13

CONTRÔLE
INTERNE

Cadre intégré du contrôle interne

(COSO 1)
Présenté par Abderraouf YAICH

Le cadre intégré du contrôle interne est un référentiel hiérarchie et le personnel d'une entreprise. Il est destiné
de concepts constituant une approche nouvelle à fournir une assurance raisonnable quant à la
du contrôle interne visant à concilier les impératifs réalisation des trois catégories d'objectifs suivantes :
d'efficacité et d'efficience (c'est-à-dire visant à favoriser
une performance optimisée à un coût compatible). (1) La réalisation et l'optimisation des
Ce référentiel a, fondamentalement, une vocation opérations : cette catégorie d'objectifs regroupe les
d'évaluation et d'auto-évaluation du contrôle interne en objectifs de base de l'entreprise, y compris ceux relatifs
place plutôt que de conception des procédures au sens aux performances, à la rentabilité et à la protection des
de design et d'architectures des contrôles. ressources. Le contrôle interne ne saurait garantir la
Le COSO conçoit le contrôle interne comme une réussite des activités opérationnelles qui est fonction
solution à un large éventail de risques. Il définit le de facteurs tels que la compétence de jugements
contrôle interne à travers trois objectifs et le décrit par et des prises de décision de qualité de la direction
cinq éléments ou composantes.
et du personnel, les compétences et les habiletés
Le cadre intégré du contrôle interne constituant le techniques, l'innovation et l'efficacité de la recherche
référentiel COSO est formé par : développement, l'efficacité des services commerciaux
1. Une définition large du contrôle interne englobant et de marketing, etc... En revanche, le contrôle interne
tous les aspects liés à la maîtrise d'une activité basée permet de savoir de façon fiable et pertinente dans
sur le concept transversal de processus mis en œuvre quelle mesure les objectifs opérationnels de l'entreprise
par des personnes et fournissant une assurance sont atteints.
raisonnable et la classification des objectifs du contrôle
interne en trois catégories (opérationnel, fiabilité et (2) La fiabilité des informations financières :
compliance). cette catégorie d'objectifs couvre la préparation d'états
financiers fiables et pertinents, incluant les états
2. La décomposition du système de contrôle interne
en cinq éléments ou composantes (environnement financiers intermédiaires et les informations publiées
de contrôle, évaluation des risques, activités de extraites des états financiers, telles que les publications
contrôle, information et communication et pilotage) des résultats intermédiaires.
et l'établissement des liens entre les objectifs et les
(3) La conformité aux lois et aux règlements
éléments du contrôle interne.
en vigueur : cette catégorie d'objectifs se rapporte
3. Les rôles et responsabilités du contrôle interne.
à la conformité aux lois et aux règlements auxquels
4. Les critères d'efficacité. l'entreprise est soumise.
5. Et, les limites du contrôle interne.
Tout en étant distinctes, les trois catégories d'objectifs
Section 1. Définition du contrôle interne de contrôle interne se recoupent : elles répondent à des
Le COSO définit le contrôle interne comme étant «un besoins différents et appellent à mettre en place des
processus mis en œuvre par la direction générale, la contrôles répondant à chacun de ces besoins.

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

14

La définition du contrôle interne englobe les sous- Les cinq éléments s'appliquent à chacune des
systèmes de contrôle interne à l'échelle de toute catégories d'objectifs du contrôle interne. Il est, par
entreprise et à l'échelle des unités ou des activités conséquent, important d'établir les liens entre les
spécifiques. objectifs et les éléments du contrôle interne (§ 6).

