Contrôle interne

Le contrôle interne est un dispositif mis en œuvre par la direction d'une administration (privée comme les entreprises ou publique comme les ministères) pour lui permettre de maîtriser les opérations à risques qui doivent être faites par elle.

Ses ressources sont pour cela mesurées, dirigées et supervisées de façon à permettre au management de réaliser ses objectifs.

C'est une notion fondamentale du management des entreprises et des administrations qui va amener dans les années à venir leur restructuration en profondeur.

Les dimensions du Contrôle Interne

La notion de contrôle interne a plusieurs dimensions :

• La lutte contre la fraude. Cela a été un des moteurs du développement de la notion de contrôle interne. À l'origine, il y a la publication, en 1977 aux États-Unis, du Foreign Corrupt Practices Act (FCPA). Cette loi exige des entreprises qu'elles mettent en place des programmes de contrôle interne. L'objectif était de détecter les fraudes et de protéger les ressources de l'entreprise. Cela concerne d'abord les biens matériels comme les stocks, les comptes clients... mais aussi les biens incorporels comme les brevets, la propriété intellectuelle, les savoir-faire, les marques...
• La sincérité des comptes des entreprises. Ce souhait a été le deuxième moteur du développement du contrôle interne. En 1985 la commission Treadway est née de la prise de conscience des erreurs répétitives constatées dans les comptes d'un certain nombre d'entreprises. Elle s'est fixé comme objectif d'arriver à lutter contre les fraudes constatées dans les Bilans et les Comptes de Résultat de certaines entreprises. En 1992 les travaux du COSO, Committee Of Sponsoring Organisations of the Treadway Commission se sont traduits par un premier rapport : Internal Control - Integration Framework qui s'appelle en français : La pratique du contrôle interne. Il donne une définition communément acceptée de la notion de contrôle interne et détaille un cadre général de mise en place d'un système de contrôle interne et la manière dont il peut être renforcé et amélioré. Puis en 2002 une loi américaine rigoureuse, la Loi Sarbanes-Oxley, permet de renforcer le contrôle des comptabilités concernant les sociétés cotées aux États-Unis. C'est une loi de protection des investisseurs imposant de nouvelles règles concernant la comptabilité et la transparence financière. Plus récemment, en France l'Autorité des marchés financiers, l'AMF, a publié un document de référence définissant la démarche de contrôle interne.
• La mise en place d'une organisation plus efficace et plus performante. L'objectif du contrôle interne évolue. L'objectif de la démarche consiste à disposer des bonnes informations au bon moment afin de prendre les bonnes décisions. De manière plus générale il s'agit de déterminer les objectifs stratégiques, de mettre en place des dispositifs opérationnels et de respecter les lois et les règlements. Le contrôle interne nécessite de mettre en place des procédures qui respectent l'ensemble de ces objectifs tout en améliorant l'efficacité de l'entreprise.

Le développement des méthodes de contrôle interne a une influence importante sur le développement des systèmes d'information, car leur fonctionnement a un impact sur l'efficacité des processus de l'entreprise. Il est pour cela nécessaire de mettre en place des dispositifs de gestion de contrôle adaptés. Ceux-ci reposent à leur tour sur des systèmes d'information permettant d'alimenter des tableaux de bord de suivi des processus.

Les définitions du contrôle interne

Il existe de multiples définitions du contrôle interne : voir Système de contrôle interne et Audit comptable et financier. Une des plus anciennes est celle de B. Fain et V. Faure : "Le contrôle interne consiste en une organisation rationnelle de la comptabilité et du service comptable visant à prévenir, tout au moins à découvrir sans retard, les erreurs et les fraudes". Elle date de 1948. Celle qui aujourd'hui fait référence est celle du COSO : « Le contrôle interne est un processus mis en œuvre par l'organe de direction (c'est-à-dire le Conseil d'Administration), les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :

• réalisation et optimisation des opérations,
• fiabilité des informations financières,
• respect des lois et réglementations en vigueur. »

Cette définition n'est pas parfaite, mais a le mérite de définir le contrôle interne comme un processus et elle précise qu'elle a pour but de mettre la notion d'assurance raisonnable concernant les opérations. Par contre, elle ne prend pas en compte la notion de gestion des risques qui a été prise en compte dans COSO 2. Mais surtout elle ne fait pas référence à l'état des pratiques ni aux processus de l'entreprise.

