Ex­pli­ca­tion des systèmes de contrôle interne

Réduire les risques au minimum est un souhait partagé par toutes les en­tre­prises. Les accidents, les erreurs ou les actes criminels n’ont pas leur place dans les en­tre­prises. Cela est vrai en matière de pro­tec­tion au travail, mais aussi de pro­tec­tion des sites de l’en­tre­prise contre des accès non autorisés par des tiers. Alors que les mêmes règles et mesures peuvent être mises en œuvre pour ces aspects plutôt tangibles, il est plus difficile de garantir la qualité du système financier ou de la gestion. C’est pourquoi de nom­breuses en­tre­prises éta­blis­sent un système de contrôle interne. Celui-ci doit veiller à ce que tout fonc­tionne comme le souhaite l’en­tre­prise.

Dans une certaine mesure, la direction d’une en­tre­prise contrôle le travail des employés. Mais qui vérifie les actions et les décisions de la direction ? Un système de contrôle interne peut con­tri­buer à améliorer la sécurité d’une en­tre­prise dans ces domaines, mais pas uni­que­ment. Un tel système a pour but d’empêcher les erreurs et les actes criminels. Afin de réduire les risques à un minimum, les systèmes de contrôle interne sont composés de règles et de processus de travail visant à empêcher un maximum les com­por­te­ments erronés. En suivant ces règles, les employés réduisent la pro­ba­bi­lité d’une erreur et tout man­que­ment aux règles peut être ra­pi­de­ment constaté.

Les mé­ca­nismes de contrôle sont activés en amont, en aval ou en parallèle de la tâche à sur­veil­ler, en fonction de la per­ti­nence et des pos­si­bi­li­tés dans chaque contexte spé­ci­fique. La par­ti­cu­la­rité des systèmes de contrôle interne réside dans une sur­veil­lance interne à l’en­tre­prise. Con­trai­re­ment à d’autres concepts faisant in­ter­ve­nir des instances de contrôle externes (par exemple des su­per­vi­seurs fi­nan­ciers ou des auditeurs), un bon système de contrôle interne permet aux employés de se contrôler mu­tuel­le­ment.

Pour mettre en place un système de contrôle interne efficace, les en­tre­prises doivent réfléchir à deux aspects : un système de direction interne et un système de gou­ver­nance interne. La première catégorie prend en charge les règles con­cer­nant la direction de l’en­tre­prise. La gou­ver­nance est quant à elle la partie la plus complexe et la plus ramifiée des systèmes de contrôle interne. Dans l’idéal, les mesures doivent se dérouler de façon au­to­ma­tique.

De façon générale, les systèmes de contrôle interne doivent veiller à ce que personne ne puisse se comporter de façon erronée dans l’en­tre­prise, que tous les processus puissent se dérouler en bonne et due forme et que la cor­rup­tion et la cri­mi­na­lité fi­nan­cière soient pros­crites. Les domaines de com­pé­tence d’un système de contrôle interne peuvent toutefois être plus concrets :

• Pro­tec­tion des actifs : les actifs existants doivent être protégés contre des pertes.
• En­re­gis­tre­ment : tous les processus doivent être en­re­gis­trés cor­rec­te­ment et en temps utile.
• Amé­lio­ra­tion : les en­re­gis­tre­ments per­met­tent d’améliorer les processus.
• Respect des règles : le système garantit le respect des règles par toutes les parties prenantes.

Afin d’atteindre ces objectifs, un système de contrôle interne se base sur quatre principes distincts :

• Sé­pa­ra­tion des fonctions : au sein des processus d’en­tre­prise, il est essentiel que les fonctions exé­cu­tives (par ex. les achats), comp­tables (par ex. la comp­ta­bi­lité des stocks) et ad­mi­nis­tra­tives (par ex. la gestion des stocks) ne soient pas assurées par la même personne ou le même groupe.
• Contrôle : tout processus important effectué par un employé doit faire l’objet d’un contrôle par un autre employé.
• Minimum d’in­for­ma­tions : chaque employé doit disposer uni­que­ment des in­for­ma­tions dont il a besoin pour ses tâches.
• Trans­pa­rence : avoir une idée claire de ce que seraient des con­di­tions idéales permettra également à des personnes externes d’évaluer si les tâches ont été exécutées cor­rec­te­ment.

Deux modèles de systèmes de contrôle interne sont fré­quem­ment utilisés et con­si­dé­rés comme très efficaces : COSO et COBIT.