La définition COSO du contrôle interne, qui est Il existe des synergies, des rapports dialectiques et
pratiquement reprise par tous les référentiels, repose une étroite complémentarité entre ces cinq éléments
sur certains concepts fondamentaux à savoir : qui forment ensemble un système intégré capable de
réagir de façon dynamique à toute menace tendant à
(i) le contrôle interne est un processus. Il constitue l'affaiblir.
un moyen d'arriver à ses fins et non pas une fin en
Alors que tout système de contrôle interne est étroitement
soi.
lié aux activités opérationnelles de l'entreprise,
(ii) le contrôle interne est mis en œuvre par des l'existence d'un contrôle interne efficace est essentielle
personnes. L'efficacité du contrôle interne ne peut se à la bonne marche des activités opérationnelles qui
suffire de l'existence de manuels de procédures et d'une forment l'objet même de l'entreprise.
documentation appropriée ; elle est assurée par des
Il est, à ce titre, un support et un soutien aux activités
personnes à tous les niveaux de la hiérarchie.
opérationnelles sans lequel aucune entreprise ne
(iii ) le management et la direction ne peuvent peut réussir de façon durable. Ainsi, si le contrôle ne
attendre du contrôle interne qu'une assurance garantit pas la réussite des activités opérationnelles,
raisonnable, et non une assurance absolue. sa déficience en accélère l'échec et rend le risque
d'échec plus dramatique. Le contrôle interne facilite
(iv) Le contrôle interne est axé sur la réalisation
la mise en œuvre des actions visant à améliorer
d'objectifs dans un ou plusieurs domaines (ou
la sécurité et la qualité et à aider les personnes à
catégories) qui sont distincts mais qui se recoupent.
s'acquitter de leurs responsabilités se traduisant par
Section 2. Les éléments du contrôle interne la réduction des dépenses et des pertes inutiles et à
la saisie des opportunités. Il s'érige, dans ce sens, en
Le contrôle interne est décomposé par le référentiel
un véritable outil de performance et de valorisation des
COSO en cinq éléments :
entreprises. Les systèmes de contrôle interne les plus
1. L'environnement de contrôle (§ 1). performants sont ceux qui sont efficacement incorporés
dans l'infrastructure et le système d'information de
2. L'évaluation des risques (§ 2).
l'entreprise au point d'en faire partie intégrante,
3. Les activités de contrôle (§ 3).
notamment grâce à une utilisation judicieuse des
4. L'information et la communication (§ 4). technologies de l'information et de la communication
5. Le pilotage (§ 5). et qui font partie de la culture de l'entreprise.

Eléments du contrôle interne

(COSO 1 : Internal control, Integrated Framework)

L'environnement de contrôle constitue le «millieu» dans lequel

les personnes accomplissent leurs tâches et assument leurs
PIL responsabilités en matière de contrôle. Il sert de base pour les
OT
AGE
autres éléments du contrôle interne. Dans cet environnement,
les dirigeants évaluent les risques susceptibles de mettre en
CO
N O

cause la réalisation d'objectifs spécifiques. Les activités de

NICATI

M
N

UN

ACT LE
O

IVIT RÔ contrôle sont mises en place pour permettre à la direction de

I

IC
AT

ÉS D
E NT
AT
RM

CO
COMMU

s'assurer que ses directives visant à traiter ces risques ont

ION
FO
IN

ÉVA S été exécutées. Entre-temps, les informations pertinentes sont

ATION

LUA
TION UE
SQ recueillies et communiquées à l'ensemble de l'organisation. Le
DES RI
INFORM

processus complet fait l'objet d'un pilotage et de modifications

E
ENV ÔL le cas échéant.
IRON N TR
NEM CO
ENT
DE
(Source : traduction du COSO 1, IFACI & Cooperts & Lybrand, la nouvelle
pratique du contrôle interne, édition d'organisation, page 29)

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

 15

§ 1. L'environnement de contrôle La haute direction et le management de ces entreprises

font preuve d'une large conscience de la nécessité de
Le référentiel COSO qualifie l'environnement de
montrer l'exemple par les dires, les attitudes, les gestes
contrôle comme étant «un élément très important
et les actions. A cette fin, ils élaborent des normes
de la culture d'une entreprise, puisqu'il détermine le
et procédures appropriées favorisant l'adhésion aux
niveau de sensibilisation du personnel au besoin de
valeurs de l'organisation et le travail en équipe pour la
contrôle. Il constitue le fondement de tous les autres
réalisation des objectifs» (1).
éléments du contrôle interne, en imposant discipline
et organisation. § 2. Evaluation des risques

Les facteurs ayant un impact sur l'environnement de L'évaluation des risques est un processus qui s'appuie
contrôle comprennent notamment : sur la fixation des objectifs alignés sur la stratégie,

- l'intégrité, compatibles et cohérents. Elle consiste d'abord à

identifier les événements et analyser les facteurs qui
- l'éthique,
peuvent compromettre la réalisation des objectifs et
- la compétence du personnel,
leur niveau de gravité en vue de déterminer comment
- la philosophie des dirigeants, ces risques doivent être gérés.
- le style de management,
Selon le référentiel COSO «les risques peuvent mettre
- la politique de délégation des responsabilités, en cause :
- la politique d'organisation, - la survie de l'entreprise,
- la politique de formation, - sa compétitivité au sein du secteur économique,
- et, l'intérêt manifesté par l'organe de direction et sa - sa situation financière,
capacité à indiquer clairement les objectifs. - son image de marque,

