter une erreur
produite.
Pour ce faire, le système
d’information lancera une
alerte
Contrôle de détection
Exemples
– soldes fournisseurs débiteurs et soldes clients créditeurs ;
– commandes anciennes non soldées ;
– écarts budgétaires sur achats et sur investissements ;
– salaire versé à un employé qui n’est pas référencé dans un fichier
maître
– facture enregistrée sur ventes à crédit, sans inscrire le moyen de
paiement

13

2. Le COSO (Committee
( of Sponsoring
Organizations)

7
2.1. Les publications du COSO

■ 1985 à 1987 : Constitution de la National Commission on Fraudulent

Financial Reporting (États-Unis), plus connue sous le nom de son
président (James Treadway)

■ Composée de représentants de grandes entreprises, de cabinets d’audit

et de membres de l’IIA

■ Objectifs : identifier les facteurs se trouvant à l’origine de la présentation

de fausses informations financières, et d’émettre des recommandations
visant à en limiter l’incidence.

15

2.1. Les publications du COSO

■ Les travaux de la commission Treadway ont ensuite été repris et

développés par le Committee of Sponsoring Organizations (COSO) of the
Treadway Commission, puis publiés aux États-Unis en 1992 sous le nom
de Internal control integrated framework.
framework

■ Les recommandations du COSO portent toutes sur le contrôle interne et

la gestion des risques

■ Succès immédiat et planétaire

16

8
2.1. Les publications du COSO

■ Juin 2006, le COSO avait publié des lignes directrices pour le contrôle
interne des petites sociétés (« Internal Control over Financial Reporting –
Guidance for Smaller Public Companies »)

■ En 2009, le COSO a publié ses Directives pour le contrôle des systèmes

de contrôle interne (Guidance on Monitoring Internal Control Systems) qui
fournit des explications détaillées et donne des exemples.

17

2.1. Les publications du COSO

■ En mai 2013, le COSO a publié la version actualisée du Référentiel de

contrôle interne (COSO – Internal Control – Integrated Framework),
rédigé, ainsi que ses documents connexes, par PwC
(PricewaterhouseCoopers), sous la direction du conseil d’administration
du COSO. Ce référentiel a pour objectif d’aider les organisations à faire
évoluer leur dispositif de contrôle interne et de gestion des risques dans
un environnement toujours plus complexe.

18

9
 2.2. Efficacité du contrôle interne

■ Pour le COSO, elle est appréciée à partir de 5 éléments interdépendants :

1. Environnement de contrôle (control environment)
2. Évaluation des risques (risk assessment)
3. Activités de contrôle (control activities)
4. Information et communications (information and communications)
5. Pilotage (monitoring)

19

2.2. Efficacité du contrôle interne

Environnement de contrôle

■ Constitue la base de la construction du Contrôle Interne COSO.

■ Elle est lié à la sensibilisation des dirigeants et du personnel au besoin de contrôle

■ Elle implique une éthique et une politique générale sensibilisée au contrôle

■ L’éthique se diffuse grâce à un conseil d’administration et un management conscients

de la nécessité de montrer l’exemple (intégrité) et de déployer une culture de
l’entreprise valorisant le besoin de contrôle auprès du personnel

■ Une politique s’appuie sur des normes et procédures appropriées, sur un code de
conduite valorisant l’adhésion aux valeurs de l’organisation, sur une conception des
systèmes et une exploitation quotidienne adaptées à l’organisation et sécurisées, et sur
des valeurs humaines 20

10
2.2. Efficacité du contrôle interne
Évaluation des risques

■ L’évaluation des risques réside dans la détection et l’analyse des facteurs susceptibles
de perturber la réalisation des objectifs. C’est un processus continu et répétitif.

■ Les risques couverts peuvent être internes ou externes.

■ La finalité est d’aboutir à une gestion des risques. Cette gestion présuppose la
classification en deux grandes catégories : le risque non acceptable et le risque
acceptable et résiduel.

■ L’étape préliminaire et obligatoire à l’évaluation des risques est la définition des

objectifs.

21

2.2. Efficacité du contrôle interne

Évaluation des risques
■ L’évaluation des risques nécessite de déterminer :
- la probabilité de survenance de chaque risque identifié,
- et sa gravité.
■ L’entité peut ainsi construire une cartographie des risques pour définir les risques
qu’elle considère comme acceptables et ceux pour lesquels des améliorations rapides
doivent être mises en œuvre.
■ À contrôler par l’auditeur :
– les mécanismes pour identifier, anticiper et réagir aux changements et aux risques ;
– les réseaux de communication ;
– la présence d’un risk manager et d’un responsable process quality.