Cette définition a été largement reprise comme dans le cadre de référence de l'AMF : « Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité. Il comprend un ensemble de moyens, de comportements, de procédures et d’actions adaptés aux caractéristiques propres de chaque société qui :

• contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources, et
• doit lui permettre de prendre en compte de manière appropriée les risques significatifs, qu’ils soient opérationnels, financiers ou de conformité ».

La multiplicité des définitions de la notion de contrôle interne est due à la variété des préoccupations des différents intervenants : cela dépend du métier, du secteur d'activité, des crises rencontrées... Il est certain que la vision du commissaire aux comptes est assez différente de celle de l'auditeur interne, du dirigeant ou du consultant en stratégie.

Il est important de voir qu'on est progressivement passé de la lutte contre la fraude à une démarche plus large très proche de la gouvernance. Mais ces définitions ne sont pas complètes, car elles précisent le « comment » mais ne disent pas le « pourquoi ».

On peut raisonnablement considérer que le contrôle interne est un processus permettant de s'assurer que les opérations de l'entreprise se déroulent en appliquant des bonnes pratiques notamment celles concernant le management et le fonctionnement de ses principaux processus. La notion de bonne pratique est fondamentale. Elle est au cœur de toutes ces démarches. C'est ce que tout professionnel expérimenté sait qu'il devrait mettre en œuvre, mais qu'il ne s'applique pas toujours.

Le besoin de contrôle interne

Le développement du contrôle interne correspond à trois besoins différents :

• la dérive des pratiques des entreprises. Elles sont de différentes natures comme le laxisme de l'application des règles de gestion, l'oubli des règles de contrôle ou de sécurité, les fraudes internes... Elle est due à la perte de certains repères et à l'effacement progressif de la frontière entre ce qui est permis et ce qui ne l'est pas ;
• la montée des risques liée à la globalisation, à la dématérialisation des opérations, la financiarisation... Ce sont des tendances profondes. On n'y peut rien et cela se traduit par une multiplication des situations délicates. Il est pour cette raison nécessaire de mettre en place des mesures appropriées de façon à limiter le niveau des risques ;
• le développement des systèmes d'information. En soit, c'est une bonne nouvelle, mais l'expérience montre que des applications mal conçues ou insuffisamment protégées peuvent se traduire par des fragilités importantes.

Le contrôle interne a pour objectif de renforcer et de systématiser les dispositifs de contrôle permettant de s'assurer que les opérations courantes de l'entreprise se déroulent normalement. C'est une évolution importante de la démarche de contrôle. Traditionnellement les contrôles se faisaient de manières ponctuelles comme des audits. Dans une démarche de contrôle interne, on cherche à mettre en place des contrôles permanents. Parallèlement on assiste à l'apparition dans les entreprises de Directions du Contrôle Interne et de Directions des Risques chargées de prendre en compte l'ensemble de ces opérations

Les interlocuteurs concernés par le contrôle interne

Le contrôle interne concerne l'ensemble des organes de direction d'une entreprise et notamment :

• le Conseil d'Administration. Il rend compte aux actionnaires et il est à ce titre directement intéressé par le niveau de contrôle interne de l'entreprise. Il doit notamment s'assurer que les procédures internes garantissent la régularité et la sincérité des comptes sociaux. De plus en plus souvent les constatations faites sont reportées à l'Assemblée Générale des actionnaires.
• le Comité d'audit est composé d'administrateurs indépendants chargés d'initier et de suivre les missions d'audit. À ce titre, il a pour mission de demander le renforcement des procédures de contrôle interne.
• le Commissaire aux comptes doit, dans le cadre de sa mission légale, s'assurer de l'existence et de l'efficacité des procédures de contrôle interne. Dans les grandes entreprises, il doit évaluer le rapport de la direction générale sur l'ensemble des procédures de l'entreprise.
• la direction générale a la responsabilité de mettre en place des procédures de contrôle interne et, si c'est nécessaire, de les renforcer. Très souvent l'équipe d'audit interne lui est rattachée.
• le comité de direction est souvent amené à s'intéresser aux pratiques de contrôle interne mis en œuvre par les principaux décideurs de l'entreprise qui en font partie. Ils ont la responsabilité de s'assurer qu'on applique effectivement les bonnes pratiques.
• la direction de l'audit doit veiller à la mise en place des règles de contrôle interne. Il a la responsabilité de s'assurer qu'elles sont effectivement appliquées et donnent les résultats attendus.
• la direction des risques a la mission de les évaluer. Ils peuvent être liés à l'activité principale de l'entreprise (risques métiers) mais aussi aux activités accessoires dont l'informatique (risques opérationnels).
• la direction financière est particulièrement intéressée par la mise en œuvre des règles de contrôle interne. La sincérité des comptes est directement liée à leur application.
• la direction juridique doit s'assurer que tous les contrats signés avec les clients, les fournisseurs et les salariés sont conformes aux règles contractuelles se trouvant dans la charte juridique de l'entreprise.
• la direction des systèmes d'information est au cœur de l'application des règles de contrôle interne. Les programmes les exécutent. Il faut s'assurer qu'ils fonctionnent correctement et donnent les résultats attendus.