L'environnement de contrôle interne exerce une - la qualité de ses produits,

influence profonde sur : - la qualité de ses services,
- la façon dont les activités sont structurées, - et la qualité de son personnel.
- la définition des objectifs et l'évaluation des Sur le plan pratique, il n'existe aucun moyen d'éliminer
risques. tous les risques (le risque zéro n'existe pas). En effet,
Il a un impact sur : le risque est inhérent aux affaires. Il appartient donc
aux dirigeants de déterminer le niveau de risques
- les activités de contrôle,
acceptable et de s'efforcer de les maintenir à ce
- les systèmes d'information et de communication,
niveau.
- ainsi que le système de pilotage (suivi des
Fixer des objectifs est une condition préalable à
opérations).
l'évaluation des risques. Le management doit se fixer
Cette influence s'exerce non seulement au niveau de
des objectifs avant d'identifier les risques qui sont
la conception des systèmes mais également dans leur
susceptibles d'avoir un impact sur leur réalisation et
fonctionnement quotidien.
prendre les mesures nécessaires. L'établissement des
Particulièrement, l'histoire et la culture de l'entreprise objectifs est donc une étape-clé de la conduite des
jouent un rôle sur l'environnement de contrôle en ce affaires. Bien que n'étant pas un élément du contrôle
qu'elles favorisent la sensibilisation du personnel au interne, cette étape constitue une condition préalable
besoin de contrôle. qui donne de la pertinence au contrôle interne» (2).

Les entreprises efficacement contrôlées s'efforcent de

s'entourer de personnel compétent et d'inculquer un (1) COSO 1, page 36.

esprit d'intégrité. (2) COSO 1, op. cit., pages 49 et 50.

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

16

§ 3. Activités de contrôle nécessaires à la prise de décision pertinente comme

au reporting externe» (3).
Le COSO 1 définit les activités de contrôle comme
étant l'application des normes et procédures destinées L'information pertinente doit être communiquée de
à assurer l'exécution des directives émises par le façon efficace aux personnes qui en ont besoin, sous
management en vue de maîtriser les risques. une forme intelligible et dans les délais adéquats leurs
permettant d'assumer leurs responsabilités et d'effectuer
«Les activités de contrôle sont menées à tous les
les contrôles qui leurs incombent. La communication
niveaux hiérarchiques et fonctionnels de la structure et
implique une circulation multidirectionnelle, c'est-
comprennent des actions aussi variées qu'approuver
à-dire ascendante, descendante et transversale.
et autoriser, vérifier et rapprocher, apprécier les
«Le management doit transmettre un message très
performances opérationnelles, la sécurité des actifs
clair à l'ensemble du personnel sur l'importance des
ou la séparation des fonctions» (1).
responsabilités de chacun en matière de contrôle. Les
Les opérations de contrôle permettent de s'assurer employés doivent comprendre le rôle qu'ils sont appelés
que les mesures nécessaires sont conçues et mises à jouer dans le système de contrôle interne, ainsi que
en œuvre en vue de maîtriser les risques susceptibles la relation existant entre leurs propres activités et celles
d'affecter la réalisation des objectifs de l'entreprise des autres membres du personnel. Ils doivent être en
relevant des trois domaines d'objectifs : le domaine mesure de faire remonter les informations importantes.
opérationnel, le domaine de l'information financière Par ailleurs, une communication efficace avec les tiers
et le domaine du respect des contraintes légales et tels que clients, fournisseurs, autorités ou actionnaires,
réglementaires. est également nécessaire» (4).

«Les contrôles peuvent s'appliquer spécifiquement à § 5. Le pilotage

un domaine, ou en recouper plusieurs. En effet, selon
Le système de contrôle interne n'échappe pas lui-même
les circonstances, une activité de contrôle donnée peut
à la nécessité d'être contrôlé. Le pilotage permet de
contribuer à la réalisation d'objectifs couvrant plusieurs
vérifier que le contrôle interne fonctionne de façon
catégories. Ainsi, les opérations de contrôle relatives au
permanente efficacement.
domaine opérationnel peuvent contribuer à la fiabilité
des informations financières, celles-ci pouvant elles- Le pilotage du contrôle interne couvre toutes les
mêmes contribuer au respect des contraintes légales activités de l'organisation pouvant aller jusqu'à inclure
et réglementaires, et ainsi de suite» (2). les sous-traitants et l'audit interne.

