Accueil🇫🇷Chercher

ContrĂ´le interne

Le contrôle interne est un dispositif mis en œuvre par la direction d'une administration (privée comme les entreprises ou publique comme les ministères) pour lui permettre de maîtriser les opérations à risques qui doivent être faites par elle.

Ses ressources sont pour cela mesurées, dirigées et supervisées de façon à permettre au management de réaliser ses objectifs.

C'est une notion fondamentale du management des entreprises et des administrations qui va amener dans les années à venir leur restructuration en profondeur.

Les dimensions du ContrĂ´le Interne

La notion de contrĂ´le interne a plusieurs dimensions :

  • La lutte contre la fraude. Cela a Ă©tĂ© un des moteurs du dĂ©veloppement de la notion de contrĂ´le interne. Ă€ l'origine, il y a la publication, en 1977 aux États-Unis, du Foreign Corrupt Practices Act (FCPA). Cette loi exige des entreprises qu'elles mettent en place des programmes de contrĂ´le interne. L'objectif Ă©tait de dĂ©tecter les fraudes et de protĂ©ger les ressources de l'entreprise. Cela concerne d'abord les biens matĂ©riels comme les stocks, les comptes clients, ... mais aussi les biens incorporels comme les brevets, la propriĂ©tĂ© intellectuelle, les savoir-faire, les marques, ...
  • La sincĂ©ritĂ© des comptes des entreprises. Ce souhait a Ă©tĂ© le deuxième moteur du dĂ©veloppement du contrĂ´le interne. En 1985 la commission Treadway est nĂ©e de la prise de conscience des erreurs rĂ©pĂ©titives constatĂ©es dans les comptes d'un certain nombre d'entreprises. Elle s'est fixĂ© comme objectif d'arriver Ă  lutter contre les fraudes constatĂ©es dans les Bilans et les Comptes de RĂ©sultat de certaines entreprises. En 1992 les travaux du COSO, Committee Of Sponsoring Organisations of the Treadway Commission se sont traduits par un premier rapport : Internal Control - Integration Framework qui s'appelle en français : La pratique du contrĂ´le interne. Il donne une dĂ©finition communĂ©ment acceptĂ©e de la notion de contrĂ´le interne et dĂ©taille un cadre gĂ©nĂ©ral de mise en place d'un système de contrĂ´le interne et la manière dont il peut ĂŞtre renforcĂ© et amĂ©liorĂ©. Puis en 2002 une loi amĂ©ricaine rigoureuse, la Loi Sarbanes-Oxley, permet de renforcer le contrĂ´le des comptabilitĂ©s concernant les sociĂ©tĂ©s cotĂ©es aux États-Unis. C'est une loi de protection des investisseurs imposant de nouvelles règles concernant la comptabilitĂ© et la transparence financière. Plus rĂ©cemment, en France l'AutoritĂ© des marchĂ©s financiers, l'AMF, a publiĂ© un document de rĂ©fĂ©rence dĂ©finissant la dĂ©marche de contrĂ´le interne.
  • La mise en place d'une organisation plus efficace et plus performante. L'objectif du contrĂ´le interne Ă©volue. L'objectif de la dĂ©marche consiste Ă  disposer des bonnes informations au bon moment afin de prendre les bonnes dĂ©cisions. De manière plus gĂ©nĂ©rale il s'agit de dĂ©terminer les objectifs stratĂ©giques, de mettre en place des dispositifs opĂ©rationnels et de respecter les lois et les règlements. Le contrĂ´le interne nĂ©cessite de mettre en place des procĂ©dures qui respectent l'ensemble de ces objectifs tout en amĂ©liorant l'efficacitĂ© de l'entreprise.

Le développement des méthodes de contrôle interne a une influence importante sur le développement des systèmes d'information, car leur fonctionnement a un impact sur l'efficacité des processus de l'entreprise. Il est pour cela nécessaire de mettre en place des dispositifs de gestion de contrôle adaptés. Ceux-ci reposent à leur tour sur des systèmes d'information permettant d'alimenter des tableaux de bord de suivi des processus.

