Explication des systèmes de contrôle interne

Réduire les risques au minimum est un souhait partagé par toutes les entreprises. Les accidents, les erreurs ou les actes criminels n’ont pas leur place dans les entreprises. Cela est vrai en matière de protection au travail, mais aussi de protection des sites de l’entreprise contre des accès non autorisés par des tiers. Alors que les mêmes règles et mesures peuvent être mises en œuvre pour ces aspects plutôt tangibles, il est plus difficile de garantir la qualité du système financier ou de la gestion. C’est pourquoi de nombreuses entreprises établissent un système de contrôle interne. Celui-ci doit veiller à ce que tout fonctionne comme le souhaite l’entreprise.

Dans une certaine mesure, la direction d’une entreprise contrôle le travail des employés. Mais qui vérifie les actions et les décisions de la direction ? Un système de contrôle interne peut contribuer à améliorer la sécurité d’une entreprise dans ces domaines, mais pas uniquement. Un tel système a pour but d’empêcher les erreurs et les actes criminels. Afin de réduire les risques à un minimum, les systèmes de contrôle interne sont composés de règles et de processus de travail visant à empêcher un maximum les comportements erronés. En suivant ces règles, les employés réduisent la probabilité d’une erreur et tout manquement aux règles peut être rapidement constaté.

Les mécanismes de contrôle sont activés en amont, en aval ou en parallèle de la tâche à surveiller, en fonction de la pertinence et des possibilités dans chaque contexte spécifique. La particularité des systèmes de contrôle interne réside dans une surveillance interne à l’entreprise. Contrairement à d’autres concepts faisant intervenir des instances de contrôle externes (par exemple des superviseurs financiers ou des auditeurs), un bon système de contrôle interne permet aux employés de se contrôler mutuellement.

Pour mettre en place un système de contrôle interne efficace, les entreprises doivent réfléchir à deux aspects : un système de direction interne et un système de gouvernance interne. La première catégorie prend en charge les règles concernant la direction de l’entreprise. La gouvernance est quant à elle la partie la plus complexe et la plus ramifiée des systèmes de contrôle interne. Dans l’idéal, les mesures doivent se dérouler de façon automatique.

De façon générale, les systèmes de contrôle interne doivent veiller à ce que personne ne puisse se comporter de façon erronée dans l’entreprise, que tous les processus puissent se dérouler en bonne et due forme et que la corruption et la criminalité financière soient proscrites. Les domaines de compétence d’un système de contrôle interne peuvent toutefois être plus concrets :

• Protection des actifs : les actifs existants doivent être protégés contre des pertes.
• Enregistrement : tous les processus doivent être enregistrés correctement et en temps utile.
• Amélioration : les enregistrements permettent d’améliorer les processus.
• Respect des règles : le système garantit le respect des règles par toutes les parties prenantes.

Afin d’atteindre ces objectifs, un système de contrôle interne se base sur quatre principes distincts :

• Séparation des fonctions : au sein des processus d’entreprise, il est essentiel que les fonctions exécutives (par ex. les achats), comptables (par ex. la comptabilité des stocks) et administratives (par ex. la gestion des stocks) ne soient pas assurées par la même personne ou le même groupe.
• Contrôle : tout processus important effectué par un employé doit faire l’objet d’un contrôle par un autre employé.
• Minimum d’informations : chaque employé doit disposer uniquement des informations dont il a besoin pour ses tâches.
• Transparence : avoir une idée claire de ce que seraient des conditions idéales permettra également à des personnes externes d’évaluer si les tâches ont été exécutées correctement.

Deux modèles de systèmes de contrôle interne sont fréquemment utilisés et considérés comme très efficaces : COSO et COBIT.

En réalité, COSO est une organisation privée américaine qui se consacre à l’amélioration générale des structures d’entreprises. Cela inclut notamment les questions d’éthique, mais aussi un grand nombre d’éléments détectables par un système de contrôle interne. C’est la raison pour laquelle, dès les années 1990, cette organisation a développé un cadre pratique qui a été révisé en 2004.