§ 4. Information et communication Les opérations de pilotage sont pratiquées à travers

les activités courantes et par le biais des évaluations
L'information fiable et pertinente permet à chacun
ponctuelles.
d'assumer ses responsabilités. Le référentiel COSO 1
précise que «les systèmes d'information produisent, Activités de surveillance permanente ou courante
entre autres, des données opérationnelles financières du contrôle interne : L'idéal est que le système de
ou encore liées au respect des obligations légales et contrôle interne soit structuré de façon à assurer sa
réglementaires, qui permettent de gérer et contrôler propre surveillance de façon permanente. Le COSO 1
l'activité. Ces systèmes traitent non seulement les précise que les procédures courantes de surveillance
données produites par l'entreprise mais également intégrées à la chaîne des activités sont exécutées sur le
celles qui, liées à son environnement externe, sont champ et permettent une réaction immédiate face aux

(1) COSO 1, op. cit., page 71. (3) COSO 1, op. cit., page 83.
(2) COSO 1, op. cit., pages 71 et 72. (4) COSO 1, op. cit., page 84.

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

 17

évolutions et une détection plus rapide des anomalies. performances et bénéficier d'un benchmark avec les
C'est parce que de telles procédures intégrées sont meilleures pratiques de contrôle interne.
enracinées dans les habitudes de l'organisation qu'elles Plus la surveillance intégrée et la surveillance par le
sont plus efficaces que les procédures d'évaluation personnel lui-même, y compris l'auto-évaluation et la
ponctuelles. surveillance par les organes permanents, est efficace
et étendue, moins les évaluations séparées seront
La surveillance courante et permanente est assurée
fréquentes.
par les contrôles intégrés, le personnel, l'audit interne
et externe et le management. Combinaison des deux méthodes : Le référentiel
COSO 1 considère qu'en général, la combinaison des
Activités de surveillance ponctuelles du contrôle
deux méthodes de surveillance (surveillance courante
interne : Les activités d'évaluation ponctuelles sont et surveillance ponctuelle par auto-évaluation et
des contrôles additifs qui peuvent être menées par le évaluation séparée) permet au système de contrôle
personnel responsable (il s'agit dans ce cas d'auto- interne de conserver toute son efficacité.
évaluation) ou de façon séparée par un professionnel
§ 6. Liens entre les objectifs et les éléments
externe.
du contrôle interne
Même lorsque les opérations courantes de surveillance Les cinq composantes du contrôle interne sont les
sont efficaces et réalisées de façon rigoureuse, le éléments nécessaires pour réaliser les objectifs du
système de contrôle interne a besoin de se soumettre contrôle interne. Il existe, par conséquent, des liens
de temps en temps à une évaluation ponctuelle étroits entre les objectifs du contrôle interne et les
pour assurer la maintenance de sa qualité et de ses composantes du contrôle interne.

Liens entre les objectifs et les éléments du contrôle interne

(COSO 1 : Internal control, Integrated Framework)
Il existe un lien direct entre les Le contrôle interne s'applique à l'entreprise dans son
trois catégories d'objectifs (ce que ensemble ou à l'une quelconque de ses unités ou
l'entreprise cherche à atteindre) et activités
les éléments du contrôle interne (qui
NS NS TÉ
IO TIO S MI
représentent ce qui est nécessaire AT
ÉR MA RE OR
OP F OR NCIÈ NF
pour réaliser les objectifs). IN INA CO
F
PILOTAGE
ACTIVITÉS 2

INFORMATION ET COMMUNICATION
ACTIVITÉS 1
UNITÉ B
UNITÉ A

ACTIVITÉS DE CONTROLE

EVALUATION DES RISQUES

ENVIRONNEMENT DE CONTRÔLE

Des informations sont nécessaires Les cinq éléments du contrôle interne sont tous
pour atteindre les objectifs des trois applicables et jouent tous un rôle important dans la
catégories - afin d'assurer une gestion réalisation des objectifs opérationnels.
efficace des opérations, de préparer des
états financiers fiables et de contrôler la
conformité aux lois et réglementations.

(Source : traduction du COSO 1, IFACI & Cooperts & Lybrand, la nouvelle pratique du contrôle interne, édition d'organisation, page 29)

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

18

Dans le modèle COSO, pour étudier dans quelle mesure Section 3. Rôles et responsabilité
la direction dispose d'une assurance raisonnable qu'une
Chaque dirigeant, chaque cadre et chaque membre du
catégorie d'objectifs est réalisée de façon efficace, il
personnel joue un rôle et assume une responsabilité
convient de s'assurer que chacun des cinq éléments est
de contrôle interne. Les tiers et partenaires externes
présent et que l'ensemble des éléments fonctionnent de l'entreprise et l'environnement externe jouent aussi
ensemble efficacement. un rôle et exercent une influence sur l'efficacité du

De même, le COSO 1 précise que la classification contrôle interne.

