CONTRÔLE INTERNE

Seydou DIAO 2016

Risque d’AUDIT
La norme CNCC 2-301 nous donne la définition suivante: le
« risque d’audit » est le risque que le commissaire aux
comptes exprime une opinion incorrecte du fait d’anomalies
significatives contenues dans les comptes et non détectées.

Il se subdivise en trois composants: le risque inhérent, le

risque lié au contrôle et le risque de non détection.
 • est la possibilité que le solde
d’un compte ou qu’une
Le « catégorie d’opérations
comporte des anomalies
risque significatives isolées ou
inhérent cumulées avec des anomalies
dans d’autres soldes ou
» catégories d’opérations,
nonobstant les contrôles
internes existants.
 •est le risque qu’une anomalie
dans un solde de compte ou dans
une catégorie d’opérations, prise
isolément ou cumulée avec des
le « risque anomalies dans d’autres soldes
lié au de comptes ou d’autres
catégories d’opérations, soit
contrôle » significative et ne soit ni
prévenue, ni détectée par les
systèmes comptable et de
contrôle interne et donc non
corrigée en temps voulu.
 • est le risque que les contrôles mis
en œuvre par le commissaire aux
comptes ne parviennent pas à
le « risque détecter une anomalie dans un
solde de compte ou dans une
de non- catégorie d’opérations qui, isolée
ou cumulée avec des anomalies
détection » dans d’autres soldes de comptes
ou d’autres catégories
d’opérations, serait significative.
Contrôle interne
1-DÉFINITION
« Le contrôle interne est l’ensemble des sécurités contribuant à
la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la
protection, la sauvegarde du patrimoine et la qualité de
l’information, de l’autre l’application des instructions de la
Direction et de favoriser l’amélioration des performances. Il se
manifeste par l’organisation, les méthodes et les procédures de
chacune des activités de l’entreprise, pour maintenir la
pérennité de celle-ci ».

Conseil de l’Ordre des Experts Comptables, 1977.

Le contrôle interne comporte cinq composantes qui sont :

l'environnement de contrôle;
l'évaluation et la maîtrise des risques;
les activités de contrôle;
l'information et la communication;
le pilotage.
2-EVALUATION DU
CONTRÔLE INTERNE
Phases Outils

1. Description des systèmes et des Narratif et/ou diagramme de

procédures circulation (flow chart)

2. Confirmation de la compréhension Test de conformité

du système

3. Evaluation préliminaire du contrôle Questionnaire ou feuilles d’analyse

interne des contrôles (FAC)

4. Confirmation de l’application des Test de permanence

points forts du système

5. Evaluation définitive du contrôle Mémo de synthèse

interne By Seydou DIAO
(Auditeur Interne)
 1. Description des systèmes et des procédures

L’auditeur prend connaissance du contrôle interne

de du cycle opérationnel en s’efforçant de saisir
l’ensemble des flux/méthodes, et des procédures qui
ont trait à son organisation.
2. Confirmation de la compréhension du système

L’auditeur s’assure qu’il a bien compris le système en

vérifiant la description qu’il en a reçue : il met en œuvre à
cette fin des tests de conformité.
3. Evaluation préliminaire du contrôle interne

L’auditeur procède à une première évaluation du contrôle interne ; il

le fait sur la base d’un questionnaire ou de la feuille d’analyse des
contrôles – FAC. Il détermine à ce stade les points forts théoriques, et
les points faibles du dispositif de contrôle interne de l’entreprise.
4. Confirmation de l’application des points forts du
système

L’auditeur cherche à s’assurer que les points forts sont

appliqués de manière permanente. Il met en œuvre à cette
fin des tests de permanence.
 5. Evaluation définitive du contrôle interne

A ce stade, l’auditeur est à même de distinguer les points forts

appliqués, les points forts théoriques mais non appliqués, et les
points faibles. L’ensemble de ces éléments lui fournit les bases de
son évaluation définitive du contrôle interne qu’il porte dans un
mémo de synthèse.
A l’issue de cette phase, l’auditeur est à même de :