Les définitions du contrôle interne

Il existe de multiples dĂ©finitions du contrĂ´le interne : voir Système de contrĂ´le interne et Audit comptable et financier. Une des plus anciennes est celle de B. Fain et V. Faure : "Le contrĂ´le interne consiste en une organisation rationnelle de la comptabilitĂ© et du service comptable visant Ă  prĂ©venir, tout au moins Ă  dĂ©couvrir sans retard, les erreurs et les fraudes". Elle date de 1948. Celle qui aujourd'hui fait rĂ©fĂ©rence est celle du COSO : « Le contrĂ´le interne est un processus mis en Ĺ“uvre par l'organe de direction (c'est-Ă -dire le Conseil d'Administration), les dirigeants et le personnel d'une organisation, destinĂ© Ă  fournir une assurance raisonnable quant Ă  la rĂ©alisation des objectifs suivants :

  • rĂ©alisation et optimisation des opĂ©rations,
  • fiabilitĂ© des informations financières,
  • respect des lois et rĂ©glementations en vigueur. »

Cette définition n'est pas parfaite, mais a le mérite de définir le contrôle interne comme un processus et elle précise qu'elle a pour but de mettre la notion d'assurance raisonnable concernant les opérations. Par contre, elle ne prend pas en compte la notion de gestion des risques qui a été prise en compte dans COSO 2. Mais surtout elle ne fait pas référence à l'état des pratiques ni aux processus de l'entreprise.

Cette dĂ©finition a Ă©tĂ© largement reprise comme dans le cadre de rĂ©fĂ©rence de l'AMF : « Le contrĂ´le interne est un dispositif de la sociĂ©tĂ©, dĂ©fini et mis en Ĺ“uvre sous sa responsabilitĂ©. Il comprend un ensemble de moyens, de comportements, de procĂ©dures et d’actions adaptĂ©s aux caractĂ©ristiques propres de chaque sociĂ©tĂ© qui :

  • contribue Ă  la maĂ®trise de ses activitĂ©s, Ă  l’efficacitĂ© de ses opĂ©rations et Ă  l’utilisation efficiente de ses ressources, et
  • doit lui permettre de prendre en compte de manière appropriĂ©e les risques significatifs, qu’ils soient opĂ©rationnels, financiers ou de conformitĂ© ».

La multiplicité des définitions de la notion de contrôle interne est due à la variété des préoccupations des différents intervenants : cela dépend du métier, du secteur d'activité, des crises rencontrées, ... Il est certain que la vision du commissaire aux comptes est assez différente de celle de l'auditeur interne, du dirigeant ou du consultant en stratégie.

Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à une démarche plus large très proche de la gouvernance. Mais ces définitions ne sont pas complètes, car elles précisent le « comment » mais ne disent pas le « pourquoi ».

On peut raisonnablement considérer que le contrôle interne est un processus permettant de s'assurer que les opérations de l'entreprise se déroulent en appliquant des bonnes pratiques notamment celles concernant le management et le fonctionnement de ses principaux processus. La notion de bonne pratique est fondamentale. Elle est au cœur de toutes ces démarches. C'est ce que tout professionnel expérimenté sait qu'il devrait mettre en œuvre, mais qu'il ne s'applique pas toujours.

Le besoin de contrĂ´le interne

Le développement du contrôle interne correspond à trois besoins différents :

  • la dĂ©rive des pratiques des entreprises. Elles sont de diffĂ©rentes natures comme le laxisme de l'application des règles de gestion, l'oubli des règles de contrĂ´le ou de sĂ©curitĂ©, les fraudes internes, ... Elle est due Ă  la perte de certains repères et Ă  l'effacement progressif de la frontière entre ce qui est permis et ce qui ne l'est pas ;
  • la montĂ©e des risques liĂ©e Ă  la globalisation, Ă  la dĂ©matĂ©rialisation des opĂ©rations, la financiarisation, ... Ce sont des tendances profondes. On n'y peut rien et cela se traduit par une multiplication des situations dĂ©licates. Il est pour cette raison nĂ©cessaire de mettre en place des mesures appropriĂ©es de façon Ă  limiter le niveau des risques ;
  • le dĂ©veloppement des systèmes d'information. En soit, c'est une bonne nouvelle, mais l'expĂ©rience montre que des applications mal conçues ou insuffisamment protĂ©gĂ©es peuvent se traduire par des fragilitĂ©s importantes.