des objectifs, en trois catégories, permet d'étudier § 1. Les opérateurs internes

séparément chacun des aspects du contrôle interne.
Les opérateurs internes forment l'ensemble des
Bien que distinctes, les catégories peuvent se dirigeants et du personnel à savoir :
chevaucher : un objectif donné peut rentrer dans
- Le management ;
plus d'une catégorie. Les objectifs couvrent différents
besoins et peuvent relever de la responsabilité directe - Le conseil d'administration et le comité d'audit ;

de différentes structures dans l'entreprise. - Les cadres financiers ;

Le COSO décrit les liens entre les objectifs et les - Les autres membres du personnel ;
éléments du contrôle interne comme suit : «il existe
- Les auditeurs internes.
un lien direct entre les trois catégories d'objectifs que
l'organisation cherche à atteindre, et les composantes 1. L'exemplarité du management : Les dirigeants

du contrôle interne nécessaires à leur réalisation. exécutifs assument la paternité du système de contrôle
interne. Plus que toute autre personne, ils doivent
Chaque élément du contrôle interne croise et couvre donner l'exemple en matière d'intégrité, d'éthique et de
les trois catégories d'objectifs. Par exemple, les conformité aux règles de contrôle interne.
informations financières et non financières provenant
Leur exemplarité contribue de façon marquante à la
de sources internes et externes, constituant l'élément
formation d'un environnement de contrôle favorable.
«information et communication», sont indispensables
à la gestion efficace des opérations, à la préparation 2. Le conseil d'administration et le comité
d'états financiers fiables et pertinents et au contrôle d'audit : Le conseil d'administration joue un rôle

de la conformité aux lois et réglementations en important de contrôle du management.

vigueur. L'établissement et l'application des normes Le conseil d'administration définit ses attentes puis
et procédures de contrôle destinées à s'assurer de s'assure dans quelle mesure ces attentes sont
l'exécution des stratégies, programmes et autres satisfaites par le biais des activités de supervision.
directives, représentant l'élément «activités de Le conseil d'administration s'acquitte d'autant plus
contrôle» s'appliquent également aux trois catégories facilement de ses responsabilités qu'il agit avec
d'objectifs. indépendance et surtout lorsqu'il bénéficie à la fois d'un
système d'information et de communication efficace
De même, si l'on regarde les trois catégories
et d'équipes financières, juridiques et d'audit interne
d'objectifs, les cinq éléments du contrôle interne
compétentes.
s'appliquent à chacune d'elles. Par exemple, les
cinq éléments contribuent à l'accomplissement de la Pour qu'un administrateur puisse exercer sa fonction

catégorie d'objectifs «réalisation et optimisation des avec compétence, il doit disposer de tous les moyens
utiles à l'analyse des sujets qu'il estime importants et
opérations».
doit pouvoir communiquer, librement et ouvertement,
Enfin, le contrôle interne s'applique aussi bien avec le personnel de la société, y compris les auditeurs
à l'entreprise toute entière qu'à chacune de ses internes, mais également avec les auditeurs externes
unités» (1). et les avocats.

De même, l'existence d'un comité d'audit formé par des

(1) COSO 1, op. cit., page 30. administrateurs compétents et à majorité indépendants,

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

 19

joue un rôle important en matière d'information - L'évaluation des risques et les activités de
financière et renforce le contrôle interne. contrôle ;

3. Les cadres financiers : Le directeur financier, le - L'information et la communication ;

directeur de la comptabilité, le contrôleur de gestion - Le pilotage.

et les autres acteurs de la direction financière et § 1. Critères d'évaluation de l'environnement
comptable jouent un rôle déterminant sur l'efficacité de contrôle
du contrôle interne.
Intégrité et éthique :
4. Les autres membres du personnel : Le personnel
• Existe-t-il un code de conduite et d'autres normes
met en œuvre le contrôle interne de l'entreprise à
relatives aux pratiques professionnelles acceptables,
travers ce qu'il fait et ce qu'il dit et joue un double rôle
aux conflits d'intérêts ou aux comportements éthiques
dans l'efficacité du contrôle interne :
et moraux, et sont-ils mis en œuvre ?
- d'une part, chaque employé participe, à travers la
• Quel est le comportement du management dans ses
qualité des informations qu'il produit et qui sont utilisées
relations avec le personnel, les fournisseurs, clients,
par le système et des soins qu'il apporte à ses activités
investisseurs, créanciers, assureurs, concurrents,
et son attachement au travail bien fait, à la réalisation
auditeurs, etc. ? (Par exemple, il convient de déterminer
des contrôles et, par voie de conséquence, à l'efficacité
si les dirigeants appliquent des règles d'éthique
du contrôle interne ; très strictes dans les affaires et exigent le même
- d'autre part, chaque employé est tenu de faire comportement des autres ou si, au contraire, ils
remonter à son supérieur hiérarchique ou à défaut à une attachent peu d'importance aux questions liées à
autre personne responsable tout problème constaté l'éthique).