- comprendre les systèmes de production de l’information

financière;

- identifier les risques liés à leur conception et à leur fonctionnement;

- anticiper les problèmes éventuels et de préparer un programme de

contrôle adapté.
COSO
• The Committee of Sponsoring Organizations of
the Treadway Commission.
• Initiative conjointe de 5 organisations (sponsoring
organizations)
• AAA (American Accounting Association)
o AICPA (Americain Institute of Certified Public Accountants)
o FEI (Financial Executives International)
o IMA (The Institute of Management Accountants)
o IIA (The Institute of Internal Auditors).
DES DÉVELOPPEMENTS RÉCENTS
D’ORIGINES

ETATS – UNIS: le COSO 1, 2 et 2013

ROYAUME – UNI: le Comité Cadbury
CANADA: LE COCO (Criteria of Control Board)
FRANCE: la Nouvelle Pratique du Contrôle interne
Définitions
et
objectifs

21
 Le contrô le interne
« Le contrôle interne est un système (ensemble de dispositifs),
un processus (ensemble d’activités) mis en œuvre par le conseil
d’administration (ou ce qui en tient lieu), les dirigeants et le
personnel d’une organisation, destiné à fournir une assurance
raisonnable quant à la réalisation des objectifs suivants :
1. La protection et la sauvegarde du patrimoine.
2. La maîtrise des risques.
3. La réalisation et l’optimisation des opérations.
4. La fiabilité des informations financières.
22
5. La conformité aux lois et aux réglementations en vigueur »
(Adapté du COSO). 
 Les éléments du système de contrôle interne
Les principes du contrôle interne
Organisation, intégration,
Objectifs du contrôle permanence, universalité,
interne indépendance, information,
harmonie ou d’adéquation,
Bonne image auprès des prévision, qualité du personnel
parties prenantes:
1. Maîtrise des risques.
2. Protection du patrimoine.
Les composantes du contrôle interne
3. Qualité de l’information.
− Environnement de contrôle
4. Amélioration des
− Management des risques (définition des
performances. objectifs, identification des événements,
5. Conformité aux lois, évaluation des risques, traitement des
règlements, directives, risques)
procédures… − Activités de contrôle
− Information et communication 23
− Pilotage.
 Les objectifs du contrôle interne
 Objectif général: construire et conserver une image favorable au sein du
secteur et auprès des parties prenantes, présenter des états financiers
fiables aux partenaires, et agir en conformité avec les lois et règlements.
 Objectifs spécifiques: maîtriser les risques à tous les niveaux en
assurant ou en favorisant (et non garantir) suivant le cas:
 la maîtrise des risques;
 la protection et la sauvegarde du patrimoine,
 la qualité de l'information, dont la fiabilité des informations
financières,
 la réalisation et l’optimisation des opérations, et l'amélioration des
performances.
 la conformité aux lois et réglementations en vigueur ainsi que
l'application des instructions de la direction, des politiques de 24
gestion, des plans et procédures.
 Objectif du Contrôle interne
La protection et la sauvegarde du patrimoine

La notion de patrimoine doit être entendue dans un sens plus

large, c’est-à-dire englober non seulement les biens et valeurs
inscrits au bilan, mais aussi, tous les biens qui ne sont pas
ordinairement exprimables en termes monétaires et qui sont
d’une importance capitale pour la survie de l’entité à savoir la
qualité de son personnel et son image de marque.
Cet objectif est primordial pour l’entité car la conservation du
patrimoine est une condition essentielle à la poursuite normale
de son activité. Il est renforcé par l’obligation de rendre
compte.
25
Objectif du Contrôle interne
La maîtrise des risques

Elle inclut, entre autres:

a) la définition des objectifs,
b) l’identification des événements,
c) l’évaluation des risques,
d) le traitement des risques.

