Chapitre 3

Pratique de l’Evaluation du Système du

Contrôle Interne (SCI)

1
Section 1. Référentiel COSO 1

1.1. Définition du SCI (COSO)

Le contrôle interne est un processus, conçu et mis en place par les personnes

constituant le Gouvernement d’entreprise, la Direction et d’autres membres du

personnel, pour fournir une assurance raisonnable* quant à la réalisation des

objectifs de l'entité en ce qui concerne :

 L’efficacité et l’efficience des opérations ;

 La fiabilité de l’information financière ;

 La conformité avec les textes législatifs et réglementaires applicables (COSO,

1992).

2
Section 1. Référentiel COSO 1

1.1. Définition du SCI (COSO)

* « Fournir une assurance raisonnable quant à la réalisation des objectifs »

signifie :
 Réussir à réduire le risque ;
 sinon au moins réussir à subir les moindres pertes possibles une fois le risque
réalisé.

* L’assurance en mission d’audit financier au minimum doit être raisonnable sinon

proche du niveau absolu (sauf que : risque zéro est inexistant)

* L’assurance modérée est inacceptable en mission d’audit interne et de

diagnostic de SCI

3
Section 1. Référentiel COSO 1

1.2. Evolution du référentiel COSO

4
Section 1. Référentiel COSO 1
1.2. Principes du référentiel COSO

5
Section 2. Composantes du COSO1

Les cinq composantes du COSO1 sont les étapes de mise en place d’un bon
système de contrôle Interne, en tout genre d’entité.

6
Section 2. Composantes du COSO1

2.1. Environnement de Contrôle

7
Section 2. Composantes du COSO1

2.2. Identification & Evaluation des Risques de Contrôle

interne

8
Section 2. Composantes du COSO1

2.3. Activités de Contrôle

9
Section 2. Composantes du COSO1

2.4. Information & Communication

10
Section 2. Composantes du COSO1

2.5. Pilotage du SCI

11
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.1. Typologie des risques de contrôle interne

Il existe 5 types de risques de contrôle interne :

- Risques liés au patrimoine physique de l’entité

- Risques liés au patrimoine financier

- Risques liés aux Clients de l’entité

- Risques liés aux Fournisseurs de l’entité

- Risques liés aux Employés de l’entité

- Risques liés à l’image de marque de la firme, à sa capacité d’innovation et

d’adaptation…(Pour les grandes entités)

12
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.1. Typologie des risques de contrôle interne

Exemples des risques de CI

13
Section 3. Typologie des risques de contrôle interne (COSO 1)

Etapes de détection et d’évaluation des risques de CI

Toute entité doit créer pour elle-même un système de détection et évaluation de

risques de contrôle interne, qui fonctionne selon les étapes suivantes :

1. Identifier régulièrement les risques de SCI possibles (établir une liste)

2. Classer selon un ordre de gravité cette liste de risques de SCI
3. Pour les risques les plus graves et selon budget, concevoir des procédures de
SCI qui seront appliquées absolument à toute transaction ou opération
4. Pour chaque procédure, former les employés qui vont l’appliquer
5. Pour chaque procédure, concevoir et appliquer un contrôle régulier (par un
responsable) de ce que appliqueront les employés comme procédure
6. Pour chaque procédure, l’auditeur interne fera régulièrement des tests sur les
contrôles exécutés par les responsables
7. L’auditeur interne révisera régulièrement la liste des risques et les résultats des
tests de contrôles (pilotage)
14
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.2. Matrice de Classement des Risques du SCI

15
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.2. Matrice de Classement des Risques du SCI

Exemples pour déterminer la gravité d’un risque

16
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.2. Matrice de Classement des Risques du SCI

17
Section 3. Typologie des risques de contrôle interne (COSO 1)

3.3. Différences : Risques de CI / Risques d’audit financier

18
Section 4. Lignes de Défense contre les risques de CI

4.1. Typologie des réponses apportées aux risques de CI

L’auditeur interne :

 Accepter le risque
 Réduire /maîtriser le risque
 Partager le risque
 Eviter le risque 19
Section 4. Lignes de Défense contre les risques de CI

4.1. Typologie des réponses apportées aux risques de CI

Selon le couple degré de gravité/budget, l’entreprise peut :

 Accepter (si le risque n’est pas grave) = Laisser faire si le risque est classé
faible/acceptable compte tenu des bénéfices potentiels
 Il est important de surveiller ce risque et de s'assurer qu'il reste dans les limites
acceptables.

 Réduire/Maîtriser (si le risque est grave/ le budget est abordable) = Instituer des
contrôles = pour minimiser les dommages potentiels ou pour rétablir la situation à son état
normal. Elle inclue des actions correctives
(Exp: la correction des erreurs, la récupération des données perdues, ou la mise en place
de mesures correctives pour éviter que les problèmes ne se reproduisent à l'avenir).

20
Section 4. Lignes de Défense contre les risques de CI

4.1. Typologie des réponses apportées aux risques de CI

 Partager avec un partenaire (si le risque est grave / le budget est élevé) = une
organisation peut choisir de transférer une partie ou la totalité du risque à une tierce partie,
généralement par le biais d'une assurance .

 Eviter (si le risque est grave / le budget est élevé) = Eliminer = abandonner l’activité
risquée.

* Risque résiduel (RR) : Le risque non couvert par la procédure de CI mise en place ou par la
réponse/mesure mise en place. Il doit être faible, non significatif, et est à ignorer.

21
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

22
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.1. Employés

23
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.2 Responsables

Les contrôles -conçus par l’entité & effectués par les responsables- sont de 4 types :
 Automatisés / Manuels
 Préventifs / Détectifs

Les contrôles doivent vérifier les assertions CAVR :

 C :Completness – Exhaustivité
 A : Accuracy – Exactitude
 V : Validity –Validité
 R : Restrictiveness – Restrictivité 24
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.2 Responsables

Exemple : Gestion des chèques

25
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.3 Auditeur interne

• La conception des testings par l’auditeur

interne dépend étroitement de la
conception des activités de contrôle
effectuées par les
responsables/gestionnaires.

• L’auditeur résumera ses testings dans la

Matrice des Tests des Contrôles (MTC)

• Les testings aussi (comme les contrôles)

doivent cibler les assertions CAVR :
 Exhaustivité (c)
 Exactitude (A)
 Validité(V)
 Restrictivité (R)

26
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.3 Auditeur interne

Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.3 Auditeur interne

Que signifie un ‘contrôle clé’ ?

L’auditeur financier n’a pour rôle que d’évaluer la partie des procédures qui aurait
un impact sur les EF. Alors que l’auditeur interne a pour rôle de tester tous les
contrôles et toutes les procédures du SCI.

28
Section 4. Lignes de Défense contre les risques de CI

4.2. Trois Lignes de Défense

4.2.3 Auditeur interne

Taille de l’échantillon?