Comme on le voit toutes les unités de l'entreprise sont concernées par le contrôle interne. Il s'agit de l'affaire de tous.

Le rôle et les responsabilités du contrôle interne

Il existe dans un nombre croissant d'entreprises une direction de l'audit interne ou une direction du contrôle interne. On peut s'interroger sur son rôle et ses responsabilités. Est-ce que les auditeurs internes sont responsables du contrôle interne de l'entreprise ? Très souvent les responsables de ces équipes le pensent. Mais, il faut être clair, la responsabilité du contrôle interne relève de la direction générale. Dans ce contexte les équipes d'audit interne doivent s'assurer que les procédures de contrôle interne sont en place, fonctionnent et donnent les résultats attendus.

En fait, tous les salariés de l'entreprise sont responsables du contrôle interne. Quels que soient leur métier et les tâches qui leur sont confiés, ils doivent veiller à ce que les instructions qui leur sont données soient effectivement appliquées. Dans ce contexte, le management de l'entreprise a la responsabilité de mettre en place des dispositifs de contrôle suffisants dans le cadre des instructions qu'il donne aux personnes placées sous ses ordres.

La description des dispositifs de contrôle interne

La qualité et l'efficacité du contrôle interne dépend de la mise en place d'un certain nombre de dispositifs tel que :

• les règles de contrôle interne,
• le rôle de l'audit,
• la gouvernance de l'entreprise,
• l'importance des systèmes d'information,
• le rôle du reporting du contrôle interne.

Les règles de contrôle interne

Il existe de nombreuses règles de contrôle interne et parmi celles-ci on peut distinguer des règles générales et des règles particulières.

• Les règles générales s'appliquent à toutes les fonctions et à tous les processus de l'entreprise :
  • la séparation des fonctions. Des règles strictes doivent être appliquées pour qu'une même personne ne soit pas à la fois chargée d'une action et en même temps d'en contrôler l'exécution,
  • tracer les transactions. Il est nécessaire d'enregistrer toutes les opérations effectuées permettant ensuite de reconstituer les opérations,
  • la conservation des documents. Il faut pouvoir retrouver les pièces justificatives des opérations.
  • la surveillance des opérations permet de s'assurer que les opérations se déroulent normalement sans incident,
  • la sécurité des opérations. Il faut pouvoir assurer un bon niveau de sécurité de façon à pouvoir redémarrer rapidement après un incident sans perdre d'information significative.

• Il existe aussi des règles particulières propre à une activité spécifique :
  • la gestion d'un projet. Il existe un certain nombre de règles permettant de réduire les risques de dérives.
  • la prise d'une commande et la facturation doivent appliquer des règles spécifiques liées à la nature de l'activité.
  • l'établissement de la paie doit aussi appliquer des règles très strictes.

Ces règles sont les bonnes pratiques que tout professionnel connaît et doit appliquer. La réalité est souvent plus délicate, car ces règles sont parfois imparfaitement appliquées, et même dans certains cas elles sont totalement ignorées.

Face aux situations scabreuses rencontrées aux États-Unis, la loi Sarbanes-Oxley a fait obligation aux entreprises de renforcer les dispositifs de contrôle interne. La section 404 fait obligation à toutes les entreprises cotées à une bourse située aux États-Unis d'évaluer les dispositifs de contrôle interne et d'établir un rapport annuel de contrôle interne. Un organisme de contrôle le PCOAB, Public Company Accounting Oversight Board, est chargé de fixer des normes précisant les contrôles qui doivent être effectués.