26
 Objectif du Contrôle interne
La qualité de l’information
Une organisation ne peut être maîtrisée que si sa direction dispose d’un
système d’information adéquat. De plus l’image d’une entité se mesure
par les informations qu’elle donne à l’extérieur. Ces informations doivent
être :
 Fiables et vérifiables: le système d’information en place doit permette
la vérification des données.
 Exhaustives: si l’information est donnée à moitié, elle perd de son
efficacité. Le système doit prendre en compte toutes les informations
utiles à la prise de décision ou à la réalisation des opérations.
 Pertinentes: l’information doit être conforme au besoin sans être ni
trop diluée ni trop condensée.
 Disponibles: l’information ne doit pas arriver trop tard, quand on n’en 27
a plus besoin ni trop tôt au risque qu’on l’oublie.
 Objectif du Contrôle interne
Le respect des instructions, lois et règlements
Diriger une entité implique de donner des instructions à tous les
niveaux de responsabilité. Il est très facile de donner des
instructions mais il faut aussi en contrôler l’application aux trois
niveaux de contrôle suivants:
un contrôle a priori pour s’assurer que l’objectif des
instructions est bien défini, que l’instruction est claire et
s’adresse à des personnes habilitées à les interpréter
correctement ;
Un contrôle a posteriori pour s’assurer de son application ;
Faire comparer par un tiers, les instructions données et les
actions qui en furent exécutées afin de donner des garanties
sur l’application effective. 28
 Objectif du Contrôle interne
L’amélioration des performances
Le contrôle interne vise non seulement la sécurité des transactions
et des opérations effectuées par l’organisation, mais aussi leur
efficacité ou même leur efficience.
le contrôle interne est un ensemble de dispositifs et de processus
de gestion permettant de réaliser des performances pour assurer
la pérennité de l’organisation.
La préoccupation majeure du contrôle interne est l’amélioration
des performances, partant du principe que tout est perfectible et
que le risque zéro n’existe pas. Cela veut dire qu’il faut aller au-
delà de la simple réalisation des opérations.
29
 Contrôle interne et fonctions de contrôle

• Contrôle interne: dispositif, système, processus à ne pas

confondre avec les fonctions de contrôle comme l ’audit
interne et le contrôle de gestion.
• L’audit interne, l’Inspection et le contrôle de gestion
font partie du dispositif de contrôle interne. Ce sont des
fonctions de contrôle permettant à l’organisation de
maîtriser et d’améliorer son dispositif de contrôle
interne, d’atteindre ses objectifs stratégiques, 30
opérationnels et de conformité.
Différence audit interne/inspection

• La différence s’estompe de plus en plus, les

services d’inspection se professionnalisant vers
l’audit interne.
• L’inspection tend à devenir une technique d’audit
interne.

31
 Séparation adéquate des fonctions
incompatibles
1. la fonction opérationnelle: elle concerne les activités des
personnes qui ont dans l’entité le pouvoir d’engager l’entité ;
2. la fonction de protection du patrimoine : elle concerne les
activités des personnes dont le rôle est de détenir, de conserver
et de protéger le patrimoine de l’entité ;
3. la fonction de comptabilisation et d’enregistrement : elle
concerne les activités des personnes chargées de la saisie et du
traitement de l’information ;
4. la fonction de contrôle : elle concerne les activités des
personnes chargées de la vérification des opérations ou des
documents établis par d’autres personnes.
32
 Les acteurs du contrôle
interne

2. 33
Acteurs (modèle de trois lignes de maîtrise)
• En premier lieu, ce sont les opérationnels (par exemple les
chargés de production, des ventes, etc.) qui doivent s’assurer de
la bonne conception et du bon fonctionnement du dispositif de
contrôle interne.
• En second lieu, les fonctions support (par exemple les chargés
de conformité, sécurité, gestion des risques) apportent expertise
et conseil par rapport aux objectifs de performance et de
contrôle.
• En dernière instance, l’audit interne permet un regard
indépendant et des revues variées dans un but, notamment,
d’améliorer le contrôle interne de l’organisation.
Les acteurs du contrô le interne
• la tutelle;
• le conseil d’administration;
• la direction générale;
• les opérationnels;
• les fonctions de contrôle et les structures externes de contrôle.