au niveau des opérations ainsi que toute violation des • Le personnel subit-il des pressions pour atteindre
règles et toute action illégale. des objectifs irréalistes - notamment en matière de

5. Les auditeurs internes : Les auditeurs internes résultats à court terme ? - Quelle est l'importance
relative à la rémunération liée à la réalisation des
évaluent en permanence l'efficacité du contrôle interne
objectifs par rapport à la rémunération totale ?
et contribuent à maintenir son efficacité.
Compétence :
§ 2. Les opérateurs externes
• Existe-t-il des descriptions de poste formalisées
Les opérateurs externes sont aussi nombreux que
ou d'autres systèmes permettant de définir les tâches
variés. Ils incluent tous les tiers et particulièrement
afférentes à chaque poste ?
ceux ayant des relations d'affaires avec l'entreprise,
les auditeurs externes, les bailleurs de fonds, les • L'organisation possède-t-elle des analyses
investisseurs, les autorités administratives, les des connaissances et des aptitudes requises pour
législateurs, les analystes financiers, etc... accomplir la fonction ?

Section 4. Les critères d'efficacité Conseil d'administration ou Comité d'audit :

Le modèle COSO décompose le contrôle interne en • Le conseil d'administration ou le Comité d'audit

cinq éléments, inhérents à la gestion de l'entreprise, est-il suffisamment indépendant vis-à-vis de la direction
pour se sentir libre de poser toutes les questions
interdépendants.
nécessaires, même les plus délicates ?
Ces éléments sont liés entre eux ainsi qu'aux objectifs
• Le Conseil d'administration ou le Comité d'audit
qu'ils permettent de réaliser et constituent les critères
tient-il des réunions régulières avec le directeur
permettant d'apprécier l'efficacité du système.
financier, les responsables comptables, les auditeurs
Le référentiel COSO présente, à titre indicatif, une série internes et externes ?
de questionnements servant de critères d'évaluation du
• Le Conseil d'administration ou le Comité d'audit
contrôle interne relatif à :
reçoit-il les informations suffisantes, en temps voulu,
- L'environnement de contrôle ; pour lui permettre de suivre la réalisation des objectifs

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

20

et stratégies, de surveiller la situation financière et les fondamentaux (ou généraux), l'accomplissement

résultats d'exploitation, et de s'informer des conditions des fonctions opérationnelles et le respect de la
et modalités des contrats importants ? réglementation, y compris en ce qui concerne la
responsabilité des systèmes d'informations et le pouvoir
• Le Conseil d'administration ou le Comité d'audit
d'autoriser les changements ?
reçoit-il les informations sensibles en temps voulu, et
est-il informé en temps voulu des situations délicates, • Les normes et procédures de contrôle, y compris les
des investigations et des agissements incorrects (par descriptions de postes, sont-elles adéquates ?
exemple, informations sur les frais de déplacement
• Les effectifs sont-ils adéquats, notamment en ce
engagés par les membres de la direction, litiges
qui concerne le traitement des données et les fonctions
importants, investigations menées par les autorités de
comptables ? Sont-ils d'un niveau de compétence
tutelle, détournements de fonds ou mauvaise utilisation
en rapport avec la taille de l'entité, la nature et la
des actifs, délits d'initié, subventions à des mouvements
complexité des activités et des systèmes ?
politiques, pots-de-vin) ?
Politique de gestion des ressources humaines :
Philosophie et style de management des
dirigeants : • Existe-t-il des normes et procédures en matière de
recrutement, de formation, de promotion du personnel
• Quelle est la nature des risques encourus ? Le
et de rémunération ?
management est-il souvent amené à s'engager dans
des opérations à haut risque ou, au contraire, se • Les actions correctives prises en cas de dérogation
montre-t-il très prudent ? à ces normes et procédures sont-elles appropriées ?

• La direction générale entretient-elle des contacts • L'organisation procède-t-elle à des vérifications