Le contrôle interne a pour objectif de renforcer et de systématiser les dispositifs de contrôle permettant de s'assurer que les opérations courantes de l'entreprise se déroulent normalement. C'est une évolution importante de la démarche de contrôle. Traditionnellement les contrôles se faisaient de manières ponctuelles comme des audits. Dans une démarche de contrôle interne, on cherche à mettre en place des contrôles permanents. Parallèlement on assiste à l'apparition dans les entreprises de Directions du Contrôle Interne et de Directions des Risques chargées de prendre en compte l'ensemble de ces opérations

Les interlocuteurs concernés par le contrôle interne

Le contrĂ´le interne concerne l'ensemble des organes de direction d'une entreprise et notamment :

  • le Conseil d'Administration. Il rend compte aux actionnaires et il est Ă  ce titre directement intĂ©ressĂ© par le niveau de contrĂ´le interne de l'entreprise. Il doit notamment s'assurer que les procĂ©dures internes garantissent la rĂ©gularitĂ© et la sincèritĂ© des comptes sociaux. De plus en plus souvent les constatations faites sont reportĂ©es Ă  l'AssemblĂ©e GĂ©nĂ©rale des actionnaires.
  • le ComitĂ© d'audit est composĂ© d'administrateurs indĂ©pendants chargĂ©s d'initier et de suivre les missions d'audit. Ă€ ce titre, il a pour mission de demander le renforcement des procĂ©dures de contrĂ´le interne.
  • le Commissaire aux comptes doit, dans le cadre de sa mission lĂ©gale, s'assurer de l'existence et de l'efficacitĂ© des procĂ©dures de contrĂ´le interne. Dans les grandes entreprises, il doit Ă©valuer le rapport de la direction gĂ©nĂ©rale sur l'ensemble des procĂ©dures de l'entreprise.
  • la direction gĂ©nĂ©rale a la responsabilitĂ© de mettre en place des procĂ©dures de contrĂ´le interne et, si c'est nĂ©cessaire, de les renforcer. Très souvent l'Ă©quipe d'audit interne lui est rattachĂ©e.
  • le comitĂ© de direction est souvent amenĂ© Ă  s'intĂ©resser aux pratiques de contrĂ´le interne mis en Ĺ“uvre par les principaux dĂ©cideurs de l'entreprise qui en font partie. Ils ont la responsabilitĂ© de s'assurer qu'on applique effectivement les bonnes pratiques.
  • la direction de l'audit doit veiller Ă  la mise en place des règles de contrĂ´le interne. Il a la responsabilitĂ© de s'assurer qu'elles sont effectivement appliquĂ©es et donnent les rĂ©sultats attendus.
  • la direction des risques a la mission de les Ă©valuer. Ils peuvent ĂŞtre liĂ©s Ă  l'activitĂ© principale de l'entreprise (risques mĂ©tiers) mais aussi aux activitĂ©s accessoires dont l'informatique (risques opĂ©rationnels).
  • la direction financière est particulièrement intĂ©ressĂ©e par la mise en Ĺ“uvre des règles de contrĂ´le interne. La sincĂ©ritĂ© des comptes est directement liĂ©e Ă  leur application.
  • la direction juridique doit s'assurer que tous les contrats signĂ©s avec les clients, les fournisseurs et les salariĂ©s sont conformes aux règles contractuelles se trouvant dans la charte juridique de l'entreprise.
  • la direction des systèmes d'information est au cĹ“ur de l'application des règles de contrĂ´le interne. Les programmes les exĂ©cutent. Il faut s'assurer qu'ils fonctionnent correctement et donnent les rĂ©sultats attendus.