35
 Les acteurs du CI
Le contrôle interne est l’affaire de tous, des organes de gouvernance à l’ensemble
des collaborateurs.
• La tutelle: elle joue en général le rôle du Conseil d'administration dans le
secteur public. Elle fixe des règles, définit des orientations et exerce une
surveillance des activités et des résultats. Elle a un pouvoir de sanction.
• Le Conseil d’Administration ou de Surveillance : exerce, à travers
notamment le Comité d’audit, une surveillance attentive et régulière du
dispositif de contrôle interne. Il peut entendre l’auditeur interne. Il doit valider
la charte d’audit interne, le plan d’audit et être en conséquence destinataire des
rapports d’audit interne ou d’une synthèse périodique de ces rapports (rapport
annuel sur le contrôle interne).

36
Les acteurs du CI
• La Direction Générale : chargée de définir, d’impulser et de
surveiller le dispositif le mieux adapté à la situation et à
l’activité de l’organisation. Dans ce cadre, elle se tient
régulièrement informée de ses dysfonctionnements, de ses
insuffisances et de ses difficultés d’application, voire de ses
excès, et veille à l’engagement des actions correctives
nécessaires.
37
Les acteurs du CI
• Les opérationnels : chaque collaborateur concerné
devrait avoir la connaissance et l’information nécessaires
pour établir, faire fonctionner et surveiller le dispositif de
contrôle interne, au regard des objectifs qui lui ont été
assignés. C’est le cas des responsables opérationnels en
prise directe avec le dispositif de contrôle interne.

38
Les acteurs du CI
• Les structures internes de contrôle :
• Service/Direction Audit Interne,
• Service/Direction Inspection,
• Service/Direction Contrôle Interne,

• Service/Direction Contrôle de Gestion…

39
 Les acteurs du CI
• L’audit interne: il a la responsabilité d’évaluer le
fonctionnement du dispositif de contrôle interne et de faire
toutes préconisations pour l’améliorer, dans le champ couvert
par ses missions. Il sensibilise et forme habituellement
l’encadrement au contrôle interne mais n’est pas directement
impliqué dans la mise en place et la mise en œuvre quotidienne
du dispositif. Le responsable de l’audit interne rend compte à la
Direction Générale, aux organes sociaux, à la tutelle et aux
autres organes/corps de contrôle (selon les modalités imposées
par la loi) des principaux résultats de la surveillance exercée.

40
Les acteurs du CI
• Les structures «externes» de contrôle :
• Etatiques:
• Inspection générale des finances,
• Inspection Générale d’Etat,
• Contrôle Financier/COF,
• Cour des comptes…
• Non étatiques
• Commissaire aux comptes,
• Auditeurs externes…
41
 Principes généraux
du contrôle interne

3. 42
Les principes du contrôle interne

1. Le principe d’organisation 
2. Le principe d’intégration 
3. Le principe de permanence
4. Le principe d’universalité
5. Le principe d’indépendance
6. Le principe d’information
7. Le principe d’harmonie ou d’adéquation
8. Le principe de prévision 43

9. La qualité du personnel
Les principes du contrôle interne
L’organisation
 Mettre en place une organisation répondant à des
caractéristiques propres à l’entité et aux exigences de son
environnement.
 Cette organisation doit être préalable, adaptée et adaptable,
vérifiable, formalisée (organigramme clair, fiches de postes) et
doit comporter une séparation des fonctions.