réguliers avec les responsables opérationnels, adéquates du passé professionnel d'un candidat,
notamment ceux des sites géographiques éloignés ? notamment pour mettre en évidence d'éventuels actes
ou activités de ce dernier qui seraient inacceptables ?
• Quelle est l'attitude du management envers
l'information financière, comprenant le règlement des • Les critères de promotion des employés et
désaccords en matière de traitement comptable (ex : le les techniques de collecte d'information (ex : les
choix des principes comptables est-il plutôt prudent ou évaluations des performances) sont-ils appropriés ?
agressif, existe-t-il des cas de mauvaise application des Sont-ils conformes avec le code de conduite et autres
principes comptables, de non-divulgation d'informations règles de comportement ?
financières importantes ou de falsification des livres
§ 2. Evaluation des risques et activités de
comptables) ?
contrôle
Structure de l'entreprise :
Objectifs généraux :
• La structure de l'organisation est-elle appropriée et
• Les objectifs assignés à l'entreprise expriment-ils
permet-elle de générer les informations nécessaires à
clairement et complètement ce que celle-ci recherche
la gestion de ses activités ?
et la façon dont elle pense y parvenir, tout en tenant
• Les responsabilités des personnes occupant des compte de ses spécificités ?
postes-clés sont-elles définies de façon adéquate et
• Les objectifs généraux sont-ils communiqués
sont-elles clairement comprises par les titulaires des
de façon claire au personnel et au conseil
postes ?
d'administration ?
• Les compétences et l'expérience des personnes
• La stratégie est-elle liée aux objectifs assignés à
occupant des postes-clés sont-elles suffisantes compte
l'entreprise et est-elle cohérente avec ces derniers ?
tenu de leurs responsabilités ?
• Les plans à long terme et les budgets sont-ils
Délégations de pouvoirs et de responsabilités :
cohérents avec les objectifs généraux de l'entreprise,
• Quel niveau de responsabilité et de délégation avec la stratégie de cette dernière et les conditions du
des pouvoirs permet la réalisation des objectifs moment ?

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

 21

Objectifs assignés à chaque activité : § 3. Information et communication

• Existe-t-il une corrélation entre les objectifs Information :

assignés à chaque activité, d'une part, et, d'autre part,
• Des informations d'origine aussi bien externe
les objectifs généraux et les plans stratégiques ?
qu'interne sont-elles obtenues, et permettent-elles aux
• Les objectifs assignés à chaque activité sont-ils dirigeants d'évaluer les performances de l'entreprise
cohérents les uns par rapport aux autres ? par rapport aux objectifs ?
• Les objectifs assignés à chaque activité sont-ils • Les informations sont-elles transmises à temps aux
appropriés par rapport à chacun des processus-clés personnes qui en ont besoin, et de façon suffisamment
de l'entreprise ? détaillée, pour que chaque personne puisse assumer
• Les objectifs assignés à chaque activité tiennent-ils ses responsabilités de façon efficace et efficiente ?
suffisamment compte des spécificités de celles-ci ?
• Existe-t-il un schéma directeur régissant
• Les moyens consacrés à la réalisation des objectifs le développement et l'évolution des systèmes
sont-ils suffisants ? d'information ? Ce schéma directeur s'inscrit-il dans

• Les objectifs conditionnant la réalisation de ceux la ligne de la stratégie globale de l'organisation et

qui ont été assignés à l'entreprise (facteurs-clés de contribue-t-il à la réalisation des objectifs fixés à

réussite) ont-ils été identifiés ? l'échelle de la société comme un niveau des différentes
activités ?
• Toutes les personnes occupant des postes à
responsabilités participent-elles à l'établissement des • L'adhésion du management au développement des
objectifs et adhérent-elles à ceux-ci ? systèmes d'information nécessaires se concrétise-t-elle
par une mise à disposition adéquate de ressources,
Risques :
tant humaines que financières ?
• Les mécanismes mis en place pour identifier les
Communication :
risques exogènes à l'entreprise sont-ils suffisants ?
• Les tâches et responsabilités attribuées au personnel
• Les mécanismes mis en place pour identifier les
en matière de contrôle sont-elles communiquées à
risques endogènes à l'entreprise sont-ils suffisants ?
celui-ci de façon efficace ?
• Tous les risques majeurs susceptibles d'avoir un
• Des moyens de communication ont-ils été
impact sur la réalisation de chacun des objectifs fixés
établis permettant de signaler des faits présumés
aux activités ont-ils été identifiés ? inconvenants ?
• Le processus d'analyse des risques (incluant • Le management est-il à l'écoute des suggestions
l'appréciation de l'importance des risques, l'évaluation que pourrait émettre le personnel quant à la façon
de la probabilité de leur survenance et la détermination d'accroître la productivité, la qualité, ou d'améliorer tel
des actions nécessaires) est-il exhaustif et pertinent ? ou tel procédé ?
Gestion des changements : • La communication se fait-elle correctement au
• Existe-t-il des mécanismes permettant d'identifier sein de la société (par exemple, entre le service
des faits ou activités ayant un impact sur la réalisation «achats» et la production), les informations sont-elles
des objectifs généraux de l'entreprise (ou particuliers complètes, transmises à temps et suffisantes pour
à une division de l'entreprise), voire d'anticiper sur eux permettre à chacun de s'acquitter efficacement de ses

et de réagir, ces faits ou activités étant généralement responsabilités ?