En réalité, COSO est une or­ga­ni­sa­tion privée amé­ri­caine qui se consacre à l’amé­lio­ra­tion générale des struc­tures d’en­tre­prises. Cela inclut notamment les questions d’éthique, mais aussi un grand nombre d’éléments dé­tec­tables par un système de contrôle interne. C’est la raison pour laquelle, dès les années 1990, cette or­ga­ni­sa­tion a développé un cadre pratique qui a été révisé en 2004.

Ce modèle se concentre sur quatre ca­té­go­ries dis­tinctes :

• Strategic : les prin­ci­paux objectifs de l’activité de l’en­tre­prise
• Ope­ra­tions : une uti­li­sa­tion efficace des res­sources
• Reporting : un reporting fiable
• Com­pliance : la con­for­mité à la lé­gis­la­tion

Ces ca­té­go­ries sont liées à cinq com­po­sants :

• L’en­vi­ron­ne­ment de contrôle : ce composant traite prin­ci­pa­le­ment de l’éthique, de la phi­lo­so­phie, des com­pé­tences, mais aussi des aspects struc­tu­rels de l’en­tre­prise. L’en­vi­ron­ne­ment de contrôle est composé de dif­fé­rents standards pour la réa­li­sa­tion des contrôles. Des mé­ca­nismes per­met­tant à la direction d’attribuer des res­pon­sa­bi­li­tés sont également iden­ti­fiés.
• L’éva­lua­tion des risques : quels risques peuvent survenir pour l’en­tre­prise ? L’éva­lua­tion des risques est effectuée sur la base des objectifs concrets de l’en­tre­prise. Tout ce qui peut faire obstacle à la réa­li­sa­tion des objectifs est considéré comme un risque.
• Les activités de contrôle : ce composant est consacré à la réa­li­sa­tion des contrôles. Les décisions et les objectifs in­con­tour­nables de la direction doivent être exécutés in­té­gra­le­ment. Des pro­cé­dures spé­ci­fiques sont utilisées pour la mise en œuvre.
• L’in­for­ma­tion et la com­mu­ni­ca­tion : la diffusion des in­for­ma­tions ainsi que la com­mu­ni­ca­tion interne et externe sont prises en compte dans ce composant. Des rapports oraux ainsi que des manuels et des lignes di­rec­trices écrites peuvent être utilisés pour la trans­mis­sion des in­for­ma­tions.
• La sur­veil­lance : la sur­veil­lance concerne les éva­lua­tions de la procédure. L’ap­pli­ca­tion et le fonc­tion­ne­ment du système de contrôle interne sont vérifiés en continu ou ré­gu­liè­re­ment.

Toutes les ca­té­go­ries con­cer­nent l’ensemble des com­po­sants. Ces tâches doivent être ef­fec­tuées à tous les niveaux de l’en­tre­prise.

En 2017, ce cadre a connu une nouvelle mise à jour pour prendre en compte les nouveaux défis posés par la nu­mé­ri­sa­tion.

Le ré­fé­ren­tiel de l’as­so­cia­tion in­ter­na­tio­nale des auditeurs in­for­ma­tiques porte sur l’in­for­ma­tique des en­tre­prises. Alors que le ré­fé­ren­tiel COSO se concentre en premier lieu sur la comp­ta­bi­lité et la gestion des en­tre­prises, COBIT se penche sur les struc­tures tech­no­lo­giques au sein de l’en­tre­prise. Pour ce faire, la cinquième version du ré­fé­ren­tiel COBIT comporte cinq principes, sept ca­té­go­ries et 37 processus regroupés en cinq domaines.

Les cinq principes de COBIT sont des hy­po­thèses de base :

• Répondre à tous les besoins : tous les souhaits des parties prenantes doivent être sa­tis­faits par le système. Ce principe implique par con­sé­quent de définir les parties prenantes dans un premier temps.
• Couvrir l’in­té­gra­lité de l’en­tre­prise : pour éviter toute perte d’in­for­ma­tions, chaque partie de l’en­tre­prise doit être intégrée au système de contrôle interne, même en dehors des solutions in­for­ma­tiques.
• Intégrer un seul cadre de référence : pour un maximum d’ef­fi­ca­cité, il convient de ne pas utiliser deux cadres de référence en parallèle. Le dou­ble­ment des systèmes augmente non seulement la charge de travail, mais produit également davantage d’erreurs.
• Favoriser une approche ho­lis­tique : COBIT 5 in­ter­vient dans tous les processus d’une en­tre­prise et permet ainsi d’atteindre les objectifs de l’en­tre­prise de façon col­lec­tive.
• Séparer la gou­ver­nance et la gestion : dans un système de contrôle interne efficace, la gestion et la gou­ver­nance doivent être nettement séparée afin d’éviter toute erreur dans les décisions des personnes exé­cu­tantes.