Le rôle de l'audit

Les techniques de contrôle interne sont fortement influencées par la pratique de l'audit. En effet l'auditeur interne ou externe est amené à constater des situations à risques et à proposer des recommandations permettant de les diminuer. Le but de l'audit est donc de réduire le niveau de risque de façon à obtenir une assurance raisonnable du bon fonctionnement de la fonction ou du processus audité.

Pour effectuer ce travail, l'auditeur va baser sa démarche sur sa connaissance des objectifs de contrôle du domaine audité. Or ces derniers reposent sur la connaissance qu'il a des bonnes pratiques. Elles sont la base des règles de contrôle interne qu'il faut vérifier. L'audit est donc à la base de toute démarche de contrôle interne. L'auditeur, qu'il soit interne ou externe, va donc s'assurer que les règles de contrôle interne sont effectivement appliquées et donnent les résultats attendus.

La gouvernance de l'entreprise

Derrière la notion de contrôle interne il y a celle de gouvernance de l'entreprise. C'est une préoccupation apparue dans les années 1990 face à la multiplication des situations curieuses, voire scabreuses, rencontrées dans un certain nombre d'entreprises. C'est un mouvement international apparu aux États-Unis et qui a été repris dans tous les pays développés dont la France (Rapports Viénot I, Mariani, Viénot II, Bouton, Clément…). Il a pour but d'améliorer la manière dont les entreprises sont dirigées. Cela s'est traduit aux États-Unis par la loi Sarbanes-Oxley et en France par la loi de sécurité financière.

La gouvernance d'entreprise repose sur un ensemble de règles simples qui permettent d'assurer un meilleur fonctionnement de l'entreprise. Elle repose sur une clarification des rôles de la direction générale et du conseil d'administration. C'est une nouvelle répartition des rôles entre les différents organes de gestion de l'entreprise. Par exemple les grandes entreprises doivent mettre en place un comité d'audit dont les membres doivent de préférence être des administrateurs indépendants. La loi de Sécurité Financière fait de plus obligation aux plus grandes entreprises d'analyser leurs processus et d'établir un rapport les décrivant. Les Commissaires aux Comptes de l'entreprise doivent valider ce document et en informer l'Assemblée Générale des actionnaires.

Pour améliorer la gouvernance des entreprises il est nécessaire de mettre en place des processus adaptés prenant en charge les principales opérations de l'entreprise comme les achats, les ventes, la production, la logistique... Si on veut améliorer l'efficacité de l'entreprise il est nécessaire de les rendre plus efficaces. On va pour cela les rationaliser, les simplifier et les informatiser. Ceci se traduit par la rédaction de procédures décrivant les processus. C'est une pièce fondamentale du contrôle interne.

L'importance des systèmes d'information

Les progrès réalisés ces dernières années en matière informatique ont permis un développement important des systèmes d'information des entreprises. Ils constituent aujourd'hui leur cœur. Il est pour cela nécessaire de les mettre en œuvre en respectant les principes de la gouvernance des systèmes d'information. Ils permettent de faire fonctionner efficacement les règles de contrôle interne.

Aujourd'hui la plupart des règles de contrôle interne sont mises en œuvre à l'aide des systèmes d'information des entreprises. Ils comportent d'abord les contrôles informatiques traditionnels tels que la validation des données saisies, mais aussi le contrôle des bases de données existantes, le contrôle des traitements, le contrôle des éditions ou des consultations. Les actions de contrôle interne portent aussi sur l'amélioration de l'efficacité des opérations, le pilotage des processus et la mise en place des tableaux de bord décrivant les activités.

Pour améliorer le niveau du contrôle interne des entreprises on va s'attacher à perfectionner le fonctionnement des systèmes d'information. Pour cela on va veiller à mieux maîtriser le management des systèmes d'information.

L'importance du reporting du contrôle interne

Les opérations de contrôle interne sont nombreuses et variées. Elles se traduisent par de nombreux signalements qui indiquent que tout se passe bien ou bien que quelque chose d'anormal est survenu. Ce sont souvent des dysfonctionnements ou des incidents. Ces événements doivent rapidement remonter vers les décideurs pour que des mesures soient prises. C'est la base du contrôle interne.