44
 Les principes du contrôle interne
L’intégration
 Le contrôle interne est inhérent à la structure de l’entité. Pour être
particulièrement efficaces, les procédures de contrôle interne doivent
être intégrées (et non rajoutées) à l’infrastructure et faire partie de la
culture de l’entité. Le contrôle interne ne constitue pas un surcroît.
 Ce principe est lié à celui de l’autocontrôle qui est mis en œuvre par
des recoupements, des contrôles réciproques ou des moyens techniques
appropriés.

45
Les principes du contrôle interne
La permanence
En matière de contrôle interne, la permanence concerne les
procédures qui doivent être constantes. Cependant, il est fait
parfois obligation de changer de procédures lorsque cela est
justifié (cas de défaillance ou de changement de
l’environnement par exemple).

46
Les principes du contrôle interne
L’universalité
• Il concerne le champ d’action du contrôle interne. Le contrôle
interne concerne toutes les personnes dans l’entité, en tout
temps et en tout lieu (pas d’exclusion, pas de privilège, pas de
domaine réservé).

47
Les principes du contrôle interne
L’indépendance
• Ce principe implique que les objectifs de contrôle interne sont
à atteindre indépendamment des méthodes, procédés et
moyens de l’organisation.
• Cela suppose l’existence d’un système de contrôle interne
bien structuré.

48
Les principes du contrôle interne
L’information
• La qualité de l’information fait partie des objectifs de contrôle
interne. Ce principe commande que la direction dispose d’un
système d’information adéquat lui permettant de piloter
convenablement l’entité.

49
Les principes du contrôle interne
L’harmonie ou adéquation
• C’est l’adéquation du contrôle interne aux caractéristiques de
l’entité et de son environnement.
• les procédures doivent être adaptées à l'entité et non à
l'Homme, les Hommes passent, mais les fonctions restent).

50
Les principes du contrôle interne
La prévision
• Planification.
• Approche volontariste du changement plutôt que déterministe.

51
Les principes du contrôle interne
La qualité du personnel
• Compétence.
• Moralité.

52
 Composantes
COSO 1 et COSO 2

4. 53
 Composantes du contrôle interne/Management des
risques

Selon le COSO 1: Selon le COSO 2: ERM

1. Environnement de contrôle 1. Environnement de contrôle
2. Évaluation des risques 2. Définition des objectifs
3. Activités de contrôle 3. Identification des
4. Information et communication risques/événements
5. Pilotage. 4. Evaluation des risques
5. Traitement des risques
6. Activités de contrôle
7. Information et communication 54
8. Pilotage.
Représentation du COSO
• COSO 1: pyramide (1992)
• COSO 2: cube (2004).

55
Pyramide COSO

56
Eléments de l’ERM

57
Composantes du management des risques
(COSO ERM)
• Le management des risques est un processus mis en œuvre
par le conseil d administration, la direction générale, le
management et l'ensemble des collaborateurs de l
organisation.
• Il est pris en compte dans l’élaboration de la stratégie ainsi
que dans toutes les activités de l'organisation. Il est conçu
pour identifier les événements potentiels susceptibles
d’affecter l’organisation et pour gérer les risques dans les
limites de son aversion pour le risque. Il vise à fournir une
assurance raisonnable quant à l'atteinte des objectifs de
l'organisation.
58
 Composante 1
Environnement de contrôle
«Milieu» dans lequel les personnes accomplissent leurs tâches et
assument leurs responsabilités en matière de contrôle. Cela constitue
le fondement des autres éléments du contrôle interne et le moteur de
toute organisation ;
l’intégrité;
l’éthique et la compétence du personnel ;
la philosophie des dirigeants et le style de management ;
la politique de délégation des responsabilités,
la politique d’organisation et de formation;
et l’intérêt manifesté par le Conseil d’administration et sa
capacité à indiquer clairement les objectifs. 59
Composante 2
Définition des objectifs
Des objectifs doivent être définis au niveau organisationnel et
déclinés vers les unités opérationnelles et les agents. Ils peuvent
être scindés en
a) Objectifs stratégiques.
b) Objectifs opérationnels.
c) Objectifs de reporting.
d) Objectifs de conformité.