Ce modèle se concentre sur quatre catégories distinctes :

• Strategic : les principaux objectifs de l’activité de l’entreprise
• Operations : une utilisation efficace des ressources
• Reporting : un reporting fiable
• Compliance : la conformité à la législation

Ces catégories sont liées à cinq composants :

• L’environnement de contrôle : ce composant traite principalement de l’éthique, de la philosophie, des compétences, mais aussi des aspects structurels de l’entreprise. L’environnement de contrôle est composé de différents standards pour la réalisation des contrôles. Des mécanismes permettant à la direction d’attribuer des responsabilités sont également identifiés.
• L’évaluation des risques : quels risques peuvent survenir pour l’entreprise ? L’évaluation des risques est effectuée sur la base des objectifs concrets de l’entreprise. Tout ce qui peut faire obstacle à la réalisation des objectifs est considéré comme un risque.
• Les activités de contrôle : ce composant est consacré à la réalisation des contrôles. Les décisions et les objectifs incontournables de la direction doivent être exécutés intégralement. Des procédures spécifiques sont utilisées pour la mise en œuvre.
• L’information et la communication : la diffusion des informations ainsi que la communication interne et externe sont prises en compte dans ce composant. Des rapports oraux ainsi que des manuels et des lignes directrices écrites peuvent être utilisés pour la transmission des informations.
• La surveillance : la surveillance concerne les évaluations de la procédure. L’application et le fonctionnement du système de contrôle interne sont vérifiés en continu ou régulièrement.

Toutes les catégories concernent l’ensemble des composants. Ces tâches doivent être effectuées à tous les niveaux de l’entreprise.

En 2017, ce cadre a connu une nouvelle mise à jour pour prendre en compte les nouveaux défis posés par la numérisation.

Le référentiel de l’association internationale des auditeurs informatiques porte sur l’informatique des entreprises. Alors que le référentiel COSO se concentre en premier lieu sur la comptabilité et la gestion des entreprises, COBIT se penche sur les structures technologiques au sein de l’entreprise. Pour ce faire, la cinquième version du référentiel COBIT comporte cinq principes, sept catégories et 37 processus regroupés en cinq domaines.

Les cinq principes de COBIT sont des hypothèses de base :

• Répondre à tous les besoins : tous les souhaits des parties prenantes doivent être satisfaits par le système. Ce principe implique par conséquent de définir les parties prenantes dans un premier temps.
• Couvrir l’intégralité de l’entreprise : pour éviter toute perte d’informations, chaque partie de l’entreprise doit être intégrée au système de contrôle interne, même en dehors des solutions informatiques.
• Intégrer un seul cadre de référence : pour un maximum d’efficacité, il convient de ne pas utiliser deux cadres de référence en parallèle. Le doublement des systèmes augmente non seulement la charge de travail, mais produit également davantage d’erreurs.
• Favoriser une approche holistique : COBIT 5 intervient dans tous les processus d’une entreprise et permet ainsi d’atteindre les objectifs de l’entreprise de façon collective.
• Séparer la gouvernance et la gestion : dans un système de contrôle interne efficace, la gestion et la gouvernance doivent être nettement séparée afin d’éviter toute erreur dans les décisions des personnes exécutantes.

Pour un COBIT 5 efficace, il convient de suivre 7 facilitateurs liés les uns aux autres.

• Principes, directives et cadres de références : les objectifs souhaités sont traduits en exécutions pratiques afin de permettre le travail au quotidien.
• Processus : ce facilitateur regroupe un ensemble de pratiques permettant d’atteindre les objectifs fixés.
• Structures organisationnelles : ce facilitateur est utilisé pour décider dans quel but des rôles clairs sont attribués aux employés.
• Culture, éthique et comportement : des comportements censés améliorer durablement la culture de l’entreprise sont introduits pour l’intégralité de l’entreprise, mais aussi pour chaque employé individuellement.
• Information : ce facilitateur fournit des indications sur la qualité, la sécurité et l’accès afin de traiter correctement les informations, qu’elles proviennent de l’entreprise ou de l’extérieur.
• Services, infrastructure et applications : ce point détermine les technologies et applications à utiliser pour que l’informatique soit sécurisé et disponible à tout moment.
• Personnel, aptitudes et compétences : le niveau de formation et de qualification de chaque employé est essentiel pour prendre des décisions adéquates et des mesures correctives.

Les 37 processus définis par COBIT concernent quant à eux des cas d’application concrets dans une entreprise. Ils fournissent des indications sur la façon dont certains groupes de personnes – ici, COBIT opère à nouveau une distinction entre gestion et gouvernance – doivent se comporter dans des situations données.

Aux États-Unis, l’établissement d’un système de contrôle interne a été rendu obligatoire par la loi Sarbanes-Oaxley. Elle a fait suite aux scandales financiers autour de grandes entreprises telles que Enron et Worldcom qui n’établissaient pas leurs bilans avec la plus grande honnêteté. Dans le domaine des systèmes de contrôle interne (également à l’international), de nombreuses pratiques ont été dérivées des exigences légales imposées par la loi Sarbanes-Oaxley aux États-Unis. Cette loi américaine a également eu des répercussions en France avec la loi sur la sécurité financière (LSF).