Ainsi une base de données des contrôles effectués, des anomalies constatées, des suites données aux incidents... est constituée. Elle permet de suivre les incidents et ainsi apprécier le degré de maîtrise des processus de l'entreprise.

Il est pour cela nécessaire d'établir périodiquement une synthèse des incidents constatés, des corrections effectuées, mais aussi rendre compte des contrôles positifs effectués. Pour cela, à partir de la base de données du contrôle interne on va établir un tableau de bord du contrôle interne de l'entreprise, du processus ou de la fonction concernée.

Le contrôle interne dans la banque

Parmi toutes les entreprises existantes les banques sont celles connaissant des niveaux de risques les plus élevés. Pour cette raison, il est nécessaire de mettre en place un dispositif de contrôle interne permettant d'identifier ces risques et de prendre des mesures permettant de réduire leur impact.

La réglementation internationale des banques est fixée par le Comité de Bâle. La réglementation dite Bâle II, publiée en 2004, fixe le minimum de fonds propres (8 %) que doit couvrir la banque dans les crédits qu'elle octroie. Elle leur impose aussi d'évaluer les risques opérationnels. Pour cela les banques doivent renforcer leurs dispositifs de contrôle interne. Ce sont un certain nombre de procédures dont le but est d'atténuer les risques. Les banques européennes ont eu l'obligation de mettre en œuvre ces règles à partir de 2008.

Sans attendre le Comité de la réglementation bancaire et financière a mis en place en 1997 un règlement le CRBF 97.02 sur les « Conditions d'exercice du contrôle interne des établissements bancaire » qui impose aux banques d'établir un système de contrôle interne. Il précise dans son article 1 le contenu :

a) un système de contrôle des opérations et des procédures internes ;

b) une organisation comptable et du traitement de l’information ;

c) des systèmes de mesure des risques et des résultats ;

d) des systèmes de surveillance et de maîtrise des risques ;

e) un système de documentation et d’information ;

f) un dispositif de surveillance des flux d’espèces et de titres.

« Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l’ensemble des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques de différentes natures auxquels elles sont exposées.»

Les limites du contrôle interne

L'objectif du contrôle interne est d'arriver à une assurance raisonnable du bon fonctionnement de l'entreprise. Mais ce n'est pas une garantie absolue. Il est toujours possible qu'un fraudeur particulièrement astucieux profite des failles des procédures internes pour commettre un vol au détriment de l'entreprise.

Il est probable que le renforcement des dispositifs de contrôle interne doit permettre d'éviter cela. Souvent cela s'accompagne d'un alourdissement des procédures. Au lieu d'améliorer l'efficacité de l'entreprise on ne réussit qu'à augmenter la lourdeur de sa bureaucratie.

De manière plus générale on constate que l'atteinte des objectifs de l'entreprise ne dépend pas uniquement des facteurs internes. Si le marché s'effondre ou si un concurrent bénéficie d'une innovation majeure, l'entreprise peut avoir des processus efficaces et performants, mais elle sera en situation de risque vital.

Notes et références

Voir aussi

Articles connexes

• Système de contrôle interne
• Audit
• COSO
• Loi Sarbanes-Oxley
• Loi de sécurité financière
• Autorité des marchés financiers (AMF)
• Institute of Internal Auditors (IIA)
• Institut français des auditeurs et contrôleurs internes (IFACI)
• Bâle II
• Audit comptable et financier
• Management du système d'information

Liens externes

• L'Autorité des marchés financiers, AMF
• Le Committee Of Sponsoring Organisations of the Treadway Commission, le COSO
• Le Public Company Accounting Oversight Board : PCAOB

Bibliographie

• COSO 1 : Internal Control - Integration Framework, traduction française : La pratique du contrôle interne, 2002, Éditions d'Organisation, (ISBN 2708127136)
• COSO 2 : Entreprise Risk Management Framework, traduction française : Le management des risques de l'entreprise : cadre de référence, techniques d'application, 2005, Éditions d'Organisation, (ISBN 2708134329)
• AMF : Le dispositif de contrôle interne : Cadre de référence, 2007
• AFAI : Contrôle Interne et Système d'information 2^e édition

•   Portail de la finance
•   Portail du management
•   Portail de l’informatique