Comme on le voit toutes les unités de l'entreprise sont concernées par le contrôle interne. Il s'agit de l'affaire de tous.

Le rôle et les responsabilités du contrôle interne

Il existe dans un nombre croissant d'entreprises une direction de l'audit interne ou une direction du contrôle interne. On peut s'interroger sur son rôle et ses responsabilités. Est-ce que les auditeurs internes sont responsables du contrôle interne de l'entreprise ? Très souvent les responsables de ces équipes le pensent. Mais, il faut être clair, la responsabilité du contrôle interne relève de la direction générale. Dans ce contexte les équipes d'audit interne doivent s'assurer que les procédures de contrôle interne sont en place, fonctionnent et donnent les résultats attendus.

En fait, tous les salariés de l'entreprise sont responsables du contrôle interne. Quels que soient leur métier et les tâches qui leur sont confiés, ils doivent veiller à ce que les instructions qui leur sont données soient effectivement appliquées. Dans ce contexte, le management de l'entreprise a la responsabilité de mettre en place des dispositifs de contrôle suffisants dans le cadre des instructions qu'il donne aux personnes placées sous ses ordres.

La description des dispositifs de contrĂ´le interne

La qualité et l'efficacité du contrôle interne dépend de la mise en place d'un certain nombre de dispositifs tel que :

  • les règles de contrĂ´le interne,
  • le rĂ´le de l'audit,
  • la gouvernance de l'entreprise,
  • l'importance des systèmes d'information,
  • le rĂ´le du reporting du contrĂ´le interne.

Les règles de contrôle interne

Il existe de nombreuses règles de contrôle interne et parmi celles-ci on peut distinguer des règles générales et des règles particulières.

  • Les règles gĂ©nĂ©rales s'appliquent Ă  toutes les fonctions et Ă  tous les processus de l'entreprise :
    • la sĂ©paration des fonctions. Des règles strictes doivent ĂŞtre appliquĂ©es pour qu'une mĂŞme personne ne soit pas Ă  la fois chargĂ©e d'une action et en mĂŞme temps d'en contrĂ´ler l'exĂ©cution,
    • tracer les transactions. Il est nĂ©cessaire d'enregistrer toutes les opĂ©rations effectuĂ©es permettant ensuite de reconstituer les opĂ©rations,
    • la conservation des documents. Il faut pouvoir retrouver les pièces justificatives des opĂ©rations.
    • la surveillance des opĂ©rations permet de s'assurer que les opĂ©rations se dĂ©roulent normalement sans incident,
    • la sĂ©curitĂ© des opĂ©rations. Il faut pouvoir assurer un bon niveau de sĂ©curitĂ© de façon Ă  pouvoir redĂ©marrer rapidement après un incident sans perdre d'information significative.
  • Il existe aussi des règles particulières propre Ă  une activitĂ© spĂ©cifique :
    • la gestion d'un projet. Il existe un certain nombre de règles permettant de rĂ©duire les risques de dĂ©rives.
    • la prise d'une commande et la facturation doivent appliquer des règles spĂ©cifiques liĂ©es Ă  la nature de l'activitĂ©.
    • l'Ă©tablissement de la paie doit aussi appliquer des règles très strictes.

Ces règles sont les bonnes pratiques que tout professionnel connaît et doit appliquer. La réalité est souvent plus délicate, car ces règles sont parfois imparfaitement appliquées, et même dans certains cas elles sont totalement ignorées.

Face aux situations scabreuses rencontrées aux États-Unis, la loi Sarbanes-Oxley a fait obligation aux entreprises de renforcer les dispositifs de contrôle interne. La section 404 fait obligation à toutes les entreprises cotées à une bourse située aux États-Unis d'évaluer les dispositifs de contrôle interne et d'établir un rapport annuel de contrôle interne. Un organisme de contrôle le PCOAB, Public Company Accounting Oversight Board, est chargé de fixer des normes précisant les contrôles qui doivent être effectués.