Pour un COBIT 5 efficace, il convient de suivre 7 fa­ci­li­ta­teurs liés les uns aux autres.

• Principes, di­rec­tives et cadres de ré­fé­rences : les objectifs souhaités sont traduits en exé­cu­tions pratiques afin de permettre le travail au quotidien.
• Processus : ce fa­ci­li­ta­teur regroupe un ensemble de pratiques per­met­tant d’atteindre les objectifs fixés.
• Struc­tures or­ga­ni­sa­tion­nelles : ce fa­ci­li­ta­teur est utilisé pour décider dans quel but des rôles clairs sont attribués aux employés.
• Culture, éthique et com­por­te­ment : des com­por­te­ments censés améliorer du­ra­ble­ment la culture de l’en­tre­prise sont in­tro­duits pour l’in­té­gra­lité de l’en­tre­prise, mais aussi pour chaque employé in­di­vi­duel­le­ment.
• In­for­ma­tion : ce fa­ci­li­ta­teur fournit des in­di­ca­tions sur la qualité, la sécurité et l’accès afin de traiter cor­rec­te­ment les in­for­ma­tions, qu’elles pro­vien­nent de l’en­tre­prise ou de l’extérieur.
• Services, in­fras­truc­ture et ap­pli­ca­tions : ce point détermine les tech­no­lo­gies et ap­pli­ca­tions à utiliser pour que l’in­for­ma­tique soit sécurisé et dis­po­nible à tout moment.
• Personnel, aptitudes et com­pé­tences : le niveau de formation et de qua­li­fi­ca­tion de chaque employé est essentiel pour prendre des décisions adéquates et des mesures cor­rec­tives.

Les 37 processus définis par COBIT con­cer­nent quant à eux des cas d’ap­pli­ca­tion concrets dans une en­tre­prise. Ils four­nis­sent des in­di­ca­tions sur la façon dont certains groupes de personnes – ici, COBIT opère à nouveau une dis­tinc­tion entre gestion et gou­ver­nance – doivent se comporter dans des si­tua­tions données.

Aux États-Unis, l’éta­blis­se­ment d’un système de contrôle interne a été rendu obli­ga­toire par la loi Sarbanes-Oaxley. Elle a fait suite aux scandales fi­nan­ciers autour de grandes en­tre­prises telles que Enron et Worldcom qui n’éta­blis­saient pas leurs bilans avec la plus grande honnêteté. Dans le domaine des systèmes de contrôle interne (également à l’in­ter­na­tio­nal), de nom­breuses pratiques ont été dérivées des exigences légales imposées par la loi Sarbanes-Oaxley aux États-Unis. Cette loi amé­ri­caine a également eu des ré­per­cus­sions en France avec la loi sur la sécurité fi­nan­cière (LSF).

Parmi les dis­po­si­tions les plus im­por­tantes de cette loi, on trouve l’éta­blis­se­ment d’un rapport portant sur les pro­cé­dures de contrôle interne ainsi que la création d’un nouvel organisme de contrôle des auditeurs. Il est également fait référence au contrôle interne dans un certain nombre de textes lé­gis­la­tifs comme le code monétaire et financier ou le code de commerce. La diversité des textes ju­ri­diques sur le sujet est ré­vé­la­trice du fait que les exigences dépendent en partie des formes ju­ri­diques des en­tre­prises. Plus récemment, en 2010, l’AMF a publié un cadre de référence des dis­po­si­tifs de gestion des risques et de contrôle interne.

S’y ajoutent d’autres exigences non of­fi­cielles imposées par des or­ga­ni­sa­tions. Les normes de l’Institut français de l’audit et du contrôle internes (IFACI) sont tout par­ti­cu­liè­re­ment dé­ter­mi­nantes dans ce domaine. L’IFACI assiste les pro­fes­sion­nels du contrôle interne en leur proposant des évé­ne­ments, des for­ma­tions et des cer­ti­fi­ca­tions sur le sujet. Sur son site Internet, l’IFACI publie également le Cadre de Référence In­ter­na­tio­nal des Pratiques Pro­fes­sion­nelles de l’audit interne (CRIPP).