initiés par les responsabilités des services qui seraient • Les moyens de communication avec les clients,
le plus affectés par les changements ? fournisseurs et autres tiers, sont-ils suffisamment

• Existe-t-il des mécanismes permettant d'identifier développés pour que puissent être recueillies
des informations sur l'évolution des besoins de la
les changements qui pourraient avoir des répercussions
clientèle ?
plus importantes et plus larges sur l'entité et nécessiter
l'intervention des dirigeants, et d'y apporter une réaction • Dans quelle mesure les tiers ont-ils été informés des
immédiate ? règles d'éthique appliquées par l'entreprise.

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .

22

• Le management procède-t-il dans des délais niveau du contrôle interne et de faire remonter ces
appropriés à un suivi des informations collectées informations ?
auprès des clients, fournisseurs, autorités de tutelle
• Les règles en la matière sont-elles pertinentes ?
et autres tiers ?
• Les actions de suivi sont-elles pertinentes ?
§ 4. Pilotage
Section 5. Limites du contrôle interne
Pilotage courant :
Le contrôle interne, aussi bien conçu et aussi bien
• Dans quelle mesure les activités courantes des
appliqué soit-il, ne peut offrir qu'une assurance
employés leur permettent-elles d'obtenir l'assurance
raisonnable de réalisation des objectifs en raison des
que le système de contrôle interne est toujours
limites suivantes :
efficace ?
- Le niveau d'assurance peut être plus élevé quant
• Les informations provenant de l'extérieur
à la réalisation des objectifs en matière de fiabilité
corroborent-elles les informations d'origine interne ou
des informations financières et de la conformité aux
révèlent-elles des problèmes ?
lois et réglementations en vigueur que pour l'objectif
• Les informations enregistrées dans le système de réalisation et d'optimisation des opérations. La
comptable sont-elles périodiquement comparées aux réalisation des objectifs de fiabilité et de compliance
résultats de contrôles physiques ? fondés sur des normes générales, imposées de
l'expérience à tous, dépend principalement de la qualité
• Les recommandations émises par les auditeurs
des procédures, de la volonté et de la compétence de
internes ou externes en ce qui concerne les méthodes
l'entreprise. En revanche, la réalisation des objectifs
permettant de renforcer le contrôle interne sont-elles
liés aux opérations ne relève pas toujours de la seule
mises en œuvre ?
volonté de l'entreprise.
• Les séminaires de formation et les réunions de
- Les jugements exercés lors des prises de décision
planification apportent-ils à la direction des informations
peuvent se révéler défaillants : C'est ainsi que le
sur l'efficacité du fonctionnement du système de
COSO 1 précise que le système de contrôle interne
contrôle ?
ne peut prévenir un jugement erroné ou une mauvaise
• Est-il périodiquement demandé au personnel s'il décision, ou bien encore un événement extérieur
comprend le code de conduite, s'il s'y conforme et pouvant entraîner l'échec des objectifs d'exploitation.
s'il effectue régulièrement les opérations de contrôle Dans ce domaine, le système de contrôle interne ne
importantes ? peut fournir d'assurance raisonnable qu'au regard de la
gestion administrative liée aux objectifs opérationnels
• Les interventions de l'audit interne sont-elles
en fournissant au management et aux dirigeants une
efficaces ?
assurance raisonnable d'être informée de façon fiable
Evaluations ponctuelles et en temps opportun dans quelle mesure l'entreprise

• Quelles sont l'étendue et la fréquence des est en train de réaliser ses objectifs.

évaluations ponctuelles du système de contrôle - La contrainte rapport coût-avantage impose une

interne ? contingence aux procédures et dispositifs de contrôle
à mettre en place.
• Le processus d'évaluation est-il approprié ?
- Les mesures de contrôle ne peuvent pas, en
• La méthodologie utilisée lors de l'évaluation du
toute circonstance, empêcher la survenance d'un
système de contrôle est-elle logique et appropriée ?
dysfonctionnement ou d'une défaillance humaine ou
• L a d o c u m e n t a t i o n e s t - e l l e s u f fi s a n t e e t d'une erreur.
adéquate ?
- La collusion entre plusieurs personnes peut faire
Remontée de l'information échouer les contrôles.

• Existe-t-il des mécanismes permettant de recueillir - Le management peut passer outre les procédures
des informations sur les faiblesses identifiées au et ne pas respecter le système de contrôle interne.

LA REVUE COMPTABLE ET FINANCIÈRE N° 84 - DEUXIÈME TRIMESTRE 2009 .