Le rĂ´le de l'audit

Les techniques de contrôle interne sont fortement influencées par la pratique de l'audit. En effet l'auditeur interne ou externe est amené à constater des situations à risques et à proposer des recommandations permettant de les diminuer. Le but de l'audit est donc de réduire le niveau de risque de façon à obtenir une assurance raisonnable du bon fonctionnement de la fonction ou du processus audité.

Pour effectuer ce travail, l'auditeur va baser sa démarche sur sa connaissance des objectifs de contrôle du domaine audité. Or ces derniers reposent sur la connaissance qu'il a des bonnes pratiques. Elles sont la base des règles de contrôle interne qu'il faut vérifier. L'audit est donc à la base de toute démarche de contrôle interne. L'auditeur, qu'il soit interne ou externe, va donc s'assurer que les règles de contrôle interne sont effectivement appliquées et donnent les résultats attendus.

La gouvernance de l'entreprise

Derrière la notion de contrôle interne il y a celle de gouvernance de l'entreprise. C'est une préoccupation apparue dans les années 1990 face à la multiplication des situations curieuses, voire scabreuses, rencontrées dans un certain nombre d'entreprises. C'est un mouvement international apparu aux États-Unis et qui a été repris dans tous les pays développés dont la France (Rapports Viénot I, Mariani, Viénot II, Bouton, Clément, …). Il a pour but d'améliorer la manière dont les entreprises sont dirigées. Cela s'est traduit aux États-Unis par la loi Sarbanes-Oxley et en France par la loi de sécurité financière.

La gouvernance d'entreprise repose sur un ensemble de règles simples qui permettent d'assurer un meilleur fonctionnement de l'entreprise. Elle repose sur une clarification des rôles de la direction générale et du conseil d'administration. C'est une nouvelle répartition des rôles entre les différents organes de gestion de l'entreprise. Par exemple les grandes entreprises doivent mettre en place un comité d'audit dont les membres doivent de préférence être des administrateurs indépendants. La loi de Sécurité Financière fait de plus obligation aux plus grandes entreprises d'analyser leurs processus et d'établir un rapport les décrivant. Les Commissaires aux Comptes de l'entreprise doivent valider ce document et en informer l'Assemblée Générale des actionnaires.

Pour améliorer la gouvernance des entreprises il est nécessaire de mettre en place des processus adaptés prenant en charge les principales opérations de l'entreprise comme les achats, les ventes, la production, la logistique, ... Si on veut améliorer l'efficacité de l'entreprise il est nécessaire de les rendre plus efficaces. On va pour cela les rationaliser, les simplifier et les informatiser. Ceci se traduit par la rédaction de procédures décrivant les processus. C'est une pièce fondamentale du contrôle interne.

L'importance des systèmes d'information

Les progrès réalisés ces dernières années en matière informatique ont permis un développement important des systèmes d'information des entreprises. Ils constituent aujourd'hui leur cœur. Il est pour cela nécessaire de les mettre en œuvre en respectant les principes de la gouvernance des systèmes d'information. Ils permettent de faire fonctionner efficacement les règles de contrôle interne.

Aujourd'hui la plupart des règles de contrôle interne sont mises en œuvre à l'aide des systèmes d'information des entreprises. Ils comportent d'abord les contrôles informatiques traditionnels tels que la validation des données saisies, mais aussi le contrôle des bases de données existantes, le contrôle des traitements, le contrôle des éditions ou des consultations. Les actions de contrôle interne portent aussi sur l'amélioration de l'efficacité des opérations, le pilotage des processus et la mise en place des tableaux de bord décrivant les activités.

Pour améliorer le niveau du contrôle interne des entreprises on va s'attacher à perfectionner le fonctionnement des systèmes d'information. Pour cela on va veiller à mieux maîtriser le management des systèmes d'information.