22

11
2.2. Efficacité du contrôle interne

Activités de contrôle

■ Les activités de contrôle sont le contrôle de la mise en application des

normes et des procédures définies par la direction et le management
dans la dynamique de la maîtrise des risques.

■ On peut décliner les activités de contrôle en plusieurs catégories :

• contrôle détectif / contrôle préventif,

• contrôle informatique / contrôle manuel,

• contrôle hiérarchique / contrôle opérationnel..

23

2.2. Efficacité du contrôle interne

Information et communication

■ L’information doit être pertinente, précise, exacte, en temps voulu et

diffusée au bon destinataire. Sa circulation doit être multidirectionnelle
(descendante, ascendante et transversale), et intégrer les informations
externes.

■ La communication est l’outil indispensable pour la transmission de

l’information – notamment les directives de la Direction Générale – et
ses caractéristiques essentielles sont l’efficacité et la clarté.

24

12
2.2. Efficacité du contrôle interne

Pilotage

■ Le système de pilotage permet de valider que le Contrôle Interne est

efficace. Il doit intégrer le traitement des faiblesses de Contrôle Interne
détectées dans le but de renforcer l’atteinte des objectifs.

■ Ce système permet au management d’assumer son rôle de maître

d’œuvre du dispositif de Contrôle Interne..

25

3. Les principes fondamentaux du

contrôle interne

26

13
■ Le contrôle interne repose sur des principes. De ces principes découlent
ensuite, un certain nombre de techniques
■ Les principes et les techniques du contrôle interne sont nombreux
■ Toute entreprise correctement gérée dispose obligatoirement d’un
système de contrôle interne même si elle ne le connaît pas sous ce nom
■ Exemple : confier la comptabilisation des encaissements de chèques à
un premier employé et confier le rapprochement bancaire à un deuxième
employé, est une technique de contrôle interne qui existe depuis des
dizaines d’années, bien avant que les expressions contrôle interne ou
séparation des fonctions aient été inventées
27

3.1. Principe d’organisation

■ Une entreprise doit être organisée rationnellement.

■ Ses structures doivent être décrites dans un organigramme, ses

procédures doivent être écrites et rassemblées dans un manuel.

■ Les procédures doivent être formalisées.

28

14
3.1. Principe d’organisation
■ Exemple : Un système comptable doit permettre de justifier le contenu
des comptes en donnant la possibilité de remonter à la pièce comptable
à l’origine de chaque transaction ; inversement, le système doit
également permettre de lier une pièce comptable à un chiffre des
comptes. Cette propriété implique l’existence d’une piste d’audit,
autrefois appelée chemin de révision, qu’il doit être possible de suivre
quel que soit le degré d’informatisation de la comptabilité et la
complexité des traitements dématérialisés. L’existence d’une piste
d’audit est indissociable du principe de contrôle interne d’organisation

29

3.2. Principe séparation des fonctions

■ Dans les grandes entreprises, il est alors nécessaire de séparer les trois
fonctions fondamentales suivantes et de les attribuer à trois personnes
différentes afin qu’elles puissent se contrôler mutuellement :
- fonction de décision
- fonction de détention de valeurs monétaires (avoir le droit de signer des
chèques ou des virements, de manipuler des espèces ou des chèques reçus
de clients)
– fonction de comptabilisation (avoir accès au logiciel de comptabilité).

30

15
3.2. Principe séparation des fonctions
■ Exemple : Exemple de faiblesse : imaginons que le trésorier ait accès au
logiciel de comptabilité. Il comptabilise d’abord une charge puis paie la
dette fictive avec un virement dont il est lui-même le bénéficiaire direct ou
indirect (par exemple via le compte bancaire d’un membre de sa famille).
■ Certes, le comptable peut déceler le vol en vérifiant les justificatifs de
charges, mais il est nettement plus simple d’empêcher ce type de vol en
interdisant au trésorier l’accès au logiciel de comptabilité.
■ La séparation des tâches permet des contrôles réciproques et des
recoupements.

31

3.2. Principe séparation des fonctions

■ 1) Le contrôle réciproque est, dans son acception la plus simple, le travail
qui en prolonge un autre tout en permettant de contrôler ce dernier
■ Exemple : le suivi des comptes clients est effectué par une personne
autre que celle chargée d’encaisser les chèques ; dans le cas contraire,
l’employé qui aurait volé le chèque adressé par un client s’abstiendrait
de relancer ce client dont le compte indique qu’il n’a pas payé
■ 2) Le recoupement consiste à justifier une information à partir de
sources différentes.
■ Exemple : une facture émanant d’un fournisseur d’immobilisation est
comparée avec le bon de commande et avec le budget des
investissements avant d’être approuvée puis enregistrée.