Dans la pratique, le système de contrôle interne est adapté aux cir­cons­tances et aux exigences de l’en­tre­prise (ou encore de l’or­ga­ni­sa­tion ou des autorités). Aucun système de contrôle n’est donc identique à un autre. En effet, ce n’est pas la do­cu­men­ta­tion qui permet de garantir des processus sûrs et clairs dans une en­tre­prise, mais bien la culture d’en­tre­prise vécue par les employés et les pratiques as­si­mi­lées. Pour y parvenir, la direction de l’en­tre­prise doit envoyer des signaux forts à chaque employé.

D’autres points fonc­tion­nent quant à eux grâce à des registres détaillés. Il est ainsi possible de veiller à ce que les instances de contrôle disposent des in­for­ma­tions né­ces­saires pour contrôler la gestion (ou d’autres dé­par­te­ments per­ti­nents d’une en­tre­prise). Ce contrôle s’effectue sous la forme de rapports qui pourront être générés sur une base régulière ou en fonction de la situation. Il va de soi que les rapports fi­nan­ciers détaillés pré­sen­tent un plus grand intérêt pour un système de contrôle interne.

Les systèmes de contrôle interne cons­ti­tuent souvent un défi pour les petites en­tre­prises. Mettre en place un tel système de façon efficace requiert du personnel pour procéder aux contrôles. De nombreux dé­par­te­ments de petites en­tre­prises sont souvent cons­ti­tués uni­que­ment d’une ou deux personne(s), auquel cas il est difficile de réaliser des contrôles. La situation est encore plus complexe lorsque la direction de l’en­tre­prise compte une seule personne : il re­vien­drait alors aux employés d’assurer le contrôle de la gestion, ce qui s’avère compliqué dans la pratique.

Il peut être utile de recourir à une approche as­cen­dante dans laquelle les aspects in­di­vi­duels sont pro­gres­si­ve­ment intégrés dans le système de contrôle interne avant de passer par un système ho­lis­tique. Chaque en­tre­prise étant de toute façon tenue d’établir un reporting comptable, ce domaine peut cons­ti­tuer ici un point de départ. Outre une au­to­dis­ci­pline, une do­cu­men­ta­tion adéquate pourra également se révéler un outil pratique pour établir un système de contrôle interne efficace dans des PME.

Les en­tre­pre­neurs con­nais­sent peut-être d’autres systèmes de contrôle, qu’ils ont peut-être déjà établis dans leur en­tre­prise ou en­vi­sa­gent d’établir. Le système de gestion des risques est l’un d’entre eux. Comme les systèmes de contrôle interne et de gestion des risques abordent tous deux la gou­ver­nance des en­tre­prises et la gestion des risques, on pourrait supposer qu’ils sont iden­tiques, pourtant, il s’agit de procédés très dif­fé­rents, même s’il existe certains points communs.

La gestion des risques traite de stra­té­gies de gestion d’en­tre­prise complexes et des dangers pouvant émaner de telles décisions de gestion. Le système de contrôle interne se concentre davantage sur l’activité effective des employés et des gérants. Dans ce cadre, on veille sys­té­ma­ti­que­ment à ce que chacun d’entre eux se conforme aux pres­crip­tions, pres­crip­tions que suit également un système de gestion des risques. Cela signifie d’une part que les systèmes de contrôle interne et de gestion des risques sont in­ter­dé­pen­dants et, d’autre part, qu’il est pertinent d’installer les deux systèmes en parallèle dans une en­tre­prise.

De même, un système de gestion de la con­for­mité ne cor­res­pond à aucun des deux systèmes pré­cé­dents. Un tel système a pour but d’empêcher les actions ou les pratiques illégales de façon concrète. Même s’il s’agit là de risques évidents, ce ne sont pas les seuls. Il est tout à fait possible de se comporter de manière légale tout en mettant l’en­tre­prise en péril par certaines actions.

La révision interne – un autre terme que l’on rencontre fré­quem­ment dans le contexte de la gou­ver­nance d’une en­tre­prise – peut elle aussi être perçue comme une mesure d’un système de contrôle interne. Il s’agit ici d’une sous-catégorie alors que les systèmes de contrôle interne et de gestion des risques, ainsi que les systèmes de gestion de la con­for­mité agissent au même niveau.

Veuillez prendre con­nais­sance des mentions légales en vigueur sur cet article.