L'importance du reporting du contrĂ´le interne

Les opérations de contrôle interne sont nombreuses et variées. Elles se traduisent par de nombreux signalements qui indiquent que tout se passe bien ou bien que quelque chose d'anormal est survenu. Ce sont souvent des dysfonctionnements ou des incidents. Ces événements doivent rapidement remonter vers les décideurs pour que des mesures soient prises. C'est la base du contrôle interne.

Ainsi une base de données des contrôles effectués, des anomalies constatées, des suites données aux incidents, ... est constituée. Elle permet de suivre les incidents et ainsi apprécier le degré de maîtrise des processus de l'entreprise.

Il est pour cela nécessaire d'établir périodiquement une synthèse des incidents constatés, des corrections effectuées, mais aussi rendre compte des contrôles positifs effectués. Pour cela, à partir de la base de données du contrôle interne on va établir un tableau de bord du contrôle interne de l'entreprise, du processus ou de la fonction concernée.

Le contrĂ´le interne dans la banque

Parmi toutes les entreprises existantes les banques sont celles connaissant des niveaux de risques les plus élevés. Pour cette raison, il est nécessaire de mettre en place un dispositif de contrôle interne permettant d'identifier ces risques et de prendre des mesures permettant de réduire leur impact.

La réglementation internationale des banques est fixée par le Comité de Bâle. La réglementation dite Bâle II, publiée en 2004, fixe le minimum de fonds propres (8 %) que doit couvrir la banque dans les crédits qu'elle octroie. Elle leur impose aussi d'évaluer les risques opérationnels. Pour cela les banques doivent renforcer leurs dispositifs de contrôle interne. Ce sont un certain nombre de procédures dont le but est d'atténuer les risques. Les banques européennes ont eu l'obligation de mettre en œuvre ces règles à partir de 2008.

Sans attendre le Comité de la réglementation bancaire et financière a mis en place en 1997 un règlement le CRBF 97.02 sur les « Conditions d'exercice du contrôle interne des établissements bancaire » qui impose aux banques d'établir un système de contrôle interne. Il précise dans son article 1 le contenu :

a) un système de contrôle des opérations et des procédures internes ;

b) une organisation comptable et du traitement de l’information ;

c) des systèmes de mesure des risques et des résultats ;

d) des systèmes de surveillance et de maîtrise des risques ;

e) un système de documentation et d’information ;

f) un dispositif de surveillance des flux d’espèces et de titres.

« Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l’ensemble des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques de différentes natures auxquels elles sont exposées.»

Les limites du contrĂ´le interne

L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon fonctionnement de l'entreprise. Mais ce n'est pas une garantie absolue. Il est toujours possible qu'un fraudeur particulièrement astucieux profite des failles des procédures internes pour commettre un vol au détriment de l'entreprise.

Il est probable que le renforcement des dispositifs de contrôle interne doit permettre d'éviter cela. Souvent cela s'accompagne d'un alourdissement des procédures. Au lieu d'améliorer l'efficacité de l'entreprise on ne réussit qu'à augmenter la lourdeur de sa bureaucratie.

De manière plus générale on constate que l'atteinte des objectifs de l'entreprise ne dépend pas uniquement des facteurs internes. Si le marché s'effondre ou si un concurrent bénéficie d'une innovation majeure, l'entreprise peut avoir des processus efficaces et performants, mais elle sera en situation de risque vital.

Notes et références

    Voir aussi

    Articles connexes

    Liens externes

    Bibliographie
    • COSO 1 : Internal Control - Integration Framework, traduction française : La pratique du contrĂ´le interne, 2002, Éditions d'Organisation, (ISBN 2708127136)
    • COSO 2 : Entreprise Risk Management Framework, traduction française : Le management des risques de l'entreprise : cadre de rĂ©fĂ©rence, techniques d'application, 2005, Éditions d'Organisation, (ISBN 2708134329)
    • AMF : Le dispositif de contrĂ´le interne : Cadre de rĂ©fĂ©rence, 2007
    • AFAI : ContrĂ´le Interne et Système d'information 2e Ă©dition
    Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.