Ils doivent être SMART (Spécifiques – Mesurables –

Acceptables - Réalistes – Déterminés dans le Temps).
60
Composante 3
Identification des risques/événements
a) Identification des événements, des processus, des activités, des
opérations…
b) Identification des préoccupations majeures des agents.
c) Analyse de scénarios et des hypothèses.
d) Identification des risques pertinents associés aux événements,
aux processus, aux activités, aux opérations et aux hypothèses.
e) Analyse des risques identifiés.

61
Composante 4
Evaluation des risques

• Identification et analyse des facteurs de risques et leur maîtrise

afin de fonctionner de façon harmonieuse.
• L’évaluation des risques doit intégrer la conformité aux
exigences du régulateur et aux lois.
• L’organisation doit être consciente des risques et mettre en
place des mécanismes permettant de les gérer adéquatement
afin de ramener les risques inhérents (avant contrôle) à un
niveau résiduel (risques résiduels – après contrôle).
62
Composante 5
Traitement des risques
a) Analyse des conséquences du risque.
b) Définition des responsabilités, des ressources et des actions de
réduction du risque.
c) Elaboration de plan d’action de gestion/maîtrise des risques.

63
Composante 6
Activités de contrôles
• Il s’agit de s’assurer que les normes et procédures mises en
place par le management en vue de maîtriser les risques et
d’atteindre les objectifs sont exécutées efficacement à tous les
niveaux.
• Les activités de contrôle comprennent:
a) des examens à un haut niveau;
b) un contrôle approprié de chaque département,
c) des contrôles physiques,
d) un systèmes précis d'approbation et de délégation,
e)  un système rigoureux de vérification. 64

Activités de contrôle
Contrôles indépendants par le
management
 Tâches de surveillance conformément au
règlement interne (rapports de performance,
comparaison budgétaires)
 Recours à des spécialistes externes
 Séparation des tâches

Contrôles manuels Contrôles automatisés

Exemples Exemples
 Contrôles de conformité (respect de  Protection des accès (autorisation, mots
l’autorisation selon les compétences) de passe)
 Contrôles de concordance (justificatifs,  Chiffrier de contrôle
comparaison de listes)  Ajustement des données (protocoles
 Contrôles physiques (contrôles d’entrée d’erreurs)
et de sortie des biens et des fournitures, Session 3 &
inventaire) 4 – CI - 65

 Supervision directe
PwC
Composante 7
Information et communication
L’information pertinente doit être identifiée, recueillie et
diffusée sous une forme et dans des délais qui permettent à
chacun d’assumer ses responsabilités.
Les systèmes d’information doivent produire des informations
nécessaires à la prise de décisions et au reporting et qui
permettent de gérer et de contrôler l’activité.
Communication efficace, à la fois ascendante, descendante et
horizontale.
Communication efficace avec les tiers, tels que clients,
fournisseurs, autorités de tutelle ou actionnaires.
66
 Composante 8
Pilotage
Les systèmes de C.I. doivent eux-mêmes être contrôlés afin qu‘en
soient évaluées, dans le temps, les performances qualitatives.
Pour cela, il convient de mettre en place un système de suivi
permanent ou de procéder à des évaluations périodiques, ou
encore de combiner les deux méthodes.
Le suivi permanent: autocontrôle, contrôles réguliers effectués par
le management et le personnel d’encadrement.
Evaluations périodiques: leur étendue et leur fréquence dépendront
de l’évolution des risques et de l’efficacité du suivi permanent.
67
Composante 8
Pilotage
• Les faiblesses de C.I. doivent être portées à l’attention de la
hiérarchie,
• les lacunes les plus graves doivent être signalées aux dirigeants
et au conseil d’administration.

68
Principes de la composante Environnement de
contrôle
Principes de la composante
Evaluation des risques
Principes de la composante
Activités de contrôle
 Principes de la composante
Information et Communication
Principes de la composante
Activités de pilotage

PWC (2013)