Parmi les dispositions les plus importantes de cette loi, on trouve l’établissement d’un rapport portant sur les procédures de contrôle interne ainsi que la création d’un nouvel organisme de contrôle des auditeurs. Il est également fait référence au contrôle interne dans un certain nombre de textes législatifs comme le code monétaire et financier ou le code de commerce. La diversité des textes juridiques sur le sujet est révélatrice du fait que les exigences dépendent en partie des formes juridiques des entreprises. Plus récemment, en 2010, l’AMF a publié un cadre de référence des dispositifs de gestion des risques et de contrôle interne.

S’y ajoutent d’autres exigences non officielles imposées par des organisations. Les normes de l’Institut français de l’audit et du contrôle internes (IFACI) sont tout particulièrement déterminantes dans ce domaine. L’IFACI assiste les professionnels du contrôle interne en leur proposant des événements, des formations et des certifications sur le sujet. Sur son site Internet, l’IFACI publie également le Cadre de Référence International des Pratiques Professionnelles de l’audit interne (CRIPP).

Dans la pratique, le système de contrôle interne est adapté aux circonstances et aux exigences de l’entreprise (ou encore de l’organisation ou des autorités). Aucun système de contrôle n’est donc identique à un autre. En effet, ce n’est pas la documentation qui permet de garantir des processus sûrs et clairs dans une entreprise, mais bien la culture d’entreprise vécue par les employés et les pratiques assimilées. Pour y parvenir, la direction de l’entreprise doit envoyer des signaux forts à chaque employé.

D’autres points fonctionnent quant à eux grâce à des registres détaillés. Il est ainsi possible de veiller à ce que les instances de contrôle disposent des informations nécessaires pour contrôler la gestion (ou d’autres départements pertinents d’une entreprise). Ce contrôle s’effectue sous la forme de rapports qui pourront être générés sur une base régulière ou en fonction de la situation. Il va de soi que les rapports financiers détaillés présentent un plus grand intérêt pour un système de contrôle interne.

Les systèmes de contrôle interne constituent souvent un défi pour les petites entreprises. Mettre en place un tel système de façon efficace requiert du personnel pour procéder aux contrôles. De nombreux départements de petites entreprises sont souvent constitués uniquement d’une ou deux personne(s), auquel cas il est difficile de réaliser des contrôles. La situation est encore plus complexe lorsque la direction de l’entreprise compte une seule personne : il reviendrait alors aux employés d’assurer le contrôle de la gestion, ce qui s’avère compliqué dans la pratique.

Il peut être utile de recourir à une approche ascendante dans laquelle les aspects individuels sont progressivement intégrés dans le système de contrôle interne avant de passer par un système holistique. Chaque entreprise étant de toute façon tenue d’établir un reporting comptable, ce domaine peut constituer ici un point de départ. Outre une autodiscipline, une documentation adéquate pourra également se révéler un outil pratique pour établir un système de contrôle interne efficace dans des PME.

Les entrepreneurs connaissent peut-être d’autres systèmes de contrôle, qu’ils ont peut-être déjà établis dans leur entreprise ou envisagent d’établir. Le système de gestion des risques est l’un d’entre eux. Comme les systèmes de contrôle interne et de gestion des risques abordent tous deux la gouvernance des entreprises et la gestion des risques, on pourrait supposer qu’ils sont identiques, pourtant, il s’agit de procédés très différents, même s’il existe certains points communs.

La gestion des risques traite de stratégies de gestion d’entreprise complexes et des dangers pouvant émaner de telles décisions de gestion. Le système de contrôle interne se concentre davantage sur l’activité effective des employés et des gérants. Dans ce cadre, on veille systématiquement à ce que chacun d’entre eux se conforme aux prescriptions, prescriptions que suit également un système de gestion des risques. Cela signifie d’une part que les systèmes de contrôle interne et de gestion des risques sont interdépendants et, d’autre part, qu’il est pertinent d’installer les deux systèmes en parallèle dans une entreprise.

De même, un système de gestion de la conformité ne correspond à aucun des deux systèmes précédents. Un tel système a pour but d’empêcher les actions ou les pratiques illégales de façon concrète. Même s’il s’agit là de risques évidents, ce ne sont pas les seuls. Il est tout à fait possible de se comporter de manière légale tout en mettant l’entreprise en péril par certaines actions.

La révision interne – un autre terme que l’on rencontre fréquemment dans le contexte de la gouvernance d’une entreprise – peut elle aussi être perçue comme une mesure d’un système de contrôle interne. Il s’agit ici d’une sous-catégorie alors que les systèmes de contrôle interne et de gestion des risques, ainsi que les systèmes de gestion de la conformité agissent au même niveau.

Veuillez prendre connaissance des mentions légales en vigueur sur cet article.