32

16
 3.3. Principe d’universalité
■ Le contrôle interne concerne toutes les personnes dans l’entreprise, à
toute époque et en tout lieu : il n’y a pas de personnes privilégiées, pas
de moment où les procédures ne sont plus appliquées (durant les congés
d’été par exemple), pas d’usine où les procédures ne sont pas
appliquées.

33

3.4. Autres principes

■ Principe de vigilance : Il existe un dispositif de gestion des risques visant à recenser,
analyser et traiter les principaux risques identifiés au regard des objectifs et de l’activité
de l’entité.

■ Principe de bonne information : L’information doit être pertinente (adaptée à son objet
et à son utilisation), objective (non déformée) et vérifiable.

■ Principe de qualité du personnel : Tout système de contrôle interne est, sans un

personnel de qualité, voué à l’échec. La qualité du personnel comprend la compétence
et l’honnêteté (l’intégrité). Néanmoins, aucun système ne peut éviter la fraude par
collusion, par exemple un comptable et un trésorier qui se mettent d’accord pour
frauder.

34

17
 3.4. Autres principes
■ Principe d’harmonie : Les procédures mises en place doivent être adaptées à chaque
entité. Même si les contrôles de prévention et de détection sont bien souvent les
mêmes d’une entreprise à l’autre, chaque procédure doit être adaptée à l’entité et à
son environnement en fonction de l’importance des risques qu’elle évite et du coût de
sa mise en œuvre.

■ Principe de permanence : Le principe de permanence du contrôle interne est similaire

au principe comptable de permanence : les procédures utilisées par l’entreprise doivent
être pérennes, étant entendu que pérennité ne signifie pas rigidité : quand l’entité
évolue, les procédures évoluent également.

35

4. Procédures contrôlées par l’auditeur

36

18
 4.1. Procédures répétitives

■ L’appréciation du contrôle interne porte sur les opérations courantes et

répétitives : achats, ventes, paie, opérations bancaires, etc.

■ Pour les opérations ponctuelles (Exemple : versement d’acomptes sur

dividendes, augmentation de capital) ou exceptionnelles (cession d’un terrain,
procès très important...) qui par nature ne sont ni répétitives ni courantes, il est
plus efficace de discuter avec les responsables puis de vérifier directement les
justificatifs appropriés.

37

4.1. Procédures répétitives

■ L’auditeur apprécie l’environnement de contrôle puis il apprécie les procédures

de contrôle interne à l’aide des tests de procédure

■ L’auditeur n’a pas à mener ces tests sur toutes les procédures de contrôle
interne : il ne teste que les procédures qui lui permettent de répondre aux
risques d’anomalies significatives dans les comptes (procédures par
lesquelles transitent des montants importants ou qui présentent des
risques spécifiques

38

19
 4.2. Procédures significatives

■ Tout système de traitement des informations comptables qui a une

incidence significative sur les comptes annuels est significatif (Exemples :
cycles d’achat, de stock, de vente, de trésorerie, de paie et
l’immobilisation)
■ Ces risques doivent être appréciés en fonction des réalités de l’entreprise :

39

4.2. Procédures significatives

Exemples

■ le système de paie recèle moins de risques dans une entreprise dont les
effectifs sont stables et localisés dans un seul lieu, que dans une
entreprise aux effectifs très changeants et éparpillés sur plusieurs sites
(Cas d’une grande entreprise du secteur du bâtiment) ;

■ le système des achats recèle moins de risques dans une société qui
procède à peu d’achats auprès d’un nombre limité de fournisseurs, que
dans une société qui doit gérer de multiples sources d’approvisionnement
(Cas d’un hypermarché).
40

20
 4.2. Procédures significatives
Exemples

■ Dans le cas de l’utilisation d’un système d’information : les risques de

traitements erronés sont faibles si l’entité auditée utilise, sans l’avoir
modifié, un logiciel commercialisé par une société réputée. Les risques
deviennent plus importants si le logiciel a été modifié par l’entité auditée.

41

4.2. Procédures significatives

Précision

■ Avec le temps, la connaissance par l’auditeur de connaissance de

l’entreprise s’améliore, il connaît de mieux en mieux les procédures qui
présentent des risques particuliers et peut éventuellement décider celles
sur lesquelles il portera une attention accrue.

■ Cela ne doit néanmoins pas le conduire à ne contrôler aucune procédure

de contrôle interne durant un exercice

42

21